Till statsrådet och chefen för Finansdepartementet

Regeringen beslutade den 5 april 2001 att tillkalla en särskild utredare för att bl.a. följa genomförandet av lagstiftningen om register i Tullverkets brottsbekämpande verksamhet.

Den 9 april 2001 förordnade chefen för Finansdepartementet, statsrådet Bosse Ringholm, kammarrättslagmannen Sten Wahlqvist att från den 1 maj 2001 vara särskild utredare.

Som experter har från den 4 maj 2001 medverkat verksjuristen Johan Bålman, statsåklagaren Anna-Lena Dahlqvist, specialisten Dag Ekelund, överdirektören Claes Gränström, enhetschefen Eva-Lotta Hedin, tullinspektören Heidi Joensuu, kammarrättsassessorn Peder Liljeqvist, numera kanslirådet Marie Bjernelius Lundahl, kammarrättsassessorn Cecilia Mauritzon, ämnessakkunnige Tord Pettersson, verksjuristen Staffan Schyberg, utvecklingschefen Kristina Tollbäck, numera polisintendenten Lars Tonneman och departementssekreteraren Beata Wiberg. Peder Liljeqvist entledigades som expert den 31 januari 2002. Regionchefen Carl Ström förordnades som expert från den 4 december 2001 och kammarrättsassessorn Maria Kaiser från den 1 augusti 2002.

Sekreterare åt utredningen har varit kammarrättsassessorn Ann-Louise Björnsson och från den 1 februari 2002 även Peder Liljeqvist.

Utredningen har antagit namnet Tullbrottsdatautredningen (Fi 2001:06).

Härmed överlämnar utredningen sitt betänkande TULLVERKETS BROTTSBEKÄMPNING Integritet – Effektivitet (SOU 2002:113).

Arbetet har bedrivits i nära samråd med experterna som i allt väsentligt står bakom förslagen. Betänkandet är därför skrivet i viform.

Utredningens uppdrag är härmed slutfört.

Jönköping i december 2002

Sten Wahlqvist

/Ann-Louise Björnsson

Peder Liljeqvist

Sammanfattning

Några allmänna utgångspunkter för uppdraget

Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Lagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, det s.k. dataskyddsdirektivet. Mot bakgrund av den nämnda regleringen trädde lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet i kraft den 1 april 2001.

Vi har haft i uppdrag att följa genomförandet av den nya lagstiftningen om register i Tullverkets brottsbekämpande verksamhet, som har medfört att verket fått ökade möjligheter att hantera personuppgifter. Vi har också haft att se över de befintliga register som Tullverket för eller annars har tillgång till samt sätta oss in i och granska det arbete som pågår inom Tullverket med att upprätta nya databaser och ärendehanteringssystem för den brottsbekämpande verksamheten. Vårt uppdrag har också innefattat utredning av om Tullverkets fiskala tulldatasystem (TDS) bör få användas i brottsbekämpande verksamhet. Det har även ingått i uppdraget att vid behov lämna förslag till förändringar.

En viktig utgångspunkt för vårt arbete har varit att Tullverket skall ges förutsättningar att lösa sina uppgifter och uppnå de mål som regeringen har ställt upp för verkets arbete. Andra viktiga utgångspunkter har varit att den personliga integriteten skall skyddas och värnas samt att förslag till nya regler skall vara enkla, tydliga och anpassade till den tekniska utvecklingen på ett sådant sätt att de tillgodoser behovet av ett effektivt IT-stöd i det brottsbekämpande arbetet och ärendehanteringen inom Tullverket.

Tullverkets problem med och behov av informationshantering

Som ett led i arbetet med att se över informationshanteringen och behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet har ett flertal studiebesök gjorts hos de skilda regionerna inom Tullverket. Med utgångspunkt i dessa besök samt ett flertal möten med företrädare för Tullverkets ledning, Rikspolisstyrelsen, Ekobrottsmyndigheten och andra brottsbekämpande myndigheter, har vi analyserat vilka behov av och problem med informationshanteringen som Tullverket har i det brottsbekämpande arbetet. – Det finns behov av att på ett mer flexibelt sätt kunna avgöra hur uppgifter skall registreras, t.ex. i spanings- och underrättelseregister, och hur uppgifterna skall kunna användas i de olika delarna av verksamheten. – Det finns behov av lagstiftning som är anpassad till en datoriserad ärendehantering och som tillåter hantering av elektroniska handlingar, exempelvis digitala bilder. – Det förekommer problem med gränsdragningen mellan olika verksamheter, främst i samband med det arbete som utförs i underrättelseverksamhet. Dessa problem kan delvis hänföras till verkets organisatoriska uppbyggnad, delvis till att lagstiftningen är oklar. – Det finns ett stort behov av utökat och tekniskt utvecklat samarbete och informationsutbyte mellan Tullverket och andra brottsbekämpande myndigheter. – Det förekommer problem med att avgöra var sekretessgränserna går mellan olika verksamheter inom Tullverket. – Det föreligger sekretessproblem vid informationsutbyte i underrättelseverksamhet mellan de skilda brottsbekämpande myndigheterna. – Det råder en utbredd okunskap bland personalen inom Tullverket om hur TDS får användas i den brottsbekämpande verksamheten, vilket i vissa fall leder till att systemet används på ett enligt vår uppfattning otillåtet sätt. – Det är ett problem från effektivitetssynpunkt att uppgifter från TDS, som behövs i stor omfattning i den brottsbekämpande verksamheten, inte kan inhämtas snabbt genom direktåtkomst eller bearbetas direkt i systemet genom s.k. spärrläggning.

Av våra erfarenheter drar vi slutsatsen att dagens lagstiftning om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet inte på ett tillfredsställande sätt kan uppfylla de krav som Tullverkets verksamhet ställer eller kommer att ställa på automatiserad behandling av uppgifter. Flera av de förändringar som behövs är så grundläggande att det är mest ändamålsenligt med en helt ny lagstiftning.

Övergripande principer för ny lagstiftning

Utvecklingen inom datorområdet visar att lagstiftning som reglerar användningen av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Samtidigt är det mycket viktigt att det i lagstiftningen hela tiden tas hänsyn till enskildas personliga integritet. I den brottsbekämpande verksamheten inom Tullverket hanteras stora mängder information som många gånger kan vara av känslig natur för de inblandade personerna. I takt med att datorstödet byggs ut och stora uppgiftsmängder görs enkelt sökbara, ökar riskerna för att enskilda skall drabbas av oacceptabla intrång i den personliga sfären. Det är med andra ord viktigt att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen eller där den sistnämnda onödigt hämmar effektiviseringen. Det måste vara möjligt att i stor omfattning använda sig av ny digital teknik som ett led i brottsbekämpningen, utan att det innebär att integritetsskyddet blir eftersatt.

För att garantera såväl integritetsskyddet som möjligheterna till fortlöpande effektivisering av verksamheten, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor, men så långt som möjligt lämnar detaljregleringen därhän. Vi föreslår därför att de grundläggande principerna för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall regleras särskilt i lag, medan kompletterande bestämmelser skall meddelas av regeringen eller den myndighet som regeringen bestämmer.

För behandling av personuppgifter i administrativ verksamhet, t.ex. i arbetsgivarfrågor, anser vi att det är tillräckligt med personuppgiftslagens bestämmelser och vi föreslår därför ingen särskild reglering inom det området.

Lagstiftningens systematik och tillämpningsområde m.m.

Vi föreslår att den nya lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall delas in i tre kapitel. I ett första kapitel finns allmänna bestämmelser som i princip är tillämpliga på all behandling av uppgifter som omfattas av lagen, oavsett om det gäller hantering av enskild e-post, ordbehandling eller registrering i centrala register. Det andra kapitlet innehåller särskilda bestämmelser som endast gäller automatiserad behandling av uppgifter och handlingar i en gemensam databas, t.ex. i ärendehanteringssystem och centrala eller regionala underrättelseregister. I ett avslutande kapitel samlas bestämmelser om enskildas rättigheter i anknytning till behandlingen av personuppgifter, nämligen om information, rättelse, skadestånd och överklagande.

Lagstiftningen skall tillämpas vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, om behandlingen är helt eller delvis automatiserad eller om den utförs i manuella register. Grundläggande bestämmelser i lagen, exempelvis om ändamålen med och ansvaret för behandling, skall vara tillämpliga även vid behandling av uppgifter om juridiska personer.

Lagen skall gälla i stället för personuppgiftslagen, vars bestämmelser skall tillämpas på behandling av personuppgifter hos Tullverket endast när det anges särskilt. De bestämmelser i personuppgiftslagen som skall vara allmänt tillämpliga är de om definitioner, förhållandet till offentlighetsprincipen, grundläggande krav på behandling, säkerheten vid behandling, överföring av personuppgifter till tredje land, personuppgiftsombudets uppgifter, upplysningar till allmänheten om vissa behandlingar, tillsynsmyndighetens befogenheter samt straff.

Tullverket skall vara personuppgiftsansvarigt för den behandling som verket utför eller som det åligger verket att utföra. För Tullverkets behandling av uppgifter i register som regleras särskilt i annan författning, t.ex. polisens belastnings- och misstankregister, gäller emellertid vad som sägs där om personuppgiftsansvar.

Behandling för skilda och uttryckliga ändamål

Tullverkets behandling av personuppgifter skall enligt vår uppfattning styras av fyra särskilt angivna primära ändamål.

Förhindra eller upptäcka brottslig verksamhet

En viktig del av Tullverkets arbete med brottsbekämpning är att upptäcka och förhindra brottslig verksamhet som innefattar brott som Tullverket har befogenhet att ingripa mot. I begreppet brottslig verksamhet ligger att det inte är fråga om att klara upp ett konkret begånget brott, utan i stället att avslöja om viss brottslighet har förekommit, pågår eller kan förutses. Utgångspunkten för arbetet är i huvudsak att ta fram underlag för vilken inriktning den brottsbekämpande verksamheten skall ha eller för att initiera konkreta brottsutredningar.

Ändamålet omfattar alltså främst det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att komma åt brottslig verksamhet när det inte finns konkreta misstankar om att ett brott redan har begåtts. Insamling av information kan ske på flera sätt, t.ex. genom egna spaningsinsatser, samarbete med andra brottsbekämpande myndigheters underrättelseverksamhet eller tips från allmänheten. Ändamålet omfattar emellertid mer än enbart underrättelsearbete. Här ryms även den gränskontrollerande verksamheten på plats i t.ex. ett tullfilter, innan den situationen har uppstått att exempelvis ett konkret smugglingsbrott faktiskt har upptäckts eller kan misstänkas. Även det urvalsarbete som utförs av selekteringsgrupper inför kontroller av containertrafik m.m. omfattas av ändamålet, under förutsättning att det inte finns misstankar om att ett konkret brott faktiskt har förövats.

Utreda eller beivra brott

Inom Tullverket utreds och beivras i stor omfattning brott som Tullverket har befogenhet att ingripa mot. Med detta avses i första hand arbete inom ramen för en förundersökning enligt 23 kap. rättegångsbalken eller lagen (2000:1225) om straff för smuggling, exempelvis spaning, förhör och informationsbearbetning. Ändamålet omfattar emellertid även annat utredande eller beivrande av

ett konkret brott, som förenklade förfaranden med utfärdande av strafföreläggande eller ordningsbot. I ändamålet innefattas också behandling som sker med stöd av 23 kap.3 och 8 §§rättegångsbalken, innan förundersökning har inletts samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om förundersökning skall inledas eller inte, s.k. primärutredning eller förutredning.

Avgörande för om en viss behandling faller in under det angivna ändamålet är alltså om åtgärderna sker med anledning av att ett konkret brott har eller misstänks ha begåtts. Det saknar med andra ord betydelse om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form.

Fullgöra internationella åtaganden

Inom Tullverket bedrivs mycket arbete med internationell anknytning. I många fall är det svårt eller närmast omöjligt att förutse vilka uppgifter som kommer att åligga Tullverket, inte minst inom ramen för EU-samarbetet. Att i lag definiera ett ändamål som garanterar att Tullverket kan behandla de uppgifter i internationella sammanhang som krävs för att Sveriges åtaganden skall kunna fullgöras, låter sig därför inte göras på ett enkelt och säkert sätt. I lagen (2000:1219) om internationellt tullsamarbete finns emellertid samlat de uppgifter som åligger Tullverket i sådana sammanhang.

Det är enligt vår uppfattning inte lämpligt att med en ändamålsbestämmelse i en lag om behandling av personuppgifter riskera att begränsa Tullverkets möjligheter att fullgöra det arbete som riksdagen i en annan lag har ålagt verket. Det är därför både enkelt och lämpligt att direkt hänvisa till lagen om internationellt tullsamarbete i fråga om behandling av personuppgifter i det internationella arbetet. Vi föreslår genomgående att den nya lagstiftningen skall tillåta olika former av behandling av uppgifter om det är nödvändigt för att Tullverket skall kunna fullfölja sina skyldigheter enligt nämnda lag.

Planera, följa upp och utvärdera verksamheten

Inom ramen för detta ändamål får uppgifter behandlas om det behövs för den administrativa interna tillsynen, kontrollen och uppföljningen m.m. av den brottsbekämpande verksamheten inom Tullverket. Det innebär att Tullverket har möjlighet att behandla uppgifter för att utveckla organisationen och de former som den bedrivs i samt planera för åtgärder som behöver vidtas för att t.ex. effektivisera handläggning och annan verksamhet.

Behandling i databaser och annan behandling

Vid i stort sett samtliga myndigheter behandlas i dag personuppgifter med datorstöd på i huvudsak två principiellt och tekniskt skilda sätt. För det första används persondatorer av enskilda tjänstemän för att upprätta promemorior och beslutsunderlag m.m. samt för att skicka och ta emot e-post. Ofta sker då behandlingen så att endast en eller ett fåtal personer kan ta del av informationen, t.ex. i personliga filer på en hårddisk eller i en server. För det andra används i stor utsträckning allmänt åtkomliga dataregister med information som behövs i myndighetens verksamhet samt – vid vissa myndigheter – även stora och komplexa elektroniska ärendehanteringssystem.

Den senare formen av datorstöd i form av gemensamma system anser vi bör omgärdas av särskilda skyddsregler, eftersom integritetsriskerna ökar när stora mängder information behandlas gemensamt. Vi föreslår att sådan behandling skall samlas under det rättsliga begreppet databas. Behandling av uppgifter som utförs med datorer, men där uppgifterna inte är gemensamt åtkomliga utan används av enskilda tjänstemän, behöver däremot inte omgärdas av samma skyddsregler.

Särskilt om tullbrottsdatabasen

När Tullverket inrättar centrala eller regionala dataregister för exempelvis underrättelse- eller spaningsändamål, skall enligt vår uppfattning särskilda regler gälla av integritetsskäl. Det behövs särskilda bestämmelser om t.ex. direktåtkomst, sökbegränsningar och gallring (se nedan). Detsamma gäller vid användandet av

elektroniska ärendehanteringssystem, där färdiga handlingar upprättas eller lagras efter att de inkommit till myndigheten.

När uppgifter behandlas i gemensamma dataregister för ändamålet att upptäcka eller förhindra brottslig verksamhet skall det enligt vår mening finnas en anknytning till allvarlig brottslig verksamhet för att en person skall få registreras (se mer om underrättelseverksamhet nedan). När register förs för ändamålet att utreda eller beivra brott får de personer registreras som förekommer i det aktuella ärendet.

Oavsett för vilket av dessa två ändamål uppgifter behandlas i gemensamma dataregister, bör det enligt vår uppfattning anges i lag vilka kategorier av uppgifter som får behandlas. Utfärdandet av närmare föreskrifter om vilka uppgifter som avses, bör däremot vara en fråga för regeringen eller Tullverket. Vi föreslår dock att det i lag anges uttryckligen att känsliga personuppgifter får behandlas endast som komplement till andra uppgifter om en person och endast om det är oundgängligen nödvändigt.

Inom ramen för databasen står det Tullverket fritt att registrera uppgifter i ett eller flera dataregister – det är således möjligt att välja t.ex. ett system med ett gemensamt spanings- och underrättelseregister likaväl som att ha två eller flera separata register – under förutsättning att all behandling utförs i enlighet med de i lagen angivna ändamålen. Det måste emellertid framgå med stöd av vilket ändamål uppgifterna i tullbrottsdatabasen har registrerats. I register som ingår i databasen skall det dessutom, i enlighet med Europarådets rekommendation om användning av personuppgifter inom polissektorn, framgå om en registrerad person är misstänkt för brott eller brottslig verksamhet.

I elektroniska ärendehanteringssystem skall samtliga handlingar som i den brottsbekämpande verksamheten har kommit in till eller upprättats av Tullverket få behandlas. För inkomna handlingar skall inga restriktioner gälla i fråga om innehåll, eftersom Tullverket inte själv kan påverka dessa handlingars innehåll. Integritetsaspekterna får i stället tillgodoses genom bl.a. bestämmelser om sökbegränsningar. För de handlingar som Tullverket självt upprättar skall dock gälla att känsliga personuppgifter får förekomma endast som komplement till andra uppgifter och endast om det är oundgängligen nödvändigt.

Annan behandling

När uppgifter behandlas med datorstöd utan att de utgör en del av ett gemensamt register eller ärendehanteringssystem, t.ex. när en enskild tjänsteman upprättar promemorior, skall uttryckliga begränsningar utöver de som följer av ändamålsbestämmelserna gälla endast för behandlingen av känsliga personuppgifter samt för behandling av uppgifter om personer som inte är misstänkta för brott.

För känsliga personuppgifter skall samma regler gälla som för uppgifter och upprättade handlingar i tullbrottsdatabasen, nämligen att de får behandlas endast som komplement till andra uppgifter och endast om det är oundgängligen nödvändigt. Uppgifter om personer som det inte finns någon misstanke om brott mot skall få behandlas endast om det genom särskild upplysning eller på annat sätt klart framgår att personen inte är misstänkt. Dessutom skall uppgifter om att en person kan antas ha samband med brottslig verksamhet förses med upplysning om uppgiftslämnarens trovärdighet och uppgiftens riktighet i sak (se närmare om underrättelseverksamhet nedan).

Särskilt om underrättelseverksamhet

I dag får Tullverket i sin underrättelseverksamhet behandla personuppgifter antingen i ett underrättelseregister eller, efter särskilt beslut, i en särskild undersökning. I bägge fallen gäller att behandling får utföras endast om det kan antas att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. Begreppet underrättelseverksamhet har inneburit vissa tolkningssvårigheter och vi föreslår därför att det skall utmönstras ur lagstiftningen. Underrättelseverksamhet skall i stället ses som en bland andra verksamheter – om än viktig och omfattande – som bedrivs inom ramen för ändamålet att förhindra eller upptäcka brottslig verksamhet.

Underrättelseregister

Vi anser att Tullverket även fortsättningsvis måste kunna behandla personuppgifter i ett eller flera centrala eller regionala underrättelseregister – eller i t.ex. kombinerade spanings- och

underrättelseregister – inom ramen för de bestämmelser som vi föreslår för tullbrottsdatabasen. För att uppgifter i underrättelseverksamhet skall få registreras i ett gemensamt register föreslår vi att det ställs krav på att de personer som uppgifterna avser kan antas ha samband med misstänkt allvarlig brottslig verksamhet. Personerna i fråga måste inte själva vara inblandade i verksamheten, utan sambandet kan vara att de t.ex. är vittnen eller att de av annan anledning har lämnat sakuppgifter till Tullverket. Det kan också röra sig om ägare till fordon eller fastigheter som har beröring med misstänkt allvarlig brottslig verksamhet.

Det bör enligt vår uppfattning dessutom ställas krav på att uppgifter om en fysisk person som inte misstänks bedriva brottslig verksamhet skall förses med upplysning om att sådan misstanke saknas. Vidare skall uppgifter om en fysisk person som misstänks bedriva brottslig verksamhet som inte är allvarlig förses med upplysning om att misstanke endast avser sådan brottslig verksamhet. Det innebär i princip att det av upplysningar i ett register klart skall framgå varför en viss person finns registrerad, så att missuppfattningar inte kan uppstå om vem som är eller inte är misstänkt för att själv vara inblandad i brottslig verksamhet. Ett ytterligare krav skall vara att uppgifter om en person skall förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Av de allmänna bestämmelser för tullbrottsdatabasen som vi föreslår följer även att endast uppgifter som kan hänföras till vissa i lag uttryckligen angivna uppgiftskategorier skall få registreras. De nämnda kraven ligger i linje med Europarådets rekommendation om användningen av personuppgifter inom polissektorn och syftar till att skydda enskildas personliga integritet.

Vi föreslår att uppgifter om en person i ett gemensamt underrättelseregister skall gallras senast tre år efter det att den senaste registreringen gjordes om personen i fråga.

Särskilda underrättelseprojekt m.m.

Det finns också ett stort behov för Tullverket att kunna behandla uppgifter i underrättelseverksamhet på ett mer fritt sätt än i centrala och särskilt reglerade dataregister. I dag kan sådana andra former av behandling utföras inom ramen för en särskild undersökning. Den rättsliga konstruktionen med särskilda

undersökningar har inneburit vissa problem för Tullverket och vi anser att det, med bibehållande av ett tillräckligt integritetsskydd, är möjligt att tillåta behandling av uppgifter i underrättelseverksamhet på annat sätt än i gemensamma underrättelseregister och utan alla de krav som i dag ställs på en särskild undersökning.

Med utnyttjande av vanligt datorstöd i form av ordbehandling, enklare register och e-post m.m. skall Tullverket enligt vårt förslag få behandla personuppgifter om personer som kan antas ha samband med brottslig verksamhet. En grundläggande förutsättning är att de behandlade uppgifterna inte är gemensamt tillgängliga inom Tullverket eller för andra myndigheter, utan förbehållna en avgränsad grupp tjänstemän inom Tullverket – och eventuellt inom polisen eller andra brottsbekämpande myndigheter vid samarbete – som ingår i ett särskilt underrättelseprojekt.

En avgörande skillnad i förhållande till behandling som i dag utförs i särskilda undersökningar är att vi inte uppställer något krav på att det kan antas att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. Det är tillräckligt att misstanken avser förekomst av brottslig verksamhet som inte är allvarlig, t.ex. smuggling av alkohol och tobak i mindre mängd. Härigenom blir det möjligt för Tullverket att kartlägga vardagsbrottslighet, s.k. myrtrafik, som inte sällan utförs av ungdomar. I och med att uppgifterna är förbehållna en mindre och klart avgränsad grupp personer anser vi att detta kan tillåtas, eftersom integritetsriskerna är små. Uppgifter som behandlas i ett underrättelseprojekt får i ett senare skede föras in i ett centralt eller regionalt gemensamt underrättelseregister endast om det finns samband med allvarlig brottslig verksamhet.

En annan skillnad är att vi inte föreslår att det uppställs något formellt krav på beslut av en högre befattningshavare för att ett underrättelseprojekt skall få inledas, vilket är fallet med särskilda undersökningar i dag. Betydelsen av denna skillnad skall enligt vår uppfattning dock inte överdrivas, eftersom det torde vara uteslutet att särskilda underrättelseprojekt påbörjas, med efterföljande systematiserad behandling av personuppgifter, utan att projekten föregås av ett beslut av en tjänsteman i arbetsledande ställning.

Av integritetsskäl måste enligt vår uppfattning emellertid vissa ytterligare krav ställas på behandlingen av uppgifter i underrättelseprojekt. Uppgifter om personer som det inte finns någon misstanke om brott mot skall få behandlas endast om det genom särskild upplysning eller på annat sätt klart framgår att personen

inte är misstänkt. Dessutom skall uppgifter om att en person kan antas ha samband med brottslig verksamhet förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

Av betydelse från integritetssynpunkt är också att uppgifterna skall gallras senast ett år efter att ett projekt är avslutat.

Direktåtkomst

Behandling av personuppgifter genom tillåtande av direktåtkomst för andra myndigheter till information i exempelvis dataregister har länge ansetts särskilt integritetskänsligt. Vi delar den uppfattningen, men anser att det finns mycket starka skäl för att tillåta sådan åtkomst mellan de skilda brottsbekämpande myndigheterna, dvs. Tullverket, polismyndigheter, Ekobrottsmyndigheten, skattebrottsenheter, Kustbevakningen och åklagarmyndigheter. Effektiviteten i det brottsbekämpande arbete som dessa myndigheter utför, bör inte bli mer än nödvändigt lidande av att de brottsbekämpande uppgifterna i Sverige av historiska, organisatoriska eller andra skäl är uppdelade mellan ett flertal skilda myndigheter.

Vi föreslår därför att brottsbekämpande myndigheter med polisiära arbetsuppgifter, genom direktåtkomst bör kunna få tillgång till samtliga de register som Tullverket för i den brottsbekämpande verksamheten. Däremot bör dessa myndigheter inte ha tillgång till elektroniska handlingar som ingår i Tullverkets datoriserade ärendehanteringssystem. För åklagarmyndigheter gäller att de inte har något direkt behov av uppgifter som finns i t.ex. underrättelseregister, utan i stället av elektroniskt lagrade uppgifter och handlingar som förekommer i förundersökningar som leds av åklagare, oavsett om informationen återfinns i ett särskilt spaningsregister eller i ett datoriserat ärendehanteringssystem. Vi föreslår därför att åklagarmyndigheterna tillåts ha sådan åtkomst.

Av integritetsskäl bör det av lagstiftningen uttryckligen framgå att direktåtkomsten skall vara förbehållen de personer inom de brottsbekämpande myndigheterna som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna eller handlingarna.

Vi vill också betona att det enligt vår uppfattning är av stor betydelse för möjligheterna att bekämpa allvarlig brottslighet, att

samtliga brottsbekämpande myndigheter på ett effektivt sätt kan få tillgång till uppgifter hos varandra. Vi har emellertid inte haft möjlighet att inom ramen för vårt uppdrag pröva annat än frågan om övriga brottsbekämpande myndigheter bör få tillgång till uppgifter hos Tullverket.

Sökbegränsningar och gallring m.m.

Sökbegränsningar

Av integritetsskäl skall känsliga personuppgifter inte få användas som sökbegrepp vid sökning efter uppgifter i tullbrottsdatabasen om det inte är absolut nödvändigt. För elektroniska handlingar bör sökbegränsningarna vara mer begränsade än så, eftersom sådana handlingar kan innehålla i stort sett vilka uppgifter som helst. Handlingar skall därför få eftersökas endast med hjälp av sökbegreppen namn och personnummer, datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning på handlingen, från vem handlingen har kommit in eller till vem den har expedierats samt i korthet vad handlingen rör.

När uppgifter och handlingar i tullbrottsdatabasen har överlämnats till en arkivmyndighet skall de däremot, efter föreskrifter av regeringen, få eftersökas utan begränsningar i fråga om sökbegrepp.

Gallring

Uppgifter i tullbrottsdatabasen skall av bl.a. integritetsskäl gallras vid olika tidpunkter, beroende på för vilka ändamål uppgifterna behandlas. Uppgifter som behandlas för att förhindra eller upptäcka brottslig verksamhet, t.ex. i ett underrättelseregister, skall gallras senast tre år efter att den sista registreringen gjordes av en uppgift om att en person kan antas ha samband med misstänkt brottslig verksamhet. När uppgifter behandlas i brottsutredningar utan att förundersökning har inletts, skall de gallras senast ett år efter att ärendet avslutades. Uppgifter som behandlas för att Tullverket skall kunna fullgöra internationella åtaganden skall gallras när uppgifterna inte längre behövs för sitt ändamål.

För elektroniska handlingar i andra ärenden än förundersökningar skall en gallringstid om ett år efter att det aktuella

ärendet avslutades gälla, oavsett för vilka ändamål handlingarna behandlas.

Uppgifter som inte ingår i tullbrottsdatabasen och som behandlas automatiserat i ett ärende, t.ex. vid ordbehandling eller e-posthantering, skall gallras senast ett år efter det att ärendet avslutades. Uppgifter som inte kan hänföras till ett särskilt ärende skall i stället gallras senast ett år efter att de behandlades automatiserat första gången.

Regeringen eller Riksarkivet skall få meddela föreskrifter om att uppgifter och handlingar, oavsett om behandling sker i tullbrottsdatabasen eller inte, skall få gallras vid en annan tidpunkt eller bevaras.

Uppgifter och handlingar i förundersökningar behöver av olika skäl vara tillgängliga under en mycket lång tid och någon tidsgräns för gallring anges därför inte. Gallring skall i stället utföras i enlighet med bestämmelserna i arkivlagen, oavsett om uppgifterna och handlingarna behandlas i tullbrottsdatabasen eller inte.

Uppgifter om kvarstående misstankar

Uppgifter och handlingar i förundersökningar är enligt vårt förslag undantagna från lagstiftningens gallringsregler. För att undvika den risk som kan finnas att sådana uppgifter utnyttjas som ett särskilt misstankeregister vid sidan av det som förs av Rikspolisstyrelsen, bör det finnas begränsande bestämmelser för behandlingen.

Om en förundersökning har lagts ned på grund av bristande bevisning skall uppgifter och handlingar i förundersökningen få behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt eller om uppgifterna och handlingarna behövs i en ny förundersökning. Det skall alltså inte vara fritt att utnyttja informationen i nedlagda förundersökningar där misstankar kvarstår.

Motsvarande skall gälla om ett åtal har lagts ned eller om den misstänkte genom en lagakraftvunnen dom har frikänts. Uppgifter och handlingar i förundersökningen skall då få behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt, om uppgifterna och handlingarna behövs i en ny förundersökning eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.

Enskildas rättigheter

Personuppgiftslagens bestämmelser om information som skall lämnas självmant till den registrerade när uppgifter har samlats in från honom eller henne själv och om information som skall lämnas efter ansökan av den registrerade, skall i huvudsak tillämpas vid behandling av personuppgifter i Tullverket brottsbekämpande verksamhet. Information om elektroniska handlingar i ett ärende, som behandlas i tullbrottsdatabasen och som den enskilde har tagit del av, behöver inte omfatta annat än uppgiften om att handlingarna behandlas i databasen. Om den enskilde begär det skall dock informationen omfatta även de handlingar som behandlas.

Personuppgiftslagens bestämmelser om rättelse av personuppgifter skall tillämpas på motsvarande sätt vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Detsamma gäller bestämmelserna i personuppgiftslagen om skadestånd.

Tullverkets beslut om rättelse och om information som skall lämnas efter begäran av en registrerad skall kunna överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätt.

Användning av TDS i brottsbekämpande verksamhet

I Tullverkets brottsbekämpande verksamhet finns det ett mycket stort behov av att kunna använda uppgifter om import, export och annan handel m.m. i Tulldatasystemet (TDS) och andra fiskala register som ingår i den tulldatabas som Tullverket använder för icke brottsbekämpande syften. Dessa fiskala register innehåller till helt övervägande del uppgifter om juridiska personer. De integritetsrisker som kan förknippas med användningen av fiskal information i brottsbekämpande verksamhet är bl.a. av den anledningen förhållandevis små i Tullverkets verksamhet.

Enligt vår uppfattning bör Tullverket få använda sig av moderna elektroniska hjälpmedel för att kunna komma åt informationen i fiskala register, i stället för att behöva vända sig till de fiskala enheterna. Tullverket bör därför i sin brottsbekämpande verksamhet få ha direktåtkomst till uppgifter i TDS och andra fiskala system. I underrättelseverksamhet skall Tullverkets

direktåtkomst till de fiskala systemen i tulldatabasen begränsas till de fall då åtkomsten behövs för att bekämpa allvarlig brottslig verksamhet.

Av integritetsskäl bör emellertid vissa begränsningar gälla för behandlingen av uppgifter i fiskala register i brottsbekämpande verksamhet. Direktåtkomst till de fiskala systemen i tulldatabasen skall enligt vårt förslag få användas endast för informationssökning avseende en viss person eller ett visst objekt samt för spärrläggning och liknande åtgärder i syfte att identifiera kontrollobjekt när det är påkallat i ett ärende. Det skall med andra ord inte vara tillåtet att med hjälp av urvalssystem fritt söka efter information i fiskala register för att ta fram intressant information. Vid spärrläggning e.d. skall inte heller uppgifter om fysiska personers identitet eller bosättning få användas.

Författningsförslag

1. Förslag till lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde m.m.

1 § Denna lag gäller vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 5–7 och 10 § samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer.

I 2 kap. finns särskilda bestämmelser om behandling av uppgifter i en tullbrottsdatabas.

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig det.

Förhållandet till personuppgiftslagen

3 § Om inte annat anges i 4 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).

4 § När personuppgifter behandlas enligt denna lag eller enligt andra föreskrifter i det ämne som regleras i lagen gäller personuppgiftslagens (1998:204) bestämmelser om

1. definitioner i 3 §,

2. förhållandet till offentlighetsprincipen m.m. i 8 §,

3. grundläggande krav på behandling i 9 § med undantag för vad som sägs i första stycket i och tredje stycket,

4. säkerheten vid behandling i 30–32 §§,

5. överföring av personuppgifter till tredje land i 33–35 §§,

6. personuppgiftsombud, m.m. i 36 § andra stycket och 38– 41 §§,

7. upplysningar till allmänheten om vissa behandlingar i 42 §,

8. tillsynsmyndighetens befogenheter i 43 och 47 §§, och

9. straff i 49 §. När personuppgifter behandlas på annat sätt än i tullbrottsdatabasen enligt 2 kap. gäller även 22 § personuppgiftslagen.

Ändamål

5 § Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1. förhindra eller upptäcka brottslig verksamhet som innefattar brott som Tullverket enligt lag eller förordning har befogenhet att ingripa mot,

2. utreda eller beivra brott som avses i 1,

3. fullgöra det arbete som åligger Tullverket enligt lagen (2000:1219) om internationellt tullsamarbete, eller

4. planera, följa upp och utvärdera verksamheten.

6 § Uppgifter får behandlas i Tullverkets brottsbekämpande verksamhet för tillhandahållande av information som behövs i författningsreglerad brottsbekämpande verksamhet hos andra myndigheter än Tullverket.

Personuppgiftsansvar

7 § Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför eller som det åligger verket att utföra, om inte annat framgår av särskild lag eller förordning. Mot-

svarande ansvar gäller för behandling av uppgifter om juridiska personer.

Behandling av känsliga personuppgifter

8 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är oundgängligen nödvändigt för syftet med behandlingen.

När personuppgifter behandlas i tullbrottsdatabasen gäller även bestämmelserna i 2 kap. 7 §.

Behandling av uppgifter om personer som inte är misstänkta för brott

9 § Uppgifter om en person som det inte finns någon misstanke om brott mot får behandlas endast om det genom särskild upplysning eller på annat sätt klart framgår att personen inte är misstänkt för brott.

Uppgifter om att en person kan antas ha samband med brottslig verksamhet skall dessutom förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

När personuppgifter behandlas i tullbrottsdatabasen gäller i stället bestämmelserna i 2 kap. 2–4 och 6 §§.

Gallring

10 § Uppgifter som behandlas automatiserat i ett ärende skall rensas eller gallras senast ett år efter det att ärendet har avslutats.

Uppgifter som inte kan hänföras till ett särskilt ärende skall i stället rensas eller gallras senast ett år efter att de behandlades automatiserat första gången.

Vad som anges i första stycket gäller inte uppgifter i förundersökningar och hindrar inte heller att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att andra uppgifter skall gallras vid en annan tidpunkt eller bevaras.

När personuppgifter behandlas i tullbrottsdatabasen gäller i stället bestämmelserna i 2 kap. 14–17 §§.

2 kap. Tullbrottsdatabasen

Databasens användningsområde

1 § I Tullverkets brottsbekämpande verksamhet skall det finnas en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 5 § angivna ändamålen (tullbrottsdatabas).

Innehåll

Personer om vilka uppgifter får behandlas i databasen

2 § För att förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer får Tullverket behandla uppgifter om personer som kan antas ha samband med sådan misstänkt brottslig verksamhet.

Uppgifter om en fysisk person som inte misstänks bedriva brottslig verksamhet skall förses med upplysning om att sådan misstanke saknas. Uppgifter om en fysisk person som misstänks bedriva brottslig verksamhet som endast innefattar brott för vilket är föreskrivet lindrigare straff än som anges i första stycket skall förses med upplysning om att misstanke endast avser sådan brottslig verksamhet.

Uppgifter om en fysisk person skall förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

3 § Tullverket får behandla uppgifter om personer som förekommer i ett ärende om utredning eller beivrande av brott.

Uppgifter om en fysisk person som inte är misstänkt för brott skall förses med upplysning om att sådan misstanke saknas. Någon upplysning behövs dock inte om det av sammanhanget klart framgår varför uppgifterna behandlas.

4 § Tullverket får, utöver vad som anges i 2 och 3 §§, behandla uppgifter om personer om det är nödvändigt för att fullgöra det

arbete som åligger Tullverket enligt lagen (2000:1219) om internationellt tullsamarbete.

5 § Uppgifter om personer skall behandlas på ett sådant sätt att det klart framgår om behandlingen sker med stöd av 2, 3 eller 4 §.

Uppgifter och handlingar som får behandlas i databasen

6 § Följande uppgifter får behandlas i databasen om förutsättningarna för behandling enligt 2–4 §§ är uppfyllda:

1. uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

2. uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,

3. upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,

4. de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,

5. uppgifter om särskilda fysiska kännetecken,

6. uppgifter om varor, brottshjälpmedel och transportmedel,

7. varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,

8. ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,

9. händelser och åtgärder i ett ärende, 10. uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete, samt

11. hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka uppgifter om en person som avses i 2– 4 §§ också förekommer.

Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får behandlas i databasen enligt första stycket.

7 § En handling som har kommit in till eller som upprättas av

Tullverket i ett ärende får behandlas i databasen. I en handling som kommit in till Tullverket får känsliga personuppgifter behandlas utan den begränsning som anges i 1 kap. 8 §.

Utlämnande av uppgifter på medium för automatiserad behandling

8 § Uppgifter och handlingar i databasen får lämnas ut på medium för automatiserad behandling till annan än en svensk myndighet endast om regeringen har meddelat föreskrifter om det eller om det behövs för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete.

För utlämnande av uppgifter och handlingar genom direktåtkomst gäller bestämmelserna i 9 och 10 §§.

Direktåtkomst

9 § Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Riksskatteverket, skattemyndigheterna och Kustbevakningen får i den brottsbekämpande verksamheten ha direktåtkomst till uppgifter som avses i 6 § om personer som anges i 2 och 3 §§.

Riksåklagaren, åklagarmyndigheterna och Ekobrottsmyndigheten får ha direktåtkomst till uppgifter och handlingar som avses i 6 och 7 §§ om personer som anges i 3 §.

Regeringen meddelar närmare föreskrifter om omfattningen av direktåtkomsten.

10 § En utländsk myndighet får ha direktåtkomst till uppgifter som avses i 6 § om personer som anges i 4 § om regeringen har meddelat föreskrifter om det eller om det är nödvändigt för att

Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete.

Sökbegrepp

11 § Vid sökning efter uppgifter som avses i 6 § får uppgifter om ras eller etniskt ursprung, politisk åsikt, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv användas som sökbegrepp endast om det är oundgängligen nödvändigt för syftet med behandlingen.

12 § Vid sökning efter en handling som avses i 7 § får endast följande uppgifter användas som sökbegrepp:

1. namn samt person- eller samordningsnummer,

2. datum då handlingen kom in eller upprättades,

3. diarienummer eller annan beteckning som har åsatts handlingen,

4. från vem handlingen har kommit in eller till vem den har expedierats, och

5. i korthet vad handlingen rör.

13 § Vad som anges i 11 och 12 §§ hindrar inte att regeringen meddelar föreskrifter om att andra sökbegrepp skall vara tillåtna efter att uppgifterna eller handlingarna har överlämnats till en arkivmyndighet.

Gallring

14 § Uppgifter som avses i 6 § om

1. en person som anges i 2 § skall gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes av en uppgift om att personen kan antas ha samband med misstänkt brottslig verksamhet,

2. en person som anges i 3 § skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades,

3. en person som anges i 4 § skall gallras när uppgifterna inte längre behövs för sitt ändamål.

15 § Handlingar som avses i 7 § skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades.

16 § Vad som anges i 14 och 15 §§ gäller inte uppgifter och handlingar i förundersökningar.

17 § Vad som anges i 14 och 15 §§ hindrar inte att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om att uppgifter och handlingar skall gallras vid en annan tidpunkt eller bevaras.

3 kap. Enskildas rättigheter

Information till den registrerade

1 § Vid tillämpningen av denna lag gäller bestämmelserna om information till den registrerade i 23 och 2527 §§personuppgiftslagen (1998:204), med den begränsning som anges i 2 §.

2 § Information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) behöver inte omfatta uppgift i en handling som avses i 2 kap. 7 §, om den enskilde har tagit del av handlingens innehåll.

Om den enskilde begär det skall dock informationen omfatta även uppgift i en sådan handling.

Om informationen inte innehåller en handling som avses i första stycket, skall det av informationen framgå att handlingen behandlas i databasen.

Rättelse och skadestånd

3 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller anslutande författningar.

Överklagande

4 § Tullverkets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

1. Denna lag träder i kraft den 1 januari 2004, då lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall upphöra att gälla.

2. Bestämmelser i lagen om grundläggande krav på behandling av personuppgifter samt behandling av känsliga personuppgifter skall inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats

före den 24 oktober 1998 eller manuell behandling som utförs för ett visst ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3. Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.

2. Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 5 kap. 1 § och 9 kap. 17 §sekretesslagen (1980:100) skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 kap.

1 §

Sekretess gäller för uppgift som hänför sig till

1. förundersökning i brottmål,

2. angelägenhet, som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3. verksamhet som rör utredning i frågor om näringsförbud,

4. åklagarmyndighets, polismyndighets, skattemyndighets, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott, eller

5. Finansinspektionens verksamhet som rör övervakning enligt insiderstrafflagen (2000:1086), om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. För uppgift som hänför sig till sådan underrättelseverksamhet som avses i 3 § polisdata- lagen (1998:622) eller som i annat fall hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terrorism gäller sekretess, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Detsamma gäller uppgift som hänför sig till sådan underrättelseverksamhet som avses i 2 § lagen

För uppgift som hänför sig till sådan underrättelseverksamhet som avses i 3 § polisdatalagen (1998:622) eller som i annat fall hänför sig till Säkerhetspolisens verksamhet för att förebygga eller avslöja brott mot rikets säkerhet eller förebygga terrorism gäller sekretess, om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas. Detsamma gäller uppgift som hänför sig till sådan underrättelseverksamhet som avses i 2 § lagen

(1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar samt sådan underrättelseverksamhet som avses i 2 § lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

(1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar samt sådan underrättelseverksamhet som bedrivs i Tullverkets brottsbekämpande verksamhet.

Sekretess enligt första och andra styckena gäller i annan verksamhet hos myndighet för att biträda åklagarmyndighet, polismyndighet, skattemyndighet, Tullverket eller Kustbevakningen med att uppdaga, utreda eller beivra brott samt hos tillsynsmyndighet i konkurs och inom exekutionsväsendet för uppgift som angår misstanke om att en gäldenär har begått brott som avses i 11 kap. brottsbalken eller annat brott som har samband med gäldenärens näringsverksamhet.

I fråga om uppgift i allmän handling som hänför sig till sådan underrättelseverksamhet som avses i andra stycket gäller sekretessen i högst sjuttio år. I fråga om uppgift i allmän handling i övrigt gäller sekretessen i högst fyrtio år.

9 kap.

17 §

Sekretess gäller för uppgift om enskilds personliga och ekonomiska förhållanden, om inte annat följer av 18 §

1. i utredning enligt bestämmelserna om förundersökning i brottmål,

2. i angelägenhet, som avser användning av tvångsmedel i sådant mål eller i annan verksamhet för att förebygga brott,

3. i angelägenhet som avser registerkontroll och särskild personutredning enligt säkerhetsskyddslagen (1996:627),

4. i åklagarmyndighets, polismyndighets, skattemyndighets, Statens kriminaltekniska laboratoriums, Tullverkets eller Kustbevakningens verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott,

5. i Statens biografbyrås verksamhet att biträda Justitiekanslern, allmän åklagare eller polismyndighet i brottmål,

6. i register som förs av Rikspolisstyrelsen enligt polisdatalagen (1998:622) eller som annars behandlas där med stöd av samma lag,

7. i register som förs enligt lagen (1998:621) om misstankeregister,

8. i register som förs av Riksskatteverket enligt lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9. i särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 15 kap. 1 §,

10. i register som förs av

Tullverket enligt lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas där med stöd av samma lag,

10. i register som förs enligt lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet eller som annars behandlas med stöd av samma lag,

om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider skada eller men.

Sekretess gäller i verksamhet, som avses i första stycket, för anmälan eller utsaga från enskild, om det kan antas att fara uppkommer för att någon utsätts för våld eller annat allvarligt men om uppgiften röjs.

Utan hinder av sekretessen får en skadelidande, eller den som den skadelidande överlåtit sin rätt till, ta del av en uppgift

1. i en nedlagd förundersökning eller i en förundersökning som avslutats med ett beslut om att åtal inte skall väckas,

2. i en annan brottsutredning som utförts enligt bestämmelserna i 23 kap. rättegångsbalken och som avlutats på annat sätt än med beslut att väcka åtal, med strafföreläggande eller med föreläggande av ordningsbot, eller

3. i en avslutad utredning enligt 31 § lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

om den skadelidande, eller den som den skadelidande överlåtit sin rätt till, behöver uppgiften för att kunna få ett anspråk på skadestånd eller på bättre rätt till viss egendom tillgodosett och det inte bedöms vara av synnerlig vikt för den som uppgiften rör eller någon närstående till honom att den inte lämnas ut.

Utan hinder av sekretessen får en uppgift också lämnas ut

1. till enskild enligt vad som föreskrivs i den särskilda lagstiftningen om unga lagöverträdare,

2. till enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har stöd i den lagen,

3. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (1998:622), lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar och i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar,

3. enligt vad som föreskrivs i lagen (1998:621) om misstankeregister, polisdatalagen (1998:622), lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar och i lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt i förordningar som har stöd i dessa lagar,

4. till enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångsbalken.

Utan hinder av sekretessen får polisen på begäran av en enskild som lidit person- eller sakskada vid en trafikolycka lämna uppgift om identiteten hos en trafikant som haft del i olyckan. I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Denna lag träder i kraft den 1 januari 2004.

3. Förslag till lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskrivs att 1 kap.1 och 4 §§ lagen (2001:85) om behandling av uppgifter i Tullverkets verksamhet skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §

Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling av uppgifter om juridiska personer.

Bestämmelserna i denna lag gäller inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

Med undantag för 4 § andra och tredje styckena gäller bestämmelserna i denna lag inte behandling av uppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. För sådan behandling finns det särskilda bestämmelser i lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

4 §

Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för

1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2. övervakning, revision och annan analys- eller kontrollverksamhet,

3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4. tillsyn, kontroll, uppföljning och planering av verksamheten.

Uppgifter får också behandlas för tillhandahållande av information som behövs i ett ärende hos Tullverket för att

1. förhindra eller upptäcka brottslig verksamhet som innefattar brott som avses i 1 kap. 5 § 1 lagen ( 2003:000 ) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och för vilket är föreskrivet fängelse i två år eller mer, och

2. utreda eller beivra brott som avses i 1 kap. 5 § 1 lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Regeringen meddelar närmare föreskrifter om behandlingen av uppgifter enligt andra stycket.

Denna lag träder i kraft den 1 januari 2004.

4. Förslag till förordning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Härigenom föreskrivs följande.

Definitioner

1 § Termer och uttryck i denna förordning har samma betydelse och tillämpningsområde som i lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Uppgifter som får behandlas i databasen

2 § Tullverket meddelar närmare föreskrifter om vilka uppgifter som får behandlas i tullbrottsdatabasen.

Uppgiftsskyldighet m.m.

3 § Uppgifter som är nödvändiga för att framställa rättsstatistik skall lämnas till den myndighet som ansvarar för att framställa sådan statistik.

4 § Tullverket skall på begäran av en myndighet som anges i 8 och 9 §§ lämna ut uppgifter och handlingar i tullbrottsdatabasen.

5 § I lagen (2000:1219) om internationellt tullsamarbete finns bestämmelser om utlämnande av uppgifter till utländska myndigheter och mellanfolkliga organisationer.

Utlämnande av uppgifter på medium för automatiserad behandling.

6 § Uppgifter och handlingar som med stöd av lagen (2000:1219) om internationellt tullsamarbete får lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, får lämnas ut på medium för automatiserad behandling.

7 § Uppgifter och handlingar som skall lämnas ut till en enskild som ett led i handläggningen av ett ärende, får lämnas ut på medium för automatiserad behandling.

Direktåtkomst

8 § Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Riksskatteverket, skattemyndigheter och Kustbevakningen får ha direktåtkomst till samtliga uppgifter som avses i 2 kap. 6 § lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

9 § Riksåklagaren, en åklagarmyndighet eller Ekobrottsmyndigheten får ha direktåtkomst till de uppgifter och handlingar som avses i 2 kap.6 och 7 §§ lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet och som förekommer i en förundersökning under ledning av en åklagare vid myndigheten.

10 § Direktåtkomst enligt 8 och 9 §§ skall vara förbehållen de personer inom myndigheterna som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna eller handlingarna.

Sökbegrepp

11 § Utan hinder av vad som anges i 2 kap.11 och 12 §§ lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet får uppgifter och handlingar i ärenden som varit avslutade i minst tjugofem år eftersökas vid en arkivmyndighet utan begränsningar i fråga om sökbegrepp.

Gallring av uppgifter och handlingar i ärenden som avser prövning av om förundersökning skall inledas

12 § Uppgifter och handlingar i ett ärende som avser prövning av om förundersökning skall inledas får behandlas även efter den tidpunkt som anges i 1 kap. 10 § samt 2 kap. 14 § 2 och 15 § lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Uppgifterna och handlingarna skall dock gallras senast vid utgången av det kalenderår då påföljd inte längre kan ådömas för de

brott som omfattades av prövningen av om förundersökning skall inledas.

Behandling av uppgifter om kvarstående misstankar

13 § Om en förundersökning har lagts ned på grund av bristande bevisning får uppgifter och handlingar i förundersökningen behandlas för andra ändamål än lagring endast

1. om det behövs för att förundersökningen skall kunna tas upp på nytt, eller

2. om uppgifterna och handlingarna behövs i en ny förundersökning.

14 § Om ett åtal har lagts ned eller om den misstänkte genom en lagakraftvunnen dom har frikänts får uppgifter och handlingar i förundersökningen behandlas för andra ändamål än lagring endast

1. om det behövs för att förundersökningen skall kunna tas upp på nytt,

2. om uppgifterna och handlingarna behövs i en ny förundersökning, eller

3. för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.

Riksarkivets föreskriftsrätt

15 § Riksarkivet får, efter samråd med Tullverket, meddela föreskrifter om att uppgifter och handlingar som skall gallras enligt 12 § eller enligt 1 kap. 10 § eller 2 kap.14 och 15 §§ lagen (2003:000) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet får gallras vid en senare tidpunkt eller bevaras.

Riksarkivet får föreskriva att uppgifter eller handlingar som undantas från gallring skall överlämnas till en arkivmyndighet.

Verkställighetsföreskrifter

16 § Tullverket får meddela närmare föreskrifter om verkställighet av bestämmelserna i lagen (2003:000) om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet och denna förordning.

Denna förordning träder i kraft den 1 januari 2004, då förordningen (2001:88) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall upphöra att gälla.

5. Förslag till förordning om ändring i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet

Härigenom föreskrivs att det i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet skall införas två nya paragrafer, 2 a och 4 a §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 a §

För det ändamål som anges i 1 kap. 4 § andra stycket lagen ( 2001:185 ) om behandling av uppgifter i Tullverkets verksamhet får uppgifter behandlas endast för att

1. söka efter information avseende en viss person eller ett visst objekt, eller

2. genom spärrläggning eller annat liknande förfarande identifiera kontrollobjekt när det är påkallat i ett ärende.

Vid behandling som avses i första stycket 2 får uppgifter om fysiska personers identitet och bosättning inte registreras i tulldatabasen.

4 a §

Uppgifter i tulldatabasen skall på begäran lämnas ut till de verksamhetsgrenar inom Tullverket som arbetar med brottsbekämpande verksamhet.

Denna förordning träder i kraft den 1 januari 2004.

BAKGRUNDEN TILL VÅRA FÖRSLAG

1. Uppdraget

1.1. Utredningens direktiv

Vårt uppdrag innebär bl.a. att vi skall följa genomförandet av lagstiftningen om register i Tullverkets brottsbekämpande verksamhet. Översynen skall göras med utgångspunkt från personuppgiftslagen (1998:204) och lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Nämnda lagstiftning har medfört att Tullverket fått ökade möjligheter att behandla personuppgifter. Dessutom har Tullverkets möjligheter att få tillgång till personuppgifter ökat genom Europeiska unionens tullinformationssystem (TIS). Eftersom dessa faktorer – jämte det förhållandet att registerlagstiftningen för de brottsbekämpande myndigheterna tillåter att de registrerade uppgifterna används av flera myndigheter – medför ökade risker för intrång i den enskildes personliga integritet, uttalas det i våra direktiv att det finns ett behov av att se över lagstiftningen. En utgångspunkt för utredningsarbetet skall vara att Tullverket ges förutsättningar att kunna lösa sina uppgifter och uppnå de mål som regeringen har ställt upp för Tullverkets arbete. En annan utgångspunkt skall vara att den personliga integriteten skyddas och värnas.

Bland de frågor som vi enligt direktiven har att utreda är om Tullverkets tulldatasystem (TDS) bör få användas i brottsbekämpande verksamhet. Vi skall vidare undersöka om Tullverket inom ramen för den gällande lagstiftningen kan uppfylla de åtaganden som Sverige gjort genom internationella avtal om tullsamarbete och lämna förslag till eventuella ändringar. Vi skall också se över de befintliga register som Tullverket antingen för eller har tillgång till samt sätta oss in i och granska det arbete som pågår inom Tullverket med att upprätta nya databaser och ärendehanteringssystem för den brottsbekämpande verksamheten och vid behov lämna förslag till ändringar.

En annan fråga som vi också skall undersöka är hur Tullverket, polisen, Kustbevakningen och eventuellt andra myndigheter bör samarbeta för att använda och införa information i de register som myndigheterna har tillgång till. Vi skall därvid beakta att samarbetet blir så effektivt som möjligt samtidigt som enskildas rätt till personlig integritet tillvaratas.

Direktiven i sin helhet framgår av bilaga 1.

1.2. Utredningsarbetet

Vårt arbete har bedrivits med målsättningen att anpassa bestämmelserna om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet till dels Europaparlamentets och rådets direktiv 95/46 EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) och personuppgiftslagens rättsliga ramar, dels verksamhetens behov av ett regelverk som främjar effektiviteten i det brottsbekämpande arbetet. En av de grundläggande utgångspunkterna för vårt arbete har varit att föreslå moderna, teknikoberoende och allmänt ändamålsenliga bestämmelser. Det har också varit ytterst väsentligt att den föreslagna lagstiftningen anpassas till en elektronisk ärendehandläggning. Särskild hänsyn har tagits till de integritetsaspekter som följer av omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet. En annan viktig utgångspunkt för vårt arbete har varit att våra förslag i möjligaste mån skall främja samverkan mellan de brottsbekämpande myndigheterna.

Från augusti 2001 t.o.m. oktober 2002 har tolv utredningssammanträden, varav ett tvådagars internatsammanträde, hållits. Som ett viktigt led i utredningsarbetet har också ett flertal studiebesök gjorts hos Tullverket. Sekretariatet har besökt olika regioner inom Tullverket under totalt sju dagar för att inhämta information om de olika register som används i dag och om vilka behov som kan förutses uppstå för det framtida datorbaserade arbetssättet. Syftet med studiebesöken har också varit att få insyn i och kunskap om hur det brottsbekämpande arbetet på de olika enheterna bedrivs.

Utredaren och sekretariatet har vidare mött företrädare för Tullverkets ledning samt företagit besök hos de myndigheter som samverkar med tullen såvitt avser informationsutbyte. Utredningen

har därvid träffat företrädare för Ekobrottsmyndigheten, Kustbevakningen, Polismyndigheten i Stockholm, Rikspolisstyrelsen, Riksskatteverket, Riksåklagaren och Skattemyndighetens i Stockholm skattebrottsenhet. Utredningen har även getts tillfälle att närvara vid ett av RIF-gruppens sammanträden. Syftet med besöken har främst varit att få kunskap om vilket behov av informationsutbyte med Tullverket som respektive samverkande myndighet har samt att få belyst hur informationsutbytet fungerar i praktiken och hur det kan förbättras.

Enligt direktiven skall vi bl.a. utreda om uppgifter i det datorsystem, som Tullverket använder i sin uppbördsverksamhet, även bör få användas i tullens brottsbekämpande verksamhet. Vi har med anledning härav bl.a. genomfört en enkätundersökning som vänt sig till generaldirektörerna i EU:s medlemsstaters tullorganisationer samt Norge och Island för att få information om hur arbetet med den brottsbekämpande verksamheten bedrivs i andra europeiska länder. Enkäten redovisas som bilaga 2.

Utredningsarbetet har bedrivits i nära samråd med våra experter. Vi har även samrått med Offentlighets- och sekretesskommittén (Ju 1999:06) och Polisdatautredningen (Ju 2000:01).

2. Tullverkets organisation och verksamhet

Tullverket utgör numera en myndighet. Grundläggande bestämmelser om organisationen finns i förordningen (1991:1524) med instruktion för Tullverket.

2.1. Tullverkets verksamhet

Tullverkets verksamhet är tudelad och verket har till uppgift att både bekämpa brott och tillse att en riktig uppbörd kan fastställas. I avsnitt 2.1.1 och 2.1.2 ges en kort redogörelse för Tullverkets verksamhet och tillämplig lagstiftning.

Tullverket har uppställt en målsättning som innebär att myndigheten skall verka för att kostnaderna för tullprocedurerna minimeras för såväl allmänheten och näringslivet som för Tullverket samt att verket skall tillhandahålla en god service för att i största möjliga utsträckning underlätta den legitima handeln med tredje land och se till att det legitima varuflödet inom Europeiska unionen inte hindras. Tullverkets utvecklingsarbete är därför inriktat på att möjliggöra en enkel gränspassage och ett effektivt gränsskydd liksom att erbjuda smidiga tullrutiner inom regelverkets ramar för utrikeshandeln. I samverkan med näringslivet och andra myndigheter söker tullen förbättra tullrutinerna för att nå största möjliga samhällsnytta och stärka svensk konkurrenskraft. I avsnitt 2.4 beskrivs Tullverkets utvecklingsarbete och samarbetsprojekt.

2.1.1. Brottsbekämpande verksamhet

Den brottsbekämpande verksamheten inom Tullverket har till uppgift att övervaka och kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor efterlevs.

Den lagliga regleringen av den brottsbekämpande verksamheten finns i lagen (2000:1225) om straff för smuggling. Lagstiftningen skiljer mellan smugglingsbrott, narkotikabrott och tullbrott. Smugglingsbrott gör den sig skyldig till som uppsåtligen överträder införsel- och utförselregleringar. Är det fråga om smuggling av narkotika benämns brottet narkotikasmuggling. Om det i stället handlar om en överträdelse av införsel- eller utförselregleringar på grund av oaktsamhet betecknas brottet som olovlig införsel eller olovlig utförsel. Uppsåtliga brott som avser undandragande av tull eller annan skatt eller avgift betecknas som tullbrott. Oaktsamma undandragandebrott benämns vårdslös tullredovisning.

Om det föreligger misstanke om att ett brott mot bestämmelserna om in- och utförsel av varor har begåtts, har Tullverket rätt att fatta beslut om att en förundersökning skall inledas. Så snart en person är skäligen misstänkt för det aktuella brottet skall ledningen av förundersökningen dock övertas av en åklagare, om saken inte är av enkel beskaffenhet.

Lagen jämställer i vissa hänseenden en tjänsteman vid Tullverket med en polisman och tullpersonalen har därför getts polisiära befogenheter. Tulltjänstemän har t.ex. i likhet med poliser rätt att ålägga en person att följa med till förhör, att ta med någon till förhör samt att gripa en person som är misstänkt för ett brott som Tullverket är skyldigt att beivra. Tulltjänstemän har också rätt att ta egendom i beslag under vissa förutsättningar liksom att föranstalta om husrannsakan, kroppsvisitation och kroppsbesiktning. Särskilda tullåklagare är knutna till tullkriminalenheten och dessa har rätt att väcka åtal om det handlar om ett brott enligt lagen om straff för smuggling och det är uppenbart att brottets straffvärde medför att påföljden skall stanna vid böter. Inom ramen för den brottsbekämpande verksamheten har Tullverket vidare rätt, enligt lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, att föra underrättelseregister och att i övrigt bedriva underrättelseverksamhet liksom att behandla uppgifter automatiserat i särskilda undersökningar, jfr vidare avsnitt 4.2, 5.1.2 och 5.1.3.

2.1.2. Fiskal verksamhet

När det gäller Tullverkets fiskala verksamhet är dess huvuduppgift att fastställa och uppbära tullar, mervärdesskatt och andra skatter samt avgifter så att en riktig uppbörd kan säkerställas.

Tullagen (2000:1281) innehåller de bestämmelser om uttag av tull och övriga regler som är tillämpliga på den fiskala verksamheten. Behandlingen av uppgifter i den fiskala verksamheten regleras i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

Det är klareringssektionerna vid tullregionerna som har till uppgift att se till att tull och andra avgifter erläggs på ett korrekt sätt. Till sin hjälp har de riskanalyssektioner, som har till uppgift att förse klareringssektionerna med information och analyser som kan ligga till grund för klareringsverksamheten. För att kunna kontrollera att deklarations- och uppgiftsskyldigheten enligt tullagstiftningen har fullgjorts på ett riktigt sätt har Tullverket rätt att besluta om revision hos den uppgiftsskyldige. Det är tullrevisorerna som genomför revisionerna. För det fall den reviderade under revisionen vägrar att samverka finns möjlighet för tullrevisorerna att utfärda vitesföreläggande och att vidta andra tvångsåtgärder enligt lagen (1994:466) om särskilda tvångsåtgärder i beskattningsförfarandet. Andra tvångsåtgärder som kan komma i fråga är husrannsakan och beslag enligt lagen om straff för smuggling eller rättegångsbalken. Det bör också framhållas att förfarandet med föreläggande vid vite inte får användas när det finns anledning att anta att den som skall föreläggas – eller ställföreträdaren om det handlar om en juridisk person – har begått brott och föreläggandet har samband med den gärning som brottsmisstanken avser. En särskild bestämmelse om detta har införts i tullagen för att förhindra att tullrevisorernas arbete kan komma i konflikt med artikel 6 i den europeiska konventionen av den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), jfr vidare avsnitt 9.1.3 och 12.5.4.

2.2. Organisationen i stort

I samband med Sveriges anslutning till Europeiska unionen skedde stora förändringar för Tullverkets vidkommande då en mängd nya regler infördes. För att stödja och få maximal effekt av förändringsarbetet skapade Tullverket därför en ny organisation. Den 1 mars 1999 omvandlades Tullverket till en myndighet och en ny processorienterad verksamhetsindelning infördes.

Tullverket består av ett huvudkontor och sex regioner. Huvudkontoret har det övergripande strategiska verksamhetsansvaret medan regionerna ansvarar för de operativa arbetsuppgifterna. Såväl den centrala som den regionala organisationen är processorienterad och har samma organisatoriska uppbyggnad. Tullverkets verksamhet kan delas in i olika processtyper, t.ex. ledningsprocesser, administrativa processer och operativa processer. De operativa processerna utgör verkets kärnverksamhet och består av processerna effektiv handel, gränsskydd, analys och brottsutredning. Processen effektiv handel har till uppgift att hantera den legala kommersiella trafiken medan gränsskyddets uppgift är att förhindra den illegala trafiken. Genom processen brottsutredning utreds misstankar om brott medan processen analys innefattar inhämtande, bearbetande och delgivning av information (se bilaga 3).

2.2.1. Den centrala organisationen

Den centrala organisationen ansvarar för den strategiska ledningen, policy- och normgivningsfrågor samt administration. Inom organisationen finns det funktioner för att hantera ledningsprocesser, administrativa processer och stöd för de operativa processerna.

Tullverket leds av generaltulldirektören, som tillsammans med överdirektören bildar verksledningen. Tullverkets ledningsgrupp består av verksledningen och de fyra centrala avdelningscheferna.

Huvudkontoret består av fem fristående enheter och fyra avdelningar, vilka är direkt underställda generaltulldirektören. De fristående enheterna och avdelningarna är organisatoriskt sidoordnade varandra.

De fristående enheterna består av verkssekretariatet, juridiska enheten, internrevisionsenheten, enheten för internationell samordning och information samt kvalitetsenheten.

Verkssekretariatet är en stödfunktion till verksledningen och svarar för samordning av övergripande frågor och utför utredningsuppdrag.

Den juridiska enheten leds av verkets chefsjurist. Enheten svarar bl. a för juridisk granskning samt för den formella utformningen av Tullverkets föreskrifter. Härutöver hanterar enheten skadeståndsfrågor och personalansvarsärenden samt tillhandahåller juridisk konsultation.

Internrevisionsenheten har till uppgift att utvärdera Tullverkets måluppfyllelse och kontrollsystem vad avser verksamhetens effektivitet, ändamålsenlighet och kvalitet. Enhetens arbete sker i enlighet med förordningen (1995:686) om intern revision vid statliga myndigheter m.fl. samt Riksrevisionsverkets föreskrifter och allmänna råd.

Enheten för internationell samordning och information arbetar med strategiska frågor inom marknadsföring (information, image och attityder) samt samordning av internationellt arbete.

Kvalitetsenheten ansvarar för kvalitetsutvecklingsfrågorna i Tullverket samt för förvaltning och utveckling av den interna kvalitetsmodellen.

Huvudkontorets avdelningar är IT-avdelningen, utvecklingsavdelningen, produktionsavdelningen och ekonomi- och personalavdelningen.

IT-avdelningen är belägen i Luleå men tillhör organisatoriskt huvudkontoret. Avdelningen svarar för teknisk utveckling, teknisk förvaltning och drift av verkets IT-system. Avdelningen består av flera enheter.

Utvecklingsavdelningen ansvarar för Tullverkets utvecklings- och projektverksamhet i syfte att långsiktigt förbättra verkets verksamhet. Avdelningen svarar vidare för utveckling av fungerande arbetsmetoder och arbetsformer för produktion, adminstration och utvecklingsarbete. Utvecklingsavdelningen är indelad i tre enheter; en IT- och teknikutvecklingsenhet, en verksamhetsutvecklingsenhet och en projektledningsenhet.

Produktionsavdelningens uppgift är att svara för normgivning och policy för den operativa verksamheten liksom för de operativa processerna och för verksamhetsdialogen med regionerna. Avdelningen indelas i en processägarfunktion och fyra enheter; en

företagsenhet (effektiv handel), en gränsskyddsenhet, en analysenhet och en brottsutredningsenhet. Till avdelningen hör även tullaboratoriet.

Ekonomi- och personalavdelningen svarar för ekonomi- och personalfrågor, vissa servicefunktioner samt Tullskolan. Avdelningen är organisatoriskt indelad i fyra enheter; ekonomi-, personal- och serviceenheterna samt Tullskolan.

2.2.2. Den regionala organisationen

Tullverkets regionala organisation består av sex regioner med vardera flera tullexpeditioner – Övre Norrlandsregionen, Nedre Norrlandsregionen, Mälardalsregionen, Östersjöregionen, Skåneregionen samt den Västsvenska regionen. Regionkontor finns i Haparanda, Sundsvall, Stockholm, Karlshamn, Malmö och Göteborg.

En region leds av en tulldirektör och består av sex enheter; en planerings- och utvecklingsenhet, en analysenhet, en företagsenhet, en gränsskyddsenhet, en tullkriminalenhet samt en ekonomi- och personalenhet.

Planerings- och utvecklingsenheten består av fem funktioner; processfunktionen, utvecklingsfunktionen, marknadsföringsfunktionen, IT-funktionen och den juridiska funktionen.

Analysenheten består av en beredningsfunktion samt en underrättelse- och en riskanalyssektion. Beredningsfunktionen ansvarar för att den inkommande informationen sorteras och värderas samt överlämnas till rätt mottagare. Beredningsfunktionen har också till uppgift att genomföra en källgranskning av informationen, varvid dess sakriktighet och tillförlitlighet värderas. Underrättelsesektionens uppgift är att bearbeta och analysera informationen för att därefter delge de operativa enheterna sitt resultat i form av underrättelser rörande misstänkt brottslighet. Målsättningen för sektionens arbete är att medverka till att tullen uppnår bättre träffsäkerhet i arbetet med att bekämpa den grova brottsligheten. Sektionen svarar även för samarbetet med näringsliv och organisationer i kampen mot narkotika genom samarbetsavtal, s.k. MOU-avtal (memorandum of understanding). Riskanalyssektionens uppgift är att analysera information avseende företag, varuströmmar och liknande i syfte att ge de operativa enheterna ett underlag för en effektiv klareringsverksamhet. Riskanalyssektio-

nens arbete är alltså inriktat mot effektiv handel medan underrättelsesektionen arbetar mot tullens brottsbekämpande verksamhet.

Företagsenheten (effektiv handel) består av en operativ planeringsfunktion samt de tre sektionerna tullinformations- och kvalitetssäkringssektionen, klareringssektionen och tullrevisionssektionen. Den operativa planeringsfunktionens uppgifter består i planering, samordning och uppföljning av företagsenhetens verksamhet. Tullinformations- och kvalitetssäkringssektionen ansvarar för information till näringslivet, hjälp med kvalitetssäkring av företagens tullrutiner, tillståndshantering, tillståndsrevision och kvalitetsundersökningar. Klareringssektionen har till uppgift att svara för all klareringsverksamhet, omprövningsärenden och styrda kontroller i det kommersiella godsflödet, såsom t.ex. varuundersökningar. Tullrevisionssektionen genomför revision hos importörer, exportörer och speditörer samt eftergranskning av deklarationer. Sektionen utför också utredningar avseende ursprungsfrågor.

Gränsskyddsenheten består av en operativ planeringsfunktion och en gränskontrollsektion, vilken även omfattar punktskattekontroll, samt en spaningssektion. Den operativa planeringsfunktionen har till uppgift att svara för planering, samordning och uppföljning av kontroll- och spaningsaktioner samt regeltolkning. Gränskontrollsektionens uppgift är att genomföra fysiska kontroller av gränstrafiken. Kontrollerna består i resandekontroll, kontroll av transportmedel samt punktskattekontroller. Sektionen svarar vidare för de särskilda uppgifter som åligger Tullverket i form av jakt- och fisketillsyn och liknande. Spaningssektionens uppgift är att svara för målinriktad övervakning och eftersökning av transportmedel, personer och gods vid misstanke om grov brottslighet. Sektionen deltar även i förundersökningsarbetet i samarbete med Tullkriminalenheten.

Tullkriminalenheten består av en utredningssektion för gränsskydd, vilken har till uppgift att utreda brott avseende illegal införsel av varor och en ekoutredningssektion som utreder brott som skett i det legala varuflödet, t.ex. ekobrott. Sektionen bedriver även verksamhet för förebyggande av ekonomisk brottslighet. Tullverkets åklagare är organisatoriskt knutna till tullkriminalenheten.

Ekonomi- och personalenheten består av en personalsektion och en ekonomisektion och ansvarar för ekonomi, personal och därmed sammanhängande frågor.

2.2.3. Föreslagna och planerade förändringar

I ett nyligen avslutat projekt har ett förslag till organisationsförändringar lagts fram med följande innebörd. Den framtida inriktningen av Tullverkets arbete är att basera all gränsskyddsverksamhet på analys, underrättelse, kunskapsbaserade kontroller etc. Samtliga verksamhetsdelar i Tullverket har bedömts ha ett analys- och underrättelsebehov. En del av Tullverkets analysbehov kan beskrivas som riskhantering, dvs. kartläggning och analys av svagheter och brister i olika system och flöden samt vilka risker Tullverket som organisation utsätts för eller vållar. Riskhantering går i korthet ut på att identifiera risker och föreslå åtgärder för att reducera eller eliminera dessa. Det föreslås därför att analysarbete inom brottsbekämpningen har just brottsbekämpning som avgränsning medan riskhantering/riskanalys har en för Tullverket övergripande roll.

Projektet föreslår att det skapas en ny process, benämnd ”Brottsbekämpningsprocessen”, i vilken de nuvarande processerna Gränsskydd, Analys och Brottsutredning skall ingå. Även tullrevisionssektionen, som för närvarande organisatoriskt tillhör Effektiv handel, bör enligt projektet ingå i den nya brottsbekämpningsprocessen. Brottsbekämpningsprocessen skall ledas av en person som har det totala ansvaret för varje del av Tullverkets brottsbekämpning. Denna person skall även förfoga över resurser för nationell ledning och samordning, vars främsta uppgift är att samordna brottsbekämpningsverksamheten. För att fokusera på trafikflöden föreslås att brottsbekämpningen delas in i nationella insatsområden. Inom ett insatsområde skall det finnas egen kompetens för brottsbekämpning ”från ax till limpa”, vilket innebär såväl underrättelse som gränsskydd och brottsutredning. Projektets förslag är att de olika insatsområdena skall delas in efter de huvudsakliga trafikflöden, som tullen har att övervaka. Det finns ett behov av flexibla resurser (rörlig kontroll och yttre underrättelsetjänst), vilka inte är speciellt avsedda för något av insatsområdena. Dessa skall sortera under den nationella ledningsfunktionen som samordnar alla aktiviteter.

Det föreslås vidare att en riskhanteringsavdelning skall inrättas och att avdelningen skall ha övergripande ansvar för bl.a. analysmetodfrågor. All verksamhet skall bedrivas analysbaserat.

2.3. De operativa processerna

2.3.1. Effektiv handel

Processen effektiv handel syftar till att hantera den legala kommersiella godstrafiken och omfattar händelser från det att ett företag fattar beslut om att importera, exportera eller transitera en vara till dess att rätt tull och skatt har betalats till staten. En av Tullverkets primära uppgifter är att i egenskap av beskattningsmyndighet uppbära tull, annan skatt och avgifter åt EU och staten. Av benämningen effektiv handel framgår att en av verkets viktigaste uppgifter är att underlätta handeln med andra länder genom att snabbt och effektivt handlägga frågor om bl.a. uttag av tullar och skatter samt kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel, licenser och kvoter m.m. efterlevs.

Processen består av tre övergripande arbetsflöden – import, export och transit. Den startar med överväganden hos företaget att importera, exportera eller transitera varor och avslutas när Tullverket har levererat rätt uppbörd, avlämnat korrekta statistikuppgifter till Statistiska Centralbyrån eller när en transitering avslutats. I vissa fall avslutas processen först då en brottsanmälan har gjorts.

Processen effektiv handel kan indelas i ett antal delprocesser; förebyggande verksamhet, initialkontroll, omprövning, uppbörd, efterkontroll och utbildning.

2.3.2. Gränsskydd

Verksamheten inom processen gränsskydd har till uppgift att hindra överträdelser av gällande import- och exportrestriktioner och därigenom skydda samhället mot illegal handel av t.ex. hälsovådliga varor som narkotika. Härutöver tillkommer uppgiften att företräda norsk och finsk tullmyndighet enligt ett gränstullsamarbetsavtal länderna emellan samt att för andra myndigheters

räkning medverka i olika bevakningsuppgifter inom jakt- och fiskeövervakning, fjällräddning, militär bevakning och utlänningskontroll. Såvitt avser tullkontroll till sjöss och informationsutbyte avseende fartygstrafikens rörelser sker verksamheten i nära samarbete med Kustbevakningen. I narkotikabekämpningen är samverkan med polisen av stor betydelse.

Gränsskyddet har till uppgift att medverka till att den legala handeln kan bedrivas utan risk för att utsättas för illojal konkurrens och att minska riskerna för att människors liv och hälsa utsätts för fara orsakad av grov kriminalitet eller av hälsofarliga ämnen. Av regeringens regleringsbrev för budgetåret 2002 avseende Tullverket framgår att tullkontroller beträffande narkotikasmuggling skall ges högsta prioritet och effektiviseras för att förhindra storskalig illegal införsel av narkotika samt att målet är att mängden beslagtagen narkotika skall öka samtidigt som Tullverkets aktiviteter i preventivt syfte skall ha minst samma omfattning som tidigare. Det föreskrivs vidare att kontroller för förhindrande av omfattande illegal införsel av alkohol och tobak skall ges hög prioritet.

Arbetet inom processen gränsskydd är huvudsakligen initiativstyrt. Det innebär att urval av kontrollobjekt sker med utgångspunkt från tillgänglig underrättelseinformation, tillgängliga personalresurser eller vid direkt misstanke på plats. Målsättningen för verksamheten är att i huvudsak använda resurserna mot objekt som kan förväntas ge resultat i form av beslag, samtidigt som kontrollerna även skall ha preventiv effekt. Syftet är att verksamheten skall bli mera kostnadseffektiv samtidigt som störningarna i trafikflödet kan minimeras. Under år 2000 uppgick antalet narkotikabeslag till ca 2 900. Beslagen av alkohol uppgick under samma tidsperiod, omräknat till drickfärdig mängd, till en miljon liter. Antalet beslag av narkotika och dopningsmedel uppgick under år 2001 till 3 545. Ca 500 000 liter drickfärdig sprit beslagtogs under år 2001.

Gränsskyddsverksamheten har en tydlig inriktning mot att skapa samhällsnytta. Verksamhetens samhällsekonomiska värde (samhällsnyttovärde) beräknas under år 2000 ha uppgått till ca 1 miljard kronor, baserat på beräkningsmodellen i betänkandet En gräns – en myndighet? (jfr SOU 1998:18 s. 94 ff.). År 2001 uppgick motsvarande värde till närmare 800 miljoner kronor.

Processen gränsskydd indelas i delprocesserna förebyggande verksamhet, analys, fysisk kontroll vid yttre och inre gräns, punktskattekontroll, brottsutredning och utbildning.

2.3.3. Analysprocessen

Analysprocessens huvuduppgift är att bedriva underrättelse- och analysverksamhet och att ge analysstöd till processerna effektiv handel och gränsskydd. Arbetet syftar till att Tullverkets åtgärder – i form av fysiska kontroller, deklarationskontroller, tullrevision och informationsinsatser – primärt skall sättas in inom de områden eller på de trafikflöden där risken för fel eller överträdelser är störst. Identifierade risker och hot delges de båda processerna i syfte att dessa skall kunna ges möjlighet att på ett effektivt sätt kunna bemöta och förebygga eventuella hot. I arbetet med att samla in relevant information har Tullverkets analysverksamhet ett nära samarbete med nationella och internationella myndigheter och organisationer. Verket har dessutom ett antal sambandsmän stationerade i Europa. Analysprocessen har till uppgift att identifiera Tullverkets underrättelsebehov. Verkets hotbild analyseras fortlöpande varje år. Hotbilden ligger därefter till grund för beslut om verkets inriktningar och prioriteringar för kommande år.

Ett av analysprocessens uppdrag är att, i samråd med övriga processer, årligen utarbeta hotbildsanalyser både centralt och regionalt. Inom ramen för denna hotbildsanalys identifieras hot vars förekomst nu eller i en nära framtid inverkar negativt på Tullverkets förmåga att upprätthålla in- och utförselrestriktioner eller att inbringa rätt uppbörd. Analysen skall också innehålla förslag på konkreta åtgärder för att motverka eller förebygga hoten. Syftet med hotbildsanalysen är primärt att den skall utgöra ett relevant beslutsunderlag vid prioritering och verksamhetsinriktning. De regionala hotbildsanalyserna bildar underlag till en centralt framtagen hotbildsanalys, vilken i sin tur ligger till grund för verksamhetsplaneringen.

2.3.4. Brottsutredande verksamhet

Tullverket utreder brott som upptäckts i det gränsöverskridande resande- och varuflödet. Processen brottsutredning har också till uppgift att se till att åklagare och domstolar har tillräckligt underlag för att kunna göra en rättssäker bedömning av påföljdsfrågan. De brott som utreds är främst smugglingsbrott,

narkotikasmuggling och ekobrott inom tullens ansvarsområde (tullbrott).

Smugglingsbrott begår den som för in eller ut en vara i strid mot förbud eller speciella villkor genom att uppsåtligen eller av grov oaktsamhet låta bli att deklarera den för tullen, deklarera den med felaktiga uppgifter eller låta bli att lämna föreskrivna uppgifter vid tullbehandlingen. Den som för med sig narkotika döms för narkotikasmuggling.

Tullbrott begår den som för in eller ut en vara som i sig är tillåten att importera eller exportera och uppsåtligen eller av grov oaktsamhet låter bli att deklarera den för tullen, deklarerar den med felaktiga uppgifter eller låter bli att lämna nödvändiga uppgifter vid tullbehandlingen och därvid förorsakar att staten löper risk att gå miste om tull, andra skatter eller avgifter.

Antalet stora och komplicerade utredningar har ökat, t.ex. avseende smuggling av alkohol och tobak, och de har ofta internationell anknytning, vilket ställer krav på snabba och effektiva kontakter med utländska tullmyndigheter. Utredningarna leder ofta till att redan omfattande ärenden växer till att bli ännu mer omfattande. Det är därför av vikt att samarbetet fungerar med andra brottsbekämpande nationella myndigheter för att åstadkomma ett gott utredningsarbete. Tendensen är att de smugglingsbrott som upptäcks och utreds i allt större utsträckning är grova brott där personer anhålls och häktas under brottsutredningen. Under år 2000 uppgick antalet upptäckta brott inom den brottsutredande verksamheten till totalt 13 432, varav brottsutredning inleddes i 5 753 fall. I de resterande fallen utfärdades antingen strafföreläggande eller ordningsbot. År 2001 uppgick antalet upptäckta brott till 12 199 och i 6 117 av dessa fall inleddes brottsutredning. I cirka hälften av brottsutredningarna fungerade en åklagare som förundersökningsledare. Det innebär att en åklagare leder förundersökningen och anlitar biträde av en tjänsteman vid tullkriminalen för undersökningens verkställande.

2.4. Tullverkets utvecklingsarbete och samarbetsprojekt

Gemensamt för Tullverkets utvecklingsprojekt är att de skall befrämja ett systematiskt kvalitetstänkande och ett elektroniskt informationsflöde, effektivisera verksamheten och möjliggöra att

Tullverkets vision uppfylls och att en effektivare och mer konkurrensneutral utrikeshandel för näringslivet uppnås. Ett viktigt steg för att uppfylla visionen är att göra Tullverket till en elektronisk förvaltning med service dygnet runt. Tullverket bedriver ett omfattande utvecklingsarbete både såvitt avser gränsskyddsverksamheten och effektiv handel.

Sedan år 1992 har det varit möjligt att avge tulldeklarationer på elektronisk väg genom tulldatasystemet (TDS). TDS bygger på ett elektroniskt uppgiftslämnande, electronic data interchange (EDI). TDS kan idag ta emot ca 100 000 transporterade meddelanden per dygn. För närvarande lämnas ca 80 procent av tulldeklarationerna på elektronisk väg och ungefär 60 procent av den totala ärendemängden hanteras helt automatiskt. Tullverkets målsättning är att ärendeflödet skall vara helt elektroniskt och att 95 procent av alla ärenden skall hanteras automatiskt senast år 2003. TDS är och kommer också att under den närmaste framtiden vara det stora systemet för hantering av Tullverkets ärenden. Planer finns dessutom på att det även skall bli möjligt att avge deklarationer med hjälp av Internet (web-EDI). Projektet kallas för TIDprojektet –Tulldeklaration via Internet. Den gällande lagstiftningen möjliggör en sådan deklarationshantering, varför en lagändring inte krävs.

Av regleringsbrevet för år 2002 framgår att Tullverket har till uppgift att, genom utnyttjandet av befintlig teknik och genom en utökad användning av Internet, göra det attraktivt för företagen att avlämna tulldeklarationer på elektronisk väg. Till följd härav pågår ett intensivt utvecklingsarbete inom Tullverket.

Utvecklingsarbete inom processen effektiv handel

Av Tullverkets omfattande utvecklingsarbete inom effektiv handel bör särskilt tre projekt omnämnas och det är Taric-on-line, Servicetrappan och e-tull.

För att öka servicenivån gentemot företagen har Tullverket som en åtgärd lagt ut EU:s tulltaxa (Taric) på Internet, vilket innebär att företagen får tillgång till en ständigt uppdaterad version med information om bl. a import- och exportbestämmelser, varukoder och valutakurser.

Servicetrappan är ett tullsystem för service, god kvalitet och effektiva tullrutiner och bedrivs inom ramen för TDS. Systemet

togs i bruk den 1 mars 2002. Idén bygger på att företagen sätts i centrum och syftar till att företagen skall komma i åtnjutande av en förenklad tullhantering genom att tulldeklarationerna lämnas i form av elektroniskt överförda uppgifter, s.k. elektroniska dokument, i stället för att lämnas på papper. Efter att en kvalitetssäkring har genomförts av företaget certifieras detta för en förenklad tullhantering, vilket leder till minskade kostnader för företagen och snabbare flöde av varor, vilket i sin tur förväntas öka de svenska företagens konkurrenskraft. Tanken är att systemet skall innebära besparingar för både tullen och näringslivet, eftersom Tullverkets resurser härigenom frigörs och i stället kan användas för effektivare kontroller riktade mot dem som medvetet överträder reglerna. Rent praktiskt bygger systemet på förebyggande arbete och samarbete mellan Tullverket och näringslivet, varvid operatörerna väljer önskad nivå av service och förenkling i fem olika steg. Inledningsvis är alla operatörer placerade på de två första stegen och de kan därefter ansöka om att avancera i Servicetrappan. Tanken är att god kvalitet skall löna sig, vilket innebär att ju större ansvar operatören tar för kvaliteten i sin tullhantering, desto enklare tullhantering kan Tullverket erbjuda. För uppflyttning till steg tre, fyra eller fem i Servicetrappan krävs att operatören tillsammans med Tullverket låter kvalitetssäkra sina tullrutiner och lämnar uppgifter elektroniskt till Tullverket. Kvalitetssäkringen sker i enlighet med ett fastställt kvalitetssäkringsprogram. För inplacering på steg fyra krävs att operatören kvalitetssäkrar alla tullrutiner. Steg fem i Servicetrappan är reserverad för certifiering av operatörer på internationell nivå. Kontroll sker genom det förebyggande arbetet med kvalitetssäkring, fortlöpande kvalitetsrevision och regelbundna kontakter, vilket ger operatören en större möjlighet att göra rätt från början.

För att kunna uppnå de smidiga tullrutiner som är en av huvudtankarna med Servicetrappan pågår för närvarande utvecklingsarbete inom Tullverket i syfte att kunna erbjuda tulltjänster via Internet. Det nya konceptet kallas e-tull – det virtuella tullkontoret – och innefattar alla tjänster som kan nås vid ett traditionellt tullkontor samt en rad nya elektroniska tjänster, såsom möjlighet att tulldeklarera via Internet (WEB-EDI), contact/callcentertjänster samt en rad nya interaktiva Internettjänster för t. ex information, prenumeration, nyheter och statistik. Vidare kommer en rad interaktiva kommunikationstjänster att utvecklas. Målsättningen är att kundkanalen, det virtuella tullkontoret, skall ge alla

kundgrupper tillgång till Tullverkets och angränsande myndigheters relevanta tjänster med en spännvidd från allmän basservice via personliga sidor till direkt personlig on-line kontakt med en tjänsteman. Kundkanalerna skall vara ständigt tillgängliga och ha ett enkelt och lättillgängligt gränssnitt.

Utvecklingsarbete inom processen gränsskydd

För att förbättra urvalet av objekt i den fysiska kontrollverksamheten och för att träffsäkerheten skall öka pågår ett kontinuerligt arbete inom Tullverket med att vidareutveckla och förbättra urvalsmetoderna samt analys- och underrättelseverksamheten. Härigenom söker man även minska risken för störningar i såväl det legala varuflödet som personers fria rörlighet. Arbetet med hotbildsanalyser är av central betydelse för att kunna identifiera hot, vars förekomst i dagsläget eller i en nära framtid kan komma att inverka negativt på tullens förmåga att upprätthålla in- och utförselrestriktioner eller att inbringa rätt uppbörd.

För att förhindra omfattande illegal införsel av alkohol och tobak drivs ett samverkansprojekt där Tullverket, polis, åklagare, Ekobrottsmyndigheten och skattemyndigheterna har till uppgift att kartlägga införsel, distribution och försäljning av illegalt införd alkohol och tobak. I sammanhanget kan också nämnas att Tullverket och Kustbevakningen av regeringen fått i uppdrag att gemensamt ta fram ett system för riskanalyser, baserat på underrättelser och brottsmisstankar som kan vara styrande för kontrollverksamhetens utformning.

Flera utvecklingsprojekt pågår med syfte att förbättra och utveckla det brottsbekämpande arbetet. Några av dess projekt är:

N Sniffers – som eventuellt kommer att resultera i ett nytt

tekniskt hjälpmedel för narkotikakontroller N Fordonsvisitationssystem – som söker finna metoder för

effektivare fordonskontroller N Stoppa fordon – som undersöker möjligheter att minska

risker för smitning i samband med tullkontroller N Tobakshund – som ser över möjligheten att använda

hundar för att finna tobak N Mobil terminal – som syftar till att möjliggöra ett terminal-

stöd on-line och registeråtkomst för personal ute på fältet

N IT-stöd i brottsutredning – som syftar till att utveckla ett

nytt IT-stöd för brottsutredning med bl.a. ärendehanteringssystem, jfr avsnitt 6.3 N Bevis och spårsäkring – som syftar till en ökad användning

och kompetens avseende teknisk bevisning i tullens brottsutredningar.

Samarbete med näringslivet

EU:s regelverk om import och export av varor är mycket omfattande och komplicerat och medför betydande kostnader för näringslivet. Tullverket har genomfört en undersökning tillsammans med näringslivet, varvid den årliga kostnaden för de svenska utrikeshandelsföretagen beräknades uppgå till ca 2,5 miljarder kronor. För att söka minimera dessa kostnader prioriterar tullen frågor om förenkling och förbättring av tullrutinerna. Tullverket bedriver ett nära samarbete med näringslivet och samverkar med företagen och olika intresseorganisationer.

Internationellt samarbete

Internationellt samarbete är sedan länge ett prioriterat område i Tullverkets verksamhet. Förutom att Tullverket bistår Regeringskansliet i det omfattande arbetet i kommittéer och arbetsgrupper inom ramen för EU, deltar verket i arbetet i World Customs Organisation (WCO), ASEM och Östersjösamarbetet liksom i olika internationella program, såsom t.ex. benchmarkingprojekt (benchmarking innebär att lära av andra och att söka lösningar som visat sig vara särskilt framgångsrika i andra organisationer, näringsliv eller offentlig förvaltning, såväl nationellt som internationellt). Vidare har Sverige ingått ett flertal bi- och multilaterala avtal avseende ömsesidigt bistånd, vilka har stor betydelse för det internationella tullsamarbetet.

3. Övergripande rättslig reglering av behandling av personuppgifter

Från och med den 24 oktober 1998 regleras den grundläggande ramen för behandling av personuppgifter i personuppgiftslagen (1998:204), som därigenom ersatte datalagen (1973:289). Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Detta kapitel innehåller en kortfattad genomgång av vissa internationella överenskommelser jämte dataskyddsdirektivet samt en redogörelse för personuppgiftslagens bestämmelser. Härutöver behandlas artikel 8 i den europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna – Europakonventionen – (SFS 1994:1219) jämte artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Båda artiklarna behandlar skyddet av personuppgifter.

3.1. Dataskyddskonventionen

Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i Europakonventionen. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna. Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska

unionen har i princip övertagits av dataskyddsdirektivet i och med att detta införlivats i medlemsländernas nationella lagstiftningar.

Utöver dataskyddskonventionen har Europarådet tagit fram rekommendationer om dataskydd sektorsvis, bl.a. en rekommendation som reglerar användningen av personuppgifter inom polissektorn (Recommendation No. R (87) 15). Rekommendationen behandlas under avsnitt 7.1.1.

3.2. Riktlinjer från OECD

Internationella riktlinjer i fråga om integritetsskydd och persondataflöde över gränserna har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Riktlinjerna är från 1980. Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebar att OECD slog fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.

3.3. Dataskyddsdirektivet

Syftet med dataskyddsdirektivet är att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter.

Dataskyddsdirektivet måste införlivas i lagstiftningen på nationell nivå för att bli direkt tillämpligt i en medlemsstat. Medlemsstaterna kan inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.

3.3.1. Tillämpningsområde

Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte av direktivet. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk.

3.3.2. Bestämmelser om när personuppgifter får behandlas

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Här kan nämnas att uppgifter får behandlas i första hand efter att den registrerade otvetydigt har lämnat sitt samtycke, men också om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige eller för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Personuppgifter får även behandlas om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om undantag från förbudet. Behandling av uppgifter om lagöverträdelser och brottmålsdomar m.m. får utan särskilt stöd i

nationell lagstiftning utföras endast under kontroll av en myndighet.

3.3.3. Information och rättelse m.m.

Dataskyddsdirektivet föreskriver att den registeransvarige skall informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige däremot inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade.

Direktivet innehåller även regler om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder skall den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

3.3.4. Anmälan till tillsynsmyndighet

I direktivet föreskrivs ett relativt omfattande anmälningsförfarande till en tillsynsmyndighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får föreskrivas, dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett ett uppgiftsskyddsombud (personuppgiftsombud).

3.3.5. Överföring av personuppgifter till tredje land

Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter till ett land utanför EU eller Europeiska ekonomiska samarbetsområdet får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som

är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som skall behandlas och ändamålet med behandlingen.

3.4. Europakonventionen

I artikel 8 stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Hans Danelius (se nedan) anför angående artikel 8 följande: Kravet att ett ingripande skall vara nödvändigt innebär att det skall föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. Åtgärden får dock inte gå längre än vad som är erforderligt med beaktande av proportionalitetsprincipen. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser göra de avvägningar i bevis- och andra bedömningsfrågor, vilka läggs till grund för ett ingripande.

Primärt innebär artikel 8 att staten skall avhålla sig från ingrepp i den skyddade rättigheten, utom i de fall som omfattas av de i artikeln föreskrivna undantagen. Artikelns räckvidd är dock inte begränsad i detta avseende utan staten är också i viss mån skyldig att vidta positiva åtgärder för att skydda den enskildes privata sfär. Sådana positiva åtgärder kan utgöras av lagstiftningen men också av skydd mot övergrepp i särskilda situationer. Även utan att det förekommit något ingripande från myndighet eller offentlig tjänsteman kan staten således under vissa förutsättningar anses ha brutit mot artikel 8 genom att tolerera en föreliggande situation eller genom att inte skapa ett tillräckligt rättsligt skydd. Statens ansvar för en underlåtenhet kan då aktualiseras, trots att det övergrepp som visat att det rättsliga skyddet var otillräckligt utförts av en enskild person, för vars handlande staten inte i och för sig kan anses ansvarig. De krav som ställs på staten måste vara rimliga. Vad som i huvudsak kan förväntas är att staten utfärdar lagar och förordningar som ger ett tillfredsställande skydd åt privatliv, familjeliv, hem och korrespondens. (Hans Danelius, Mänskliga rättigheter i europeisk praxis – En kommentar till

Europakonventionen om de mänskliga rättigheterna, uppl. 1:2, 1998, Norstedts Juridik, Stockholm, s. 220 f.)

3.5. Europeiska unionens stadga om de grundläggande rättigheterna

Den 7 december 2000 tillkännagavs Europeiska unionens stadga om de grundläggande rättigheterna av parlamentet, rådet och kommissionen. I stadgan bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner och internationella förpliktelser samt i Fördraget om Europeiska unionen och gemenskapsfördragen, såsom Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, gemenskapens och Europarådets sociala stadgor samt rättspraxis vid Europeiska gemenskapernas domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheterna som EU redan erkänner. För närvarande är stadgan inte mer än en viljeförklaring avseende de redan existerande rättigheterna.

I stadgans artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter skall behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet skall kontrollera att reglerna efterlevs.

Stadgan binder EU:s egna organ och institutioner medan medlemsstaterna endast blir bundna när de tillämpar EG-rätten. Medlemsländerna binds följaktligen inte av stadgan när de stiftar nationella lagar inom områden där EU inte har givits lagstiftningskompetens.

Såvitt avser de garanterade rättigheternas räckvidd anförs i stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan skall vara föreskrivna i lag och vara förenliga med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättigheterna. Hänvisning görs också till de grundläggande fördragen och Europakonventionen. De rättigheter som skyddas i stadgan skall ha samma innebörd och räckvidd som de som skyddas i konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra

konventioner eller överenskommelser om fri- och rättigheter. Missbruk av rättigheter, såsom att t.ex. utnyttja en bestämmelse i stadgan för att åsidosätta en annan bestämmelse, är uttryckligen förbjudet i stadgan.

3.6. Personuppgiftslagen

Dataskyddsdirektivet har införlivats i svensk rätt genom personuppgiftslagen (1998:204). Det bör anmärkas att regeringen den 1 mars 2002 tillsatt en utredning med uppgift att i vissa hänseenden se över personuppgiftslagen (Dir. 2002:31).

3.6.1. Allmänt om lagen och dess tillämpningsområde

Personuppgiftslagen reglerar själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten. Med behandling av personuppgifter avses varje åtgärd som vidtas med uppgifterna, t.ex. insamling, lagring, bearbetning, inhämtande, utlämnande, samkörning eller förstöring. Personuppgifter i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Personuppgiftslagen tillämpas på all automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av uppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen omfattar även sådan verksamhet som faller utanför gemenskapsrätten, t.ex. verksamhet inom straffrättens område.

Uppgifter om juridiska personer och avlidna omfattas inte av personuppgiftslagen. Inte heller behandling som en fysisk person utför i verksamhet av rent privat natur omfattas, även om behandlingen avser personuppgifter. Dessutom undantas all behandling av personuppgifter som skyddas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen eller som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande.

Särreglering i lag eller förordning gäller framför personuppgiftslagen. I lagen anges uttryckligen att den inte får inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen och att den inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

3.6.2. Förutsättningar för behandling av personuppgifter

Grundläggande krav

Ansvarig för behandling av personuppgifter är den personuppgiftsansvarige, dvs. den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgifter skall alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. Det anses inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för historiska, statistiska eller vetenskapliga ändamål. De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas.

Uppfyller personuppgifterna inte kraven skall den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta de felaktiga eller ofullständiga uppgifterna.

Personuppgifterna får inte sparas längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Uppgifter får emellertid inte avidentifieras eller på annat sätt förstöras (dvs. gallras) om det strider mot bl.a. tryckfrihetsförordningens bestämmelser om allmänna handlingar.

När behandling av personuppgifter är tillåten

Enligt personuppgiftslagen är det tillåtet att behandla personuppgifter efter den registrerades samtycke. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar

behandling av personuppgifter som rör honom eller henne. Lagen uppställer inget krav på att samtycke skall vara skriftligt eller på annat sätt formbundet.

Personuppgifter får – trots att samtycke från den registrerade saknas – behandlas om det är nödvändigt för att ett avtal med den registrerade skall kunna fullgöras, för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, för att vitala intressen för den registrerade skall kunna skyddas, för att en arbetsuppgift av allmänt intresse skall kunna utföras, för att den personuppgiftsansvarige eller någon annan till vilken personuppgifter har lämnats ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning samt för att tillgodose ett berättigat intresse hos den personuppgiftsansvarige, om det väger tyngre än den registrerades intresse av integritetsskydd.

Nödvändighetsrekvisitet har bl.a. tolkats så att personuppgifter får behandlas automatiserat även i de fall det är faktiskt möjligt med manuell behandling, om det innebär att förfarandet underlättas.

Känsliga personuppgifter

För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Enligt huvudregeln får uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening inte behandlas. Likaså är det förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv.

Förbudet mot att behandla känsliga personuppgifter är dock inte undantagslöst. Uppgifterna får behandlas efter den registrerades uttryckliga (dvs. klart manifesterade) samtycke eller när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt.

Behandling av känsliga personuppgifter får utföras även när det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, för att rättsliga anspråk skall kunna slås fast, göras gällande eller försvaras samt för att den registrerades eller någon annans vitala intressen skall kunna skyddas, om den registrerade är förhindrad att lämna samtycke. Förbudet mot att behandla känsliga personuppgifter gäller inte heller när behandlingen utförs inom ramen för en ideell organisations berättigade verksamhet med ett

politiskt, filosofiskt, religiöst eller fackligt syfte, om behandlingen avser uppgifter om bl.a. medlemmar. Slutligen undantas från förbudet viss behandling av uppgifter inom hälso- och sjukvården samt viss behandling för forsknings- och statistikändamål.

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.

Uppgifter om brott och användning av personnummer

Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen.

Det är förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser, domar och säkerhetsåtgärder i brottmål. Regeringen eller Datainspektionen har dock möjlighet att föreskriva undantag från förbudet, om det är befogat att behandlingen utförs av annan än myndighet och behandlingen står under tillfredsställande kontroll av en myndighet.

Uppgifter om personnummer och samordningsnummer får behandlas bara när den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

3.6.3. Information och rättelse m.m.

Information

Den personuppgiftsansvarige skall självmant lämna den registrerade information rörande behandling av personuppgifter, när uppgifter samlas in från den registrerade själv.

Har uppgifterna samlats in från en annan källa skall den registrerade informeras när uppgifterna noteras. Information behöver dock inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats eller om det i lag eller annan författning finns särskilda bestämmelser om registreringen eller utlämnandet av personuppgifter.

Informationen skall omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta tillvara

sina rättigheter i samband med behandlingen. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas.

Den personuppgiftsansvarige är vidare skyldig att, efter ansökan, en gång per kalenderår gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Under förutsättning att uppgifterna inte har lämnats ut till tredje man behöver information dock inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte har fått sin slutliga utformning, om behandlingen inte har pågått under längre tid än ett år, eller som utgör minnesanteckningar.

Bestämmelserna om informationsskyldighet gäller inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Rättelse m.m.

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige.

3.6.4. Säkerhet vid behandlingen

Den personuppgiftsansvarige har enligt personuppgiftslagen ett stort ansvar för säkerheten vid behandling av personuppgifter. Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. För det allmännas verksamhet gäller att om det i annan lagstiftning finns bestämmelser om säkerheten vid behandling av personuppgifter, skall i stället de bestämmelserna tillämpas. Det gäller framför allt bestämmelser om tystnadsplikt och sekretess.

Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå med beaktande av de tekniska möjligheter som finns,

kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga de behandlade uppgifterna är.

3.6.5. Överföring av personuppgifter till tredje land

Det är enligt personuppgiftslagen förbjudet att utan samtycke från den registrerade föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifter. Vid bedömningen av om ett land har en adekvat skyddsnivå skall hänsyn tas till samtliga omständigheter som har samband med överföringen. I lagen anges att särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Från överföringsförbudet görs vissa undantag, bl.a. om behandlingen är nödvändig för att fullgöra ett avtal som är i den registrerades intresse, för att på den registrerades begäran vidta åtgärder innan ett avtal träffas, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade. Dessutom får regeringen i viss omfattning meddela föreskrifter om undantag från förbudet.

3.6.6. Anmälan till Datainspektionen m.m.

Datainspektionens tillsyn

Enligt dataskyddsdirektivet skall en särskild tillsynsmyndighet utses. I Sverige har Datainspektionen tilldelats den uppgiften. Som ett led i sin tillsynsverksamhet skall Datainspektionen ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter skall utplånas.

Anmälningsskyldighet och personuppgiftsombud

Helt eller delvis automatiserad behandling av personuppgifter omfattas av anmälningsskyldighet, vilket innebär att den personuppgiftsansvarige skall anmäla sådana behandlingar till

Datainspektionen. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar. I såväl personuppgiftslagen som personuppgiftsförordningen (1998:1191) och föreskrifter från Datainspektionen (DIFS 1998:2) föreskrivs emellertid om undantag från anmälningsskyldigheten i olika situationer.

Anmälan till Datainspektionen behöver t.ex. inte göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige. Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Personuppgiftsombudet skall ha en förteckning över de behandlingar som den personuppgiftsansvarige utför och han skall även hjälpa registrerade personer att få rättelse vid misstanke om att personuppgifter är felaktiga eller ofullständiga.

I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen tre veckor i förväg. I de fall sådan förhandskontroll är föreskriven, gäller inte undantagen från anmälningsskyldighet.

3.6.7. Sanktioner

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han eller hon rätt till ersättning från den personuppgiftsansvarige för skada och för den kränkning av den personliga integriteten som behandlingen kan ha medfört. Skadeståndsansvaret är i princip strikt, men kan jämkas om den personuppgiftsansvarige visar att felet i behandlingen inte berodde på honom eller henne.

Den som uppsåtligen eller av oaktsamhet gör sig skyldig till vissa förfaranden kan dessutom dömas till böter eller fängelse. Det gäller när osanna uppgifter lämnas i information till den registrerade eller i anmälan eller information till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen. Straffbestämmelsens tillämpas inte i ringa fall.

4. Rättslig reglering av Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten

4.1. Internationella överenskommelser

Samarbete mellan tullmyndigheterna i EU:s medlemsstater sker såväl inom ramen för gemenskapens första pelare (de europeiska gemenskaperna) som inom ramen för det mellanstatliga samarbetet i den tredje pelaren (rättsliga och inrikes frågor). Utbyte av information sker bl.a. genom tullinformationssystemet (TIS).

Vad gäller stater utanför EU, s.k. tredje länder, finns ett flertal bilaterala samarbetsavtal som medger utbyte av information. Inom ramen för World Customs Organisation (WCO) har vidare ett flertal konventioner och rekommendationer om tullsamarbete, informationsutbyte m.m. överenskommits.

4.1.1. EU:s tullinformationssystem (TIS)

Den rättsliga grunden för EU:s tullinformationssystem består dels av rådets förordning (EG) nr 515/97 (EGT L 82, 22.3.1997, s.1) om ömsesidigt bistånd i tullärenden vilken trädde i kraft den 13 mars 1998, dels konventionen om användning av informationsteknologi för tulländamål (TIS-konventionen) (EGT C 316, 27.11.95, s. 34). TIS-konventionen undertecknades av medlemsstaterna den 26 juli 1995 och har därefter kompletterats med tre tilläggsprotokoll avseende bl.a. provisorisk tillämpning av konventionen och EG-domstolens behörighet att meddela förhandsavgöranden angående tolkningen av konventionen.

Syftet med tillskapandet av TIS är att söka tillgodose behovet av snabb och effektiv informationsspridning för den brottsbekämpande verksamheten med anknytning till EU:s tull- och jordbruksreglering. Systemet är tänkt att komma till användning i tullmyndigheternas arbete med att bekämpa brott mot såväl gemenskapens regler inom tull- och jordbruksområdet som

nationell lagstiftning som faller under tullmyndigheternas ansvarsområde.

TIS utgör ett samlingsbegrepp för två från varandra logiskt skilda databaser. Den första databasen, TIS I, utgör ett verktyg för att bekämpa överträdelser av de gemenskapsrättsliga tull- och jordbruksbestämmelserna, dvs. inom ramen för gemenskapens första pelare. Den andra databasen, TIS III, styrs av bestämmelserna i TIS-konventionen och utgör ett instrument för det mellanstatliga samarbetet inom den tredje pelaren, såvitt avser överträdelser av nationell tullagstiftning. Systemet förvaltas av kommissionen och är åtkomligt via terminaler i varje medlemsstat.

Det är frivilligt för medlemsstaterna att införa uppgifter i systemet och att använda sig av de uppgifter som finns i systemet. Uppgifter får endast införas för vissa fastställda åtgärder – observation och rapport, diskret övervakning eller särskild kontroll. Personuppgifter får vidare föras in i systemet endast om det finns konkreta bevis som tyder på att den berörda personen, såvitt avser TIS I, har utövat eller kommer att utöva verksamhet som strider mot tull- och jordbrukslagstiftningen eller, såvitt avser TIS III, har gjort eller kommer att göra sig skyldig till grova överträdelser av den nationella lagstiftningen. Tidigare illegal verksamhet tillmäts särskild betydelse i sammanhanget, men är i sig inte en tillräcklig omständighet utan det måste dessutom finnas konkreta bevis för att ny brottslighet föreligger. Begränsningarna innebär således att det inte finns stöd för att registrera några uppgifter om andra personer såsom vittnen, anhöriga, arbetskamrater, brottsoffer och liknande.

Direkt tillgång till uppgifter i TIS är uteslutande förbehållen de nationella myndigheter som varje medlemsstat utser. Till dessa nationella myndigheter hör tullmyndigheterna men även andra myndigheter som har en brottsbekämpande uppgift kan få tillgång till systemet. Genom ett enhälligt beslut kan även internationella och regionala organisationer ges direkt tillgång till TIS.

Rådets förordning (EG) nr 515/97

Rådets förordning (EG) nr 515/97 syftar till att säkerställa att EU:s tull- och jordbruksregler tillämpas korrekt och att rätt tullbelopp kan fastställas och uppbäras av medlemsstaterna och EU, liksom att

stärka samarbetet mellan medlemsstaterna och mellan medlemsstaterna och kommissionen.

Förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem innehåller kompletterande bestämmelser till rådsförordningen avseende svenska myndigheters tillämpning och användning av TIS.

Uppgifter ur informationssystemet får användas av Tullverket, svenska polismyndigheter, Kustbevakningen, Jordbruksverket och Läkemedelsverket i den utsträckning myndigheterna har befogenhet att vidta åtgärder för att förebygga, utreda och beivra överträdelser av EU:s tull- eller jordbrukslagstiftning.

Tullverket, polismyndigheter och Kustbevakningen får ha direktåtkomst till uppgifter i samtliga kategorier i TIS. Jordbruksverket och Läkemedelsverket har direktåtkomst till viss begränsad information.

Tullverket är registeransvarigt för TIS i Sverige. Datainspektionen är nationell tillsynsmyndighet för skydd av personuppgifter i informationssystemet.

TIS-konventionen

TIS-konventionen har till syfte att stärka samarbetet mellan tullmyndigheter och andra brottsbekämpande myndigheter, vilkas uppgifter är att ingripa mot olaglig handel och bekämpa grova brott mot sådan nationell lagstiftning som begränsar varors fria rörlighet.

Det gäller särskilt sådana varor som av hälso- och säkerhetsskäl är belagda med restriktioner, förbud och kontrollåtgärder, såsom narkotika, vapen, dopingmedel m.m. Brott som innebär hantering och användning av medel från narkotikahandel, s.k. penningtvätt, omfattas också.

Konventionen skall tillhandahålla hjälpmedel för att myndigheterna skall kunna agera gemensamt och med hjälp av informationsteknik utbyta uppgifter som har samband med olaglig handel. Konventionen reglerar inte det operativa samarbetet mellan myndigheter utan enbart informationsutbyte. Frågan om Sveriges tillträde till TIS-konventionen behandlas i prop. 1997/98:11.

4.1.2. Tullsamarbetskonventionen

Konventionen om ömsesidigt bistånd och samarbetet mellan tullförvaltningar (EGT C 24, 23.1.1998, s.1) beslutades av rådet den 18 december 1997 och undertecknades samma dag.

Syftet med tullsamarbetskonventionen (även kallad Neapel IIkonventionen) är att stärka samarbetet mellan medlemsstaternas tullmyndigheter för att bekämpa den gränsöverskridande brottsligheten. Detta skall ske dels genom att tullmyndigheterna skall bistå varandra för att upptäcka och förhindra överträdelser av nationella restriktioner och bestämmelser avseende den gränsöverskridande trafiken, dels genom åtal och bestraffning av sådana överträdelser.

I konventionen finns regler om tullsamarbetet avseende sådana åtgärder som informationsutbyte, delgivning av handlingar, utredningar och spaning. Konventionen innehåller vidare bestämmelser om sekretess och dataskydd för uppgifter som utlämnas mellan myndigheterna utanför det datoriserade tullinformationssystemet. Frågan om Sveriges tillträde till Tullsamarbetskonventionen behandlas i prop. 1999/2000:122.

4.1.3. Tullsamarbetsavtal

Sverige har ingått bilaterala avtal om ömsesidigt bistånd i tullfrågor med drygt 20 länder. Tullsamarbetsavtalen avser ofta både administrativt samarbete för att fastställa korrekta tullar och rent brottsbekämpande samarbete, t.ex. avseende smuggling av narkotika.

Reglerna för samarbetet är relativt likartade och utgår från ett standardavtal som utarbetats inom Världstullorganisationen (WCO), vilket bl.a. avser utbyte av information. För varje avtal finns en nationell förordning som implementerar avtalen i svensk rätt.

4.2. Lag (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet

Den lagliga regleringen om behandlingen av personuppgifter vid Tullverkets brottsbekämpning finns i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande

verksamhet, som trädde i kraft den 1 april 2001. Föreskrifter till lagen finns i förordningen (2001:88) med samma namn.

4.2.1. Lagens tillämpningsområde (1 §)

Lagen gäller utöver personuppgiftslagen och innehåller endast de särbestämmelser som är nödvändiga i Tullverkets brottsbekämpande verksamhet. Tullverkets behandling av personuppgifter i samband med verkets fiskala verksamhet att uppbära skatter och tull faller därmed utanför lagens tillämpningsområde. Behandling av uppgifter i den fiskala verksamheten regleras i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Utanför lagen faller också behandling av personuppgifter för administrativa ändamål inom Tullverket.

Lagen omfattar all automatiserad behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Manuell behandling som inte sker i viss angiven form faller helt utanför lagens tillämpningsområde.

I lagtexten definieras begreppet brottsbekämpande verksamhet såsom underrättelse, spaning och utredning av brott, vilka Tullverket enligt lag eller förordning har befogenhet att ingripa mot, samt förebyggande av sådana brott.

Tullverket har inte någon allmän befogenhet att utreda och ingripa mot brott på det sätt som polisen har, utan kan endast ingripa mot brott som faller inom verkets befogenhetsområde. Härmed avses brott enligt lagen (2000:1225) om straff för smuggling, tullagen (2000:1281), lagen (1960:419) om förbud i vissa fall mot införsel av spritdrycker, lagen (1992:1602) om valuta och kreditreglering, lagen (1994:1565) om beskattning av viss privatinförsel, lagen (1962:120) om straff i vissa fall för oriktigt ursprungsintyg samt lagen (1996:95) om vissa internationella sanktioner.

4.2.2. Definitioner (2 §)

Begreppen i lagen har samma betydelse som i personuppgiftslagen, såvida inte annat sägs. De centrala begreppen underrättelseverksamhet, allvarlig brottslig verksamhet och särskild undersökning definieras dock i lagtexten.

Begreppet underrättelseverksamhet definieras som en verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken eller lagen (2000:1225) om straff för smuggling. Underrättelseverksamhet är till skillnad från förundersökning inriktad på informationsbearbetning och består i att samla in och bearbeta uppgifter som tyder på att t.ex. smuggling förekommer i viss trafik, utan att någon misstanke kan riktas mot någon bestämd person.

Begreppet allvarlig brottslig verksamhet definieras som verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver och som Tullverket enligt lag eller förordning har befogenhet att ingripa mot. De brott som är aktuella är brott av normal svårighetsgrad enligt lagen om straff för smuggling, brott enligt lagen om förbud i vissa fall mot införsel av spritdrycker samt grova brott enligt lagen om straff i vissa fall för oriktigt ursprungsintyg, lagen om vissa internationella sanktioner samt lagen om valuta och kreditreglering. Sistnämnda lag tillämpas endast vid krig eller krigsfara samt vid andra utomordentliga förhållanden. I övriga lagar och förordningar som det åligger Tullverket att övervaka, såsom t.ex. tullagen och lagen om beskattning av privatinförsel, stadgas lägre maximistraff än vad som krävs för att brottsligheten skall omfattas av registerlagens bestämmelser. Definitionen av allvarlig brottslig verksamhet innebär att ringa narkotikasmuggling, ringa varusmuggling och brott mot privatinförsellagen inte anses utgöra sådan brottslig verksamhet.

Med begreppet särskild undersökning avses en undersökning i underrättelseverksamhet, som innebär insamling, bearbetning och analys av uppgifter i syfte att åstadkomma beslutsunderlag för huruvida beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott skall fattas. Syftet med den särskilda undersökningen kan sägas vara att denna skall leda fram till att uppgifter förs in i underrättelseregistret för att en brottsförebyggande insats skall kunna företas och därefter en förundersökning inledas.

4.2.3. Ändamål (3 §)

Tullverket får enligt de i lagen angivna ändamålen behandla personuppgifter för att tillhandahålla den information som behövs i den brottsbekämpande verksamheten. Tullen får vidare behandla den information som behövs för att fullgöra det arbete som Sverige åtagit sig genom internationella överenskommelser.

4.2.4. Personuppgiftsansvarig (4 §)

Tullverket är ensamt personuppgiftsansvarigt för all behandling som utförs med stöd av lagen.

4.2.5. Behandling av känsliga personuppgifter (5 §)

Enligt personuppgiftslagen är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. Det är vidare förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Det finns vissa undantag från förbudet, bl.a. om samtycke har lämnats. Övriga undantag från förbudet är inte tillämpliga på brottsutredande verksamhet. Det krävs därför särskilda bestämmelser i annan författning för att behandling av sådana uppgifter skall vara tillåten.

I lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet anges att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om däremot uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter, under förutsättning att det är absolut nödvändigt för syftet med behandlingen.

Till skillnad från äldre bestämmelser innehåller lagen inte något förbud mot att känsliga personuppgifter används som sökbegrepp.

4.2.6. Utlämnande av uppgifter (6–8 §§)

Uppgifter som är nödvändiga för att framställa rättsstatistik får lämnas till ansvarig myndighet.

Uppgifter får vidare lämnas ut till en utländsk myndighet eller en mellanfolklig organisation i enlighet med internationella överenskommelser. Även uppgifter som är sekretessbelagda i enlighet med sekretesslagens (1980:100) bestämmelser omfattas av reglerna om utlämnande, som alltså är sekretessbrytande.

4.2.7. Rättelse och skadestånd (9 §)

Bestämmelserna i personuppgiftslagen om rättelse och skadestånd är tillämpliga vid behandling av personuppgifter.

4.2.8. Underrättelseregistret ( 10–13 §§)

Tullverket får inrätta ett underrättelseregister för verkets underrättelseverksamhet. Registret är ett gemensamt register för hela Tullverket, vilket innebär att även personal som arbetar med spaningsverksamhet i brottsbekämpande syfte får ha tillgång till registret.

Underrättelseregistret får endast föras för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet och för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Med allmänna uppgifter avses t.ex. smuggelvägar och brottstrender. Registreringen har till syfte att få fram tillräckligt underlag för en mer djupgående undersökning avseende sådan brottslig verksamhet som kan leda fram till en förundersökning alternativt annan åtgärd av brottsförebyggande eller brottsförhindrande karaktär.

I underrättelseregistret får uppgifter föras in som kan hänföras till enskild person endast om det kan antas att allvarlig brottslig verksamhet utövats eller kan komma att utövas, och den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verksamheten. Vidare får uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet samt uppgifter om hjälpmedel som kan antas ha använts i samband med sådan verksamhet registreras, även om uppgifterna kan hänföras till en enskild person

som det inte finns någon misstanke mot. Uppgifterna skall därvid förses med upplysning om att det inte finns någon misstanke mot denne. Eftersom smugglingsbrott och tullbrott enligt lagen (2000:1225) om straff för smuggling i flertalet fall innebär att varor rent fysiskt förs in till eller ut från det svenska tullområdet är uppgifter om transportmedel och varusändningar ofta av stor betydelse i underrättelse- och spaningssammanhang. Det kan i dessa sammanhang bli aktuellt att registrera uppgifter om transportmedlens ägare eller uppgifter om säljare och köpare.

Om de allmänna förutsättningarna för registrering är uppfyllda får underrättelseregistret innehålla följande uppgifter om en enskild person:

1. upplysningar om varifrån den registrerade uppgiften kommer

och om uppgiftslämnarens trovärdighet,

2. identifieringsuppgifter, arbetsplats och yrke,

3. uppgifter om särskilda bestående fysiska kännetecken,

4. de omständigheter och händelser som ger anledning att anta att

den registrerade utövat eller kan komma att utöva allvarlig brottslig verksamhet,

5. uppgifter om varor, brottshjälpmedel och transportmedel,

6. ärendenummer,

7. hänvisning till en särskild undersökning där uppgifter om den

registrerade behandlas och till register som förs av polis- eller skattemyndighet eller Tullverket i vilket uppgifter om den registrerade förekommer, och

8. varning om att personen tidigare varit beväpnad, våldsam eller

flyktbenägen.

Tullverket och Rikspolisstyrelsen får ha direktåtkomst till underrättelseregistret. Polismyndigheterna och Kustbevakningen får ha direktåtkomst till registret i de delar som avser förslag till åtgärder och allmänna strategiska uppgifter.

Uppgifter ur underrättelseregistret får endast lämnas ut till Ekobrottsmyndigheten eller en skattemyndighet om uppgifterna kan antas ha särskild betydelse för en pågående undersökning i myndigheternas brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

4.2.9. Spaningsregistret (14–17 §§)

Tullverket får föra ett spaningsregister för verkets spanings- och kontrollverksamhet. Ändamålet med registret är att det skall användas för att underlätta tillgången till uppgifter med anknytning till brott som begåtts eller kan antas ha begåtts. Det är endast uppgifter angående de brott som Tullverket har befogenhet att ingripa mot som får föras in i registret. Till skillnad mot underrättelseregistret uppställs inget krav på att det skall vara fråga om brott av viss svårighetsgrad, utan stadgandet är tillämpligt oavsett vilken påföljd som är stadgad för brottet.

Uppgifter som kan hänföras till enskild får föras in i spaningsregistret om den som avses med uppgiften kan misstänkas för att ha begått brott som Tullverket har befogenhet att ingripa mot. Begreppet ”kan misstänkas” har samma innebörd som reglerna i 23 kap 9 § rättegångsbalken om skyldigheten att stanna kvar för förhör. En registrering får emellertid göras endast om den är av särskild betydelse för brottsbekämpningen. Uppgifter om transportmedel, varor och hjälpmedel som kan antas ha samband med brott får registreras i spaningsregistret oavsett om uppgifterna hänförs till en enskild person som det inte finns någon misstanke mot. Uppgifterna skall därvid förses med upplysning om att det inte finns någon misstanke mot denne. Det kan t.ex. finnas skäl att i anslutning till uppgifter om varusändningar som misstänks innehålla narkotika registrera uppgifter om avsändare och mottagare, eftersom dylika uppgifter kan vara till hjälp när det gäller att identifiera misstänka varusändningar i godsförteckningar och andra handlingar rörande importgods. Härutöver kan det i likhet med underrättelseregistret bli aktuellt att registrera uppgifter om transportmedel och dess ägare, varusändningar eller uppgifter om säljare och köpare.

Underrättelseregistret får avseende en enskild person endast innehålla uppgifter om de omständigheter och händelser som ger anledning att anta att den registrerade utövat eller kan komma att utöva allvarlig brottslig verksamhet. Spaningsregistret får däremot innehålla uppgifter om de omständigheter och händelser som ger upphov till misstanke om brott som Tullverket har befogenhet att ingripa mot.

Tullverket, Rikspolisstyrelsen, polismyndigheterna och Kustbevakningen får ha direktåtkomst till spaningsregistret.

Uppgifter ur spaningsregistret får lämnas till Ekobrottsmyndigheten eller en skattemyndighet endast om uppgifterna kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

4.2.10. Underrättelseverksamhet (18–19 §§)

Underrättelseverksamheten syftar bl.a. till att ta fram underlag som anger vilken inriktning i stort som en verksamhet skall ha, t.ex. spaning gällande narkotika, eller till att initiera konkreta brottsutredningar. Målet är att klargöra om brottslig verksamhet har förekommit, pågår eller kan förutses. Underrättelseverksamheten är till skillnad mot förundersökning inriktad på informationsbearbetning och består i att samla in och bearbeta uppgifter som tyder på att exempelvis smuggling förekommer i viss trafik eller i vissa varusändningar utan att någon misstanke kan riktas mot någon bestämd person. Undersökningar som syftar till att klargöra om brott begåtts kan också förekomma inom ramen för en förundersökning. En förundersökning skall enligt 23 kap. rättegångsbalken inledas om det finns anledning att anta att ett konkret brott har begåtts. I övriga fall, då det endast finns anledning att anta att brottslig verksamhet förövats eller kommer att förövas, får undersökningen göras inom ramen för underrättelseverksamheten.

Förutsättningarna för att Tullverket i sin underrättelseverksamhet skall få behandla personuppgifter är att en särskild undersökning har inletts och att det finns anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. Personuppgiftslagens bestämmelser om behandling av personuppgifter är tillämpliga även vid behandling i en särskild undersökning, vilket innebär att en automatiserad behandling av personuppgifter endast får innehålla de uppgifter som är nödvändiga för undersökningen. Någon annan begränsning finns inte, vilket medför att uppgifter om personer som inte är misstänkta, t.ex. vittnen och andra personer med anknytning till utredningen, får behandlas. Uppgifterna skall därvid förses med upplysning om att det inte finns någon misstanke mot dessa. Personuppgifter får härutöver även behandlas i underrättelse-

registret, men då enligt de särskilda regler som gäller för det registret.

Beslut om att personuppgifter skall behandlas automatiserat i en särskild undersökning skall fattas av Tullverkets chef eller en tjänsteman som beslutanderätten delegerats till. Beslutet skall innehålla uppgifter om ändamålet med behandlingen och de villkor i övrigt som behövs för att förebygga otillbörligt intrång i den registrerades personliga integritet. Det är endast de personer som arbetar med den särskilda undersökningen som får ha direktåtkomst till de behandlade uppgifterna.

Uppgifter som behandlas automatiserat i en särskild undersökning får uttryckligen lämnas ut till en annan tulltjänsteman, en annan enhet inom Tullverket, Kustbevakningen, Rikspolisstyrelsen, polismyndighet eller skattemyndighet om uppgiften kan antas ha särskild betydelse för en pågående undersökning eller andra brottsbekämpande åtgärder. Det kan noteras att Ekobrottsmyndigheten inte nämns bland de uppräknade myndigheterna.

4.2.11. Uppgifter om kvarstående brottsmisstankar (20–21 §§)

Uppgifter som behandlas under en förundersökning skall normalt arkiveras när förundersökningen läggs ned. I vissa fall kan det dock finnas ett behov av att fortsätta att behandla uppgifter om den misstänkte, eftersom misstanke i vissa fall kan kvarstå även om förundersökningen har lagts ner, framför allt om beslutet att lägga ned förundersökningen har föranletts av bristfällig bevisning. För det fall att dessa uppgifter sammanförs med ny information kan det leda till att förundersökningen tas upp på nytt. Uppgifterna i fråga har likheter med uppgifter av underrättelsekaraktär, eftersom det rör sig om en person mot vilken förundersökning inte pågår. Bestämmelserna om underrättelseregister är emellertid inte direkt tillämpliga, eftersom personen i fråga är misstänkt för ett konkret brott. Tullverket har därför givits möjlighet att behandla personuppgifter under vissa omständigheter då kvarstående brottsmisstanke föreligger.

Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, får uppgifter om brottsmisstanken behandlas för annat ändamål än arkivering endast om den misstänkte, enligt förundersökningsledarens bedömning, fortfarande kan anses

skäligen misstänkt för brottet och uppgifterna behövs för att förundersökningen skall kunna tas upp på nytt. Dock får endast sådana uppgifter som behövs för att kunna tillgodose detta behov behandlas.

Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts, får uppgifter om brottsmisstanken behandlas för annat ändamål än arkivering endast om förundersökningen tas upp på nytt eller för prövning av särskilda rättsmedel enligt 58 kap. rättegångsbalken.

Om uppgifter om kvarstående brottsmisstankar skall behandlas åligger det den personuppgiftsansvarige att särskilt besluta vem som får ha direktåtkomst till uppgifterna.

4.2.12. Gallring (22–23 §§)

Personuppgifter skall inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen enligt personuppgiftslagen. Personuppgifter får emellertid bevaras för historiska, statistiska eller vetenskapliga ändamål. Bestämmelserna i personuppgiftslagen hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Genom arkivlagen (1990:782) är myndigheterna som huvudregel ålagda att bevara allmänna handlingar.

I fråga om personuppgifter, vilka Tullverket behandlar i förundersökningar, gäller att dessa bör gallras på samma sätt som uppgifter vilka behandlas manuellt. Detta medför att arkivlagens regler blir tillämpliga varför några särskilda bestämmelser inte erfordras.

I övrigt gäller som huvudregel att uppgifter inte skall bevaras under längre tid än vad som är nödvändigt med beaktande av ändamålet. Uppgifterna skall senast gallras vid den tidpunkt, som anges i de särskilda bestämmelserna för respektive register.

Uppgifter i ett underrättelseregister skall gallras senast tre år efter det att registret senast tillfördes uppgifter om att personen skäligen kan misstänkas för att ha utövat eller kunna komma att utöva allvarlig brottslig verksamhet.

Om en särskild undersökning har inletts behöver uppgifterna dock inte gallras förrän undersökningen har avslutats. Om uppgifter behandlas med anledning av att en särskild undersökning har inletts, skall uppgifterna gallras senast ett år efter det att

beslutet om behandlingen av personuppgifter fattades. Om det är av särskild betydelse för att den särskilda undersökningen skall kunna avslutas, får uppgifterna dock behandlas under längre tid.

Uppgifterna i ett spaningsregister skall gallras senast när misstanke inte längre föreligger mot den registrerade, när domstol har meddelat dom eller beslut eller när strafföreläggande har godkänts och det inte finns någon misstanke mot den registrerade om annat brott som får föras in i registret.

Riksarkivet har, efter bemyndigande från regeringen, beslutat att uppgifter som enligt huvudregeln skulle ha gallrats, får bevaras för historiska, statistiska eller vetenskapliga ändamål.

4.2.13. Överklagande (24 §)

Tullverkets beslut om rättelse och information i fråga om personuppgifter i verkets brottsbekämpande verksamhet är överklagbara till allmän förvaltningsdomstol. I sammanhanget bör det noteras att bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter i denna lag eller anslutande författningar.

5. Tullverkets informationshantering i den brottsbekämpande verksamheten

Enligt direktiven har utredningen till uppgift att se över hur de register som Tullverket antingen för eller har tillgång till förhåller sig till varandra, såvitt avser informationsinnehåll och användning.

Tullverket för flera register i den brottsbekämpande verksamheten. Myndigheten har härutöver tillgång till en stor mängd information från andra myndigheter, organisationer, företag och liknande. Informationen består bl.a. i uppgifter från olika register. Från Rikspolisstyrelsen har Tullverket tillgång till uppgifter ur allmänna spaningsregistret, belastningsregistret, register över efterlysta och utvisade personer (EPU), fingeravtrycksregistret, efterlysningssystem för fordon, godsregistret som innehåller uppgifter om stulet, förkommet eller omhändertaget gods, medborgarskapsregistret, misstankeregistret, multifråga person (MFP), vilket är ett system för sökning i totalt tio register samtidigt, passkontrollregistret, passregistret, polisens person- och adressregister (PPA), signalementsregistret och Schengens informationssystem (SIS). Tullverket har vidare tillgång till svenska och utländska bolagsregister, sjöfartsregister och liknande. Inom EU har det upprättats ett antal olika e-postsystem för att utväxla information mellan medlemsländerna angående t.ex. misstänka transporter av cigaretter, transitering av högriskvaror, brottsbekämpning och liknande.

Nedan följer en sammanställning av de register som Tullverket för närvarande för i den brottsbekämpande verksamheten samt övrig behandling av personuppgifter som verket är ansvarigt för.

5.1. Register och andra datasystem som förs i Tullverkets underrättelseverksamhet m.m.

5.1.1. Diariesystem

Det tidigare ärenderegistret har numera ersatts av ett diariesystem som är en del av Registersystem i Tullverkets analysprocess (RITA), se avsnitt 6.1.1.

5.1.2. Underrättelseregistret

För behandlingen av personuppgifter i underrättelseverksamhet gäller numera lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Behandling av uppgifter i underrättelseregistret regleras särskilt i lagen som ersatte lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet. Enligt den gamla registerlagen fick Tullverket använda sig av ett underrättelse- och ett spaningsregister i det brottsbekämpande arbetet. För registrering av personuppgifter i underrättelse- och spaningsregistren gällde att vissa föreskrivna kriterier för respektive register skulle vara uppfyllda, såsom exempelvis misstankegrad. För registrering av personuppgifter i spaningsregistret krävdes bl.a. att personen var misstänkt för ett konkret brott medan det för registrering i underrättelseregistret var tillräckligt att personen skäligen kunde misstänkas för allvarlig brottslig verksamhet. Lagstiftningen var anpassad till de övergripande principerna i Europarådets rekommendation No R (87) 15, om användningen av personuppgifter inom polissektorn. Enligt rekommendationen skall skilda kategorier av lagrade uppgifter så långt som möjligt hållas åtskilda efter graden av tillförlitlighet. Före ikraftträdandet av den gamla registerlagen år 1998 hade Tullverket, med stöd av förordningen (1987:864) om Tullverkets register för brottsbekämpande verksamhet, inrättat ett register med benämningen SPADI. Nämnda förordning upphävdes i och med att den gamla registerlagen trädde i kraft.

Datainspektionen företog den 30 maj 2000 en inspektion vid Tullverket för att kontrollera behandlingen av personuppgifter som skedde med stöd av den gamla registerlagen. Av en skrivelse, daterad den 15 september 2000, dnr 986-00, framgår att det vid inspektionen framkom att Tullverket alltjämt använde sig av

SPADI och att man i registret registrerade såväl uppgifter om personer som kunde misstänkas för att ha förövat brott som uppgifter om personer som skäligen kunde misstänkas för att ha utövat eller komma att utöva brottslig verksamhet. De förstnämnda uppgifterna markerades i registret med ett S och de sistnämnda uppgifterna markerades med ett U. Det var inte möjligt att selektera behörigheten för åtkomsten till de olika uppgifterna. Datainspektionen uttalade i sitt beslut i ärendet att det inte stod i överensstämmelse med den då gällande lagstiftningen att i ett spaningsregister behandla uppgifter om såväl spaningsverksamhet som underrättelseverksamhet och att inspektionen utgick från att Tullverket skulle vidta nödvändiga åtgärder för att behandlingen skulle ske i överensstämmelse med lagstiftningen.

SPADI har modifierats och utgör numera ett underrättelseregister i enlighet med lagens krav. Alla uppgifter av spaningskaraktär har gallrats, vilket medför att Tullverket i dag inte för något spaningsregister enligt vare sig den gamla registerlagens eller den nuvarande lagens definition.

Underrättelseregistret (dvs. f.d. SPADI) innehåller bl.a. uppgifter om händelser, personer, organisationer och farkoster som kan sättas i samband med allvarlig brottslig verksamhet som det åligger Tullverket att ingripa mot. Vad gäller indirekta personuppgifter, som t.ex. ett fordons registreringsnummer, skall det av registret framgå om fordonsinnehavaren inte är misstänkt för något brott.

5.1.3. Behandling i särskild undersökning

När uppgifter behandlas i särskilda undersökningar inrättas särskilda och tillfälliga register i specifika ärenden (SUR). Det kan handla om specifika ärenden i underrättelseverksamheten, t.ex. ett större smugglingsärende, i avsikt att underlätta bearbetningen för att utröna om en förundersökning skall inledas eller om andra brottsbekämpande åtgärder skall vidtas. Behandling av personuppgifter i dessa särskilda undersökningar regleras särskilt i lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, (jfr avsnitt 4.2).

För att uppgifter skall få behandlas i SUR:ar krävs att en särskild undersökning har inletts och att det finns anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. Det uppställs inga begränsningar angående vilken typ av

information som får behandlas utan det kan handla om information av allehanda slag om både personer och transportmedel. Även uppgifter om personer som inte är misstänka kan registreras. En sådan registrering skall dock förses med en uppgift om att personen inte är misstänkt för något brott.

Ett separat register inrättas för varje nytt ärende. Beslut om att behandla personuppgifter i den särskilda undersökningen fattas på chefsnivå. Beslutet skall innehålla uppgifter om ändamålet med behandlingen och de villkor i övrigt som behövs för att förebygga otillbörligt intrång i den registrerades personliga integritet. När den särskilda undersökningen är slutförd skall uppgifterna antingen gallras eller läggas till grund för en förundersökning. Tullverket för en förteckning över alla de beslutade särskilda undersökningarna.

5.2. Register och andra datasystem som förs i Tullverkets brottsutredande verksamhet

5.2.1. Tullmålsjournalen (TMJ)

TMJ är ett ärenderegister för den brottsutredande verksamheten, vilket innebär att en förundersökning är inledd när uppgifter förs in i systemet. TMJ innehåller uppgifter om misstänkt gärningsman, aktuellt brott och platsen för detta, varor, beslag samt uppgifter om resultatet av den genomförda förundersökningen. Behandlingen av uppgifter i TMJ regleras av de allmänna bestämmelserna i lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, som gäller utöver personuppgiftslagen, (jfr avsnitt 4.2). TMJ kommer framöver att ersättas av ett nytt system (se avsitt 6.3).

5.2.2. En vidareutvecklad strafförelägganderutin (EnVis)

Enligt förordningen (1992:1027) om register för strafföreläggande, föreläggande av ordningsbot m.m. förs dels ett register för handläggning och indrivning av strafförelägganden (EnVis), dels ett register för förelägganden av ordningsbot (RIOB).

EnVis är ett system som används vid handläggning av strafförelägganden och som har utvecklats av Riksåklagaren. Systemet består av en central och en lokal del. Den lokala delen används för

registrering och utfärdande av strafförelägganden och den centrala för uppföljning, bl.a. registrering av godkännande av ett strafföreläggande. Tullverket har installerat den lokala delen av systemet och utfärdar ca 5 000 strafförelägganden årligen. Rikspolisstyrelsen är ansvarigt för RIOB och Tullverkets ca 2 000–4 000 förelägganden av ordningsbot har hittills lagts in i registret av Rikspolisstyrelsen. Tullverket har nu avtal med Rikspolisstyrelsen om egen åtkomst och registrering av Tullverkets egna förelägganden, men dessa möjligheter har inte realiserats ännu.

5.2.3. Beslags- och analysregistret (BAR)

I BAR registreras uppgifter om narkotikabeslag och den misstänkte gärningsmannen samt i förekommande fall analysresultatet av gjorda beslag. Vidare förekommer uppgifter om brottsrubricering, transportmedel och underrättelser om källor. Registret används inte i den operativa verksamheten utan är uteslutande avsett för statistikändamål. Behandlingen av uppgifter i BAR regleras av de allmänna bestämmelserna i lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, (jfr avsnitt 4.2).

5.3. Tullverkets register i den fiskala verksamheten

Den lagliga regleringen av behandling av uppgifter inom Tullverkets fiskala verksamhet finns i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Föreskrifter till lagen finns i förordningen (2001:646) med samma namn. För gemensamma register och datorsystem finns i lagen särskilda bestämmelser om behandling i en tulldatabas.

Lagen tillämpas på all behandling av personuppgifter i Tullverkets fiskala verksamhet som är helt eller delvis automatiserad. Det innebär att lagen är tillämplig på behandlingen av uppgifter både i Tulldatasystemet och riskanalysregistret (se avsnitt 5.3.1 och 5.3.2). Manuell behandling omfattas endast av lagen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter, som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Tullverkets behandling av personuppgifter i brottsbekämpande verksamhet faller helt utanför lagens tillämpningsområde.

Uppgifter får enligt lagen behandlas för tillhandahållande av information som behövs hos Tullverket för

1. bestämmande, redovisning, betalning och återbetalning av

tull, annan skatt och avgifter,

2. övervakning, revision och annan analys- eller kontroll-

verksamhet,

3. fullgörande av ett åliggande som följer av ett för Sverige

bindande internationellt åtagande, och

4. tillsyn, kontroll, uppföljning och planering av verksam-

heten.

5.3.1. TDS och dess stödsystem

Lagen om behandling av uppgifter i Tullverkets verksamhet föreskriver att det skall finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt för de i verksamheten angivna ändamålen (tulldatabasen). Databasen utgörs i huvudsak av tullens elektroniska klarerings-, debiterings- och statistiksystem, det s.k. Tulldatasystemet (TDS). Detta system består av ett expeditionssystem, i vilket ingår uppgifter om import, export, initialkontroll, klarerade ärenden, transit, lokal uppbörd och övrig debitering. Utöver TDS innehåller tulldatabasen även andra register och datorsystem, såsom t.ex. stödsystemet som består av tulltaxa, företagsregistret, gemensamma register och behörighetsregister. De övriga delsystemen består av central uppbörd, handelsstatistik, mottagningsfunktion och efterkontroll.

Direktåtkomst till TDS är förbehållen tulltjänstemän, men externa intressenter, dvs. import-, export- och speditionsföretag, har tillgång till taric (tulltaxan). Godkända företag lämnar uppgifter till TDS elektroniskt via en särskild mottagningsfunktion efter att uppgifterna registrerats i företagets egna datorsystem. Information i TDS kan således komma in i registret antingen genom extern elektronisk överföring från företag som är anslutna till TDS eller genom manuell registrering av uppgifter från en blankett av en tulltjänsteman. Efter att ett ärende genomgått vissa initialkontroller sker en automatisk kanalfördelning, varvid ärendet enligt vissa givna kriterier fördelas i röd eller grön kanal. Ärendet kan föras till röd kanal för kontroll, genom slumpurval, styrd kontroll eller på initiativ av en handläggare. Om ett ärende placeras i den röda kanalen innebär det att ärendet fordrar någon form av åtgärd

från en tulltjänsteman. Ett undantag är dock när företaget är kvalitetssäkrat och placerat i de övre stegen i Servicetrappan (se avsnitt 2.4), då vissa rödkanalärenden släpps igenom. Det sker dock en uppföljning även av dessa ärenden.

TDS består funktionellt av ett flertal delsystem som kan delas in i tre huvudgrupper. Expeditionssystemet består av funktioner för hantering av import, export, spärrar, annan klarering, transitering, lokal uppbörd och övrig debitering. Stödsystemet består bl.a. av taric (tulltaxa) operatörsregister, gemensamma register och behörighetsregister. De övriga delsystemen hanterar främst central uppbörd, handelsstatistik, mottagningsfunktion och efterkontroll.

I tulldatabasen får behandlas uppgifter om personer som omfattas av tullens fiskala verksamhet, främst importörer och exportörer. De uppgiftskategorier som får behandlas är:

 fysiska personers identitetsuppgifter, t.ex. namn, personnummer och hemadress,  juridiska personers identitetsuppgifter, t.ex. organisationsnummer, firmatecknare, styrelseledamöter och företagsadresser,  identitetsbeteckningar för transportmedel, containrar och tankar,  tulltaxor,  registrering för skatter och avgifter,  underlag för tull, annan skatt och avgifter,  bestämmande av tull, annan skatt och avgifter,  revision och annan kontroll av tull, annan skatt och avgifter,  tillstånd och licenser som krävs för import eller export av varor,  yrkanden och grunder i ett ärende, och  beslut, betalning, redovisning och övriga åtgärder i ett ärende.

Regeringen har bemyndigat Tullverket att meddela närmare föreskrifter om vilka uppgifter inom varje uppgiftskategori som får behandlas i databasen.

Uppgifter från TDS används på olika sätt inom Tullverket i brottsbekämpning, vad avser såväl kontrollfunktioner som brottsutredningar. För närvarande saknas en specifik rättslig reglering av hur uppgifter från TDS får användas i den brottsbekämpande

verksamheten. Det gäller exempelvis på vilket sätt uppgifter får hämtas in. I sammanhanget bör det noteras att 97 procent av uppgifterna i TDS avser juridiska personer, 2 procent avser enskilda firmor och 1 procent av uppgifterna handlar om fysiska personer. En genomgång av de problem som kan uppstå vid användandet av TDS i brottsbekämpande verksamhet, och vilka behov av att utnyttja systemet som finns, görs i avsnitt 9.2.

5.3.2. Riskanalysregistret

Riskanalysregistret är ett register som Tullverket använder för analys av trender och liknande, såvitt avser avvikelser från gällande regelverk i det kommersiella varuflödet. Syftet är att analyserna skall ligga till grund för en riskprofil.

Riskanalysregistret innehåller uppgifter om utförda och pågående analyser riktade mot det arbete som utförs inom processen effektiv handel. Analyserna är främst inriktade mot uppbörd (mervärdesskatt, skatter och andra avgifter) samt in- och utförselrestriktioner. I registret finns det dock även information om analyser inom andra områden, såsom varumärkesintrång och handelsstatistik.

I fasta fält i registret behandlas uppgifter om vilken typ av risk eller företeelse som har analyserats. I dessa fält finns möjlighet att registrera uppgifter som rör import- och exportflöden. Uppgifter om organisationsnummer för importörer, exportörer eller ombud samt uppgifter om godsets avsändare eller mottagare förekommer. I registret finns vidare uppgifter om varukod, eftersom det vid import och export måste anges ett specifikt nummer för varje vara. Vidare förekommer uppgifter om länder, dvs. var varan är tillverkad, varifrån den kommer och till vilken destination varan skall skickas. I registret finns vidare uppgifter om förmånskod, vilket innebär att en importör kan få en lägre tullsats eller ingen tullsats alls, om vissa förutsättningar är uppfyllda. Av transportkod och godslokalkod framgår med vilket transportmedel varan har transporterats samt på vilken plats i Sverige som den har lagrats vid import- eller exporttillfället. Registret ger vidare svar på frågan vilka procedurer som har tillämpats. Förutom de övergripande procedurerna import och export finns det även undergrupper till dessa, såsom t.ex. aktiv och passiv förädling, transitförfarande och temporär import. I registret förekommer även uppgifter om vilka

rekommendationer som föreslås med beaktande av analysresultatet. De åtgärder som kan komma ifråga är initialkontroll, efterkontroll, revision eller förebyggande åtgärd.

5.4. Behandling av personuppgifter i löpande text

Vid sidan av de register och datorsystem som beskrivs i tidigare avsnitt, använder sig tullen också av annan datorteknik, t.ex. ordbehandlings- och kalkylprogram som Word och Excel, vid framställning och bearbetning av dokument. Sådan behandling av personuppgifter i den brottsbekämpande verksamheten regleras i lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

6. Nya planerade databaser och ärendehanteringssystem för den brottsbekämpande verksamheten

Enligt direktiven har utredningen bl.a. till uppgift att sätta sig in i Tullverkets arbete med att inrätta nya databaser och ärendehanteringssystem för den brottsbekämpande verksamheten samt att redovisa de planerade systemens funktion och innehåll.

6.1. Registersystem i Tullverkets analysprocess (RITA)

Tullverket har bedömt att analysprocessen har behov av ett gemensamt ärendehanteringssystem som effektiviserar arbetet. En projektgrupp, projektet RITA (Registersystem i Tullverkets analysprocess), tillsattes därför och har till uppgift att skapa ett heltäckande, effektivt och modernt registersystem för Tullverkets analysverksamhet. Systemet skall bl.a. omfatta diariesystem, riskanalysregister, underrättelseregister samt ett system för in- och återrapportering av kontrollresultat. RITA kommer således att ersätta dagens riskanalysregister och underrättelseregister (jfr avsnitt 5.3.2 och 5.1.2). Hittills har en modell för ett underrättelseregister och ett diarium tagits fram. RITA kommer således att ersätta dagens diarium, riskanalysregister och underrättelseregister. Modellen omfattar även ett förslag på ett avancerat sök- och delgivningssystem. Det planerades att underrättelseregistret skulle driftsättas i en första etapp i april 2002. Projektet har under år 2002 vilandeförklarats och Tullverkets avsikt är att återuppta utvecklingsarbetet under år 2003.

6.1.1. Diariesystem

Diariet består av två delar – ett diariesystem för analysenheten och en funktion som benämns allmänhetens diariefråga.

När ett nytt ärende registreras i diariet införs bl.a. uppgifter om diarienummer, datum för registrering, uppgifter om huruvida ärendet är sekretesskyddat eller ej och huruvida fråga är om ett underrättelse- eller riskanalysärende, uppgifter om vilken tjänsteman som fört in uppgifter, vilken åtgärd som vidtagits och vid vilken tidpunkt detta skedde, ärendetyp, uppgifter om ärendets avsändare samt noteringar om käll- och informationsvärdering.

Vissa delar av diariet är tillgängligt för allmänheten. Systemet kommer därför att förses med två olika behörighetsnivåer – en för allmänheten och en för behöriga tjänstemän inom Tullverket. Den del av systemet som är tillgängligt för allmänheten innehåller endast en sökfunktion och det är endast uppgifter om datum och diarienummer som är sökbara.

6.1.2. Ett nytt underrättelseregister

Underrättelseregistret skall bygga på en ärendebaserad handläggning. Varje ärende åsätts ett diarienummer och har någon form av information knutet till sig. Till ett ärende finns även länkade objekt, vilka innehåller information om person, organisation, fordon, farkost, telefon, adress, varusändning och dokument. Dessa objekt kan också vara länkade med varandra. Objekten är unika i underrättelseregistret, dvs. de förekommer endast en gång. Ett objekt kan vara länkat till flera ärenden medan informationen bara kan vara länkad till ett ärende. Ärendediariet skall sammankopplas med underrättelseregistret och ett ärendes grundinformation skall automatiskt föras över till underrättelseregistret. Tanken med RITA är att arbetet skall underlättas och effektiviseras, t.ex. genom att information bara skall registreras en gång och att alla behöriga användare har tillgång till varandras ärenden.

Underrättelseregistret kommer enligt planerna att användas av de tjänstemän som arbetar med den brottsbekämpande verksamheten i Tullverkets analysprocess. Polisen, Kustbevakningen, Ekobrottsmyndigheten och skattebrottsenheterna skall få möjlighet till åtkomst till registret i enlighet med de föreskrifter som reglerar eller kommer att reglera sådan åtkomst. Två olika

behörighetsnivåer skall finnas i systemet – hela registret och delgivna underrättelser. Det skall även finnas olika behörighetsnivåer för att registrera och söka information.

Ett grundläggande krav är att systemet skall vara användarvänligt, varför ett grafiskt gränssnitt är nödvändigt. Miljön skall vara flexibel så att registret är lätt att bygga ut och lätt att anpassa till framtida tekniska möjligheter. Registret skall klara att hantera ljud, stillbilder och rörliga bilder samt vara kompatibelt med andra system. Samband skall också finnas med andra myndigheters system. Tullverket och Rikspolisstyrelsen planeras kunna ha direktåtkomst till hela underrättelseregistret medan polismyndigheterna och Kustbevakningen förutsätts få direktåtkomst till registret endast såvitt avser de delgivna underrättelserna. Direktåtkomsten är tänkt att vara förbehållen de tjänstemän som behöver sådan information för sina arbetsuppgifter inom respektive myndighets brottsbekämpande verksamhet.

6.2 ”Pregedosan” – Papperslös insamling av kontrollresultat

Systemet innehåller inte några uppgifter som går att relatera till en enskild person, alltså inga personuppgifter.

Systemet är tänkt att fungera som ett smidigt hjälpmedel för gränsskyddsenhetens kontrollarbete, varvid uppgifter om de utförda kontrollerna och resultaten av dessa lagras papperslöst i en handdator. Informationen överförs därefter från handdatorn till en fristående PC, varefter uppgifterna bearbetas av analysenheten. Syftet är att den insamlade informationen skall ligga till grund för en säkrare selektering av kontrollobjekten så att träffprocenten ökar. En ”icke-profil”, dvs. en profil på personer och objekt som i normalfallet inte skall behöva kontrolleras i flödet, bedöms också kunna åstadkommas, vilket kan leda till en högre träffsäkerhet och träffprocent. För att uppnå ett så bra resultat som möjligt är det av yttersta vikt att en nära samverkan sker mellan gränsskyddet och analysenheten. Systemet kan användas i all kontrollverksamhet.

I samband med att en kontroll av en person genomförs registrerar tulltjänstemannen information om kontrollen och resultatet av denna i handdatorn. Uppgifter om kön, nationalitet och bosättningsland m.m. förs in, liksom uppgifter om den urvalsmetod som låg till grund för kontrollen. Exempel på urvals-

metoder är erfarenhet/intuition, användande av hund, bedömning med stöd av riskprofil, operativ eller strategisk underrättelse eller förekomst av spärr i tullens databaser. Information om den utförda kontrollen registreras också, såsom t.ex. uppgifter om något beslag har gjorts, typ av gods samt om beslaget föranleder någon vidare åtgärd. Vidare noteras uppgifter om platsen för kontrollen samt uppgifter om objektet, varvid information registreras om vilken typ av fordon eller transportmedel det är fråga om samt i förekommande fall nationalitetsuppgifter. Systemet tillhandahåller även en möjlighet att markera att en person skall betecknas som sammanhörande med en annan person.

Registrering av kontrollresultat med hjälp av nämnda handdator är ett värdefullt instrument för att tillhandahålla betydelsefull information om resandeströmmar och tidigare beslagsfrekvenser samt resursinsatser till personalen vid gränsskyddsenheterna. Uppgifterna kan också utnyttjas som underlag i gränsskyddsenheternas handlingsplaner, dels för att åstadkomma en säkrare selektering av kontrollobjekten, dels för att i efterhand kunna kontrollera korrektheten av analysenhetens hotbildsanalyser. Kontrollinsatserna kan också styras till områden eller tidpunkter av högriskkaraktär.

6.3. Tullens integrerade brottsutredningsregister (TIGER)

TIGER är tänkt att ersätta brottsutredningens nuvarande system, tullmålsjournal (TMJ), vilken inte längre bedöms ändamålsenlig och inte klarar de funktionella kraven (beträffande TMJ se avsnitt 5.2.1). Ett nytt IT-stöd för tullens brottsutredande verksamhet bedöms kunna medföra att rättssäkerheten och kvaliteten på brottsutredningarna ökar, att korrekta uppgifter vidarebefordras till rätt myndighet och rätt system, att resurser frigörs genom att registreringsarbetet underlättas och att verksamhetsuppföljningen blir rationellare.

TIGER kommer i huvudsak att bestå av tre delar – en funktion för registrering och överföring av uppgifter, ett ärendehanteringssystem som bygger på en elektronisk handläggning samt ett statistik- och rapporteringssystem. TIGER skall också kunna kommunicera med andra myndigheters system och register, såsom t.ex. misstanke- och belastningsregistret.

Bland de mål och visioner som tagits fram för systemet kan följande nämnas. Registrering och diarieföring kommer att ske papperslöst på elektronisk väg. Uppgifterna skall endast registreras vid ett tillfälle och uppgifternas riktighet skall kunna kontrolleras mot externa system, som det statliga personadressregistret (SPAR) och Patent- och registreringsverkets register. Automatiska sökningar skall ske såväl i externa register, t.ex. misstankeregistret, som i tullens egna system. Ärendehanteringssystemet skall innehålla en funktion för handläggning av strafförelägganden och registrering av förelägganden om ordningsbot som tullen har utfärdat. Systemet skall också innehålla ett stödsystem för olika beslut om t.ex. tvångsmedel och beräkning av dagsbot, liksom ett blankettstöd för förundersökningsprotokoll och ett hanteringsstöd för verkställighet av domstolsavgöranden. Vidare kommer systemet att innehålla en funktion för beslagshantering. Dokument skall kunna överföras elektroniskt mellan olika myndigheter och systemet skall även innehålla en elektronisk mottagningsfunktion av bl.a. domstolsavgöranden.

TIGER är ännu på projektstadiet och delar av systemet kan driftsättas under år 2003.

7. Samarbete och informationsutbyte mellan de brottsbekämpande myndigheterna m.m.

Tullverket samverkar i sitt brottsbekämpande arbete med flera myndigheter. Nedan följer en kort redogörelse för dessa myndigheters arbetsuppgifter samt, i förekommande fall, den lagstiftning som styr respektive myndighets behandling av personuppgifter. Redan här bör det framhållas att utöver de särskilda registerförfattningarna är även personuppgiftslagen (1998:204) tillämplig för respektive myndighets automatiserade behandling av personuppgifter.

Vi har under utredningstiden företagit ett flertal myndighetsbesök och även varit närvarande vid ett sammanträde med RIFgruppen. En kort sammanfattning av dessa besök redovisas också.

Kapitlet avslutas med en redogörelse för några av de åtgärder som regeringen och riksdagen har vidtagit i syfte att effektivisera och förbättra myndigheternas brottsbekämpande arbete. En kort beskrivning av Rättsväsendets informationsförsörjning (RIFsamordningen) samt en översiktlig genomgång av förordningen (1997:899) om myndighetssamverkan mot ekonomisk brottslighet redovisas också. Regeringens nya strategi mot den ekonomiska brottsligheten, vilken kommer till uttryck i regeringens skrivelse Lägesrapport om den ekonomiska brottsligheten (skr. 2001/02:40), återges i korthet. Slutligen redogörs kortfattat för en informationsrapport från Riksdagens revisorer.

7.1. Samverkande myndigheter

7.1.1. Polisen

Polisens verksamhet regleras bl.a. i polislagen (1984:387) och i polisförordningen (1998:1558).

Till polisens uppgifter hör enligt 2 § polislagen att

1. förebygga brott och andra störningar av den allmänna

ordningen eller säkerheten,

2. övervaka den allmänna ordningen och säkerheten, hindra

störningar därav samt ingripa när sådana har inträffat,

3. bedriva spaning och utredning i fråga om brott som hör

under allmänt åtal,

4. lämna allmänheten skydd, upplysningar och annan hjälp,

när sådant bistånd lämpligen kan ges av polisen,

5. fullgöra den verksamhet som ankommer på polisen enligt

särskilda bestämmelser.

De uppgifter som beskrivs i de tre första punkterna utgör vad som kan sägas vara den egentliga polisverksamheten eller polisens s.k. kärnverksamhet.

Polisens behandling av personuppgifter regleras av polisdatalagen (1998:622), polisdataförordningen (1999:81) samt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och lagen (2000:344) om Schengens informationssystem. Polisdatalagen innehåller dels allmänna bestämmelser om polisens behandling av personuppgifter, dels särskilda bestämmelser om automatiserad behandling av personuppgifter. Polisdatalagen gäller utöver personuppgiftslagen (1998:204) och innehåller den särreglering som ansetts nödvändig för polisens verksamhet. Lagen innehåller såväl inskränkningar som utvidgningar i förhållande till personuppgiftslagen. För sådan behandling av personuppgifter som sker med stöd av lagen om belastningsregister, lagen om misstankeregister eller lagen om Schengens informationssystem gäller inte polisdatalagen. Polisdatalagen gäller vid behandling av personuppgifter i polisens verksamhet för att förebygga brott och andra störningar av den allmänna ordningen och säkerheten, övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när något sådant inträffat eller bedriva spaning och utredning i fråga om brott som hör under allmänt åtal.

Polisdatalagen innehåller även särskilda regler om behandling av uppgifter i kriminalunderrättelseverksamhet. Polisen har rätt att föra kriminalunderrättelseregister för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet eller för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. För att kriminalunderrättelseregistret skall få innehålla uppgifter som kan hänföras till en enskild person krävs att uppgifterna ger anledning att anta att

allvarlig brottslig verksamhet utövats eller kan komma att utövas och att den som avses med uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verksamheten.

För att personuppgifter skall få behandlas i kriminalunderrättelseverksamhet föreskriver lagen att en särskild undersökning skall ha inletts och det skall finnas anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas.

Rikspolisstyrelsen och polismyndigheterna får ha direktåtkomst till kriminalunderrättelseregistren. Därutöver får uppgifter ur ett kriminalunderrättelseregister lämnas ut till Ekobrottsmyndigheten, Kustbevakningen, Tullverket eller en skattemyndighet om uppgifterna kan antas ha särskild betydelse för en pågående undersökning i myndighetens brottsutredande verksamhet eller för andra brottsbekämpande åtgärder.

Polisdatalagen innehåller också särskilda bestämmelser om registret med uppgifter om DNA-analyser i brottmål, fingeravtrycks- och signalementsregistret och SÄPO-registret.

I sammanhanget bör också Europarådets rekommendation (Recommendation No. R (87) 15) om användning av personuppgifter inom polissektorn beröras. Rekommendationen innehåller speciella dataskyddsregler för personuppgifter som förs av polismyndighet med hjälp av ADB. Genom reglerna har man sökt finna en balans mellan å ena sidan den enskildes intresse av personlig integritet och å andra sidan samhällets intresse av att förhindra och bekämpa brott samt upprätthålla allmän ordning. Regleringen omfattar all insamling, lagring, användning och kommunikation av personuppgifter för polisändamål. Medlemsstaterna får utsträcka regleringen även till manuellt förda register. Det är emellertid inte tillåtet att flytta över personuppgifter från ADB-register till manuella register för att därigenom undgå rekommendationens reglering. Med polisregister i rekommendationen avses alla former av strukturerade personuppgifter som förs av polismyndighet med syfte att förhindra och bekämpa brott samt upprätthålla allmän ordning. Polismyndighet skall anmäla sina register till dataskyddsmyndigheten. Endast sådana personuppgifter får samlas in som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott såvida inte den inhemska lagstiftningen godkänner att mer omfattande uppgifter samlas in. Om möjligt bör den enskilde informeras om att uppgifter samlats in om honom eller henne när det inte längre är till förfång för

polisverksamheten. Lagrade uppgifter skall så långt det är möjligt vara riktiga och begränsade till sådant som är nödvändigt för att polismyndigheten skall kunna fullgöra sina lagstadgade uppgifter. Personuppgifter i polisregister får endast användas för polisändamål och överföras från en polismyndighet till en annan om uppgifterna behövs av mottagaren för att förhindra eller bekämpa brott eller upprätthålla allmän ordning. För att den enskilde skall kunna utöva vissa rättigheter skall det finnas en offentlig uppgift om befintliga polisregister. Den enskilde skall nämligen kunna få polisregisterutdrag och kräva att felaktiga uppgifter rättas eller tas bort. En begäran att få registerutdrag kan i princip vägras endast i två fall, nämligen om det krävs för att skydda vittnen eller polisinformatörer eller om det är oundgängligen nödvändigt för att utföra en lagstadgad polisuppgift. Den enskilde skall även ha rätt att överklaga ett avslagsbeslut. Datakvaliteten skall fortlöpande kontrolleras i ett polisregister. Särskilda krav ställs också på datasäkerheten, bl.a. skall det föras ett loggregister (uppgifterna om rekommendationen är hämtade från Claes Kring & Sten Wahlqvist: Datalagen med kommentarer, Stockholm 1989; s. 40 f.).

Polisdatalagen har varit föremål för utredning och polisdatautredningen avgav i december 2001 sitt betänkande Behandling av personuppgifter i polisens verksamhet (SOU 2001:92). Enligt direktiven hade utredningen bl.a. i uppdrag att följa genomförandet av polisregisterlagstiftningen och att påtala eventuella brister, särskilt från integritetssynpunkt. Utredningen skulle även överväga om det behövde vidtas några åtgärder för att lagstiftningen skulle uppnå sitt syfte att öka möjligheten till effektiv brottsbekämpning och samtidigt värna om den enskildes personliga integritet. I betänkandet anför utredningen att målsättningen är att lagförslagen skall utgöra en lämplig avvägning mellan polisens rätt att använda modern teknik och den enskildes integritet samt att hinder för ett rationellt utnyttjande av datorstöd inte bör ställas upp i större utsträckning än vad som är nödvändigt med hänsyn till intresset av skydd för den personliga integriteten. Utredningen föreslår att en helt ny polisdatalag bör införas, men att de särskilda lagarna som reglerar belastningsregistret, misstankeregistret och Schengens informationssystem bör behållas oförändrade. Den nya polisdatalagen föreslås bli heltäckande och upprepa de bestämmelser i personuppgiftslagen som skall vara tillämpliga i polisens verksamhet. Den nya lagens syfte föreslås, liksom personuppgiftslagens, vara att skydda människor mot att deras personliga integritet

kränks genom behandling av personuppgifter. Lagen föreslås också gälla enbart i polisens verksamhet och således inte omfatta Ekobrottsmyndigheten. Personuppgifter bör få behandlas endast om behandlingen är nödvändig för att polisen skall kunna utföra polisverksamhet som består i att förebygga brott och andra störningar av den allmänna ordningen och säkerheten, övervaka den allmänna ordningen och säkerheten, hindra störningar därav samt ingripa när sådana inträffat eller bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Lagförslaget hindrar inte att personuppgifter diarieförs eller behandlas i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelserna om kriminalunderrättelseverksamhet och kriminalunderrättelseregister i den gamla polisdatalagen föreslås bli ersatta av bestämmelser om behandling av uppgifter om enskilda personer som det inte finns någon misstanke om brott mot. Vidare föreslås att direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna. Utredningen föreslår också att det allmänna spaningsregistret, registret med uppgifter om DNA-analyser i brottmål och fingeravtrycks- och signalementsregistret regleras särskilt i lagen. Den nya polisdatalagen föreslås träda i kraft den 1 juli 2003.

Justitiedepartementet har den 15 oktober 2002 remitterat en departementspromemoria om behandling av personuppgifter i polisverksamhet vid Ekobrottsmyndigheten (Ju 2002/6933/PÅ). I promemorian föreslås att polisverksamhet vid Ekobrottsmyndigheten skall omfattas av polisdatalagen (1998:622). Förslaget innebär att poliser vid Ekobrottsmyndigheten får möjlighet att automatiserat behandla personuppgifter i samma utsträckning som poliser i övrigt.

Polisdatautredningens betänkande har remissbehandlats och överlag är remissinstanserna positiva till de överväganden som redovisas i betänkandet. Det framhålls att förslagen ger polisen möjlighet till en effektiv brottsbekämpning samtidigt som enskildas personliga integritet tillvaratas på ett i huvudsak tillfredsställande sätt. Ett antal remissinstanser som särskilt yttrat sig i frågan är tveksamma till förslaget att i den nya polisdatalagen upprepa de bestämmelser i personuppgiftslagen som skall vara tillämpliga i polisens verksamhet. Flera remissinstanser anser att den nya lagen bör hänvisa till bestämmelserna i personuppgiftslagen i stället för att upprepa dem. En massiv kritik har riktats mot

utredningens förslag att direkt åtkomst till personuppgifter skall vara förbehållen de personer inom polisen som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna. Många remissinstanser pekar på att en påtaglig effekt av en sådan bestämmelse är att övriga brottsbekämpande myndigheter fråntas sin rätt till direktåtkomst, något som med största sannolikhet avsevärt skulle försvåra – och i vissa fall kanske omöjliggöra – det arbete som de myndigheterna är satta att utföra.

7.1.2. Kustbevakningen

De uppgifter som ålagts Kustbevakningen framgår av förordningen (1988:256) med instruktion för Kustbevakningen.

Kustbevakningen är en av landets gränskontrollmyndigheter och har givits ett samlat ansvar för gränskontrollen till sjöss avseende både personer och varor. Uppgiften förutsätter – och bedrivs i – ett mycket nära samarbete med polisen och Tullverket.

Den övervakning av laglydnaden till sjöss som Kustbevakningen bedriver kan delas in i områdena polisiär verksamhet, kontroll av efterlevnad av in- och utförselföreskrifter, fiskeriövervakning och kontroll, sjötrafikövervakning och sjösäkerhetsarbete, miljöövervakning samt övrig sjöövervakning.

Kustbevakningen har också till uppgift att samordna de civila behoven av sjöövervakning och sjöinformation och förmedla denna information till berörda myndigheter. Härutöver skall Kustbevakningen följa den internationella utvecklingen inom sitt verksamhetsområde och medverka i internationellt samarbete för att utveckla gränskontroll, brottsbekämpning till sjöss, miljöskydd till sjöss och annan sjöövervakning. Kustbevakningen skall vidare samverka med andra myndigheter för att främja svenskt deltagande i internationellt samarbete inom sitt verksamhetsområde.

Den polisiära verksamheten bedrivs inom samtliga ovan angivna områden då det föreligger misstanke om brott. Med stöd av lagen (1982:395) om Kustbevakningens medverkan vid polisiär övervakning har kustbevakningstjänstemännen samma befogenheter som en polisman att hålla förhör, medtaga till förhör, gripa en person och att genomföra viss husrannsakan. Förundersökningsrätt tillkommer Kustbevakningen enbart inom miljöbrottsområdet. En särskild inriktning inom den polisiära verksamheten är gränskontrollen avseende personers rätt till in- och utresa samt vistelse i

Sverige (inre utlänningskontroll till sjöss). Kustbevakningen medverkar i personkontrollen genom att utöva kontroll av sjötrafiken. Kontroll genomförs av handelssjöfarten, varvid besättnings- och passagerarlistor kontrolleras mot olika register. Kontroll till sjöss genomförs främst ombord på fritidsbåtar och fiskefartyg men även ombord på handelsfartyg.

Kustbevakningens medverkan i tullkontrollen sker enligt tullförordningen genom utövning av tullkontroll av sjötrafiken. Kustbevakningen skall vidare på begäran bistå Tullverket, om det behövs för att Tullverket skall kunna vidta en avsedd tullkontrollåtgärd. Kustbevakningstjänstemännen har i bägge dessa situationer samma befogenheter som en tulltjänsteman att hålla förhör, gripa en person och att ta egendom i beslag. Kontrollverksamheten är främst inriktad mot narkotikasmugglingen och den storskaliga smugglingen av alkohol och tobak. Lagstöd finns i tullagen (2000:1281) och lagen (2000:1225) om straff för varusmuggling.

Rättslig reglering saknas för närvarande om Kustbevakningens behandling av personuppgifter i den brottsbekämpande verksamheten. Inom myndigheten pågår dock arbete med att ta fram underlag för en blivande författningsreglering.

Kustbevakningen bedriver inte någon självständig underrättelseverksamhet. Genom att ha placerat en sambandsman hos Tullverkets analysenhet och en hos Rikskriminalpolisen samverkar Kustbevakningen dock i tullens och polisens underrättelseverksamhet och stödjer verksamheten med sin särskilda kompetens avseende fiske och sjöfart samt får för egen del viktig information och analyser från Tullverket och polisen. I var och en av de fyra regionledningarna finns en handläggare som bland sina uppgifter svarar för samverkan med tullens respektive polisens underrättelsehandläggare. Regeringen har i budgetpropositionen framhållit vikten av att samarbetet mellan Kustbevakningen och Tullverket utvecklas samt anfört att myndigheterna i samråd bör arbeta fram ett system för riskanalyser, baserat på underrättelser och brottsmisstankar som kan vara styrande för kontrollverksamhetens utformning (prop. 2001/02:1, utgiftsområde 6, s 118). Myndigheterna har därefter i regleringsbreven för år 2002 fått ett sådant uppdrag av regeringen. Kustbevakningen har samtidigt fått ett uppdrag att i samråd med polisen på motsvarande sätt utveckla ett riskanalysbaserat arbetssätt i den polisiära verksamheten.

Enligt gällande förordning får Kustbevakningen ha direktåtkomst till Tullverkets underrättelseregister. Kustbevakningen har

tillgång till dessa system genom Tullverkets nätverk. Kustbevakningen har enligt den nu gällande lagstiftningen inte direktåtkomst till polisens misstankeregister, belastningsregister eller till det allmänna spaningsregistret, men däremot till uppgifter i det av Rikspolisstyrelsen förda nationella SIS-registret (Schengens informationssystem).

7.1.3. Skattemyndigheterna och skattebrottsenheterna

För skatteförvaltningen gäller förordningen (1990:1293) med instruktion för skatteförvaltningen. Av lagen (1997:1024) om skattemyndigheters medverkan i brottsutredningar framgår att skattemyndigheter får medverka vid brottsutredningar om vissa föreskrivna skattebrott eller folkbokföringsbrott. I övrigt kan skattemyndighet ges möjlighet att medverka vid undersökning av annat brott, förutsatt att åklagaren finner att det föreligger särskilda skäl för det. Det är åklagaren som är behörig att begära biträde av en skattemyndighet vid en undersöknings verkställande. Biträde från en skattemyndighet kan även begäras innan en förundersökning har inletts.

Av instruktionen för skatteförvaltningen framgår vidare att det skall finnas en särskild skattebrottsenhet vid de skattemyndigheter vilka medverkar i brottsutredningarna. Skatteförvaltningen har också till uppgift att verka brottsförebyggande.

Skattebrottsenheternas behandling av personuppgifter regleras av lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar och förordningen (1999:105) med samma namn. Lagen gäller utöver personuppgiftslagen och är tillämplig vid behandling av personuppgifter i en skattemyndighets verksamhet för att bedriva spaning och utredning i fråga om vissa angivna skatterelaterade brott och folkbokföringsbrott samt för att förebygga sådana brott.

Skattemyndigheterna har rätt att föra underrättelseregister om syftet är att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet eller för att ge underlag för beslut om särskilda undersökningar avseende allvarlig brottslig verksamhet. För att underrättelseregistret skall få innehålla uppgifter som kan hänföras till en enskild person krävs att uppgifterna ger anledning att anta att allvarlig brottslig verksamhet utövats eller kan komma att utövas och att den som avses med

uppgifterna skäligen kan misstänkas för att ha utövat eller komma att utöva den allvarliga brottsliga verksamheten.

För att personuppgifter skall få behandlas i underrättelseverksamhet föreskrivs att en särskild undersökning avseende skatte- och folkbokföringsbrott skall ha inletts och att det finns anledning att anta att allvarlig brottslighet har utövats eller kan komma att utövas.

Riksskatteverket och skattemyndigheterna får ha direktåtkomst till underrättelseregistren. Härutöver får uppgifter lämnas ut till Ekobrottsmyndigheten, en polismyndighet och Tullverket.

7.1.4. Ekobrottsmyndigheten

För Ekobrottsmyndigheten gäller förordningen (1997:898) med instruktion för Ekobrottsmyndigheten. Eftersom Ekobrottsmyndigheten är en åklagarmyndighet är även de generella bestämmelserna om åklagare, vilka bl.a. återfinns i rättegångsbalken, samt åklagarförordningen (1996:205) tillämpliga.

Ekobrottsmyndigheten är en åklagarmyndighet för bekämpning av ekonomisk brottslighet. Ekobrottsmyndigheten skiljer sig från andra åklagarmyndigheter genom att dess uppgifter är funktionellt bestämda. Vid myndigheten tjänstgör åklagare, poliser, ekonomer, andra experter och administratörer. Poliserna vid Ekobrottsmyndigheten är anställda av polisväsendet och inkommenderade för tjänstgöring vid myndigheten. I övrigt finns det möjlighet att vid behov placera personal från skatteförvaltningen, exekutionsväsendet, Tullverket och andra myndigheter vid Ekobrottsmyndigheten.

Ekobrottsmyndigheten handlägger mål som avser 11 kap. brottsbalken, lagen (1967:531) om tryggande av pensionsutfästelser m.m., skattebrottslagen (1971:69), aktiebolagslagen (1975:1385), insiderstrafflagen (2002:1086) och mål vars handläggning annars ställer särskilda krav på kännedom om finansiella förhållanden, näringslivsförhållanden, skatterätt eller liknande. Ekobrottsmyndigheten handlägger vidare mål som avser 9 kap.13 §§brottsbalken om gärningen rör EU:s finansiella intressen samt 9 kap. 3 a § brottsbalken.

Ekobrottsmyndigheten arbetar såväl brottsbekämpande med brottsutredningar och lagföring som brottsförebyggande.

Ekobrottsmyndigheten har till uppgift att bekämpa ekonomisk brottslighet och svarar för den nationella samordningen och andra åtgärder för bekämpning av den ekonomiska brottsligheten. Myndigheten har vidare ålagts att ansvara för samordningen av de nationella åtgärderna mot bedrägerier, missbruk och annan oegentlig och ineffektiv hantering och användning av EUrelaterade medel i landet. Ekobrottsmyndigheten skall även arbeta brottsförebyggande. Eftersom brottsförebyggande arbete är att beteckna som en polisiär uppgift ankommer det på polispersonalen vid Ekobrottsmyndigheten att sköta detta.

Det saknas en rättslig reglering såvitt avser Ekobrottsmyndighetens behandling av personuppgifter. Arbete pågår inom Justitiedepartementet för att tillskapa en sådan reglering. Eftersom polisdatalagen endast är tillämplig i polisiär verksamhet omfattar lagen inte Ekobrottsmyndigheten, vilket får till följd att de polismän som arbetar med polisiär verksamhet vid Ekobrottsmyndigheten inte ges samma verktyg för att lösa sina uppgifter som de poliser som arbetar i polisväsendet. Denna ordning har upplevts som otillfredsställande och regeringen beslutade därför den 30 maj 2002 om en ändring i polisdatalagen, vilken innebär att de poliser som arbetar vid Ekobrottsmyndigheten skall likställas med övriga polismän. Lagändringen innebär att polismän vid Ekobrottsmyndigheten i sitt brottsförebyggande arbete ges direktåtkomst till det allmänna spaningsregistret och kriminalunderrättelseregistret.

Ekobrottsmyndigheten har inte rätt att behandla personuppgifter automatiserat i underrättelseverksamhet. Justitiedepartementet har emellertid, som nämnts ovan, nyligen remitterat ett förslag som innebär att poliser vid Ekobrottsmyndigheten skall få möjlighet att automatiserat behandla personuppgifter i samma utsträckning som poliser i övrigt (jfr avsnitt 7.1.1).

7.1.5. Åklagarväsendet

De grundläggande reglerna för åklagarverksamheten finns i 7 kap. rättegångsbalken. Ytterligare bestämmelser finns i förordningen (1989:847) med instruktion för Riksåklagaren, i åklagarförordningen (1996:205) och i strafföreläggandekungörelsen (1970:60).

Åklagarnas arbetsuppgifter består i att vara förundersökningsledare i sådana brottmål där saken inte är av enkel beskaffenhet,

fatta beslut i åtalsfrågan och föra talan i domstol. Åklagarna har härutöver getts långtgående befogenheter bl.a. när det gäller att besluta om olika straffprocessuella tvångsmedel såsom anhållande, husrannsakan och beslag. Enligt bestämmelser i 48 kap. rättegångsbalken har åklagarna rätt att förelägga bötesstraff och villkorlig dom eller sådan påföljd i förening med böter genom strafföreläggande.

Den enda rättsliga reglering som finns beträffande åklagarnas behandling av personuppgifter är förordningen (1995:1006) om registerföring vid åklagarmyndigheterna vilken reglerar hanteringen av ärenderegistren. Justitiedepartementet arbetar emellertid med en ny reglering.

Åklagarna har inte rätt att bedriva underrättelseverksamhet.

7.2. Utredningens myndighetsbesök

Som ett led i utredningsarbetet har utredningen företagit besök hos de myndigheter som samverkar med tullen såvitt avser informationsutbyte. Utredningen har därvid träffat företrädare för Ekobrottsmyndigheten, Kustbevakningen, Polismyndigheten i Stockholm, Rikspolisstyrelsen, Riksskatteverket, Riksåklagaren och Skattemyndighetens i Stockholm skattebrottsenhet. Utredningen har även träffat Tullverkets ledning samt getts tillfälle att närvara vid ett av RIF-gruppens sammanträden.

En samsyn redovisas av samtliga myndigheter såvitt avser frågan om samverkan mellan myndigheterna i den brottsförebyggande och brottsbekämpande verksamheten. Samtliga myndighetsföreträdare poängterar att det är nödvändigt och viktigt att de brottsbekämpande myndigheterna samverkar i så stor utsträckning som möjligt. Det betonas också att varje brottsbekämpande myndighet måste få del av den information som behövs för att myndigheten skall kunna lösa sina uppgifter. Det bedöms som otillfredsställande att brottsbekämpande myndigheter som har likartade uppgifter inte ges samma förutsättningar att kunna lösa sina uppgifter. Regleringen kring vilka brottsbekämpande myndigheter som får bedriva underrättelseverksamhet ges som ett belysande exempel, varvid det poängteras att det inte kan anses som en acceptabel ordning att inte alla de myndigheter som har brottsbekämpande uppgifter också ges tillåtelse att bedriva underrättelseverksamhet.

Beträffande frågor om informationsteknologi och säkerhet framhålls att det är väsentligt att de brottsbekämpande myndigheterna har en gemensam och generell syn på säkerhet, information och gränssnitt. Målsättningen bör vara att söka åstadkomma en så god informationsförsörjning som möjligt.

Säkerhetsfrågorna bedöms dock vara komplicerade, eftersom det inom respektive myndighet finns olika uppfattningar om vad en godtagbar säkerhetsnivå innebär. Polisens slutna system är en annan komplicerande faktor, eftersom flera andra myndigheter har mer öppna system och access mot Internet. RIF-myndigheterna planerar att träffa principöverenskommelser beträffande bl.a. ITsäkerhet.

Vad gäller behandlade frågor om juridiska och tekniska hinder mot samverkan påpekas från flera håll att det inte finns några större tekniska hinder utan att det är lagstiftningen som ställer till problem. Sekretesslagen och dess lagtekniska uppdelning på skilda myndigheter bedöms hindra ett effektivt samarbete mellan de brottsbekämpande myndigheterna. I stället förordas att de brottsbekämpande myndigheterna skall ses som en helhet och betecknas som en gemensam verksamhet.

Det poängteras att det är viktigt att de brottsbekämpande myndigheterna ges verktyg så att de kan arbeta proaktivt, vilket statsmakterna har uttryckt som ambition.

7.3. Åtgärder för ett förbättrat brottsbekämpande arbete

Statsmakterna har vid upprepade tillfällen understrukit vikten av att på bred front skapa förutsättningar för ett långsiktigt brottsförebyggande arbete inom alla samhällssektorer. För att skapa så goda förutsättningar som möjligt för den brottsbekämpande verksamheten har det uttalats att det krävs samverkan mellan myndigheter. I det följande ges en sammanfattning av regeringens försök att samordna informationsförsörjningen inom rättsväsendet genom den s.k. RIF-samordningen samt en beskrivning av förordningen (1997:899) om myndighetssamverkan mot ekonomisk brottslighet. Därefter redovisas regeringens nya strategi mot den ekonomiska brottsligheten. Avsnittet avslutas med en kortfattad redogörelse för en informationsrapport från Riksdagens revisorer.

7.3.1. Rättsväsendets informationsförsörjning – RIF-samordningen

Regeringen fastställde genom beslut den 21 november 1996, Ju 96/3163, en strategi för samordning av rättsväsendets informationsförsörjning och uppdrog samtidigt åt Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Kriminalvårdsstyrelsen, Brottsförebyggande rådet, Brottsoffermyndigheten, Tullverket (dåvarande Generaltullstyrelsen) och Riksskatteverket att från och med den 1 januari 1997 arbeta i enlighet med strategin. Rikspolisstyrelsen fick i uppdrag att svara för nödvändiga formaliteter i samband med inrättandet av Rådet för rättsväsendets informationsförsörjning (RIF-rådet). Diskussioner har sedermera förts om huruvida Ekobrottsmyndigheten bör adjungeras till rådet men något beslut har hittills inte fattats. Även Kustbevakningen har gjort en framställning till Justitiedepartementet om att få ingå i arbetet med RIF-samordningen.

Regeringens övergripande mål för samordningen är att informationsförsörjningen inom rättsväsendet skall stödja verksamheten så att den kan bedrivas med hög effektivitet, produktivitet och kvalitet. Informationsförsörjningen skall vara kostnadseffektiv och säker samt svara mot RIF-myndigheternas behov. Under förutsättning att den personliga integriteten värnas skall en uppgift normalt endast registreras en gång och kontrolleras direkt vid källan och varje behörig myndighet skall kunna få den information som behövs vid vilken tidpunkt som helst och i önskad form.

Strategin för samordning av rättsväsendets informationsförsörjning innehåller bl.a. regler om ansvarsfördelning mellan de samverkande myndigheterna. Av strategin följer att varje myndighet skall ansvara för sin del av den totala samordningsverksamheten. Detta innebär att varje myndighet skall fatta beslut inom sitt verksamhetsområde. Formellt skall det inte fattas några beslut i rådet men det är möjligt att myndighetsgemensamma beslut kan komma att fattas av myndighetsföreträdarna i rådet.

I november 1999 fastställde RIF-rådet en vision för rättsväsendets brottmålshantering. Målet är att man skall söka åstadkomma en papperslös ärendehantering, en generell kommunikationslösning, ett enhetligt stöd för utredningsprocessen och vissa gemensamma system. Bättre förutsättningar att följa upp rättsväsendets samlade resultat genom samordnad verksamhets- och rättsstatistik måste skapas. Informationsförsörjningen skall

svara mot RIF-myndigheternas verksamhetsbehov. För att detta skall kunna uppnås måste bl.a. en förbättrad samordning av den gemensamma informationen utvecklas, informationen kunna utbytas på ett säkert och valfritt sätt med intressenter utanför rättsväsendet och med allmänheten samt en ökad användning av modern teknik i brottmålshanteringen komma till stånd.

I februari 2002 överlämnade RIF-myndigheterna en strategisk plan för samordning av rättsväsendets informationsförsörjning till regeringen. I planen, som sträcker sig fram till år 2007, prioriterar RIF-myndigheterna tre verksamhetsområden:

N Gemensam ärendehantering och informationsutbyte under

förundersökningen. N Stöd för hantering och dokumentation av straffprocessuella

tvångsmedel. N Elektronisk dom och uppgift om laga kraft.

Som grundläggande förutsättningar för det fortsatta utvecklingsarbetet avser RIF-rådet, att, senast vid utgången av år 2002, träffa principöverenskommelser om

N modell för gemensamma definitioner på verksamhets-

begrepp, N ett nytt sätt att klassificera brott, N rätt nivå på gemensam säkerhet vid informationsutbyte, N gemensam syn på kommunikationsteknik samt definition av

informationsägare.

RIF-samordningen präglas av en helhetssyn på brottmålshanteringen. Utvecklings- och samordningsarbetet skall bedrivas utifrån ett processorienterat synsätt. De åtgärder som planeras skall analyseras utifrån vilken nytta de medför i förhållande till kostnaderna. För att arbetet med att samordna informationsförsörjningen inom rättsväsendet skall lyckas bedöms det nödvändigt att samverkan mellan RIF-myndigheterna ökar ytterligare. I takt med att Sveriges internationella åtaganden har ökat genom bl.a. medlemskapet i EU, ställs även krav på en ökad internationell samverkan mellan rättsmyndigheter i olika länder. Samverkan bedöms viktig för att skapa förutsättningar för kommunikation och utbyte av information, för att bl.a. kunna erbjuda bättre service till allmänheten och för att skapa bättre förutsättningar för den brottsbekämpande verksamheten.

7.3.2. Myndighetssamverkan mot ekonomisk brottslighet

Föreskrifter om samverkan mellan myndigheter för att förebygga och bekämpa ekonomisk brottslighet finns i förordningen (1997:899) om myndighetssamverkan mot ekonomisk brottslighet. Syftet är att effektivisera kampen mot den ekonomiska brottsligheten genom informationsutbyte, överläggning och samordning mellan berörda statliga myndigheter och genom samverkan mellan dessa myndigheter och kommuner, näringsliv och organisationer. Syftet är också att ge regering och riksdag underlag för åtgärder mot den ekonomiska brottsligheten. Samverkansorganet på central nivå mot ekonomisk brottslighet utgörs av Ekorådet. I rådet ingår riksåklagaren, generaldirektören för Ekobrottsmyndigheten, rikspolischefen, generaltulldirektören, generaldirektören för Brottsförebyggande rådet, generaldirektören för Finansinspektionen, och generaldirektören för Riksskatteverket. I Ekorådet ingår också företrädare för Statens jordbruksverk, Verket för näringslivsutveckling och Patent- och registreringsverket. Regeringen kan också utse andra ledamöter i Ekorådet. Därutöver finns ett regionalt samverkansorgan i varje län. Ekorådet har till uppgift att bl.a. följa utvecklingen av den ekonomiska brottsligheten i samhället, tidigt uppmärksamma nya inslag i den ekonomiska brottsligheten samt ta initiativ till myndighetsgemensamma aktioner för att förebygga och bekämpa den ekonomiska brottsligheten. De regionala samverkansorganen har motsvarande uppgifter på lokal nivå.

7.3.3. Ny strategi mot den ekonomiska brottsligheten

I regeringens skrivelse Lägesrapport om den ekonomiska brottsligheten (skr. 2001/02:40) tillkännager regeringen att den avser att utarbeta en ny samlad strategi mot den ekonomiska brottsligheten. Regeringen anför bl.a. följande. Den utbredda ekonomiska brottsligheten rubbar tilltron till välfärdssystemen och därmed också den generella välfärdspolitiken. Att få till stånd och vidmakthålla en effektiv bekämpning av den ekonomiska brottsligheten är därför inte bara en viktig kriminalpolitisk uppgift utan också en viktig rättvisefråga och fördelningspolitisk fråga. För att säkerställa ett fortsatt offensivt arbete mot den ekonomiska brottsligheten bör en ny samlad strategi utarbetas. Viktiga delar i

en ny strategi är bl.a. att tillse att det sker en optimal användning av resurserna och ett mer utvecklat brottsförebyggande arbete mot ekonomisk brottslighet. Det är angeläget att det finns system som bättre än i dag kan säkerställa att de brottsförebyggande aspekterna får tillräckligt genomslag vid utformningen av lagstiftning av betydelse för den ekonomiska brottsligheten. Behovet av särskilda riskbedömningssystem liksom institutionella lösningar bör övervägas. En annan viktig del består i att utveckla myndigheternas brottsförebyggande arbete.

7.3.4. Riksdagens revisorers Informationsrapport 2001/02:4

Riksdagens revisorer genomförde under våren 2002 ett informationsbesök hos Tullverkets och Kustbevakningens ledningar. Besöket var föranlett av att skatteutskottet hade föreslagit revisorerna att belysa hur Kustbevakningens samarbete med Tullverket och hanteringen av tullbevakningsuppgifterna utvecklats efter att Kustbevakningen blivit en egen myndighet 1988.

Av revisorernas rapport framgår bl.a. att den ökande internationaliseringen och andra omvärldsfaktorer har påverkat de båda myndigheterna och medfört ett ökat behov av samverkan både nationellt och internationellt. I rapporten hänvisas också till regeringens budgetproposition (prop. 2001/02:1), där regeringen konstaterar att ett utvecklat samarbete mellan Tullverket och Kustbevakningen är nödvändigt för att en effektiv och ändamålsenlig gränskontroll skall kunna uppnås. Betydelsen av samverkan med polisen framhålls också. Riksdagens revisorer framför i sin rapport att en särskilt viktig förutsättning för ett effektivt samarbete är att de olika myndigheterna har tillång till uppgifter ur eller åtkomst till varandras spanings- och underrättelseregister samt misstankeregister (Riksdagens revisorer, Informationsrapport 2001/02:4 Tullverket utan Kustbevakning, s. 25 f.).

8. Internationell utblick

Enligt direktiven skall utredningen bl.a. utreda om Tullverkets fiskala tulldatasystem (TDS) bör få användas i brottsbekämpande verksamhet och i så fall ge förslag till lagändringar som gör detta möjligt. Utredningen har därför utformat en enkät som ställts till generaldirektörerna för tullorganisationerna i EU:s medlemsstater samt Norge och Island för att få information om hur arbetet med att bekämpa gränsbrottsligheten bedrivs i andra europeiska länder. I enkäten ställs vissa allmänna frågor om hur tullen är organiserad och om tullen samarbetar med andra myndigheter samt vilken information tullen har tillgång till. Enkäten i sin helhet är intagen i betänkandet som bilaga 2.

De länder som har svarat på enkäten är Danmark, Finland, Grekland, Irland, Island, Italien, Luxemburg, Nederländerna, Norge, Spanien, Storbritannien, Tyskland och Österrike.

8.1. Danmark

Den danska tullmyndigheten tillhör organisatoriskt Skatteministeriet. Den centrala tull- och skattestyrelsen har det strategiska ansvaret medan det operativa ansvaret är fördelat på 31 tull- och skatteregioner. Till åtta av dessa regioner har det knutits ett tullcenter, vilket ansvarar för tullkontrollen av landets inre och yttre gränser.

Den danska tullen har ansvar för gränskontrollen av den legala varutrafiken (import, export och transit) samt för den illegala varutrafiken, såsom smugglingsbrott. Polisen ansvarar för passkontroll, förhindrande av illegal invandring och olovlig införsel av t.ex. barnpornografi.

Den gemensamma tull- och skattemyndigheten har ansvar både för gränskontrollen och för frågor angående gränshandel avseende tull, mervärdesskatt och punktskatter samt indrivning av nämnda

skatter och avgifter. All information lagras i olika register i en databas. Alla anställda i den gemensamma tull- och skattemyndigheten, vilka har behov av information i sitt arbete, har tillgång till uppgifterna i databasen. De anställda har också möjlighet att företa direkta sökningar i de enskilda systemen avseende tull, punktskatter, mervärdesskatt, företags- och personbeskattning samt information rörande egendom. Tjänstemännen har vidare direktåtkomst till uppgifter angående indrivning och restföring av nämnda skatter och avgifter.

Den gemensamma tull- och skattemyndigheten har inte direktåtkomst till polisens databaser men information kan utväxlas mellan myndigheterna.

8.2. Finland

I Finland ansvarar polisen, tullen och gränsbevakningen för bekämpningen av gränsbrottsligheten, de s.k. PTG-myndigheterna. Dessa myndigheter har ingått nationella bilaterala samarbetsavtal, vari gjorts överenskommelser om samarbets- och handräckningsarrangemang mellan myndigheterna. Myndigheternas lokala distrikt har även ingått egna samarbetsavtal, i vilka regionala och lokala förhållanden har kunnat beaktas. Bevakningen av brottsligheten vid landets gränser ansvarar tullen och gränsbevakningen för. Personkontrollen sköts av gränsbevakningen och tullen ansvarar för varukontrollen. Vid några gränsövergångsställen finns endast personal från tullen stationerad och denna har därför getts befogenhet att även ansvara för personkontrollen.

Den finska tullen ansvarar både för gränsbrottsligheten och för den fiskala delen angående uppbörd av tull och frågor om gränshandel. För tillfället bedrivs informationsutbytet mellan de olika verksamhetsgrenarna inom tullen via kontaktpersoner men ett datorsystem planeras att tas i drift. Databasen kommer att innehålla information om de olika verksamhetsgrenarna inom tullen och säkerställa tillgången till uppgifter mellan de olika verksamheterna.

Varje PTG-myndighet har rätt att erhålla och skyldighet att överlämna information till en annan PTG-myndighet i den brottsbekämpande verksamheten. Flera av databaserna kan nås via direktåtkomst. Tullen och skatteförvaltningen har däremot inte

direktåtkomst till varandras databaser men information kan lämnas ut mellan myndigheterna efter en begäran i det enskilda fallet.

8.3. Grekland

Den grekiska tullmyndigheten lyder under Finansministeriet. Några tulldirektorat har en mera allmän karaktär och arbetet är inriktat på all slags tullverksamhet, från uppbörd av tullavgifter till handläggning av frågor som rör narkotika och andra förbjudna varor, medan andra direktorat sysslar med preventiva åtgärder eller är specialiserade på vissa områden, som t.ex. bekämpning av narkotikahandeln.

Tullens underrättelsetjänst har möjlighet att använda sig av egna uppgifter ur de fiskala registren angående import och export i den brottsbekämpande verksamheten. Polisen har också denna möjlighet. Direktåtkomst till databaserna föreligger.

Andra myndigheter förutom tullen, t.ex. polisen och hamnpolisen, har befogenhet att bekämpa tullrelaterad brottslighet som smuggling och tullbrott. I sådana ärenden har tullen getts en möjlighet att vid behov samverka med den andra myndigheten. De deltagande myndigheterna har tillgång till varandras datorsystem.

Tullen samverkar med polisen i det nationella samordningsorganet för droger och i Europols nationella enhet. Tullen har inte direktåtkomst till polisens databaser.

8.4. Irland

Den irländska tullen är en del av skatteverket (Office of the Revenue Commissioners), som är den myndighet som på uppdrag av den irländska regeringen skall se till att skatt, uppbörd och tull drivs in till staten. Tullverket har huvudansvaret för förebyggande åtgärder, upptäckt, stoppande och beslag av kontrollerad narkotika som är avsedd för illegal import eller som redan är införd i landet. Två avdelningar inom skatteverket har ansvaret för denna brottsbekämpande verksamhet, nämligen den verkställande avdelningen för tull och punktskatter (Customs and Excise Enforcement Division) och uppbördsavdelningen för tull och punktskatter (Customs and Excise Collections Division).

En viktig förstärkning av de brottsbekämpande organen är Byrån för brottsligt förvärvade tillgångar (Criminal Assets Bureau). Byrån består av tjänstemän från tullen, polisen, skatteverket och ministeriet för sociala frågor och har till uppgift att identifiera och beslagta vinster av brottslig verksamhet, inklusive medel och andra tillgångar som härrör från narkotikahandel och vinster från tull- och skattebrott.

Vad avser tillgången till information så har tullen i sin brottsbekämpande verksamhet tillgång till ett internt nätverk för den brottsbekämpande verksamheten (Customs Enforcement Network). I databasen registreras uppgifter om lagöverträdelser, anhållanden, beslag som gjorts samt upptäckter. Uppgifter om brottslingar och misstänkta brottslingar, deras adresser, eventuella kompanjoner, fordon och rörelser registreras också och handhas i enlighet med dataskyddslagstiftningen. Övervakning och spaning används regelmässigt för att samla in brottsrelaterad information och för att erhålla bevis som stöd för åtal avseende tullbrott.

Information om import- och exporttransaktioner lagras i ett antal interna databaser och innefattar bl.a. historiska datorsystem och handelsstatistiksystem. EU:s system för utbyte av information om mervärdesskatt (VIES) används också för att övervaka rörelser inom EU av varor för moms- och skattesyften. Information från dessa databaser får användas av tullens personal i undersökande och verkställande syfte liksom i underrättelseverksamheten och revisionsarbetet, förutsatt att det är förenligt med dataskyddslagstiftningen. Byrån för brottsligt förvärvade tillgångar har också tillgång till motsvarande information.

Tullen är den enda myndighet som utreder tullbrott och smuggling på Irland. Polisen kan dock i vissa fall också ges verkställande befogenheter i samband med att polisen upptäcker smugglingsaktiviteter och personal från tullen saknas på plats. Den undersökande funktionen avseende tullbrott ankommer dock enbart på tullen.

Den irländska tullen och polisen samarbetar vad avser frågor inom samma jurisdiktion, t.ex. avseende bekämpning av den internationella droghandeln. Tullen har inte direktåtkomst till informationssystem som tillhör andra verkställande myndigheter utan får begära att få ut informationen i ett enskilt fall. I övrigt förekommer samarbete med skatteverket såvitt avser tull- och skatteärenden och eftersom den irländska tullen är en del av skatteverket kan frågor lösas på ett smidigt sätt.

8.5. Island

Enligt den isländska tullagen fungerar landets finansminister som tullens chef och utövar tillsyn över tulldirektörerna och statens tullnämnd. Landet är uppdelat i 27 tulldistrikt, som leds av tulldirektörer. Varje tulldirektör ansvarar för ”påläggning” och uppbörd av tull, skatt och avgifter som skall erläggas vid tullbehandlingen. Vidare ansvarar tulldirektörerna för övervakning och kontroll av import, omflyttning och export av varor samt trafiken till och från utlandet jämte transport av icke förtullat gods inom landet.

Tullbevakningen har möjlighet att tillgodogöra sig information från tillgängliga dataregister hos Hagstofan (Statistics Iceland) och från ett tullsystem som den överordnade tulldirektören i Reykjavik ansvarar för. Informationen kan användas i samband med granskning av personers och företags import och export av varor. Informationen kan också ligga till grund för riskbedömningar. Alla tulldirektörer har direktåtkomst till de nämnda databaserna.

Tulldirektörerna har fritt tillträde till tullsystemet och vissa informationssystem hos Hagstofan (Statistic Iceland), bl.a. personregistret, handelsrapporter med statistik om import och export, inkomst- och bokföringssystem samt register över skeppsbesättningar.

Polis- och skattemyndigheterna kan delta i undersökningar om smuggling och andra tullbrott och kan vid behov assisteras av tulldirektörerna.

Alla tulldirektörer, utom direktören i Reykjavik, har direktåtkomst till polisens och tullens datorsystem. Tulldirektören i Reykjavik får i stället begära uppgifter i varje enskilt fall.

8.6. Italien

Den italienska tullen hör organisatoriskt till Finansministeriet och är ansvarig för att besluta om och inkassera tullavgifter, mervärdesskatt och andra skatter jämte avgifter som har samband med import- och exportverksamhet. Härutöver har den italienska tullen ”extra fiskala uppgifter”, vilka regleras i specifika reglementen som ger tullen befogenhet att utföra kontroller av vapen, narkotika, hälsa och konst. Tulltjänstemännen fungerar både som skattepoliser och som kriminalpoliser och kan undersöka

personer, varor och transportmedel för att kontrollera att den internationella handeln utförs på ett korrekt sätt.

Både tullens och andra brottsbekämpande myndigheters underrättelsetjänster har möjlighet att genom direktåtkomst använda sig av egna uppgifter ur de fiskala registren angående import och export i den brottsbekämpande verksamheten, eftersom dataskyddsdirektivet inte är tillämpligt på kriminalpolisens verksamhet.

Utöver tullen har även finanspolisen befogenhet att bekämpa tullbrottsrelaterad kriminalitet, såsom smuggling och tullbedrägerier. Det pågår ett ständigt samarbete mellan myndigheterna både på central och regional nivå för att undvika dubbelarbete och för att kunna åstadkomma så bra utredningar som möjligt. Direktåtkomst mellan respektive myndighets databaser finns inte men informationen kan lämnas ut efter begäran.

Tullen och polisen samverkar i den brottsbekämpande verksamheten och tullens information och underrättelser om narkotikahandel, vapen, penningtvätt och maffiaorganisationer är omedelbart tillgänglig för polisen.

8.7. Luxemburg

Luxemburgs tulladministration tillhör Finansministeriet och har såväl fiskala befogenheter med avseende på tull och skatteavgifter som icke fiskal kompetens i kampen mot droger.

Information angående import- och exportförhållanden samt om det importerande företaget får användas i den brottsbekämpande verksamheten av tullens underrättelsetjänst och i tullens utredningar.

Underrättelsetjänsten och de som arbetar med tullens utredningar har fri tillgång till de databaser som innehåller information om import- och exportförhållanden. Härutöver har tullen tillgång till följande databaser och register: Schengens informationssystem, databas angående fysiska personer, register om utlänningar, register med information om bilar och lastbilar samt deras ägare, register med uppgifter om företag och ekonomiska aktörer samt register med uppgifter om förbjudna vapen och deras ägare.

I enlighet med särskilda nationella lagregler är det tillåtet för polisen att samverka med tullen i ärenden som har med tull, skatt

och andra tullrelaterade ärenden att göra. Man har dock inte tillgång till varandras datorsystem. En närmare samverkan med polisen såvitt avser drogärenden övervägs för närvarande.

Tullen har tillgång till polisens databaser i ärenden rörande smuggling av droger.

8.8. Nederländerna

Den holländska tullen är en del av skattemyndigheten och tillhör organisatoriskt Finansministeriet.

Det är den holländska tullen som ansvarar för kontrollen av import-, export- och transitgods, medan personkontrollen (kontroll av passhandlingar) ankommer på polisen. Tullmyndighetens arbete är av tillsynskaraktär och myndigheten är endast marginellt inblandad i brottsutredningar. Inom den nationella beskattningsmyndigheten är utredningarna av fiskala brott och tullbrott huvudsakligen att hänföra till en fiskal utredningsenhet – Fiscal Information and Investigation Service/Economic Investigation Service (FIOD-ECD).

Alla misstänkta brott som tullen upptäcker lämnas över för fortsatt utredning till FIOD-ECD, vars huvudsakliga uppgift består i att bekämpa brott. Enheten är specialiserad på skatte- och tullbrott respektive ekonomisk brottslighet. Vid sidan av detta har FIOD-ECD en speciell avdelning som ansvarar för övervakning av produktion, transport och handel av prekursorer (kemikalier som kan användas för framställning av narkotiska preparat).

Tullmyndigheten har flera sammanlänkade databaser. I princip gäller samma dataskyddsreglering för dessa databaser som för de fiskala databaserna. Fiskala databaser är dessutom skyddade av persondataskyddsregleringen. Information från sistnämnda databaser kan erhållas efter att en allmän åklagare har godkänt en förfrågan härom.

FIOD-ECD arbetar med information från två olika databaser och får ta del av såväl polisens uppgifter som uppgifter från fiskala databaser. Informationen blir åtkomlig efter att en förfrågan godkänts av allmän åklagare.

Databaser som innehåller information om import- och exportförhållanden är att beteckna som fiskala databaser. Databaserna skyddas av dataskyddsdirektivet. Information från dessa databaser kan erhållas efter att allmän åklagare har godkänt en förfrågan.

Eftersom både tullen och FIOD-ECD tillhör skatteförvaltningen, förekommer ett nära samarbete. Tullen och polisens särskilda utredningsteam har ingått ett avtal om ömsesidigt informationsutbyte.

8.9. Norge

Det norska tullväsendets centraladministration Toll- og avgiftsdirektoratet, tillhör Finansdepartementet. Organisatoriskt består tullen av ett flertal olika avdelningar och kontrollavdelningen är uppdelad på en sektion för gränsskydd och en sektion för den ekonomiska kontrollen.

Den norska tullen har till uppgift att dels fastställa och uppbära tullar och andra avgifter, dels övervaka och kontrollera att reglerna om införsel av varor efterlevs. Det är polisens uppgift att kontrollera utlänningars rätt att resa in i landet. Den norska kustbevakningen ansvarar för gränskontrollen till sjöss och har även befogenhet att kontrollera utländska medborgare.

Tullen har möjlighet att lämna information till polisen, åklagarmyndigheten och skattemyndigheten när det handlar om att bekämpa, förhindra eller undersöka brott mot tullagstiftningen. När det handlar om brott som inte är tullrelaterade får tullen lämna upplysningar till andra myndigheter, förutsatt att det föreligger skälig misstanke och att påföljden för brottet är fängelse i minst sex månader. Polisen har också lagliga möjligheter att lämna ut information till andra myndigheter under förutsättning att upplysningarna används för samma ändamål som de inhämtades för. Informationen kan t.ex. användas för utredning, lagföring, verkställighet, uppföljning och kontroll. Den norska kustbevakningen har befogenhet att lämna information till kontrollmyndigheter, polis och åklagare. Den norska regleringen ger således myndigheterna stora möjligheter att utbyta information sinsemellan.

Tullen och de andra brottsbekämpande myndigheterna har inga gemensamma databaser, utan informationsutbytet sker via tulltjänstemän som är placerade hos polisen. Tulltjänstemännen har direktåtkomst till tullens databas men inte till polisens databaser, utan får begära att information lämnas ut i varje enskilt fall.

Information angående enskilda personer, vilken kan vara till hjälp för gränsskyddsverksamheten, erhåller tullen från ett speciellt

personinformationsregister. Tullen genomför också verksamhetskontroller och använder sig i dessa sammanhang av ett för ändamålet särskilt register. Registren är tillgängliga för all tullpersonal som har behov av informationen för sitt arbete. Möjligheten att registrera uppgifter i registren är dock mera begränsad. Det finns inga begränsningar såvitt avser möjligheten att genomföra sökningar efter uppgifter i de båda nämnda registren.

Den norska tullen bedriver ett nära samarbete med landets skatteförvaltning, både såvitt avser enskilda frågor som frågor av mera övergripande karaktär. Samarbetet rör främst ärenden av mervärdesskattekaraktär. Tullen har inte några gemensamma databaser med skatteförvaltningen utan information lämnas ut efter en prövning från fall till fall.

8.10. Spanien

Avdelningen för tull och särskild skatt tillhör organisatoriskt den statliga myndigheten för skatteadministration, Agencia Estatal de Administración Tributaria (AEAT), vilken i sin tur tillhör Finansministeriet. AEAT handhar alla frågor som är närbesläktade med skatt och tull.

Tullens underrättelsetjänst har möjlighet att använda sig av egna uppgifter ur de fiskala registren angående import och export i den brottsbekämpande verksamheten. Även skattemyndigheten har samma befogenheter. Polisen har däremot inte juridiska möjligheter att direkt använda sig av den informationen utan får göra en formell framställan med en begäran om att få ta del av den aktuella informationen. Skattemyndighetens databas – som innehåller information om alla spanska skattebetalare – är integrerad med den databas som innehåller information om import och export. Utredarna har bara tillgång till den del av databasen som de har behov av för sitt arbete. Tjänstemännen har personliga koder och regelbundna kontroller av behörigheten genomförs.

Även andra myndigheter har behörighet att bekämpa den tullrelaterade brottsligheten men det sker under tullens kontroll. Om det bedöms nödvändigt kan tullen samverka med den andra myndigheten i ett operativt ärende. Är det fråga om narkotikasmuggling har myndigheterna egen behörighet. Myndigheterna har inte tillgång till varandras databaser.

Tullen och polisen samverkar huvudsakligen såvitt avser ärenden angående narkotikahandel. Samordningen på nationell nivå sker i den nationella drogplanen.

Eftersom tullen tillhör skattemyndigheten förekommer samarbete, företrädesvis då det gäller utredningar angående penningtvätt och indrivning av skatt.

Tullen har inte direktåtkomst till polisens databaser. Kriminalregistren är uppbyggda så att en begäran om uppgifter får göras från fall till fall.

8.11. Storbritannien

Den brittiska tullen är i stora drag indelad i två olika huvudområden – enheten för företagsservice och skatter samt enheten för ”upprätthållande av lagen”. Företagsenheten har till uppgift att inkassera skatter och att hjälpa företagen att hålla sig till regelverket. Den brottsbekämpande delen av den brittiska tullen har till uppgift att bekämpa brott genom att angripa skattebedrägerier, smuggling samt avkastningen från sådan verksamhet. Till sin hjälp har tullen tre stödfunktioner – logistikfunktionen, finans- och strategifunktionen samt en juridisk funktion.

Liksom den brittiska skatteförvaltningen skiljer sig tullen från den övriga brittiska statsordningen, eftersom tullen inte leds av en minister utan av en styrelse som är förordnad av drottningen. Styrelsen fungerar som ett verkställande utskott, som har till uppgift att ta hand om olika uppgifter på departementsavdelningen.

I sin brottsbekämpande verksamhet har tullen lagliga möjligheter att utbyta information med skatteförvaltningen.

Det brittiska tulldeklarationssystemet kallas för CHIEF och är ett av världens största och mest avancerade system. Datorprogrammet kontrollerar och registrerar Storbritanniens internationella handelsrörelser oavsett om transporten sker på land, till sjöss eller via flyg. Systemet sammankopplar tullkontor i hela landet till hamnar, flygplatser och flera tusen företag.

Databasen möjliggör elektronisk hantering av uppgifter om import och export samt utför beräkningar av tullar, valuta och kvantitetsomräkningar. Den har en inbyggd funktion för automatiskt godkännande av försändelser samt identifierar med hjälp av ett avancerat riskprofilsystem gods som behöver undersökas. Systemet innehåller vidare information för framtagande av

Storbritanniens externa handelsstatistik och fungerar som ett hjälpmedel för tullen vid dess kommunikation med näringslivet. I systemet finns även ett inbyggt varningssystem, som avger signaler om användaren har lagt in felaktiga uppgifter. Systemet innehåller även en funktion för registrering, övervakning och redovisning av skatter och tullar vad avser enskilda företag.

CHIEF är ett mycket bra hjälpmedel för att kontrollera import och export av gods som är försett med restriktioner och för att upptäcka smuggling av förbjudet gods. Genom systemet inkasseras årligen 43 miljarder pund till staten. Systemet skall också ses som ett hjälpmedel för företagen att fullgöra de nödvändiga tullformaliteterna på ett så smidigt sätt som möjligt. Systemet möjliggör vidare att de lagliga varorna kan passera till och från Storbritannien på ett så enkelt sätt som möjligt.

Tullen har fri tillgång till CHIEF och uppgifter om import- och exportförhållanden får användas i den brottsbekämpande verksamheten. Informationen är dock begränsad till tullens underrättelsetjänst och andra myndigheters underrättelsetjänster har inte tillgång till systemet. Det är emellertid inget som hindrar att information kan lämnas ut i det enskilda fallet om det bedöms nödvändigt.

Det är den brittiska tullen som har huvudansvaret för att bekämpa tullrelaterade brott såsom smuggling och tullbedrägerier. Tullen har dock möjlighet att begära hjälp från andra myndigheter. För att en annan myndighet skall bli behörig att bekämpa dessa brott krävs att en överenskommelse gjorts med tullen. Polisen kan vid behov få bemyndigande att lagföra en person för ett narkotikasmugglingsbrott om brottet eller gärningsmannen har samband med annan brottslighet som faller inom polisens ansvarsområde.

Tullen har begränsad åtkomst till polisens nationella databaser, vilket innebär att personalen som huvudregel endast har rätt att ta del av information som har att göra med tullens verksamhet. Tullen har t.ex. inte tillgång till information rörande trafikbrott. Sådan information kan dock lämnas ut om det bedöms vara av allmänt intresse. Andra myndigheter har inte tillgång till tullens databaser. Information kan emellertid lämnas ut i det enskilda fallet om det föreligger ett allmänt intresse. Bestämmelser i antiterroristlagen kan också möjliggöra att information vidarebefordras till en annan myndighet.

Den brittiska tullen och polisen har sedan långt tid tillbaka ett nära och väl etablerat samarbete och underrättelser utbyts kontinuerligt mellan myndigheterna. Både tullen och polisen registrerar uppgifter om de personer som är föremål för deras undersökningar. Informationen lagras i det nationella brottsunderrättelsesystemet (National Criminal Intelligence Service – NCIS). Systemet innehåller en ”markeringsfunktion” och de uppgifterna delges alla brottsbekämpande myndigheter. Systemet tillhandahåller information om huruvida en person, mot vilken en brottsbekämpande myndighet har påbörjat en undersökning, även är föremål för en undersökning hos en annan brottsbekämpande myndighet. Om systemet finner att ett sådant samband föreligger, skickas signaler ut till respektive myndighets tjänstemän så att de kan planera eventuella samverkande operationer eller utbyta information. Härutöver samverkar personal från olika brottsbekämpande myndigheter i särskilda team – Joint Intelligence Cells – och utbyter information och underrättelser.

Den brittiska tullen har också ett nära samarbete med skattemyndigheten. Ett myndighetsgemensamt samarbetsprojekt – Closer Working Intelligence Project – har till uppgift att organisera rutiner för datautbyte, utreda de fördelar som kan uppnås genom användande av gemensamma arbetsmetoder och att utarbeta metoder för informationsanvändning inom och mellan respektive myndighet.

8.12. Tyskland

I Tyskland är det Förbundsfinansministeriet som ansvarar för tullmyndigheterna. Tullpolisen (Zollkriminalamt, ZKA) är verksam på nationell nivå och svarar för analyser och underrättelseverksamhet. Tullväsendets uppbyggnad följer inte delstatssystemet utan har 21 lokalkontor utspridda över landet. Varje lokalkontor har en tullutredningstjänst som stöd för den vanliga tullpersonalens arbete. Tullpolisen samordnar tullutredarnas arbete och fungerar samtidigt som en central enhet för informationsutbyte mellan tullförvaltningarna. Tullpolisens huvudsakliga uppgifter är att stödja utredningar, studera trender och utarbeta strategier för att bekämpa narkotikasmuggling.

Tullens riskanalysgrupp (ZORA) har till uppgift att studera trender i godsrörelser för att kunna presentera ett underlag för

klareringsenheterna, revisionsavdelningarna och kontrollenheterna i syfte att säkerställa att importerat gods beläggs med korrekta tullavgifter. Underrättelsearbetet syftar således till att motverka att överträdelser av den tyska tullagstiftningen sker.

Tullpolisen (ZKA) genomför marknadsanalyser och sammanställer information om producenters och grossisters aktuella ekonomiska situation. Handelsrörelser, såsom varu- och kapitalströmmar studeras och det görs ingen åtskillnad på om det är fråga om lagliga eller olagliga transaktioner till utlandet eller inom landet. Målet är att identifiera och motverka brott, felaktig användning av bidrag och överträdelser av förbud och restriktioner med påföljande inkomstbortfall.

Det finns inga hinder att vidarebefordra den ovan nämnda informationen till andra myndigheter, som polisen och skatteförvaltningen. Det krävs dock att en begäran görs och att det klart framgår att informationen är nödvändig för den andra myndighetens myndighetsutövning. Sekretessbestämmelserna i tull- och skattelagstiftningen iakttas liksom reglerna om dataskydd. Om det är fråga om att överföra information till en utländsk myndighet uppställs ytterligare restriktioner.

Tullunderrättelseenheterna har fri tillgång till sina egna databaser. Om enheterna vill ha information från andra databaser krävs att informationen är nödvändig för myndighetsutövningen. Samma begränsningsregel gäller för tillgång till de övriga databaserna hos tullen. Tullpolisen har inte direktåtkomst till uppgifter om tullklarering, utan sådana uppgifter lämnas ut först efter att en behovsprövning har gjorts.

Det är tullen som är ansvarig för bekämpning av smugglingsbrott samt skatte- och tullöverträdelser i samband med import och export av varor. I vissa fall, som när det är fråga om illegal handel med vapen och radioaktiva ämnen eller att bekämpa narkotikabrott, är både tullen och polisen ansvariga. För att förhindra narkotikasmuggling och penningtvätt har polisen och tullen skapat gemensamma narkotikaspaningsgrupper och gemensamma ekonomiska spaningsgrupper.

Polisen har inte direktåtkomst till tullens databaser utan uppgifter lämnas ut efter en prövning i det enskilda fallet, varvid hänsyn tas till dataskyddsbestämmelser och reglerna om tull- och skattesekretess.

Tullen har ett nära samarbete med både polisen och skatteförvaltningen, såvitt avser informationsutbyte.

Den tyska tullen har direktåtkomst till vissa databaser i informationssystemet INPOL, som innehåller information om olika kategorier av överträdelser som både polisen och tullen ansvarar för. INPOL innehåller en sökdatabas för personuppgifter, Schengens informationssystem, databaser angående droger och narkotikafall samt en gemensam databas för delstaterna. I vissa fall kan även information från andra databaser göras åtkomlig.

8.13. Österrike

Den österrikiska tullmyndigheten tillhör organisatoriskt Finansministeriet.

Tullens underrättelsetjänst har rätt att för sina analyser i den brottsbekämpande verksamheten ta del av information rörande import- och exportförhållanden samt information avseende berörda företag. Polisens underrättelsetjänst och andra verkställande myndigheter har möjlighet att, efter särskild förfrågan, få tillgång till uppgifterna. Tullens underrättelsetjänst har fri och obegränsad tillgång till dessa databaser, förutsatt att informationen är nödvändig för att tjänstemännen skall kunna fullgöra sina arbetsuppgifter.

I Österrike har inga andra myndigheter än tullen befogenhet att bekämpa tullrelaterad brottslighet, som smuggling och tullbrott.

Den österrikiska tullmyndigheten samverkar med polisen i ärenden som rör handel med massförstörelsevapen, penningtvätt och organiserad brottslighet. Samverkan med den österrikiska skatteförvaltningen sker till största delen via utbyte av information avseende import- och exportförhållanden och i ärenden avseende mervärdesskatt.

Den österrikiska tullen har direktåtkomst till såväl Schengens informationssystem som några andra nationella polisdatabaser, bl.a. den österrikiska motsvarigheten till det svenska belastningsregistret (Electronic Criminal Information System).

VÅRA ÖVERVÄGANDEN

9. Tullverkets problem med och behov av informationshantering

I våra direktiv uttalas att vi skall ge en klar bild av hur arbetet inom gränsskydds-, analys- och tullkriminalenheterna bedrivs och hur registren bör utformas för att det brottsbekämpande arbetet skall kunna bedrivas effektivt. Vi skall också ta ställning till om det fiskala Tulldatasystemet (TDS) bör få användas i Tullverkets brottsbekämpande verksamhet och hur man i så fall genom lagändringar kan möjliggöra en sådan användning av systemet. För att närmare kunna analysera tullens behov av och problem med informationshanteringen har vi genomfört flera studiebesök hos regionerna inom Tullverket. Under dessa besök har många olika problem relaterade till den gällande lagstiftningen belysts. Vi har också försökt kartlägga hur tullarbetet bedrivs i praktiken och vilka ytterligare hjälpmedel som Tullverket enligt vår uppfattning behöver eller anser sig vara i behov av.

Beskrivningar av det praktiska arbetet inom tullen baserar sig på de iakttagelser som vi har gjort under studiebesöken samt på de samtal vi har haft med tullpersonal. Det måste emellertid understrykas att det enligt vår erfarenhet förekommer en mängd olika rutiner och ”lokala varianter” mellan de olika tullregionerna. Det är därför inte möjligt att ge en klar och heltäckande beskrivning av arbetet på samtliga enheter i regionerna, utan beskrivningen måste bli av mer generell karaktär.

Rent allmänt kan sägas att tullen i den brottsbekämpande verksamheten har ett stort behov av att snabbt kunna få tillgång till uppgifter från olika håll, inte minst i form av information från TDS, eftersom det annars finns risk för att planerade eller spontana kontroller inte kan genomföras effektivt. Detta kan i sin tur leda till att tullen inte kan uppfylla de krav som regeringen och EU ställer på skyddet av de svenska och europeiska gränserna.

En redovisning av de behov och de problem med informationshanteringen som tullen har inom den egna brottsbekämpande

verksamheten redovisas i avsnitt 9.1. Frågor kring TDS och tullens behov av att få tillgång till de fiskala systemen även i den brottsbekämpande verksamheten behandlas särskilt i avsnitt 9.2. Tullens behov av samverkan och informationsutbyte med andra brottsbekämpande myndigheter – en fråga som vid sidan av nämnda studiebesök har belysts genom möten med företrädare för Rikspolisstyrelsen, Riksåklagaren, skattemyndigheternas skattebrottsenheter, Ekobrottsmyndigheten och Kustbevakningen – diskuteras i avsnitt 9.3. I avsnitt 9.4 lämnas en samlad och kortfattad redovisning av sekretessproblemen inom Tullverket, såväl vid intern informationshantering som vid utbyte av information med andra brottsbekämpande myndigheter. Kapitlet avslutas med avsnitt 9.5 där vi redovisar våra överväganden om behovet av ny lagstiftning

Våra slutsatser av nedanstående redovisning samt förslag om hur problemen kan lösas och behoven uppfyllas, presenteras sedan i kapitel 10–12 i samband med våra allmänna överväganden avseende de förslag vi lämnar om en ny författning samt de särskilda överväganden avseende det förslag som vi lämnar om användningen av TDS i den brottsbekämpande verksamheten.

9.1. Informationshanteringen i den egna brottsbekämpande verksamheten

Vår bedömning: Tullverket har i den brottsbekämpande verksamheten behov av att på ett mer flexibelt sätt kunna avgöra hur uppgifter skall registreras, t.ex. i spanings- och underrättelseregister, och hur uppgifterna skall kunna användas i de olika delarna av verksamheten. Det finns dessutom ett behov av lagstiftning som är anpassad till en datoriserad ärendehantering och som tillåter hantering av elektroniska handlingar, exempelvis digitala bilder.

Inom Tullverket finns problem med gränsdragningen mellan olika verksamheter, främst mellan den fiskala och den brottsbekämpande gränskontrollen, mellan den fiskala riskanalysen och underrättelseverksamheten samt mellan underrättelseverksamhet och brottsutredning. Dessa problem kan delvis hänföras till att Tullverkets uppdelning i olika verksamhetsprocesser inte överensstämmer med indelningen i organisatoriska enheter.

9.1.1. Behandling av uppgifter i register m.m.

Ett funktionellt spaningsregister

Vi har erfarit att Tullverket har ett stort behov av att kunna registrera uppgifter som framkommit i samband med spaning och annan kontroll av personer och platser. Kravet i dag för att få föra in uppgifter i ett spaningsregister är att ett brott har begåtts eller att det kan antas att ett brott har begåtts. Från tullens sida är man kritisk till spaningsregistret och dess konstruktion. Man menar att det inte är funktionellt, eftersom det vid den tidpunkten då registrering tillåts inte längre är fråga om någon spaningsverksamhet. Det handlar då i stället om att en förundersökning skall inledas. I ett spaningsperspektiv blir uppgifterna många gånger i princip oanvändbara när de registreras. Det har därför framförts önskemål om att tullen skall få tillgång till ett spaningsregister som möjliggör att verklig spaning kan genomföras. Resultaten från spaningsverksamheten måste kunna komma till praktisk användning i tullarbetet.

Rekvisitet allvarlig brottslig verksamhet

Kravet för att få registrera personuppgifter i ett underrättelseregister eller på annat sätt behandla uppgifter i särskilda undersökningar är enligt den nu gällande lagstiftningen bl.a. att uppgifterna skall ge anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. För att ett brott skall hänföras till kategorin allvarlig brottslig verksamhet krävs att det handlar om ett brott för vilket är föreskrivet fängelse i två år eller mer. Denna begränsning ställer enligt vår uppfattning till problem för tullen, eftersom det inte är möjligt att registrera uppgifter om personer som är misstänkta för brottslighet som endast innefattar t.ex. ringa narkotikabrott. Tullverket har därmed ingen möjlighet att kunna ingripa mot den s.k. myrtrafiken, vilken innefattar olaglig införsel av små mängder narkotika avsett för eget bruk.

Registrering av fotografier

Gällande lagstiftning tillåter inte att tullen registrerar foton digitalt. Vid våra studiebesök framgick att tillgången till fotografier är till mycket stor hjälp i tullarbetet och önskemål framfördes därför om att det blir tillåtet med en digital registrering, som innebär att man snabbt kommer åt och snabbt kan vidarebefordra fotografier.

Känsliga personuppgifter

När det gäller registrering av känsliga personuppgifter – enligt personuppgiftslagens definition – är det främst en kategori av uppgifter som det enligt vår uppfattning i vissa fall är viktigt för tullen att ha tillgång till, nämligen uppgifter om misstänkta personers ras eller etniska ursprung. När exempelvis kontroller skall genomföras på saklig grund efter tips eller annan information, och ett urval av passerande måste göras, kan det vara nödvändigt för tullen att ha uppgifter om en persons hudfärg eller andra fysiska kännetecken som har anknytning till personens etniska ursprung. Uppgifter om medborgarskap är inte alltid tillräckligt även om det är känt, eftersom en sådan uppgift inte ger någon vägledning när en misstänkt person har bytt medborgarskap. Som exempel kan nämnas en förestående kontroll av en eftersökt person i ett tullfilter där tusentals människor passerar varje dag. Att det finns uppgifter om att den person som bör kontrolleras har ett visst etniskt ursprung, kan vara av helt avgörande betydelse för om han eller hon påträffas.

9.1.2. Ärendebaserad handläggning och gallring

Gallring av uppgifter

Det har från tullens sida betonats att det är angeläget att kraven på gallring av uppgifter i register inte förhindrar eller försvårar verksamheten. Regler om gallring måste skilja mellan information som finns i sökdatabaser och information som finns i ärendehanteringsdatabaser. Information i en sökdatabas kan ofta gallras när det ärende till vilket uppgifterna hör är avslutat. Diarieuppgifter i ett elektroniskt ärendehanteringssystem kan däremot inte gallras på samma grund, eftersom det då blir omöjligt att återfinna uppgifter i

ett ärende. Beträffande de register som upprättas i samband med en särskild undersökning, SUR, är huvudregeln att personuppgifterna skall gallras då den särskilda undersökningen har avslutats. Om uppgifterna gallras för snabbt finns emellertid risk för att värdefull information går förlorad.

Ärendebaserad verksamhet för gränsskyddet

En projektgrupp inom Tullverket – Utvecklingsprojektet Gränsskydd – lämnade i april 2001 en intern slutrapport, i vilken det bl.a. föreslogs att allt arbete inom gränsskyddsprocesserna skall bedrivas i ärendeform. Tanken är att alla åtgärder skall föregås av ett beslut med en klart definierad uppgift. Som exempel på ärenden nämns spaningsinsatser mot ett känt spritlager, kontrollinsatser mot ett genom underrättelsearbete definierat objekt i ett visst trafikflöde samt punktskattekontroller. I rapporten föreslogs vidare att alla ärenden skall dokumenteras och på så sätt återrapporteras till ärendets beslutsfattare. I vissa ärenden, t.ex. spaningsinsatser, föreslogs att fortlöpande noteringar skall kunna göras under ärendets gång. Det föreslogs att om flera kontroller görs i ett ärende skall varje kontroll dokumenteras för sig.

Med stöd av rapporten har pilotprojekt inletts i Göteborg och på Arlanda flygplats och det är oklart när provverksamheten skall avslutas. Tullverkets målsättning är dock att arbetet inom gränsskyddet i framtiden skall bedrivas i enlighet med den skisserade ärendemodellen. Ett ärendebaserat datorsystem skulle enligt vad vi erfarit innebära att det blir lättare att återfinna och strukturera information. Det finns därför önskemål om att nya regler skall tillåta en sådan behandling av personuppgifter.

9.1.3. Gränsdragningsproblem i verksamheten

Under våra besök i tullregionerna har vi erfarit att det i fråga om flera för verksamheten viktiga begrepp och definitioner föreligger en betydande osäkerhet om innebörd och avgränsning. Detta upplevs ofta som mycket besvärande och hindrande för den personal som skall bedriva den operativa verksamheten. I många fall synes problem uppstå till följd av att uppdelningen av tullens verksamheter i skilda processer inte helt överensstämmer med den

organisatoriska indelningen i enheter osv. Det har poängterats att det praktiska tullarbetet sannolikt kan effektiviseras om oklarheterna kring gränsdragningen reds ut. Nedan följer en kort sammanfattning av vissa problem som särskilt har påpekats. I många fall uppstår i de redovisade fallen problem med åtkomst till uppgifter i TDS. Dessa frågor återkommer vi till i avsnitt 9.2.

Fiskal eller brottsbekämpande kontrollverksamhet

Tullen utför en omfattande kontrollverksamhet som kan vara ett led såväl i det fiskala arbetet med att uppbära tullar och skatter, som i det brottsbekämpande arbetet. På grund av de olika regler som gäller för bl.a. behandling av personuppgifter, inte minst tillgången till TDS, är det viktigt att det görs en klar åtskillnad mellan verksamheterna. I en del situationer sammanfaller det fiskala arbetet i det närmaste helt med det brottsbekämpande, nämligen när kontroller av legalt gods visar att skatter och tullar har undandragits på ett sådant sätt att det är fråga om tullbrott eller vårdslös tullredovisning. Det har också framförts synpunkter på att begreppet kontroll i vissa sammanhang används i vidare omfattning än vad som anses befogat.

Införsel av cigaretter kan tas som ett praktiskt exempel på gränsdragningsproblemen. Det finns inget generellt förbud mot att föra in cigaretter till Sverige. I en införselsituation där man misstänker att cigaretter smugglas in gömt bland andra redovisade varor och det alltså är fråga om ett smugglingsbrott, har tullen inte lagliga möjligheter att använda TDS för att leta efter de bipackade cigaretterna. Det är däremot tillåtet att använda sig av uppgifterna i TDS för det fall att importören har lämnat felaktiga uppgifter angående det antal cigaretter som skall föras in i landet, och det alltså är frågan om att fastställa korrekta skatter och avgifter. En mer tveksam situation uppstår när en kontroll initieras på grund av misstankar om att felaktiga uppgifter om antalet cigaretter har lämnats uppsåtligen och det alltså föreligger misstankar om tullbrott.

Fiskal riskanalys eller underrättelseverksamhet

Den verksamhet som i lagtext definieras som underrättelseverksamhet benämns internt inom tullen analysverksamhet. Detta leder till vissa gränsdragningsproblem inom främst analysenheterna, som består av en fiskal riskanalyssektion och en brottsbekämpande underrättelsesektion. I analysarbetet finns det därför risk för sammanblandning av fiskal och brottsbekämpande verksamhet. Vi har kunnat konstatera att det för närvarande inte föreligger några vattentäta skott mellan verksamheterna i de båda sektionerna. Ett visst mått av samarbete uppstår med nödvändighet i t.ex. de fall då resultatet av riskanalysarbetet visar att det finns anledning att misstänka att det pågår brottslig verksamhet. Det har också framförts intern kritik mot att riskanalysverksamheten samordnas med brottsbekämpande verksamhet. Detta är av betydelse, inte minst i fråga om rätten att använda sig av TDS i analys- och underrättelsearbetet, och vi återkommer till frågan i kapitel 12.

Fiskal revision eller brottsutredning

Det förekommer inte helt sällan att en brottsutredning inleds som följd av upptäckter i samband med en tullrevision. Om revisorerna under en revision upptäcker misstänkt brottslighet tar de regelmässigt kontakt med tullkriminalen, som har att besluta huruvida en förundersökning skall inledas eller inte. I de fall en förundersökning inleds är det tullkriminalen som har det övergripande ansvaret och alla tilltänkta åtgärder skall beslutas av den enheten. Vi har vid våra besök erfarit att även om en förundersökning har inletts så är det revisorerna som genomför och slutför revisionen, trots att ansvaret formellt ligger på tullkriminalen. Detta innebär i praktiken att tullkriminalen under en förundersökning har tillgång till TDS genom tullrevisorerna. Det är angeläget att det bland tulltjänstemännen inte råder någon som helst tvekan om att det är tullkriminalen som har det fulla ansvaret för alla åtgärder som vidtas under en förundersökning, så att det inte sker någon överträdelse av bestämmelserna i artikel 6 i Europakonventionen genom att t.ex. fiskala tvångsåtgärder utnyttjas under pågående brottsutredning (se mer om artikel 6 i kapitel 12).

Underrättelseverksamhet eller brottsutredning

I det praktiska arbetet föreligger vanligtvis inte några större problem i fråga om gränserna mellan brottsutredande verksamhet och underrättelseverksamhet. Arbetet bedrivs normalt av olika enheter och när fråga är om förundersökningar har dessutom beslut fattats särskilt om detta. Såvitt avser behandlingen av personuppgifter kan emellertid problem uppstå. Den i dag gällande definitionen av underrättelseverksamhet – insamling, bearbetning eller analys av information för att klarlägga om brottslig verksamhet utövas eller kommer att utövas och som inte utgör förundersökning – ger ingen tydlig anvisning om när uppgifter får behandlas automatiserat enligt de särskilda regler som gäller för underrättelseverksamhet. Även i fråga om sekretess är gränsdragningen i vissa avseenden oklar. Vi återkommer särskilt till frågor om underrättelseverksamheten och dess avgränsning i kapitel 11.

9.1.4. Interna delgivningsproblem inom Tullverket

Vi har erfarit att underrättelsesektionerna har vissa problem med att delge sina analysresultat inom Tullverket, t.ex. att få ut informationen till de tjänstemän som är i behov av den för sitt arbete. Dessa problem med intern delgivning av underrättelsematerial bedöms bero på organisatoriska förhållanden. Tjänstemän vittnar om att det finns en inbyggd skepsis mellan olika enheter och regioner och att detta kan bidra till att man inte litar på varandras resultat och därför inte tar del av dem. Delgivningsproblemen upplevs som frustrerande, eftersom delgivningsmomentet är en förutsättning för ett framgångsrikt arbete.

9.2. Behov av åtkomst till TDS i den brottsbekämpande verksamheten

Vår bedömning: Det råder en utbredd okunskap bland personalen inom Tullverket om hur TDS får användas i den brottsbekämpande verksamheten, vilket i vissa fall leder till att systemet används på ett enligt vår uppfattning otillåtet sätt.

Det är uppenbart att uppgifter från TDS behövs i stor omfattning i den brottsbekämpande verksamheten och det finns av effektivitetsskäl behov av att inom olika funktioner dels

kunna inhämta uppgifterna snabbt genom direktåtkomst, dels kunna bearbeta information direkt i systemet.

9.2.1. Allmänt om TDS

I dag saknas lagliga möjligheter för Tullverket att i den brottsbekämpande verksamheten använda uppgifter i TDS genom direktåtkomst. När uppgifter behövs är de tjänstemän som arbetar med bl.a. underrättelseverksamhet och brottsutredningar därför, enligt lagstiftningen, hänvisade till att gå via de fiskala enheterna för att få tillgång till uppgifter.

Under våra studiebesök hos Tullverket har det framkommit att gränserna för användningen av TDS i den brottsbekämpande verksamheten är oklara. Personal vid tullen vittnar om att de är osäkra på i vilken omfattning de får använda sig av uppgifter i TDS, hur uppgifterna får inhämtas och var gränserna går för att använda sig av dessa uppgifter. Vi har kunnat konstatera att direktåtkomst, trots att det enligt vår uppfattning inte är tillåtet, förekommer till TDS och att uppgifterna används i den brottsbekämpande verksamheten i stor utsträckning. Till stor del kan denna användning av TDS förklaras av personalens bristande kunskap om och avsaknad av klara riktlinjer för hur informationen skall hanteras. Vi har noterat att personalen i vissa fall helt saknade kunskap om att TDS inte får användas fritt i den brottsbekämpande verksamheten. Det rådde dock en samstämmighet om att TDS är ett mycket bra hjälpmedel och att informationen från systemet är nödvändig för att tullen skall kunna bedriva ett effektivt brottsbekämpande arbete.

9.2.2. Analysenhetens (underrättelsesektionens) behov av TDS

Analysenheterna är uppdelade i fiskala riskanalysektioner och brottsbekämpande underrättelsesektioner. Riskanalysverksamheten har till uppgift att förse processen effektiv handel med information och analyser för att klareringsverksamheten, dvs. arbetet med den legala trafiken, skall bli så effektivt som möjligt. Den gällande lagstiftningen ger riskanalyssektionen direkt tillgång till TDS redan

i dag. De uppgifter som riskanalyssektionen hämtar från systemet ligger till grund för sektionens strategiska och operativa analyser.

Underrättelsesektionerna har till uppgift att bearbeta och analysera information för att därefter delge de operativa enheterna sitt resultat i form av underrättelser rörande misstänkt brottslighet. Målsättningen är att medverka till att tullen uppnår bättre träffsäkerhet i arbetet med att bekämpa den grova brottsligheten. Det är för närvarande inte tillåtet för underrättelsesektionerna att använda TDS med hjälp av direktåtkomst.

Enligt vad vi erfarit skulle direktåtkomst till TDS i underrättelseverksamhet kunna användas på flera sätt, som vi bedömer sammantaget skulle leda till en betydande höjning av effektiviteten. Uppgifterna i TDS kan t.ex. användas för att ta fram riskprofiler och upptäcka mönster och trender i den utövade smugglingsbrottsligheten. Uppgifterna skulle också underlätta kartläggning av misstänkta företag och hjälpa tullen att hitta de företag som bryter mot lagen. TDS kan vidare vara till stor nytta vid de trovärdighetsbedömningar som görs av ett inkommande tips.

Ett särskilt potentiellt användningsområde för TDS i underrättelseverksamhet är s.k. spärrläggning, som grovt förenklat kan exemplifieras på följande sätt. Om en underrättelsesektion får ett tips om att det smugglas in olagligt gods i möbeltransporter, är det värdefullt att kunna samla in uppgifter om vilka företag som importerar möbler för att kunna lägga spärrar i systemet på företagens transporter. De misstänkta transporterna kan då upptäckas redan på ett tidigt stadium, närmare bestämt redan när ett möbelföretag redovisar uppgifter om en kommande transport till tullen och uppgifterna registreras i TDS. Systemet kan då ”slå larm” om att en möbeltransport, som stämmer in på den angivna profilen, skall passera en viss gränskontroll ett visst datum. Det bör noteras att TDS i dag används på motsvarande sätt av riskanalyssektionerna, dvs. i tullens fiskala arbete med det legala varuflödet.

Vid våra besök framfördes starka önskemål om att underrättelsesektionerna borde ges möjlighet att regelmässigt använda sig av TDS för att kunna höja effektiviteten väsentligt.

9.2.3. Gränsskyddsenheternas behov av TDS

Selekteringsarbetet

På gränsskyddsenheterna finns det grupper som arbetar med selektering av tung trafik och containertrafik. En sådan grupp fungerar som en resurs för gränsskyddspersonalen och gruppens arbete består i att selektera objekt som bedöms vara intressanta ur ett kontrollperspektiv. Arbetet baseras på riskflöden och analyserna görs med utgångspunkt i sådana riskflöden och befintlig kunskap om hur tidigare smuggelgods har dolts samt uppgifter om det importerande företaget och godset. Bedömningen grundar sig också på uppgifter om fraktrutter och riskländer samt om det tidigare har förekommit import av det aktuella godset. Gruppens arbete utgör en del av den brottsbekämpande verksamheten och det är därför enligt vår bedömning inte tillåtet för gruppen att genom direktåtkomst använda uppgifter från TDS vid selekteringsarbetet.

Det är dyrt och tidskrävande att genomföra en kontroll av en container. Eftersom det är praktiskt omöjligt för tullen att kontrollera allt inkommande gods, är det enligt vår uppfattning väsentligt att det selekteringsarbete som görs grundas på fullständiga och korrekta uppgifter och att analysresultaten är av så hög kvalitet som möjligt. Uppgifter i TDS har enligt vad vi erfarit en stor funktion att fylla i detta arbete. Som ett exempel kan nämnas att det till hamnen i Göteborg årligen ankommer knappt 700 000 contrainrar och att endast ca 50 stycken av dessa kontrolleras, dvs. 0,07 promille. Exemplet visar att gränsskyddsenheten har ett mycket stort behov av att ha tillgång till uppgifter i TDS för att kunna välja ut rätt 50 kontrollobjekt.

Vid utredningens studiebesök framfördes åsikter om att det är nödvändigt att TDS får användas genom direktåtkomst, eftersom arbetet då kan effektiviseras och selekteringsprocessen förbättras högst avsevärt. Det anfördes vidare att personalen, genom användning av TDS, på ett mycket tidigt stadium kan sålla ut felaktig information och därigenom bättre bedöma trovärdigheten av ett tips.

Vi har under våra besök hos tullen kunnat konstatera att det i vissa fall förekommer att selekteringsgrupper egenhändigt inhämtar uppgifter från TDS genom direktåtkomst, trots att detta enligt vår uppfattning inte är tillåtet.

Gränskontrollverksamheten

Kontrollsektionen på gränsskyddsenheterna har till uppgift att utföra kontroller av varuflödet i gränstrafiken, dvs. kontroll av resande och fordon. Punktskattekontroller genomförs också. Gränsskyddspersonalen har således både fiskala och brottsbekämpande uppgifter och problem kan därför uppstå, eftersom gällande lagstiftning tillåter användning av TDS i klareringsverksamheten men enligt vår uppfattning inte när ett smugglingsbrott upptäcks eller misstänks.

Vid våra besök har det framförts åsikter om att effektiviteten vid de direkta gränskontrollerna skulle kunna höjas om personalen ges direkt tillgång till TDS. Även i det förberedande arbetet ansågs det önskvärt att TDS kunde användas för att kartlägga vissa företags import och export samt för att få reda på vilka varor som transporteras. Genom att använda TDS kan man få fram vad som är normalt respektive onormalt för det aktuella företaget och vid misstanke om en transport med avvikande varor kan en kontroll genomföras. Enligt vår bedömning skulle direktåtkomst till TDS med andra ord vara ett mycket bra hjälpmedel för att upptäcka såväl misstänkt smuggling som avvikelser från ett företags normala handelsmönster och felaktiga uppgifter i deklarationer. Det har från tullens sida också framförts önskemål om att gränsskyddsverksamheten ges möjlighet att lägga spärrar i TDS. Ett sådant förfarande skulle nämligen ha en stor operativ betydelse genom att tullen på så sätt ges en förvarning om att en viss sändning är på väg. Spärrläggning innebär att systemet automatiskt varnar vid deklaration av sändningar med en markerad vara eller av sändningar med viss mottagare eller avsändare (se avsnitt 9.2.2).

9.2.4. Tullkriminalenhetens behov av TDS

Tullkriminalenheternas uppgift är att utreda såväl tullbrott, dvs. ingivande av uppsåtligt felaktiga deklarationer och andra brott som sker i det legala varuflödet, som smugglingsbrott, dvs. illegal införsel av varor som narkotika m.m. Enligt gällande lagstiftning får tullkriminalen inte ha direktåtkomst till TDS. Personalen får i stället begära hjälp av t.ex. tullrevisorer för att få nödvändiga uppgifter från systemet när en förundersökning eller annan brottsutredning har inletts. Det behov som finns av uppgifter från

TDS är främst för informationskontroller och för att komplettera brottsutredningar med ny information avseende t.ex. inblandade företag. Tullkriminalens samarbete med revisorer och övriga fiskala enheter förefaller så vitt vi kan bedöma fungera bra i det avseendet. Enligt vad vi erfarit föreligger det alltså inte samma stora behov av direktåtkomst till TDS i brottsutredningar som i t.ex. underrättelseverksamhet. Det hindrar dock inte att det finns åsikter om att direkt tillgång till TDS skulle kunna spara tid och leda till att arbetet i vissa avseenden bedrevs effektivare. Inte minst kan det i situationer när det är aktuellt att använda tvångsmedel vara viktigt att få fram information omgående, vilket inte alltid är möjligt när man är beroende av hjälp från fiskala enheter.

I tullkriminalens arbete med förutredningar eller primärutredningar, dvs. undersökningar som görs för att avgöra om en förundersökning skall inledas, finns däremot ett påtalat behov av direktåtkomst till TDS. Tullkriminalenheten kan i detta stadium snabbt behöva kontrollera uppgifter i TDS för att kunna bedöma om det finns grund för att inleda en förundersökning eller inte. Det handlar alltså om att söka efter konkret information, t.ex. för att kontrollera omfattningen av export- eller importverksamheten hos en aktuell aktör. Från tullens sida har det framförts önskemål om att tullkriminalenheten i vart fall bör ges tillgång till TDS i den delen av verksamheten.

Vi har vid våra besök kunnat konstatera att det förekommer att tullkriminalenheter i dag har tillgång till TDS genom direktåtkomst.

9.3. Samverkan och informationsutbyte med andra brottsbekämpande myndigheter

Vår bedömning: Det finns ett stort behov av utökat och tekniskt utvecklat samarbete och informationsutbyte mellan

Tullverket och andra brottsbekämpande myndigheter.

9.3.1. Allmänt om Tullverkets beslagsstatistik m.m.

Tullens gränsskyddsverksamhet har, som tidigare nämnts, till uppgift att förhindra illegal in- och utförsel av varor. Under år 2001 förekom 68 miljoner passager över den svenska gränsen. I detta

stora resandeflöde skall Tullverkets personal försöka hitta och stoppa de personer och transportmedel som för med sig förbjudna varor. Under motsvarande period gjordes 3 545 beslag av narkotika och dopningsmedel, vilket är det högsta antalet beslag som gjorts hittills enligt Tullverkets statistik. Som exempel beslagtogs närmare 96 kilo amfetamin och nästan fyra ton kat. Vidare beslagtogs under år 2001 närmare 50 miljoner cigaretter, vilket är det största antalet cigaretter som hittills beslagtagits under ett år. Spritbeslagen uppgick till nästan 500 000 liter drickbar sprit jämte ca 120 000 liter starköl. Vid en jämförelse med beslagsstatistik för första halvåret 2002 kan det konstateras att den illegala införseln av narkotika, sprit och cigaretter ligger på en fortsatt hög nivå.

Det framstår som en allmän uppfattning inom Tullverket att smugglingen till Sverige har ökat samtidigt som den sker i mera organiserad och storskalig form. Brottsligheten är dessutom gränsöverskridande, vilket har visat sig bl.a. genom att Sverige har blivit ett transitland både för cigarett- och spritsmuggling. Med hänsyn till utvecklingen anser vi att det inte råder något tvivel om att det finns ett stort behov av samarbete över myndighetsgränserna för att de brottsbekämpande myndigheterna på ett effektivt sätt skall kunna komma åt den grova brottsligheten. Eftersom brottsligheten är gränsöverskridande finns det även behov av att samverka med brottsbekämpande myndigheter i andra länder. Inom EU förekommer också ett omfattande samarbete mellan de nationella myndigheterna.

9.3.2. Statsmakternas syn på samverkan över myndighetsgränserna

Statsmakterna har vid upprepade tillfällen understrukit vikten av ett väl fungerande samarbete mellan de brottsbekämpande myndigheterna. I avsnitt 7.3 redogör vi för några av de åtgärder som regeringen och riksdagen har vidtagit för att underlätta och förbättra det brottsbekämpande arbetet, varvid RIF-samordningen kan nämnas som ett exempel. Som tidigare nämnts har utredningen besökt de myndigheter som samverkar med tullen i den brottsbekämpande verksamheten. En kortfattad redovisning av dessa myndighetsbesök finns i avsnitt 7.2. Generellt kan sägas att alla myndigheter underströk vikten av samverkan över myndighetsgränserna och att det annars bedömdes finnas en risk för att

myndigheterna inte skulle kunna lösa sina uppgifter. Det bör i detta sammanhang nämnas att regeringen i regleringsbreven för år 2002 har ålagt Tullverket, polisen och Kustbevakningen att prioritera kontrollen av narkotikasmugglingen och dessutom uttalat att detta skall ges högsta prioritet.

Av programmet för det danska EU-ordförandeskapet under perioden juli – december 2002 framgår att det är angeläget att verka för att kampen mot brottsligheten blir så effektiv som möjlig. Den planerade utvidgningen av EU bedöms komma att kräva ett förstärkt polisiärt och straffrättsligt samarbete för att kampen mot den gränsöverskridande brottsligheten skall bli effektivare. Det uttalas vidare att det inom EU, med en rad nya medlemsstater, kommer att behövas ett förstärkt gränskontrollsamarbete och att detta i sin tur förutsätter ett snabbt och säkert utbyte av upplysningar mellan medlemsstaterna. Det sägs också att en effektiv rättstillämpning bl.a. förutsätter att det blir enklare att utbyta upplysningar mellan exempelvis polis och åklagarmyndigheter i medlemsstaterna. Under ordförandeskapet har man därför arbetat för att skapa bättre möjligheter för elektroniskt utbyte av upplysningar mellan de brottsutredande myndigheterna i medlemsstaterna, särskilt i fråga om fingeravtryck och tidigare utdömda straff. Den gränsöverskridande narkotikabrottsligheten pekas också ut som ett allvarligt problem.

9.3.3. Tullens behov av samverkan och informationsutbyte

Det har vid flera tillfällen och från flera olika håll understrukits att det, för att de brottsbekämpande myndigheterna skall ges en rimlig möjlighet att lösa de uppgifter som de har ålagts av statsmakterna, är nödvändigt med samarbete över myndighetsgränserna och att information kan lämnas mellan myndigheterna på ett effektivt sätt. Tullen har behov av att samverka med bl.a. polisen för att få information beträffande narkotikasmugglingsbrott och uppgifter om t.ex. smugglingsvägar och om personer som kan tänkas vara inblandade i sådan verksamhet. Från Kustbevakningen har tullen behov av att få del av information rörande smugglingsbrott till sjöss och informationsutbyte avseende den civila fartygstrafikens rörelsemönster. När det handlar om grövre tullbrott samverkar Tullverket med åklagarmyndigheterna, Ekobrottsmyndigheten och skattebrottsenheterna. På motsvarande sätt har de nämnda

myndigheterna behov av att i sina verksamheter få del av information från Tullverket.

Det förekommer naturligtvis redan i dag informationsutbyte mellan de brottsbekämpande myndigheterna. Myndigheterna har t.ex. i viss omfattning tillgång till varandras databaser och register. I några fall kan uppgifterna nås genom att en myndighet har tillåtits ha direktåtkomst till en annan myndighets databaser, medan sådan åtkomst inte har tillåtits i andra fall. Informationen får då i stället inhämtas manuellt på muntlig eller skriftlig väg, t.ex. via telefon eller e-post. Det kan ske genom att en tjänsteman på en myndighet tar direkt kontakt med en tjänsteman på den andra myndigheten eller genom att tjänstemännen använder sig av en sambandsman. På Tullverket i Stockholm finns en sambandsman från Kustbevakningen stationerad och tullen har en sambandsman placerad hos Rikspolisstyrelsen. Tullverket har dessutom internationella sambandsmän på olika platser i Europa.

Vi har under våra besök hos tullen och övriga myndigheter erfarit att det manuella informationsutbytet normalt sett fungerar bra, men att det inte alltid går så snabbt och så enkelt som är önskvärt för att verksamheten inte skall hindras. Exempelvis kan det hos tullen uppstå problem under jourtid eller då en tullkontroll är planerad att äga rum med kort varsel. I sådana situationer kan uppgifter ur t.ex. polisens register behövas för att kontrollen alls skall kunna genomföras eller i vart fall få avsedd effekt. Som exempel kan nämnas att tullen i dag inte har direktåtkomst till polisens passregister, vilket medför att tullpersonalen måste ta kontakt med en polisman för att få ta del av ett passfoto. Det kan även förekomma tekniska problem med att t.ex. överföra vissa passfoton via telefax, varvid risken för identifieringsproblem vid den planerade kontrollen ökar. Avsaknaden av nämnda passfoto kan även ytterst leda till att den misstänkte personen inte kan stoppas. Under studiebesöken har det framförts farhågor om att tillgången till uppgifter kan komma att vara beroende av enskilda tjänstemäns bedömningar och goda vilja i varje enskilt fall och att en sådan ordning inte kan anses tillfredsställande. I sammanhanget bör även reglerna om sekretess nämnas. Det ovan beskrivna utlämnandet av uppgifter förutsätter nämligen att sekretesslagen inte sätter upp några hinder. En kort sammanfattande beskrivning av de problem som finns med gällande sekretessbestämmelser ges i nästa avsnitt.

9.4. Sekretessproblem inom Tullverket

Vår bedömning: Det finns behov av att sekretessgränserna mellan olika verksamheter inom Tullverket klarläggs.

I samarbetet med andra brottsbekämpande myndigheter föreligger sekretessproblem vid informationsutbyte i underrättelseverksamhet. Vi anser bl.a. därför att det finns behov av en övergripande översyn av informationsutbytet mellan de brottsbekämpande myndigheterna.

Under våra besök i de olika regionerna inom Tullverket har det tydligt framgått att det finns problem med tolkningen av vilka sekretessgränser som gäller, framför allt inom verket men också i förhållandet till andra brottsbekämpande myndigheter. Om det är oklart vilka sekretessregler som gäller i en situation då information skall utbytas, uppstår det ofta problem i informationshanteringen. Det finns därför anledning att titta närmare på i vilka avseenden sekretessbestämmelser utgör ett problem för Tullverket och hur bestämmelserna påverkar det möjliga informationsflödet.

9.4.1. Sekretess inom Tullverket

Sekretess för uppgifter gäller enligt sekretesslagen inte enbart i förhållandet mellan en myndighet och utomstående. Även inom en myndighet kan det föreligga sekretess för uppgifter, nämligen om exempelvis olika avdelningar eller enheter m.m. utgör självständiga verksamhetsgrenar i förhållande till varandra. Frågan om självständiga verksamhetsgrenar är mer komplex för Tullverkets vidkommande än för många andra myndigheter, eftersom verket bedriver så skilda verksamheter som brottsbekämpning och uttag av skatter och tullar. Bedömningen av om sekretess gäller mellan olika verksamheter har stor betydelse för om information kan lämnas mellan avdelningar eller enheter utan föregående sekretessprövning.

Tullens processorienterade organisation för dessutom med sig extra svårigheter när det gäller att upprätthålla en klar skiljelinje mellan olika verksamhetsgrenar, eftersom de olika processerna tenderar att överlappa och gå in i varandra på ett sätt som inte stämmer överens med den organisatoriska indelningen i enheter och avdelningar osv. (se bilaga 4). Inom Tullverket synes frågan ha

störst betydelse vid bedömningen av om och under vilka förutsättningar information kan utbytas mellan den brottsbekämpande och den fiskala verksamheten, exempelvis mellan riskanalyssektionen och underrättelsesektionen eller gränsskyddet. Vi har uppfattat att det från många håll inom Tullverket finns starka önskemål om ett klarläggande av hur sekretessituationen skall uppfattas inom Tullverket. Dessa frågor går vi igenom närmare i kapitel 12, som handlar om frågan om direktåtkomst till TDS för den brottsbekämpande verksamheten.

9.4.2. Sekretess mot andra myndigheter

Problem med sekretessregler finns inte bara vid informationsutbyte inom Tullverket, utan i vissa fall även i samarbetet med andra brottsbekämpande myndigheter. När tullen skall lämna uppgifter som behövs i en förundersökning till polis eller åklagare föreligger i dag inga påtagliga problem, eftersom det finns sekretessbrytande bestämmelser avseende förundersökningar. Detsamma gäller när tullen behöver uppgifter från andra myndigheter i en brottsutredning som genomförs av tullkriminalen. I stället uppstår problem främst när uppgifter behöver lämnas till eller från tullen för att de behövs i underrättelseverksamhet. Detta beror dels på den stränga sekretess som gäller i underrättelseverksamhet och som försvårar utbytet av uppgifter mellan myndigheter i den verksamheten, dels på att det för underrättelseverksamhet saknas sekretessbrytande bestämmelser motsvarande de som gäller i förundersökningar. Vi återkommer till denna fråga i kapitel 11, i samband med genomgången av tullens behandling av personuppgifter i underrättelseverksamhet. Vi vill emellertid redan i detta sammanhang framhålla att det enligt vår uppfattning finns behov av en övergripande översyn av informationsutbytet mellan de brottsbekämpande myndigheterna. För att åstadkomma en högre effektivitet i den brottsbekämpande verksamheten och en bättre samverkan mellan myndigheterna, anser vi att myndigheterna inte bör vara bundna av sekretess gentemot varandra. Det skulle enligt vår uppfattning vara önskvärt om de brottsbekämpande myndigheterna i stället kunde omgärdas av en gemensam yttre sekretess. Enligt vår mening är det inte rimligt att den brottsbekämpande verksamheten försvåras av att statsmakterna valt att fördela verksamheten mellan flera myndigheter.

9.5. Behovet av ny lagstiftning

Vår bedömning: Dagens lagstiftning om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet uppfyller inte på ett tillfredsställande sätt de krav som

Tullverkets verksamhet kommer att ställa på automatiserad behandling av uppgifter. Flera av de förändringar som behövs är så grundläggande att det är mest ändamålsenligt med en helt ny lagstiftning.

Av vår redovisning i tidigare avsnitt framgår bl.a. att Tullverket i sin brottsbekämpande verksamhet behöver – eller kommer att behöva – behandla spaningsuppgifter i skilda register på ett mer funktionellt sätt, lagra digitala fotografier samt behandla upprättade och inkomna elektroniska handlingar i datoriserade ärendehanteringssystem. Dagens lagstiftning är för Tullverkets del inte anpassad efter en sådan automatiserad behandling av uppgifter. Vi har dessutom kunnat konstatera att det finns ett antal andra problem med dagens lagstiftning, som t.ex. att det i lag definierade begreppet underrättelseverksamhet vållar gränsdragningsproblem och att information om mindre allvarlig brottslighet inte kan behandlas automatiserat i särskilda undersökningar.

Vid sidan av de behov som har framkommit om hanteringen av information i de register m.m. som förs i den brottsbekämpande verksamheten, utgör det ett effektivitetsproblem främst inom underrättelseverksamheten att direktåtkomst inte medges till TDS och andra fiskala register som förs av Tullverket. Det står dessutom enligt vår uppfattning klart att det finns ett stort behov av utökat informationsutbyte på elektronisk väg med andra brottsbekämpande myndigheter.

Sammantaget innebär dessa behov av förändringar att det för oss framstår som mest ändamålsenligt att helt ersätta dagens lagstiftning om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet med en ny och mer verksamhetsanpassad lagstiftning. Vi återkommer i kapitel 10 och 11 med våra överväganden i den frågan.

10. Övergripande principer

10.1. Behovet av datorstöd

Sedan många år tillbaka utgör användningen av datorer hos myndigheter i Sverige det naturliga sättet att arbeta i en verksamhet. Denna utveckling har varit ett led i effektiviseringen av verksamheterna och det finns inte någon anledning att anta annat än att behovet av datorstöd kommer att fortsätta öka, inte minst för de brottsbekämpande myndigheterna.

Den snabba utvecklingen av datoriseringen visar att den lagstiftning som reglerar användningen av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Det är näst intill omöjligt för lagstiftaren att hålla jämn takt med den tekniska utvecklingen inom datorområdet. För att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen, eller där den rättsliga regleringen onödigt hämmar effektiviseringen, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor, men så långt som möjligt låter bli detaljreglering. Lagstiftningen skall med andra ord styra användningen av ny teknik i offentlig verksamhet samtidigt som den rättsliga regleringen inte får tillåtas förhindra eller försvåra en välkommen effektivisering, om det inte är nödvändigt av integritetsskäl.

10.2. Skyddet för den personliga integriteten

De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen. Redan i 1 kap. 2 § slås fast att det allmänna skall värna om den enskildes privatliv. Denna intention kommer till uttryck i stora delar av den lagstiftning som reglerar det allmännas handlande gentemot enskilda och även

enskildas handlande gentemot varandra. Som exempel på sådan lagstiftning kan nämnas brottsbalken och sekretesslagen (1980:100). Av stor betydelse är även rätten för enskilda att enligt 2 kap. tryckfrihetsförordningen ta del av allmänna handlingar (handlingsoffentlighet). Härigenom garanteras enskilda insyn i och kontroll av den offentliga förvaltningen, vilket kan vara positivt från integritetssynpunkt. Offentligheten kan emellertid även innebära nackdelar från integritetssynpunkt, eftersom enskilda tvingas acceptera att uppgifter om dem kan vara åtkomliga för andra personer.

I 2 kap. 3 § regeringsformen finns en särskild bestämmelse som avser integritetsskyddet vid automatiserad behandling av personuppgifter. Där sägs att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den författning som i dag har till syfte att i första hand uppfylla regeringsformens intentioner i fråga om integritetsskydd i datoriserad verksamhet är personuppgiftslagen (1998:204). Härutöver finns särskilda registerförfattningar som reglerar en stor del av den offentliga verksamheten. Integritetsskyddande bestämmelser om utlämnande av personuppgifter finns även i sekretesslagen.

Det är inte möjligt att definiera exakt vad som avses med personlig integritet. Inte minst är det svårt på grund av att uppfattningen om vad som är en rent personlig sfär varierar mellan olika personer. Dessutom förändras inställningen till integritet över tiden. Det kan också konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet. Av allt att döma finns det emellertid enighet om att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

Enligt vår mening utgör stora informationsmängder, som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsutövning, en påtaglig risk för att enskilda personer skall utsättas för icke acceptabla intrång i den personliga sfären. Tullverkets, och andra brottsbekämpande

myndigheters, användning av datorer i sin verksamhet kan alltså i sig utgöra ett hot mot den personliga integriteten. Detta måste hela tiden beaktas vid utformningen av lagstiftningen inom området.

De olika integritetsfaktorer som är aktuella i samband med en reglering av användningen av datorer och dataregister inom Tullverkets brottsbekämpande verksamhet är t.ex. vilka uppgifter som får registreras, vem som får ta del av dem och hur de får användas. I fråga om vem som får ta del av uppgifter intar omfattningen av myndigheters och andras direktåtkomst till elektroniskt lagrad information en särställning. Sådan åtkomst har under lång tid ansetts särskilt integritetskänslig. Detsamma har gällt samkörning av uppgifter från olika källor.

Vi kommer att behandla de olika integritetsaspekterna efterhand som vi redovisar vår inställning i de olika sakfrågorna, t.ex. gällande direktåtkomst. Redan här bör emellertid slås fast att vi anser det viktigt att en författningsreglering som bland annat syftar till att underlätta Tullverkets användning av datorer för att uppnå effektivitetsvinster inom brottsbekämpningen, inte får utformas på ett sådant sätt att integritetsskyddet för enskilda urholkas.

10.3. Särskild författningsreglering

Vårt förslag: Behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall författningsregleras särskilt.

Uppgifter i den interna administrationen skall behandlas enligt personuppgiftslagens bestämmelser.

Allmänna bestämmelser om integritetsskydd inom datorområdet finns, som nämnts tidigare, i personuppgiftslagen. För olika offentliga verksamheter kan dock integritetsproblemen vara av skiftande art. Det går därför inte generellt att lösa alla problem och fullt ut beakta alla frågeställningar genom att vända sig till personuppgiftslagens bestämmelser. Sverige kan, inom ramen för sina åligganden enligt EG-rätten, meddela avvikande bestämmelser i lag eller förordning, som då gäller i stället för personuppgiftslagens bestämmelser. En förutsättning är dock att de avvikande bestämmelserna inte strider mot dataskyddsdirektivets bestämmelser.

Särskild författningsreglering bör enligt vår uppfattning tillämpas endast om det finns beaktansvärda skäl för det. Vi anser att man generellt kan peka ut de normala situationer då så är fallet, nämligen – när en nödvändig behandling över huvud taget inte är tillåten enligt personuppgiftslagen, t.ex. i fråga om behandling av vissa känsliga uppgifter, – när personuppgiftslagen visserligen reglerar ett visst förhållande, men det finns anledning att avvika från eller precisera den regleringen, t.ex. i fråga om hur länge uppgifter får bevaras, – när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, t.ex. i fråga om vem som är personuppgiftsansvarig, – när det finns anledning att begränsa möjligheterna till behandling av uppgifter av integritetsskäl, t.ex. i fråga om myndigheters registrering av och åtkomst till stora eller känsliga uppgiftsmängder, samt – när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som olika myndigheter registrerar.

Enligt vår uppfattning finns det inga tvivel om att en särskild författningsreglering behövs i Tullverkets brottsbekämpande verksamhet, av såväl effektivitets- som integritetsskäl. Ett flertal faktorer – främst omfattningen av verksamheten, dess inriktning med ingripande myndighetsutövning samt de mycket känsliga uppgifter och behandlingar som förekommer inom brottsbekämpningen – utesluter att personuppgiftslagen kan vara den enda författning som reglerar informationshanteringen.

När det däremot gäller den interna administrativa förvaltningen, exempelvis lokal- och personalfrågor, är situationen en helt annan. I administrationen förekommer ingen myndighetsutövning mot utomstående personer, utan verksamheten påminner mestadels om hanteringen av information hos vilken större arbetsgivare som helst. Internt administrativt arbete vid en myndighet är normalt inte reglerad i registerförfattningar för annan offentlig verksamhet och vi kan inte se annat än att personuppgiftslagens regler är fullt tillräckliga för att hantera behandlingen av personuppgifter i t.ex. Tullverkets löneregister.

10.4. Lag, förordning eller myndighetsföreskrifter

Vårt förslag: De grundläggande principerna för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall regleras i lag. Kompletterande bestämmelser skall meddelas av regeringen eller den myndighet som regeringen bestämmer.

Vi konstaterar i avsnitt 10.3 att behandling av personuppgifter i den brottsbekämpande verksamheten måste författningsregleras särskilt, främst av integritetsskäl men också av effektivitetsskäl.

En viktig fråga är i vilken form en sådan författningsreglering skall ske; genom lag, förordning eller myndighetsföreskrifter. I Tullverkets brottsbekämpande verksamhet behandlas mängder av uppgifter om enskilda personer i olika register eller datorsystem. Uppgifterna är i många fall mycket känsliga, inte minst i underrättelseverksamhet, och det är därför viktigt att de behandlas på ett sådant sätt att vederbörlig hänsyn tas till misstänktas och andra inblandades personliga integritet.

Frågor om regleringen av personregister har behandlats av Konstitutionsutskottet, som bl.a. påpekat att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48), en uppfattning som även regeringen har gett uttryck för (se bl.a. prop. 1990/91:60 s. 58 och 1997/98:44 s. 41). Enligt vår uppfattning är den automatiserade behandling av personuppgifter som förekommer i Tullverkets brottsbekämpande verksamhet utan tvekan av sådan karaktär och omfattning att de grundläggande principerna för behandlingen skall slås fast i lag.

De bestämmelser som vi anser måste framgå av lag är främst sådana som anger för vilka ändamål personuppgifter får behandlas, vilka uppgiftskategorier som får behandlas, i vilken omfattning uppgifter skall få lämnas ut i elektronisk form, när uppgifter skall gallras samt vilka rättigheter enskilda har. I vissa fall bör sådana bestämmelser vara ovillkorliga, medan regeringen i andra fall bör kunna medge undantag. Regeringen bör dessutom kunna meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta, t.ex. som en följd av ändrade villkor för verksamheten, måste prövas av riksdagen. Avgörande för på vilken konstitutionell nivå föreskrifter bör meddelas, är enligt vår uppfattning vilken betydelse bestämmelser-

na har från integritetssynpunkt. Det kan i vissa fall vara lämpligt att regeringen delegerar rätten att meddela kompletterande föreskrifter till Tullverket eller Riksarkivet.

10.5. Grundläggande begrepp – databas eller register

Vårt förslag: Det traditionella registerbegreppet skall inte förekomma i författningarna om behandling av personuppgifter i

Tullverkets brottsbekämpande verksamhet. I stället skall begreppet databas användas som en juridisk beteckning på automatiserade uppgiftssamlingar som används gemensamt inom en verksamhet och för vilka särskilda handlingsregler gäller.

Databaser i stället för register

Med personregister avsågs enligt gamla datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den i författningar allmänt använda termen för elektroniska uppgiftssamlingar har sedan datalagens införande 1973 varit register.

Det traditionella registerbegreppet har dock kritiserats vid flera tillfällen, främst eftersom det för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar osv. Även framväxten av Internet har tydliggjort behovet av en översyn av traditionella begrepp i datorsammanhang, som t.ex. registerbegreppet. Ytterligare en grund för kritik har varit att begreppet register inte används i personuppgiftslagen, som ersatt datalagen. Det finns därför enligt vår uppfattning anledning att inte använda registerbegreppet i en ny lag om hantering av personuppgifter i Tullverkets brottsbekämpande verksamhet.

I personuppgiftslagen talas det om behandling av personuppgifter och inte om förande av register. Det skulle enligt vår bedömning vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt

alternativ, dvs. endast tala om behandling av personuppgifter, men det är inte självklart att det är det bästa alternativet.

Det finns flera elektroniska samlingar av personuppgifter som enligt vår bedömning måste ses som register i ordets egentliga bemärkelse, dvs. uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord e.d. Det kan därför finnas anledning att inte helt frångå registerbegreppet. Som exempel kan nämnas att begreppet register har sin naturliga plats i t.ex. lagen (1998:621) om misstankeregister och lagen (1998:620) om belastningsregister. Dessa lagar reglerar nämligen register i en mer traditionell mening. Registerbegreppet är emellertid inte lämpligt när det gäller datorsystem som innefattar elektronisk ärendehantering, där inkomna handlingar kan skannas och beslut upprättas med automatiserad behandling, för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av mer registerartad karaktär.

Att endast tala om behandling av personuppgifter kan i vissa fall föranleda att lagtexter tyngs och blir svårhanterliga, t.ex. när man inte avser behandling i allmänhet utan endast behandling i fastställda samlingar av uppgifter för vilka särskilda handlingsregler gäller. Som exempel kan nämnas att när en tjänsteman vid Tullverket behandlar personuppgifter på elektronisk väg, kan det göras t.ex. med ordbehandling vid framställning av dokument eller via terminalfunktioner i särskilda gemensamma register. Det är inte helt enkelt att i en lag om behandling av personuppgifter klart uttrycka att man i motsvarande situationer avser att vissa bestämmelser endast skall gälla för den senare behandlingen och inte för den tidigare, något som vi anser att det finns behov av.

Ett alternativ till registerbegreppet är termen databas, som numera förekommer i olika sammanhang, bl.a. i den lag som gäller för den fiskala hanteringen av personuppgifter inom Tullverket (se prop. 2000/01:33). Vi anser att det även för den brottsbekämpande verksamheten finns behov av ett särskilt begrepp för att beskriva vissa uppgiftssamlingar som är föremål för automatiserad behandling. Begreppet databas, som språkligt har mer naturlig anknytning till automatiserade sammanställningar av uppgifter, är i det här sammanhanget att föredra framför register.

Databasbegreppet underlättar en teknikoberoende lagstiftning

I vårt lagförslag avser vi med begreppet databas något annat än egentliga register. En databas består av en uppgiftssamling av varierande slag, ofta rörande såväl juridiska som fysiska personer. Den kan innehålla ett antal egentliga register, men också uppgifter som inte alls kan inordnas i ett traditionellt register, såsom elektroniska handlingar i ett ärendehanteringssystem.

En av våra målsättningar är att skapa ett regelverk som är mer teknikoberoende än många av de registerförfattningar som finns i dag. Detta kan göras genom att begreppet databas ges en juridisk innebörd utan direkt teknisk anknytning. Vi anser att en databas skall definieras som en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet, något som i dag gäller för bl.a. Tullverkets fiskala verksamhet.

En definition av begreppet databas som den nyss angivna utesluter manuella register och gör det samtidigt möjligt att särskilja tillfälliga behandlingar av personuppgifter i en persondator från behandlingar i datorsystem som är särskilt reglerade till sitt innehåll och användning, något som vi utvecklar närmare i kapitel 11. Definitionen har även den fördelen att den inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register – i egentlig bemärkelse – är sammanlänkande och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så utgör dessa register en databas. Med andra ord skulle automatiserade register kunna sägas vara en specialform av databaser, nämligen databaser vars innehåll är systematiserade på ett visst sätt enligt särskilda kriterier. En juridiskt bestämd databas kan således innehålla flera mindre databaser eller datorsystem i teknisk mening, varav en del kan vara regelrätta register. Om samtliga uppgifter i en databas finns samlade i ett enda datorsystem i en enda server inom Tullverket och är tillgängliga för de olika regionerna enligt vissa kriterier (behörighetskoder o.d.) eller om uppgifterna delas upp så att de rent tekniskt förvaras i olika servrar – och i form av flera datorsystem eller register – i regionerna, saknar alltså betydelse. Det väsentliga är att uppgifterna är gemensamt tillgängliga inom hela eller delar av Tullverket.

Dessa tankegångar har som utgångspunkt att en lag om behandling av personuppgifter inte skall reglera hur uppgifterna

tekniskt organiseras, utan endast utgöra en rättslig ram för vilka uppgifter som får behandlas och på vilket sätt de får användas för att bl.a. säkerställa ett gott integritetsskydd. Detta innebär att regleringen av en databas i Tullverkets brottsbekämpande verksamhet kan innehålla bestämmelser om behandling av samtliga de uppgifter som i dag finns i olika register och datorsystem, utan att det för den sakens skull anges hur uppgifterna skall organiseras eller delas in i grupper. Om det i en lag anges att en sådan databas får innehålla samtliga uppgifter som i dag behandlas i olika datorsystem eller register (t.ex. i underrättelseregistret och tullmålsjournalen), så tar man därigenom inte ställning till den tekniska utformningen. Det kan alltså i princip bli fråga om ett stort centralt eller flera små lokalt anordnade datorsystem eller register eller en blandning av båda alternativen. Det väsentliga är att de krav lagen ställer på behandlingen för att säkerställa enskildas integritet kan efterlevas.

11. Författningsregleringen av behandling av uppgifter

11.1. Lagstiftningens systematik och allmänna tillämpningsområde m.m.

11.1.1. Den nya lagens systematik

Vårt förslag: Den i dag gällande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall ersättas av en ny lag om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet. Den nya lagen skall delas in i tre kapitel: – allmänna bestämmelser som i huvudsak är tillämpliga på all behandling av uppgifter som omfattas av lagen, – särskilda bestämmelser som endast gäller automatiserad behandling av uppgifter och handlingar i en gemensam databas, samt – bestämmelser om enskildas rättigheter vid behandlingen av personuppgifter.

Som vi redovisar i kapitel 9 anser vi att det behövs så stora förändringar av den lagstiftning som skall reglera informationshanteringen i Tullverkets brottsbekämpande verksamhet, att vi föreslår en ny lag som skall ersätta den i dag gällande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Vi har också övervägt hur en sådan helt ny lag bör struktureras.

Det finns ingen enhetlig systematik bland de registerförfattningar som i dag gäller inom skilda myndighetsområden. Vilken systematik som väljs kan vara beroende av olika faktorer, exempelvis hur omfattande regleringen är, vilken verksamhet den avser och om författningen gäller utöver eller i stället för

personuppgiftslagen. Vi har valt att för Tullverkets brottsbekämpande verksamhet välja en författningsstruktur som till så stor del som möjligt stämmer överens med den som tillämpas i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, dvs. den lag som gäller för den fiskala verksamheten.

Det innebär att det i ett första kapitel finns bestämmelser som skall tillämpas generellt på all behandling av uppgifter i den brottsbekämpande verksamheten, oavsett om det gäller e-posthantering, enkel ordbehandling eller förandet av omfattande och för myndigheten gemensamma personregister. I ett andra kapitel återfinns regler som gäller endast för den särskilda form av automatiserad behandling av uppgifter och handlingar som utförs i en databas för gemensam användning i verksamheten. Till denna kategori hör främst myndighetens gemensamma personregister och ärendehanteringssystem. I ett avslutande kapitel samlas de bestämmelser som gäller vilka rättigheter enskilda har gentemot den personuppgiftsansvariga myndigheten, dvs. Tullverket.

11.1.2. Tillämpningsområdet

Vårt förslag: Lagen skall tillämpas vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, om behandlingen är helt eller delvis automatiserad. Även behandling av personuppgifter i manuella register skall omfattas av lagens tillämpningsområde. De bestämmelser i lagen som reglerar ändamålen med och ansvaret för behandlingen, gallring och bevarande av uppgifter samt behandling av uppgifter i särskilda gemensamma automatiserade uppgiftssamlingar (databaser), skall vara tillämpliga även vid behandling av uppgifter om juridiska personer.

Verksamhetsområdet

Tullverkets verksamhet kan delas in i två huvudsakliga delar, den fiskala och den brottsbekämpande verksamheten. Dessutom finns, som vid alla myndigheter, en intern administrativ verksamhet.

Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. Vi anser att det inte är nödvändigt med en specialreglering för att kunna hantera behandlingen av

personuppgifter i den administrativa verksamheten (se avsnitt 10.3). För behandling av uppgifter som rör administrativa frågor, t.ex. i löneregister, skall alltså personuppgiftslagen tillämpas fullt ut. För den fiskala verksamheten med uttag av tullar, skatter och avgifter finns i dag särskilda bestämmelser i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Vi bedömer det som mest ändamålsenligt om dessa bestämmelser även fortsättningsvis finns samlade i en egen lag. Den lag som vi nu föreslår skall därför reglera endast den behandling av uppgifter som rör den brottsbekämpande verksamheten inom Tullverket.

Gränsdragningen mellan tillämpningsområdena för den lag som reglerar fiskal verksamhet och den av oss föreslagna lagen som skall reglera brottsbekämpande verksamhet, måste utläsas av de ändamål som gäller för respektive lag. Vilka ändamål som gäller för behandling av uppgifter i brottsbekämpande verksamhet, och som alltså avgränsar lagens tillämpningsområde gentemot den fiskala verksamheten, redovisar vi i avsnitt 11.1.4.

I vissa fall kan det vara tveksamt om en uppgift i ett datorsystem är hänförlig till den materiella eller den administrativa verksamheten. Det är exempelvis vanligt att det i ett ärendehanteringssystem finns uppgifter om vem som handlägger ett visst ärende och när denna person har semester samt till vilken avdelning, enhet eller sektion inom myndigheten som ett ärende hör. Den typen av uppgifter, som kan användas för att få till stånd en smidig handläggning av de ärenden som myndigheten hanterar, är enligt vår uppfattning rent administrativa. De hänför sig till den interna administrationen av myndighetens verksamhet och inte till de enskilda som kan vara föremål för myndighetens åtgärder. Behandlingen av sådana uppgifter berörs alltså inte av den av oss föreslagna lagstiftningen.

Behandling som omfattas

EU:s dataskyddsdirektiv är inte tillämpligt på sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av EG-rätten, t.ex. statens verksamhet på straffrättens område. Det är i fråga om den brottsbekämpande verksamheten inom Tullverket inte självklart vad som omfattas av direktivet. Stora delar av behandlingen av personuppgifter torde falla utanför tillämpningsområdet såsom hörande till just straffrättens område.

Inom skilda processer i Tullverkets brottsbekämpande verksamhet ingår emellertid flera arbetsuppgifter som har mycket nära anknytning till uttag av skatter och tullar. Stora delar av arbetet med brottsbekämpning är dessutom direkt kopplat till EU-regler om det fria flödet av varor inom unionen. Enligt vår uppfattning bör en lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet täcka alla arbetsuppgifter som kan anses falla inom ramen för brottsbekämpningen, oavsett om de faller inom tillämpningsområdet för dataskyddsdirektivet eller inte. Vi har därför inte funnit några skäl för att närmare analysera vid vilka behandlingar Sverige är bundna av dataskyddsdirektivet. Utgångspunkten är i stället att lagen inte skall strida mot de grundläggande och bindande principerna i dataskyddsdirektivet, även om det i vissa avseenden skulle vara EG-rättsligt möjligt.

För att uppfylla dataskyddsdirektivets krav anser vi att författningarna för Tullverket skall omfatta samma grundläggande behandling som personuppgiftslagen, dvs. helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (manuella register).

Personuppgiftslagen gäller endast vid behandling av personuppgifter, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att behandling av uppgifter om juridiska personer inte alls omfattas av lagen. Tullverket behandlar stora mängder uppgifter som rör andra än levande fysiska personer, t.ex. företag, myndigheter och andra organisationer som förekommer i ärenden. Dessa kategorier av juridiska personer har av naturliga skäl inte samma behov av integritetsskydd som levande fysiska personer. När man föreslår författningar som reglerar vad myndigheter får och inte får registrera i sina datorsystem och hur uppgifterna sedan får användas, finns det enligt vår uppfattning ändå anledning att låta författningarna omfatta även andra än levande fysiska personer.

Vi föreslår därför att även juridiska personer skall omfattas av de bestämmelser i lagen som anger ändamålet med och ansvaret för behandlingen samt som reglerar hur länge uppgifter får bevaras. När uppgifter behandlas i gemensamma datorsystem (se avsnitt 11.2 om databaser) skall även bestämmelser om innehåll samt utlämnande av, åtkomst till och sökning efter uppgifter och handlingar omfatta juridiska personer.

11.1.3. Förhållandet till personuppgiftslagen

Vårt förslag: Bestämmelser i personuppgiftslagen skall tillämpas på behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet endast när det anges särskilt. De bestämmelser i personuppgiftslagen som skall vara allmänt tillämpliga är de om definitioner, förhållandet till offentlighetsprincipen, grundläggande krav på behandling, säkerheten vid behandling, överföring av personuppgifter till tredje land, personuppgiftsombudets uppgifter, upplysningar till allmänheten om vissa behandlingar, tillsynsmyndighetens befogenheter samt straff. I vissa fall skall även bestämmelsen om användning av personnummer vara tillämplig.

Hänvisning till personuppgiftslagen

En viktig fråga är i vilken omfattning personuppgiftslagens bestämmelser skall vara direkt tillämpliga på den brottsbekämpande verksamheten. Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter och den kommer därför att gälla i Tullverkets verksamhet, om det inte finns avvikande bestämmelser i lag eller förordning. Som vi nämner i avsnitt 10.3 behövs det avvikande bestämmelser för Tullverket. Det innebär att det i den lag som vi föreslår kommer att finnas vissa uttryckliga bestämmelser som avviker från personuppgiftslagen. Samtidigt uppstår frågan hur man skall hantera de regler som inte skall avvika från personuppgiftslagen. I tidigare lagstiftningsärenden har olika varianter förekommit.

En modell är att i en särskild författning över huvud taget inte nämna personuppgiftslagen eller klart ange att den särskilda författningen gäller utöver den lagen. I bägge fallen gäller avvikande bestämmelser i den särskilda författningen före personuppgiftslagen. När reglering saknas i den särskilda författningen kommer däremot personuppgiftslagens bestämmelser att vara tillämpliga. Nackdelen med en sådan modell är att lagtillämparen kan ha svårt att få en överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga och i vilken omfattning det i den särskilda författningen finns bestämmelser som kanske endast delvis avviker från personuppgiftslagens regler. Modellen används bl.a. i polisdatalagen (1998:622), och det har visat sig att modellen

har mött kritik inom polisväsendet just på grund av att den anses svår att tillämpa. Polisdatautredningen har därför i betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92) föreslagit en annan modell.

Polisdatautredningens modell innebär att de bestämmelser i personuppgiftslagen som skall vara tillämpliga skrivs ut i klartext i den särskilda författningen om behandlingen av personuppgifter. Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att ens behöva gå till personuppgiftslagen. En nackdel med att direkt skriva ut bestämmelser som finns i personuppgiftslagen är att man därigenom inför en onödig form av dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. Dessutom innebär även mindre ändringar i personuppgiftslagen att motsvarande justeringar måste göras i den särskilda författningen. Den särskilda lagen kan även komma att bli onödigt omfattande till formatet.

En tredje modell innebär att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i specialförfattningen och att det uttryckligen hänvisas till de lagrum i personuppgiftslagen som skall vara tillämpliga. Denna metod tillämpas i dag bl.a. i den lagstiftning om behandling av personuppgifter som gäller inom Tullverkets fiskala verksamhet och inom skatteförvaltningen. Fördelarna är enligt vår mening att lagstiftningen blir mer överskådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden fick emellertid kritik av lagrådet, som bl.a. ansåg att lagstiftningstekniken var riskfylld med hänsyn till såväl svårigheterna att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller missvisande (se prop. 2000/01:33, s. 345 f.).

Det finns enligt vår uppfattning ett stort värde i att inte lämna lagtillämparen utan vägledning när det gäller tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga. Det visar inte minst de tidigare nämnda problem som förekommer inom polisväsendet med tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga vid sidan av polisdatalagen. Vi anser vidare att man inte skall överdriva den av lagrådet påtalade risken att hänvisningar kan bli felaktiga vid lagändringar. Vår bedömning är att de ovan nämnda fördelarna med en metod som innebär att det i varje lag ges uttryckliga hänvisningar till de

bestämmelser i personuppgiftslagen som är tillämpliga mycket klart överväger nackdelarna. En ytterligare aspekt i detta sammanhang är att denna metod i dag används i regleringen av Tullverkets fiskala verksamhet. Det finns enligt vår mening ett inte obetydligt värde i att använda samma typ av lagstiftningsteknik för myndighetens hela verksamhet. Vi föreslår därför att en sådan modell används också i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Tillämpliga bestämmelser i personuppgiftslagen

Redovisningen nedan av vilka bestämmelser i personuppgiftslagen som vi föreslår skall vara tillämpliga vid behandling av personuppgifter i brottsbekämpande verksamhet vid Tullverket omfattar inte de bestämmelser som direkt rör enskildas rättigheter; information, rättelse och skadestånd. Vi återkommer till de bestämmelserna i avsnitt 11.9.

Definitioner (3 §)

Vi har inte funnit någon anledning att i den av oss föreslagna lagen definiera begrepp som förekommer där på något annat sätt än i 3 § personuppgiftslagen. För att undvika missförstånd är det tvärtom viktigt att de begrepp som används i de två lagarna har samma innebörd. Det bör dock anmärkas att personuppgiftsansvaret regleras särskilt i den lag som vi föreslår för Tullverket.

Förhållandet till offentlighetsprincipen m.m. (8 §)

Bestämmelsen i 8 § första stycket personuppgiftslagen är en ren upplysning och markering om offentlighetsprincipens företräde. I andra stycket finns dock en materiell regel som anger att 9 § fjärde stycket personuppgiftslagen – där det ställs upp begränsningar i rätten att använda sig av personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål för att vidta åtgärder i fråga om den registrerade – inte skall tillämpas i fråga om myndigheters användning av personuppgifter i allmänna handlingar. Personuppgiftslagens bestämmelser hindrar inte heller att allmänna handlingar bevaras eller att arkivmaterial tas om hand

för arkivering. Dessa undantag skall gälla även inom brottsbekämpande verksamhet vid Tullverket.

Grundläggande krav på behandlingen av personuppgifter (9 §)

En av de väsentligaste bestämmelserna i fråga om behandling av personuppgifter finns i 9 § personuppgiftslagen och avser vilka grundläggande krav som ställs på en personuppgiftsansvarig. Dessa krav bör naturligtvis tillämpas även vid behandling av personuppgifter vid Tullverket. Vi föreslår emellertid särskilda gallringsregler och bestämmelserna i 9 § första stycket i) och tredje stycket om hur länge uppgifter får bevaras skall därför inte tillämpas.

Behandling av personnummer (22 §)

Enligt 22 § personuppgiftslagen får personnummer och samordningsnummer behandlas endast efter samtycke från den registrerade eller om det är klart motiverat med hänsyn till behandlingens ändamål, vikten av en säker identifiering eller något annat beaktansvärt skäl. För behandling i brottsbekämpande verksamhet måste person- eller samordningsnummer av rättssäkerhetsskäl ofta användas för att eliminera risken för fel vid registrering av personuppgifter och i handläggningen av ärenden.

Vid behandling av personuppgifter i gemensamma datorsystem är det i de flesta fall helt nödvändigt att generellt använda personnummer för att kunna säkra identifieringen av en registrerad. För sådan behandling anges därför uttryckligt i den av oss föreslagna lagen att uppgifter om en persons identitet får användas, bl.a. personnummer. Hänvisningen till personuppgiftslagens bestämmelse får därför praktisk tillämpning endast i fråga om behandling som inte utförs i den särskilt reglerade tullbrottsdatabasen, dvs. vid vanlig ordbehandling, hantering av e-post och användandet av begränsade projektregister m.m. Även i de fallen torde det dock ofta vara motiverat att använda personnummer för att säkerställa de berörda parternas identitet. Personnummer bör emellertid inte användas slentrianmässigt när risk inte föreligger för förväxling mellan personer eller när andra beaktansvärda skäl saknas.

Säkerheten vid behandling (30–32 §§)

I 3032 §§personuppgiftslagen finns regler om hur den personuppgiftsansvarige skall organisera arbetet med behandling av personuppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Dessa bestämmelser skall vara tillämpliga i Tullverkets brottsbekämpande verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Detta är inte minst viktigt i fråga om behandling av uppgifter i tullbrottsdatabasen, där det exempelvis kan behövas såväl tekniska lösningar för datorsystemen som olika behörighetsnivåer för personalkategorier, för att garantera att regleringen i den av oss föreslagna lagen kan efterlevas. Det är också viktigt att särskilda rutiner införs för behandling av personuppgifter i exempelvis underrättelseprojekt som inte omfattas av de i många fall mer restriktiva bestämmelserna för tullbrottsdatabasen.

Överföring av personuppgifter till tredje land (33–35 §§)

Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Regeringen har också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse. I dataskyddsdirektivets ingresspunkt 58 nämns uttryckligen internationellt utbyte av uppgifter mellan tullmyndigheter som ett sådant viktigt intresse och i förordningen (2000:1222) om internationellt tullsamarbete finns en bestämmelse om undantag från 33 § personuppgiftslagen.

Vi anser att förbudet mot överföring till tredje land som inte har acceptabla skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även på behandling enligt den av oss föreslagna lagstiftningen.

Personuppgiftsombudets uppgifter m.m. (38–41 §§)

Automatiserade behandlingar av personuppgifter skall enligt 36 § personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen inte göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning. Det finns enligt vår mening inte någon anledning att ställa krav på anmälningsskyldighet för behandlingar som utförs med stöd av den av oss föreslagna lagen. Den personuppgiftsansvarige har enligt 36 § personuppgiftslagen även möjlighet att utse ett personuppgiftsombud. Vår bedömning är att det bör åligga den personuppgiftsansvarige att ta ställning till frågan om ett personuppgiftsombud skall inrättas hos myndigheten eller inte. Om ett sådant ombud utses, skall bestämmelserna om ombudets skyldigheter i 3840 §§personuppgiftslagen tillämpas. Regeringen har enligt 41 § personuppgiftslagen möjlighet att föreskriva att vissa särskilt känsliga behandlingar skall anmälas till Datainspektionen för förhandskontroll oavsett om det finns ett personuppgiftsombud eller inte. Denna möjlighet bör regeringen enligt vår mening ha även i fråga om sådana behandlingar som utförs i Tullverkets brottsbekämpande verksamhet.

Vissa upplysningar till allmänheten (42 §)

Enligt 42 § personuppgiftslagen skall den personuppgiftsansvarige till den som begär det lämna upplysningar om de behandlingar av personuppgifter som utförs och som inte har anmälts till Datainspektionen. Eftersom Tullverkets behandling är författningsreglerad har verket ingen skyldighet att till Datainspektionen anmäla vilka behandlingar som utförs. För att enskilda på ett snabbt och enkelt sätt skall kunna få besked av Tullverket om vilka behandlingar som utförs av verket i den brottsbekämpande verksamheten, bör bestämmelsen i personuppgiftslagen vara tillämplig.

Tillsynsmyndighetens befogenheter (43 och 47 §§)

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Vi anser att den möjlighet som inspektio-

nen har enligt 43 § personuppgiftslagen att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler bör finnas även när den personuppgiftsansvarige är en myndighet. Däremot bör det inte vara möjligt för Datainspektionen att vid vite förbjuda en personuppgiftsansvarig statlig myndighet att behandla personuppgifter, eftersom vite som sanktionsmedel enligt allmänna rättsgrundsatser inte bör användas mellan statliga myndigheter. Hänvisning behöver därför inte göras till bestämmelserna om vite i 44 och 46 §§personuppgiftslagen. Vi finner det inte heller nödvändigt att i lagen hänvisa till 45 §, i vilken det anges att Datainspektionen skall försöka åstadkomma rättelse genom påpekanden e.d., om inspektionen konstaterar att personuppgifter behandlas felaktigt. Det torde vara självklart att Datainspektionen vidtar de åtgärder som är rimliga för att få till stånd rättelse när eventuella brister i Tullverkets hantering upptäcks.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt skall utplånas. Bestämmelsen har sin grund i dataskyddsdirektivets artikel 28.3, där det anges att varje nationell tillsynsmyndighet skall ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Vi kan inte se att det finns någon anledning att göra undantag för Tullverkets brottsbekämpande verksamhet.

Straff (49 §)

Personuppgiftslagens bestämmelser om straffansvar bör omfatta även verksamhet vid Tullverket och vara tillämpliga när personuppgifter behandlas med stöd av den av oss föreslagna lagen.

11.1.4. Tillåtna ändamål för behandling av uppgifter

Vårt förslag: Tydliga och konkreta ändamål för behandling av personuppgifter och andra uppgifter skall anges i lag. Uppgifter skall primärt få behandlas bara för de angivna ändamålen, nämligen när det behövs för att – förhindra eller upptäcka brottslig verksamhet, – utreda eller beivra brott, – fullgöra internationellt tullsamarbete, – planera, följa upp och utvärdera verksamheten, och – förse andra brottsbekämpande myndigheter med information.

Bestämmelser om för vilka ändamål uppgifter i statliga personregister får användas har alltid haft en central roll i registerförfattningar. Genom att ange ändamålen och reglera vilka uppgifter som får registreras, har ramen för hanteringen av personregister satts upp. I och med dataskyddsdirektivet har betydelsen av klara ändamålsbestämmelser ökat än mer. Ett av de viktigaste inslagen i direktivet och personuppgiftslagen är nämligen att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål samt att uppgifterna senare inte får behandlas för något ändamål som är oförenligt med de för vilka uppgifterna samlades in (artikel 6.1a). Motsvarande bestämmelser finns i 9 § personuppgiftslagen.

Sambearbetning mellan olika automatiserade register, s.k. samkörning, har länge ansetts vara en särskilt känslig form av personuppgiftsbehandling. Enligt datalagen krävdes särskilt tillstånd för sådan behandling, om inte registreringen eller utlämnandet av uppgifter kunde göras med stöd av författning. I dataskyddsdirektivet tas däremot inte någon direkt hänsyn till de särskilda integritetsproblem som är förknippade med behandling i form av sambearbetning mellan olika uppgiftsdatabaser. Under förutsättning att insamlandet, utlämnandet och den senare behandlingen av uppgifterna står i överensstämmelse med ändamålen för registren eller databaserna, föreligger inga hinder för sådan sambearbetning. Det krävs således inte något särskilt författningsstöd för att uppgifter i en databas skall kunna sambearbetas med varandra eller med uppgifter i en annan databas. Denna nya situation har öppnat möjligheter till nya rättsliga konstruktioner

med databasbegreppet som grund (se avsnitt 10.5). Samtidigt ställer den särskilt höga krav på att ändamålsbestämmelserna i de författningar som reglerar behandling av personuppgifter i myndighetsverksamhet är utformade på ett sådant sätt att det klart framgår för vilka syften uppgifter får behandlas.

Vi anser att Tullverket i den brottsbekämpande verksamheten bör få behandla uppgifter för fyra olika primära ändamål, nämligen när det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott, för att fullgöra internationellt tullsamarbete samt för att planera, följa upp och utvärdera verksamheten. En mer ingående redovisning av behandlingen av uppgifter för de olika ändamålen i den brottsbekämpande verksamheten finns i avsnitt 11.4. Det bör dessutom som ett sekundärt ändamål anges att uppgifter får behandlas för att förse andra brottsbekämpande myndigheter med information.

Förhindra eller upptäcka brottslig verksamhet

En viktig del av Tullverkets arbete med brottsbekämpning är att upptäcka och förhindra brottslig verksamhet som innefattar brott som Tullverket har befogenhet att ingripa mot. I begreppet brottslig verksamhet ligger att det inte är fråga om att klara upp ett konkret begånget brott, utan i stället att avslöja om viss brottslighet har förekommit, pågår eller kan förutses. Utgångspunkten för arbetet är i huvudsak att ta fram underlag för vilken inriktning den brottsbekämpande verksamheten skall ha eller för att initiera konkreta brottsutredningar.

Vad vi avser med bestämmelsen är alltså främst det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att komma åt brottslig verksamhet när det inte finns konkreta misstankar om att ett brott redan har begåtts. Insamling av information kan ske på flera sätt; genom egna spaningsinsatser, samarbete med andra brottsbekämpande myndigheters underrättelseverksamhet eller tips från allmänheten. Ändamålet omfattar emellertid mer än enbart underrättelsearbete. Här ryms även den gränskontrollerande verksamheten på plats i t.ex. ett tullfilter, innan den situationen har uppstått att exempelvis ett konkret smugglingsbrott faktiskt har upptäckts eller kan misstänkas. Även det urvalsarbete som utförs av selekteringsgrupper inför kontroller av containertrafik m.m. omfattas av

ändamålet, under förutsättning att det inte finns misstankar om att ett konkret brott faktiskt har förövats.

Utanför ändamålet faller med andra ord behandling av uppgifter när det ”finns anledning att anta att ett brott har förövats” och en förundersökning därför skall inledas enligt 23 kap. rättegångsbalken eller när ett konkret brott har begåtts och åtal kan ske utan förundersökning genom ett förenklat förfarande enligt 23 kap. 22 § rättegångsbalken. Även verksamhet som innebär att ett brott skall beivras med stöd av 48 kap. rättegångsbalken utan att åtal väcks faller utanför ändamålet.

Enligt vår uppfattning skall ändamålet inte heller omfatta sådant allmänt brottsförebyggande arbete som inte kan anses utgöra en del av den brottsbekämpande verksamheten inom Tullverket, t.ex. allmän information i skolor eller delar av arbetet med den s.k. Servicetrappan i fiskal verksamhet.

Utreda eller beivra brott

Inom Tullverket utreds och beivras i stor omfattning brott som Tullverket har befogenhet att ingripa mot. Med detta avses i första hand arbete inom ramen för en förundersökning enligt 23 kap. rättegångsbalken eller lagen (2000:1225) om straff för smuggling, exempelvis spaning, förhör och informationsbearbetning. Ändamålet omfattar emellertid även annat utredande eller beivrande av ett konkret brott. I ändamålet innefattas således behandling som sker med stöd av 23 kap.3 och 8 §§rättegångsbalken innan förundersökning har inletts (inledande förhör på brottsplatsen m.m.) samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om förundersökning skall inledas eller inte, s.k. primärutredning (t.ex. kontroll av ett tips om att ett brott har förövats).

Avgörande för om en viss behandling faller in under det angivna ändamålet anser vi vara att åtgärderna sker med anledning av att ett konkret brott har eller misstänks ha begåtts. Det saknar alltså betydelse om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form. Om det däremot finns misstankar endast om pågående brottlig verksamhet som inte kan konkretiseras eller misstankar om att ett konkret brott kommer att begås i framtiden, får uppgifter i stället behandlas med stöd av ändamålet att upptäcka eller förhindra brottslig verksamhet.

Fullgöra internationellt tullsamarbete

Inom Tullverket bedrivs mycket arbete med internationell anknytning. I många fall är det svårt eller närmast omöjligt att förutse vilka uppgifter som kommer att åligga Tullverket, inte minst inom ramen för EU-samarbetet. Att i lag definiera ett ändamål som garanterar att Tullverket kan behandla de uppgifter i internationella sammanhang som krävs för att Sveriges åtaganden skall kunna fullgöras låter sig därför inte göras på ett enkelt och kortfattat sätt. I lagen (2000:1219) om internationellt tullsamarbete finns emellertid samlat de uppgifter som åligger Tullverket i sådana sammanhang. Det är enligt vår uppfattning inte lämpligt att med en ändamålsbestämmelse i en lag om behandling av personuppgifter riskera att begränsa Tullverkets möjligheter att fullgöra det arbete som riksdagen i en annan lag har ålagt verket. Enligt vår uppfattning är det därför både enkelt och lämpligt att direkt hänvisa till lagen om internationellt tullsamarbete i fråga om behandling av personuppgifter i det internationella arbetet.

Planera, följa upp och utvärdera verksamheten

Inom ramen för detta ändamål får uppgifter behandlas om det behövs för den administrativa interna tillsynen, kontrollen och uppföljningen m.m. av den brottsbekämpande verksamheten inom Tullverket. Det innebär att Tullverket har möjlighet att behandla uppgifter för att utveckla organisationen och de former som den bedrivs i samt planera för åtgärder som behöver vidtas för att t.ex. effektivisera handläggning och annan verksamhet.

Tillhandahållande av information för brottsbekämpande verksamhet hos andra myndigheter

Tullverket samarbetar ofta med andra brottsbekämpande myndigheter, som t.ex. polisen och åklagarmyndigheter. Ett viktigt led i detta samarbete är informationsutbyte. Enligt vår uppfattning bör utbytet av uppgifter i betydligt större omfattning än i dag kunna ske med användning av modern teknik. Vi föreslår därför att övriga brottsbekämpande myndigheter skall få direktåtkomst till information i Tullverkets register och ärendehanteringssystem (se avsnitt 11.6). Eftersom utlämnande av uppgifter genom direktåtkomst kan

vara särskilt integritetskänsligt, bör Tullverkets bearbetning av information för utlämnande till andra brottsbekämpande myndigheter utgöra ett uttryckligt sekundärt ändamål. Det innebär att de uppgifter som Tullverket har registrerat med stöd av de primära ändamålen, får behandlas för informationsutbyte med dessa myndigheter.

11.1.5. Personuppgiftsansvar

Vårt förslag: Tullverket skall vara personuppgiftsansvarigt för den behandling som verket utför eller som det åligger verket att utföra, om inte annat framgår av lag eller förordning.

Tullverket skall vid sidan av personuppgiftsansvaret även ha ansvar för att uppgifter om juridiska personer behandlas i enlighet med de grundläggande bestämmelserna i lagstiftningen.

Personuppgiftsansvarig är enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. I registerförfattningar är det vanligt, och enligt vår mening lämpligt, att på ett tydligt sätt peka ut vem som är ansvarig för den behandling som regleras i de särskilda författningarna.

Vi anser att personuppgiftsansvaret bör utformas så att Tullverket ansvarar för den behandling av personuppgifter som Tullverket utför eller som det åligger verket att utföra. På det sättet markeras att det finns ett ansvar inte endast för att utförd behandling är korrekt, utan även för att behandling faktiskt utförs när den skall ske.

I vissa fall bör enligt vår mening Tullverket inte vara personuppgiftsansvarigt även om det är verket som utför en behandling. Det förekommer att Tullverket på egen hand registrerar uppgifter i andra myndigheters register, t.ex. i polisens misstankeregister. För sådana register är personuppgiftsansvaret vanligtvis särskilt reglerat i andra författningar. Som exempel kan nämnas att Rikspolisstyrelsen är ansvarig för misstankeregistret. Enligt vår uppfattning är det inte lämpligt att i sådana fall lägga personuppgiftsansvaret på flera av varandra oberoende myndigheter, utan den myndighet som för registret bör ensam vara personuppgiftsansvarig.

Ansvaret för uppgifter om juridiska personer

Personuppgiftsansvaret täcker endast behandling av uppgifter om levande fysiska personer. Den lag som vi föreslår är emellertid i stora delar tillämplig även på behandling av uppgifter om juridiska personer. Det gäller de allmänna bestämmelserna om ändamål och gallring samt de särskilda bestämmelserna om behandling i databaser. Av tydlighetsskäl anser vi att det därför bör framgå av lagstiftningen att Tullverkets ansvar även omfattar behandling av annat än personuppgifter. Det innebär bl.a. att Tullverket har ansvaret för att uppgifter om juridiska personer inte behandlas i strid med de i lagen angivna ändamålen och att de gallras i rätt tid. Däremot har inte juridiska personer den rätt att få information och att få uppgifter rättade som enligt personuppgiftslagen tillkommer fysiska personer. Naturligtvis bör felaktiga uppgifter om juridiska personer ändå rättas, om felaktigheterna kommer till Tullverkets kännedom.

Arkivansvar

En fråga som knyter an till personuppgiftsansvaret är arkivansvaret enligt arkivlagen (1990:782). Enligt huvudregeln i 4 § arkivlagen har en myndighet arkivansvar för de allmänna handlingar som finns hos myndigheten. Generellt är det enligt vår uppfattning lämpligt att arkivansvaret för elektroniska uppgifter och handlingar så långt det är möjligt sammanfaller med personuppgiftsansvaret. I fråga om register och databaser för vilka flera olika myndigheter är personuppgiftsansvariga kan det uppstå problem, eftersom arkivansvaret bör ligga hos en och samma myndighet eller i vart fall hos de personuppgiftsansvariga myndigheter som för in uppgifter i registren eller databaserna. När det gäller Tullverket torde sådana problem inte uppstå, eftersom verket är ensamt personuppgiftsansvarigt för den behandling som utförs i dess register och databaser och därmed rimligen också arkivansvarig myndighet för de allmänna handlingar som behandlas elektroniskt i datasystemen.

11.2. Behandling i databas och annan behandling av uppgifter

Vårt förslag: Olika regler skall gälla för Tullverkets behandling av uppgifter och handlingar i den brottsbekämpande verksamheten, beroende på om – behandlingen är automatiserad och utförs i en särskild samling av uppgifter och handlingar som används gemensamt i verksamheten (tullbrottsdatabas), eller – behandlingen utförs på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän och uppgifterna inte görs tillgängliga för gemensam användning i verksamheten.

11.2.1. En databas för automatiserad behandling och gemensam användning

I dag används i stor omfattning datorer i arbetet vid Tullverket, främst i den fiskala men även i den brottsbekämpande verksamheten. Det gäller allt från enkel ordbehandling till utnyttjandet av mer avancerade ärendehanteringssystem, som i en del avseenden kan innebära en papperslös hantering. Flera statliga myndigheter har tillgång till datorbaserade personregister som används både som informationsdatabaser vid handläggning av ärenden och som lagringsenheter för elektroniskt upprättade eller inkomna handlingar. En utveckling mot sådana mer avancerade datorsystem pågår även inom Tullverket i dess brottsbekämpande verksamhet. En väsentlig skillnad mellan databehandling i personregister och vanlig ordbehandling, är att registren utnyttjas gemensamt i verksamheten inom en myndighet. Medan ordbehandling kan sägas vara ett tekniskt hjälpmedel för handläggare och andra i själva upprättandet av handlingar, utgör personregistren ett allmänt informationshjälpmedel vid handläggningen av ärenden m.m. genom att de underlättar framtagandet av underlag för olika beslut.

Enligt vår mening måste det för Tullverket finnas särskilda regelverk för sådan automatiserad behandling av personuppgifter som inte utgörs av t.ex. vanlig ordbehandling eller e-postkommunikation och som inte är av helt tillfällig natur. De stora gemensamma uppgiftssamlingar hos statliga myndigheter som dagens personregister och ärendehanteringssystem utgör innebär –

på grund av såväl antalet personer som har tillgång till uppgifterna som de tekniska möjligheterna att söka i materialet och göra sammanställningar om registrerade personer – en påtaglig risk för otillbörliga intrång i enskildas personliga integritet. Den risken blir än större ju mer avancerade system som utvecklas. Från integritetssynpunkt finns det därför enligt vår mening starka skäl för att skapa tydliga regler om vad som är tillåtet i fråga om sådan behandling.

I och med genomförandet av dataskyddsdirektivet i svensk lagstiftning har den rättsliga begreppsapparaten vid datoranvändning ändrats. I personuppgiftslagen talas det inte längre om förande av personregister som i datalagen, utan om behandling av personuppgifter. För att särskilja den rättsliga regleringen av sådan automatiserad behandling som i dag görs i uppgiftssamlingar för gemensamt bruk, dvs. personregister och ärendehanteringssystem, från den automatiserade behandling av uppgifter som förbehålls enskilda tjänstemän eller avgränsade projektgrupper, t.ex. ordbehandling och vanlig e-posthantering, har vi valt att införa det rättsliga begreppet databas i lagstiftningen (se avsnitt 10.5). Avgörande för vilka gallringsfrister och sökbegränsningar som gäller samt i vilken omfattning känsliga personuppgifter får behandlas m.m., bör bl.a. vara om uppgifter behandlas i en databas eller inte.

I teorin skulle en databas för en viss verksamhet kunna delas in i två undergrupper. Databaser, som vi ser dem, kan nämligen sägas bestå av dels en eller flera samlingar av enskilda kortfattade uppgifter som används för att få fram underlag till beslut i verksamheten (informationsdatabaser), dels handlingar som kommer in eller upprättas i ett ärende och som bearbetas och lagras i ett ärendehanteringssystem (ärendedatabaser). Traditionellt har personregister i praktiken utgjorts av egentliga informationsdatabaser, men i och med framväxten av avancerade ärendehanteringssystem har även ärendedatabaser under senare tid inordnats i lagstiftning om personregister i statlig verksamhet. Vi har emellertid inte funnit anledning att i den av oss föreslagna lagstiftningen göra någon begreppsmässig åtskillnad mellan olika funktioner i en databas. Däremot finns det enligt vår mening skäl för att i vissa delar ha olika regler för de olika funktioner som består av å ena sida hanteringen av enskilda s.k. fältuppgifter, t.ex. namn och adress m.m., och å andra sidan hanteringen av elektronisk handlingar. Det gäller frågor om vilka uppgifter respektive elektroniska handlingar

som får registreras samt i vilken omfattning direktåtkomst skall tillåtas, och olika sökbegrepp få användas, till uppgifterna och handlingarna. Vi återkommer till detta längre fram i kapitlet.

Sammanfattningsvis måste det enligt vår mening finnas särskilda regler för sådan automatiserad behandling av personuppgifter som inte utgörs av vanlig ordbehandling e.d. och som inte är av helt tillfällig natur. Av integritetsskäl bör det skapas tydliga regler om vad som är tillåtet vid sådan behandling. För en databas bör därför särskilda bestämmelser gälla för vilka uppgifter som får behandlas, vilka sökbegrepp som får användas, när uppgifter får lämnas ut elektroniskt samt när uppgifterna skall gallras.

För den resterande behandlingen av uppgifter kan enligt vår uppfattning ett enklare regelverk vara tillräckligt. Det gäller alltså sådan mer tillfällig behandling som sker för den enskilde tjänstemannens bruk eller som i vart fall är förbehållen avgränsade projektgrupper e.d. på ett sådant sätt att uppgifter inte kan sägas användas gemensamt i den brottsbekämpande verksamheten.

11.2.2. Gränsdragningen mellan gemensam behandling i en databas och annan behandling av uppgifter

För att begreppet databas skall vara praktiskt användbart på vissa särreglerade uppgiftssamlingar inom Tullverket, krävs att det är möjligt att avgöra var gränslinjen går mellan behandling i en databas för gemensamt bruk och annan mer avgränsad behandling, t.ex. vanlig ordbehandling.

En grundläggande förutsättning för att en elektroniskt lagrad uppgift skall anses ingå i en databas, är enligt vår mening att uppgiften används gemensamt i en viss verksamhet för de ändamål som styr behandlingen av uppgifter inom verksamheten. Det väsentliga är inte på vilket sätt uppgiften tekniskt lagras, utan den faktiskt åsyftade tillgängligheten. Det avgörande för om en uppgift används gemensamt inom Tullverkets brottsbekämpande verksamhet och därmed utgör en beståndsdel i en tullbrottsdatabas, är således om den behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten. Att olika personalkategorier kan ha olika behörighet och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer inom Tullverket, förtar enligt vår uppfattning i sig inte uppgifternas egenskap som

gemensamma. Detsamma gäller om vissa uppgifter görs åtkomliga endast för handläggare inom en viss region vid Tullverket.

Vi anser att det bör finnas en gemensam databas för den brottsbekämpande verksamheten inom Tullverket. Det betyder dock inte att en uppgift nödvändigtvis måste vara tillgänglig hos samtliga enheter vid samtliga regioner för att ingå i databasen. Det är tillräckligt att en uppgift görs tillgänglig för handläggarna vid en viss region. En uppgift som registreras och lagras i ett datorsystem på ett sådant sätt att tjänstemännen inom en eller flera regioner har möjlighet att vid behov och i olika sammanhang – t.ex. i samband med handläggningen av förundersökningsärenden eller vid framtagandet av riskprofiler i underrättelseverksamhet – ta del av uppgiften direkt på automatiserad väg måste således anses gemensamt tillgänglig. Uppgiften utgör därmed en del av en databas. Detta är vad som gäller i dag för de uppgifter som lagras inom ramen för olika författningsreglerade personregister hos Tullverket. Som exempel kan nämnas underrättelseregistret, tullmålsjournalen samt beslags- och analysregistret.

En uppgift som lagras elektroniskt på hårddisken i en dator eller i en server i samband med att en tjänsteman arbetar med ordbehandling, och som normalt är åtkomlig endast för tjänstemannen själv och exempelvis systemadministratören vid myndigheten, kan däremot inte anses vara gemensamt tillgänglig. Syftet med sådan tillfällig behandling är inte att uppgifterna som lagras i datorn skall användas av andra än den som utför behandlingen. Det förhållandet att systemadministratören – eller en annan tjänsteman vid Tullverket – kan få åtkomst till uppgiften genom ett visst tekniskt förfarande, kan inte anses innebära att uppgiften som sådan är lagrad för att användas gemensamt i verksamheten. Inte heller innebär det förhållandet att en uppgift behandlas tillfälligt i en dator med det uttalade syftet att den senare skall ”matas in” i systemet och göras gemensam, att den är en del av databasen. Däremot kommer uppgiften att omfattas av det särskilda regelverket för en databas när den väl är registrerad i det gemensamma systemet. Ett exempel på en sådan situation kan vara att en sammanställning av inkomna tips arbetas fram med hjälp av ordbehandling och därefter registreras i ett allmänt underrättelseregister som är gemensamt tillgängligt för tullens underrättelsesektioner.

I de flesta fall ser vi inga problem med att bedöma om en uppgift behandlas gemensamt eller inte. I princip görs samma gränsdrag-

ning redan i dag när det skall avgöras om en uppgift ingår i ett visst författningsreglerat personregister eller inte. En tjänsteman på Tullverket kan utan svårigheter avgöra om han eller hon för tillfället arbetar med uppgifter direkt i ett gemensamt personregister som underrättelseregistret eller med uppgifter i ett ordbehandlingsdokument. Det kan förväntas, och ställas krav på, att datorsystemen inom en myndighetsorganisation konstrueras på ett sådant sätt att några tvivel om huruvida en viss uppgift ingår i en databas inte uppstår i samband med att den förs in. Den personuppgiftsansvarige har naturligtvis, tillsammans med ansvarig systemleverantör, också ett ansvar för att gränsdragningsproblem inte uppstår på grund av brister i den tekniska utformningen av ett datorsystem.

Det kan emellertid förekomma situationer där gränsdragningen mellan behandling i databaser och annan behandling inte vid en första anblick är helt självklar. Det gäller främst när de behandlade uppgifterna inte ingår i ett för Tullverket gemensamt nätverk, men ändå är tillgängliga för flera tjänstemän inom en eller flera tullregioner. Som exempel kan tas den situationen att en projektgrupp – bestående av ett antal tjänstemän vid en eller flera regioner – samarbetar i ett underrättelseprojekt för att kartlägga en viss typ av smuggling. Att en sådan grupp tjänstemän gemensamt behandlar uppgifter i t.ex. tillfälligt upprättade projektregister, medför inte att uppgifterna kan anses ingå i tullbrottsdatabasen. När en projektgrupp är avgränsad på ett sådant sätt att det kan förutses att endast ett begränsat antal personer kan ta del av de uppgifter som behandlas och detta sker för ett begränsat och bestämt syfte, kan uppgifter enligt vår mening nämligen inte anses gemensamt använda inom Tullverket. Om uppgifterna däremot behandlas i ett för myndigheten gemensamt system, t.ex. i ett allmänt underrättelseregister, och åtkomsten till uppgifterna inte är begränsad till projektgruppen utan även andra tjänstemän kan ta del av dem för olika syften, måste behandlingen anses ske inom den rättsliga ramen för databasen.

När uppgifter som är införda i ett datorsystem och gemensamt tillgängliga i en viss verksamhet, dvs. ingår i en databas, sambearbetas med varandra i det gemensamma systemet, skall behandlingen göras i enlighet med det för databasen gällande regelverket. Som exempel kan nämnas att en tullkriminalenhet gör sammanställningar av icke avslutade förundersökningar gällande en viss typ av brott, genom att i ett sökprogram som används i ett gemensamt

ärendehanteringssystem ge variabler som utgörs av uppgifter införda i databasen, t.ex. brottsrubricering och uppgift om att handläggning inte är avslutad. Framtagandet av en sådan sammanställning utgör en eller flera behandlingar i databasen och de särskilda bestämmelserna som gäller för sådan behandling skall därför tillämpas.

Om däremot uppgifter som är införda i en databas sambearbetas med externa uppgifter – dvs. uppgifter som inte är registrerade i databasen – genom att hämtas från databasen och därefter, utanför det gemensamma systemet, behandlas tillsammans med de externa uppgifterna, skall i stället de allmänna bestämmelserna om behandling av personuppgifter i myndighetens verksamhet tillämpas. En sådan situation kan uppstå när en tjänsteman vill jämföra eller på andra sätt bearbeta uppgifter som samlats in i ett underrättelseprojekt med uppgifter som tidigare har förts in i ett underrättelseregister i databasen. Uppgifter som ingår i databasen kan då i förväg kopieras från det gemensamma datorsystemet till en dator som används av en enskild tjänsteman eller en avgränsad grupp av tjänstemän och därefter behandlas tillsammans med de externa uppgifterna. Exempelvis kan tidigare registrerade namn och uppgifter om personer hämtas från det gemensamma systemet för att arbetas in i ett tillfälligt register som används i ett särskilt underrättelseprojekt och därför är tillgängligt endast för en avgränsad grupp tjänstemän. Situationen kan jämföras med att uppgifter i en databas lämnas ut på medium för automatiserad behandling till en utomstående myndighet och därefter behandlas i den senares verksamhet. Även i en sådan situation kommer andra bestämmelser att gälla när uppgifterna ”lämnat” databasen. Det skulle emellertid strida mot syftet med den föreslagna lagstiftningen att kopiera delar av en databas och vid sidan av det gemensamma datorsystemet utföra behandlingar som normalt utförs i systemet, endast för att på det sättet kringgå bestämmelser som gäller för behandling av uppgifter i databasen.

Det är inte möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skall anses ske i en databas och därmed omfattas av det särskilda regelverket för denna. Inte minst beror detta på att det inte är möjligt att förutse den tekniska utvecklingen inom datorområdet och de möjligheter som kan komma att öppna sig i fråga om informationsöverföring. Enligt vår uppfattning måste det från fall till fall avgöras om uppgifter som behandlas automati-

serat är gemensamma eller inte. Svårigheterna med att göra den bedömningen skall dock inte överdrivas.

Sammanfattningsvis är det enligt vår mening en grundläggande förutsättning för att elektroniskt lagrade uppgifter skall anses ingå i tullbrottsdatabasen, att uppgifterna av en eller flera regioner inom Tullverket används gemensamt i en viss verksamhet för de ändamål som skall styra behandlingen av uppgifter inom den brottsbekämpande verksamheten.

Särskilt om koncept och minnesanteckningar m.m.

Enligt 2 kap. 3 § tryckfrihetsförordningen är en handling allmän när den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. Handlingar i form av upptagningar som kan uppfattas endast med hjälp av tekniskt hjälpmedel, t.ex. elektroniskt lagrade uppgifter, anses förvarade hos en myndighet om upptagningarna är tillgängliga för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas eller på annat sätt uppfattas. Enligt 2 kap.6 och 7 §§tryckfrihetsförordningen är en handling upprättad hos en myndighet när den har expedierats av myndigheten, medan den – i fråga om tekniska upptagningar – anses inkommen till en myndighet när den har gjorts tillgänglig där på ett sådant sätt att den kan anses förvarad av myndigheten. Av 2 kap. 9 § framgår att minnesanteckningar och koncept inte anses som allmänna handlingar, om de inte expedieras eller tas om hand för arkivering.

Innebörden av nämnda bestämmelser är att upptagningar som görs gemensamt tillgängliga för flera myndigheter i ett datorsystem anses utgöra allmänna handlingar hos samtliga dessa myndigheter. Det spelar i det avseendet ingen roll om upptagningarna utgör en del av ett beslutskoncept eller minnesanteckningar. Om ett beslutskoncept görs gemensamt tillgängligt för flera myndigheter, utgör det alltså enbart av den anledningen en allmän handling. Att hantera elektroniska uppgifter på ett sådant sätt skulle emellertid inte ligga i linje med myndigheternas generella skyldighet att upprätthålla en god offentlighetsstruktur bland sina handlingar.

Med god offentlighetsstruktur avses grovt förenklat bl.a. att allmänna handlingar skall kunna särskiljas från arbetsmaterial och att offentliga handlingar skall kunna särskiljas från sådana som kan bli föremål för sekretess (en utförlig diskussion kring begreppet

god offentlighetsstruktur förs i Offentlighets- och sekretesskommitténs nyligen lämnade betänkande Ordning och reda bland allmänna handlingar, SOU 2002:97). Den gemensamma och effektiva användningen av datorsystem får därför inte sträckas så långt att beslutskoncept eller andra handlingar som inte fått sin slutliga utformning görs gemensamt tillgängliga. Detsamma gäller naturligtvis även för arbetsmaterial, minnesanteckningar o.d., som i många fall inte alls bör göras allmänna utan rensas innan handlingarna i ett ärende tas om hand för arkivering.

11.3. Särskilt om uppgifter och handlingar i databasen

11.3.1. Behandling av uppgifter

Vårt förslag: I tullbrottsdatabasen skall Tullverket få behandla uppgifter om personer för de primära ändamål som gäller för den brottsbekämpande verksamheten.

De kategorier av uppgifter som skall få behandlas i tullbrottsdatabasen skall anges uttryckligen i lag. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får behandlas.

Uppgifter eller handlingar

Som framgår av avsnitt 11.2 definieras en databas som en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i en verksamhet. En begreppsmässig uppdelning görs således mellan elektroniska uppgifter och elektroniska handlingar, men någon definition av begreppen föreslår vi inte i lagen. Anledningen till detta är att det enligt vår bedömning varken är möjligt eller lämpligt att ge en exakt legaldefinition av begreppen. Att åtskillnad alls görs mellan uppgifter och handlingar beror på att vi i vissa avseenden föreslår skilda regler för behandlingen, t.ex. i fråga om direktåtkomst och sökbegrepp.

Med uppgifter avser vi enskilda ord eller mindre sammanställningar av ord som är bärare av en begränsad informationsmängd och som enligt särskilda fastställda rutiner kan registreras på ett bestämt sätt i ett datorsystem. Som exempel kan nämnas

enskilda uppgifter om namn och adress samt en större mängd uppgifter om de omständigheter och händelser som är orsaken till att uppgifter registreras om en person, vilka samtliga registreras som särskilda fältuppgifter i ett strukturerat system. Med handlingar avser vi något förenklat sammanställningar av uppgifter utan en i förväg klart fastställd struktur. Exempel på handlingar kan vara vanliga ordbehandlingsdokument eller e-postmeddelanden som lagras och är tillgängliga i ett gemensamt datorsystem. En närmare genomgång av elektronisk handlings- och dokumenthantering finns i avsnitt 11.3.2.

Personer om vilka uppgifter får behandlas

Personuppgifter definieras i personuppgiftslagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Förutom personuppgifter kan det i en databas vid Tullverket förekomma uppgifter som är hänförliga till juridiska personer. Gemensamt för i stort sett samtliga uppgifter är att de kan hänföras till någon eller några personer som är eller har varit föremål för åtgärder från Tullverkets sida eller som av andra skäl omfattas av verksamheten. Vad som gäller för uppgifter av rent teknisk eller administrativ karaktär återkommer vi till längre fram i detta avsnitt.

Eftersom ett av de främsta syftena med lagstiftning om behandling av personuppgifter är att skydda mot otillbörliga intrång i den personliga integriteten, måste enskilda direkt i lag kunna få en rimlig överblick av om de kan finnas registrerade vid Tullverket. Enligt vår mening bör det därför i lag slås fast för vilka personer det över huvud taget kan bli aktuellt att behandla personuppgifter eller andra uppgifter. Även om det inte på samma sätt går att åberopa integritetsskäl för det, bör enligt vår mening den för behandling aktuella personkretsen anges även i de fall då den registrerade är en juridisk person.

De personer om vilka uppgifter bör få behandlas i Tullverkets brottsbekämpande verksamhet är sådana som omfattas av verksamheten, så som den definieras genom de av oss föreslagna primära ändamålen för behandling av uppgifter. En genomgång av vilka personer det rör och hur uppgifter om dem får behandlas lämnas i avsnitt 11.4.2–4.

Uppgiftskategorier som får behandlas

I avsnitt 10.4 diskuterar vi frågan om detaljreglering av vilka uppgifter som får behandlas automatiserat vid Tullverket i den brottsbekämpande verksamheten. Vår inställning är att den främsta uppgiften för en lag om behandling av personuppgifter bör vara att slå fast grundläggande principer för behandlingen, inte att i detalj reglera vad som får registreras. Det främsta skälet för en sådan ordning är att det i de flesta fall – på grund av förändringar i materiell lagstiftning och verksamhetsinriktning – är omöjligt att förutse exakt vilka uppgifter en myndighet kan behöva registrera för att verksamheten skall fungera på ett tillfredsställande sätt. Detaljreglering i lag skulle leda till återkommande lagändringar efter hand som nya uppgifter behöver tillföras. För att en sådan detaljreglering av innehållet i en databas skall kunna undvikas krävs dock enligt vår uppfattning att de ändamål för vilka uppgifter får behandlas är tydliga och konkreta (se avsnitt 11.1.4).

Vi är även av den bestämda uppfattningen att det är viktigt att uppgifter får registreras endast för att tillgodose de primära ändamålen med en databas, nämligen att vara till hjälp i den verksamhet som den registrerande myndigheten bedriver. Uppgifter skall således inte få föras in i en viss databas endast av det skälet att de kan vara till nytta för andra myndigheter än den som är personuppgiftsansvarig. Ett motsatt ställningstagande skulle enligt vår uppfattning kunna leda till en icke önskvärd sammanblandning av uppgifter som behandlas på automatiserad väg inom olika verksamheter. Detta markeras av att det uttryckligen anges att uppgifter får behandlas i databasen för de i lagen angivna primära ändamålen.

För att det redan på en övergripande nivå skall gå att utläsa vad som finns eller kan finnas registrerat om enskilda i en databas, bör enligt vår mening i lag anges en ram för det tillåtna vid sidan av ändamålsbestämmelserna. Vi anser det lämpligt att ange vilka kategorier av uppgifter som får finnas i en databas, medan en närmare beskrivning av vilka uppgifter som ingår i varje kategori – om en sådan precisering behövs – bör återfinnas i en förordning eller i myndighetsföreskrifter. Vi föreslår att det i en kompletterande förordning anges att det åligger Tullverket att meddela de närmare föreskrifter som behövs om vilka uppgifter som får behandlas i tullbrottsdatabasen.

De kategorier av uppgifter som enligt vår mening behöver kunna behandlas i tullbrottsdatabasen är följande. – uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen, – uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen, – upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet, – de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas, – uppgifter om särskilda fysiska kännetecken, – uppgifter om varor, brottshjälpmedel och transportmedel, – varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen, – ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende, – händelser och åtgärder i ett ärende, – uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete, samt – hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka det finns uppgifter om en person som förekommer i Tullverkets verksamhet.

Känsliga personuppgifter

Vid behandling av personuppgifter intar känsliga personuppgifter en särställning. Vad som avses är uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Vi redovisar i avsnitt 11.4.1 hur vi anser att sådana uppgifter skall hanteras vid behandling i Tullverkets brottsbekämpande verksamhet. Redan här kan emellertid påpekas att vi för behandling i tullbrottsdatabasen föreslår särskilda regler om hur känsliga personuppgifter får hanteras i elektroniska handlingar (se avsnitt 11.3.2).

Uppgiftsstrukturen i register

Vi redovisar i avsnitt 10.5 våra grundläggande tankar bakom ett system med en för verksamheten teknikneutral och gemensam databas i stället för en reglering av skilda register. Innebörden är att Tullverket inom ramen för tullbrottsdatabasen får föra de skilda register man önskar, under förutsättning att behandlingen utförs i enlighet med ändamålen för databasen och att endast de uppgifter som får behandlas förekommer i registren. Det finns med andra ord inga hinder mot att inrätta t.ex. ett kombinerat spanings- och underrättelseregister i stället för ett spaningsregister och ett underrättelseregister. Förutsättningen för ett sådant gemensamt register är dock att det klart och tydligt framgår för vilket ändamål en uppgift har registrerats. Vi återkommer till denna fråga i avsnitt 11.4.5.

Administrativa och tekniska uppgifter

Tidigare har det i registerförfattningar och tillstånd från Datainspektionen angetts att ett personregister får innehålla de administrativa och tekniska uppgifter som behövs för den aktuella verksamheten.

Behandling av uppgifter som inte kan hänföras till de registrerade personer som omfattas av Tullverkets brottsbekämpande verksamhet, utan endast till den administrativa skötseln av denna verksamhet, omfattas inte av den av oss föreslagna lagen. Enligt vår uppfattning utgör behandlingen av sådana uppgifter nämligen ett led i myndigheternas administrativa verksamhet (se avsnitt 10.3). Vid behandling av sådana uppgifter skall i stället personuppgiftslagen tillämpas. Det hindrar emellertid inte att administrativa uppgifter behandlas i samma datorsystem som de uppgifter vilka används gemensamt för den materiella verksamheten. Administrativa uppgifter kan därför behandlas tillsammans med andra uppgifter i tullbrottsdatabasen utan särskilt stöd i den av oss föreslagna lagen, under förutsättning att behandlingen sker i enlighet med ändamålen för databasen. Som exempel på vad vi anser utgöra rent administrativa uppgifter kan nämnas uppgift om till vilken enhet eller sektion ett visst ärende hör, uppgift om vem som handlägger ett visst ärende eller uppgift om vilka specialkunskaper en handläggare besitter. Sådana uppgifter kan enligt vår

uppfattning inte hänföras till en enskild person som omfattas av en viss verksamhet, utan de behandlas endast i syfte att fördela ärenden och kontrollera hanteringen inom Tullverket. Däremot utgör en administrativ uppgift om en handläggare självfallet en personuppgift om handläggaren själv. De nu nämnda uppgifterna bör enligt vår mening, utan hinder av att det inte anges i lag, kunna behandlas tillsammans med andra uppgifter i ett ärende.

Vissa uppgifter som behandlas av administrativa skäl, kan emellertid samtidigt utgöra verksamhetsanknutna personuppgifter. Det kan t.ex. gälla en uppgift om särskild sekretessmarkering som registreras i samband med andra uppgifter om en person, och för vilken särskild försiktighet skall iakttas i samband med utlämnande. För sådana uppgifter bör vår lagstiftning vara tillämplig. Vi anser dock inte att det är nödvändigt att i lagstiftningen uttryckligt ange att sådana i första hand administrativa uppgifter får behandlas i tullbrottsdatabasen.

Avgörande för bedömningen av om en administrativ uppgift som behandlas i ett gemensamt datorsystem omfattas av bestämmelserna i vårt lagförslag, är således om uppgiften även kan anses utgöra personuppgift som har anknytning till den materiella verksamheten. Frågan om en uppgift i tullbrottsdatabasen anses utgöra en rent administrativ uppgift eller om den även utgör en verksamhetsanknuten personuppgift, har betydelse för om information enligt 26 § personuppgiftslagen skall lämnas eller inte med stöd av vårt lagförslag. Informationsskyldigheten avser nämligen endast personuppgifter om den som begär informationen och således inte rent administrativa uppgifter. En person som begär information skall med andra ord inte få ut uppgifter om handläggarens semesterschema o.d. För en verksamhetsanknuten personuppgift skall däremot de särskilda bestämmelser som vi föreslår om information tillämpas (se avsnitt 11.9.1).

Som vi nämner ovan kan emellertid även rent administrativa uppgifter utgöra personuppgifter. Exempelvis är en uppgift om en tjänstemans specialkunskaper en personuppgift om tjänstemannen. Om denne av sin arbetsgivare begär information enligt 26 § personuppgiftslagen, skall informationen därmed omfatta också sådana uppgifter. I ett sådant fall skall emellertid inte de särskilda bestämmelserna om information i vårt lagförslag tillämpas, utan det är i stället bestämmelserna i personuppgiftslagen som gäller.

Behandling av uppgifter av teknisk karaktär som används uteslutande eller huvudsakligen för att ett datorsystem skall

fungera, t.ex. koder som anger på vilket sätt en viss uppgift skall lagras i systemet, anser vi inte heller behöver regleras särskilt. Sådana uppgifter har inte någon egentlig anknytning till innehållet i en databas utan utgör närmast en del av de tekniska lösningarna i ett datorsystem, och får således registreras utan att det anges i den av oss föreslagna lagen. En förutsättning är dock att de tekniska uppgifterna, ensamma eller tillsammans med andra uppgifter, inte tillför någon sakinformation som kan hänföras till de registrerade personerna. En uppgift om t.ex. ärendetypskod utgör med andra ord inte en teknisk uppgift i den nu avsedda bemärkelsen.

11.3.2. Elektronisk ärendehantering

Vårt förslag: Elektroniska handlingar som kommer in till eller upprättas av Tullverket i ett ärende skall få behandlas i tullbrottsdatabasen. Den enda begränsningen av vilka uppgifter som skall få behandlas i elektroniska handlingar gäller känsliga personuppgifter i handlingar som upprättas av Tullverket.

Traditionellt kan ärendehantering hos en myndighet beskrivas på följande, mycket översiktliga, sätt. Handlingar som kommer in till eller upprättas hos myndigheten, och som kan hänföras till ett visst ärende, samordnas i en för ärendet särskilt upprättad akt. De handlingar som kommer in kan vara ansökningar, kompletteringar, intyg och sakuppgifter m.m. De av myndigheten upprättade handlingarna kan bestå av förfrågningar, förelägganden, tjänsteanteckningar efter muntliga kompletteringar samt beslut m.m. I normalfallet utgörs handlingarna i ett ärende av pappersark med text. Undantagsvis kan det dock röra sig om fotografier eller tekniska upptagningar, t.ex. kassett- eller videoband med inspelade förhör eller liknande. Oavsett karaktären på handlingarna består de på något sätt av materiella objekt (pappersark, kassetter osv.) som kan samordnas och systematiseras i en akt.

Den beskrivna ordningen tillämpas ofta även när en myndighet använder datorer, genom att upprättade handlingar som utformas elektroniskt i ett ordbehandlingsprogram tillförs ärendeakten i form av pappersutskrifter. Den elektroniska information som skapas, och ofta lagras, i datorn utgör alltså inte i egentlig mening

en del av akten. Normalt måste sådan information enligt vår mening anses som arbetsmaterial och utgör därför inte allmänna handlingar, om inte informationen expedieras eller tas om hand för arkivering (jfr 2 kap. 9 § tryckfrihetsförordningen).

I och med datoriseringen har nya rutiner för ärendehantering utvecklats. I dag förekommer det att handlingar i ärenden kommer in till myndigheter i elektronisk form. Det kan gälla t.ex. ansökningar eller deklarationer som lämnas in på diskett, genom fasta uppkopplingar på telenätet eller via vanlig e-post. Sådana handlingar kan lagras direkt i ett datorsystem utan att det görs pappersutskrifter som tillförs en fysisk akt. Likaså kan myndighetens handlingar upprättas elektroniskt och lagras i ett datorsystem utan att i pappersform tillföras en fysisk akt. Det kan gälla allt från förelägganden till beslut.

De på det beskrivna sättet inkomna och upprättade elektroniska handlingarna i ett visst ärende kommer att ingå i vad som kan kallas en elektronisk akt i datorsystemet. De elektroniska handlingarna utgör då normalt inte arbetsmaterial, utan är allmänna handlingar. En elektronisk akt måste naturligtvis vara sammanhållen på ett sätt som motsvarar en fysisk akt för pappershandlingar, t.ex. genom att allt material i de elektroniska akterna kan göras samlat tillgängligt med hjälp av sökbegrepp, ofta i form av ärendebeteckningar eller liknande.

Den elektroniska ärendehanteringen väcker många olika frågor. Bland annat kan äktheten hos de lagrade handlingarna vara svår att fastställa. Det kan även vara svårt att avgränsa vad som ingår i en elektronisk akt. Vidare finns det grundläggande problem med att fastställa vad som egentligen är en elektronisk akt, en elektronisk handling eller ett elektroniskt dokument.

Vad är elektroniska dokument, handlingar och akter?

Vad som avses med elektroniska handlingar och elektroniska dokument har diskuterats i flera sammanhang, bl.a. i TDLutredningens betänkande Tullregisterlag m.m. (SOU 1989:20), Datastraffrättsutredningens betänkande Information och den nya InformationsTeknologin (SOU 1992:110), Finansdepartementets promemoria Elektronisk dokumenthantering inom skatteförvaltningen (Ds 1994:80), IT-utredningens betänkande Elektronisk dokumenthantering (SOU 1996:40), Datalagskommitténs

betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39), Statskontorets publikation Elektronisk ärende- och dokumenthantering (1997:8), Registerförfattningsutredningens betänkande Skatt – Tull – Exekution – Normer för behandling av personuppgifter (SOU 1999:105) samt Domstolsdatautredningens slutbetänkande Informationshantering och behandling av uppgifter vid domstolar – En rättslig översyn (SOU 2001:100).

Begreppet elektroniskt dokument har efter diskussionerna kring elektronisk dokumenthantering sedan en tid tillbaka lagreglerats. Begreppet återfinns i ett antal olika lagar, t.ex. tullagen (1994:1550) och lagen (1990:325) om självdeklaration och kontrolluppgifter, och har i det närmaste fått en enhetlig definition. Ett elektroniskt dokument kan med stöd av nämnda lagar definieras som en upptagning som gjorts med hjälp av automatiserad behandling och vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande. Vad som mer precist avses med ett elektroniskt dokument har däremot inte reglerats i lagtext. Det gäller främst vilket tekniskt förfarande som skall användas för att innehåll och utställare skall kunna verifieras. Vad som är klart är att ett elektroniskt dokument som är infört i ett datorsystem skall vara låst till sitt innehåll. Den som läser dokumentet (på utskrift eller terminal) skall med andra ord kunna vara säker på att det är originalinnehållet som återges. Likaså skall det vara möjligt att fastställa vem som har upprättat eller sänt in ett elektroniskt dokument. Den tekniska verifieringen av utställaren skall alltså motsvara en namnteckning eller annan identifieringsuppgift på ett pappersdokument.

Begreppet elektronisk handling som sådant finns i dag inte definierat i författningstext. IT-utredningen föreslog dock i sitt betänkande att det i förvaltningslagen skulle införas definitioner av olika elektroniska företeelser, bl.a. elektronisk handling. Enligt det förslaget skulle elektronisk handling definieras som ”en bestämd mängd data som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”. Det torde vara en allmän uppfattning att begreppet elektronisk handling är vidare än det i författningar förekommande begreppet elektroniskt dokument. Det senare kan alltså sägas vara en (författningsreglerad) specialform av elektroniska handlingar. I vissa sammanhang har det även talats om att elektroniska dokument är en låst form av elektroniska meddelanden. Någon närmare utveckling av skillnaden – om någon alls är avsedd – mellan elektroniska meddelanden och elektroniska

handlingar finns däremot inte. Genom vad som framförts i olika sammanhang torde allmänt kunna konstateras att med elektroniska handlingar avses alla elektroniskt lagrade meddelanden eller innehållsmässigt sammanhängande upptagningar i ett ärende. Det kan röra sig om elektroniska avbildningar av pappershandlingar – bildfångade och skannade handlingar – eller handlingar som direkt har upprättats elektroniskt. Båda kategorierna kan vara låsta, dvs. tekniskt utformade så att innehåll och eventuell utställare kan verifieras, eller icke låsta. Med låsta handlingar avses då elektroniska dokument och med icke låsta handlingar avses alla övriga elektroniska handlingar som inte utgör elektroniska dokument.

Begreppet elektronisk akt har i ovan nämnda lagstiftningsärenden närmast använts som en samlingsbeteckning på de elektroniska handlingar som har kommit in eller upprättats i ett visst ärende. Jämförelser har även gjorts med de fysiska akter som upprättas vid traditionell ärendehantering, men någon mer ingående analys av begreppet har inte gjorts.

Elektronisk ärendehantering i Tullverkets brottsbekämpande verksamhet

Till skillnad mot vad som gäller i Tullverkets fiskala verksamhet, förekommer det i dag ingen egentlig elektronisk dokument- eller akthantering i Tullverkets brottsbekämpande verksamhet. Däremot upprättas ofta elektroniska handlingar med hjälp av ordbehandling. När vi nu föreslår en ny och teknikoberoende lagstiftning anser vi att hänsyn måste tas till att nya datorsystem kan komma att innefatta i första hand hantering av icke låsta elektroniska handlingar. På sikt är det emellertid rimligt att anta att även elektronisk dokumenthantering kommer att införas i verksamheten. Som ett möjligt exempel kan nämnas att beslut i förundersökningar upprättas elektroniskt i form av dokument som förses med elektroniska signaturer. De upprättade dokumenten låses därigenom till sitt innehåll och utgör i sig allmänna handlingar. Det som sedan tas ut i pappersform utgör således endast utskrifter av de elektroniskt lagrade originaldokumenten. Det är också realistiskt att tänka sig att olika handlingar i form av elektroniska dokument med tiden kommer in till Tullverket från i första hand andra brottsbekämpande myndigheter.

Vi föreslår därför att en elektronisk handling som har kommit in till eller har upprättats av Tullverket i ett ärende, skall få behandlas i tullbrottsdatabasen. Det innebär att det blir rättsligt möjligt för Tullverket att i den brottsbekämpande verksamheten arbeta med elektroniskt upprättade och till innehållet låsta beslut, att ta emot elektroniska dokument från myndigheter m.fl. samt att skanna inkomna pappershandlingar och lagra dem elektroniskt som bilder i en databas. Härigenom finns förutsättningar för att i framtiden införa en långtgående elektronisk ärendehantering, som t.ex. kan leda till att originalhandlingar endast finns i elektronisk form och att pappersutskrifter endast är kopior av originalen.

Förutom elektroniska dokument är vår avsikt att även andra elektroniska handlingar skall omfattas av bestämmelserna. Det innebär bl.a. att inkommen eller skickad e-post och icke låsta ordbehandlingsdokument kan lagras som handlingar i databasen, oavsett om de ingår i ett datorsystem eller ej. En annan viktig följd av bestämmelserna är att ljud- och bildupptagningar i digital form kommer att kunna hanteras som andra elektroniska handlingar i en databas.

Hanteringen av elektroniska akter innebär emellertid att det ställs krav på särskilda rättsliga överväganden av såväl insyns- som integritetsskäl. Den viktigaste orsaken till detta är att det med en utbyggd elektroniskt dokumenthantering inte går att sätta upp detaljerade regler för vilka uppgifter som får registreras, eftersom dokument och andra handlingar innehåller det skribenten väljer att skriva. En viktig fråga som uppkommer vid hantering av elektroniska handlingar är om det skall gälla särskilda regler för behandlingen av känsliga personuppgifter, elektroniskt utlämnande, direktåtkomst, sökmöjligheter och gallring. En annan viktig fråga är säkerhetsaspekten, bl.a. hur man skall utforma tekniska lösningar som garanterar äktheten hos elektroniska dokument. Den sistnämnda frågan är det emellertid inte vår sak att utreda. Frågor om direktåtkomst till eller annat utlämnande av, sökmöjligheter efter och gallring av elektroniska handlingar återkommer vi till längre fram i avsnitt 11.5–8.

Begränsning av känsliga personuppgifter i elektroniska handlingar

Vid all behandling av personuppgifter intar frågor om behandling av känsliga personuppgifter enligt personuppgiftslagen en särställning, genom att sådana uppgifter i princip får behandlas endast efter samtycke av den enskilde eller med särskilt författningsstöd. Allmänt gäller att stor försiktighet bör iakttas vid hanteringen av känsliga personuppgifter. Vi föreslår därför att känsliga personuppgifter endast under vissa bestämda förutsättningar skall få behandlas i den brottsbekämpande verksamheten (se avsnitt 11.4.1). När elektroniska handlingar upprättas av Tullverket skall dessa särskilda regler tillämpas på samma sätt som för vilken annan behandling som helst. Någon annan begränsning av vilka uppgifter som får förekomma i upprättade handlingar föreslås inte. Det är dock naturligtvis ett krav att all behandling, även i elektroniska handlingar, sker i överensstämmelse med de ändamål som gäller för behandling av uppgifter i den brottsbekämpande verksamheten.

Vid behandling av uppgifter i till Tullverket inkomna handlingar, som ett led i elektronisk ärendehantering, är det inte möjligt att ha ens den begränsande bestämmelse avseende känsliga personuppgifter som vi föreslår för upprättade handlingar. Om en handling sänds in till Tullverket i elektronisk form för att lagras i ett datorsystem, är det nämligen inte tillåtet för verket att ”censurera” innehållet genom att ta bort eventuella känsliga personuppgifter. En handling måste naturligtvis få lagras i den form den kommer in för att ett system med elektronisk ärendehantering skall kunna fungera. Samma problem uppkommer när handlingar i och för sig kommer in till Tullverket i pappersform, men där skannas eller bildfångas för att en kopia skall lagras som en del i en elektronisk akt. Vi anser därför att det inte är möjligt att ha några begränsande bestämmelser över huvud taget av vilka uppgifter som får hanteras i tullbrottsdatabasen när det gäller inkomna handlingar i ärenden.

De integritetsproblem som kan uppstå vid hanteringen av elektroniskt lagrade handlingar, inkomna eller upprättade, måste i stället lösas genom begränsningar i möjligheterna att söka efter uppgifter och att få tillgång till dem genom direktåtkomst (se avsnitt 11.6 och 7).

11.4. Behandling för skilda ändamål

I avsnitt 11.1.4 redovisar vi kort för vilka ändamål vi anser att uppgifter primärt skall få behandlas i Tullverkets verksamhet, nämligen när det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott, för att fullgöra internationellt tullsamarbete samt för att planera, följa upp och utvärdera verksamheten. När det gäller det sist nämnda ändamålet bör enligt vår bedömning inga egentliga problem uppstå vid behandlingen av personuppgifter, eftersom det är fråga om administrativ hantering av de egentliga verksamheterna. Det är med andra ord inte fråga om att för brottsbekämpande ändamål behandla personuppgifter om utomstående på ett sådant sätt att integritetsproblem kan uppstå.

Med övriga ändamål förhåller det sig annorlunda och det finns därför skäl att närmare redovisa vår syn på vad som omfattas av de olika ändamålen och hur uppgifter enligt vår uppfattning bör få behandlas i den gemensamma tullbrottsdatabasen eller på annat sätt. För behandling av känsliga personuppgifter gäller gemensamma bestämmelser oavsett för vilket ändamål uppgifterna behandlas.

11.4.1. Gemensamma bestämmelser om behandling av känsliga personuppgifter

Vårt förslag: Uppgifter om en person skall inte få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om uppgifter om en person behandlas på annan grund skall de emellertid få kompletteras med känsliga personuppgifter, när det är oundgängligen nödvändigt för syftet med behandlingen.

Enligt 13 § personuppgiftslagen är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Med känsliga personuppgifter avses uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana uppgifter måste behandlas i

offentlig verksamhet utan samtycke, behövs det i författning särskilda bestämmelser för i vilka fall det får göras. Vi anser att Tullverket i den brottsbekämpande verksamheten bör ha samma möjligheter att registrera och på annat sätt behandla sådana uppgifter som verket har i dag.

Vi föreslår därför att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det innebär exempelvis att det inte är tillåtet att i underrättelseverksamhet föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.

Om uppgifter om en person däremot behandlas på annan grund måste de få kompletteras med känsliga personuppgifter när det är nödvändigt för syftet med behandlingen. Som exempel kan nämnas att en person är aktuell i en förundersökning. Om det är absolut nödvändigt för handläggningen av ärendet får de övriga uppgifterna i förundersökningen kompletteras med känsliga personuppgifter, exempelvis om den misstänktes hälsotillstånd. Känsliga personuppgifter kan även få behandlas i underrättelse- och gränskontrollverksamheten. Om Tullverket får ett tips från allmänheten om en person som troligen smugglar narkotika, måste anteckningar naturligtvis få göras om sådant som är nödvändigt för att underlätta identifiering vid gränsen, exempelvis fysiska kännetecken som rör hälsa och etniskt ursprung. Även i den informationsbearbetning som äger rum i underrättelseverksamheten måste det vara tillåtet att anteckna känsliga personuppgifter om personer som på saklig grund är misstänkta för att bedriva brottslig verksamhet, under förutsättning att de känsliga uppgifterna är nödvändiga för att få fram den fullständiga underrättelseinformation som behövs.

Vi anser att en bestämmelse om känsliga personuppgifter skall vara generell, dvs. den bör gälla för behandling i tullbrottsdatabasen såväl som för annan behandling. Det bör inte heller spela någon roll för vilka ändamål uppgifterna behandlas, utan samma regler skall gälla för underrättelseverksamhet som i förundersökningar. Vi föreslår emellertid ett undantag från begränsningen och det gäller vid behandling av inkomna elektroniska handlingar. I sådana handlingar kan Tullverket nämligen inte påverka innehållet (se avsnitt 11.3.2).

11.4.2. Förhindra eller upptäcka brottslig verksamhet (underrättelseverksamhet m.m.)

Vårt förslag: Tullverket skall i sin underrättelseverksamhet och i annat arbete med att förhindra eller upptäcka brottslig verksamhet, få behandla uppgifter i särskilda gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen.

Under vissa villkor skall enskilda tjänstemän eller grupper av tjänstemän dessutom i särskilda underrättelseprojekt m.m. få behandla uppgifter automatiserat på annat sätt än i den gemensamma databasen, t.ex. genom ordbehandling eller i tillfälliga register. För behandling i gemensamma register i tullbrottsdatabasen skall uppgifter få behandlas om personer som kan antas ha samband med sådan misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer (allvarlig brottslig verksamhet). Vid behandlingen skall – uppgifter om en fysisk person som själv inte misstänks bedriva brottslig verksamhet förses med upplysning om att sådan misstanke saknas, – uppgifter om en fysisk person som endast misstänks bedriva brottslig verksamhet som inte är allvarlig förses med upplysning om att misstanke endast avser sådan mindre allvarlig brottslig verksamhet, – uppgifter om en fysisk person förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, Vid behandling som inte utförs i gemensamma register i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän i särskilda underrättelseprojekt m.m., skall utöver de allmänna bestämmelser som tillämpas på all behandling också gälla att – uppgifter om en person som det inte finns någon misstanke om brott mot får behandlas endast om det genom särskild upplysning eller på annat sätt klart framgår att personen inte är misstänkt för brott, – uppgifter om att en person kan antas ha samband med brottslig verksamhet skall förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.

I begreppet förhindra eller upptäcka brottslig verksamhet innefattas all egentlig brottsbekämpande verksamhet inom Tullverket som inte direkt kan knytas till en brottsutredning. Med brottsutredning avser vi arbete i eller i anslutning till en förundersökning eller annat ärende som omfattar utredning av ett konkret brott (se vidare i avsnitt 11.4.3). Det betyder att det främst är underrättelseverksamhet, men även annat brottsbekämpande arbete i samband med t.ex. gränskontroller, som kan omfattas av ändamålet att förhindra eller upptäcka brottslig verksamhet.

Vad är underrättelseverksamhet?

Underrättelseverksamhet i vid bemärkelse bedrivs av myndigheter av olika slag, från militära organ till skattemyndigheter. Generellt kan begreppet underrättelseverksamhet sägas innefatta all insamling, bearbetning och analys av information som vidtas i syfte att få underlag för åtgärder av något slag. Som en ytterligare del av underrättelseverksamhet ingår även delgivning av den bearbetade informationen till den som skall vidta de åsyftade åtgärderna.

I den lagstiftning som reglerar behandling av personuppgifter i brottsbekämpande verksamhet inom polis-, tull- och skatteväsendet finns det i dag särskilda legaldefinitioner av underrättelseverksamhet, som i stort överensstämmer med varandra, nämligen verksamhet som består i att samla, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning.

I prop. 1997/98:11, om en ny lag om register i Tullverkets brottsbekämpande verksamhet, angavs att det med anledning av införandet av bl.a. särskilda underrättelseregister fanns anledning att avgränsa underrättelseverksamhet från annan verksamhet. Regeringen uppgav att målet med tullens underrättelseverksamhet är att förse spaningsverksamheten med underlag för spaning mot identifierade personer, varor eller transportmedel samt att förse kontrollverksamheten med så bearbetad och analyserad information att man kan styra kontrollerna mot misstänkta objekt. För att avgränsa tullens underrättelseverksamhet från allmän kontrollverksamhet ansågs det väsentligt att definiera underrättelseverksamhet och tydligt markera att det rör sig om verksamhet inriktad på informationsbearbetning. Därför infördes den definition av

underrättelseverksamhet som också återfinns i den i dag gällande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

Av förarbetena till de lagar om behandling av personuppgifter i brottsbekämpande verksamhet som gäller i dag, kan utläsas att en avgörande förutsättning för att det skall vara fråga om underrättelseverksamhet är att verksamheten bedrivs i ett skede där man ännu inte har misstankar som är så uttalade att det finns misstanke om ett konkret brott, men att det ändå finns misstankar om att det förekommer någon form av brottslighet. Av det sagda följer att verksamhet som utgör förundersökning inte samtidigt kan vara underrättelseverksamhet, eftersom en förundersökning skall inledas när det finns misstanke om, eller egentligen anledning att anta, att ett konkret brott har förövats.

De i dag gällande definitionerna av underrättelseverksamhet i brottsbekämpande verksamhet har medfört vissa problem vad gäller gränsdragningen mellan olika verksamheter. Polisdatautredningen har t.ex. pekat på oklarheter i vad som avses med att samla in, bearbeta och analysera information. Utredningen anför i betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92, s. 199) bl.a. följande.

Det förefaller mycket svårt att upprätthålla någon klar gräns mellan de tre begreppen samla, bearbeta och analysera. Framför allt verkar det svårt att göra skillnad mellan bearbetning av uppgifter och analys av uppgifter. Begreppen framstår snarast som exemplifiering på vilken typ av polisverksamhet som avses.

Från integritetssynpunkt kan det också ifrågasättas varför skyddet enligt reglerna om behandling av personuppgifter i kriminalunderrättelseverksamhet skall träda in först när aktuella uppgifter analyseras. Det verkar mer naturligt att tillämpa de särskilda skyddsreglerna från det att uppgifterna samlas in.

Sammantaget ligger det nära till hands att uppfatta definitionen av kriminalunderrättelseverksamhet i 3 § polisdatalagen så att kriminalunderrättelseverksamhet är polisverksamhet som består i att samla, bearbeta eller analysera information för det syfte som anges i lagrummet.

En sådan tolkning av begreppet underrättelseverksamhet som Polisdatautredningen ger uttryck för, skulle innebära att begreppet har en mycket vid innebörd. I praktiken skulle det kunna leda till att all information som samlas in om eventuell brottslig verksamhet

utgör underrättelseverksamhet, under förutsättning att det inte sker som ett led i en förundersökning eller annan brottsutredning. Liknande problem som polisen har med avgränsningen mellan underrättelseverksamhet och annan verksamhet, förekommer också i Tullverkets brottsbekämpande verksamhet.

För att komma till rätta med de problem som finns i dag med definitionen av underrättelseverksamhet, föreslår vi att den utmönstras från lagstiftningen. Vårt förslag är i stället att behandling av uppgifter i underrättelseverksamhet skall få utföras inom ramen för ändamålet att förhindra eller upptäcka brottslig verksamhet. Vi redovisar nedan i detta avsnitt närmare hur behandling enligt vårt förslag skall få utföras i underrättelseverksamhet. I detta sammanhang kan nämnas att också Polisdatautredningen föreslår att den gällande definitionen av underrättelseverksamhet skall utmönstras. Utredningen talar i stället om polisens behandling av uppgifter om personer som det inte finns misstanke om brott mot.

Hur får underrättelseverksamhet bedrivas i dag?

Det finns inga bestämmelser i författning om när eller under vilka förutsättningar Tullverket får bedriva underrättelseverksamhet. Detsamma gäller även för övriga brottsbekämpande myndigheter. Däremot finns det för bl.a. tullen tydliga bestämmelser om när personuppgifter får behandlas automatiserat eller i annan strukturerad form i underrättelseverksamhet. Eftersom underrättelseverksamhet per definition består av just informationsbearbetning, torde det i praktiken innebära att sådan verksamhet kan bedrivas effektivt eller i större skala endast i den omfattning som det, automatiserat eller i annan strukturerad form, finns en rätt att behandla de personuppgifter som behövs.

Behandling av personuppgifter i tullens underrättelseverksamhet är i dag tillåten endast i två särskilt angivna fall.

Uppgifter får för det första behandlas inom ramen för en särskild undersökning (SUR). Med detta avses en undersökning i underrättelseverksamhet som består i insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott, om det finns anledning att anta att allvarlig brottslig verksamhet har utövats eller kommer att utövas.

Ett beslut om att inleda en särskild undersökning skall fattas av chefen för Tullverket eller chefen för en tullregion eller, efter delegation, av annan chefstjänsteman.

För det andra får uppgifter i dag behandlas i ett särskilt underrättelseregister. Registreringen får göras dels för att ge underlag för ett beslut om särskild undersökning avseende allvarlig brottslig verksamhet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Vilka uppgiftskategorier som får finnas i ett underrättelseregister är noggrant beskrivet i lag.

Annat arbete i dag med att förhindra och upptäcka brottslig verksamhet

Vid sidan av underrättelseverksamhet bedriver Tullverket olika former av annan brottsbekämpande verksamhet som inte avser utredning eller beivrande av konkreta brott, utan som har till ändamål att upptäcka eller förhindra brottslig verksamhet. Inom processen gränsskydd förekommer bl.a. arbete med selektering av tung trafik och containertrafik, ett arbete som har till syfte att med hjälp av t.ex. riskprofiler välja ut vissa transporter för kontroll. Verksamheten påminner i vissa delar om den som utförs i underrättelseverksamheten, även om den inte formellt hör till denna. Ett annat exempel är gränskontrollverksamheten som går ut på att kontrollera resande och fordon när dessa passerar gränsen, dvs. det man i normalt språkbruk kan kalla tullkontroller vid gränserna. Det arbetet har inslag av såväl fiskal som brottsbekämpande verksamhet. Brottsbekämpningen består i sin tur av såväl verksamhet med att förhindra eller upptäcka brottslig verksamhet som verksamhet med att utreda eller beivra brott. Ett exempel på den förra kan vara att en tulltjänsteman av någon orsak misstänker att det förekommer brottsligt förfarande vid passeringen av en gränsstation utan att kunna konkretisera misstankarna till ett visst brott. När ett brott efter kontroll har upptäckts och det kan bli fråga om att t.ex. beslagta smugglingsgods, är det däremot fråga om den senare verksamheten.

Sådant arbete med syfte att förhindra eller upptäcka brottslig verksamhet som nu nämnts, omfattas alltså av samma ändamålsbestämmelse som underrättelseverksamhet. Det är emellertid inom underrättelseverksamheten som det förekommer behandling av

personuppgifter i stor omfattning och av känslig karaktär. Den följande redovisningen är därför framför allt inriktad på just underrättelseverksamhet.

Behandling i tullbrottsdatabasen

Underrättelseverksamhet går ut på att samla relevant information om pågående eller framtida brottslig verksamhet för att kunna bearbeta och analysera den tillsammans med annan information. Syftet är att få fram underlag för åtgärder för att förhindra eller utreda brott samt för att klarlägga om det utövas eller kan komma att utövas brottslig verksamhet. Enligt vår uppfattning är det därför en absolut nödvändighet, för att Tullverket skall kunna bedriva en effektiv underrättelseverksamhet, att det ges möjlighet att lagra och bearbeta stora mängder underrättelseinformation i för myndigheten gemensamma register.

När uppgifter behandlas tillsammans i större register, eller informationsdatabaser, som är tillgängliga och sökbara för en stor grupp personer inom en eller flera myndigheter, uppstår alltid en risk för otillbörliga intrång i enskildas personliga integritet. Denna risk är särskilt påtaglig när registreringen avser personer som endast kan misstänkas för att ha begått eller för att komma att begå brott. När uppgifter skall behandlas i en sådan databas som vi föreslår för Tullverkets brottsbekämpande verksamhet, är det därför viktigt att det ställs höga krav på vilken information som får finnas i olika register.

I underrättelseverksamheten behöver Tullverket primärt behandla uppgifter om personer som är misstänkta för att vara inblandade i brottslig verksamhet. Detta är en självklarhet som knappast kan sättas i fråga. Mindre klart är om det finns anledning att i stora gemensamma register acceptera uppgifter som endast avser misstanke om ringa brottslighet. Vi gör den bedömningen att det i underrättelseregister m.m. inom tullbrottsdatabasens ram endast bör få förekomma uppgifter som är relevanta för att komma åt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer, dvs. det som i dag utgör definitionen på allvarlig brottslig verksamhet.

En annan väsentlig fråga är om det endast är de personer som själva kan misstänkas vara direkt inblandade i allvarlig brottslig verksamhet som skall få registreras. Enligt vår uppfattning är det

uppenbart att ett underrättelseregister inte kan fylla sitt syfte om det inte också får innehålla annan relevant information som har koppling till den misstänkta brottsliga verksamheten. Det kan röra sig om information avseende allt från vem som äger en viss fastighet som kan antas utan tillåtelse användas för brottslig verksamhet till personer ur allmänheten som har lämnat tips om misstänkta företeelser. Även uppgifter om juridiska personer kan komma i fråga. Många personer kan med andra ord vara av betydelse i underrättelseverksamhet utan att de själva är misstänkta för något. Vi anser att det avgörande för om information om en person skall få registreras måste vara att personen i fråga kan antas ha samband med allvarlig brottslig verksamhet, inte att personen själv är misstänkt.

Av integritetsskäl är det emellertid nödvändigt att det bland informationen i databasen går att skilja ut de uppgifter som rör misstänkta personer från de uppgifter som rör andra, kanske helt oskyldiga, personer som av någon anledning har samband med den brottsliga verksamheten. Vi föreslår därför att uppgifter om en fysisk person som själv inte misstänks bedriva brottslig verksamhet måste förses med en upplysning om att sådan misstanke saknas. Det skall alltså framgå att exempelvis en i underrättelseinformationen namngiven person som är ägare till en fastighet, vilken utan hans eller hennes vetskap används för olagliga aktiviteter, inte själv är misstänkt för inblandning i någon brottslig verksamhet.

När information samlas in i underrättelseverksamhet, t.ex. genom spaning, kan det även förekomma uppgifter om personer som kan misstänkas vara direkt inblandade i brottslig verksamhet, dock inte allvarlig sådan. Också sådana uppgifter måste få registreras i databasen, under förutsättning att personen kan antas ha något samband i övrigt med allvarlig brottslig verksamhet. Sådan information anser vi måste förses med en upplysning om att misstanken avseende just denna person endast gäller mindre allvarlig brottslig verksamhet.

En annan viktig upplysning i underrättelseinformation om en person är uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Av informationen skall alltså gå att utläsa om den som lämnat uppgifter som sedan registreras är tillförlitlig, eftersom informationslämnare kan vara allt från en polisman till en känd brottsling. Det skall även framgå om informationen t.ex. utgör kontrollerade fakta eller om det endast är icke styrkta gissningar. Detta ligger i linje med skyddsreglerna i Europarådets rekommen-

dation om användningen av personuppgifter inom polissektorn (jfr avsnitt 7.1.1). Enligt rekommendationen skall skilda kategorier av lagrade uppgifter så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet skall uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar.

Vilka uppgiftskategorier som får registreras i databasen, oavsett om det sker i exempelvis ett särskilt underrättelseregister eller i ett kombinerat spanings- och underrättelseregister, bör enligt vår uppfattning uttryckligen anges i lag. Vilka kategorier av uppgifter det rör sig om redovisar vi ovan i avsnitt 11.3.1. Förutom att samla information i särskilda informationsdatabaser eller register, kan det också finnas behov av att i underrättelseverksamhet m.m. behandla inkomna och upprättade elektroniska handlingar. Det blir aktuellt inte minst om, eller när, man inom Tullverket inför en mer ärendebaserad verksamhet och elektroniska ärendehanteringssystem. Vad som närmare avses med elektroniska handlingar redovisas i avsnitt 11.3.2. Under förutsättning att ett underrättelseärende rör misstanke om allvarlig brottslig verksamhet, anser vi att upprättade elektroniska handlingar skall få behandlas om de personer som kan antas ha samband med den brottsliga verksamheten. I det avseendet bör någon principiell skillnad inte göras mot vad som gäller för uppgiftsregistrering i register eller informationsdatabaser. Som vi nämner tidigare skall inkomna handlingar i ett ärende alltid få behandlas, oavsett innehåll.

För behandling av uppgifter och handlingar i databasen föreslår vi ett flertal regler utöver de som nu redovisats. Det gäller bl.a. utlämnande, sökbarhet och gallring. Dessa frågor diskuteras särskilt längre fram i detta kapitel.

Behandling i underrättelseprojekt m.m. som inte utförs i databasen

Som vi nämner ovan får uppgifter i underrättelseverksamhet inom Tullverket i dag behandlas dels i särskilt reglerade underrättelseregister, dels i friare form inom ramen för särskilda undersökningar. Möjligheten att behandla uppgifter i friare form, utan de bestämda krav som gäller för vilka uppgifter som får behandlas i ett gemensamt underrättelseregister, är enligt vår uppfattning nödvändig. Det finns ett stort behov av att i särskilda projekt inom Tullverket behandla uppgifter på ett betydligt friare sätt för att

kartlägga omständigheter runt t.ex. misstänkt organiserad narkotikasmuggling. Innebörden av den lag som vi föreslår är att när uppgifter behandlas på ett sådant sätt att de inte är gemensamt tillgängliga i verksamheten, utan förbehållna en person eller en avgränsad krets av personer, gäller inte de begränsande regler för behandlingen som skall tillämpas vid behandling i den gemensamma databasen (se avsnitt 11.2). Det är alltså enligt vårt förslag möjligt för en avgränsad grupp tjänstemän vid tullen som bedriver ett underrättelseprojekt att behandla uppgifter automatiserat genom ordbehandling, med e-post eller i tillfälliga register, utan att vara bundna av de många gånger starkt begränsande regler som gäller för tullbrottsdatabasen. Regelverket utesluter inte heller att det i en sådan projektgrupp ingår personer från exempelvis polisen eller Kustbevakningen. Denna behandling motsvarar i stort den som i dag kan förekomma i särskilda undersökningar.

Vi ser inte att det generellt innebär några problem från integritetssynpunkt att sådan icke gemensam behandling inte omgärdas av samma begränsningar som gäller för behandling i den gemensamma databasen, eftersom den krets av personer som har åtkomst till uppgifterna måste vara tydligt avgränsad. Det bör också noteras att Tullverket har möjlighet att i dag bedriva underrättelseprojekt utan några egentliga begränsningar, under förutsättning att de register som läggs upp inte är strukturerade efter särskilda kriterier eller automatiserade. I princip innebär den reglering som vi föreslår att det arbete som man i dag får utföra med stöd av manuell behandling av uppgifter kommer att få utföras med datorstöd, t.ex. genom upprättande av rapporter och register med hjälp av ordbehandlingssystem. Som vi nämner ovan kan uppgifter också i dag behandlas automatiserat i stor utsträckning, inom ramen för en särskild undersökning.

För upprättande av dokument med hjälp av ordbehandling i en förundersökning, t.ex. ett förhörsprotokoll, är det enligt vår uppfattning fullt tillräckligt med endast de allmänna bestämmelser som vi föreslår skall gälla för all behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Dessa bestämmelser reglerar ändamål för behandlingen, hantering av känsliga personuppgifter och gallring av uppgifter. När det gäller just underrättelseverksamhet kan det emellertid uppstå särskilda integritetsproblem, eftersom informationen många gånger rör känsliga förhållanden som exempelvis icke bekräftade misstankar om brottsliga aktiviteter.

För att garantera integritetsintressena föreslår vi därför att sådan behandling som inte utförs i gemensamma register i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän i särskilda underrättelseprojekt m.m., skall vara omgärdade av vissa begränsande regler. Utöver de allmänna bestämmelser som tillämpas på all behandling skall det ställas krav på att när uppgifter om en person som det inte finns någon misstanke om brott mot behandlas, så måste det genom en särskild upplysning eller på annat sätt klart framgå att personen inte är misstänkt för brott. Uppgifter om att en person kan antas ha samband med brottslig verksamhet skall dessutom förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (jfr Europarådets rekommendation om användningen av personuppgifter i polissektorn).

I detta sammanhang vill vi dessutom tydligt markera att det naturligtvis inte skall bli tillåtet att behandla vilka uppgifter som helst i ett underrättelseprojekt. De grundläggande kraven på att uppgifter endast får behandlas för de i lagen angivna ändamålen innebär att uppgifter om personer endast får behandlas om det behövs för att upptäcka eller förhindra brottslig verksamhet (eller för att utreda brott). De personer om vilka uppgifter behandlas i t.ex. ett register måste alltså kunna antas ha någon form av samband med den brottsliga verksamhet som underrättelseprojektet avser. Vi föreslår – utöver de generella ändamålsbestämmelserna – inte några uttryckliga regler om detta, men vi anser att vägledning i detta avseende bör kunna hämtas i de bestämmelser som vi föreslår skall gälla för behandling av underrättelseuppgifter i tullbrottsdatabasen.

En avgörande förändring i förhållande till vad som gäller för särskilda undersökningar i dag, är att vi inte föreslår något krav på att det skall röra sig om misstankar om allvarlig brottslig verksamhet för att uppgifter skall få behandlas i ett underrättelseprojekt. Det finns två huvudsakliga anledningar till detta. För det första finns det ett stort behov inom Tullverket av att kunna kartlägga också mindre allvarlig brottslig verksamhet, t.ex. personer som vid upprepade tillfällen för in små mängder alkohol eller narkotika för eget bruk, den s.k. myrtrafiken. Även om det i varje enskilt fall rör sig om små mängder, kan den totala mängden illegalt införda varor med fog antas vara betydande. I dag är man i princip förhindrad att genom särskilda projekt försöka kartlägga, upptäcka och förhindra sådan brottslighet, som inte sällan begås av ungdomar och som kan

leda till grövre brottslighet. För det andra anser vi att integritetsriskerna inte är så stora att de utgör skäl för att förhindra sådan projektverksamhet. Genom att uppgifterna som registreras inte genom direkt åtkomst sprids utanför en klart avgränsad grupp tjänstemän – de görs alltså inte tillgängliga i ett för Tullverket gemensamt sökbart underrättelseregister – anser vi att man kan acceptera att även uppgifter om mindre allvarlig brottslighet behandlas automatiserat. Om uppgifter som behandlas i ett underrättelseprojekt skall tillföras ett för Tullverket gemensamt underrättelseregister, måste de dock självfallet uppfylla bl.a. det krav på anknytning till allvarlig brottslig verksamhet som gäller för behandling i tullbrottsdatabasen.

Ytterligare en förändring i förhållande till dagens situation är att vi inte föreslår något krav på att det måste fattas ett formellt beslut om en särskild undersökning för att uppgifter skall får behandlas i ett underrättelseprojekt. Vi anser inte att detta är nödvändigt av integritetsskäl under de ovan angivna förutsättningarna för behandlingen. Vi förutsätter dock att ett underrättelseprojekt, där flera personer ingår och som innefattar insamling och bearbetning av underrättelseinformation, av administrativa och organisatoriska skäl alltid har sin grund i någon form av beslut av en tjänsteman i arbetsledande ställning. Betydelsen av att det inte i lag anges att det krävs ett formellt beslut skall därför enligt vår uppfattning inte överdrivas.

11.4.3. Utreda eller beivra brott

Vårt förslag: Tullverket skall i gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen få behandla uppgifter om personer som förekommer i ett ärende om utredning eller beivrande av brott. Vid behandlingen skall uppgifter om en fysisk person som inte är misstänkt för brott förses med upplysning om att sådan misstanke saknas, om det inte av sammanhanget klart framgår varför uppgifterna behandlas. Vid behandling som inte utförs i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän, skall det inte ställas upp några särskilda villkor utöver de allmänna bestämmelser som gäller för all behandling av uppgifter.

Vad omfattas av ”att utreda eller beivra brott”?

Tullverkets verksamhet med att utreda eller beivra brott innefattar först och främst allt arbete inom ramen för en förundersökning enligt 23 kap. rättegångsbalken eller lagen (2000:1225) om straff för smuggling, exempelvis spaning, förhör, användande av tvångsmedel och allmän informationsbearbetning. Utöver detta omfattas emellertid även annat arbete med utredande eller beivrande av ett konkret brott. Det gäller således verksamhet som utförs med stöd av 23 kap.3 och 8 §§rättegångsbalken innan en förundersökning har inletts, dvs. inledande förhör på brottsplatsen m.m. Också åtgärder som vidtas i syfte att samla in underlag för beslut om förundersökning skall inledas eller inte, omfattas av ändamålet. Som exempel kan nämnas kontroll av ett tips om att ett brott har förövats. Ytterligare åtgärder som omfattas är väckande av åtal och beivrande av brott i förenklad form, t.ex. genom strafföreläggande.

Vad som avgränsar ändamålet att utreda eller beivra brott från ändamålet att förhindra eller upptäcka brottslig verksamhet, är att åtgärderna sker med anledning av att ett konkret brott har eller misstänks ha begåtts. Det innebär att all behandling av uppgifter på grund av att det finns misstankar om pågående brottlig verksamhet som inte kan konkretiseras eller misstankar om att ett konkret brott kommer att begås i framtiden, i stället omfattas av ändamålet att förhindra eller upptäcka brottslig verksamhet (se avsnitt 11.4.2).

Behandling i tullbrottsdatabasen

Inom den brottsutredande verksamheten finns ett påtagligt behov av att kunna föra olika för Tullverket gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen. Till skillnad från vad som gäller för underrättelseverksamheten möter det enligt vår uppfattning inga svårigheter att avgränsa den krets personer om vilka uppgifter bör få behandlas i sådana gemensamma system. Det framstår för oss som självklart att Tullverket måste få registrera uppgifter om samtliga de personer som förekommer i ett ärende om utredning eller beivrande av brott, oavsett skälet till att de förekommer i ärendet och oavsett om de är misstänkta eller inte. De kategorier av uppgifter som får registreras om dessa personer bör enligt vår uppfattning uttryckligen anges i lag och vi redovisar våra överväganden i den delen ovan i avsnitt 11.3.1.

Förutom att registrera information i särskilda informationsdatabaser eller register, finns det också för framtiden ett påtagligt behov av att i förundersökningar och andra ärenden behandla inkomna och upprättade elektroniska handlingar i gemensamma datoriserade ärendehanteringssystem. Vad som närmare avses med elektroniska handlingar redovisas i avsnitt 11.3.2.

För att säkerställa integritetsskyddet vid behandlingen av uppgifter och handlingar i förundersökningar och andra ärenden avseende brottsutredningar, anser vi att uppgifter om en fysisk person som inte själv är misstänkt för brott i princip skall förses med en upplysning om att sådan misstanke saknas. Detta för att det inte skall uppstå integritetskränkande missuppfattningar om vilken roll en viss person spelar i en förundersökning. I många fall framgår det emellertid direkt av sammanhanget varför en uppgift behandlas, t.ex. i förhörsprotokoll och vittneslistor m.m. Enligt vår uppfattning torde risken för missuppfattningar inom ramen för handläggningen av ett ärende generellt sett vara relativt liten. Naturligtvis finns det inget som hindrar att myndigheten, även i andra fall än de som vi föreslår skall vara obligatoriska, lämnar upplysningar om varför vissa uppgifter har registrerats.

För behandling av uppgifter och handlingar i databasen föreslår vi ett flertal regler utöver de som nu redovisats. Det gäller bl.a. utlämnande, sökbarhet och gallring. Dessa frågor diskuteras särskilt längre fram i detta kapitel.

Annan behandling än i databasen

I Tullverkets brottsutredande verksamhet förekommer det ofta, liksom i andra offentliga verksamheter, att uppgifter behandlas automatiserat utan att det sker i för myndigheten gemensamma register eller ärendehanteringssystem. Det kan vara fråga om såväl upprättande av handlingar med hjälp av ordbehandling, t.ex. beslags- eller förhörsprotokoll, som kommunikation med e-post. Enligt vår bedömning bör de allmänna regler som vi förslår skall gälla för all behandling av uppgifter i Tullverkets brottsbekämpande verksamhet vara tillräckliga för sådan behandling. De regler som främst avses är de som anger att uppgifter bara får behandlas för fastställda ändamål och att känsliga personuppgifter endast får behandlas under särskilda villkor samt reglerna om gallring. Vi föreslår därför inga ytterligare bestämmelser för sådan behandling,

motsvarande de som vi anser bör gälla i underrättelseverksamhet m.m.

11.4.4. Arbete i internationella förhållanden

Vårt förslag: Tullverket skall i gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen få behandla uppgifter om en odefinierad krets personer, om det är nödvändigt för att fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete. Vid behandling som inte utförs i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän, skall det inte ställas upp några särskilda villkor utöver de allmänna bestämmelser som gäller för all behandling av uppgifter.

Tullverket samarbetar i mycket stor omfattning med andra länders myndigheter, inte minst inom EU. I många fall omfattas det internationella arbete som genomförs i den brottsbekämpande verksamheten, och följaktligen också den behandling av personuppgifter som utförs, av de tidigare beskrivna ändamålen; att förhindra eller upptäcka brottslig verksamhet samt att utreda eller beivra brott. Dessa ändamål är emellertid begränsade till att gälla brottslighet som Tullverket enligt svensk lagstiftning har att ingripa mot. De omfattar därför inte exempelvis den situationen att Tullverket genom internationella överenskommelser eller EG-rätt är skyldigt att bistå andra länders myndigheter med information som avser brott som inte begåtts i Sverige eller att i övrigt behandla sådan information.

Till skillnad från vad som gäller för den nationella brottsbekämpningen, är det inte möjligt att i lag eller förordning på ett uttryckligt och tydligt sätt reglera vilken behandling som skall vara tillåten för Tullverket. Hänsyn måste tas till att Sverige i många avseenden är beroende av gemensamma regler inom EU m.m. Vi har övervägt olika möjligheter att reglera behandlingen av uppgifter i internationella sammanhang på ett sådant allmänt sätt att den inte hindrar Tullverkets möjligheter att uppfylla Sveriges åtaganden och samtidigt tillgodoser rimliga rättssäkerhets- och integritetskrav. Vi har funnit att den bästa lösningen är att som utgångspunkt ha den

av riksdagen beslutade lagen (2000:1219) om internationellt tullsamarbete. I den lagen regleras vilka skyldigheter Tullverket har att bistå utländska myndigheter och internationella organisationer.

Om den av oss föreslagna lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet skulle innehålla en fristående reglering av hur Tullverket får behandla information i internationella sammanhang, skulle det enligt vår uppfattning uppstå en påtaglig risk för att Tullverket försätts i en situation där verket inte kan fullfölja skyldigheter som följer av en av riksdagen beslutad författning om internationellt samarbete, på grund av begränsande regler om behandling av uppgifter i en annan av riksdagen beslutad författning. En sådan situation måste kunna undvikas.

Vi föreslår därför att det i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet tas in en generell bestämmelse om att Tullverket i gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen får behandla uppgifter om en odefinierad krets personer, om det är nödvändigt för att fullgöra det arbete som åligger verket enligt lagen om internationellt tullsamarbete. Härigenom garanteras att Tullverket kan fullfölja de uppdrag som riksdagen ålagt verket, i de fall behandlingen inte kan anses omfattas av de ändamål som gäller för den nationella brottsbekämpande verksamheten.

För behandling som inte utförs i databasen bör motsvarande gälla i enlighet med det särskilt angivna ändamålet att uppgifter får behandlas om det behövs för att fullgöra det arbete som åligger verket enligt lagen om internationellt tullsamarbete.

11.4.5. Kombinerade register i tullbrottsdatabasen

Vårt förslag: Uppgifter om personer som får behandlas i tullbrottsdatabasen skall få registreras tillsammans i ett kombinerat register även om de behandlas för skilda ändamål, under förutsättning att det klart framgår för vilket ändamål uppgifterna behandlas.

I dag är det vanligt att särskilda författningar reglerar myndigheters rätt att föra enskilda register. Tullverket har exempelvis rätt att föra dels underrättelseregister, dels spaningsregister. Det saknas ofta rättsliga möjligheter att i ett enda register kombinera uppgifter från

skilda register. Vårt förslag till lagstiftning är emellertid teknikneutral (se avsnitt 10.5). Det innebär att det inte finns några hinder mot att inom ramen för tullbrottsdatabasen inrätta t.ex. ett gemensamt spanings- och underrättelseregister. I ett sådant register kan det få förekomma uppgifter om både personer som utan att själva vara misstänkta kan antas ha samband med allvarlig brottslig verksamhet och personer vilka inom ramen för en förundersökning är misstänkta för ett konkret brott.

Det finns emellertid integritetsrisker förknippade med att i ett och samma register blanda förundersökningsuppgifter om t.ex. brottsmisstankar med underrättelseuppgifter om anknytning till viss brottslig verksamhet. Vi anser därför att en förutsättning för att det skall tillåtas måste vara att det i ett sådant kombinerat register klart och tydligt anges för vilket ändamål en uppgift har registrerats. Den som använder registret måste exempelvis direkt få information om att en viss uppgift avseende en person har sitt ursprung i underrättelseverksamhet, medan en annan uppgift om samma person har registrerats inom ramen för en förundersökning. Att sådan åtskillnad görs mellan uppgifterna har också betydelse för möjligheterna att genom tekniska förfaranden spärra åtkomsten till vissa uppgifter. En åklagare, som enligt vårt förslag skall få direktåtkomst till registeruppgifter i en förundersökning som han eller hon leder (se avsnitt 11.6.4), bör t.ex. kunna förhindras att få tillgång till underrättelseuppgifter i samma register.

11.5. Elektroniskt inhämtande och utlämnande av uppgifter och handlingar

11.5.1. Elektroniskt inhämtande

Vårt förslag: Det skall inte finnas några uttryckliga begränsningar för elektroniskt inhämtande till Tullverket av uppgifter eller handlingar.

Inhämtande av uppgifter och handlingar

Vilka uppgifter som får behandlas automatiserat av en myndighet måste avgöras med ledning av de i lagstiftningen angivna ändamålen med behandlingen, eftersom det i 9 § personuppgiftslagen ställs

krav på att uppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål (motsvarar artikel 6 i dataskyddsdirektivet). Några särskilda krav på begränsningar av på vilket sätt uppgifter får samlas in följer däremot inte av vare sig personuppgiftslagen eller EG-rätten. Vi ser inte heller några integritetsskäl mot att enskilda eller myndigheter, som av olika anledningar har att lämna uppgifter, gör detta med hjälp av automatiserad behandling. Om Tullverket anser det lämpligt, bör således t.ex. information under handläggning av ärenden kunna inhämtas till databasen via e-post i stället för muntligen via telefon eller skriftligen via fax. Några rättsliga begränsningar bör inte heller ställas upp för Tullverket att automatiserat hämta in uppgifter direkt från en annan myndighets register, under förutsättning att uppgifterna får behandlas av verket och att den utlämnande myndigheten får lämna ut uppgifterna på det sättet.

Det kan däremot finnas andra skäl för att uppgifter skall lämnas på ett visst sätt. Det kan t.ex. vara ett krav att vissa handlingar lämnas skriftligen och egenhändigt undertecknade, vilket kan innebära såväl rättsliga gränsdragningsproblem som tekniska svårigheter vid ett automatiserat förfarande. Med andra ord kan det finnas olika orsaker till att uppgifter inte kan eller får hämtas in automatiserat till Tullverket. Dessa begränsningar följer då av andra författningar eller av tekniska orsaker. Det finns inte anledning att föreskriva om ytterligare begränsningar i den av oss föreslagna lagen.

Vi ser således inte några skäl för att i en författning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet införa begränsningar av på vilket sätt uppgifter får hämtas in eller tas emot, oavsett om de inhämtade uppgifterna skall behandlas i tullbrottsdatabasen eller på annat sätt. Tvärtom är det vår uppfattning att i den mån en viss uppgift får hämtas in till Tullverket och behandlas automatiserat där, bör inhämtandet i princip kunna ske på det sätt som verket och avsändaren anser mest lämpligt.

11.5.2. Elektroniskt utlämnande

Vårt förslag: Uppgifter som inte behandlas i tullbrottsdatabasen skall utan särskilda begränsningar få lämnas ut elektroniskt. Uppgifter och handlingar i tullbrottsdatabasen skall utan begränsningar få lämnas ut elektroniskt till svenska myndigheter på annat sätt än genom direktåtkomst. Uppgifter och handlingar i tullbrottsdatabasen skall få lämnas ut elektroniskt till andra än svenska myndigheter på annat sätt än genom direktåtkomst, om regeringen meddelar föreskrifter om det eller om det behövs för att Tullverket skall kunna fullgöra

Sveriges internationella åtaganden.

Allmänt om elektroniskt utlämnande

Uppgifter kan lämnas ut från Tullverket i elektronisk form på medium för automatiserad behandling på flera olika sätt, t.ex. genom användning av e-post, genom utlämnande på diskett eller cd-rom, genom direkt överföring från ett datorsystem till ett annat via telenätet (där beslutet om överföring i varje enskilt fall fattas av Tullverket) eller genom direktåtkomst till Tullverkets datorsystem (där beslutet om överföring i varje enskilt fall fattas av mottagaren). Av dessa olika varianter är direktåtkomsten den mest känsliga och den behandlas därför särskilt i avsnitt 11.6.

Att ett utlämnande sker på medium för automatiserad behandling innebär att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen. Det betyder att elektroniskt utlämnande av uppgifter och handlingar på ett sådant sätt att mottagaren endast kan läsa informationen och inte bearbeta den, t.ex. genom allmänhetens terminal vid en myndighet, inte är ett utlämnande på medium för automatiserad behandling.

En av de viktigare bestämmelserna i personuppgiftslagen är 9 § (artikel 6 i dataskyddsdirektivet), av vilken bl.a. framgår att uppgifter skall samlas in för särskilda, uttryckliga och berättigade ändamål. Senare behandling får inte ske på ett sätt som är oförenligt med de ändamålen. Bestämmelsen innebär att en uppgift som har samlats in för ett visst ändamål inte får lämnas ut, om utlämnandet är oförenligt med det ursprungligen angivna ändamålet. För författningsreglerad offentlig verksamhet innebär

detta att utlämnande av personuppgifter som omfattas av personuppgiftslagen inte får vara oförenligt med de olika ändamål som gäller för behandling av personuppgifterna. Oavsett ändamålen gäller dock att uppgifter alltid får lämnas ut till enskilda med stöd av offentlighetsprincipen och, enligt vår uppfattning, till myndigheter med stöd av sekretesslagen eller särskilda bestämmelser om utlämnande i annan författning. Det finns emellertid inte några uttryckliga bestämmelser i vare sig personuppgiftslagen eller dataskyddsdirektivet som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut automatiserat. I det avseendet görs med andra ord ingen åtskillnad mellan elektroniskt och manuellt utlämnande.

En allmän bestämmelse i svensk lagstiftning som direkt rör myndigheters automatiserade utlämnande av uppgifter är 7 kap. 16 § sekretesslagen (1980:100). Där anges att sekretess gäller för uppgifter om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. Med behandling av personuppgifter avses enligt personuppgiftslagen emellertid varje åtgärd som vidtas med uppgiften. Det torde därför även ur sekretesslagens synvinkel i princip sakna betydelse om utlämnandet av en uppgift görs automatiserat eller manuellt på papper, eftersom utlämnandet under alla förhållanden omfattas av 7 kap. 16 § om uppgiften av mottagaren kan komma att behandlas automatiserat eller i manuella register i strid mot personuppgiftslagens bestämmelser. På grund av de möjligheter till bearbetning av uppgifter som en datoriserad behandling ger, är däremot risken självfallet större för att uppgifter som lämnas ut elektroniskt kan komma att hanteras av mottagaren på ett sådant sätt att det strider mot personuppgiftslagens bestämmelser.

Vi drar av det ovanstående den slutsatsen att det inte finns något rättsligt krav på att författningsreglera utlämnande på medium för automatiserad behandling för att det skall vara tillåtet att lämna ut uppgifter på det sättet. Vi har då att ta ställning till om det finns anledning att på någon annan grund ha särskilda bestämmelser för utlämnande på medium för automatiserad behandling i annan form än direktåtkomst. En annan fråga är om det för sådant utlämnande finns anledning att göra olika bedömningar beroende på till vem uppgifterna lämnas ut.

Det kan vara viktigt att markera att elektroniskt utlämnande som inte görs på medium för automatiserad behandling, t.ex. via allmänhetens terminal, inte omfattas av den av oss föreslagna

regleringen. För sådant utlämnande gäller, som för utlämnande på papper, i stället endast bestämmelserna i sekretesslagen. Anledningen till detta är att vi anser att det inte finns några integritetsrisker med ett utlämnande som innebär att informationen endast kan läsas, under förutsättning att Tullverket i varje enskilt fall har möjlighet att påverka utlämnandet (för direktåtkomst till tullbrottsdatabasen anser vi däremot att situationen är annorlunda och därför behandlar vi den frågan särskilt i avsnitt 11.6). Redovisningen nedan i detta avsnitt avser med andra ord endast elektroniskt utlämnande på sådant sätt att mottagaren elektroniskt kan bearbeta informationen. Tullverkets eventuella tillhandahållande av uppgifter på stället enligt 2 kap. 12 § tryckfrihetsförordningen, t.ex. via allmänhetens terminal, omfattas således inte.

Utlämnande av uppgifter som inte behandlas i tullbrottsdatabasen

Vi har tidigare beskrivit skillnaden mellan behandling av uppgifter som omfattas av de särskilda reglerna för tullbrottsdatabasen och annan form av behandling. Den behandling som utförs utan att den anses ingå i databasen är uteslutande sådan behandling som sker för enskilda tjänstemäns – eller avgränsade grupper av tjänstemäns – bruk. Större samlingar av känsliga uppgifter som används gemensamt i verksamheten, t.ex. uppgifter i ett allmänt underrättelseregister, ingår däremot i tullbrottsdatabasen (se avsnitt 11.2).

Det finns enligt vår mening en avgörande skillnad mellan å ena sidan elektroniskt utlämnande av uppgifter direkt ur ett register eller en databas och å andra sidan elektronisk kommunikation via t.ex. e-post. För att inte möjligheterna att utnyttja datorteknik vid myndigheter skall inskränkas på ett orimligt sätt, får det inte sättas upp onödiga hinder mot att e-post utnyttjas som ett sätt att till enskilda vidarebefordra allmän information som i dag ofta lämnas ut via telefon, telefax eller vanlig brevförsändelse. Det måste också vara möjligt för tjänstemän vid Tullverket att kommunicera med andra myndigheter och utbyta information på elektroniskt väg. Som exempel kan nämnas att personal från tullen samarbetar med personal från polisen i en särskild projektgrupp. Information som hanteras inom gruppen måste kunna utbytas på det snabbaste och enklaste sättet, vilket i många fall innebär att information måste kunna skickas via e-post.

I detta sammanhang bör markeras att det i fråga om uppgifter i brottsbekämpande verksamhet är föreskrivet sträng sekretess till skydd för enskildas personliga och ekonomiska förhållanden (9 kap. 17 § första stycket sekretesslagen). De uppgifter som behandlas i verksamheten, och som ofta är av mycket känslig karaktär, får därför inte lämnas ut vare sig elektroniskt eller på annat sätt utan föregående sekretessprövning. När det gäller uppgifter som behandlas automatiserat av enskilda tjänstemän eller avgränsade grupper av tjänstemän och som inte är tillgängliga för gemensam användning inom Tullverket, dvs. uppgifter som inte ingår i tullbrottsdatabasen, är det enligt vår uppfattning tillräckligt från integritetssynpunkt att elektroniskt utlämnande begränsas på samma sätt som utlämnande av uppgifter på papper. Vi anser med andra ord att enskildas integritetsintressen i fråga om elektroniskt utlämnande i dessa fall tillgodoses genom sekretesslagens bestämmelser, dvs. även 7 kap. 16 §, och att det därför saknas anledning att ha särskilda bestämmelser om på vilket sätt uppgifterna får lämnas ut från Tullverket.

Utlämnande till svenska myndigheter från tullbrottsdatabasen

För myndigheter finns ofta särskilda registerförfattningar som reglerar vilka automatiserade register eller andra personuppgiftssamlingar som får föras av myndigheten och på vilket sätt personuppgifter får behandlas. I de författningarna regleras även ändamålen för behandlingen. Även i de fall särskilda registerförfattningar saknas, måste det förutsättas att användningen av uppgifter begränsas av personuppgiftslagens allmänna bestämmelser och av att myndigheter bedriver viss bestämd och reglerad verksamhet. Vi bedömer därför att riskerna är små för att en myndighet som får personuppgifter i elektronisk form från Tullverkets tullbrottsdatabas, skall behandla uppgifterna på ett otillåtet sätt.

Samtidigt är det klart att det innebär stora effektivitetsvinster för myndigheter att uppgifter som skall behandlas automatiserat hämtas in genom automatiserade förfaranden, t.ex. på diskett eller via telenätet. När en myndighet hämtar in uppgifter från något av Tullverkets register, är det från effektivitetssynpunkt mindre tillfredsställande att verket först gör utskrifter av uppgifterna och den mottagande myndigheten därefter för in uppgifterna i sina

register eller databaser. Genom sådana förfaranden ökar dessutom riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem.

En utgångspunkt för vårt arbete har varit att Tullverket i sin brottsbekämpande verksamhet skall kunna utnyttja automatiserade förfaranden i största möjliga omfattning, dock under förutsättning att det inte medför risk för otillbörliga intrång i enskildas personliga integritet. Eftersom vi anser att det inte föreligger någon större risk för att uppgifter som lämnas ut på medium för automatiserad behandling till andra myndigheter behandlas på ett felaktigt sätt, saknas det enligt vår uppfattning anledning att för dessa fall reglera när uppgifter får lämnas ut elektroniskt från tullbrottsdatabasen. En förutsättning är dock att Tullverket har möjlighet att i varje enskilt fall avgöra vilka uppgifter som skall lämnas ut, vilket inte är fallet när uppgifter lämnas ut genom direktåtkomst (se avsnitt 11.6).

Det finns med andra ord enligt vår bedömning inte några bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som görs på papper och utlämnande som sker elektroniskt, dock med undantag för direktåtkomst. Om Tullverket får eller skall lämna ut uppgifter till en annan myndighet, t.ex. med stöd av sekretesslagen eller andra författningar, bör det vara upp till de inblandade myndigheterna att avgöra på vilket sätt det skall göras. När det gäller utlämnande till myndigheter anser vi inte heller att det finns några integritetsskäl för att göra någon åtskillnad mellan uppgifter och handlingar. En elektronisk handling i tullbrottsdatabasen bör därför få lämnas ut på medium för automatiserad behandling, under förutsättning att det inte i sekretesslagen (t.ex. 7 kap. 16 § eller 9 kap. 17 §) eller andra författningar föreskrivs hinder mot utlämnande av uppgifterna i handlingen.

Utlämnande till utländska myndigheter från tullbrottsdatabasen

I Tullverkets brottsbekämpande verksamhet ingår ett omfattande internationellt samarbete, främst med EU:s övriga medlemsstater. Enligt vår uppfattning bör inte möjligheterna att bedriva det internationella arbetet begränsas i onödan genom bestämmelser i en lag om behandling av personuppgifter. Samtidigt kan det finnas starka integritetsskäl för att inte helt förutsättningslöst tillåta att

uppgifter behandlas på det sätt som framstår som enklast och effektivast. Ett problem med det internationella arbetet är svårigheterna med att förutse vilka skyldigheter Tullverket kan anses ha i fråga om t.ex. informationsutbyte. Det är därför i det närmaste omöjligt att i den av oss föreslagna lagen konkret ange under vilka förutsättningar uppgifter och handlingar i tullbrottsdatabasen skall få lämnas ut elektroniskt.

I lagen (2000:1219) om internationellt tullsamarbete finns emellertid angivet vilka skyldigheter Tullverket har gentemot andra länder, bl.a. i fråga om informationsutbyte. Vi anser att den lagen lämpligen bör kunna läggas till grund för under vilka förutsättningar Tullverket skall få lämna ut uppgifter på medium för automatiserad behandling i internationella sammanhang. Om det behövs för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen om internationellt tullsamarbete, skall uppgifter och handlingar i tullbrottsdatabasen alltså få lämnas ut elektroniskt. Utöver detta bör regeringen enligt vår mening ha möjlighet att när så krävs i förordning ge Tullverket rätt att lämna ut uppgifter till utländska myndigheter i elektronisk form.

Vi föreslår att det i en kompletterande förordning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att uppgifter som får lämnas ut till en utländsk myndighet eller mellanfolklig organisation genom bestämmelser om internationellt tullsamarbete, skall få lämnas ut på medium för automatiserad behandling utan krav på att det behövs för att Tullverket skall kunna fullgöra sina internationella åtaganden. Det blir då i praktiken upp till Tullverket och den mottagande myndigheten eller organisationen att avgöra i vilken form uppgifterna lämnas ut.

Utlämnande till enskilda från tullbrottsdatabasen

Förutom att uppgifter lämnas ut till andra myndigheter kan det bli aktuellt för Tullverket att lämna ut uppgifter ur tullbrottsdatabasen till enskilda, såväl privatpersoner som företag och organisationer. Till skillnad från vad som gäller vid utlämnande till myndigheter, saknas det i dessa fall normalt särskilda bestämmelser om hur personuppgifter får behandlas hos mottagaren. För mottagaren är det därför ofta endast personuppgiftslagens bestämmelser som är tillämpliga på behandlingen av de mottagna uppgifterna.

Med hänsyn till de integritetsrisker som kan följa med utlämnande på medium för automatiserad behandling av personuppgifter från myndigheters register och databaser till företag och privatpersoner, bör sådant utlämnande endast vara tillåtet när det efter särskild prövning anses lämpligt. Enligt vår mening bör, av såväl integritets- som effektivitetsskäl, en sådan bedömning inte helt överlåtas till Tullverket genom en prövning enligt 7 kap. 16 § sekretesslagen. Det bör i stället åligga regeringen att göra dessa bedömningar på en generell nivå. Vi anser därför att elektroniskt lagrade uppgifter och handlingar i Tullverkets gemensamma tullbrottsdatabas bör få lämnas ut till enskilda på medium för automatiserad behandling endast om regeringen har föreskrivit det.

Vi föreslår att det i en kompletterande förordning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att uppgifter och handlingar som skall lämnas ut till en enskild som ett led i handläggningen av ett ärende, får lämnas ut elektroniskt. Det innebär att enskilda inte tillåts få ut andra uppgifter elektroniskt, än de som hör till ett för honom eller henne aktuellt ärende.

11.6. Direktåtkomst till databasen

11.6.1. Direktåtkomst och sekretess

Vad är direktåtkomst?

I många registerförfattningar och andra författningar som reglerar behandling av personuppgifter finns det bestämmelser där direktåtkomst för utomstående till myndigheters register och databaser regleras särskilt. Det finns dock inte i någon författning en definition av begreppet direktåtkomst. Frågor om sådan åtkomst har emellertid diskuterats i ett flertal utredningsbetänkanden och propositioner. Begreppet är relativt nytt och tidigare talades i stället om terminalåtkomst. Med terminalåtkomst avsågs allmänt att någon hade tillgång till en myndighets register via en terminal och därigenom själv kunde söka efter information, dock utan att själv kunna bearbeta eller påverka innehållet i registret.

Det är numera inte lämpligt att i en författningsreglering av behandling av personuppgifter använda begreppet terminalåtkomst, eftersom det i dag finns flera olika möjligheter för utomstående att

på egen hand inhämta information från myndigheters register. Förutom genom terminalåtkomst förekommer det att sådan tillgång till information ges via telesvar, t.ex. avseende uppgifter i bilregistret. Det förekommer även att information kan inhämtas direkt från ett register genom en webbplats på Internet. I dag används därför det mer neutrala begreppet direktåtkomst som en samlande benämning på dessa olika former av åtkomst.

Den grundläggande betydelse som begreppet direktåtkomst vanligtvis tillskrivs, skiljer sig dock i stort inte från innebörden av begreppet terminalåtkomst. Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Till skillnad från vad som normalt är fallet med terminalåtkomst, kan information som finns tillgänglig via direktåtkomst på Internet vanligtvis kopieras av mottagaren och därefter bearbetas av denne. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär att om en enskild har direktåtkomst till samtliga uppgifter i en myndighets register, så kan den enskilde själv välja vilka uppgifter han eller hon vill ta del av vid ett visst tillfälle, utan att myndigheten först fattar ett beslut om att just dessa uppgifter skall lämnas ut.

Det kan tilläggas att det normalt inte behöver regleras särskilt att en myndighet får ha direktåtkomst till sina egna register och databaser, under förutsättning att det inte inom myndigheten råder sekretess mellan självständiga verksamhetsgrenar.

Förhållandet mellan direktåtkomst och sekretess

Möjligheterna att vid informationsutbyte mellan exempelvis två myndigheter utnyttja direktåtkomst, kan begränsas av sekretesslagens bestämmelser. En myndighet kan enligt vår mening inte tillåta en annan myndighet att få direktåtkomst till ett register, om uppgifterna i registret omfattas av sekretess som innebär att den mottagande myndigheten vid en prövning enligt sekretesslagen inte med säkerhet skulle ha rätt att ta del av uppgifterna. I och med att direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter den vill ta del av, så måste uppgifterna nämligen enligt vår uppfattning anses utlämnade i sekretesslagens

mening i och med att direktåtkomsten finns. Det spelar i det avseendet ingen roll om den mottagande myndigheten faktiskt använder sig av en viss uppgift eller inte. Detsamma måste enligt vår uppfattning anses gälla mellan självständiga verksamhetsgrenar inom en och samma myndighet, eftersom sekretess gäller mellan sådana verksamhetsgrenar på samma sätt som mellan skilda myndigheter.

En förutsättning för direktåtkomst torde därför vara att åtkomsten avser endast uppgifter för vilka det inte är föreskrivet sekretess eller uppgifter som enligt författning får eller skall lämnas ut till den som har direktåtkomst (jfr 14 kap. 1 och 2 §§ sekretesslagen) eller uppgifter som, enligt prövning på förhand, med stöd av generalklausulen i 14 kap. 3 § sekretesslagen får lämnas ut rutinmässigt till den som har direktåtkomst. Det har emellertid i olika sammanhang diskuterats om bestämmelser om direktåtkomst generellt kan, eller bör, ges den innebörden att de bryter eventuell sekretess för de uppgifter till vilka det föreskrivs direktåtkomst (se t.ex. prop. 2001/01:33, s. 131 och 347 f.).

Med hänsyn till att det råder osäkerhet i frågan om eller när bestämmelser om direktåtkomst skall tillmätas direkt sekretessbrytande verkan, föreslår vi att det i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet endast anges att någon får ha direktåtkomst till en uppgift, inte att någon skall ha sådan åtkomst. Vår avsikt är att markera att bestämmelserna om direktåtkomst inte har sekretessbrytande verkan i sig själva. För att direktåtkomst skall kunna tillåtas enligt den av oss föreslagna lagen krävs därmed i praktiken att de aktuella uppgifterna är offentliga, dvs. att det inte är föreskrivet om sekretess för dem, eller att det finns en skyldighet enligt lag eller förordning att lämna ut de aktuella uppgifterna till den som får ha direktåtkomst. Vi återkommer till denna fråga i avsnitt 11.6.6.

11.6.2. Allmänt om sekretess och informationsutbyte mellan brottsbekämpande myndigheter

Sverige har delat upp det brottsbekämpande arbetet mellan flera myndigheter. Först och främst är det naturligtvis polisen som har sådana uppgifter. Polisens verksamhetsområde är inte begränsat till någon speciell form av brottslighet, utan är av generell karaktär. Inom Tullverkets särskilda ansvarsområde faller brottslighet i

samband med in- och utförsel av varor, medan Kustbevakningen har ett särskilt ansvar för brottslighet till sjöss. Ekobrottsmyndigheten har befogenhet i fråga om ekonomisk brottslighet, vilket även gäller skattemyndigheterna som har särskilda skattebrottsenheter. Härutöver tillkommer åklagarmyndigheterna, som inte har polisiära uppgifter men ändå utgör en väsentlig del av den nationella brottsbekämpande verksamheten.

Gemensamt för myndigheternas verksamhet är att sekretess enligt sekretesslagen gäller för flertalet av de uppgifter som behandlas (se längre ner i detta avsnitt). När uppgifter skall lämnas mellan de brottsbekämpande myndigheterna måste hänsyn därför tas till sekretesslagstiftningen, eftersom sekretessen inte gäller enbart gentemot enskilda utan även gentemot andra myndigheter. Det finns emellertid ett antal bestämmelser som innebär att sekretess inte utgör hinder för ett utbyte av uppgifter mellan myndigheter.

Av 1 kap. 5 § sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Bestämmelsen kan alltså aldrig tillämpas på den grunden att den mottagande myndigheten behöver uppgifterna. Den skall dessutom tillämpas restriktivt.

Ytterligare sekretessbrytande bestämmelser finns i 14 kap. sekretesslagen. I 14 kap. 1 § anges bl.a. att sekretess inte hindrar ett utlämnande till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. När uppgifter behövs i bl.a. förundersökningar kan de ofta lämnas ut enligt de särskilda bestämmelserna i 14 kap. 2 §. Slutligen finns i 14 kap. 3 § den s.k. generalklausulen, som innebär att sekretessbelagda uppgifter får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda.

En avgörande betydelse har bestämmelsen i 15 kap. 5 § sekretesslagen, som säger att en myndighet på begäran av en annan myndighet skall lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär alltså att om en myndighet begär en uppgift från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, eller naturligtvis om uppgiften är offentlig, så skall den i princip lämnas ut. Det finns under dessa omständigheter inget utrymme för den utlämnande myndigheten att göra en

lämplighetsprövning. Bestämmelsen kan därför sägas utgöra myndigheternas motsvarighet till enskilda personers rätt att ta del av handlingar enligt offentlighetsprincipen.

Sekretess och informationsutbyte i brottsutredningar

För uppgifter i förundersökningar och i åklagar-, polis- och skattemyndighets samt Tullverkets och Kustbevakningens verksamhet i övrigt med att förebygga, uppdaga, utreda eller beivra brott, gäller sekretess med hänsyn både till skydd för verksamheten enligt 5 kap. 1 § första stycket 1–4 sekretesslagen och till skydd för enskilda enligt 9 kap. 17 § första stycket 1, 2, 4, 6, 8 och 10 samma lag.

Enligt 5 kap. 1 § första stycket sekretesslagen gäller ett rakt skaderekvisit, vilket innebär att en uppgift i en förundersökning m.m. är sekretessbelagd om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. För sekretessen enligt 9 kap 17 § gäller i stället ett omvänt skaderekvisit, dvs. att en uppgift i en förundersökning är sekretessbelagd om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider skada eller men. Sekretessen i 9 kap. 17 § första stycket är uppdelad så att punkterna 1, 2 och 4 avser sekretess i verksamhet med bl.a. brottsutredningar oavsett formen för behandling, medan punkterna 6, 8 och 10 avser sekretess endast för uppgifter som behandlas automatiserat i register eller på annat sätt, oavsett om det gäller brottsutredningar eller underrättelseverksamhet.

Brottsbekämpande myndigheter har en långtgående rättighet att få ut sekretessbelagda uppgifter från andra myndigheter i samband med en förundersökning. I 14 kap. 2 § fjärde stycket sekretesslagen anges nämligen att sekretess inte hindrar att uppgift som angår misstanke om brott lämnas till en brottsbekämpande myndighet. Det krävs dock både att fängelse är föreskrivet för brottet och att brottet kan antas föranleda annan påföljd än böter. Bestämmelsen är alltså inte tillämplig vid mindre allvarlig brottslighet. Vissa uttryckliga begränsningar av bestämmelsens tillämpning görs också i fråga om uppgifter inom t.ex. sjukvården och socialtjänsten.

Det bör noteras att det i lagtexten inte anges vilken grad av misstanke som skall föreligga för att sekretessen skall brytas. Det

har i olika sammanhang diskuterats om avsikten är att den misstanke det rör sig om skall motsvara den som gäller för inledande av förundersökning, dvs. att det finns anledning att anta att brott har förövats, även om ordalydelsen inte ger något uttryckligt stöd för en sådan tolkning. Ekosekretessutredningen föreslog att 14 kap. 2 § fjärde stycket skulle ändras och ges just den lydelsen för att underlätta tolkningen (SOU 1999:53). Någon lagändring har dock inte kommit till stånd. Enligt vår bedömning måste det därför tills vidare anses osäkert om bestämmelsen är tillämplig i s.k. förutredningar eller primärutredningar, vars syfte ofta är att klarlägga om en förundersökning skall inledas. Helt klart är dock att underrättelseverksamhet inte omfattas av bestämmelsen.

I praktiken innebär den nämnda bestämmelsen att det normalt inte föreligger några egentliga problem när en brottsbekämpande myndighet i en förundersökning – eller förenklad brottsutredning – begär ut uppgifter från en annan brottsbekämpande myndighet. Detta gäller oavsett om uppgiften förekommer i den utlämnande myndighetens verksamhet med förundersökning, underrättelseverksamhet eller brottsbekämpning i övrigt.

Sekretess och informationsutbyte i underrättelseverksamhet

Vi redovisar i avsnitt 11.4.2 vår syn på Tullverkets underrättelseverksamhet och vad som kan omfattas av detta begrepp. När det gäller sekretess i underrättelseverksamheten är situationen något annorlunda och mer komplicerad än i fråga om brottsutredningar.

På motsvarande sätt som i förundersökningar gäller sekretess generellt med hänsyn till skyddet för underrättelseverksamhet enligt 5 kap. 1 § andra stycket sekretesslagen. Denna underrättelsesekretess är emellertid strängare än förundersökningssekretessen enligt första stycket. För underrättelseverksamhet gäller nämligen ett omvänt skaderekvisit, som innebär att en uppgift i underrättelseverksamhet är sekretessbelagd om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

Till skydd för enskildas intressen finns det sekretessbestämmelser i 9 kap. 17 § sekretesslagen. Enligt första stycket punkten 2 gäller sekretess i åklagar-, polis- och skattemyndighets samt Tullverkets

och Kustbevakningens verksamhet i övrigt med att förebygga, uppdaga, utreda eller beivra brott. Denna bestämmelse i 9 kap. 17 § anses omfatta uppgifter i såväl brottsutredningar som i underrättelseverksamhet. Sekretess gäller dessutom enligt 9 kap. 17 § första stycket 6, 8 och 10 för uppgifter i register m.m., bl.a. underrättelseregister, som förs av Tullverket, Rikspolisstyrelsen och Riksskatteverket med stöd av de för myndigheterna gällande registerlagarna. Uppgifter som behandlas automatiserat i såväl underrättelseregister som i särskilda undersökningar omfattas alltså av sekretess enligt 9 kap. 17 §. För sekretessen i underrättelseverksamhet gäller samma omvända skaderekvisit som för uppgifter i förundersökningar.

Som vi nämner ovan är den sekretessbrytande bestämmelsen i 14 kap. 2 § fjärde stycket sekretesslagen inte tillämplig i fråga om underrättelseverksamhet, eftersom sådan verksamhet avser arbete med att förhindra och upptäcka brottslig verksamhet, dvs. när man inte direkt kan peka ut eller misstänka ett konkret brott.

Följden av detta är att sekretessbelagda uppgifter som en myndighet hanterar i sin brottsbekämpande verksamhet – vare sig det gäller förundersökningar eller underrättelseverksamhet – får lämnas ut till en annan brottsbekämpande myndighets underrättelseverksamhet på begäran endast om det finns sekretessbrytande bestämmelser i särskild lagstiftning eller efter en intresseavvägning enligt generalklausulen. Det innebär att det av sekretesskäl finns större hinder för de brottsbekämpande myndigheterna att utväxla uppgifter med varandra i underrättelseverksamhet än i verksamhet med brottsutredningar.

11.6.3. Direktåtkomst för myndigheter med polisiära arbetsuppgifter

Vårt förslag: Rikspolisstyrelsen, polismyndigheterna,

Ekobrottsmyndigheten, Rikskattverket, skattemyndigheterna och Kustbevakningen skall i den brottsbekämpande verksamheten få ha direktåtkomst till de uppgifter i tullbrottsdatabasen som Tullverket behandlar för att förhindra eller upptäcka brottslig verksamhet samt för att utreda eller beivra brott. Direktåtkomst skall inte medges till elektroniska handlingar. Direktåtkomst skall förbehållas de personer som behöver uppgifterna i sitt arbete.

Vi har vid flera tillfällen ovan påtalat vikten av ett utökat samarbete mellan de brottsbekämpande myndigheterna (se bl.a. avsnitt 9.4.2). Enligt vår uppfattning är det inte möjligt att på ett effektivt sätt bekämpa grov narkotikabrottslighet och annan organiserad brottslighet utan ett långtgående samarbete mellan de myndigheter som har polisiära befogenheter och arbetsuppgifter. Ett viktigt medel i samarbetet är utbyte av information, i såväl brottsutredningar som underrättelseverksamhet. För att kunna uppnå en hög effektivitet i informationsutbytet anser vi att det är nästan nödvändigt att utnyttja de bästa tekniska hjälpmedel som finns i dag. Särskilt stor betydelse har enligt vår uppfattning möjligheten att komma åt uppgifter hos andra myndigheter genom direktåtkomst till viktiga register och databaser.

Direktåtkomst förekommer redan i dag i viss omfattning mellan de brottsbekämpande myndigheterna. Ett exempel är Rikspolisstyrelsens belastningsregister och misstankeregister, vilka är tillgängliga för flera av de brottsbekämpande myndigheterna. Vi anser emellertid att det finns anledning att överväga om man inte bör gå betydligt längre än så.

En viktig fråga när det gäller direktåtkomst är naturligtvis integritetsaspekterna. I många register som förs av brottsbekämpande myndigheter finns stora mängder personuppgifter av känslig karaktär, vilket gör att det finns all anledning att vara restriktiv med att tillåta andra myndigheter att få åtkomst till uppgifterna. Vi är emellertid av den uppfattningen att det i kampen mot brottsligheten finns starka skäl för att tillägna sig ett helhetsperspektiv, dvs. att se brottsbekämpningen som en för flera myndigheter gemensam verksamhet. Det förhållandet att olika uppgifter inom brottsbekämpningen av organisatoriska, historiska eller andra skäl är uppdelade och ligger på skilda myndigheter, innebär inte nödvändigtvis att det uppstår större risker från integritetssynpunkt med direktuppkopplingar mellan myndigheterna än vad som skulle varit fallet om all brottsbekämpande verksamhet låg hos en och samma myndighet.

Som ett konkret exempel kan tas Ekobrottsmyndigheten. I stora delar av landet är det de regionala polismyndigheterna som själva sköter arbetet med att kartlägga och utreda ekonomisk brottslighet. Det kan enligt vår bedömning inte sättas i fråga att de särskilda enheter eller rotlar inom en polismyndighet som arbetar med ekonomisk brottslighet bör få direkt tillgång till myndighetens övriga register, under förutsättning att det behövs för

verksamheten. Det förhållandet att man för storstadsregionerna har inrättat en organisatoriskt fristående myndighet, Ekobrottsmyndigheten, som har till särskild uppgift att hantera ekonomisk brottslighet, bör enligt vår bestämda uppfattning inte medföra att de poliser som arbetar på den myndigheten får sämre förutsättningar att sköta sitt arbete än de poliser som arbetar med ekonomisk brottslighet på en regional polismyndighet. Det är i stora delar samma arbete som utförs vid myndigheterna och ändamålen med verksamheterna är också desamma; att komma åt den ekonomiska brottsligheten. Motsvarande resonemang kan teoretiskt föras om man tänker sig att vissa av Tullverkets arbetsuppgifter flyttades över till polisen. Det avgörande för vilken information tjänstemännen vid Tullverket eller polismyndigheterna har tillgång till bör inte i första hand vara hur arbetet fördelas organisatoriskt mellan myndigheterna, utan i stället vilka arbetsuppgifterna och ändamålen med verksamheten faktiskt är.

Vi menar att det finns starka skäl som talar för att möjligheterna till direktåtkomst mellan de brottsbekämpande myndigheterna bör utökas väsentligt i förhållande till vad som gäller i dag, både i fråga om uppgifter i underrättelseverksamhet och uppgifter i brottsutredningar. Mot bakgrund av detta föreslår vi att det i lag inte anges några begränsningar för myndigheter med polisiära arbetsuppgifter att genom direktåtkomst ta del av relevanta uppgifter i register som förs av Tullverket i den brottsbekämpande verksamheten. De myndigheter det gäller är Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Riksskatteverket och skattemyndigheter (skattebrottsenheterna) samt Kustbevakningen. Eventuella begränsningar eller preciseringar av omfattningen av direktåtkomst bör enligt vår uppfattning inte anges i lag, utan i stället bör regeringen ha ansvaret för sådan närmare reglering.

Vi föreslår undantag från rätten till direktåtkomst endast så vitt avser de elektroniska handlingar som Tullverket behandlar i ärendehanteringssystem m.m. En orsak till detta är att det inte är möjligt för Tullverket att i fråga om inkomna handlingar kontrollera innehållet. De måste därför i allmänhet anses som särskilt känsliga. Samtidigt kan vi inte se att det i polisiär verksamhet finns ett behov av att få direkt tillgång till handlingar som ingår i en annan myndighets ärendehantering. Integritetsaspekterna är med andra ord så starka att de i fråga om elektroniska handlingar inte uppvägs av några synbara effektivitetsskäl. Det bör dock påpekas att om en myndighet vill ha tillgång till en handling

hos Tullverket, finns det enligt våra förslag inget som hindrar att den efter begäran och sekretessprövning översänds elektroniskt från Tullverket till myndigheten (se avsnitt 11.5.2).

Som vi nämner ovan bör det vara regeringens ansvar att närmare föreskriva i vilken omfattning de i lagen angivna myndigheterna skall ha rätt till direktåtkomst. Vi föreslår att det i förordning tas in bestämmelser som innebär att de aktuella myndigheterna får ha direktåtkomst till samtliga uppgiftskategorier i tullbrottsdatabasen, dvs. inga begränsningar i förhållande till vad som kan medges enligt lagen. En mycket viktig bestämmelse i detta sammanhang är också att all direktåtkomst skall vara förbehållen de personer vid de polisiära myndigheterna som på grund av sina arbetsuppgifter behöver tillgång till de aktuella uppgifterna. På samma sätt som det redan i dag förekommer olika behörighetsnivåer m.m. inom respektive myndighet, bör även åtkomst till tullens register begränsas genom att behörighet endast ges till personer vid andra myndigheter som har ett faktiskt behov av uppgifterna. Under den förutsättningen anser vi att det inte finns skäl att ytterligare föreskriva några begränsningar av åtkomsten.

För att problem inte skall uppstå av sekretesskäl föreslår vi att det i förordningen också tas in en sekretessbrytande bestämmelse, som innebär att Tullverket på begäran är skyldig att lämna ut uppgifter och handlingar i tullbrottsdatabasen till de myndigheter som omfattas av rätten till direktåtkomst.

Informationsbehovet är naturligtvis inte så enkelriktat att det bara är polisen och andra brottsbekämpande myndigheter som behöver tillgång till uppgifter hos tullen. Tullverket har i allra högsta grad behov av uppgifter som förekommer hos polisen och de övriga myndigheterna. Vi bedömer emellertid att det inte ligger inom ramen för vårt uppdrag att nu lämna förslag på vilka åtkomstmöjligheter tullen bör ha till andra brottsbekämpande myndigheters material. Vad vi har att ta ställning till är därför endast vilken åtkomst övriga myndigheter bör få ha till tullens register och databaser. Det skulle emellertid vara värdefullt om dessa mer övergripande frågor sågs över i ett sammanhang. På det sättet skulle man få en samlad bild av vilka behov som finns hos samtliga inblandade myndigheter samtidigt som en för de brottsbekämpande myndigheterna mer enhetlig lagstiftning skulle kunna tillskapas på personuppgiftsområdet. Vi anser därför att en övergripande och samlad översyn bör göras av informationsutbytet mellan de brottsbekämpande myndigheterna, såväl i fråga om

sekretessbestämmelser som regler om direktåtkomst m.m. inom ramen för lagstiftning om behandling av personuppgifter.

11.6.4. Direktåtkomst för åklagarmyndigheter

Vårt förslag: Riksåklagaren, åklagarmyndigheterna och

Ekobrottsmyndigheten skall få ha direktåtkomst till de uppgifter och elektroniska handlingar som Tullverket behandlar i tullbrottsdatabasen för att utreda och beivra brott och som förekommer i en förundersökning under ledning av en åklagare. Direktåtkomst skall förbehållas de personer som behöver uppgifterna och handlingarna i sitt arbete.

De frågor om samarbete mellan brottsbekämpande myndigheter med polisiära arbetsuppgifter som vi diskuterar i föregående avsnitt avseende underrättelseverksamhet och brottsutredningar, har självfallet stor bäring även i fråga om åklagarmyndigheternas brottsutredande arbetsuppgifter. Utbyte av information är ett viktigt medel i samarbetet och för att kunna uppnå en hög effektivitet i informationsutbytet anser vi att de bästa tekniska hjälpmedel som finns i dag måste få utnyttjas. Av särskilt stor betydelse är möjligheten att komma åt uppgifter hos andra myndigheter genom direktåtkomst till viktiga register och databaser.

I brottsutredningar, och då främst förundersökningar, som initieras av Tullverket är ofta andra myndigheter inblandade. I de flesta fall som inte rör ringa brottslighet är det åklagare från åklagarmyndigheterna eller Ekobrottsmyndigheten som agerar förundersökningsledare. Samarbete kan emellertid förekomma även med Riksåklagaren. För att dessa myndigheter skall kunna fullgöra sina arbetsledande uppgifter även när allt mer information i förundersökningar börjar behandlas elektroniskt i register och ärendehanteringssystem hos Tullverket, måste de enligt vår uppfattning ha direktåtkomst till den relevanta informationen. Däremot kan vi inte se något större behov för åklagarmyndigheter – som inte själva bedriver underrättelseverksamhet eller på annat sätt arbetar med att upptäcka och förhindra brottslig verksamhet – att få tillgång till uppgifter i Tullverkets underrättelseregister och andra system som inte primärt används för brottsutredande ändamål.

I ett avseende har åklagarmyndigheter ett behov av uppgifter hos Tullverket som inte motsvaras av något liknande behov hos de polisiära myndigheterna. Vi redovisar i föregående avsnitt vår uppfattning att dessa senare myndigheter inte bör få tillgång till elektroniska handlingar i ärenden hos Tullverket, eftersom det inte finns några påtagliga effektivitetsvinster att göra som kan uppväga de integritetsrisker som skulle uppstå. För åklagarmyndigheter är situationen annorlunda. I förundersökningar och andra brottsutredningsärenden kan det förväntas att allt fler handlingar inom en snar framtid kommer att hanteras elektroniskt i form av text, bild eller ljud. För att personal vid åklagarmyndigheterna skall kunna fullgöra sina uppgifter som förundersökningsledare måste den enligt vår mening ha tillgång även till de elektroniska handlingarna i aktuella ärenden.

Vi föreslår därför att Riksåklagaren, åklagarmyndigheterna och Ekobrottsmyndigheten genom föreskrift i lag skall ges rätt att få ha direktåtkomst till både de uppgifter och de elektroniska handlingar som Tullverket behandlar för att utreda och beivra brott.

Vi anser emellertid att det bör vara regeringens ansvar att närmare föreskriva om i vilken omfattning åklagarmyndigheterna skall ha rätt till direktåtkomst. Vi föreslår att det i förordning tas in en bestämmelse som innebär att åklagarmyndigheterna får ha direktåtkomst till de uppgifter och handlingar i tullbrottsdatabasen som förekommer i en förundersökning under ledning av en åklagare. Detta innebär en begränsning av åtkomsten till att endast avse material som hör till en aktuell brottsutredning. En mycket viktig bestämmelse är också att all direktåtkomst skall vara förbehållen de personer vid åklagarmyndigheterna som på grund av sina arbetsuppgifter behöver tillgång till de aktuella uppgifterna. Det betyder att det bara är den åklagare som är förundersökningsledare i ett visst ärende som, tillsammans med övrig personal som arbetar med ärendet, kan få direktåtkomst till de elektroniska handlingarna och övriga uppgifter i just det ärendet. Under den förutsättningen anser vi att det inte finns skäl att ytterligare föreskriva några begränsningar av åtkomsten.

För att problem inte skall uppstå av sekretesskäl föreslår vi att det i förordningen också tas in en sekretessbrytande bestämmelse, som innebär att Tullverket är skyldigt att till åklagarmyndigheterna på begäran lämna ut uppgifter och handlingar i tullbrottsdatabasen.

11.6.5. Direktåtkomst i internationella förhållanden

Vårt förslag: En utländsk myndighet skall få ha direktåtkomst till uppgifter i tullbrottsdatabasen om regeringen har meddelat föreskrifter om det eller om det är nödvändigt för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete.

Som vi nämner ovan i bl.a. avsnitt 11.4.4 ingår ett omfattande internationellt samarbete i Tullverkets brottsbekämpande verksamhet. Möjligheterna att bedriva det internationella arbetet bör inte begränsas i onödan genom bestämmelser i en lag om behandling av personuppgifter. Samtidigt finns det i fråga om direktåtkomst särskilt starka integritetsskäl för att inte tillåta att uppgifter lämnas ut på sådant sätt utan att det finns starka skäl för det. Ett problem med det internationella arbetet är emellertid svårigheterna med att förutse vilka skyldigheter Tullverket kan anses ha i fråga om t.ex. informationsutbyte. Det är därför i det närmaste omöjligt att i den av oss föreslagna lagen konkret ange under vilka förutsättningar uppgifter och handlingar skall få lämnas ut genom direktåtkomst.

På samma sätt som vi i avsnitt 11.5.2 föreslår för annat elektroniskt utlämnande anser vi att det är lämpligt att låta lagen (2000:1219) om internationellt tullsamarbete ligga till grund för under vilka förutsättningar Tullverket skall få lämna ut uppgifter genom direktåtkomst i internationella sammanhang. Genom den nämnda lagen har nämligen riksdagen angett vilka skyldigheter Tullverket har gentemot andra länder, bl.a. i fråga om informationsutbyte. Till skillnad från vad vi föreslår skall gälla för annat elektroniskt utlämnande bör det dock, för att direktåtkomst skall komma i fråga, vara nödvändigt för att Tullverket skall kunna fullgöra Sveriges internationella åtaganden. Utöver detta bör regeringen ha möjlighet att i förordning uttryckligen ge Tullverket rätt att i särskilt angivna fall lämna ut uppgifter till utländska myndigheter genom direktåtkomst.

11.6.6. Sekretessbrytande bestämmelser för att möjliggöra direktåtkomst

Vårt förslag: De brottsbekämpande myndigheter som får ha direktåtkomst till tullbrottsdatabasen skall ha rätt att på begäran få ut uppgifter och handlingar i databasen.

Vi lämnar i detta betänkande förslag på nödvändiga sekretessbrytande bestämmelser för utlämnande av uppgifter från Tullverket i den kompletterande förordningen. Det innebär att i de fall vi föreslår att det i lag anges att någon får ha direktåtkomst till vissa uppgifter i tullbrottsdatabasen, så föreslår vi i förordning en uppgiftsskyldighet, dvs. att de aktuella uppgifterna skall lämnas ut till den mottagande myndigheten. Förslaget grundar sig på de resonemang vi för i tidigare avsnitt under 11.6.3 och 4, nämligen om det stora behovet av ett utökat samarbete mellan de brottsbekämpande myndigheterna. Sekretessgränserna bör alltså enligt vår mening i praktiken finnas runt själva den brottsbekämpande verksamheten, oavsett vilken myndighet som utför arbetet. Mellan dessa myndigheter bör så få hinder som möjligt finnas att utbyta uppgifter med varandra.

11.7. Sökbegränsningar i databasen

11.7.1. Begränsningar vid sökning efter uppgifter i tullbrottsdatabasen

Vårt förslag: Vid sökning efter uppgifter i tullbrottsdatabasen skall känsliga personuppgifter inte få användas som sökbegrepp om det inte är oundgängligen nödvändigt.

Vid sidan av innehållet i och åtkomsten till register och databaser, är frågan om på vilket sätt uppgifter kan sammanställas en av de viktigare från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Den metod som i dag främst används för att förhindra att det görs oönskade sammanställningar, är begränsningar av sökmöjligheterna.

Det är framför allt i ett avseende som vi anser att det av integritetsskäl finns anledning att ha rättsliga begränsningar för vilka uppgifter som skall få användas vid sökning efter uppgifter i tullbrottsdatabasen (för elektroniska handlingar redovisar vi särskilda överväganden nedan). Det gäller känsliga personuppgifter, som enligt vårt lagförslag får registreras endast om det är oundgängligen nödvändigt och om andra uppgifter om den aktuella personen redan behandlas på annan grund. Känsliga personuppgifter får alltså behandlas endast som ett komplement till de andra uppgifter som är skälet till att personen i fråga förekommer i databasen (se avsnitt 11.4.1). Enligt vår mening bör det då inte vara möjligt att fritt söka efter information om känsliga personuppgifter i tullbrottsdatabasen om det inte är oundgängligen nödvändigt för syftet med behandlingen. En uppgift om t.ex. etnisk härkomst får alltså användas som sökbegrepp bara under den förutsättningen att det är absolut nödvändigt för att få fram den information som behövs vid t.ex. ett ingripande vid en gränskontroll.

11.7.2. Begränsningar vid sökning efter elektroniska handlingar i tullbrottsdatabasen

Vårt förslag: Vid sökning efter elektroniska handlingar i tullbrottsdatabasen skall endast följande uppgifter få användas som sökbegrepp: – namn samt person- eller samordningsnummer, – datum då handlingen kom in eller upprättades, – diarienummer eller annan beteckning som har åsatts handlingen, – från vem handlingen har kommit in eller till vem den har expedierats, – i korthet vad handlingen rör.

Som vi redovisar i avsnitt 11.3.2 anser vi att behandlingen av personuppgifter i elektroniska ärendehanteringssystem kan innebära risker för otillbörliga intrång i den personliga integriteten. Vi menar därför att det är nödvändigt att ställa upp vissa särskilda regler för hanteringen av elektroniska handlingar. Det bör enligt vår uppfattning inte vara möjligt att med hjälp av helt fri sökning

göra sammanställningar av uppgifter i elektroniska handlingar i ett ärendehanteringssystem. Beroende på de tekniska förutsättningarna skulle en sådan möjlighet kunna innebära att sammanställningar kan göras av samtliga förundersökningsärenden där den misstänkte har en viss nationalitet. Något påtagligt behov av att helt fritt kunna göra sammanställningar av den karaktären finns inte och bör enligt vår mening av integritetsskäl inte heller tillåtas. Därför bör det sättas upp begränsningar för sökmöjligheterna i ärendehanteringssystem.

För att ärendehanteringen skall kunna skötas på ett effektivt sätt är det dock nödvändigt att handläggare ges möjlighet att söka efter såväl ett ärende som enskilda handlingar, t.ex. med angivande av namn på den ärendet rör, ärendebeteckning eller beteckning på en specifik handling. Däremot anser vi att integritetsskälen väger tyngre än effektivitetsskälen när det gäller mer sofistikerade eller exakta sökmöjligheter. Vid sökning efter en handling i databasen bör därför enligt vår uppfattning endast namn och person- eller samordningsnummer samt de uppgifter som enligt 15 kap. 2 § första stycket 1–4 sekretesslagen skall anges i ett diarium, få användas som sökbegrepp. Det gäller uppgifter om datum då en handling kom in eller upprättades, diarienummer eller annan beteckning som har åsatts en handling, i förekommande fall från vem en handling har kommit in eller till vem den har expedierats samt i korthet vad handlingen rör. Med en sådan begränsning kan det inte komma i fråga att möjliggöra sökning på olika känsliga uppgifter eller kombinationer av uppgifter för att hitta en viss handling.

Däremot finns det enligt vår bedömning skäl att se annorlunda på frågan när en handling väl är identifierad och direkt tillgänglig för en handläggare. Att i den situationen inte tillåta de sökmöjligheter som redan i dag ges i ordbehandlingsprogram, t.ex. för att finna ett speciellt textavsnitt i längre dokument, framstår inte som befogat. Det är av effektivitetsskäl inte rimligt att en handläggare, när han eller hon arbetar med en omfattande elektronisk handling i ett ärende, skall lägga ner tid på att på egen hand söka sig fram till ett önskat textavsnitt, i stället för att genom ett enkelt sökkommando låta datorsystemet utföra det arbetet. Några faror från integritetssynpunkt med att tillåta ett sådant förfarande föreligger knappast. De uppställda sökbegränsningarna bör därför gälla vid sökning efter elektroniska handlingar, men inte i handlingarna när de väl har identifierats.

Till elektroniska akter kan det höra ett indexregister, dvs. ett dagboksblad eller motsvarande handling, av vilket det framgår vilka handlingar som finns i en akt. Om ett sådant indexregister är en integrerad del av ett ärendehanteringssystem, och således en del av den elektroniska akt som dagboksbladet e.d. avser, kan indexregistret enligt våra förslag omfattas av samma regler som övriga elektroniska handlingar i akten. Under förutsättning att ett indexregister inte innehåller uppgifter som endast får förekomma i elektroniska handlingar som hör till ett ärende, föreligger dock inga hinder från integritetssynpunkt mot att uppgifterna även behandlas som enskilda uppgifter i den informationsbaserade delen av en databas. Ett sådant förfarande innebär att indexregistret kan göras tillgängligt utan att den elektroniska akten öppnas och registret kommer då inte att omfattas av de begränsningar i sökmöjligheter som gäller för övriga handlingar i akten. Det innebär även att uppgifter i indexregistret kan göras åtkomliga genom direktåtkomst för andra brottsbekämpande myndigheter, utan de särskilda begränsningar för sådan åtkomst som vi föreslår skall gälla för elektroniska handlingar (se avsnitt 11.6.3–5).

11.7.3. Sökning efter uppgifter och handlingar hos en arkivmyndighet

Vårt förslag: Uppgifter och handlingar som har överlämnats till en arkivmyndighet skall efter viss tid få eftersökas utan begränsningar i fråga om sökbegrepp.

De begränsningar som vi föreslår skall gälla vid sökning efter uppgifter och handlingar i tullbrottsdatabasen, är helt föranledda av de integritetsrisker som fri sökning i ett omfattande elektroniskt material kan medföra. Av naturliga skäl avtar dessa risker med tiden och det kan därför finnas anledning att överväga om inte begränsningarna bör kunna hävas efter att uppgifter och handlingar, som inte gallrats, har överlämnats till en arkivmyndighet. Vinsten med detta skulle vara att det då ges utökade möjligheter att utnyttja äldre, och därför mindre känsligt, elektroniskt lagrat material för t.ex. historisk forskning vid Riksarkivet och landsarkiven. Vi kan inte se några hinder för en sådan ordning, under förutsättning att det slås fast en rimlig tidsgräns för när begränsningarna vid sökning skall förändras i mildrande riktning eller helt upphöra. Därför

föreslår vi att regeringen i lag ges möjligheter att föreskriva att fler sökbegrepp skall få vara tillåtna efter att uppgifter eller handlingar har överlämnats till en arkivmyndighet. Vi föreslår också att det i förordning anges att uppgifter och handlingar som förvaras vid en arkivmyndighet skall kunna eftersökas fritt utan begränsningar, när det ärende till vilket uppgifterna och handlingarna hör har varit avslutat i minst tjugofem år. Efter den tiden föreligger det sannolikt inte några tungt vägande integritetsskäl mot att begränsningarna i fråga om sökning tas bort.

11.8. Bevarande och gallring

11.8.1. Allmänt om bevarande och gallring

Vi konstaterar tidigare att det uppstår integritetsproblem när stora mängder uppgifter om enskilda personer samlas hos myndigheter, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information kan göras på ett enkelt sätt (se avsnitt 10.2). En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet inte finns kvar i myndighetens databaser eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet.

Vid utformningen av gallringsbestämmelser måste det dock hållas i minnet att offentlighetsprincipen, för att den inte skall bli verkningslös, ställer krav på att vissa uppgifter bevaras för framtiden. Uppgifter får i princip aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre huvudändamålen med arkivverksamheten. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättsskipningens och förvaltningens behov samt forskningens behov. Det går alltså inte att bara ange att samtliga uppgifter skall gallras när de inte behövs för verksamheten. Tvärtom behövs en avvägning mellan integritets- och offentlighetsintresset. Detta är viktigt inte minst i en tid då mängder av uppgifter finns endast i elektronisk form. En fullständig gallring av samtliga uppgifter i ett dataregister kan omöjliggöra en senare rekonstruktion av händelseförlopp. Integritetsintresset tjänas inte alltid bäst av att så många uppgifter som möjligt gallras. I vissa fall har bevarandet av känsliga uppgifter visat sig vara till stor

fördel för enskilda. Som exempel kan nämnas den för ett tag sedan högaktuella frågan om ersättning till tvångssteriliserade. Ett stort antal personer har efter många år nu fått upprättelse för tidigare allvarliga integritetskränkningar, just på grund av att de känsliga uppgifterna inte har förstörts, utan i stället bevarats och därigenom kunnat utgöra underlag för att rekonstruera historiska händelseförlopp.

Alternativa metoder för reglering av bevarande och gallring

Grundläggande bestämmelser om bevarande och gallring av uppgifter hos myndigheter finns i 2 kap. tryckfrihetsförordningen och arkivlagen (1990:782). Hur länge personuppgifter får bevaras regleras dessutom allmänt i personuppgiftslagen som ett grundläggande krav på behandling av personuppgifter. I 9 § första stycket

i) personuppgiftslagen anges att den personuppgiftsansvarige skall se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. I fråga om personuppgifter som behandlas i myndighetsverksamhet tillämpas i första hand bestämmelserna i arkivlagen. I de registerförfattningar som i dag gäller för statlig verksamhet finns regelmässigt även särskilda gallringsbestämmelser för uppgifter som behandlas automatiserat. Enligt vår bedömning finns det behov av klara och enkla regler om gallring i de lagar som skall reglera behandling av personuppgifter i myndighetsverksamhet. Hur dessa bestämmelser bör utformas kan bero på sådana omständigheter som omfattningen av och integritetskänsligheten hos de registrerade uppgifterna.

Vi har för vår del övervägt två alternativ till hur gallrings- och bevarandefrågor kan regleras i speciallagstiftning för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, nämligen – att inte ha några särbestämmelser över huvud taget, vilket innebär att arkivlagens regler gäller fullt ut, eller – att i lag ange att samtliga uppgifter skall gallras och när det skall göras, men ge regeringen eller Riksarkivet möjlighet att besluta om undantag.

Det första alternativet dominerar helt när det gäller traditionella pappersbaserade uppgifter i allmänna handlingar. Det finns starka skäl som talar för att samma förfarande bör gälla som huvudregel

även i fråga om uppgifter som behandlas automatiserat, inte minst eftersom det blir allt vanligare att elektronisk information helt ersätter vanlig pappersbaserad information. Enligt vår bedömning kommer det i förlängningen inte att vara möjligt att som i dag ha principiellt skilda bevarande- och gallringsregler för uppgifter på papper respektive digitala uppgifter.

För integritetskänsliga uppgifter och handlingar, vilket det generellt är fråga om i brottsbekämpande verksamhet, är det enligt vår bedömning emellertid tveksamt om det är lämpligt att nu tillämpa det för pappersbaserade uppgifter normala alternativet som huvudregel i fråga om automatiserad behandling. Vi anser dock att det bör göras vad gäller information i förundersökningar (se avsnitt 11.8.4). Att generellt tillämpa den metoden skulle innebära att lagstiftaren inte hade någon direkt kontroll över gallringsförfarandet för de aktuella uppgifterna, utan de generella och allmänna bestämmelserna i arkivlagen skulle gälla fullt ut. Tekniken har i och för sig använts i annan lagstiftning som rör känsliga uppgifter, men det har då funnits särskilda skäl för det. I lagen (1998:543) om hälsodataregister saknas bestämmelser om gallring, vilket innebär att arkivlagens bestämmelser blir tillämpliga. Regeringen konstaterade i förarbetena att en alltför omfattande gallring kunde leda till att det inte finns tillräckligt med material för t.ex. epidemiologiska undersökningar, medan en alltför begränsad gallring kunde leda till att känsliga uppgifter om enskilda sparas i onödan. På grund av svårigheterna med att i lagform reglera flera olika register som förändras över tiden avseende innehåll m.m., valde regeringen att låta arkivlagens bestämmelser gälla (prop. 1997/98:108 s. 59 f.).

Det andra alternativet är det vanligaste i nya registerförfattningar och metoden utgår från att det i lag ställs upp huvudregler för när gallring skall ske. Regeringen eller Riksarkivet kan sedan besluta eller meddela föreskrifter om att uppgifter skall bevaras. Detta innebär en fördel från författningssynpunkt, eftersom särskild reglering behöver göras endast när det finns skäl för det. En ytterligare fördel med en sådan metod är att det direkt i lagtexten finns en ”säkerhetsventil” mot att stora uppgiftssamlingar med känsliga uppgifter bevaras, trots att de inte har något faktiskt värde för verksamheten, men på grund av sin omfattning kan vara skadliga från integritetssynpunkt. Det bör dock noteras att eftersom vårt förslag – utom vad avser material i förundersökningar – i princip innebär att allt skall gallras om inte Riksarkivet utfärdar

föreskrifter om undantag, så ställs det krav på att Riksarkivet efter hand tar ställning till hur nya typer av uppgifter skall hanteras. Uppgifter och handlingar kan annars komma att gallras helt, vilket innebär att inte något material bevaras för framtiden.

11.8.2. Gallring av uppgifter och handlingar i databasen

Vårt förslag: Uppgifter i tullbrottsdatabasen skall gallras vid olika tidpunkter, beroende på för vilka ändamål uppgifterna behandlas. Uppgifter som behandlas för att – förhindra eller upptäcka brottslig verksamhet skall gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes av en uppgift om att en person kan antas ha samband med misstänkt brottslig verksamhet, – utreda eller beivra brott utan att en förundersökning har inletts skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades, – fullgöra internationella åtaganden skall gallras när uppgifterna inte längre behövs för sitt ändamål.

Elektroniska handlingar i tullbrottsdatabasen skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades.

Regeringen eller den myndighet regeringen bestämmer skall få meddela föreskrifter om att uppgifter och handlingar får gallras vid en annan tidpunkt eller bevaras.

Den reglering som vi föreslår om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innebär att ett stort antal mycket integritetskänsliga uppgifter och handlingar kommer att samlas i tullbrottsdatabasen. Vi anser därför att det i fråga om gallring och bevarande av informationen i databasen är lämpligt att i lag ange huvudregler för när gallring skall ske, men samtidigt ge regeringen eller den myndighet som regeringen bestämmer, dvs. Riksarkivet, möjligheter att föreskriva om undantag när det anses motiverat (jfr avsnitt 11.8.1). En sådan lagstiftningsteknik gör det möjligt att ta hänsyn till såväl offentlighets- som integritetsintressena, utan att det samtidigt kräver en mer omfattande eller tillkrånglad författningsreglering. Det är emellertid enligt vår

uppfattning inte möjligt att bestämma en enhetlig och rimlig gallringstidpunkt för samtliga uppgifter och handlingar som behandlas i tullbrottsdatabasen.

Gallringstider för uppgifter i databasen

När det gäller uppgifter och handlingar som behandlas för ändamålet förhindra eller upptäcka brottslig verksamhet, har vi som utgångspunkt haft den gallringstidpunkt som i dag gäller för Tullverkets underrättelseregister. När inga nya uppgifter om en person som förekommer i sådan verksamhet inom Tullverket har registrerats under tre år efter att den senaste registreringen gjordes, saknas det normalt anledning att bevara uppgifterna. Om befintliga uppgifter avseende en viss person under denna treårsperiod däremot kompletteras med nya uppgifter, är det ofta av stort värde att även bevara de äldre uppgifterna. Vi föreslår därför att sådana uppgifter om en person som behandlas för att Tullverket skall kunna upptäcka eller förhindra brottslig verksamhet, skall gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes av en uppgift om att en person kan antas ha samband med misstänkt brottslig verksamhet.

Uppgifter som behandlas i ett ärende på den grunden att Tullverket utreder eller beivrar brott kan delas in i två huvudkategorier. Det är dels uppgifter i förundersökningar, dels uppgifter i s.k. förenklade förfaranden när ett brott kan beivras utan förundersökning. När brott beivras utan att förundersökning inleds, dvs. i samtliga de fall då ordningsbot eller strafföreläggande utfärdas, saknas det i normalfallet anledning att bevara uppgifter under längre tid än ett år efter att ärendet är avslutat. Vi föreslår därför som huvudregel att alla uppgifter som behandlas för ändamålet brottsutredningar skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades.

När det gäller uppgifter och handlingar i förundersökningar bör materialet få bevaras i enlighet med arkivlagens bestämmelser. Material i sådana ärenden kan behöva användas i andra brottsutredningar eller i anledning av resningsansökningar m.m. långt mer än ett år efter att ärendet är avslutat. I nedlagda förundersökningar eller åtal eller i ärenden där den misstänkte genom en lagakraftvunnen dom har frikänts, finns det emellertid av integritetsskäl anledning att ha begränsande bestämmelser för hur

uppgifterna får behandlas. Om sådant förundersökningsmaterial lagras under lång tid utan begränsningar i hur det får användas, kan det nämligen ”växa fram” särskilda misstankeregister hos Tullverket, vilket enligt vår uppfattning inte är acceptabelt. Vi anser att det är lämpligt att de särskilda behov som rör förundersökningar tillgodoses genom att det i förordning föreskrivs dels uttryckliga undantag från huvudregeln om gallring av uppgifter i brottsutredningar, dels särskilda integritetsskyddande bestämmelser avseende uppgifter i nedlagda förundersökningar och åtal (se avsnitt 11.8.4).

Tullverket behandlar också uppgifter för att Sverige skall kunna fullgöra sina internationella åtaganden. I princip är det omöjligt att i förväg bedöma hur länge sådana uppgifter måste finnas tillgängliga, eftersom det kan vara beroende av internationella överenskommelser eller EG-rätt m.m. Vi föreslår därför att sådana uppgifter skall gallras när de inte längre behövs för sitt ändamål, dvs. den huvudregel som gäller enligt personuppgiftslagen för uppgifter som inte utgör allmänna handlingar.

Gallringstider för elektroniska handlingar

Elektroniska handlingar i ärenden i Tullverkets brottsbekämpande verksamhet kan enligt vår bedömning, som huvudregel, gallras senast ett år efter utgången av det kalenderår då ärendet avslutades. På motsvarande sätt som för uppgifter skall dock handlingar i förundersökningar bevaras enligt arkivlagens regler (se avsnitt 11.8.4).

11.8.3. Gallring av uppgifter som behandlas på annat sätt än i databasen

Vårt förslag: Uppgifter som behandlas automatiserat i ett annat ärende än en förundersökning skall rensas eller gallras senast ett år efter det att ärendet avslutades. Uppgifter som inte kan hänföras till ett särskilt ärende skall i stället rensas eller gallras senast ett år efter att de behandlades automatiserat första gången. Regeringen eller den myndighet regeringen bestämmer skall få meddela föreskrifter om att uppgifter som behandlas automatiserat får bevaras.

Uppgifter i manuella register skall gallras i enlighet med bestämmelserna i arkivlagen ( 1990:782).

Uppgifter som behandlas automatiserat

Enligt vår uppfattning behövs särskilda gallringsbestämmelser i Tullverkets brottsbekämpande verksamhet inte bara i fråga om uppgifter och handlingar som behandlas i tullbrottsdatabasen. Även sådan automatiserad behandling av personuppgifter som enligt vårt förslag inte utförs inom ramen för tullbrottsdatabasen kan vara mycket integritetskänslig. Det gäller inte minst den information som behandlas inom särskilda projekt i underrättelseverksamheten.

Med den moderna teknik som används i den brottsbekämpande verksamheten i dag, kan stora mängder uppgifter lätt lagras elektroniskt även på annat sätt än i ett särskilt reglerat register eller en databas. En stor del av det skriftliga material som produceras av Tullverket utarbetas numera i datorer med hjälp av ordbehandlingsprogram. Även i de fall då slutprodukten skrivs ut på papper och tillfogas akten i ett ärende, sparas informationen vanligtvis under viss tid genom att lagras elektroniskt. På detta sätt kan det på ganska kort tid växa fram omfattande informationsmängder hos en myndighet, information som dessutom ofta är lätt tillgänglig genom olika typer av sökprogram.

Vi bedömer att det i allmänhet saknas starka skäl för att Tullverket på elektronisk väg skall tillåtas bevara sådan information, utan att några åtgärder vidtas. Vi föreslår därför generellt att uppgifter som är föremål för automatiserad behandling i ett ärende – utan att behandlingen görs i tullbrottsdatabasen – skall gallras senast ett år efter att ärendet har avslutats. I de fall uppgifter inte kan hänföras till ett särskilt ärende skall de i stället gallras senast ett år efter att de behandlades automatiserat första gången.

På motsvarande sätt som för behandling i databasen bör särskilda bestämmelser gälla för uppgifter i förundersökningar. Sådana uppgifter bör bevaras i enlighet med arkivlagens regler (se avsnitt 11.8.4).

Om uppgifter som behandlas inte utgör allmänna handlingar skall de i stället definitionsmässigt rensas. Det som avgör om uppgifter skall gallras eller rensas följer med andra ord av bestäm-

melserna om allmänna handlingar i 2 kap. tryckfrihetsförordningen.

Bestämmelsen om gallring innebär att information inte får lagras under längre tid än ett år utan att på ett konkret sätt användas i verksamheten. Det skall med andra ord inte vara tillåtet att under lång tid i elektronisk form lagra information som kan vara ”bra att ha” i framtiden. Om däremot åtgärder vidtas inom ett år genom att informationen tillförs ett annat, pågående, ärende eller om ett nytt ärende öppnas med anledning av informationen, får den dock bevaras även efter ettårsfristen som en del av det nya ärendet. Detsamma blir fallet om uppgifterna registreras i tullbrottsdatabasen enligt de särskilda bestämmelserna som gäller för den.

Att uppgifterna skall gallras innebär att de kan föras över på papper, varefter den elektroniska informationen raderas. De uppgifter som finns kvar endast på papper omfattas då inte längre av den ettåriga gallringstiden som vi föreslår skall gälla för automatiserad behandling av uppgifter, utan av de allmänna bestämmelserna i arkivlagen. En promemoria som har upprättats av en tjänsteman och som denne vill spara under längre tid än ett år får alltså tryckas ut på papper.

Det kan finnas anledning att för vissa uppgifter tillämpa en annan tidpunkt för gallring. Vissa känsliga uppgifter kan det av integritetsskäl vara lämpligt att gallra vid en tidigare tidpunkt, medan andra mindre känsliga uppgifter kan behöva lagras under en längre tid för att inte onödiga effektivitetsförluster skall uppstå i verksamheten. Det bör enligt vår uppfattning åligga regeringen eller Riksarkivet att meddela föreskrifter om undantag från den annars gällande ettårsregeln.

Uppgifter i manuella register

För personuppgifter som behandlas manuellt och som omfattas av den föreslagna lagstiftningen, dvs. manuella strukturerade register, anser vi att de allmänna bestämmelserna i arkivlagen är tillräckliga för att säkerställa ett gott integritetsskydd. Det finns enligt vår uppfattning ingen anledning att göra åtskillnad mellan sådan manuell behandling och annan behandling av uppgifter på papper (jfr avsnitt 11.8.1).

11.8.4. Särskilt om bevarande och gallring av uppgifter och handlingar i förundersökningar och om behandling av kvarstående misstankar

Vårt förslag: Uppgifter och handlingar i förundersökningar skall bevaras och gallras i enlighet med arkivlagens regler.

Uppgifter och handlingar i ärenden om prövning av om förundersökning skall inledas, skall få behandlas även efter den i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet angivna gallringstidpunkten. Uppgifterna och handlingarna skall dock få bevaras längst till utgången av det kalenderår då påföljd inte längre kan ådömas för de brott som omfattades av ärendet om prövning av om förundersökning skall inledas. Om en förundersökning har lagts ned på grund av bristande bevisning skall uppgifter och handlingar i förundersökningen få behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt eller om uppgifterna och handlingarna behövs i en ny förundersökning. Om ett åtal har lagts ned eller om den misstänkte genom en lagakraftvunnen dom har frikänts skall uppgifter och handlingar i förundersökningen få behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt, om uppgifterna och handlingarna behövs i en ny förundersökning eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.

I dag får uppgifter i en förundersökning bevaras i enlighet med arkivlagens bestämmelser, dvs. det finns inga särskilda gallringsbestämmelser för sådana uppgifter i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Det innebär att för uppgifter och handlingar i förundersökningar gäller samma regler oavsett om behandlingen sker på papper eller om den sker automatiserat. En anledning till att uppgifter i förundersökningar kan behöva behandlas även efter att ärendena har avslutats är att uppgifterna i ett senare skede, ofta tillsammans med ny information, kan läggas till grund för att på nytt ta upp en nedlagd förundersökning eller för att inleda en ny förundersökning. I sällsynta fall kan det också bli aktuellt att begära ny domstolsprövning genom en resningsansökan. Vi ser inga skäl att föreslå andra bestämmelser om bevarande och gallring av material i

förundersökningar än de som gäller i dag. Det innebär att uppgifter och handlingar i förundersökningar skall bevaras i enlighet med arkivlagens regler, oavsett om behandlingen utförs i tullbrottsdatabasen eller på annat sätt. Det kan noteras att motsvarande regler enligt polisdatalagen gäller för bevarande av material i förundersökningar hos polisen och att Polisdatautredningen inte föreslår någon förändring i den delen (se SOU 2001:92).

Enligt vår uppfattning kan det finnas anledning att också bevara uppgifter och handlingar i ärenden om prövning av om förundersökning skall inledas, s.k. primärutredningar, under längre tid än ett år. Uppgifter i sådana ärenden kan, då de inte leder till att en förundersökning inleds, behövas i ett senare skede då de tillsammans med ny information kan ligga till grund för att inleda en förundersökning. Enligt vår uppfattning bör det i förordning föreskrivas särskilda undantag från den huvudregel om gallring som vi föreslår skall anges i lag. Den enda tidpunkt efter vilken uppgifterna inte längre behövs och som klart kan pekas ut, är när det brott som primärutredningen avsåg har preskriberats, dvs. då någon påföljd inte längre kan ådömas för brottet. Vi föreslår därför att det i förordning tas in en bestämmelse om att uppgifter och handlingar i ärenden om prövning av om förundersökning skall inledas, får behandlas även efter den i lag angivna gallringstidpunkten. Uppgifterna och handlingarna får dock bevaras längst till utgången av det kalenderår då påföljd inte längre kan ådömas för de brott som omfattades av ärendet om prövning av om förundersökning skall inledas.

I lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet finns i dag särskilda bestämmelser om behandling av uppgifter om kvarstående misstankar. Bestämmelserna innebär att uppgifter i nedlagda förundersökningar eller åtal eller i ärenden då den misstänkte har frikänts genom en lagakraftvunnen dom, får sparas på samma sätt som information i andra förundersökningar, men endast under vissa förutsättningar behandlas efter nedläggningsbeslutet.

Ofta kan uppgifter i förundersökningar vara av mycket integritetskänslig karaktär, särskilt när det finns kvarstående misstankar mot de personer som berörs. Det finns därför anledning att omgärda uppgifterna och handlingarna i nedlagda förundersökningar m.m. med särskilda skyddsregler. Det är enligt vår uppfattning mycket viktigt att uppgifter om personer som har figurerat i en förundersökning – eller ett åtal – som har lagts ned,

inte används som ett allmänt misstankeregister vid sidan av det som förs av Rikspolisstyrelsen. Under förutsättning att det inte framkommer särskilda skäl för det, bör uppgifterna och handlingarna inte få användas i verksamheten. Informationen bör så att säga ligga i träda till dess att det framkommer skäl för att på nytt ta upp frågan om ansvar för de brott som förundersökningen omfattade.

När det gäller förundersökningar som lagts ned på grund av bristande bevisning föreslår vi därför att uppgifter och handlingar i förundersökningarna får behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt eller om uppgifterna och handlingarna behövs i en ny förundersökning.

På motsvarande sätt förslår vi för det fall att ett åtal har lagts ned eller att en misstänkt har frikänts genom en lagakraftvunnen dom, att uppgifter och handlingar i förundersökningen får behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt, om uppgifterna och handlingarna behövs i en ny förundersökning eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.

11.9. Enskildas rättigheter

Till skillnad från många bestämmelser i den lag vi föreslår, t.ex. de som avser tullbrottsdatabasen, är de särskilda bestämmelser om enskildas rättigheter som redovisas i detta avsnitt och som i den föreslagna lagen återfinns i kapitel 3 endast tillämpliga på behandling av personuppgifter. Det är med andra ord endast fysiska personer (jfr 3 § personuppgiftslagen) som kan kräva information om utförd behandling eller rättelse av felaktiga uppgifter, som kan överklaga Tullverkets beslut i sådana frågor och som med stöd av den lagstiftning vi föreslår kan kräva skadestånd av verket.

11.9.1. Information

Vårt förslag:Personuppgiftslagens bestämmelser om information som skall lämnas självmant till den registrerade när uppgifter har samlats in från honom eller henne själv och om information som skall lämnas efter ansökan av den registrerade, skall i huvudsak tillämpas vid behandling av personuppgifter vid

Tullverket. Information om elektroniska handlingar i ett ärende, som behandlas i tullbrottsdatabasen och som den enskilde har tagit del av, skall inte behöva omfatta annat än en uppgift om att handlingarna behandlas i databasen. Om den enskilde begär det skall dock informationen omfatta även de handlingar som behandlas.

Personuppgiftslagens bestämmelser om information

Innehållet i personuppgiftslagens bestämmelser om information till den registrerade redogör vi kortfattat för i avsnitt 3.6.3.

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant skall informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som skall lämnas är uppgifter om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter.

Annorlunda är det med 24 § personuppgiftslagen, där det anges att den registrerade skall informeras även när uppgifter har samlats in från någon annan källa än honom själv. Sådan information behöver nämligen inte lämnas om det finns bestämmelser om registreringen i en lag eller annan författning. När behandling av personuppgifter hos en myndighet regleras i särskild lagstiftning på det sätt som vi föreslår för Tullverket, med bestämmelser om vad som får registreras och hur uppgifter i övrigt får hanteras, krävs det enligt personuppgiftslagen således inte att sådan information ges. Vi har inte funnit några skäl för att Tullverket trots detta skall lämna sådan information. Bestämmelsen i 24 § personuppgiftslagen bör således inte tillämpas på behandling enligt den av oss föreslagna lagen.

En av de från integritetssynpunkt viktigaste bestämmelserna i personuppgiftslagen återfinns i 26 §. Den innebär att enskilda efter ansökan har rätt att få information av den personuppgiftsansvarige om personuppgifter som rör den sökande behandlas eller inte. Om uppgifter behandlas skall information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. I paragrafen anges även att information inte behöver lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. Bestämmelsen i personuppgiftslagen bör vara tillämplig vid behandling av personuppgifter enligt den av oss föreslagna lagen. I ett avseende anser vi emellertid att det finns skäl att ha särskilda regler om informationsskyldigheten, nämligen i fråga om information om elektroniska handlingar (se längre fram i detta avsnitt).

Även 27 § personuppgiftslagen anser vi skall vara tillämplig på behandling av personuppgifter vid Tullverket. Det innebär att om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade, så gäller inte de ovan redovisade bestämmelserna i personuppgiftslagen om information.

Information om elektroniska handlingar i databaser

En viktig del av vårt förslag till lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller möjligheten att behandla elektroniska handlingar i tullbrottsdatabasen. Under förutsättning att det i framtiden konstrueras datorsystem för Tullverket, som innefattar en avancerad elektronisk ärendehantering, kommer stora mängder handlingar att kunna finnas elektroniskt lagrade i databasen. Det kan gälla elektroniska dokument i form av upprättade beslut, handlingar från enskilda eller myndigheter som skannats och lagrats som bilder samt digitala ljud- och bildupptagningar. Liknande system finns redan i dag vid vissa myndigheter. När en registrerad begär att få information enligt personuppgiftslagen kan det, utan särskilda bestämmelser för elektroniska handlingar, bli nödvändigt för Tullverket att skriva ut

och skicka papperskopior av samtliga dessa elektroniska handlingar till den registrerade.

Vi ifrågasätter värdet av en sådan informationshantering. Enligt vår uppfattning finns det inte några starka skäl från integritetssynpunkt för att informera en registrerad om genomförd behandling genom att skicka ut kopior av handlingar som han eller hon redan har tagit del av under ett ärendes handläggning, exempelvis en förundersökning som är delgiven. Eftersom antalet elektroniska handlingar i olika databaser med stor sannolikhet kommer att öka väsentligt i framtiden, finns det dessutom en risk att den som begär information om vilka uppgifter som behandlas om honom eller henne hos olika myndigheter, får del av så stora mängder uppgifter att det kan vara svårt att tillägna sig informationen.

Under förutsättning att den registrerade får tydlig information om att handlingar som han eller hon har skickat in till eller fått från Tullverket finns registrerade samt att han eller hon får en förteckning över dessa handlingar, finns det enligt vår mening inte några starka argument mot att göra undantag för de elektroniska handlingarna. För att en bestämmelse om ett sådant undantag skall vara tillämpbar i praktiken bör det vara tillräckligt att Tullverket finner det sannolikt att den registrerade har tagit del av handlingarnas innehåll. I fråga om handlingar som inte har skickats in av den enskilde själv, bör det således räcka att det hos myndigheten finns anteckningar om att handlingen har expedierats till den registrerade.

Den beskrivna modellen har accepterats av riksdagen bl.a. i och med införandet av den lag om behandling av personuppgifter som gäller för Tullverkets fiskala verksamhet (se prop. 2000/01:33, bet. 2000/01:SkU20, rskr. 2000/01:76 ). Vi anser att samma regler bör gälla för den brottsbekämpande verksamheten, och föreslår därför att elektroniska handlingar inte behöver lämnas ut till en enskild i samband med att Tullverket fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen, om den enskilde har tagit del av handlingens innehåll.

Vi anser emellertid att enskilda inte helt skall fråntas rätten att med tillämpning av 26 § personuppgiftslagen ta del av elektroniska handlingar som de har gett in eller som har expedierats till dem. Det är i och för sig möjligt för enskilda att ta del av handlingarna med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen. Till skillnad från vad som gäller enligt 26 § personuppgiftslagen ger emellertid inte dessa bestämmelser den enskilde rätt till kostnadsfri

skriftlig information. Dessutom ger de inte heller den enskilde rätt till särskild och direkt upplysning om vilka handlingar som lagras elektroniskt. I viss mån kan enskilda få sådan information genom de förteckningar över handlingar som en myndighet skall föra enligt 15 kap. 11 § sekretesslagen och 6 § 2 arkivlagen, men inte i den omfattning som följer av informationsskyldigheten enligt personuppgiftslagen. Tryckfrihetsförordningens bestämmelser kan enligt vår uppfattning därför inte ersätta personuppgiftslagens bestämmelse om rätt till information om elektroniska handlingar. Vi föreslår därför att fullständig information om vilka uppgifter som behandlas, således även utskrifter av elektroniska handlingar, skall lämnas om den enskilde särskilt begär det.

I detta sammanhang bör något sägas om informationsskyldigheten vid behandling av personuppgifter om enskilda i ett ärende som inte primärt gäller dem, t.ex. vittnen eller andra personer som förekommer i en förundersökning utan att vara misstänkta. Personer som finns omnämnda i elektroniska handlingar som hör till ett ärende som inte primärt rör dem, omfattas inte av en sådan undantagsbestämmelse som vi föreslår, om de inte själva har gett in en handling. De har nämligen med största sannolikhet inte fått del av handlingarna i ärendet genom delgivning eller på annat sätt. Det innebär emellertid inte med nödvändighet att de har rätt att enligt 26 § personuppgiftslagen få information om behandlingen. Vi föreslår att endast ett fåtal uppgifter skall vara tillåtna som sökbegrepp vid sökning efter elektroniska handlingar i en databas, nämligen namn och personnummer, datum då en handling kom in eller upprättades, diarienummer, till vem handlingen har expedierats eller från vem den har kommit in samt i korthet vad handlingen rör (se avsnitt 11.7.3). Det innebär att Tullverket kan komma att sakna rättsliga befogenheter, och kanske även tekniska möjligheter, att kontrollera i vilken omfattning uppgifter om en person behandlas i elektroniska handlingar som hör till ett ärende som inte primärt rör honom eller henne. I de fallen har enligt vår mening en person som är registrerad på ett sådant sätt inte heller rätt att kräva att myndigheten gör den typen av kontroller.

Slutligen kan det vara värt att påpeka att information inte behöver lämnas om elektroniska handlingar som ännu inte är färdigställda, dvs. beslutskoncept och liknande, oavsett att den registrerade inte har fått del av handlingarna. Som vi nämner tidigare i detta avsnitt görs nämligen i 26 § personuppgiftslagen

undantag för uppgifter i löptext som inte fått sin slutliga utformning. Detsamma gäller för minnesanteckning eller liknande.

11.9.2. Rättelse och skadestånd

Vårt förslag:Personuppgiftslagens bestämmelser om rättelse av personuppgifter och om skadestånd skall tillämpas på motsvarande sätt vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

Personuppgiftslagens bestämmelse om rättelse

I korthet innebär bestämmelsen i 28 § personuppgiftslagen om rättelse att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med lagstiftningen. När en personuppgiftsansvarig vidtar rättelse i fråga om en personuppgift skall underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.

Det är enligt vår uppfattning av väsentlig betydelse att personuppgifter som behandlas felaktigt hos en myndighet rättas för att intrång i den personliga integriteten skall undvikas. Bedömningen av om en uppgift har behandlats felaktigt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för Tullverket. Vi föreslår därför att bestämmelsen om rättelse i 28 § personuppgiftslagen skall tillämpas vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

När skall rättelse vidtas?

En personuppgift skall rättas när den har behandlats felaktigt. I princip är all behandling av personuppgifter felaktig som strider mot den lagstiftning som reglerar behandlingen. Att i detalj ange

vad som är felaktig behandling är därför inte möjligt, men något förenklat anser vi att en indelning av olika fel kan göras i två grupper. Felaktig behandling kan för det första bestå i att personuppgifter är oriktiga till sitt innehåll, dvs. felet finns inbyggt i uppgifterna (oriktiga uppgifter). Felaktig behandling kan även bestå i att personuppgifter, oavsett om de är korrekta eller inte, används på ett felaktigt sätt i verksamheten, dvs. felet ligger i hur uppgifter används (oriktig användning).

Oriktig användning kan exempelvis innebära att en uppgift används på ett sätt som är oförenligt med de ändamål för vilket den samlades in, att en otillåten uppgift förs in i en databas eller att en uppgift inte gallras inom föreskriven tid. Även underlåtenhet att behandla en personuppgift torde i vissa fall kunna innebära oriktig användning. Bedömningen av om en uppgift används på ett oriktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.

I fråga om oriktiga uppgifter är det vanligtvis inte svårt att avgöra om det föreligger en felaktig behandling. Typiska exempel på oriktiga uppgifter är att fel personnummer eller fel adress har angetts för en person. Sådana fel är det ofta enkelt att konstatera på ett objektivt sätt och det torde sällan råda någon oenighet i fråga om uppgiften är fel eller inte. Det är emellertid inte i alla situationer självklart om en uppgift är oriktig. Som exempel kan tas följande situation. Under ett förhör som dokumenteras genom digital ljudupptagning i en förundersökning uppger den misstänkte att han vid en viss tidpunkt befann sig på en viss plats. Senare under förhöret ändrar han sin utsaga och klargör att han sa fel och egentligen var på en annan plats. Är den ursprungliga uppgiften då att anse som oriktig? Den kan självfallet vara oriktig så till vida att den inte korrekt återger ett verkligt sakförhållande, men samtidigt riktig på så sätt att den korrekt återger vad den misstänkte faktiskt sa. Motsvarande situation kan uppstå i flera olika sammanhang när uppgifter behandlas elektroniskt.

Enligt vår uppfattning måste bedömningen av om en uppgift i ett fall som det ovanstående skall anses vara oriktig eller inte, dvs. om uppgiften skall rättas, göras mot bakgrund av vilka krav verksamheten ställer på uppgiftsbehandlingen. I exemplet är det uteslutet att den ursprungliga uppgiften skall rättas i den digitalt lagrade ljudupptagningen. Förutom att det skulle innebära att en allmän handling manipuleras, kan uppgiften behövas i den fortsatta

förundersökningen. Under förutsättning att den ursprungliga uppgiften lagras och i övrigt behandlas i överensstämmelse med de bestämmelser som gäller för behandling av personuppgifter vid Tullverket, kan enligt vår uppfattning inga krav ställas på rättelse. Även om det inte är möjligt att ge en exakt definition på vad som är en oriktig uppgift, anser vi att man bör ha som utgångspunkt att en uppgift – trots att den inte återger en korrekt bild av ett sakförhållande – inte är oriktig i den bemärkelsen att den skall rättas, om den korrekt återger ett händelseförlopp i verksamheten och dessutom behövs i densamma. Det får emellertid bli en fråga för framtida praxis att ge närmare lösningar på problemen med att avgöra under vilka förutsättningar rättelse skall göras.

Det bör påpekas att endast fysiska personer kan åberopa bestämmelsen om rättelse i personuppgiftslagen. Om en juridisk person anser att en uppgift är fel och påtalar detta för Tullverket, bör verket naturligtvis ändå kontrollera påståendet och, om det finns anledning till det, även rätta uppgiften.

Hur skall rättelse vidtas?

Rättelse kan göras genom att en uppgift rättas, blockeras eller utplånas. Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifter skall vara förknippade med information om att de är spärrade och om anledningen till spärren. Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. I personuppgiftslagen finns inga bestämmelser om när en viss form av rättelse skall vidtas, utan det bör vara upp till den personuppgiftsansvarige att avgöra om en uppgift skall rättas, blockeras eller utplånas.

Det torde vanligtvis inte vara några problem att avgöra hur rättelse skall göras. Om en uppgift har blivit felaktig i samband med registreringen, t.ex. angivande av felaktig adress till en misstänkt, bör felet givetvis åtgärdas genom att uppgiften rättas, dvs. i nämnda exempel att korrekt adress anges. Om en uppgift som enligt lagstiftningen över huvud taget inte får behandlas i en databas ändå har registrerats, är den rimliga åtgärden att uppgiften gallras, t.ex. genom att utplånas. När en uppgift befinns vara oriktig, men ändå är av betydelse i verksamheten, kan ett alternativ

vara att uppgiften kompletteras med nya och korrekta uppgifter samtidigt som den ursprungliga uppgiften blockeras.

Någon närmare vägledning om hur rättelse skall göras är enligt vår mening inte möjlig att ge. En bedömning av vilken åtgärd som är mest ändamålsenlig får göras i de enskilda fallen.

Enskildas rätt till skadestånd

Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Rätten till skadestånd bör finnas även för skada och kränkning som uppstår när uppgifter behandlas i strid med de särskilda bestämmelserna i vårt lagförslag. Vi förslår därför att bestämmelserna om skadestånd i 48 § personuppgiftslagen skall tillämpas på motsvarande sätt när personuppgifter behandlas i strid med den lag som reglerar behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

I likhet med vad som gäller de rättsliga möjligheterna att få information eller att få uppgifter rättade, gäller rätten till skadestånd endast fysiska personer. En juridisk person får i stället i den ordning som gäller för statlig verksamhet i allmänhet vända sig till Justitiekanslern – eller till allmän domstol – om personen anser att behandling av uppgifter vid Tullverket har vållat skada.

11.9.3. Överklagande

Vårt förslag: Tullverkets beslut om rättelse och om information som skall lämnas efter begäran av en registrerad skall, med vissa undantag, kunna överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd skall krävas vid överklagande till kammarrätt.

Beslut av en myndighet som direkt berör en enskild och som inte är av rent intern administrativ karaktär, bör enligt vår uppfattning i allmänhet kunna överklagas. I fråga om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet gäller det framför allt beslut att avslå en ansökan om information om pågående behandlingar samt beslut att avslå en begäran om rättelse. Överklagande bör enligt vår uppfattning vara möjligt i båda fallen.

Den normala ordningen när en myndighet fattar ett beslut av förvaltningskaraktär är enligt 22 a § förvaltningslagen (1986:223) att beslutet kan överklagas hos allmän förvaltningsdomstol och att det krävs prövningstillstånd för vidare överklagande till kammarrätten. Detta är också vad som generellt gäller för nyare författningar om behandling av personuppgifter i offentlig verksamhet, t.ex. i Tullverkets fiskala verksamhet. Enligt vår mening är det den logiska ordningen även för den brottsbekämpande verksamheten. Vårt förslag är därför utformat på det sättet.

12. Direktåtkomst för Tullverket till Tulldatasystemet (TDS) i den brottsbekämpande verksamheten

I avsnitt 5.3 beskriver vi det fiskala Tulldatasystemet (TDS) och vilka uppgifter som får behandlas i systemet. Vi lämnar också en kort redogörelse för hur regleringen av behandling av uppgifter inom Tullverkets fiskala verksamhet ser ut. I avsnitt 9.2 redogör vi för de behov som Tullverket anser sig ha av direktåtkomst till TDS i den brottsbekämpande verksamheten. Behovsbeskrivningen grundar sig på information som har inhämtats vid våra studiebesök och efter särskilda förfrågningar till de olika regionerna. I detta kapitel redovisar vi vår uppfattning i frågan om Tullverket i sin brottsbekämpande verksamhet bör ha direktåtkomst till TDS eller inte.

Frågan om användning av fiskala register för brottsbekämpande verksamhet genom direktåtkomst har varit föremål för diskussion vid flera tillfällen tidigare, såvitt avser både skatteförvaltningen och Tullverket. Kapitlet inleds därför med en redogörelse för vissa tidigare ståndpunkter i frågan. Därefter behandlas frågan om Tullverket i den brottsbekämpande verksamheten behöver direktåtkomst till TDS och andra fiskala register samt hur en sådan åtkomst skulle påverka verksamhetens effektivitet. Förutom att ett reellt behov av direktåtkomst till TDS måste kunna påvisas och att åtkomsten måste medföra avsevärda möjligheter till effektivitetsvinster, krävs enligt vår uppfattning att ytterligare förutsättningar är uppfyllda för att direktåtkomst skall tillåtas. För det första måste ett tillfredsställande skydd för den personliga integriteten kunna garanteras. Vidare måste det säkerställas att fiskal information som på grund av sekretesslagstiftningen inte får lämnas ut till den brottsbekämpande verksamheten utan föregående sekretessprövning, inte görs åtkomlig genom direktåtkomsten. Slutligen måste det klargöras att direktåtkomst till TDS i brottsbekämpande verksamhet inte i något avseende strider mot bestämmelserna i artikel 6 i Europakonventionen.

Det skall poängteras att när vi i kapitlet talar om direktåtkomst till TDS, avser vi genomgående även övriga fiskala stödsystem i den tulldatabas som förs med stöd av lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och i vilken TDS är det dominerande systemet (se avsnitt 5.3).

12.1. Tidigare synpunkter på användningen av fiskala datasystem för brottsbekämpning

12.1.1. Skatteförvaltningen

Skattekriminalregisterutredningen

I betänkandet Integritet – Effektivitet – Skattebrott (SOU 1998:9) redovisade Skattekriminalregisterutredningen sina synpunkter på bl.a. användningen av fiskala skatteregister i skattebrottsenheternas arbete. Utredningen konstaterade att skattebrottsenheterna behöver tillgång till skatteregistren för att kunna bedriva sitt arbete så effektivt som möjligt. Enligt utredningen gäller detta främst i de fall då enheterna inte arbetar med att biträda åklagare i förundersökningar, och behovet är sannolikt störst i t.ex. underrättelseverksamhet och analysarbete. Störst effektivitet uppnås enligt utredningen om direktåtkomst tillåts, dvs. att skattebrottsenheterna inte behöver gå via de fiskala enheterna för att få relevant information. Utredningen framhöll att effektivitetsvinsterna med att skattemyndigheterna övertar polisens roll i fråga om att bekämpa skattebrott delvis skulle komma att gå förlorade om direktåtkomst inte medgavs. Utredningen anförde vidare att behovet av direktåtkomst inte var det enda argumentet för att skattebrottsenheterna borde ges sådan tillgång till registren. Även det faktum att skattebrottsenheterna, redan med stöd av de då gällande bestämmelserna, kunde ta del av de flesta av de sökta uppgifterna efter en sekretessprövning, om än inte genom direktåtkomst, borde vägas in i bedömningen. Det påpekades även att direktåtkomst skulle innebära att färre personer får del av känsliga uppgifter om personer som är misstänkta för skattebrott. Dessutom finns det enligt utredningen en nära koppling mellan beskattningsverksamhet och ekonomisk brottslighet på skatteområdet.

Utredningen framhöll också att direktåtkomst inte innebär att det starka sekretesskyddet för uppgifterna enligt 9 kap 1 § sekretesslagen skulle försvagas och att skattebrottsenheterna inte skulle tillåtas att utnyttja de urvalssystem som används i den fiskala verksamheten för att fritt kunna ”fiska” efter intressant information i skatteregistren. Det ansågs vara helt oförenligt med förutsättningarna för behandling av personuppgifter i brottsbekämpande verksamhet, eftersom det oundvikligen skulle innebära behandling av information om personer som inte hade eller kunde misstänkas ha någon som helst anknytning till skattebrott. För att förhindra en sådan användning av registren vid direktåtkomst föreslog utredningen att endast sådana uppgifter som är adekvata och relevanta i förhållande till ändamålet med behandlingen, skulle få behandlas. Behandlingen föreslogs inte heller få omfatta fler uppgifter än vad som är nödvändigt för ändamålet med behandlingen. Sammantaget talade dessa omständigheter enligt utredningen för att skattebrottsenheterna borde få direktåtkomst till det centrala skatteregistret.

Flera remissinstanser avstyrkte utredningens förslag i denna del. Remissinstanserna anförde bl.a. att om skattebrottsenheterna skulle ges direktåtkomst till skatteregistret, så skulle prövningen av utlämnande av uppgifter mellan myndigheter komma att kringgås. Det förhållandet att skattebrottsenheterna skulle få direktåtkomst ansågs vidare vara ägnat att minska tilltron till att dessa enheter och skattemyndigheternas fiskala sida hölls åtskilda. Den föreslagna öppenheten skulle innebära att det knappast kunde sägas råda någon egentlig åtskillnad mellan den fiskala och den brottsutredande verksamheten. Enligt några av remissinstanserna innebar åtkomsten risk för integritetsintrång. Förslaget bedömdes av vissa även kunna komma i konflikt med artikel 6 i Europakonventionen. Det framhölls också att skattebrottsenheterna inte borde ha större tillgång till det centrala skatteregistret än vad polisen har. Riksskatteverket hade däremot inget att erinra mot utredningens förslag om direktåtkomst och påpekade att sekretessbestämmelserna torde utgöra ett fullgott skydd för den enskildes integritet.

Regeringen delade inte utredningens uppfattning att skattebrottsenheterna borde få direktåtkomst till det centrala skatteregistret (prop. 1998/99:34). Det fanns enligt regeringens mening i och för sig ingen tvekan om att skattebrottsenheternas arbete skulle kunna bedrivas effektivare om de medgavs direktåtkomst. Emellertid kvarstod enligt regeringens uppfattning det ofrånkom-

liga, nämligen att risken för otillbörligt integritetsintrång ökar när fler myndigheter och befattningshavare får tillgång till skatteregistret. Behovet av direktåtkomst måste vägas mot denna risk. För att skattebrottsenheterna skall få direktåtkomst måste således behovet av att de snabbt och enkelt får tillgång till uppgifter i skatteregistret väga tyngre än den risk från integritetssynpunkt som åtkomsten medför.

Regeringen anförde vidare att den redan i samband med inrättandet av de särskilda skattebrottsenheterna hade uttalat att enheterna organisatoriskt skulle hållas åtskilda från skatteutredningar. Skälet till detta var dels att den enskildes rättssäkerhet skulle säkerställas, dels att den s.k. ändamålsprincipen skulle upprätthållas, dvs. den princip som innebär att det inte är tillåtet att med stöd av regelverket för skatteutredningar ta fram uppgifter som inte behövs i beskattningsverksamheten utan endast i brottsutredningar och vice versa. Regeringen framhöll särskilt att brottsutredningar och skatteutredningar har olika syften och regleras av olika regelverk. Det ansågs vidare vara väsentligt att det inte råder något tvivel om att den fiskala och den brottsutredande verksamheten inom skattemyndigheten bedrivs åtskilda. Utredningens förslag om direktåtkomst innebar, enligt regeringens uppfattning, att den prövning av utlämnande av uppgifter mellan myndigheter som skall ske inte görs. Om direktåtkomst medgavs skulle det därför föreligga en risk för otillbörligt intrång i den enskildes integritet. Det bedömdes vidare finnas risk för att andra brottsbekämpande myndigheter kunde komma att hävda att även de har behov av direktåtkomst till det centrala skatteregistret för sin verksamhet. Mot bakgrund av detta ansåg regeringen att övervägande skäl talade för att direktåtkomst till det centrala skatteregistret, i vart fall vid den tidpunkten, inte borde medges skattebrottsenheterna. Det poängterades dock att det kunde finnas skäl att återkomma till frågan när erfarenhet hade vunnits av skattebrottsenheternas verksamhet.

Riksdagens revisorer

I sin rapport Myndighetssamverkan mot ekonomisk brottslighet (2001/02:3) berör Riksdagens revisorer frågan om skattebrottsenheternas tillgång till det centrala skatteregistret. Riksskatteverket hade framfört önskemål om, och markerat det stora behovet av, en sådan tillgång för att skattebrottsenheterna skulle kunna arbeta

effektivt. Riksskatteverket påpekade särskilt problemen med att personliga kontakter måste tas för att brottsutredare skall få tillgång till fiskal information i registret, vilket innebär såväl att förfarandet tar onödigt lång tid som att fler personer än nödvändigt blir inblandade i informationshanteringen.

Riksdagens revisorer, som bl.a. hänvisade till att det enligt ett yttrande från justitieutskottet (1997/98:JuU2y) kunde uppstå konflikter med artikel 6 i Europakonventionen, ansåg att skattebrottsenheterna inte borde få tillgång till det centrala skatteregistret. Anledningen var problemen med användningen i brottsbekämpande syfte av uppgifter som den skattskyldige lämnat i avsikt att skatt skall fastställas. Riksdagens revisorer framhöll i stället att det är av största vikt att rutinerna i samband med brottsutredares kontakter med fiskala enheter, i syfte att få tillgång till uppgifter, förbättras och att handläggningen snabbas upp.

Riksskatteverket anförde, efter att Riksdagens revisorers rapport remitterats dit, att skattebrottsenheterna borde ges direktåtkomst till det centrala skatteregistret. Det bedömdes vara en förutsättning för att skattebrottsenheterna skall kunna uppnå målen med verksamheten. Riksskatteverket påpekade att de problem som uppstår med nuvarande ordning är betydande. Utgångspunkten i skattebrottsenheternas arbete med att utreda skattebrott är att uppgifter saknas eller är felaktiga i lämnade deklarationer, alternativt att deklarationer saknas helt. Att skattebrottsenheterna inte får direktåtkomst till det centrala skatteregistret, där deklarationsuppgifterna finns, ansågs därför inte logiskt. Nuvarande ordning bedömdes även försvåra skattebrottsenheternas arbete med att bedriva underrättelseverksamhet. Riksskatteverket anförde vidare att det tillvägagångssätt som nu tillämpas ofta innebär att fler personer inom skattekontoren får ta del av sekretessbelagda uppgifter innan de når skattebrottsenheterna, än vad som skulle vara fallet om skattebrottsutredarna hade direktåtkomst till registret. Riksskatteverket hävdade också att revisorernas hänvisning till risken för konflikter med artikel 6 i Europakonventionen inte är relevant i sammanhanget, eftersom justitieutskottets yttrande enligt verket avsåg vikten av att hålla i sär de två verksamhetsgrenarna beskattning och brottsutredning, och inte frågan om direktåtkomst till skatteregistret.

Med anledning av Riksskatteverkets yttrande föreslog Riksdagens revisorer att regeringen tar initiativ till en översyn av frågan om vem som bör ha tillgång till det centrala skatteregistret,

eftersom det är av största vikt för utredningarna av skattebrott att utredarna snabbare och lättare får tillgång till relevant information (Förslag till riksdagen 2001/2002:RR11). Efter behandling i justitieutskottet valde riksdagen emellertid att inte följa Riksdagens revisorers förslag och någon skrivelse med angiven innebörd har inte överlämnats till regeringen (bet. 2001/02:JuU8, prtk. 2001/02:93).

12.1.2. Tullverket

Utredningen om utvärdering av EU-medlemskapets effekter för Tullverkets dimensionering och organisation

I betänkandet En gräns – en myndighet? (SOU 1998:18) föreslogs att hindren för att Tullverket i sin brottsbekämpande verksamhet får tillgång till TDS skulle ses över, eftersom narkotikasmugglingen numera i allt större omfattning sker som en del i ett större handelsmönster, som kan innefatta såväl legala som illegala varuflöden. För att kartlägga smugglingen måste enligt utredningen därför även legala varuflöden följas och dokumenteras. En brist ansågs vara att TDS, med dess goda möjligheter att följa varuströmmar, inte får användas i brottsbekämpande syfte.

Registerförfattningsutredningen

Registerförfattningsutredningen hade till uppgift att se över den lagstiftning som reglerade bl.a. Tullverkets fiskala register. I betänkandet Skatt – Tull – Exekution – Normer för behandling av personuppgifter (SOU 1999:105) berörde utredningen även frågan om användningen av TDS för brottsbekämpande syften.

Utredningen konstaterade att det inte kunde sättas i fråga att Tullverket i sin brottsbekämpande verksamhet skulle ha stor nytta av att kunna använda sig av TDS genom direktåtkomst. För att åskådliggöra dels vilken betydelse det skulle ha från effektivitetssynpunkt att utnyttja TDS i brottsbekämpande verksamhet, dels de problem som kan uppstå vid gränsdragningen mellan den verksamheten och den fiskala, presenterade utredningen ett exempel med verklighetsförankring.

”Vid en husrannsakan i maj 1998 beslagtas ett parti cigaretter. I lokalen finns rester av cigarettpaket som är delade på mitten och innehåller stora mängder järnfilspån. Misstanke uppstår därför om att de påträffade paketen endast utgör en mindre del av en sändning som smugglats in i landet gömda i någon form av stålbalkar. Filspånen skulle vara resultat av att balkarna öppnats med vinkelslip. I november 1998 görs en gränskontroll av en trailer lastad med stålbalkar som anländer till Sverige. Vid kontrollen hittas 375 000 cigaretter i tomrum i balkarna. Vi den utredning som görs identifieras ytterligare sextio tidigare transporter som skett på liknande sätt”.

I den åskådliggjorda situationen skulle det, enligt utredningen, vara möjligt att med hjälp av uppgifter ur TDS lägga spärrar för att identifiera sändningar av stålbalkar när de anmäls till förtullning. Transporterna skulle på det sättet med stor sannolikhet kunnat avslöjas i ett avsevärt tidigare skede. Samma syfte är inte möjligt att uppnå genom att använda register som förs i den brottsbekämpande verksamheten, eftersom de inte innehåller de nödvändiga uppgifterna om import och export. Utredningen ansåg att det inte kunde sättas i fråga att tillgång till TDS skulle vara värdefullt från effektivitetssynpunkt, men att det kunde vara betänkligt från integritetssynpunkt att med hjälp av datorteknik använda uppgifter som lämnas för ett visst syfte, exempelvis att klarera en vara vid införsel i landet, för brottsbekämpande verksamhet. Några konkreta ställningstaganden gjorde utredningen inte, utan konstaterade i stället att det fanns anledning att närmare utreda de problem som kan uppstå och hur de skall hanteras.

12.2. Tullverkets behov av direktåtkomst till TDS i den brottsbekämpande verksamheten

Inledningsvis vill vi påpeka att uppgifter från TDS och andra fiskala register som förs av Tullverket ofta, efter sekretessprövning, kan lämnas ut till och användas i den brottsbekämpande verksamhet som verket bedriver. Frågan om direktåtkomst skall tillåtas eller inte gäller därför främst metoden för hur uppgifter skall få lämnas från den fiskala till den brottsbekämpande verksamheten.

Från Tullverkets sida har framförts att det är nödvändigt att uppgifter från TDS på ett mer effektivt sätt får användas i den brottsbekämpande verksamheten, för att de mål som verket ålagts

av statsmakterna skall kunna uppfyllas. Tillgång till TDS genom direktåtkomst har uppgetts vara av största vikt för att Tullverket skall få effektiva och fungerande tekniska hjälpmedel för att kunna lösa sina uppgifter. Det är en grundläggande förutsättning för att den gränsöverskridande brottsligheten, som hela tiden tar sig nya och mera avancerade former, skall kunna bekämpas. Ett stort problem för Tullverket är att det börjar bli mer vanligt förekommande att olagliga varor förpackas och smugglas som ”bipackningar” i lagliga transporter. Förfarandet med dessa olagliga bipackningar är mycket utbrett och drabbar även seriösa företag, eftersom varorna smugglas in bland legalt gods. Det är enligt uppgifter från Tullverket förenat med mycket stora problem att hitta en sådan transport med dagens lagstiftning, eftersom det inte är tillåtet att lägga en spärr i TDS och låta systemet slå larm när en misstänkt transport anländer.

Från Tullverkets sida har vidare framförts att det inte föreligger någon påtaglig risk för att TDS kan komma att användas på ett felaktigt och integritetskränkande sätt, eftersom systemet innehåller så stora mängder information att det är näst intill omöjligt att söka efter information på måfå. Generellt anses att Tullverket i den brottsbekämpande verksamheten behöver direktåtkomst till TDS för att ha en rimlig möjlighet att välja ut de objekt som bedöms värdefulla att kontrollera. I annat fall är risken mycket stor att de kontrollvärda objekten inte alls stoppas eller att det uppstår störningar i den legala trafiken. TDS skulle kunna användas för att lägga spärrar på redan misstänkta transporter, kartlägga redan misstänkta företag, erhålla kompletterande information till ett redan befintligt ärende samt sammanställa riskprofiler för att välja ut rätt kontrollobjekt. Direktåtkomst till TDS skulle också kunna effektivisera arbetet genom att fördröjningar i informationsutbytet undviks, vilket innebär att planerade kontroller inte riskerar att omintetgöras.

Det har från Tullverkets sida också hävdats att det bör vara väsentligt för alla parter att den sunda konkurrensen upprätthålls och att den inte snedvrids till följd av olika olagliga förfaranden samt att de seriösa företagen borde ha ett intresse av att oseriösa aktörer stoppas samtidigt som den vanliga trafiken inte kontrolleras i större utsträckning än nödvändigt.

I avsnitt 9.2 beskriver vi mer utförligt vilka behov av direktåtkomst till TDS som Tullverket anser sig ha i den brottsbekämpande verksamheten. Vi belyser också de konsekvenser som

direktåtkomst skulle kunna medföra för den verksamheten. Beskrivningen grundar sig på de erfarenheter som vi har erhållit efter våra studiebesök i regionerna. Enligt vår uppfattning måste det anses helt klarlagt att Tullverket i den brottsbekämpande verksamheten har ett tydligt och reellt behov av direktåtkomst till TDS och att sådan åtkomst på ett markant sätt skulle komma att bidra till höjd effektivitet i det brottsbekämpande arbetet.

12.3. Skyddet för den personliga integriteten

I avsnitt 10.2 behandlar vi frågan om skyddet för den personliga integriteten mer allmänt.

En grundläggande förutsättning för att Tullverket skall tillåtas få direktåtkomst till TDS i brottsbekämpande verksamhet, är enligt vår uppfattning att enskildas personliga integritet kan garanteras i tillräcklig utsträckning. Verksamhetens behov av direktåtkomst till TDS måste således vägas mot rätten till integritet för den enskilde. Det är vår bestämda uppfattning att lagstiftningen inte får utformas på ett sådant sätt att integritetsskyddet för den enskilde inte kan upprätthållas på en fortsatt hög nivå.

Vid bedömningen av hur integritetskänsliga uppgifterna i TDS är måste det beaktas vad för slags uppgifter som behandlas i systemet, anledningen till att uppgifterna samlas in samt hur uppgifterna används. Till att börja med är det viktigt att understryka att de uppgifter som registreras i TDS nästan uteslutande rör ekonomiska affärsförhållanden och att det således inte är fråga om information om personliga förhållanden. Uppgifterna i TDS gäller import- och exportförhållanden och är avsedda att ligga till grund för fastställande och debitering av tull, skatt och avgifter. Det är således först sedan en näringsidkare eller en privatperson har bestämt sig för att t.ex. importera gods av visst slag som deklarationsskyldighet uppstår och det blir fråga om att registrera uppgifterna i TDS.

Det skall också understrykas att uppgifterna i TDS nästan uteslutande rör uppgifter om juridiska personer. Enligt en uppskattning från Tullverket avser ca 97 procent av uppgifterna juridiska personer och ungefär två procent enskilda näringsidkare. Det är således endast ca en procent av uppgifterna i TDS som rör fysiska personers privatimport eller deras bohag i samband med flyttning och liknande.

Eftersom TDS till helt övervägande del innehåller uppgifter om juridiska personer och det nästan uteslutande är fråga om uppgifter som är hänförliga till näringsverksamhet, kan systemet enligt vår uppfattning inte anses vara särskilt känsligt från integritetssynpunkt. När det gäller uppgifter om juridiska personer kan i och för sig andra integritetsliknande aspekter ibland göras gällande, t.ex. skyddet för affärshemligheter. Vi anser emellertid att möjligheten till direktåtkomst i den brottsbekämpande verksamheten inte utgör några problem i dessa avseenden.

Vårt ställningstagande skall ses mot bakgrund av att vi anser att Tullverkets möjligheter att använda sig av direktåtkomst till TDS i brottsbekämpande verksamhet måste begränsas genom författningsreglering. Under förutsättning att det finns särskilt reglerade och integritetsskyddande begränsningar av åtkomsten, är vår bedömning att riskerna för integritetskränkningar väl uppvägs av de effektivitetsvinster som skulle uppnås i den brottsbekämpande verksamheten om direktåtkomst till TDS tilläts. Vi återkommer i avsnitt 12.6 till frågan om hur direktåtkomsten bör regleras.

12.4. Sekretessregler och direktåtkomst till TDS

När frågan om direktåtkomst till en myndighets register uppkommer, är det ofta oundvikligt att det uppstår vissa sekretessproblem. I detta avsnitt redogörs för vissa omständigheter som har betydelse vid bedömningen av om det är möjligt att tillåta att Tullverket får direktåtkomst till TDS i sin brottsbekämpande verksamhet.

12.4.1. Kort om direktåtkomst och sekretess

När uppgifter i ett dataregister hos en myndighet kan nås genom direktåtkomst av någon utanför det sekretessområde som uppgifterna i registret finns inom, måste de uppgifter som omfattas av åtkomsten anses utlämnade i sekretesslagens mening. Om myndigheten A har direktåtkomst till hela myndigheten B:s dataregister, så är alltså varje uppgift i registret utlämnad från B till A, oavsett om någon på myndigheten A faktiskt har läst eller tagit del av uppgiften i fråga.

För att direktåtkomst skall komma i fråga krävs således att det är helt klart att det inte av sekretesskäl kan finnas några hinder mot

att lämna ut uppgifterna i registret till den som skall ha direktåtkomst. När sådana hinder föreligger måste nämligen i princip varje utlämnande av en uppgift i registret föregås av en särskild sekretessprövning, något som inte är möjligt vid direktåtkomst. Är uppgifterna helt offentliga finns det däremot inga problem från sekretessynpunkt.

Även om det skulle föreligga sekretess för de uppgifter som kan vara aktuella för direktåtkomst kan frågan ändå lösas, genom att en förprövning i någon form sker av om uppgifterna i det aktuella registret kan få lämnas ut utan hinder av sekretess. Först måste det emellertid konstateras om det över huvud taget råder sekretess mellan den som har registret med uppgifterna och den som vill ha direktåtkomst till dem.

12.4.2. Sekretess inom Tullverket

Allmänt om sekretess inom en myndighet

Sekretess för uppgifter som förekommer hos en viss myndighet gäller enligt 1 kap. 3 § sekretesslagen inte bara i förhållande till utomstående, utan under vissa förutsättningar även inom myndigheten. Sekretess för en uppgift gäller nämligen i förhållandet mellan olika verksamhetsgrenar inom en och samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra. Det innebär i princip att om det inom en och samma myndighet finns flera organisatoriska enheter, som uppträder som självständiga i förhållande till varandra, så får sekretessbelagda uppgifter inte utbytas dem emellan utan stöd i sekretesslagen eller annan författning som sekretesslagen hänvisar till. Från sekretessynpunkt är alltså två självständiga verksamhetsgrenar inom en och samma myndighet att jämställa med två olika myndigheter.

I praktiken har den sistnämnda bestämmelsen tolkats så att det inte enbart är den organisatoriska indelningen som är avgörande för vad som är självständiga verksamhetsgrenar, utan också vilken verksamhet som faktiskt bedrivs. Om man inom en myndighet har en formellt strikt avdelningsindelning, men de olika avdelningarna sysslar med samma frågor, torde det anses att sekretess inte råder mellan avdelningarna. I det motsatta fallet, dvs. att en och samma avdelning inom en myndighet sysslar med frågor av helt skilda slag, kan det emellertid inte generellt slås fast att det inte föreligger

sekretess. Det beror bl.a. på hur arbetet är organiserat på avdelningen och om det förekommer självständigt beslutsfattande m.m.

Det är alltså flera faktorer som vid en avvägning kan avgöra vad som är självständiga verksamhetsgrenar. Sannolikt skulle man kunna hävda att olika verksamhetsgrenar inom en och samma myndighet i vart fall måste anses självständiga i förhållande till varandra när det finns en organisatorisk indelning som är sakligt föranledd av att de olika grenarna – avdelningar eller enheter osv. – inte sysslar med samma arbetsuppgifter.

Särskilt om sekretess inom Tullverket

I Tullverkets fiskala verksamhet råder enligt 9 kap. 1 § sekretesslagen sekretess för alla uppgifter i TDS och andra register i tulldatabasen. Bestämmelsens utformning är inte helt tydlig och det är därför enligt vår uppfattning inte uppenbart om uppgifterna i tulldatabasen skall anses omfattas av absolut sekretess eller av sekretess med ett omvänt skaderekvisit. Denna eventuella tveksamhet har emellertid inte någon avgörande betydelse för vår bedömning av om Tullverket i den brottsbekämpande verksamheten skall få ha direktåtkomst till tulldatabasen. Vad som är väsentligt för vår del är att det råder sekretess för uppgifterna och att det för frågan om direktåtkomst därför är av betydelse om de olika verksamhetsgrenarna i den fiskala respektive den brottsbekämpande verksamheten inom Tullverket är att anse som självständiga i förhållande till varandra eller inte. Är de att anse som självständiga kan information som omfattas av sekretess nämligen inte lämnas dem emellan utan att en sekretessprövning görs, om det inte finns en bestämmelse som bryter sekretessen. Detta gäller oavsett formen för utlämnande, men kan sägas vara av särskild betydelse i fråga om direktåtkomst eftersom det då inte kan göras någon sekretessprövning vid varje åtkomsttillfälle. Enligt vår uppfattning är det därför nödvändigt att sekretessgränserna inom Tullverket klarläggs.

Många gånger kan det vara enkelt att fastställa om sekretess råder mellan verksamhetsgrenar. Det är t.ex. inte ifrågasatt att det råder sekretess mellan skattebrottsenheten och den fiskala momsenheten inom en skattemyndighet. Inom Tullverket är den organisatoriska indelningen mer svåröverskådlig och tillämpningen av sekretessreglerna blir därför mer komplicerad. Ett problem vid

bedömningen av i vilka fall sekretess råder inom Tullverket, är att den organisatoriska indelningen av verket inte alltid strikt följer de olika arbetsuppgifterna. Skälet är att det finns en arbetsuppgiftsfördelning som främst utgår från processer och inte från en organisatorisk indelning. Enligt vad vi erfarit tenderar även de olika processerna i vissa fall att överlappa och gå in i varandra på ett sätt som inte överensstämmer med den organisatoriska indelningen. Under våra studiebesök i några regioner inom Tullverket har vi fått uppfattningen att det även i det praktiska arbetet i vissa fall råder oklarhet om vilka sekretessgränser som gäller inom Tullverket och att det finns önskemål om att frågan klargörs.

I bilaga 4 till betänkandet gör vi ett försök att åskådiggöra den oklara situationen inom Tullverket avseende den fiskala respektive den brottsbekämpande verksamheten (figur 1), jämfört med den väsentligt tydligare gränsdragning som råder inom skattemyndigheterna (figur 2).

Enligt vår bedömning råder det inte sekretess mellan t.ex. tullkriminalenheterna vid två olika tullregioner, eftersom det är fråga om samma sakliga verksamhet. Däremot anser vi att sekretess måste anses råda mellan tullkriminalenheten och företagsenheten inom en region, eftersom det handlar om olika sakliga verksamheter och det samtidigt finns en tydlig organisatorisk åtskillnad även om det är samma region.

Det är däremot mera oklart om sekretess råder mellan t.ex. underrättelsesektionen och riskanalyssektionen inom analysenheten i en region. Nämnda enhet tillhör organisatoriskt analysprocessen, vars uppgift är att ge analysstöd till processerna effektiv handel och gränsskydd. Riskanalyssektionen har fiskala arbetsuppgifter medan underrättelsesektionen arbetar med brottsbekämpning. En komplicerande faktor är att de båda sektionerna inte är organisatoriskt åtskilda på ett klart och tydligt sätt och att den brottsbekämpande och den fiskala verksamheten delvis överlappar och går i varandra. Vid våra studiebesök har vi dessutom kunnat konstatera att det inte föreligger helt vattentäta skott mellan de båda sektionernas verksamheter och att ett visst samarbete kan uppstå dem emellan, t.ex. då resultatet av ett riskanalysarbete visar att det finns anledning att misstänka att brottslig verksamhet pågår. Vid en samlad bedömning av omständigheterna anser vi emellertid att mycket talar för att dessa båda sektioner inom analysenheten måste anses utgöra självständiga verksamhetsgrenar i förhållande till varandra och att sekretess alltså råder dem emellan.

Även beträffande gränsskyddet och den därmed sammanhängande kontrollverksamheten är det oklart om sekretess föreligger, eftersom personalen måste anses ha såväl fiskala som brottsbekämpande arbetsuppgifter och de båda arbetsuppgifterna kan komma att sammanfalla. Vid en gränskontroll har personalen både att förtulla legalt gods som deklareras och att förhindra att icke legala varor smugglas in i landet. En införselkontroll av legalt gods kan också visa att skatter och tullar har undandragits på ett sådant sätt att fråga är om ett tullbrott som skall beivras. Eftersom samtliga kontroller inom gränsskyddet, som vi uppfattar det, ändå får anses ske som ett led i den brottsbekämpande verksamheten, är det enligt vår bedömning tveksamt om sekretess kan anses råda inom gränsskyddet.

Sammanfattningsvis måste vi konstatera att sekretessituationen inom Tullverket i många fall är svårbedömd och därmed riskerar att uppfattas som oklar. Med hänsyn till de svårigheter som finns och till att vi bedömer att sekretess i många fall råder mellan fiskal och brottsbekämpande verksamhet, bör det enligt vår uppfattning införas en bestämmelse som bryter sekretessen för uppgifter i TDS och andra fiskala register i förhållande till de grenar inom Tullverket som arbetar med brottsbekämpande verksamhet. En sådan bestämmelse skulle innebära att det inte längre finns några sekretesshinder mot att medge direktåtkomst till TDS i den brottsbekämpande verksamheten. Vi återkommer i avsnitt 12.6 till frågan om hur en sådan bestämmelse bör utformas.

12.5. Direktåtkomst till TDS och artikel 6 i Europakonventionen

I detta avsnitt berörs vissa frågor med anledning av artikel 6 i den europeiska konventionen av den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som vi enligt direktiven har i uppdrag att belysa.

12.5.1. Inledande om artikel 6

Genom artikel 6 i Europakonventionen garanteras enskilda visst skydd och vissa rättigheter. Syftet är att tillförsäkra den enskilde en opartisk och rättssäker domstolsprövning avseende tvister om en persons civila rättigheter eller skyldigheter och anklagelser för brottsligt handlande. Hans Danelius skriver i Mänskliga rättigheter i europeisk praxis – En kommentar till Europakonventionen om de mänskliga rättigheterna (uppl. 1:2, 1998, Norstedts juridik, Stockholm; citeras nedan Danelius) att artikel 6 är en mångfacetterad artikel kring vilken en rik och nyanserad rättspraxis har vuxit fram.

Artikel 6 punkten 1 första meningen har följande lydelse:

Var och en skall, vid prövningen av hans civila rättigheter och skyldigheter eller av en anklagelse mot honom för brott, vara berättigad till en rättvis och offentlig förhandling inom skälig tid och inför en oavhängig och opartisk domstol, som upprättats enligt lag.

Innebörden av bestämmelsen är att artikel 6 i grunden är tillämplig i två fall där rätt till domstolsprövning föreligger, nämligen vid prövning av tvister om civila rättigheter eller skyldigheter samt vid prövning av anklagelser för brott. Det bör särskilt understrykas att rättigheterna i artikeln inte är tillämpliga på alla rättsliga förfaranden. Straffprocessuella tvångsmedel som häktning, husrannsakan och telefonavlyssning faller utanför, liksom villkorlig frigivning och benådning (jfr Danelius s. 136). Rättigheterna enligt artikel 6 skall garantera varje person en rättssäker process och rätt till domstolsprövning. I artikeln uppställs även vissa krav på hur ett domstolsförfarande skall vara utformat för att motsvara de krav som kan ställas på ett rättssäkert förfarande. Bland dessa punkter bör i sammanhanget särskilt poängteras kravet på ett korrekt och rättvist förfarande för den enskilde, dvs. rätten till en rättvis rättegång eller förhandling (på engelska ofta ”fair trial”).

12.5.2. Begreppet ”anklagelser för brott”

Rättigheterna i artikel 6 gäller vid prövning av anklagelser för brott. Begreppet ”anklagelser för brott” är autonomt, vilket innebär att det ges en allmängiltig tolkning av Europadomstolen och att den nationella tolkningen endast har underordnad betydelse. Syftet

med begreppet är att bestämma tidpunkten för när rättigheterna i artikel 6 kan göras gällande.

I målet Deweer mot Belgien (dom den 27 februari 1980, Publications of the European Court of Human Rights, Series A: Judgements and Decisions, 35) ges viss vägledning för hur begreppet skall tolkas i fråga om när anklagelsetidpunkten kan anses ha inträtt. Deweer ansågs ha brutit mot vissa bestämmelser rörande prissättning i sin affärsrörelse. En åklagare beslutade att butiken skulle stängas till dess att affärsinnehavaren hade erlagt ett visst bestämt belopp eller dom meddelats. Domstolen ansåg att en anklagelse för brott hade förelegat och uttalade i domen att begreppet anklagad är kopplat till den officiella underrättelsen, om att en brottslig handling har begåtts, vilken ges till en person av behörig myndighet (jfr Danelius s 139).

Skattetilläggskommittén refererar i sitt betänkande Skattetillägg m.m. (SOU 2001:25 s. 137 f.) till den norske professorn Jörgen Aall, som har gjort gällande att frågeställningen om när artikel 6 är tillämplig måste utgå från en bedömning av om när individens situation är påverkad i en sådan grad att det är nödvändigt att rättigheterna börjar gälla.

Europadomstolen har i två domar den 23 juli 2002, Västberga

Taxi AB och Vulic mot Sverige (ansökan nr. 36985/97) samt Janosevic mot Sverige (ansökan nr. 34619/97), uttalat att rättigheterna i artikel 6 kan göras gällande antingen från att det riktas en formell anklagelse mot den enskilde eller från att myndighetens agerande på grund av misstanken mot den enskilde påtagligt påverkar dennes situation.

12.5.3. Begreppet rättvis rättegång (”fair trial”) och passivitetsrätten

En grundläggande rättighet i artikel 6 är rätten till en rättvis rättegång. Begreppet rättvis rättegång i samband med anklagelser för brott har i rättspraxis ansetts omfatta ett flertal omständigheter, bl.a. att åklagare och anklagade skall vara likställda i processen samt att den anklagade skall få tillgång till processmaterial och rätt att förhöra vittnen. Rätten till en rättvis rättegång har formulerats i ett antal allmänt hållna rättigheter i artikel 6. Begreppet är emellertid vidare än vad som kan utläsas av konventionstexten. En i detta sammanhang viktig princip är att den anklagade inte på något sätt

skall vara skyldig att underlätta för åklagaren i dennes arbete, dvs. rätten att inte belasta sig själv i processen.

Denna s.k. passivitetsrätt innebär att den som är misstänkt för brott inte skall behöva bidra till utredningen eller bevisningen i målet genom att göra medgivanden eller tillhandahålla belastande material. Det är åklagaren som skall bevisa den tilltalades skuld och den tilltalade har rätt att inte uttala sig alls och är inte skyldig att på något sätt underlätta åklagarens uppgift (jfr Danelius s. 188).

Målen Crémieux mot Frankrike samt Funke mot Frankrike (domar den 25 februari 1993, Publications of the European Court of Human Rights, Series A: Judgements and Decisions, 256-C och 256-A) handlade båda om personer misstänkta för valutabrott, som hade ålagts att vid vite lämna ut handlingar om sina tillgångar i utlandet till myndigheter. Europadomstolen ansåg att förfarandet stred mot artikel 6, eftersom de anklagade genom vitesförelägganden hade tvingats lämna ut material som kunde användas som bevis mot dem i en brottsprocess (jfr. Danelius s. 189).

Den närmare innebörden av passivitetsrättens räckvidd i Europakonventionen är ännu inte helt klarlagd (jfr SOU 2001:25 s. 168). Det bör poängteras att i samtliga fall som prövats av Europadomstolen, har det rört sig om personer som redan var misstänkta för brott när tvånget utövades. I sammanhanget bör det också understrykas att det inte möter några hinder enligt artikel 6 att använda sig av tvångsmedel, enligt t.ex. rättegångsbalken, förutsatt att tvångsåtgärderna genomförs på ett sätt som innebär att den enskildes rätt att vara passiv respekteras.

Passivitetsrätten har i vissa sammanhang ansetts kunna komma i konflikt med ett förfarande som innebär att en myndighet i brottsbekämpande syfte utnyttjar fiskalt material som den anklagade enligt exempelvis skattelagstiftningen är skyldig att lämna till myndigheterna, ibland efter vitesföreläggande. I detta sammanhang är det därför viktigt att analysera och bedöma om det finns risk för att direktåtkomst för Tullverket i den brottsbekämpande verksamheten till fiskalt material i TDS kan komma i konflikt med passivitetsrätten.

12.5.4. Tullagens regler om vitesförbud vid brottsmisstanke

Tullverket kan enligt 10 kap. 4 § tullagen (2000:1281) vid vite förelägga någon att vidta en åtgärd som behövs för förtullning, annan tullklarering eller kontrollverksamhet. Från denna regel finns ett i detta sammanhang viktigt undantag. Föreläggande vid vite får nämligen inte förekomma när det finns anledning att anta att den som skall föreläggas – eller företrädare för denne om det är en juridisk person – har begått brott, om föreläggandet har samband med den gärning som brottsmisstanken avser. Motsvarande bestämmelse finns även för skattemyndigheterna i bl.a. taxeringslagen (1990:324). Av regeringens uttalanden i samband med att bestämmelsen i tullagen infördes framgår att avsikten var att undvika ett förfarande som inte stod i överensstämmelse med artikel 6 i Europakonventionen. Regeringen anförde att förbudet mot vitesförelägganden bör inträda vid den tidpunkt då en brottsanmälan enligt gällande regler skall lämnas till åklagare (prop. 1997/98:10).

I detta sammanhang bör anmärkas att det genom Europadomstolens domar den 23 juli 2002 (Västberga Taxi AB och Vulic mot Sverige samt Janosevic mot Sverige) numera är klart att artikel 6 är tillämplig i ärenden om skattetillägg. Det finns enligt vår uppfattning inte anledning att anta annat än att samma bedömning kommer att gälla för tulltillägg, vilket innebär att rättighetsgarantierna i artikel 6 skall uppfyllas även i utredningar om tulltillägg.

12.5.5. Våra slutsatser avseende direktåtkomst till TDS och artikel 6

Inledningsvis vill vi poängtera att ett huvudsyfte med artikel 6 är att tillförsäkra en person en opartisk och rättssäker domstolsprövning avseende prövning av anklagelser för brott. Vid bedömningen av artikelns tillämpningsområde och passivitetsrättens räckvidd är det enligt vår uppfattning viktigt att detta syfte beaktas och att passivitetsrätten inte ses i ett isolerat perspektiv.

Artikel 6 är teknikneutral och den grundläggande frågan är därför om – eller när – Tullverket i den brottsbekämpande verksamheten kan använda sig av den information som finns i TDS och som primärt samlas in för fiskala ändamål. Det är enligt vår

bedömning otvivelaktigt på det viset att artikel 6 inte i sig förhindrar att fiskal information används i brottsbekämpande verksamhet under förutsättning att rättsäkerhetsgarantierna i artikeln kan upprätthållas. Det är vidare av underordnad betydelse vilken metod som tillämpas för informationsöverföringen. Om en uppgift i TDS på grund av Europakonventionens regler inte anses kunna utnyttjas i den brottsbekämpande verksamheten, så är det med andra ord inte principiellt mer fel om överföringen sker elektroniskt genom direktåtkomst än om uppgifterna överlämnas på papper.

Underrättelseverksamhet m.m.

Begreppet anklagelse för brott är väsentligt, eftersom det anger tidpunkten för när rättigheterna i artikel 6 kan börja göras gällande. Av ovan refererad praxis och doktrin drar vi slutsatsen att anklagelsetidpunkten tidsmässigt i vart fall bör ha inträtt när en person av behörig myndighet har underrättats om att det finns en brottsmisstanke mot honom eller henne och att en brottsutredning pågår. Enligt vår bedömning torde artikel 6 inte kunna åberopas i en situation där en person inte är misstänkt för ett konkret brott och det således inte är aktuellt att inleda en brottsutredning, exempelvis vid underrättelseverksamhet. Det finns inte heller några domar från Europadomstolen som uttalar att artikel 6 skulle vara tillämplig på underrättelseverksamhet i en situation då det inte finns någon misstanke om ett konkret brott, utan de mål som har prövats av domstolen har avsett personer som redan var misstänkta för brott när det olovliga tvånget utövades.

Anklagelsetidpunkten har betydelse för passivitetsrätten och dess räckvidd. Det bör enligt vår uppfattning råda överensstämmelse mellan dessa begrepp, så till vida att passivitetsrätten enligt artikel 6 kan börja göras gällande för den enskilde först efter det att anklagelsetidpunkten har inträtt. Denna tolkning överensstämmer enligt vår uppfattning med det faktum att passivitetsrätten, som innebär att den som är misstänkt för ett brott inte skall tvingas att belasta sig själv, ingår som en del i den grundläggande rättigheten till en rättvis rättegång vid prövning av anklagelser för brott enligt artikel 6. Det bör dock noteras att det i andra sammanhang har framförts uppfattningar om att den enskilde kan ha en självständig rätt att åberopa artikel 6 som stöd för att hålla sig passiv redan

innan han eller hon är anklagad (jfr Skattetilläggskommitténs betänkande, SOU 2001:25, s. 261).

Enligt vår uppfattning kan artikel 6 inte anses ställa upp några hinder mot att de enheter inom Tullverket som arbetar med underrättelseverksamhet tar del av fiskal information. Detsamma gäller för annan verksamhet vid Tullverket där arbetet har underrättelsekaraktär, t.ex. gränsskyddsenheternas selekteringsarbete. Det finns enligt vår mening därför inte heller några hinder på grund av artikel 6 mot att uppgifterna i TDS görs tillgängliga genom direktåtkomst i underrättelseverksamheten.

Brottsutredningar

I den verksamhet som bedrivs av tullkriminalenheterna har anklagelsetidpunkten enligt artikel 6 passerats när det kan bli aktuellt att inhämta information från TDS om den misstänkte. Det förekommer konkreta misstankar om brott och en brottsutredning är inledd. I den situationen kan det enligt vår uppfattning, till skillnad från vad som gäller för underrättelseverksamhet, finnas risk för att information hanteras på ett felaktigt sätt. Det kan t.ex. uppstå problem om en brottsutredning avseende en person överlappar en fiskal revision avseende samma person, och de båda utredningarna hanteras separat. Revisorerna kan i denna situation, med eller utan hot om vite, kräva ut handlingar som behövs för att fastställa tullar eller avgifter och som därefter överlämnas till brottsutredarna. Ett sådant förfarande skulle med största sannolikhet strida mot artikel 6, eftersom den undersökta personen vid en revision har avtvingats information som sedan används mot honom eller henne i en samtidigt pågående brottsutredning.

Problemet i sig är inte teknikrelaterat. Om på detta sätt felaktigt åtkomna handlingar används i en brottsutredning, spelar det ingen roll om informationsöverföringen har skett manuellt genom överlämnande av pappershandlingar eller elektroniskt genom direktåtkomst. Det är emellertid möjligt att riskerna för bristande kommunikation i samband med revisioner och brottsutredningar skulle kunna öka om personliga kontakter inte behöver tas mellan revisorer och brottsutredare för att de sistnämnda skall kunna ta del av information från TDS. I samband med en revision skulle uppgifter som åtkommits i strid med artikel 6 nämligen kunna registreras i TDS, varefter brottsutredarna genom direktåtkomst

kan ta del av uppgifterna utan att vara medvetna om att t.ex. fiskala tvångsmedel har använts.

För att tullkriminalenheterna skall medges direktåtkomst till TDS, är det därför enligt vår uppfattning av avgörande betydelse att det inom Tullverket finns rutiner som garanterar att tullkriminalenheternas och tullrevisorernas verksamheter inte sammanblandas på ett sådant sätt att enskilda under exempelvis en revision lämnar uppgifter som kan användas mot dem i en pågående eller nära förestående brottsutredning. Det bör i detta sammanhang påpekas att det, som vi redovisar i avsnitt 12.5.4, numera måste anses klart att artikel 6 är tillämplig i ärenden om tulltillägg. Det medför bl.a. att passivitetsrätten gäller redan i fiskala ärenden om påförande av särskilt tulltillägg, även om någon brottsutredning inte är aktuell. Det finns med andra ord starka skäl för att inom Tullverket hantera frågan om tillämpningen av artikel 6 med stor försiktighet, oavsett om tullkriminalenheterna skall ha direktåtkomst till TDS eller inte.

Vår bedömning är att artikel 6 inte utgör något principiellt hinder mot att direktåtkomst till TDS medges i brottsutredningar. Det krävs dock författningsreglering av åtkomstmöjligheterna samt tydliga rutiner och kunskap om hur informationen får hanteras inom Tullverket, innan en sådan åtkomst kan verkställas.

Gränsskyddsverksamhet

Arbetet inom Tullverkets gränsskyddsverksamhet är speciellt till sin karaktär, eftersom det kan ha inslag av såväl underrättelseliknande verksamhet som brottsutredning. Några problem med avseende på artikel 6 kan vi emellertid inte se i de fall tullens personal använder sig av information från TDS i samband med en kontroll, oavsett om kontrollen initieras av information från underrättelsesektioner, efter tips från enskilda eller på grund av att tullpersonalen av andra skäl anser att en kontroll bör genomföras.

Många gånger leder en kontroll inte till några rättsliga åtgärder över huvud taget, dvs. inget upptäcks som ger anledning att misstänka ett brottsligt förfarande. Om tullens personal däremot vid en kontroll upptäcker illegalt gods eller felaktigheter i deklarationshandlingar, kan naturligtvis en konkret brottsmisstanke uppstå mot en person. Det normala är då att en brottmålsrapport upprättas och att ärendet överlämnas till tullkriminalen, som har att hantera den fortsatta brottsutredningen. Att tullens

personal i samband med en kontroll utnyttjar tidigare registrerade uppgifter i TDS, t.ex. för att bekräfta uppgifter som ett företag har lämnat avseende det gods som kontrolleras, kan enligt vår bedömning inte strida mot passivitetsrätten enligt artikel 6. Några hinder mot att personal inom gränsskyddsverksamheten har direktåtkomst till TDS i sin brottsbekämpande verksamhet föreligger därmed inte av det skälet.

12.6. Sammanfattning och överväganden om direktåtkomst till TDS m.m.

Vårt förslag: Tullverket skall i sin brottsbekämpande verksamhet få ha direktåtkomst till Tulldatasystemet och andra fiskala register i tulldatabasen. I underrättelseverksamhet skall Tullverket få använda sig av direktåtkomst till de fiskala systemen i tulldatabasen endast om det behövs för att bekämpa allvarlig brottslig verksamhet.

Direktåtkomst till de fiskala systemen i tulldatabasen skall få användas endast för informationssökning avseende en viss person eller ett visst objekt samt för spärrläggning och liknande åtgärder i syfte att identifiera kontrollobjekt när det är påkallat i ett ärende. Vid spärrläggning e.d. skall uppgifter om fysiska personers identitet eller bosättning inte få behandlas i tulldatabasen.

Det är enligt vår uppfattning klart att Tullverket i sitt arbete med brottsbekämpning skulle kunna uppnå en markant högre effektivitet om direktåtkomst till TDS och andra fiskala register tilläts i den brottsbekämpande verksamheten. Enligt vår bedömning är integritetsriskerna med ett sådant förfarande små, eftersom de fiskala registren nästan uteslutande innehåller uppgifter om juridiska personers affärsförhållanden. De uppgifter som förekommer om fysiska personers personliga förhållanden är få och de kan inte anses vara av känslig karaktär. Vi anser inte heller att ett förfarande med direktåtkomst skulle strida mot artikel 6 i Europakonventionen. Mot denna bakgrund anser vi att det finns klart övervägande skäl som talar för att Tullverket skall tillåtas ha direktåtkomst till TDS.

För att ändå minimera de eventuella risker för otillbörliga integritetsintrång som kan finnas, är det enligt vår uppfattning viktigt att TDS inte används helt fritt i den brottsbekämpande verksamheten. Av särskild betydelse för integritetsskyddet anser vi vara att uppgifter i TDS inte behandlas för brottsbekämpande syften genom användning av urvalssystem för att ta fram riskprofiler och annan information som inte kan knytas till ett konkret ärende eller en konkret misstanke om förekomsten av brottslig verksamhet. Det skall med andra ord inte vara möjligt att utan begränsningar ”fiska” efter matnyttig information bland uppgifterna i TDS. Detta bör enligt vår uppfattning lösas genom särskilda ändamålsbestämmelser i lag som begränsar möjligheterna att använda TDS genom direktåtkomst samt kompletterande bestämmelser i förordning om när uppgifter i TDS får behandlas för brottsbekämpande ändamål. På detta sätt kan Tullverkets möjligheter att i brottsbekämpande verksamhet använda sig av direktåtkomst till fiskal information begränsas till vissa situationer där behovet är påtagligt.

Ändamålen för användning av TDS i brottsbekämpande verksamhet

Vid bedömningen av vilka behandlingar av uppgifter som skall vara tillåtna för en myndighet har ändamålsbestämmelser i de relevanta registerförfattningarna en avgörande betydelse. Det är endast sådana uppgifter som är adekvata och relevanta i förhållande till ändamålen som får behandlas och behandling får inte vara oförenlig med de ändamål för vilka uppgifterna samlades in. Det är därför enligt vår uppfattning viktigt att det i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet – dvs. den lag som reglerar den fiskala tulldatabasen – anges för vilka ändamål uppgifter i TDS och andra fiskala register får behandlas i brottsbekämpande verksamhet.

För att förhindra en fri användning av TDS och andra fiskala register i underrättelseverksamhet m.m. föreslår vi att det införs en ändamålsbestämmelse som tillåter behandling av uppgifter i tulldatabasen om det behövs för att förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer, dvs. allvarlig brottslig verksamhet. Det skall med andra ord vara möjligt att i underrättelseverksamhet använda TDS genom direktåtkomst endast då den brottsliga

verksamheten är av sådan svårighetsgrad att relevanta personuppgifter får registreras i ett allmänt underrättelseregister i tullbrottsdatabasen.

En sådan ändamålsbestämmelse innebär att det inte blir tillåtet för t.ex. underrättelseenheterna att utnyttja urvals- och sökprogram liknande de som används i den fiskala verksamheten, för att få fram kontrollvärda objekt med hjälp av TDS. Kravet på att TDS endast får användas om det behövs för att bekämpa allvarlig brottslig verksamhet innebär nämligen att uppgifter inte får behandlas om vilka personer som helst. Det krävs att de uppgifter som behandlas på något sätt kan vara till konkret hjälp i verksamheten med att förhindra eller upptäcka just allvarlig brottslig verksamhet. Användningen av ett urvalsprogram, utan att det anges tydliga begränsningar avseende de personer som skall omfattas av behandlingen, skulle ofrånkomligen leda till att uppgifter behandlas om personer som är helt oskyldiga och inte på något sätt kan antas ha samband med brottslig verksamhet.

I verksamhet med brottsutredningar föreslår vi inte någon motsvarande begränsning av ändamålen till att endast avse utredning av allvarlig brottslighet. Direktåtkomst till TDS bör allmänt få användas om det behövs för att utreda eller beivra konkreta brott, oavsett om brottsligheten är allvarlig eller inte. Det innebär emellertid inte att det skall saknas begränsningar för användandet av TDS. En väsentlig begränsning ligger enligt vår uppfattning redan i att TDS med stöd av en sådan ändamålsbestämmelse inte får användas på ett visst sätt om det inte behövs för handläggningen av ett konkret ärende. Detta utesluter att sökningar får göras i TDS utan att det finns befogad anledning till det. Det kommer alltså, på motsvarande sätt som i underrättelseverksamhet, att vara otillåtet att använda urvalssystem på ett integritetskänsligt sätt som innebär att uppgifter behandlas om personer som inte kan misstänkas ha någon betydelse i en förundersökning eller ett annat ärende om brottsutredning.

För att ytterligare stärka integritetsskyddet i samband med användningen av direktåtkomst i såväl underrättelseverksamhet som brottsutredande verksamhet, anser vi att regeringen bör bemyndigas att meddela närmare föreskrifter om när uppgifter får behandlas för de ovan angivna ändamålen. Enligt vår uppfattning bör de begränsningar som blir följden av ändamålsbestämmelserna konkretiseras genom att det i förordning anges att de fiskala systemen i tulldatabasen skall få användas endast för informations-

sökning avseende en viss person eller ett visst objekt samt för spärrläggning och liknande åtgärder i syfte att identifiera kontrollobjekt när det är påkallat i ett ärende. Vi är också av den uppfattningen att uppgifter om fysiska personers identitet eller bosättning inte skall få behandlas i tulldatabasen vid spärrläggning e.d. Behovet av att utnyttja den typen av personuppgifter vid spärrläggning är enligt vår uppfattning förhållandevis litet, samtidigt som en sådan begränsning minskar riskerna för otillbörliga integritetsintrång.

Dessa begränsningar till trots är det enligt vår mening mycket annan behandling av uppgifter vid utnyttjande av direktåtkomst till TDS, som med stöd av nämnda ändamålsbestämmelse och de kompletterande bestämmelserna i förordning blir tillåten i den brottsbekämpande verksamheten. Som exempel kan nämnas följande. – Riktad informationsinhämtning om fysiska eller juridiska personer som förekommer i förundersökningar eller som är aktuella i underrättelseverksamhet på grund av att de kan antas ha samband med allvarlig brottslig verksamhet. – Allmän informationssökning för att hitta uppgifter om t.ex. fordon och fysiska eller juridiska personer som förekommer i en förundersökning eller mot vilka det finns misstankar om inblandning i allvarlig brottslig verksamhet. – Användning av spärrmarkeringar e.d. för att på grund av särskild anledning kunna välja ut kontrollvärda juridiska personer eller objekt, t.ex. spärrar på samtliga möbeltransporter från ett visst land när det finns misstanke om att narkotika ofta smugglas i sådana transporter.

Sammanfattningsvis anser vi att de redovisade begränsningarna av tillgängligheten till TDS och andra fiskala register medför att vårt förslag om direktåtkomst för Tullverket i den brottsbekämpande verksamheten på ett tillfredsställande sätt tar tillvara behovet av skydd för den personliga integriteten samtidigt som mycket goda förutsättningar ges för en höjning av effektiviteten i verksamheten.

En sekretessbrytande bestämmelse

Som vi konstaterar i avsnitt 12.4.2 finns det en del oklarheter i sekretessförhållandet mellan den fiskala och den brottsbekämpande verksamheten inom Tullverket. För att direktåtkomst skall kunna

medges i den utsträckning vi föreslår, behövs det därför enligt vår uppfattning en bestämmelse som bryter sekretessen mellan den fiskala och den brottsbekämpande verksamheten inom Tullverket. Några hinder mot att införa sådana sekretessbrytande regler om uppgiftsskyldighet mellan självständiga verksamhetsgrenar inom en och samma myndighet föreligger inte. Vi föreslår därför att det i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet anges att uppgifter i den fiskala tulldatabasen på begäran skall lämnas ut till de verksamhetsgrenar inom Tullverket som arbetar med brottsbekämpande verksamhet.

13. Ikraftträdande- och övergångsbestämmelser

Vårt förslag: Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt den kompletterande förordningen och de ändringar vi föreslår i andra författningar, skall träda i kraft den 1 januari 2004. Vissa bestämmelser i den nya lagen om behandling av personuppgifter skall i fråga om äldre manuella register inte börja tillämpas förrän den 1 oktober 2007. Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft.

Den nya lagstiftning som vi föreslår för behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör kunna träda i kraft den 1 januari 2004. Detsamma gäller de ändringar vi föreslår i sekretesslagen (1980:100). Vi har övervägt behovet av övergångsbestämmelser och funnit att det av principiella skäl saknas anledning att låta manuell behandling av personuppgifter i Tullverkets verksamhet omfattas av lagstiftningen i annan utsträckning än vad som skulle ha varit fallet om endast personuppgiftslagens (1998:204) bestämmelser hade varit tillämpliga. De undantag från tillämpning fram till den 1 oktober 2007 som föreskrivs i personuppgiftslagen avseende manuella register, som påbörjats redan före den lagens ikraftträdande, bör därför gälla även för behandling enligt den nu föreslagna lagstiftningen. I praktiken torde övergångsbestämmelsen dock sakna eller ha mycket begränsad betydelse. Vidare bör den nya lagens bestämmelse om skadestånd tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft. Har omständigheten inträffat tidigare tillämpas i stället skadeståndsreglerna i äldre lagstiftning.

I övrigt gör vi den bedömningen att behandling av personuppgifter och andra uppgifter som i dag utförs i den brottsbekämpande verksamheten inom Tullverket, utan ytterligare övergångsbestämmelser direkt kan omfattas av bestämmelserna i den nya lagstiftningen när den träder i kraft.

14. Konsekvenser av våra förslag

Vår bedömning: Våra förslag kommer att ge förutsättningar för väsentliga effektivitetsvinster för Tullverkets brottsbekämpande verksamhet och en förbättrad samverkan mellan Tullverket och andra brottsbekämpande myndigheter. Förslagen i sig medför inte några kostnadsökningar.

Kommittéer som tillkallats på grund av ett regeringsbeslut och som har ett utredningsuppdrag skall enligt kommittéförordningen (1998:1474) genomföra konsekvensanalyser i skilda hänseenden beträffande de förslag som framställts. Vad som sägs i förordningen om kommittéer gäller också särskilda utredare. Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall en beräkning av dessa konsekvenser redovisas i betänkandet.

Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall kommittén eller utredaren föreslå en finansiering. Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, skall konsekvenserna också i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.

En grundläggande utgångspunkt för vårt arbete har varit att föreslå moderna, teknikoberoende och allmänt ändamålsenliga bestämmelser. Det har också varit väsentligt att den föreslagna lagstiftningen anpassas till en elektronisk ärendehandläggning. Särskild hänsyn har tagits till de integritetsaspekter som följer av

omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet. En annan viktig utgångspunkt för vårt arbete har varit att våra förslag i möjligaste mån skall främja samverkan mellan de brottsbekämpande myndigheterna.

Våra författningsförslag innebär att lagstiftningen i förhållande till i dag blir helt teknikoberoende. Förslagen gör det möjligt för Tullverket att skapa nya effektiva datorsystem för den brottsbekämpande verksamheten. Därigenom kan verksamheten förbättras genom ett mer ändamålsenligt datorstöd. Våra förslag kommer inte att innebära några kostnader för Tullverkets pågående verksamhet, eftersom de befintliga datorsystemen kan bibehållas. Samtidigt tillåter våra förslag att nya datorsystem i framtiden kan tillskapas utan att det blir nödvändigt att ändra regelverket .

Våra förslag innebär att Tullverket ges frihet att välja i vilken omfattning verket vill inrätta ett eller flera register eller system inom ramen för den gemensamma databasen. Förslagen möjliggör vidare att elektroniska ärendehanteringssystem kan skapas. Detta kommer att medföra positiva effekter för det brottsbekämpande arbetet, vilket kan effektiviseras betydligt.

Vid en jämförelse med vad som gäller i dag, innebär våra förslag också en mycket större flexibilitet i fråga om möjligheterna till informationsutbyte mellan myndigheter. Vi föreslår t.ex. att polisen, Ekobrottsmyndigheten, skattebrottsenheterna och Kustbevakningen i den brottsbekämpande verksamheten, under vissa förutsättningar, skall ges direktåtkomst till Tullverkets register och databaser. Förslagen om direktåtkomst kan förväntas medföra besparingar genom de effektivitetsvinster som direktåtkomsten åstadkommer. De brottsbekämpande myndigheterna kan genom direktåtkomsten bedriva sitt arbete på ett mer effektivt sätt.

Våra förslag innebär också att Tullverket ges större möjligheter att bedriva en effektiv underrättelseverksamhet. Vi föreslår t.ex. att det inte längre skall krävas att det skall vara fråga om misstänkt allvarlig brottslighet för att en särskild undersökning skall kunna inledas. Vidare föreslår vi att Tullverket i sin brottsbekämpande verksamhet skall få ha direktåtkomst till Tulldatasystemet och andra fiskala register i tulldatabasen. Våra förslag i denna del ger förutsättningar för en markant ökning av effektiviteten i arbetet med att bekämpa narkotikasmuggling och grov ekonomisk brottslighet. Vissa utbildningsinsatser kommer att krävas, men vi bedömer att dessa, jämfört med den fortlöpande vidareutbild-

ningen av personalen, inte är mer omfattande än att de kan täckas av ordinarie utbildningsanslag.

15. Författningskommentarer

15.1. Förslag till lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

1 kap. Allmänna bestämmelser

1 §

Enligt första stycket skall lagen, liksom personuppgiftslagen, tillämpas på all behandling av personuppgifter som är helt eller delvis automatiserad samt viss strukturerad manuell behandling. Med personuppgifter avses detsamma som i personuppgiftslagen, nämligen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Begränsningen till brottsbekämpande verksamhet innebär att en avgränsning görs mot den fiskala delen av Tullverkets verksamhet. Vad som är brottsbekämpande verksamhet legaldefinieras inte, men ledning kan hämtas i 4 § om för vilka ändamål uppgifter får behandlas och i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, som reglerar den fiskala verksamheten. Utanför lagens tillämpningsområde faller, förutom den fiskala verksamheten, även behandling av personuppgifter i samband med de interna och administrativa åtgärder som kan förekomma i Tullverkets verksamhet. För behandling av uppgifter som rör sådana frågor, t.ex. i personal- och löneregister, gäller i stället personuppgiftslagen.

Enligt andra stycket skall bestämmelserna om ändamål, om ansvar för utförd behandling, och om gallring samt de bestämmelser som gäller tullbrottsdatabasen, tillämpas också på juridiska personer.

Bestämmelserna i 1 kap. är generella och gäller, om inte annat sägs, för all behandling av uppgifter i den brottsbekämpande verksamheten, oavsett om det gäller e-post, enskilda tjänstemäns

promemorior som upprättats i ordbehandlingsprogram, mindre register som används tillfälligt i underrättelseprojekt eller större register och datorsystem som används gemensamt i den brottsbekämpande verksamheten. I tredje stycket upplyses om att det för de sistnämnda fallen, t.ex. behandling i tullens gemensamma underrättelseregister och ärendehanteringssystem, finns särskilda bestämmelser i 2 kap. om den gemensamma databasen för Tullverkets brottsbekämpande verksamhet, se kommentaren till 2 kap. 1 §. (Se avsnitt 11.1.2)

2 §

Paragrafen är föranledd av att enskilda enligt dataskyddsdirektivet i vissa fall kan motsätta sig behandling av personuppgifter som rör honom eller henne, om det inte görs undantag i nationell lagstiftning.

3 §

Lagen gäller i stället för personuppgiftslagen. I de fall bestämmelser i personuppgiftslagen är tillämpliga även på behandling i Tullverkets brottsbekämpande verksamhet anges det särskilt. (Se avsnitt 11.1.3)

4 §

I paragrafen anges vilka bestämmelser i personuppgiftslagen som skall vara tillämpliga även vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. De angivna bestämmelserna är alltså inte tillämpliga på behandling av uppgifter om juridiska personer och avlidna.

Bestämmelsen i 22 § personuppgiftslagen om personnummer m.m. tillämpas endast när uppgifter behandlas på annat sätt än i databasen, t.ex. i ordbehandlingsdokument eller i e-post som inte ingår i databasen. För personuppgifter som behandlas i databasen finns särskilda regler om användningen av bl.a. personnummer. (Se avsnitt 11.1.3)

5 § Paragrafen anger de ändamål för vilka uppgifter får användas – dvs. samlas in, registreras, lämnas ut och i övrigt behandlas – i den brottsbekämpande verksamheten. Bestämmelsen tillämpas på uppgifter om såväl fysiska som juridiska personer.

Enligt punkten 1 får uppgifter behandlas för att förhindra eller upptäcka brottslig verksamhet som Tullverket har att ingripa mot. Bestämmelsen omfattar inte allmän brottsförebyggande verksamhet, som t.ex. information i skolor eller arbetet med den s.k. Servicetrappan. Vad som avses i bestämmelsen är främst det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att komma åt brottslig verksamhet när det inte finns konkreta misstankar om att ett brott redan har begåtts. Inom ramen för detta ändamål ryms även den gränskontrollerande verksamheten på plats, innan den situationen har uppstått att t.ex. ett smugglingsbrott faktiskt har upptäckts. Punkten 1 är alltså inte tillämplig när det ”finns anledning att anta att ett brott har förövats” och en förundersökning skall inledas enligt 23 kap. rättegångsbalken (RB) eller när ett konkret brott har begåtts och åtal kan ske utan förundersökning genom ett förenklat förfarande enligt 23 kap. 22 § RB eller när ett brott skall beivras med stöd av 48 kap. RB utan att åtal väcks. I sådana fall får uppgifter i stället behandlas med stöd av ändamålet i punkten 2.

Med punkten 2 avses arbete, t.ex. spaning, förhör och informationsbearbetning, inom ramen för en förundersökning enligt 23 kap. RB eller i samband med annat utredande eller beivrande av ett konkret brott. Det innebär t.ex. att punkten 2 reglerar behandling som sker med stöd av 23 kap. 3 och 8 §§ RB, innan förundersökning har inletts (inledande förhör på brottsplatsen m.m.), samt med anledning av andra åtgärder som vidtas i syfte att samla in underlag för beslut om förundersökning skall inledas eller inte, s.k. primärutredning (t.ex. kontroll av ett tips om att ett brott har förövats). Det väsentliga är alltså att åtgärderna sker med anledning av att ett konkret brott har eller misstänks ha begåtts, inte om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form. Om det finns misstankar om pågående brottlig verksamhet som inte kan konkretiseras eller misstankar om att ett konkret brott kommer att begås i framtiden, får uppgifter i stället behandlas med stöd av ändamålet i punkten 1.

Punkten 3 är en uppsamlingsregel och behövs för att behandling skall kunna utföras i internationella sammanhang när det krävs för att Sveriges åtaganden skall kunna fullgöras, men då behandlingen inte ryms under något av ändamålen i punkterna 1 och 2. Som exempel kan nämnas att Tullverket bistår en annan EU-stat med information som behövs för att t.ex. utreda ett brott som har begåtts i det landet och därför inte faller inom den svenska tullens

ansvarsområde. Uppgifter kan naturligtvis även behandlas med stöd av såväl punkten 3 som någon av punkterna 1 eller 2.

Punkten 4 reglerar behandling av uppgifter som behövs för den administrativa interna tillsynen, kontrollen och uppföljningen m.m. av den brottsbekämpande verksamheten inom Tullverket. (Se avsnitt 11.1.4)

6 §

I paragrafen anges som ett särskilt ändamål att uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet får användas för att tillhandahålla information som andra brottsbekämpande myndigheter behöver, t.ex. polisen, skattebrottsenheter och Kustbevakningen. (Se avsnitt 11.1.4)

7 § Tullverket är personuppgiftsansvarigt för all behandling som utförs av verket. Personuppgiftsansvaret gäller även vid underlåtenhet att utföra en behandling som åligger Tullverket. Med personuppgiftsansvaret följer en rad skyldigheter. Den personuppgiftsansvarige skall bl.a. se till att behandlingen av uppgifter sker på ett korrekt och säkert sätt, att information lämnas till den registrerade och att uppgifter gallras i rätt tid.

Det förekommer att Tullverket i den brottsbekämpande verksamheten utför behandling av personuppgifter som andra myndigheter har ansvaret för. Som exempel kan nämnas att Tullverket på egen hand registrerar uppgifter i misstankeregistret, som Rikspolisstyrelsen har ansvaret för. I fråga om denna och andra behandlingar för vilka det i särskilda författningar uttryckligen anges att någon annan än Tullverket är personuppgiftsansvarig, gäller vad som sägs i de författningarna.

Tullverket har även ett ansvar för uppgifter om juridiska personer, dvs. sådant som inte utgör personuppgifter. Ansvaret innebär motsvarande skyldigheter som personuppgiftsansvaret i fråga om de krav som lagen ställer på behandling av uppgifter om juridiska personer. Dit hör enligt 1 § att uppgifterna endast får behandlas för tillåtna ändamål samt att de skall gallras i rätt tid. Även ansvaret för att de krav som ställs upp för behandling av uppgifter i tullbrottsdatabasen uppfylls, gäller för uppgifter om juridiska personer. Däremot är bestämmelserna i 3 kap. om enskildas rättigheter inte tillämpliga, vilket t.ex. innebär att

Tullverkets ansvar gentemot juridiska personer inte omfattar skyldighet att lämna information eller rätta uppgifter enligt personuppgiftslagen. (Se avsnitt 11.1.5)

8 §

Enligt 13 § personuppgiftslagen är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Om sådana uppgifter måste behandlas i offentlig verksamhet utan samtycke, behövs det särskilda och avvikande bestämmelser för i vilka fall det får göras. Bestämmelserna i 8 § första och andra styckena överensstämmer i sak med de i dag gällande bestämmelserna för Tullverkets brottsbekämpande verksamhet.

I första stycket anges att känsliga personuppgifter inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det innebär t.ex. att det inte är tillåtet att i underrättelseverksamhet föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.

Av andra stycket framgår att om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter när det är oundgängligen nödvändigt för syftet med behandlingen. Som exempel kan nämnas att en person är aktuell i ett ärende, t.ex. en förundersökning. Om det är absolut nödvändigt för handläggningen av ärendet får de övriga uppgifterna i ärendet kompletteras med känsliga personuppgifter. Känsliga personuppgifter kan även få behandlas i underrättelse- och gränskontrollverksamheten. Om Tullverket får ett tips från allmänheten om en person som troligen smugglar narkotika, får anteckningar naturligtvis göras om sådant som är nödvändigt för att underlätta identifiering vid gränsen, t.ex. fysiska kännetecken och etniskt ursprung m.m. På samma sätt är det i den informationsbearbetning som äger rum i underrättelseverksamheten tillåtet att anteckna känsliga personuppgifter om personer som på saklig grund är misstänkta för att bedriva brottslig verksamhet, under förutsättning att de känsliga uppgifterna är nödvändiga för att få fram den fullständiga underrättelseinformation som behövs.

Bestämmelserna om känsliga personuppgifter gäller även vid behandling av uppgifter och handlingar i tullbrottsdatabasen, men i tredje stycket upplyses om att det i 2 kap. också finns kompletterande bestämmelser för sådan behandling. Hänvisningen avser bestämmelsen om behandling av uppgifter i inkomna elektroniska handlingar i databasen. (Se avsnitt 11.4.1)

9 § När uppgifter behandlas i den brottsbekämpande verksamheten är det av integritetsskäl viktigt att man särskiljer olika typer av uppgifter. Särskilt viktigt är att det inte uppstår missuppfattningar om i fall någon är misstänkt för ett konkret brott eller inte. I första stycket anges att om det inte klart framgår av sammanhanget att de uppgifter som behandlas om en person inte har som grund att personen är misstänkt för brott, skall en särskild upplysning om detta förhållande göras i anslutning till personuppgifterna. Som exempel på när det klart framgår att behandlade uppgifter inte gäller misstanke om ett brott, kan nämnas uppgifter i ett e-postmeddelande som rör poliser eller privatpersoner som tullen har ett samarbete med eller en lista med kontaktpersoner bland civilanställd personal på t.ex. en flygplats. Utgångspunkten är att särskilda upplysningar inte behövs när det av sammanhanget inte kan uppstå några tvivel om varför uppgifterna i fråga behandlas och det därför inte föreligger risk för att någon av misstag kan uppfattas som misstänkt för brott.

I underrättelseverksamhet behandlas ofta uppgifter om personer som i och för sig inte är misstänkta för brott – och en upplysning enligt första stycket skall då normalt lämnas om detta – men som kan misstänkas vara inblandade i brottslig verksamhet. Av andra stycket följer att när sådana uppgifter behandlas skall en särskild upplysning i förekommande fall lämnas om vilken trovärdighet som tillmäts uppgiftslämnaren, t.ex. den som lämnar ett tips till tullen. Om möjligt skall också anges hur korrekt uppgiften är, t.ex. om det är en obekräftad gissning eller ett belagt faktum (se även kommentaren till 2 kap. 2 §). Till skillnad från vad som gäller för behandling i ett för Tullverket gemensamt underrättelseregister enligt 2 kap., ställs inga krav på att det skall vara fråga om misstänkt allvarlig brottslig verksamhet för att uppgifter skall få behandlas om en person.

Av tredje stycket framgår att när uppgifter behandlas i tullbrottsdatabasen, dvs. i register eller datorsystem som används gemensamt inom Tullverket, skall de särskilda bestämmelserna i 2 kap. tillämpas. (Se avsnitt 11.4.2)

10 § Bestämmelsen innebär att elektronisk information som inte behandlas i tullbrottsdatabasen (t.ex. ordbehandlingsdokument och e-postmeddelanden som inte är gemensamt tillgängliga i verksamheten), måste gallras eller rensas efter ett år. När uppgifter behandlas i ett ärende, t.ex. i en brottsutredning när förundersökning inte har inletts eller inom ramen för ett särskilt underrättelseprojekt, gäller ettårsgränsen från det att ärendet avslutades. Om uppgifter inte kan hänföras till ett särskilt ärende, t.ex. tillfällig information i gränskontroll- eller underrättelseverksamhet, gäller i stället att uppgifterna skall gallras eller rensas ett år efter att de behandlades automatiserat första gången. Om en sådan uppgift, som antecknas utan att vara hänförlig till ett visst ärende, tillförs ett ärende inom ettårsfristen, får den dock bevaras under längre tid som en del av ärendet.

Att uppgifterna skall gallras innebär att de kan föras över på t.ex. papper, varefter den elektroniska informationen raderas. De uppgifter som finns kvar endast på papper omfattas då inte längre av den ettåriga gallringstiden, utan de omfattas av de generella bestämmelserna om gallring enligt bl.a. arkivlagen. Uppgifter som inte utgör allmän handling skall i stället definitionsmässigt rensas.

Av andra stycket framgår att bestämmelserna om gallring inte gäller för uppgifter i förundersökningar. För sådana uppgifter skall i stället arkivlagens regler tillämpas. Vidare framgår att regeringen eller den myndighet som regeringen bestämmer, för andra uppgifter än sådana som ingår i förundersökningar, kan meddela föreskrifter om undantag från ettårsregeln, eftersom uppgifter i vissa fall kan behöva bevaras under längre tid än ett år.

I tredje stycket anges att bestämmelserna i paragrafen inte är tillämpliga på uppgifter som behandlas i databasen. För sådan behandling finns i stället särskilda bestämmelser i 2 kap. Det innebär att uppgifter, oavsett om de kan hänföras till ett ärende eller inte, kan få bevaras under längre tid än ett år, om de registreras i tullbrottsdatabasen genom att göras gemensamt tillgängliga enligt de särskilda bestämmelser som gäller för databasen. Som exempel

kan nämnas uppgifter som behandlas i ett avgränsat underrättelseprojekt inom en tullregion och bedöms vara av sådant allmänt värde att de också registreras i ett för den brottsbekämpande verksamheten gemensamt underrättelseregister. (Se avsnitt 11.8.3)

2 kap. Tullbrottsdatabasen

I paragrafen anges att det skall finnas en databas i den brottsbekämpande verksamheten. Begreppet databas är juridiskt och inte tekniskt. Tullbrottsdatabasen är med andra ord ett rättsligt samlingsnamn på ett eller flera gemensamma dataregister eller ärendehanteringssystem. I korthet kan databasen beskrivas som uppgiftssamlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten. Som exempel på vad som omfattas av databasen kan nämnas uppgifter om enskilda i ett ärendehanteringssystem, t.ex. namn och adress, som registreras i samband med att ett ärende inleds och som är tillgängliga för kanslier och handläggare. I databasen ingår även uppgifter i olika register som används av tullpersonal vid exempelvis gränskontroller för att få information som behövs för att personalen skall kunna avgöra vilka åtgärder som behöver vidtas. Utanför databasen faller däremot uppgifter i t.ex. e-post, ordbehandlingsdokument och tillfälliga register, som lagras i en hårddisk eller i en server på sådant sätt att de inte är allmänt tillgängliga inom Tullverket, utan åtkomliga endast för den person – eller ett fåtal personer i en avgränsad grupp – som tar emot e-postmeddelandet, upprättar dokumentet eller använder sig av det tillfälliga registret m.m.

1 §

När uppgifter eller handlingar som är införda i ett register eller ett större datorsystem – och alltså är gemensamt tillgängliga i verksamheten, dvs. ingår i databasen – sambearbetas med varandra i ett gemensamt system, skall behandlingen utföras i enlighet med det för databasen gällande regelverket. Om däremot uppgifter som är införda i en databas sambearbetas utanför det gemensamma systemet med uppgifter som inte finns i databasen, skall i stället de allmänna bestämmelserna i 1 kap. om behandling av uppgifter i den brottsbekämpande verksamheten tillämpas. Ett exempel på det sistnämnda fallet kan vara att uppgifter som är registrerade i ett gemensamt underrättelseregister eller ett större datorsystem

kopieras och används av en klart avgränsad grupp tjänstemän – t.ex. inom ett underrättelseprojekt – vid upprättande av ordbehandlingsdokument och tillfälliga register som inte ingår i databasen. (Se avsnitt 11.2)

2 §

I paragrafen regleras de personer om vilka uppgifter får registreras i databasen i arbetet med att förhindra eller upptäcka brottslig verksamhet. Bestämmelsen korresponderar med ändamålsbestämmelsen i 1 kap. 5 § 1.

I första stycket anges de grundläggande förutsättningarna för att uppgifter om en fysisk eller juridisk person över huvud taget skall få registreras i den aktuella verksamheten. Kravet är att personen i fråga kan antas ha samband med misstänkt allvarlig brottslig verksamhet. I begreppet ”ha samband med” ligger att personen själv inte behöver vara misstänkt för att bedriva allvarlig brottslig verksamhet. Sådana personer som trots att de själva inte är misstänkta kan behöva registreras i främst underrättelseverksamhet är t.ex. tipsare, vittnen till intressanta händelser, ägare till fordon som misstänks användas i allvarlig brottslig verksamhet och fastighetsskötare i fastigheter som misstänks användas som exempelvis lagerlokaler för smuggelgods. Även uppgifter om en juridisk person, t.ex. ett företag vars lokaler utnyttjas i kriminell verksamhet, får registreras. Det kan också finnas anledning att registrera personer som är misstänkta för mindre allvarlig brottslighet om de kan antas ha samband med en mer omfattande allvarlig brottslighet, t.ex. kurirer som för in små mängder narkotika som ett led i en organiserad verksamhet av större omfattning. Det är dock – till skillnad från vad som gäller vid behandling enligt 1 kap. i icke gemensamma register m.m. – ett absolut krav att det i grunden finns en misstanke om allvarlig brottslig verksamhet. De registrerade personerna skall också antas ha någon form av anknytning till den allvarliga brottsliga verksamheten, oavsett om de är medvetna om sin inblandning eller inte. Det förhållandet att en person är misstänkt för ett konkret brott, och eventuellt förekommer i en förundersökning, hindrar inte att han eller hon registreras med stöd av denna paragraf, under förutsättning att det behövs i arbetet med att förhindra eller upptäcka annan allvarlig brottslig verksamhet.

Eftersom det är fråga om behandling av mycket känsliga uppgifter som ofta är tillgängliga för ett flertal personer som

arbetar med brottsbekämpning och då de personer som kan komma att registreras inte nödvändigtvis själva är misstänkta för brott, sätts i andra stycket upp särskilda integritetsskyddande regler. Av de registrerade uppgifterna skall klart framgå om registreringen har skett till följd av att personen själv är misstänkt för att bedriva allvarlig brottslig verksamhet eller inte. För att exemplifiera kan en fordonsägare, som inte själv är misstänkt för att vara inblandad i allvarlig brottslighet, i ett underrättelseregister förses med t.ex. beteckningen EM (ej misstänkt) och en person som själv endast är misstänkt för mindre allvarlig brottslighet, som dock ingår som ett led i en omfattande allvarlig brottslig verksamhet, förses med beteckningen EMAB (ej misstänkt för allvarlig brottslighet).

Som ett ytterligare kompletterande integritetsskydd för fysiska personer skall det, enligt tredje stycket, av de registrerade uppgifterna framgå om de baseras på konstaterade fakta (t.ex. att en bil vid spaning faktiskt har observerats stå parkerad på viss plats) eller om det är fråga om gissningar eller teorier (t.ex. att personen A beter sig på ett sätt som tyder på inblandning i viss brottslig verksamhet). Om uppgifter inte registreras som en följd av egna observationer utan på grund av att upplysningar lämnats t.ex. genom tips, skall det noteras vilken trovärdighet som tillmäts uppgifterna.

I 2 § anges inte vilka övriga uppgifter som får registreras, utan detta framgår av 6 §. Det kan här noteras att rätten att registrera uppgifter om annat än personer, t.ex. varor, fordon och fastigheter m.m. inte regleras i 2 §. Uppgifter om sådana föremål m.m. som inte kan hänföras till en viss person får registreras direkt med stöd av nämnda 6 §. Det är dock viktigt att framhålla att om det bland uppgifterna om t.ex. ett fordon även anges registreringsnummer, så innebär detta en behandling av uppgifter om den person som är registrerad ägare. I sådana fall måste självfallet kraven i 2 § vara uppfyllda. (Se avsnitt 11.4.2)

3 §

Av paragrafens första stycke framgår att Tullverket i den brottsutredande verksamheten får behandla uppgifter om personer som förekommer i ett ärende. Vanligtvis rör det sig om en förundersökning, men det kan även vara ett ärende som avser beivrande av brott inom ramen för ett förenklat eller summariskt förfarande.

Paragrafen korresponderar med ändamålsbestämmelsen i 1 kap. 5 § 2.

Med att en person förekommer i ett ärende avses att personen av någon anledning skall vara aktuell i ärendet. Av ändamålsbestämmelsen i 1 kap. 5 § 2 framgår att uppgifterna skall behövas i ärendet för att registrering skall få ske. De personer som kan vara aktuella att registrera är såväl misstänkta som vittnen och ombud m.fl. Om exempelvis spaningsverksamhet förekommer inom ramen för en förundersökning får uppgifter om personer som bedöms ha relevans för ärendet behandlas med stöd av denna paragraf. Om det vid sådan spaningsverksamhet eller vid annan kontroll framkommer uppgifter om personer som inte bedöms ha relevans i ett ärende om brottsutredning, men som är av intresse av underrättelseskäl, måste däremot kraven i 2 § vara uppfyllda för att registrering skall få ske.

Eftersom det är fråga om behandling av mycket känsliga uppgifter och då de personer som kan komma att registreras inte nödvändigtvis själva är misstänkta för brott, ställs det i andra stycket krav på att det av de registrerade uppgifterna klart skall framgå om en registrerad person inte är misstänkt för brott (t.ex. i ett spaningsregister genom beteckningen EMB, ej misstänkt för brott). Någon sådan upplysning är dock inte nödvändig om det av det sammanhang i vilket uppgifterna finns klart framgår vad orsaken till registreringen är. Om det i ett förundersökningsärende upprättas t.ex. en vittneslista inför kommande domstolsförhandling, behöver det inte anges huruvida vittnena är misstänkta för brott eller inte. Detsamma torde oftast kunna gälla när en uppgift ingår i ett större sammanhang i löpande text, t.ex. i en elektroniskt upprättad rapport över situationen i förundersökningen. Det är främst när uppgifter registreras som s.k. fältuppgifter i olika former av register, som t.ex. används som hjälpmedel i spanings- och kontrollverksamhet, som det måste anges om personen är misstänkt för brott eller inte. I annat fall kan det uppstå missförstånd om vilken status den registrerade personen har i förundersökningen.

I 3 § anges inte vilka övriga uppgifter som får registreras, utan detta framgår av 6 §, jfr kommentaren till 2 §. (Se avsnitt 11.4.3)

4 § Med anledning av att Sverige har åtagit sig ett stort antal förpliktelser i form av internationellt tullsamarbete, inte minst inom EU, kan det uppkomma situationer då Tullverket måste behandla uppgifter om personer trots att de inte omfattas av bestämmelserna i 2 eller 3 §. Det kan finnas åtaganden som innebär att viss registrering av personer måste ske trots att det inte finns anledning att misstänka något samband med allvarlig brottslig verksamhet och trots att det inte finns något konkret brott att utreda eller beivra. Av paragrafen framgår att uppgifter om sådana personer får behandlas om det är nödvändigt för att Tullverket skall kunna fullgöra Sveriges förpliktelser så som de kommer till uttryck i lagen (2000:1219) om internationellt tullsamarbete.

I 4 § anges inte vilka uppgifter som får registreras om personen, utan detta framgår av 6 §, jfr kommentaren till 2 §. (Se avsitt 11.4.4)

5 §

I paragrafen anges att Tullverket vid sin behandling av uppgifter om personer måste se till att det klart framgår med stöd av vilken bestämmelse en uppgift behandlas. Eftersom lagstiftningen är teknikneutral (se kommentaren till 1 §) finns det inga hinder mot att inom ramen för databasen inrätta t.ex. ett gemensamt spanings- och underrättelseregister och i detta registrera uppgifter om såväl personer som utan att själva vara misstänkta kan antas ha samband med allvarlig brottslig verksamhet, som personer vilka inom ramen för en förundersökning är misstänkta för ett konkret brott. I ett sådant register måste det dock klart och tydligt anges med stöd av vilken bestämmelse en uppgift har registrerats, så att uppgifterna kan hållas i sär. (Se avsnitt 11.4.5)

6 § I paragrafen anges vilka kategorier av uppgifter som får behandlas i databasen. För uppgifter om personer gäller att förutsättningarna i 2–4 §§ måste vara uppfyllda för att uppgifterna skall få behandlas. Ett grundläggande krav är givetvis också att de uppgifter som behandlas behövs för något av de ändamål som anges i 1 kap. 5 §. För känsliga personuppgifter gäller därutöver vad som sägs i den allmänna bestämmelsen i 1 kap. 8 §, nämligen att kompletterande känsliga uppgifter får behandlas om det är oundgängligen

nödvändigt för syftet med behandlingen. Det kan också noteras att det i paragrafen endast anges vilka uppgifter som får behandlas i databasen, medan det i 2 och 3 §§ anges att vissa uppgifter skall behandlas.

Av punkten 1 framgår att grundläggande identitetsuppgifter får behandlas om fysiska personer, t.ex. namn, personnummer och kön. Uppgifter om nationalitet och medborgarskap kan utgöra känsliga personuppgifter och får då behandlas bara om det är oundgängligen nödvändigt. Även uppgifter om en persons yrke och arbetsplats får behandlas. Andra uppgifter än de uttryckligen nämnda, adress och telefonnummer, som kan behövas för kommunikation med en person är t.ex. platser där en person brukar vistas, e-postadress m.m.

I punkten 2 regleras grundläggande uppgifter om juridiska personer, motsvarande vad som enligt punkten 1 gäller för fysiska personer.

Enligt punkten 3 får upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet behandlas. Av 2 § framgår att vissa sådana uppgifter alltid skall anges.

I punkten 4 sägs att de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas får anges i databasen, t.ex. varför man antar att någon har samband med misstänkt allvarlig brottslighet och varför man misstänker att ett brott har begåtts.

Enligt punkten 5 får det i databasen, vid sidan av vanliga identitetsuppgifter, även göras anteckningar om en persons särskilda fysiska kännetecken. Det kan röra sig om allmänna beskrivningar av en persons utseende eller mer specifika detaljer som tatueringar e.d. Om en anteckning om fysiska kännetecken skulle utgöra en känslig personuppgift, t.ex. om någons hälsotillstånd eller etniska härkomst, krävs att uppgiften är oundgängligen nödvändig för syftet med behandlingen.

Av punkten 6 framgår att uppgifter om varor, brottshjälpmedel och transportmedel får registreras. Det kan röra sig om fastigheter, vapen, bilar m.m. Om uppgifter avseende sådana objekt kan hänföras till en enskild person, t.ex. till ägaren av fordonet eller fastigheten, krävs att förutsättningarna i 2–4 §§ för registrering av den personen är uppfyllda. Noteringar om t.ex. vapen eller upphittad narkotika som inte kan hänföras till en enskild person får göras med stöd enbart av denna punkt (jfr kommentaren till 2 §).

Enligt punkten 7 får i databasen behandlas uppgifter om att en person av olika skäl kan vara farlig och att särskilda åtgärder därför kan behövas.

Punkten 8 reglerar vilka administrativa uppgifter om ärenden som får behandlas. I princip får alla uppgifter som beskriver ett ärende registreras. I en ärendemening, som kan behövas för att intressanta ärenden skall kunna letas fram utan att man har tillgång till identitetsuppgifter, kan det finnas skäl att anteckna känsliga personuppgifter om det är oundgängligen nödvändigt för att på ett korrekt sätt beskriva vad ärendet handlar om.

Av punkten 9 framgår att Tullverket får registrera uppgifter som avser verkets åtgärder med och administration av ärenden. Bestämmelsen är nödvändig för att mer avancerade ärendehanteringssystem skall kunna användas, t.ex. i tullkriminalens arbete. Det kan röra sig om uppgifter om beslut, kallelser och delgivningar m.m.

Av punkten 10 framgår att Tullverket får registrera de uppgifter som är nödvändiga för att internationella åtaganden eller åligganden skall kunna fullgöras.

Slutligen anges i punkten 11 att det i samband med uppgifter om personer eller fordon m.m. som är registrerade i tullbrottsdatabasen får göras hänvisningar till register eller databaser hos andra brottsbekämpande myndigheter (t.ex. polisen, Ekobrottsmyndigheten och skattebrottsenheter vid skattemyndigheterna) där personerna eller fordonen också finns registrerade.

I andra stycket anges att regeringen eller den myndighet regeringen bestämmer (Tullverket) meddelar närmare föreskrifter om vilka uppgifter som får behandlas inom ramen för varje uppgiftskategori. Vad som avses är en precisering, t.ex. att punkten 1 omfattar uppgifter om faxnummer och e-postadress m.m. (Se avsnitt 11.3.1)

7 § Paragrafen reglerar den grundläggande hanteringen av elektroniska handlingar. Det framgår att alla handlingar, såväl av Tullverket upprättade som till verket inkomna (enligt terminologin i 2 kap. tryckfrihetsförordningen), får behandlas i databasen. Inkomna handlingar får alltid behandlas oavsett innehåll och oavsett om de har kommit in i elektronisk form eller om det är pappershandlingar som har skannats in och lagrats. För handlingar som upprättas av Tullverket gäller däremot samma begränsningar av innehållet i fråga

om känsliga personuppgifter som för all annan behandling i Tullverkets brottsbekämpande verksamhet (jfr 1 kap. 8§), nämligen att sådana uppgifter endast får användas som komplettering om det är oundgängligen nödvändigt för syftet med behandlingen. Det innebär att elektroniskt upprättade handlingar inte slentrianmässigt får innehålla känsliga personuppgifter, utan det skall vara klart motiverat. (Se avsnitt 11.3.2)

8 § Paragrafens första stycke reglerar i vilka fall uppgifter och handlingar i databasen får lämnas ut i bearbetningsbar elektronisk form. Till svenska myndigheter får uppgifter och handlingar lämnas ut på sådant sätt under förutsättning att sekretesslagen (1980:100) inte hindrar utlämnandet. Bestämmelsen är således inte sekretessbrytande, utan reglerar endast på vilket sätt uppgifter får lämnas ut. För utlämnande till utländska myndigheter gäller att uppgifter får lämnas ut i elektronisk form om Sverige är skyldigt att göra det, t.ex. på grund av en EG-förordning eller en internationell överenskommelse. För utlämnande till enskilda, och till utländska myndigheter som inte har en uttrycklig rätt att ta del av uppgifterna i elektronisk form, krävs att regeringen särskilt har meddelat föreskrifter som tillåter utlämnande i den formen.

I andra stycket markeras att skilda bestämmelser gäller för å ena sidan det i första stycket reglerade utlämnandet i för mottagaren bearbetningsbar elektronisk form av uppgifter eller handlingar på initiativ av eller efter begäran hos Tullverket, och å andra sidan den i 9 och 10 §§ reglerade direktåtkomsten för myndigheter till uppgifter och handlingar i Tullverkets databas. (Se avsnitt 11.5.2)

9 §

I paragrafen regleras vilka andra myndigheter som får ha direktåtkomst till uppgifter och handlingar i tullbrottsdatabasen. Bestämmelsen innebär inte att myndigheterna har en absolut rätt till direktåtkomst. Syftet är att lagen inte skall hindra att uppgifter hämtas in till andra brottsbekämpande myndigheter genom direktåtkomst om de tekniska möjligheterna finns och sekretess inte hindrar det.

Av första stycket framgår att alla de brottsbekämpande myndigheterna med polisiära arbetsuppgifter – vilket innebär att de renod-

lade åklagarmyndigheterna är undantagna – får ha direktåtkomst till samtliga uppgifter om personer som har registrerats av Tullverket på grund av samband med misstänkt allvarlig brottslig verksamhet eller på grund av brottsutredningar. Möjligheterna till direktåtkomst omfattar enligt bestämmelsen inte elektroniska handlingar.

De myndigheter som har åklagarfunktioner, dvs. Riksåklagaren, åklagarmyndigheterna och Ekobrottsmyndigheten, får enligt andra stycket ha direktåtkomst till samtliga uppgifter och elektroniska handlingar om personer som förekommer i brottsutredningar, dock inte till information om personer som inte är misstänkta för brott utan endast kan antas ha samband med brottslig verksamhet. Eftersom Ekobrottsmyndigheten har såväl en åklagarfunktion som polisiära arbetsuppgifter, omfattas myndigheten av både första och andra stycket.

Regeringen meddelar enligt tredje stycket närmare föreskrifter om omfattningen av direktåtkomsten, dvs. både vilka uppgifter och handlingar som får omfattas av åtkomsten och vilka personalkategorier vid myndigheterna som får ha åtkomst. (Se avsnitt 11.6.3 och 11.6.4)

10 § Utöver den direktåtkomst som föreskrivs i 9 §, får även utländska myndigheter ha direktåtkomst till uppgifter om regeringen har meddelat föreskrifter om det eller om det är nödvändigt för att Sverige skall kunna fullgöra sina internationella förpliktelser. (Se avsnitt 11.6.5)

11 § Av 1 kap. 8 § följer att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person däremot behandlas på annan grund får de kompletteras med sådana känsliga personuppgifter när det är oundgängligen nödvändigt för syftet med behandlingen. Bestämmelsen har en viktig integritetsskyddande betydelse. Av samma skäl är det inte tillåtet att i databasen göra sökningar med dessa uppgifter som grund i andra fall än då det är absolut nödvändigt för att den information som behövs skall kunna tas fram. (Se avsnitt 11.7.1)

12 § Vid sökning efter elektroniska handlingar gäller av integritetsskäl mycket mer begränsande regler än vid sökning efter andra uppgifter. Anledningen är de mindre ingripande reglerna om vilka känsliga uppgifter som får förekomma i elektroniska handlingar som lagras i databasen. De enda sökbegrepp som är tillåtna vid sökning efter elektroniska handlingar är namn och person- eller samordningsnummer samt datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning på handlingen, från vem handlingen kommit in eller till vem den har expedierats och i korthet vad handlingen rör (jfr 15 kap. 2 § första stycket 1–4 sekretesslagen). När en bestämd handling väl är identifierad med hjälp av dessa sökbegrepp, gäller däremot inga begränsningar för sökning efter enskilda uppgifter i handlingen. (Se avsnitt 11.7.2)

13 §

När en uppgift eller handling har överlämnats till en arkivmyndighet, kan regeringen föreskriva att andra sökbegrepp skall vara tillåtna än vad som är fallet när uppgiften eller handlingen finns hos Tullverket. (Se avsnitt 11.7.3)

14 §

I paragrafen anges huvudreglerna för när uppgifter i databasen, av integritetsskäl, skall gallras. För att underlätta gallringsförfarandet anges att gallring normalt skall ske kalenderårsvis.

I punkten 1 anges att uppgifter om att en person har samband med misstänkt brottslig verksamhet skall gallras tre år efter den sista registreringen. I normalfallet måste uppgifterna då anses vara inaktuella.

Av punkten 2 framgår att uppgifter om personer i ärenden som avser brottsutredningar m.m. skall gallras senast ett år efter att ärendet har avslutats. När en brottsutredning leder till att en förundersökning inleds gäller enligt 16 § andra regler. Bestämmelsen blir därför relevant främst i de fall då brott beivras utan inledande av förundersökning, t.ex. vid utfärdande av ordningsbot eller strafföreläggande.

I punkten 3 anges att uppgifter som behövs för att Sverige skall kunna uppfylla sina åtaganden enligt internationella överenskommelser skall gallras när de inte längre behövs för sitt ändamål.

Vad detta innebär i tid får uttydas av de internationella åtaganden som utgör grunden för registreringen. (Se avsnitt 11.8.2)

15 §

Elektroniska handlingar i ärenden skall, oavsett ärendetyp, enligt huvudregeln gallras senast ett år efter utgången av det kalenderår då ärendet avslutades. För förundersökningar gäller dock andra regler enligt 16 §. (Se avsnitt 11.8.2)

16 §

Uppgifter och handlingar i förundersökningar skall inte gallras enligt de huvudregler som anges i 14 och 15 §§. För sådana uppgifter och handlingar skall i stället arkivlagens bestämmelser gälla på samma sätt som för uppgifter på papper, dvs. de skall bevaras om inte regeringen eller Riksarkivet föreskriver om annat. (Se avsnitt 11.8.4)

17 §

Regeringen, eller efter bemyndigande Riksarkivet, får meddela föreskrifter om att andra gallringstider skall gälla eller att handlingar och uppgifter skall bevaras. (Se avsnitt 11.8.2)

3 kap. Enskildas rättigheter

1 § Paragrafen innehåller bestämmelser om Tullverkets skyldighet att informera den registrerade om att dennes personuppgifter är föremål för behandling. Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant skall informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som skall lämnas är enligt 25 § samma lag uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.

Information skall också enligt 26 § personuppgiftslagen lämnas på begäran av den registrerade. Om uppgifter behandlas skall

information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För information efter begäran av en registrerad gäller vissa särskilda bestämmelser (se kommentaren till 2 § nedan).

Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade. (Se avsnitt 11.9.1)

2 § Bestämmelsen innebär att elektroniska handlingar inte behöver lämnas ut till en enskild i samband med att Tullverket fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen, om den enskilde har tagit del av handlingens innehåll. Undantaget förutsätter att den registrerade får tydlig information om att handlingar som han eller hon har skickat in till eller fått från verket finns registrerade samt att han eller hon får en förteckning över dessa handlingar. Den enskilde har emellertid rätt att få information även om uppgifter i sådana handlingar om han eller hon begär det.

Personer som finns omnämnda i handlingar som hör till ett ärende, som inte primärt rör dem har ingen självklar rätt att enligt 26 § personuppgiftslagen få information om behandlingen. Den personuppgiftsansvarige är endast skyldig att utnyttja de sök- och sammanställningsmöjligheter som denne har tillgång till och rätt att använda sig av för att få fram information att lämna till den registrerade. De begränsningar som finns i möjligheten att söka efter en s.k. elektronisk handling innebär att Tullverket saknar rättsliga befogenheter, och kanske även tekniska möjligheter, att kontrollera i vilken omfattning uppgifter om en person behandlas i handlingar som hör till ett ärende som inte rör honom eller henne. Därmed har en person, som är registrerad på ett sådant sätt, inte heller rätt att kräva att verket gör den typen av kontroller. (Se avsnitt 11.9.1)

3 § Bestämmelser om rättelse och om skadestånd finns i 28 § respektive 48 § personuppgiftslagen och gäller vid behandling av personuppgifter i Tullverket brottsbekämpande verksamhet. Rätten till skadestånd avser de särskilda regler som gäller enligt personuppgiftslagen och omfattar därför endast levande fysiska personer, men det utesluter självfallet inte att även juridiska personer kan ha rätt till ersättning enligt de allmänna skadeståndsrättsliga principer som gäller vid skada som enskilda lider till följd av offentlig verksamhet. (Se avsnitt 11.9.2)

4 § De flesta beslut som fattas i Tullverkets verksamhet och som gäller behandling av personuppgifter enligt denna lag är interna eller administrativa och berör inte direkt enskildas intressen. Administrativa beslut fattas t.ex. om Tullverket beslutar att inom databasen inrätta särskilda register. Enskilda berörs dock direkt av verkets beslut om rättelse och information efter begäran. Sådana beslut är därför överklagbara. Talan mot beslut om rättelse och information förs i den normalt gällande ordningen i fråga om förvaltningsbeslut, nämligen till allmän förvaltningsdomstol. Vid överklagande till kammarrätt krävs prövningstillstånd. (Se avsnitt 11.9.3)

15.2. Förslag till lag om ändring i sekretesslagen (1980:100)

5 kap. 1 §

Ändringen är föranledd av vårt förslag att i den nya lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet inte definiera begreppet underrättelseverksamhet. I sak innebär bestämmelsen att all underrättelseverksamhet inom Tullverket, oavsett hur uppgifter behandlas, omfattas av sekretess enligt andra stycket. (Se avsnitt 11.4.2)

9 kap. 17 §

Ändringarna är föranledda av att vi föreslår en ny lag för behandlingen av uppgifter i Tullverkets brottsbekämpande verksamhet.

15.3. Förslag till lag om ändring av lagen (2001:85) om behandling av uppgifter i Tullverkets verksamhet

1 kap. 4 §

Innebörden av det nya andra stycket är att uppgifter från TDS och andra fiskala register och datorsystem kan användas i brottsbekämpande verksamhet utan att det står i konflikt med ändamålen för tulldatabasen. Med stöd av denna bestämmelse kan direktåtkomst till uppgifter i TDS m.m. tillåtas för den brottsbekämpande verksamhet som omfattas av ändamålen, under förutsättning att sekretess inte hindrar ett utlämnande av uppgifterna. (Se avsnitt 12.6)

ÖVRIGT

Särskilda yttranden

Särskilt yttrande av Marie Bjernelius Lundahl

Direktåtkomst för brottsbekämpande myndigheter till uppgifter i tullbrottsdatabasen (11.6.3) och direktåtkomst för Tullverket till Tulldatasystemet (TDS) och andra fiskala register i tulldatabasen i den brottsbekämpande verksamheten (12.6)

Behandling av personuppgifter om enskilda personer som det inte finns någon misstanke om brott mot är särskilt integritetskänslig. Ur integritetssynpunkt är det därför viktigt att det finns klara och förutsebara regler för i vilka fall tullen får behandla uppgifter om personer som inte är misstänkta för att ha begått något brott. Enligt gällande lagstiftning om behandling av personuppgifter inom tullens brottsbekämpande verksamhet dras ramarna och begränsningarna för behandling av icke misstänkta upp genom dels den definition som finns om underrättelseverksamhet, dels reglerna om underrättelseregister och särskilda undersökningar. Utan motsvarande bestämmelser i lagtexten saknas tydliga begränsningar för när behandling av personuppgifter får ske. Förslaget förutsätter i stället att den personuppgiftsansvarige själv sätter upp klara och tydliga gränsdragningar i fråga om vilka behandlingar av personuppgifter som får utföras och vilka personer som skall ha tillgång till vilka uppgifter. De utvidgade möjligheter till personuppgiftsbehandling som utredningens förslag innebär får konsekvenser beträffande förslaget till utökad direktåtkomst. Kan man verkligen överblicka vilka uppgifter man medger direktåtkomst till och vilka som får tillgång till uppgifterna? Jag anser att utredningen inte tillräckligt analyserat konsekvenserna ur integritetssynpunkt av de ökade möjligheterna till behandling av

personuppgifter, och i synnerhet inte vad dessa innebär för den tänkta direktåtkomsten.

Utredningen föreslår att regeringen ges möjlighet att meddela föreskrifter om omfattningen av direktåtkomsten. Fullföljs utredningens förslag är det av stor vikt att regeringen utnyttjar möjligheten till begränsningar av direktåtkomsten.

Särskilt yttrande av Eva-Lotta Hedin

Jag ställer mig bakom stora delar av de överväganden som framförs i betänkandet och den föreslagna lagstiftningen. Däremot delar jag inte utredningens mening att det i Tullverkets verksamhet går att göra en uppdelning mellan fiskal verksamhet och brottsbekämpande verksamhet och att det råder sekretess mellan dessa verksamheter.

Sekretess inom myndigheten

Huvuddelen av de uppgifter som Tullverket hanterar i den operativa verksamheten omfattas av sekretess till skydd för den enskilde eller till skydd för myndighetens verksamhet. Tullverket bestod tidigare av 13 myndigheter men är sedan 1999 en myndighet. Inom en myndighet råder som regel inte sekretess (jfr 1:3 sekretesslagen) annat än om verksamheten är uppdelad på självständiga verksamhetsgrenar. Tullverkets operativa verksamhet är inte vare sig tänkt eller organiserad på så sätt att sekretess generellt skulle gälla mellan enheterna. I dag strävar vi efter att öka samarbetet och informationsflödet mellan de olika enheterna utifrån principen att sekretess som regel inte råder inom myndigheten och att för arbetsuppgifterna behövlig information får delas mellan berörda tjänstemän. Utgångspunkten för all kontrollverksamhet som bedrivs av Tullverket, oavsett om den utförs av gränsskyddsenheterna eller på företagsenheterna, är att kontrollera riktigheten i lämnade uppgifter. Felaktigheter som upptäcks kan i stort delas in i uppbördsfel och restriktionsfel. Upptäckta felaktigheter kan i sin tur leda till enbart en rättelse eller i vissa fall misstanke om brott. Naturligtvis också till att felaktigheter inte återupprepas. Var gränsen för fiskal verksamhet slutar och brottsbekämpande verksamhet börjar är enligt min mening således inte lätt att sätta upp på ett sådant sätt att det inom myndigheten praktiskt går att tillämpa en strikt verksamhetsuppdelning omgärdad med sekretess. Enligt min mening går Tullverkets arbetsuppgifter inte att så enkelt som utredningen vill göra gällande att dela på verksamhetsgrenarna fiskal och brottsbekämpande verksamhet eller att verksamheterna inom Tullverket

är så avgränsade från varandra att sekretess kan anses råda inom Tullverket.

Användning av TDS

Den lagstiftning som låg till grund för användningen av TDS har inget uttalat förbud mot att systemet används i brottbekämpning. Något sådant syfte står dock inte uppräknat i listan över ändamål för vilka man får använda TDS. Däremot så finns det ett uttalande i förarbetena till den dåvarande tullregisterlagen att systemet inte skulle få användas för den typ av spaningsarbete för vilket tullens spaningsregister förs. Både i den dåvarande tullregisterlagen och i den nuvarande lagen om behandling av personuppgifter i Tullverket finns emellertid kontrollverksamhet uppräknat som syfte för vilket systemet skall få användas. Den i avsnitt 9.2.3. nämnda selekteringsgruppens arbete med urvalet av containrar för kontroll torde enligt min uppfattning helt klart ligga inom tillåtet tillämpningsområde för TDS. Det är i stället beklagligt att osäkerheten om vad TDS får användas till lett till att systemet inte använts för kontrolländamål i gränsskyddet i större utsträckning.

Särskilt yttrande av Claes Gränström

Jag kan inte ansluta mig till utredningens förslag vad gäller gallring av allmänna handlingar (se framför allt avsnitt 11.8). Jag vänder mig mot att gallring av handlingar i elektronisk form – med undantag för material i förundersökningar – skall utgöra huvudregel och att bevarande får förekomma endast i kraft av motiverade och specificerade undantagsbestämmelser.

1. Jag vill kortfattat erinra om de hittills gällande legala förutsättningarna för gallring av allmänna handlingar, som de framgår av EG-rätten och de nationella författningarna personuppgiftslagen och arkivlagen. EG-direktivet av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, innehåller visserligen en huvudregel om att gallring skall ske när personuppgifterna inte längre behövs för sitt ändamål, men de får likväl bevaras för historiska, statistiska eller vetenskapliga ändamål. Ingresspunkt 72 i direktivet lämnar i själva verket dörren öppen för en svensk lösning genom uttalandet att vid genomförandet av dessa bestämmelser, hänsyn får tas till principen om allmänhetens rätt till tillgång till allmänna handlingar.

2. Offentlighetsprincipen innebär en rätt till insyn i statens och kommunernas verksamhet. Genom tillgången till allmänna handlingar får allmänhet och massmedia en allsidig och objektiv information om myndigheternas ärendehandläggning och övrig verksamhet. Handlingsoffentligheten möjliggör en fri och allsidig debatt i olika samhällsfrågor på såväl kort som lång sikt och är av avgörande betydelse för förvaltningens legitimitet och allmänhetens förtroende för den offentliga maktutövningen. Offentlighetsprincipen har med sin omfattande räckvidd en stor betydelse även för forskningen, kulturen och rent allmänt det öppna samhälle vi vill ha i vårt land. Offentlighetsprincipen förutsätter att allmänna handlingar bevaras i tillräcklig utsträckning. Myndigheternas arkiv, dvs. de allmänna handlingarna, är en del av det svenska kulturarvet. Ett

bevarande av allmänna handlingar i tillräcklig utsträckning är en förutsättning för att rätten att ta del av allmänna handlingar, behovet för rättskipning och förvaltning samt forskningens behov (jfr 3 § arkivlagen samt 1 § i det av Offentlighets- och sekretesskommittén nyligen lämnade förslaget till lag om hantering av allmänna handlingar, se SOU 2002:97) skall kunna tillgodoses. Efter en allt för hård gallring tillgodoser arkiven inte dessa behov; man skulle möjligen kunna hävda att rättskipningens och förvaltningens behov kan tillgodoses på kort sikt, men definitivt inte de övriga behoven. Gallringen utgör rent faktiskt ett större ingrepp i insynsrätten än sekretessbeläggning, vars grunder noga regleras i 2 kap. 2§ tryckfrihetsförordningen (jfr prop. 2001/02:70 s. 35). Handlingar får således aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre i arkivlagen angivna huvudändamålen. Även efter en genomförd gallring måste arkiven, de bevarade allmänna handlingarna, kunna tillgodose de ovan nämnda behoven.

Jag menar vidare att en sådan gallring kan ses som ett ingrepp i likställighetsprincipen, enligt vilken allmänheten och massmedia på såväl kort som lång sikt skall ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten. Utvecklingen av informationstekniken har ju hittills inneburit ökade möjligheter till insyn i myndigheternas verksamhet och därmed lett till en förstärkning av offentlighetsprincipen.

Denna möjlighet till en fortgående förstärkning måste enligt regeringens mening värnas (prop. 2001/02:70 s. 18). Det måste således ses som ett stort och inte önskvärt ingrepp när all insyn och forskning omöjliggörs efter ett par år.

Regeringen konstaterar i propositionen till personuppgiftslagen att om en myndighets primära hantering av uppgifter är tillåten, kan det inte anses oförenligt med denna hantering att uppgifterna bevaras eller att de efter en tid lämnas över till en arkivmyndighet (prop. 1997/98:44 s. 48). Det sägs vidare här att myndigheterna är rättsligt förpliktade att bevara allmänna handlingar (oavsett om de innehåller känsliga personuppgifter eller inte) och att bevarandet är av allmänt intresse.

Det rör sig här om en svensk grundlagsskyddad rättighet med lång tradition som är en viktig del av det svenska statsskicket (ibidem s. 45). Den svenska offentlighetsprincipens starka och grundläggande ställning har också fått genomslag i Amsterdamfördragets artikel 255 och den därav följande bestämmelsen om

allmän tillgång till allmänna handlingar inom institutioner inom EU, som beslöts i maj 2001 under det svenska ordförandeskapet.

3. Utredningen framhåller helt riktigt att offentlighetsprincipen, för att den inte skall bli verkningslös, ställer krav på att vissa handlingar bevaras för framtiden. Att bara ange att samtliga handlingar skall gallras när de inte längre behövs för verksamheten är alltså inte möjligt. Det behövs tvärtom en avvägning mellan integritets- och offentlighetsintresset. Personuppgiftslagens regler utgör en skyddslagstiftning. För denna typ av tidsbegränsade skyddsbehov har svensk lagstiftning hittills i stor utsträckning använt sig av sekretessregler. Det har i andra sammanhang ansetts tillräckligt. Jag menar att en sådan avvägning mellan de olika intressena inte har gjorts av utredningen – kanske till följd av de direktiv som utredningen har haft att arbeta efter – och att det skydd för integriteten som finns genom tillämpliga sekretessbestämmelser inte har beaktats. Utredningens förslag är således inte godtagbart av principiella skäl. Förslaget utgår nämligen från att gallring av integritetsskäl är huvudregeln. Det gäller också flertalet av senare tids förslag till registerlagstiftning, t.ex. Domstolsdatautredningens. Om alla registerlagar kommer att ha motsvarande regler om gallring, blir integritetsintresset alltid överordnat andra intressen och behov. Följden blir att ett bevarande alltid senare särskilt måste motiveras. Att få det förflutna utplånat behöver inte vara den åtgärd som bäst tillgodoser den personliga integriteten. Utredningen påpekar helt riktigt att ett stort antal personer under senare år har fått upprättelse för tidigare allvarliga integritetskränkningar, som t.ex. tvångssteriliserade och felaktigt registrerade i olika register hos säkerhetspolisen. Detta torde i framtiden bli helt omöjligt om huvudprincipen är att personuppgifter skall gallras. Jag vill erinra om resonemangen i propositionen om Hälsodata- och vårdregister, där det sägs att det är förenat med stora svårigheter att på förhand bestämma i vilken omfattning och hur länge uppgifter i hälsodataregister kan behöva bevaras. Även intresset av att uppgifter skall kunna användas för forskning medför att det är svårt att fastställa en tidpunkt när uppgifterna inte längre behövs i registret. Det är också av stort intresse att kunna följa utvecklingen inom hälso- och sjukvårdens område under längre tidsperioder. Samma resonemang kan appliceras även på andra registerområden, t.ex. inom Tullverket.

Det har redan visat sig att myndigheter vänder sig till Riksarkivet för att få till stånd undantag från en registerlags gallringsregler, när gallringsfristerna i lagen har satts allt för snävt.

4. Om endast en eller ett par registerlagar hade som huvudregel att allting skall gallras med möjlighet till undantag, skulle ett sådant system kunna fungera. Erfarenheterna av flera år med olika registerlagar har emellertid visat att när det blir fråga om ett stort antal registerlagar, så kommer Riksarkivet inte att ha praktisk möjlighet att ingripa med undantagsföreskrifter. Till saken hör även att det normalt är den arkivbildande myndigheten som utför en gallringsutredning och sedan sänder den till Riksarkivet för bedömning. Om gallring blir huvudregel kommer sannolikt Riksarkivet för den statliga sektorn och de kommunala arkivmyndigheterna för den kommunala sektorn att få göra utredningar för att motivera och sedan eventuellt utfärda specificerade föreskrifter om undantag från gallring. Som ovan sagts kan detta vara möjligt om man har en eller ett par registerlagar att beakta. Riksarkivet har emellertid varken möjligheter eller resurser att göra detta i stor skala. En konsekvens härav blir då att sådant som har stort värde för ovan angivna syften oavsiktligt kommer att gallras.

5. Jag ser det som en stor fara att allt material genom tillkomsten av en stor mängd registerlagar, ofta oavsett lagringsmedium, riskerar att gallras under – enligt min mening felaktigt och slentrianmässigt – åberopande av integritetsaspekterna, oavsett om det rör fysiska eller juridiska personer. Gallring är en oåterkallelig åtgärd som aldrig kan göras ogjord och som sträcker sin verkan långt in i framtiden, när skyddsintressena för länge sedan har klingat av. Den bild av vårt samhälle som ges i framtiden blir då utslätad, tillrättalagd och missvisande. Det får inte bli så att en fullständig förstörelse blir helt dominerande på bekostnad av gängse principer för gallring och bevarande. Vi kommer då inte enbart att förlora de direkta insynsmöjligheterna utan även bli urarva vad gäller de handlingstyper som vi från 1500-talet har betraktat som en oersättlig del av vårt kulturarv. Där vi i många fall har obrutna sviter från Gustav Vasas tid till 1990-talet på papper, men där informationen numera enbart finns i elektroniska handlingar, kommer vi i framtiden inte att ha motsvarande material kvar. Jag vill framhålla att många allmänna handlingar kan och bör gallras. Vid de gallringsbedömningar som Riksarkivet gör beaktas

alltid den betydelse arkiven har för insynen, för rättskipningens och förvaltningens behov och för forskningen samt den betydelse som arkiven har i ett allmänt kultursammanhang. Enligt min mening kan man inte som enda skyddsåtgärd tillgripa gallring. Även andra åtgärder bör övervägas, exempelvis förstärkt sekretess, tidsbegränsad möjlighet att söka efter uppgifter och överföring till arkivmyndighet av de handlingar som inte gallras. I det allt mer elektroniska samhället finns motsvarande information oftast inte i pappersform, och om det finns är möjligheterna att bearbeta och tillhandahålla informationen mycket begränsade jämfört med vad som är fallet med upptagningar för ADB. Detta medför enligt min bestämda mening att man måste tillgripa ett annat förfaringssätt, om insynsaspekterna, forskningens behov och kulturarvsaspekterna skall kunna tillgodoses.

Tillkomsten av ett växande antal registerlagar, som samtliga föreskriver gallring som huvudregel, kan med tiden urholka den generella modell för bevarande/gallring som etablerats genom det av riksdagen nyligen beslutade tillägget i 2 kap. tryckfrihetsförordningen om vikten av bevarande, genom arkivlagen och genom personuppgiftslagen med förarbeten. Genom ett de små stegens tyranni kan en ny generell ordning för bevarande och gallring etableras, en ordning som aldrig samlat underställts riksdagens prövning och vunnit dess gillande.

Som skyddsinstrument har gallringen, som jag framhållit i mitt särskilda yttrande i utredningen Statistik och integritet (SOU 1994:65), en onödig överkapacitet. Den kan jämföras med halshuggning för att bota huvudvärk. Man kan vidare ställa frågan hur man i längden kan upprätthålla förtroendet för den offentliga förvaltningen, när de insyns- och kontrollmöjligheter som tryckfrihetsförordningen erbjuder beskärs på detta sätt.

6. Även juridiska personer kommer att omfattas av gallring, som för fysiska personer föreslås ske av integritetsskäl. Detta har inte stöd av direktivet eller personuppgiftslagen och utgör en utvidgning av vad gallringen kommer att omfatta, vilket är olyckligt eftersom då även allt som rör juridiska personer kommer att försvinna om inte undantag föreskrivs.

Sammanfattning:

Offentlighetsprincipen ställs ofta mot önskemålet att skydda den enskildes integritet. Man måste dock enligt min bestämda mening alltid hålla det övergripande värdet av offentlighetsprincipen i minnet när man gör den nödvändiga avvägningen mellan offentlighet – med intressen som forskning och skyddet för kulturarvet – och integritetsskydd. Man måste därvid vara synnerligen vaksam, så att man inte genom de många små stegens utveckling gör alltför stora och oåterkalleliga ingrepp i principen.

Mitt förslag är således att man låter arkivlagens regler gälla som huvudregel för bevarande och gallring av samtliga uppgifter i Tullverkets brottsbekämpande verksamhet, inte endast för material i förundersökningar. Detta skulle medföra att offentlighetsprincipen och de andra behoven som uttrycks i arkivlagen kan tillgodoses. Integritetsskyddsaspekterna får i stället tillgodoses genom andra åtgärder, t.ex. genom ett starkt sekretesskydd.

BILAGOR

Bilaga 1

Kommittédirektiv

Tullverkets register i den brottsbekämpande verksamheten

Dir.

2001:28

Beslut vid regeringssammanträde den 5 april 2001.

Sammanfattning av uppdraget

En särskild utredare skall tillkallas för att bl.a. följa genomförandet av lagstiftningen om register i Tullverkets brottsbekämpande verksamhet. Utredaren skall:

 Granska om de redskap för den brottsbekämpande

verksamheten som Tullverket fått genom personuppgiftslagen och registerlagstiftningen skapar förutsättningar för att Tullverket skall uppnå de mål som regeringen har ställt upp för Tullverkets arbete.

 Utreda hur Tullverket, polisen, Kustbevakningen och

eventuellt andra myndigheter bör samarbeta för att använda och införa information i register som Tullverket, Kustbevakningen och polisen har tillgång till. Detta skall göras med beaktande av såväl att ett effektivt samarbete kan upprätthållas som att enskilda personers integritetsintressen tillvaratas.

 Utreda hur de olika register som Tullverket för eller har

tillgång till i sitt brottsbekämpande arbete förhåller sig till varandra i fråga om innehåll och användning samt se över

att användningen är effektiv samtidigt som den personliga integriteten värnas.

 Sätta sig in i och granska det arbete som pågår inom

Tullverket med att upprätta nya databaser och ärendehanteringssystem för den brottsbekämpande verksamheten, påtala eventuella brister och lämna förslag till lösningar.

 Granska och föreslå ändringar av bestämmelserna om

underrättelse- och spaningsregister.

 Utreda om Tullverkets tulldatasystem (TDS) bör få

användas i brottsbekämpande verksamhet och i så fall ge förslag till lagändringar som skulle göra detta möjligt.

 Utreda om fler av Tullverkets register än spanings- och

underrättelseregistren bör regleras särskilt i lagstiftningen och i så fall lägga fram förslag till sådana regleringar.

 Analysera konsekvenserna av de registerbestämmelser som

är tillämpliga på Tullverkets register i den brottsbekämpande verksamheten och då särskilt från integritetssynpunkt.

 Utreda om Tullverket inom ramen för den gällande

lagstiftningen kan uppfylla de åtaganden som Sverige gjort genom internationella avtal om tullsamarbete och lämna förslag till eventuella ändringar.

 Även i övrigt peka på eventuella reformbehov när det gäller

register i den brottsbekämpande verksamheten och arbetet med dessa.

Arbetet skall bedrivas i samråd med Polisdatautredningen (Ju 2000:01). Utredaren skall även samråda med Offentlighets- och sekretesskommittén (Ju 1999:06).

Utredningsuppdraget skall redovisas senast den 31 december 2002.

Gällande regler och bakgrund

Gällande registerbestämmelser

Tullverkets användning av register i den brottsbekämpande verksamheten styrdes fram till den 31 mars av lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet och förordningen (1997:1064) med samma namn, vilka trädde i kraft den 1 januari 1998. Den 1 april ersattes lagen med lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Den nya lagen kompletteras av förordningen (2001:88) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Den nya lagen innebär inte någon större förändring jämfört med tidigare gällande regler. Lagen innebär i stället en modernisering av lagstiftningen och en anpassning till de regler som redan gäller för polisen och skattemyndigheterna. Även personuppgiftslagen (1998:204) som trädde i kraft den 24 oktober 1998 är tillämplig på Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten. Vidare har Datainspektionen utfärdat tillstånd för vissa register som förs i den nämnda verksamheten.

För polisen och skattemyndigheterna gäller polisdatalagen (1998:622) och lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. Även dessa lagarna gäller utöver personuppgiftslagen.