SOU 2005:61
Personuppgifter för samhällets behov
Till statsrådet Sven-Erik Österberg
Genom beslut den 15 april 2004 bemyndigade regeringen dåvarande statsrådet Gunnar Lund att tillkalla en särskild utredare med uppdrag att se över det statliga personadressregistret, SPAR. Utredaren skulle också förbereda ett byte av värdmyndighet för statens personadressregisternämnd, SPAR-nämnden. Uppdraget i den del som avsåg nämndens byte av värdmyndighet skulle redovisas senast den 1 juli 2004. Uppdraget i övrigt skulle redovisas senast den 1 maj 2005. Regeringen har senare, genom beslut den 3 mars 2005, förlängt utredningstiden till den 1 juli 2005.
Som särskild utredare förordnades dåvarande överdirektören Alf Nilsson från och med den 15 april 2004. Den 19 april 2004 förordnades hovrättsassessorn Kerstin Ekstedt Lundegard som sekreterare i utredningen. Att som experter biträda utredaren förordnades från och med den 4 maj 2005 kanslirådet Maria Dahl Torgerson, dåvarande kanslichefen Birgitta Eurenius, kammarrättsassessorn Cecilia Mauritzon, skattedirektören Anna-Karin Storsten och chefsjuristen Hans Sundström. Utredaren Lasse Henricson förordnades som expert från och med den 7 maj 2004. Cecilia Mauritzon entledigades från och med den 30 juni 2004. I hennes ställe förordnades kammarrättassessorn Fredrik Löfstedt som expert från och med den 1 juli 2004. Birgitta Eurenius har sedan den 1 januari 2005 biträtt sekreteriatet.
Utredningen har antagit namnet SPAR-utredningen (Fi 2004:06). Utredningen överlämnade den 1 juli 2004 promemorian Skatteverket blir ny värdmyndighet för SPAR-nämnden (dnr Fi2004/3072).
Utredningen överlämnar nu betänkandet Personuppgifter för samhällets behov (SOU 2005:61).
Utredningens uppdrag är därmed slutfört.
Stockholm den 1 juli 2005
Alf Nilsson
/Kerstin Ekstedt Lundegard
Förkortningar
ADB automatisk databehandling
EES Europeiska ekonomiska samarbetsområdet
EG Europeiska gemenskaperna
EU Europeiska unionen
DAFA Datacentralen för administrativ databehandling
Dataskydds- direktivet
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
Dir. direktiv
Ds departementspromemoria
FdbL lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
FdbF förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
FiU Finansutskottet
IT informationsteknik
LOU lagen (1992:1528) om offentlig upphandling
PSI- direktivet
Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn
PuL personuppgiftslagen (1998:204)
prop. regeringens proposition
rskr. riksdagsskrivelse
SdbL lagen (2001:181) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet
SdbF förordningen (2001:588) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet
SOU Statens offentliga utredningar
SPAR Statens personadressregister
SPAR-lagen lagen (1998:527) om det statliga personadressregistret
SPAR- förordningen
förordningen (1998:1234) om det statliga personadressregistret
SPARnämnden
Statens personadressregisternämnd
Swedma Swedish Direct Marketing Association
TF tryckfrihetsförordningen (1949:105)
YGL yttrandefrihetsgrundlagen (1991:1469)
Sammanfattning
Uppdraget
Utredningens uppdrag har varit att utreda och föreslå hur myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter skall tillgodoses i framtiden. I uppdraget har även ingått att pröva om det statliga personadressregistret (SPAR) kan samordnas med den behandling av personuppgifter som sker inom Skatteverkets folkbokföringsverksamhet och om behovet kvarstår av en särskild huvudman för funktionen att tillhandahålla befolkningsuppgifter till myndigheter och enskilda. Uppdraget i dess helhet framgår av direktiven i bilaga 1.
Bakgrunden
SPAR bildades för 30 år sedan på Datainspektionens initiativ för att begränsa möjligheterna för myndigheter och enskilda att med hjälp av dåtidens nya teknik, s.k. automatisk databehandling (ADB), föra omfattande personregister. Ett statligt befolkningsregister med monopolliknande ställning och under betryggande kontroll ansågs bättre från integritetssynpunkt än ett flertal offentliga och privata personregister.
Detta ursprungliga syfte med SPAR är fortfarande aktuellt, men förutsättningarna har förändrats. År 1991 övertog Riksskatteverket, numera Skatteverket, ansvaret för folkbokföringen från Svenska kyrkan och sedan några år finns inom Skatteverket en landsomfattande folkbokföringsdatabas. Det har länge ifrågasatts om inte folkbokföringsdatabasen skulle kunna användas för de funktioner som i dag fullgörs via SPAR.
Det som hittills talat emot en samordning har främst varit det faktum att den nuvarande SPAR-verksamheten bedrivs med betydande kommersiella inslag. Det har ansetts vara oförenligt med
Skatteverkets roll att aktivt försälja personuppgifter insamlade för andra ändamål. Det har också ansetts vara fel att ikläda Skatteverket ett leverantörsförhållande gentemot näringslivet. Sammantaget innebär detta att en samordning mellan SPAR och Skatteverkets folkbokföringsdatabas förutsätter en omprövning av det statliga åtagandet.
Förutsättningarna har förändrats också för den nuvarande huvudmannen för SPAR, dvs. statens personadressregisternämnd (SPAR-nämnden). Nämnden bildades 1986 för att garantera medborgarna fortsatt insyn i driften av SPAR sedan den tidigare huvudmannen, Datamaskincentralen för administrativ databehandling (DAFA), bolagiserats. I takt med verksamhetens expansion har emellertid kraven på huvudmannen ökat. Det kan ifrågasättas om den nuvarande nämnden med sina mycket begränsade resurser kan leva upp till de krav som ställs på en aktiv och ambitiös tillsyn och kontroll av användningen av SPAR.
Utredningsarbetet
Utredningen har fullgjort sitt uppdrag genom en fördjupad analys av förhållandet mellan samhällets behov av personuppgifter och de registrerades behov av skydd mot otillbörligt integritetsintrång. Tyngdpunkten i analysen har legat på att fastställa var gränserna går för det statliga åtagandet. Ett viktigt inslag har också varit jämförelser med motsvarande förhållanden i våra nordiska grannländer. Vidare har utredningen förutsättningslöst omprövat såväl gällande regelverk som myndighetsorganisation och finansieringsprinciper.
Överväganden och förslag
Utredningen föreslår sammanfattningsvis att det fortsatt bör vara ett prioriterat statligt åtagande att tillhandahålla grundläggande befolkningsinformation till samhällets aktörer, att det statliga åtagandet att tillhandahålla befolkningsinformation till myndigheter och enskilda fortsatt bör omfatta såväl aktualisering, komplettering och kontroll av personuppgifter
(kontrolländamålet) som uttag av urval av personuppgifter (urvalsändamålet), att urvalsdragning med stöd av uppgifter ur Skatteverkets beskattningsdatabas inte längre skall ingå som en del i det statliga åtagandet, att Skatteverket bör tillgodose polisens och tullens behov av befolkningsuppgifter i särskild ordning, vilket förutsätter såväl ITutveckling hos Skatteverket och de berörda myndigheterna som författningsändringar, att närmare avgränsning av det statliga åtagandet bör göras med utgångspunkt från kommande svensk lagstiftning till följd av EG:s direktiv (2003/98/EG) om vidareutnyttjande av information från den offentliga sektorn, att uppgifter som innefattar ett tydligt myndighetsansvar eller som innebär myndighetsutövning mot enskild alltid skall fullgöras av ansvarig myndighet, men att åtagandet i övrigt bör kunna förläggas till servicebyrå, att det statliga åtagandet bör regleras i en lag och en förordning, vilket innebär att de särskilda SPAR-författningarna bör upphöra att gälla, att det statliga åtagandet bör fullgöras med utgångspunkt från en befolkningsdatabas, lämpligen Skatteverkets folkbokföringsdatabas, vilket innebär att den särskilda databasen SPAR bör avvecklas, att det statliga åtagandet bör fullgöras av en myndighet, lämpligen den myndighet som bär ansvaret för folkbokföringen, dvs. Skatteverket, vilket innebär att SPAR-nämnden bör avvecklas, att genomförandet bör ske successivt och förslagen vara fullt genomförda senast den 1 juli 2007. Utredningens förslag redovisas och motiveras i kapitel 10.
Utredningens argument
Utredningen har funnit att en enkel, säker och kostnadseffektiv tillgång till grundläggande befolkningsinformation är ett statligt åtagande av väsentlig betydelse för den offentliga förvaltningen, för
medborgarna och för företagen. Av integritetsskäl bör åtagandet emellertid begränsas till den information som staten samlar in inom ramen för Skatteverkets folkbokföringsverksamhet. Möjligheten att göra urval med hjälp av uppgifter hämtade från Skatteverkets beskattningsdatabas bör därför upphöra.
Likaledes av integritetsskäl bör polisens och tullens behov av personuppgifter tillgodoses i särskild ordning. Polisen och tullen har behov av uppgifter som inte bör göras tillgängliga för samhället i övrigt.
Om det statliga åtagandet begränsas på det sätt som utredningen föreslår bör det i sin helhet kunna fullgöras av Skatteverket. Den särskilda databasen SPAR, SPAR-nämnden och SPAR-författningarna bör därmed kunna avvecklas. Lämplig tidpunkt för avvecklingen bör, enligt utredningens mening, vara den 1 juli 2007. För att underlätta omställningen för såväl Skatteverket som för SPAR:s nuvarande kunder bör dessa tidigt involveras i processen.
Det bör ankomma på Skatteverket att avgöra hur stor del av det statliga åtagandet som skall fullgöras i egen regi och vad som skall upphandlas och därmed utsättas för konkurrens. Till vägledning för hur en upphandling kan genomföras har utredningen låtit utföra en särskild upphandlingsstudie som redovisas i bilaga 3.
Kostnader och konsekvenser
Utredningen räknar med att förändringen på sikt kommer att innebära besparingar för den offentliga sektorn, som via Skatteverket och till självkostnadspris skall förses med den folkbokföringsinformation som behövs för verksamheten. Även företag och andra organisationer skall ges möjlighet att i elektronisk form hämta folkbokföringsuppgifter till självkostnad. I förhållande till Skatteverket bedömer utredningen att förslaget är kostnadsneutralt.
De merkostnader som inledningsvis uppstår bör finansieras i etapper. I ett första steg bör Skatteverket få disponera en del av intäkterna från SPAR i syfte att bistå nämnden i dess förberedelser för att genomföra en upphandling av serviceföretag för tillhandahållande av vidareutvecklade tjänster för myndigheter och företag. I ett andra steg bör Skatteverket sätta avgifterna så att de täcker dels Skatteverkets kostnader för tillhandahållande av
folkbokföringsinformation, dels ger ett årligt bidrag till statsbudgeten på samma nivå som nuvarande bidrag.
Slutligen vill utredningen peka på att den föreslagna förändringen får positiva men svårmätbara konsekvenser för medborgarna. Förslagen innebär att staten skärper kontrollen över hanteringen av de uppgifter medborgarna lämnat in till den offentliga förvaltningen. Medborgarperspektivet har varit centralt i utredningens arbete. SPAR bildades av integritetsskäl och avvecklas, om utredningens förslag genomförs, av liknande skäl, eftersom omvärldsförutsättningarna har förändrats.
Författningsförslag
1. Förslag till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs i fråga om lagen (2001:182) om behandling av personuppgifter i Skatteverkets folbokföringsverksamhet
1
dels att 1 kap. 2 och 4 §§, 2 kap. 6, 8 och 9 §§ samt 3 kap. 4 § skall ha följande lydelse,
dels att det i lagen skall införas nya bestämmelser, 1 kap. 7 § och 2 kap. 11 a och 11 b §§ samt närmst före 1 kap. 7 § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
2 §
Om inte annat anges i 3 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
En registrerad har inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
Om inte annat anges i 3 §, 2 kap. 6 eller 9 § eller 3 kap. gäller denna lag i stället för personuppgiftslagen (1998:204).
En registrerad har utöver vad som följer av 7 § inte rätt att motsätta sig sådan behandling som är tillåten enligt denna lag.
1
Senaste lydelse av lagens rubrik 2003:671.
4 §
Uppgifter får behandlas för tillhandahållande av information som behövs för
1. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
2. handläggning av folkbokföringsärenden, 3. fullgörande av underrättelseskyldighet enligt lag eller förordning,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och
6. uttag av urval av personuppgifter för myndigheter,
6 a. uttag av urval av namn- och adressuppgifter för direktreklam, forskning, statistik, undersökning, opinionsbildning eller samhällsinformation eller därmed jämförlig verksamhet, och
7. tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten.
Behandling av personuppgifter för direktreklam
7 § Personuppgifter får inte behandlas för ändamål som rör direktreklam, om den registrerade hos Skatteverket har anmält att han eller hon motsätter sig sådan behandling (direktreklamspärr).
Utan förnyad anmälan upphör direktreklamspärren att gälla tre år efter anmälan.
2 kap.
6 §
Uppgifter i databasen får lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.
Vid utlämnande av uppgifter enligt första stycket gäller bestämmelserna i 10 § personuppgiftslagen (1998:204).
8 §
En myndighet får ha direktåtkomst till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort samt avregistrering från folkbokföringen. En myndighet får även ha direktåtkomst till andra uppgifter som avses i 3 § första och tredje styckena om myndigheten enligt lag eller förordning får behandla dem.
En myndighet får ha direktåtkomst till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning, folkbokföringsort, make och vårdnadshavare samt avregistrering från folkbokföringen. En myndighet får även ha direktåtkomst till andra uppgifter som avses i 3 § första och tredje styckena om myndigheten enligt lag eller förordning får behandla dem.
9 §
En enskild får ha direktåtkomst till uppgifter i databasen endast om regeringen har meddelat föreskrifter om det.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket. Åtkomst till uppgifter om annan person än den enskilde själv får dock medges endast till uppgifter som avses i 8 § första meningen.
Vid utlämnande av uppgifter enligt första stycket gäller bestämmelserna i 10 § personuppgiftslagen (1998:204).
11 a §
Vid sökning i databasen för ändamål som avses i 1 kap. 4 § 5 får vid utlämnande av uppgift till en enskild som sökbegrepp användas endast uppgifter om namn, personnummer, adress och folkbokföringsort
.
Härvid får
uppgifter om adress och folkbokföringsort användas som sökbegrepp endast i kombination med namn.
Begränsningen av sökbegrepp enligt första stycket gäller inte för uppgifter om den enskilde själv.
11 b §
Vid sökning i databasen för ändamål som avses i 1 kap. 4 § 6 a får som sökbegrepp användas endast uppgift om personnummer, adress, folkbokföringsort, make, vårdnadshavare och avregistrering från folkbokföringen. Som sökbegrepp får dock inte uppgift användas om barn yngre än två månader eller avregistrering på grund av dödsfall tidigare än en månad efter det att den registrerade avled.
3 kap.
4 §
2
Skatteverkets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra
Skatteverkets beslut angående utlämnande av uppgifter enligt 2 kap. 6 och 9 §§ samt verkets beslut om rättelse och om information som skall lämnas enligt 26 § personuppgiftslagen
2
Senaste lydelse 2003:671.
beslut enligt denna lag får inte överklagas.
(1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 1 juli 2007, då lagen (1998:527) om det statliga personadressregistret upphör att gälla. I fråga om behandling av personuppgifter som påbörjats före ikraftträdandet skall dock till och med utgången av 2007 den äldre lagen tillämpas i stället för den nya.
2. Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
Härigenom föreskrivs att 2 kap. 8 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
3
skall ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
8 §
4
En kronofogdemyndighet får ha direktåtkomst till uppgifter som avses i 3 § 1–5, 9 och 10. Direktåtkomst till uppgifter som avses i 3 § 4, 5, 9 och 10 får endast avse den som är registrerad som gäldenär hos kronofogdemyndigheten eller make till gäldenären eller någon annan som likställs med make.
Tullverket får ha direktåtkomst till uppgifter som avses i 3 § 1–5, 9 och 10. Åtkomsten får endast avse den som är eller kan antas vara gäldenär enligt tullagstiftningen, skyldig att betala skatt för vara vid import eller föremål för Tullverkets kontrollverksamhet enligt lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och mineraloljeprodukter.
Regeringen meddelar närmare
Rikspolisstyrelsen och polismyndigheter får ha direktåtkomst till uppgifter om taxerad förvärvsinkomst, inkomst av kapital och beskattningsbar förmögenhet, samt uppgift om ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet) och taxeringsvärde för småhusenhet. Åtkomsten får endast avse den som är föremål för åtgärd eller kontroll i den polisiära verksamheten.
Regeringen meddelar närmare
3
Senaste lydelse av lagens rubrik 2003:670.
4
Senaste lydelse 2001:1182.
föreskrifter om vilka uppgifter direktåtkomst enligt första och andra styckena får omfatta.
föreskrifter om vilka uppgifter direktåtkomst enligt första– tredje styckena får omfatta.
Denna lag träder i kraft den 1 juli 2007.
3. Förslag till förordning om ändring i förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs i fråga om förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
5
dels att 18 § skall ha följande lydelse, dels att det i förordningen skall införas nya bestämmelser, 15 a– 15 f §§ och 17 a–17 c §§ samt närmst före 17 c § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
15 a §
För ändamål som avses i 1 kap. 4 § 5 lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får uppgift om personnummer, namn, adress, folkbokföringsort, make, vårdnadshavare och avregistrering från folkbokföringen lämnas ut till en enskild på medium för automatiserad behandling.
För ändamål som avses i 1 kap. 4 § 6 a nämnda lag får uppgift om namn och adress avseende personer över 16 år lämnas ut på medium automatiserad behandling.
15 b §
Uppgift om make och vårdnadshavare får inte lämnas ut på medium för automatiserad behandling till andra enskilda än banker, försäkringsbolag, kreditmarknadsföretag, kreditupplys-
5
Senaste lydelse av förordningens rubrik 2003:1024.
ningsföretag, pensionsstiftelser, understödsföreningar och Apoteket Aktiebolag, samt enligt 13 och 15 §§.
15 c §
Uppgift om att en registrerad har begärt direktreklamspärr enligt 1 kap. 7 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får lämnas ut till en enskild på medium för automatiserad behandling endast om den registrerade har samtyckt till det.
15 d §
För ändamål som avses i 15 a § första stycket får uppgifter om alla ändringar som skett i databasen under en viss period i fråga om namn, personnummer, adress, folkbokföringsort, make, vårdnadshavare och avregistrering från folkbokföringen lämnas ut på medium för automatiserad behandling till en enskild som i sin verksamhet regelmässigt behandlar uppgifter om en betydande andel av befolkningen och fortlöpande behöver uppdatera dessa uppgifter (bruttoavisering).
Uppgifter som har lämnats ut med stöd av första stycket och som inte har ett direkt samband med mottagarens verksamhet skall omedelbart gallras (överskottsinformation).
15 e §
Endast de senast registrerade uppgifterna om en person får lämnas ut till en enskild på medium för automatiserad behandling, om inte annat följer av 13 eller 15 §. Utlämnande av uppgifter enligt 15 a–d §§ får endast avse en person som är folkbokförd eller har avregistrerats från folkbokföringen.
15 f §
Uppgifter som i elektronisk form lämnas ut till en enskild för ändamål som avses i 1 kap. 4 § 5 eller 6 a lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får inte överlåtas.
Skatteverket får besluta om undantag från vad som sägs i första stycket.
17 a §
En enskild får, i andra fall än som avses i 16 och 17 §§, ha direktåtkomst till uppgifter om personnummer, namn, adress, folkbokföringsort, make, vårdnadshavare och avregistrering från folkbokföringen. Direktåtkomst till uppgift om make eller vårdnadshavare får dock endast medges dem som avses i 15 b §.
Skatteverket meddelar närmare föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt första stycket.
17 b §
Endast de senast registrerade uppgifterna om en person, som är folkbokförd eller har avregistrerats från folkbokföringen, får omfattas av direktåtkomst enligt 17 a §.
Information till den registrerade
17 c §
Skatteverket skall försäkra sig om att den som mottar uppgifter för ändamål som avses i 1 kap. 4 § 6 a lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet informerar den registrerade om att uppgifterna hämtats från folkbokföringsdatabasen och att den registrerade kan vända sig till verket i frågor rörande utlämnandet av uppgifterna.
18 §
6
Vid utlämnade av uppgifter ur databasen för ändamål som avses i 1 kap. 4 § 5 och 6 lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet skall avgift tas ut.
Vid utlämnade av uppgifter ur databasen för ändamål som avses i 1 kap. 4 § 5, 6 och 6 a lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet skall avgift tas ut.
Vid annat utlämnande av uppgifter ur databasen får avgift tas ut. Skatteverket fastställer avgifter för utlämnande av uppgifter ur databasen.
6
Senaste lydelse 2003:1024.
Denna förordning träder i kraft den 1 juli 2007, då förordningen (1998:1234) om det statliga personadressregistret och förordningen (1998:1235) med instruktion för Statens personadressregisternämnd upphör att gälla. I fråga om behandlingar av personuppgifter som påbörjats före ikraftträdandet skall dock till och med utgången av 2007 de äldre förordningarna tillämpas i stället för den nya förordningen.
1. Utredningens uppdrag och arbete
1.1. Utredningens uppdrag
Utredningens huvudsakliga uppdrag har varit att utreda och föreslå hur myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter skall tillgodoses i framtiden. I uppdraget har även ingått att pröva om Statens personadressregister (SPAR) kan samordnas med den behandling av personuppgifter som sker inom Skatteverkets folkbokföringsverksamhet och, vid en eventuell samordning, om behovet kvarstår av en särskild huvudman för funktionen att tillhandahålla befolkningsuppgifter till myndigheter och enskilda. Vidare har det ingått i uppdraget att förbereda det byte av värdmyndighet för statens personadressregisternämnd (SPAR-nämnden) som genomfördes den 1 januari 2005. Uppdraget i dess helhet framgår av direktiven i bilaga 1.
1.2. Utredningsarbetet
Utredningens första etapp ägnades åt förberedelser för SPARnämndens byte av värdmyndighet från Statskontoret till Skatteverket, varvid samråd ägde rum med dessa myndigheter. Resultatet av utredningens överväganden i denna fråga redovisades i en särskild skrivelse till regeringen den 1 juli 2004 (dnr Fi2004/3072).
Hösten 2004 kan sammanfattas som en inlärningsfas. Sekretariatet gjorde studiebesök vid Befolkningsregistercentralen i Finland, det Centrale Personregister i Danmark och det Sentrale Folkeregisteret i Norge. Vidare ägde samråd rum med Rikspolisstyrelsen, Tullverket, Datainspektionen, SPAR-nämnden och näringslivets organisationer. Våren 2005 har i huvudsak ägnats åt arbete med utredningens betänkande. Därutöver har samråd ägt rum med Riksarkivet och Näringslivets regelnämnd. Vidare har nya överläggningar ägt rum med SPAR-nämnden och näringslivets
organisationer. Utredningen har också inhämtat synpunkter från Konsumentverket.
1.3. Framställningar
Till utredningen har inkommit skrivelser från bl.a. Svenska Förläggareföreningen, branschorganisationen Swedish Direct Marketing Association (Swedma), Posten Sverige AB och vissa företag inom kreditupplysningsbranschen, bestående av Soliditet, Upplysningscentralen UC AB, Credit Safe samt Business Check. Faktauppgifter har fortlöpande lämnats från servicebyrån InfoData AB, som är SPAR-nämndens personuppgiftsbiträde.
2. SPAR:s historia och framväxt
2.1. Det svenska dataskyddets tillkomst
Allt sedan datoriseringen tog fart i Sverige har det funnits en stark efterfrågan på befolkningsuppgifter i elektronisk form för bl.a. personkontroll, registervård och urvalsdragningar. Mot slutet av 1960-talet insåg riksdag och regering att den allt mer omfattande registreringen av personuppgifter skulle komma att kräva lagreglering i syfte att garantera medborgarna skydd mot otillbörliga intrång i den enskildes personliga integritet. De utredningar som tillsattes kom att leda till införandet av datalagen (1973:289), världens första nationella datalag. Genom lagstiftningen infördes reglering av de omständigheter under vilka personuppgifter fick registreras. Samtidigt inrättades Datainspektionen som tillstånds- och tillsynsmyndighet.
Ett starkt skäl för att inrätta datalagen var att olika aktörer, redan innan datalagen trädde i kraft, hade inrättat register över hela den svenska befolkningen för de syften som nämnts. Uppgifter från dessa register tillhandahölls mot marknadsmässig ersättning. De registeruppgifter som ingick i de privata befolkningsregistren hade samlats in med olika metoder, sannolikt främst genom insamling från det allmänna med stöd av offentlighetsprincipen. Även inom den offentliga sektorn fanns i början av 1970-talet ett stort antal offentliga befolkningsregister.
Mot den bakgrunden föreslog den då nyinrättade Datainspektionen hösten 1974 att ett centralt, statligt, ADB-baserat personregister skulle bildas.
1
Syftet var främst att minimera behovet av
omfattande befolkningsregister och därigenom reducera riskerna för otillbörliga integritetsintrång. Ett statligt register med monopolliknande ställning ansågs bättre från integritetssynpunkt än ett flertal befolkningsregister med varierande huvudmän.
1
Skrivelse från Datainspektionen till Justitiedepartementet 1974-09-16.
2.2. SPAR:s framväxt och inledande fas
Regeringen överlämnade Datainspektionens förslag till dåvarande datasamordningskommittén (DASK), som i sin tur uppdrog åt Statskontoret att belysa de tekniska, ekonomiska och organisatoriska konsekvenserna av förslaget. Statskontoret redovisade sina överväganden i två rapporter,
2
och framhöll i båda att
registerinnehållet i det av Datainspektionen föreslagna registret var alltför begränsat. Statskontoret föreslog i stället inrättandet av ett Samordnat Person- och AdressRegister, SPAR, med utökat innehåll.
Regeringen antog Statskontorets förslag, som presenterades i propositionen (1976/77:27) om åtgärder för att begränsa möjligheterna att föra omfattande personregister. Med stöd i propositionen beslutade riksdagen våren 1977 om inrättandet av SPAR. Samtidigt bestämdes att privata befolkningsregister inte längre skulle få föras för detta ändamål. Ändamålet med SPAR skulle vara registeruppdatering, personnummerkontroll, personnummersökning och urvalsdragningar. Den statliga myndigheten Datacentralen för administrativ databehandling, DAFA, tilldelades totalansvaret för SPAR. SPAR utvecklades successivt och togs i drift 1978. Sedermera utarbetades ett förslag till lagreglering av SPAR.
3
Förslaget antogs 1981 och innebar viss reglering i datalagen. Samma år tillkom förordningen (1981:4) om det statliga person- och adressregistret.
När DAFA ombildades till bolag år 1986 (DAFA Data AB), inrättades myndigheten Statens person- och adressregisternämnd (SPAR-nämnden). Nämnden övertog huvudmannaskapet och registeransvaret för SPAR.
4
Enligt riktlinjer i riksdagens beslut
skulle DAFA Data AB, på statens uppdrag, sköta den tekniska driften och marknadsföringen av SPAR. Även rollfördelningen mellan SPAR-nämnden och bolaget behandlades i beslutet, vilket ligger till grund för verksamheten i dess nuvarande form. Villkor om insyn i verksamheten skulle införas i statens kontrakt med DAFA Data AB avseende drift, produktion, underhåll och marknadsföring m.m. av SPAR. Det första kontraktet utarbetades 1986 av Organisationskommittén för DAFA (C 1985:03). Det nu
2
Rapport 1975-03-11 om Samordnad datainsamlig, normering av data och Samordnat person-
och adressregister samt Rapport 1976:21, SPAR – Samordnat Person- och AdressRegister.
3
Författningsreglering av SPAR m.m. (Ds Ju 1979:19).
4
Prop. 1984/85:225 om statsförvaltningens användning av ADB m.m., FiU 1985/86:4, rskr.
1985/86:89, prop. 1985/86:112, FiU 1985/86:20, rskr. 1985/86:215.
gällande avtalet tecknades i maj 1988 mellan nämnden och DAFA Data AB.
2.3. Utvecklingen efter 1986
Riksdagen gjorde 1986 bedömningen att den myndighet som övertog ansvaret för SPAR skulle vara fristående från såväl de sakansvariga myndigheterna (Datainspektionen och Riksskatteverket) som från drift- och försäljningsorganisationen. SPARnämnden skapades med sikte på att tillfälligt lösa frågan om huvudmannaskapet för SPAR, i avvaktan på förslag från dåvarande Data- och offentlighetskommittén (DOK). Nämnden skulle inte ha några egna anställda. Dess kansliresurser skulle hämtas från Statskontoret och kansliet gjordes avsiktligt så litet som möjligt. Själva nämnden fick en parlamentarisk sammansättning, enligt en överenskommelse träffad i anslutning till ovannämnda riksdagsbeslut. Denna konstruktion, tänkt som ett provisorium, består i allt väsentligt än i dag. Alla sju riksdagspartierna är representerade i nämnden. Åtta av nio ledamöter sitter i riksdagen. Kansligöromålen sköts av en värdmyndighet. Den enda förändring som inträffat är att nämnden, på SPAR-utredningens förslag och efter riksdagsbeslut, bytt värdmyndighet; från Statskontoret till Skatteverket.
Om förändringarna varit små på myndighetssidan har de varit desto större i ägarstrukturen kring det bolag som skött driften av SPAR. DAFA Data AB ägdes fram till år 1993 av staten, då bolaget såldes till den fransk-brittiska företagsgruppen Sema Group. Ägarna har därefter skiftat, men den juridiska personen med det nuvarande namnet InfoData AB har sedan 1986 varit densamma.
Driften av SPAR har varit lönsam vilket bidragit till att nämnden varit utsatt för en stark press att konkurrensutsätta verksamheten och upphandla driften enligt reglerna i lagen (1992:1528) om offentlig upphandling (LOU). Nämnden har emellertid avvaktat med en upphandling med hänvisning till att framtiden för registret varit oviss. Under de senaste tio åren har flera utredningar föreslagit att SPAR skall avvecklas i sin nuvarande form.
2.4. Kvarvarande olösta frågor
2.4.1. Avisering av folkbokföringsuppgifter
Aviseringsutredningen, tillsatt våren 1992 med uppdrag att utreda frågan om den framtida aviseringen av folkbokföringsuppgifter, föreslog i betänkandet Folkbokföringsuppgifterna i samhället (SOU 1994:44) att ett nytt centralt aviseringsregister skulle inrättas inom dåvarande Riksskatteverket (RSV) och att detta register skulle överta SPAR:s funktioner. Ansvaret för ett register med den viktiga samhällsfunktionen att förse alla myndigheter med nödvändiga befolkningsuppgifter borde enligt utredningen ligga hos den myndighet inom vilken uppgifterna samlades in och som hade erforderliga resurser att fungera som beställare av ADB-drift. Enligt utredningen borde också den ansvariga myndigheten äga erforderliga ADB-program och system. Utredningen konstaterade att SPAR-nämnden aldrig haft en sådan funktion och att den hade inrättats tillfälligt 1986 med uppgift att vara huvudman för SPAR i avvaktan på en slutlig lösning.
Utredningen framhöll vidare att de överväganden som låg till grund för inrättandet av SPAR inte längre var aktuella. När SPAR inrättades som ett fristående register låg ansvaret för de lokala kyrkoböckerna på pastorsämbetena och ansvaret för de regionala personbanden på länsstyrelserna. Därtill kom att ADB-tekniken var en angelägenhet för specialister. Sedan dess hade ansvaret för folkbokföringsregistren lagts helt på skatteförvaltningen och ADBkunskapen blivit vida spridd. Det fanns därför, enligt utredningen, inte längre några bärande skäl för att ha en särskild myndighet utanför skatteförvaltningen som mellanled för tillhandhållande av folkbokföringsuppgifter.
När det gällde funktionen att förse näringslivet med tillförlitliga och användbara personuppgifter ansåg utredningen att fördelarna övervägde de integritetsrisker som verksamheten medförde. Det av utredningen föreslagna centrala aviseringsregistret skulle emellertid få ett mer begränsat innehåll än SPAR. För att, trots detta, möjliggöra urvalsdragningar baserade på inkomst och förmögenhet föreslog utredningen att samkörningar i framtiden skulle kunna göras mellan skatteförvaltningens aviseringsregister och skatteregister. Integritetsskyddet i samband med urvalsdragningar skulle tillgodoses genom att en särskild, parlamentariskt sammansatt, nämnd inrättades inom RSV.
Utredningen insåg att samtliga SPAR-funktioner inte omedelbart kunde övertas av RSV:s aviseringsregister när detta tagits i drift. Under en övergångstid skulle de båda registren behöva drivas parallellt, vilket aktualiserade frågan om registeransvaret för SPAR under övergångsperioden.
Utredningens förslag mötte motstånd hos såväl några av utredningens egna experter som hos vissa remissinstanser. En expert framhöll i ett särskilt yttrande att det inte borde få komma i fråga att samköra skatteregistret med aviseringsregistret. Experten ansåg vidare att det inte kunde anses förenligt med ett gott integritetsskydd att staten för direktreklamändamål sålde personuppgifter som enskilda varit skyldiga att lämna in för beskattningsändamål.
En annan expert ansåg det vara olämpligt att RSV, som hade huvudansvaret för granskning och beskattning av näringslivet, ställdes i ett leverantörsförhållande med betydande kommersiella inslag till samma näringsliv. Enligt denne expert borde aviseringar och urvalsdragningar för flertalet mottagare i samhället ombesörjas av någon annan än RSV. En naturlig utgångspunkt borde därvid vara att överväga om inte SPAR-nämnden även fortsättningsvis kunde handha dessa uppgifter. Experten invände också mot att utredningen inte funnit det möjligt att uppskatta kostnadskonsekvenserna för samhället av den föreslagna ordningen.
Statskontoret framhöll i sitt remissyttrande att den föreslagna lösningen innebar en risk för såväl sammanblandning av kommersiell verksamhet med myndighetsutövning som för korssubventionering, insyn i affärsförhållanden, beroendeställningar m.m.
Posten AB ansåg det vara olämpligt av integritets- och säkerhetsskäl både att bevilja urval ur det känsliga aviseringsregistret och att bevilja allmänhet, företag och organisationer uppkopplingar mot registret i fråga.
Regeringen behandlade Aviseringsutredningens förslag i propositionen (1994/95:201) Avisering av folkbokföringsuppgifter. I den föreslogs att ett aviseringsregister skulle inrättas, men när det gällde SPAR konstaterade regeringen att förslagen på nytt rest de frågeställningar som varit aktuella vid SPAR-nämndens tillkomst. Därför var regeringen ännu inte beredd att ta ställning till frågan om det nya aviseringsregistret även skulle ta över SPAR:s funktioner. Delvis som en konsekvens av detta föreslog regeringen
att det nya aviseringsregistret bara skulle få användas av myndigheter.
Riksdagen beslöt i enlighet med förslagen i propositionen, men uttalade därvid att verksamheten skulle följas upp noga, bl.a. från integritetssynpunkt. När det gällde de fortsatta övervägandena i frågor som återstod att lösa, bl.a. frågan om SPAR:s framtid, skulle stor vikt fästas vid integritetsaspekterna.
2.4.2. Grunddata i samhällets tjänst
Grunddatabasutredningen tillkallades våren 1996 med uppdrag att överväga hur vissa databasers tillgänglighet, service och kvalitet skulle kunna förbättras. Utredningen skulle i första hand inriktas på de centrala person-, företags- och fastighetsregistren. När det gällde SPAR knöt utredningsdirektiven an till de överväganden som gjordes i ovannämnda proposition om avisering av folkbokföringsuppgifter.
I betänkandet Grunddata – i samhällets tjänst (SOU 1997:146) föreslog utredningen inrättandet av en ny myndighet Nämnden för utveckling av samhällets grunddata. Den nya nämnden skulle bl.a. bli huvudman för SPAR och överta SPAR-nämndens funktioner. Den nya nämnden skulle vidare finansieras genom ökade krav på intäkter från driften av SPAR. Utredningen föreslog samtidigt att prissättningen skulle vara kostnadsrelaterad och att verksamheten med SPAR skulle begränsas till att tillhandahålla uppgifter för aktualisering av privata kundregister och att tillgodose direktreklambranschens behov av adresskälla för urvalsdragningar. Utredningens förslag till lag om SPAR avspeglade denna uppfattning om en framtida mer begränsad verksamhet. Som en konsekvens av begränsningen föreslogs att den dåvarande lagen om aviseringsregister skulle kompletteras med en möjlighet för regeringen att tillgängliggöra detta register utanför den offentliga förvaltningen.
Remissinstanserna avvisade tanken på en ny myndighet; samordningsuppgifter borde kunna tas om hand av en befintlig myndighet, exempelvis Statskontoret. Dataföreningen i Sverige ifrågasatte ett offentligt åtagande för direktreklambranschens behov. Myndigheters försäljning av personuppgifter borde förbjudas och verksamheten med SPAR begränsas. Riksskatte-
verket ifrågasatte om uppgifterna för SPAR var förenliga med det offentliga åtagandet och med EG:s dataskyddsdirektiv.
Grunddatabasutredningens förslag behandlades i den s.k. förvaltningspolitiska propositionen, dvs. regeringens proposition (1997/98:136) Statlig förvaltning i medborgarnas tjänst. Förslaget om en ny myndighet för samhällets grunddata vann inte gehör. Regeringen konstaterade att frågan krävde ytterligare beredning. Däremot antog regeringen utredningens förslag om enhetliga principer för prissättning och finansiering, dvs. att avgifter för uttag av grunddata endast bör grundas på kostnaden för att ta fram och distribuera uppgifterna.
I propositionen uttalade regeringen att det bör vara ett offentligt åtagande att hålla ett register med befolkningsuppgifter av hög kvalitet för att tillgodose behovet av kontroll av personuppgifter. Regeringen förespråkade att SPAR skulle finnas kvar tills vidare. En fungerande verksamhet med SPAR ansågs förhindra uppbyggnaden av privata befolkningsregister. Härtill kom att SPAR hade stor betydelse för många myndigheters verksamhet. Sammanfattningsvis ansåg regeringen att SPAR fortsatt hade en viktig samhällsfunktion att fylla. I konsekvens med detta, och med hänvisning till EG:s dataskyddsdirektiv, lade regeringen fram ett förslag till en lag om SPAR som var avsevärt mer innehållsrik än den lag som grunddatabasutredningen föreslagit. Regeringen konstaterade vidare att SPAR-nämnden fyllde en viktig funktion med sin bevakning av integritetsfrågor och uppföljning av etiska aspekter vid behandling av personuppgifter.
Eventuella förändringar av SPAR borde, enligt regeringen, inte genomföras förrän behovet av befolkningsinformation kunde tillgodoses på annat sätt. I det sammanhanget hänvisade regeringen till det förestående arbetet med en IT-anpassning av handlingsoffentligheten. I anslutning till detta skulle regeringen förbereda ett slutligt ställningstagande till SPAR.
2.4.3. Samhällets grundläggande information
Våren 1999 tillsatte regeringen en arbetsgrupp med uppdrag att inventera och analysera det allmännas ansvar för spridning av offentlig basinformation i elektronisk form. Arbetsgruppen, som antog namnet E-infogruppen, presenterade sina överväganden och förslag våren 2000 i departementspromemorian Samhällets grund-
läggande information (Ds 2000:34). E-infogruppen konstaterade att det fanns politiska målformuleringar för samhällets informationsförsörjning, men att det saknades en tydlig strategi för genomförandet. Vidare kvarstod ett antal frågor som olösta. Enligt Einfogruppen kretsade dessa kring det offentliga åtagandet och hur detta skulle förtydligas och konkretiseras.
E-infogruppen koncentrerade sina överväganden till tre områden: Befolkningsinformation, Näringsinformation samt Fastighets- och geografisk information. I fråga om befolkningsinformationen fann gruppen att det saknades en tydlig infrastruktur och att oklarheter förelåg beträffande informationsspridningen. Mer konkret gällde frågan om all spridning skulle ske via aviseringsregistret eller om SPAR skulle finnas kvar för vissa särskilda ändamål. Frågan om hur detta offentliga åtagande skulle utföras återstod, enligt gruppen, att lösa.
E-infogruppens förslag är fortfarande föremål för beredning i Regeringskansliet.
3. SPAR i dag
3.1. Den rättsliga grunden för SPAR
3.1.1. Inledning
Det statliga personadressregistret (SPAR) är ett offentligt register som innehåller uppgifter om alla personer som är folkbokförda i Sverige. Vilka uppgifter som får ingå i registret och hur dessa får användas regleras i lagen och förordningen om SPAR. Den statliga myndigheten Statens personadressregisternämnd (SPAR-nämnden) är huvudman och personuppgiftsansvarig för registret. Nämndens verksamhet regleras genom förordningen (1998:1235) med instruktion för Statens personadressregisternämnd. Av författningarna framgår bl.a. att nämnden får bestå av högst nio ledamöter som skall utses av regeringen, att Skatteverket skall svara för ett kansli åt nämnden, att driften av SPAR får vara förlagd till en servicebyrå, att användningen av registret får vara avgiftsbelagd och att avgifter från verksamheten med SPAR skall tillföras statens checkräkning i Riksbanken.
Som nämnts i det föregående kapitlet består SPAR-nämnden av representanter för riksdagspartierna. Åtta av nämndens nio ledamöter är riksdagsmän. Det löpande arbetet sköts av en anställd kanslichef. Den av SPAR-nämnden kontrakterade servicebyrån, InfoData AB, sköter drift, marknadsföring och försäljning av uppgifter ur SPAR. Villkoren för samarbetet mellan nämnden och InfoData AB regleras i ett avtal tecknat år 1988. I förtydligande syfte tecknade parterna år 2001 ett personuppgiftsbiträdesavtal.
När personuppgifter behandlas i SPAR gäller bestämmelserna i PuL, om inte SPAR-lagen innehåller avvikande bestämmelser.
1
Behandlingen styrs också av bestämmelserna i 2 kap. TF om rätten
1
2 § SPAR-lagen.
att ta del av allmänna handlingar samt av regler om sekretess. Varje utlämnade ur registret skall föregås av en sekretessprövning.
2
3.1.2. SPAR:s innehåll, syfte och användning
SPAR innehåller dels folkbokföringsuppgifter, dels uppgifter om de registrerades ekonomiska förhållanden (inkomst-, förmögenhets- och fastighetsuppgifter). Uppgifterna hämtas från Skatteverkets folkbokföringsdatabas respektive beskattningsdatabas.
3
SPAR får användas av myndigheter och enskilda för att
aktualisera, komplettera och kontrollera personuppgifter (kontrolländamålet) och för att ta ut urval av uppgifter om namn och adress för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamålet).
4
En enskild
som begär att en myndighet skall lämna ut personuppgifter för kontrolländamål eller urvalsändamål skall hänvisas till SPAR, om inte annat anges i lag eller förordning
.
5
Registerinnehåll
SPAR innehåller följande uppgifter:
6
1. namn,
2. personnummer,
3. adress,
4. folkbokföringsort,
5. födelsehemort,
6. svenskt medborgarskap,
7. make eller vårdnadshavare,
8. avregistrering från folkbokföringen,
9. summan av taxerad förvärvsinkomst och kapital (lägst 0 kr), 10. beskattningsbar förmögenhet, 11. ägare av småhusenhet eller lantbruksenhet med småhus på
tomtmark samt uppgift om kommun (belägenhet),
2
Uppgifterna får inte lämnas ut om det skulle strida mot folkbokföringssekretessen i 7 kap.
15–16 §§sekretesslagen (1980:100).
3
I 5 § SPAR-lagen anges att uppgifterna i SPAR hämtas från Skatteverkets databaser för
folkbokföring respektive beskattning. Enligt 4 § SPAR-förordningen skall Skatteverket sända uppgifterna i elektronisk form till SPAR-nämnden.
4
1 och 3 §§ SPAR-lagen.
5
6 § SPAR-lagen.
6
4 § SPAR-lagen.
12. taxeringsvärde för småhusenhet, samt 13. s.k. direktreklamspärr (införs på begäran av den registrerade
och innebär att uppgifter om honom eller henne inte får behandlas vid urvalsdragningar för direktreklam).
Uppgifterna i punkterna 1–8 hämtas från Skatteverkets folkbokföringsdatabas och uppgifterna i punkterna 9–12 hämtas från Skatteverkets beskattningsdatabas.
Begränsningar när det gäller utlämnande av uppgifter i elektronisk form
Uppgifter om enskildas ekonomiska förhållanden (p. 9–12) får i elektronisk form lämnas ut endast till Rikspolisstyrelsen (RPS) och Tullverket.
7
Beträffande personer som är under 16 år får uppgifter
om adress och folkbokföringsort (p. 3–4) i elektronisk form lämnas ut endast för kontrolländamål.
8
Uppgifter om födelsehemort (p. 5)
får i elektronisk form lämnas ut endast till RPS, Tullverket och polismyndigheter.
9
Uppgifter om svenskt medborgarskap (p. 6) får i
elektronisk form lämnas ut endast till
Centrala studiestödsnämnden
(CSN),
Patent- och registreringsverket, RPS, Tullverket och
polismyndigheter.
10
Uppgifter om make eller vårdnadshavare (p. 7)
får i elektronisk form lämnas ut endast till myndigheter, banker, kreditupplysningsföretag, kreditmarknadsföretag, pensionsstiftelser, understödsföreningar och Apoteket AB.
11
Sökbegrepp vid aktualisering, komplettering och kontroll
För kontrolländamål får endast uppgifter om namn, personnummer, adress och folkbokföringsort (p. 1–4) användas som sökbegrepp. Adress och folkbokföringsort får användas som sökbegrepp endast i kombination med namn.
12
7
7 § SPAR-lagen.
8
5 § SPAR-förordningen.
9
6 § SPAR-förordningen.
10
7 § SPAR-lagen.
11
8 § SPAR-lagen.
12
11 § SPAR-förordningen.
Sökbegrepp vid uttag av urval av personuppgifter (urvalsdragning)
Vid urvalsdragningar får i princip alla uppgifter i SPAR utom namn, födelsehemort och medborgarskap (p. 1, 5 och 6) användas som sökbegrepp. Uppgifter som inkomst, förmögenhet och taxeringsvärde skall vara ordnade i klasser, som bestäms av SPARnämnden.
13
Uppgifter om barn yngre än åtta veckor får inte användas som sökbegrepp. När det gäller personer under 18 år får uppgifter om deras ekonomiska förhållanden (p. 9–12) inte användas som sökbegrepp.
14
Uppgifter om avregistrering ur folkbokföringen på
grund av dödsfall får användas som sökbegrepp tidigast fyra veckor efter dödsfallet.
15
3.2. Verksamhetens art och inriktning
3.2.1. Beslut om utlämnanden av uppgifter
Efter beslut av nämnden kan myndigheter och företag få tillgång till uppgifter i SPAR on-line, via registervård eller genom urval. Vidare kan enskilda medborgare, på begäran, få registerutdrag
16
ur
SPAR eller direktreklamspärrar satta för sina personposter i SPAR. Nämnden medger också offentlighetsuttag ur SPAR. Nämnden har delegerat åt kanslichefen att fatta beslut i de flesta typer av ärenden. Ärenden som uppfattas som särskilt integritetskänsliga beslutas dock av nämnden själv.
Det finns i dagsläget ett undantag från huvudregeln om nämndbeslut i varje enskilt fall. Enligt praxis får servicebyrån InfoData AB avgöra ärenden gällande urval av namn och adress för direktreklam eller samhällsinformation utan att höra nämnden. Nämnden har emellertid förbehållit sig rätten att besluta om urval för forskningsändamål, marknadsundersökningar och dylikt, med motiveringen att sådana urval ofta är av integritetskänslig natur.
När nämnden medgivit åtkomst till SPAR överlämnas ärendet till servicebyrån, som beslutar i frågor om tekniska lösningar och ekonomiska villkor.
13
12 § första stycket SPAR-förordningen. Så vitt gäller klassindelningen för årsinkomst omspänner varje intervall 50 000 kr, dvs. 0 kr – 50 000 kr, 50 000 kr – 100 000 kr, osv.
14
12 § andra stycket SPAR-förordningen.
15
12 § tredje stycket SPAR-förordningen.
16
Enligt 26 § PuL.
3.2.2. On-lineverksamhet
Majoriteten av SPAR:s användare on-line har integrerat SPAR med de egna administrativa systemen,
17
vilket medför att många verk-
samheters drift är beroende av att SPAR ständigt är tillgängligt. Som exempel kan nämnas att polisen använder SPAR dygnet runt och har integrerat SPAR med de egna databaserna via sofistikerade sökmotorer. Polisen utfärdar bl.a. passen med stöd av SPAR och SPAR förväntas få stor betydelse vid utfärdandet av de nationella Id-korten fr.o.m. den 1 oktober 2005. Även CSN är en stor användare av SPAR. När CSN registrerar personnummer i sina olika ärendehanteringssystem hämtas de korrekta personuppgifterna elektroniskt direkt från SPAR.
På motsvarande sätt använder näringslivet SPAR:s onlinetjänster för att identifiera och ta in nya kunder. SPAR används exempelvis när bankerna utfärdar den e-legitimation som krävs för säkra e-tjänster. Banker och försäkringsbolag kan genom SPAR omedelbart kontrollera personuppgifterna och direkt öppna konton för nya kunder. I lånesituationer kan bankerna snabbt kontrollera makars samhörighet och försäkringsbolagen kan enkelt hitta förmånstagare när försäkringsfall inträffar. I många situationer eliminerar SPAR behovet av att uppvisa personbevis, vilket ger effektivitetsvinster för såväl Skatteverket som näringsliv och allmänhet.
Under senare år har användningen av SPAR ökat också inom ehandeln för att förhindra att beställare uppger falsk identitet. De personuppgifter som kunden uppger kontrolleras elektroniskt mot SPAR innan kunden accepteras. För ändamålet har SPAR en skräddarsydd applikation kallad e-Quest.
En annan applikation, InFokus, gör det möjligt att paketera SPAR:s on-linetjänster tillsammans med andra databastjänster från portalen InfoTorg. Via portalen erbjuder InfoData AB onlineåtkomst till ett stort antal offentliga och privata databaser. Paketlösningarna innebär att kunden inte alltid kan skilja SPARtjänsterna i paketet från portalens andra databastjänster.
17
Ca 5 % av on-linekunderna har program till program uppkoppling mot SPAR, dvs. informationen i SPAR är integrerad i kundens applikationer. Dessa kunder svarar för drygt hälften av antalet on-lineförfrågningar som görs mot SPAR.
3.2.3. Registervård och registeranalys
SPAR:s registervårdstjänster kan delas in i tjänster för avisering, uppdatering och personnummersättning. Därtill kommer ett antal olika former av s.k. registeranalys.
Aviseringstjänsterna erbjuds som bruttoavisering (A-avisering), B-avisering och C-avisering. Bruttoavisering innebär att mottagaren får uppgifter om alla förändringar som skett i SPAR under en viss period, avseende namn, personnummer, adress, folkbokföringsadress, make/maka och vårdnadshavare. Bruttoavisering är bara tillgänglig för kunder som behandlar uppgifter om en betydande del av befolkningen
18
och förutsätter att mottagaren
gallrar bort all den överskottsinformation som följer av rutinen. Bavisering innebär att kunden vid varje aviseringstillfälle sänder in en aktuell personnummerförteckning för hela sitt personregister och får tillbaka de personposter som förändrats sedan föregående aviseringstillfälle. Vid C-avisering lagras en kopia av personregistren hos InfoData AB och uppdateras där. InfoData AB aviserar därefter förändringar automatiskt till kunden vid överenskomna tidpunkter.
Registervård kan också innebära uppdateringar på andra sätt av berörda kunders personregister. Det kan exempelvis handla om uppdateringar vid enstaka tillfällen (engångsuppdateringar) eller om K-uppdatering. Den senare formen är ett komplement till Cavisering och innebär att kunderna ges möjlighet att fortlöpande, via en personnummerfil, rapportera in nya kunder till sitt kundregister, dvs. det register som sköts av InfoData AB. Med stöd i branschreglerna för direktreklambranschen
19
räknar
InfoData AB även personnummer- och telefonnummersättning av kundregister som registervård.
För att komplettera registervården har InfoData AB också utvecklat olika metoder för registeranalys, dvs. analyser av kundregister eller av målgrupper, dvs. potentiella kunder. Den vanligaste metoden, s.k. Safiranalys, innebär exempelvis att registren analyseras inte bara med avseende på alla variablerna i SPAR utan också, samordnat och samtidigt, med avseende på variablerna i SIFO:s fortlöpande undersökning Orvesto
18
Med en betydande andel av befolkningen avses 2,5 miljoner personer enligt SPARnämndens praxis.
19
Branschöverenskommelse om regler för användningen av personuppgifter m.m. vid direktmarknadsföring för försäljnings-, insamlings-, medlemsvärvningsändamål och liknande.
Konsument och variablerna i beställarens eget kundregister. Syftet med Safiranalyserna uppges vara att förbättra förutsättningarna för goda kundrelationer respektive att minska kostnaderna för nykundsrekrytering. Det senare genom att målgrupperna kan snävas in.
3.2.4. Urvalsverksamhet
SPAR:s urvalskunder kan vara permanenta (prenumeranter) eller tillfälliga. Prenumeration kan ske på exempelvis adresser till nyinflyttade, jubilarer, avlidna, nyblivna föräldrar m.m. De tillfälliga urvalen är oftast slumpmässiga men avgränsade med olika urvalskriterier. Flertalet variabler i SPAR kan användas som sökbegrepp vid urval, men endast namn och adress lämnas ut.
För att administrera adressförmedlingen har InfoData AB byggt upp en kedja av s.k. auktoriserade återförsäljare. Kunderna kan också beställa urval direkt via internet. För ändamålet finns etjänsten SPAR Adressbeställning, som gör det möjligt för kunden att göra urval på prov för att beräkna kostnaden för olika typer av urval innan beställningen görs. Härigenom får kunden t.ex. veta hur ett visst sökbegrepp påverkar storleken på urvalsgruppen och hur kostnaden påverkas beroende på vilket utmedia som väljs.
20
Om syftet med urvalet är forskning eller marknadsundersökning krävs ett tillstånd från nämnden innan beställningen kan effektueras.
InfoData AB har fastställt särskilda villkor för SPAR:s urvalstjänster. Enligt villkoren får kunden inte överlåta adressuppgifterna eller sälja dem vidare. Kunden får inte heller använda uppgifterna för mer än ett utskick, om inte särskild överenskommelse träffas med InfoData AB. Vidare får uppgifterna bara användas under tre månader och skall förstöras när ändamålet med urvalet är uppfyllt. Adresskällan SPAR skall alltid anges när urvalet används. Kunden måste också förbinda sig att antingen utse ett personuppgiftsombud eller att anmäla urvalet till Datainspektionen enligt 36 § PuL.
20
Via SPAR Adressbeställning kan kunden få fram grupper inom storleksordningen 100– 40 000 personer.
Vid urvalsdragningar betalar kunden en (hög) startavgift plus extra för varje sökbegrepp som läggs till. Det medför enligt InfoData AB att kunden tänker efter noga innan ett alltför specifikt urval begärs.
InfoData AB förbehåller sig alltid rätten att i varje urval infoga högst 20 kontrolladresser. Detta för att kunna kontrollera att kunden följer uppsatta villkor.
3.2.5. Service till enskilda medborgare
SPAR-tjänster riktade till de enskilda medborgarna har en förhållandevis ringa omfattning. Medborgarna kan, enligt SPARlagen, begära direktreklamspärr i SPAR. De kan också, enligt 26 § PuL, begära utdrag ur SPAR av registrets uppgifter om dem själva. Även offentlighetsuttag enligt TF är möjliga om framställning därom görs hos nämnden. Nämnden medger offentlighetsuttag om inga hinder föreligger enligt 15–16 §§sekretesslagen (1980:100) och om uttagen kan göras med rutinbetonade åtgärder. Det senare innebär, enligt nämnden, att massuttag av uppgifter ur SPAR inte är möjliga som offentlighetsuttag.
3.3. Volymuppgifter
Volymerna i verksamheten kring SPAR är betydande. Antalet användare on-line uppgår till ca 130 000. Ca 95 000
21
av användarna
är registrerade hos SPAR med personlig användaridentitet; resten finns hos myndigheter och företag med egna behörighetssystem. Av användarna on-line tillhör ungefär hälften
22
den offentliga
sektorn. Användarna finns inom ca 550 offentliga och ca 1 500 privata verksamheter.
Polisen är SPAR:s största myndighetskund. Ca 30 000 personer har s.k. polisbehörighet vid on-lineåtkomst mot SPAR. Till den sistnämnda gruppen hör även vissa anställda inom tullen.
Antalet aviseringskunder uppgår till ca 590, varav ca 440 aviseras regelbundet. Sammanlagt finns ca 150 miljoner personposter i de register som aviseras från eller uppdateras mot SPAR. Aviseringarna ger uppskattningsvis upphov till ca 100 miljoner förändringstransaktioner per år.
Antalet urvalsuppdrag uppgår till ca 2 500 per år, varav 180 är fasta (prenumeranter) och resten tillfälliga. Antalet registerutdrag som lämnas ut varierar mellan 5 000 och 7 000 per år. Antalet
21
Varav 30 000 finns inom polis och tull.
22
45 625 myndighetsanställda var våren 2004 on-lineuppkopplade mot SPAR. Därav var ca 40 000 statligt anställda. Resten fanns inom landsting och kommuner.
direktreklamspärrar i SPAR uppgår till ca 130 000. Varje år tillkommer mellan 3 000 och 5 000 reklamspärrar.
En genomsnittlig arbetsdag ställs ca 100 000 frågor on-line mot SPAR. Totalt genomförs årligen omkring 220 miljoner transaktioner mot SPAR, dvs. mer än 1 miljon transaktioner per arbetsdag.
4. Folkbokföringsverksamheten
4.1. Inledning
Folkbokföringen är en sammanfattande benämning på samhällets registrering av befolkningens förhållanden vad avser identitet, familjerättsliga förhållanden och bosättning. De grundläggande bestämmelserna om folkbokföring finns i folkbokföringslagen (1991:481).
1
Lagen innehåller bestämmelser om när och var en
person skall upptas i folkbokföringen.
2
Målet för folkbokföringen
är att för olika samhällsfunktioner tillhandahålla fullständig och korrekt basinformation med god tillgänglighet. I regleringsbrevet för 2005 anger regeringen följande mål för verksamhetsgrenen Folkbokföring.
Folkbokföringsregister skall föras som speglar befolkningens verkliga bosättning och även i övrigt håller god kvalitet, aktualitet och tillgänglighet, så att olika samhällsfunktioner får ett tillförlitligt underlag för beslut och åtgärder.
Den svenska folkbokföringen har gamla anor. Under lång tid sköttes den av Svenska kyrkan genom förandet av olika kyrkoböcker m.m. Från den 1 juli 1991 ansvarar Skatteverket för hela folkbokföringsverksamheten.
3
Verksamheten bedrivs vid nio
regioner. De nio regionerna delas in i 45 skattekontor som finns på 113 orter. Verksamheten bedrivs vid kontoren där registreringen av folkbokföringsuppgifter sker i lokala folkbokföringsregister i folkbokföringsdatabasen. I maj 2004 har vissa förbättringar i datasystemen genomförts, som innebär riksåtkomst inom Skatteverket
1
Uppgifter från folkbokföringen ligger till grund för flera viktiga rättsförhållanden, såsom
rösträtt, skattskyldighet och skolplikt. Vidare har rätten till sociala förmåner gjorts beroende av folkbokföringen.
2
Enligt 1 § folkbokföringslagen innebär folkbokföring fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt FdbL får förekomma i folkbokföringsdatabasen.
3
Skatteverket är chefsmyndighet för folkbokföringsverksamheten och svarar bl.a. för rättslig
styrning samt rättsligt och administrativt stöd inom folkbokföringsområdet.
till alla folkbokföringsuppgifter. Tekniskt utgör de lokala registren dock alltjämt 115 separata system.
4.2. Folkbokföringsverksamhetens modernisering
Under 1960-talet moderniserades den dåvarande kyrkobokföringsverksamheten genom att datoriserad hantering infördes. Inom verksamheten tillskapades ett regionalt personredovisningssystem (länsregister) som fördes med hjälp av automatisk databehandling samt, genom löpande sambearbetning av dessa register, även s.k. riksaviseringsband. Genom tillkomsten av lagen (1990:1536) om folkbokföringsregister – och den därtill hörande förordningen (1991:750) om folkbokföringsregister m.m. – infördes ett modernare system för datoriserad hantering inom folkbokföringen. I författningarna fanns bestämmelser om de lokala folkbokföringsregistren, det centrala referensregistret och de lokala handläggningsregistren. Bestämmelser avseende det centrala aviseringsregistret infördes genom lagen (1995:743) om aviseringsregister. När lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet (FdbL) trädde ikraft, den 1 oktober 2001, upphörde ovan nämnda författningar att gälla.
4.3. Folkbokföringsdatabasen
4.3.1. Inledning
I och med FdbL regleras behandlingen av personuppgifter för folkbokföringsverksamheten och aviseringsverksamheten i en och samma lag.
4
FdbL är tillämplig vid behandling av personuppgifter i
Skatteverkets folkbokföringsverksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 kap. 1 § FdbL). Lagen gäller i stället för PuL, om inte annat anges i 1 kap. 3 § eller 3 kap. FdbL.
5
4
Författningsändringarna föranleddes utifrån behovet av en översyn av författningar som
reglerar register inom bl.a. skatteförvaltningen med utgångspunkt från PuL och dataskyddsdirektivet, se prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution.
5
1 kap. 2 § FdbL.
Genom senare års lagstiftning har begreppet databas införts som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som används gemensamt inom en verksamhet och för vilka särskilda regler skall gälla.
6
I enlighet härmed finns särskilda
bestämmelser för folkbokföringsdatabasen i 2 kap. FdbL. Bestämmelserna gäller för såväl folkbokföringsverksamheten som aviseringsverksamheten. I praktiken förs dock fortfarande för varje kontors verksamhetsområde ett lokalt folkbokföringsregister med handläggningsregister, för hela riket ett centralt referensregister och för tillhandahållande av uppgifter till samhället ett centralt aviseringsregister.
4.3.2. Folkbokföringsdatabasens registerändamål
Enligt 1 kap. 4 § FdbL får uppgifterna i folkbokföringsdatabasen behandlas för tillhandahållande av information som behövs för:
1. samordnad behandling, kontroll och analys av identifierings-
uppgifter för fysiska personer och av andra folkbokföringsuppgifter,
2. handläggning av folkbokföringsärenden,
3. fullgörande av underrättelseskyldighet enligt lag eller för-
ordning,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. tillsyn, kontroll, uppföljning och planering av folkbokförings-
verksamheten.
Registerändamålen i punkterna 5 (kontrolländamålet) och 6 (urvalsändamålet) överensstämmer med ändamålen för SPAR.
6
En uppgift anses gemensamt tillgänglig och därmed utgörande en del av en databas om den
registreras och lagras i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att vid behov och i olika sammanhang ta del av uppgiften direkt på automatiserad väg, prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 89 ff.
4.3.3. Innehållet i folkbokföringsdatabasen
I folkbokföringsdatabasen får enligt 2 kap. 2 § FdbL uppgifter behandlas om personer som är eller har varit folkbokförda här i landet eller som tilldelats samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende. Uppgifterna får endast behandlas för de ändamål som anges i 1 kap. 4 § FdbL.
Enligt 2 kap. 3 § första stycket FdbL får följande uppgifter behandlas i databasen:
1. person- eller samordningsnummer,
2. namn,
3. födelsetid,
4. födelsehemort,
5. födelseort,
6. adress,
7. folkbokföringsfastighet, lägenhetsbeteckning, folkbokförings-
ort och folkbokföring under särskild rubrik,
8. medborgarskap,
9. civilstånd, 10. make, barn, föräldrar, vårdnadshavare och annan person som
den registrerade har samband med inom folkbokföringen, 11. samband enligt 10 som är grundat på adoption, 12. inflyttning från utlandet, 13. avregistrering enligt 19–21 §§folkbokföringslagen (1991:481), 14. anmälan enligt 7 kap.1 och 10 §§vallagen (1997:157), och 15. gravsättning.
4.3.4. Direktåtkomst m.m.
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket skall utföra och har naturligtvis åtkomst till samtliga uppgifter som finns i folkbokföringsdatabasen. Andra myndigheter har direktåtkomst till sådana uppgifter i databasen som myndigheten själv får registrera.
I 2 kap. 8 § FdbL anges att en myndighet får ha direktåtkomst till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning och folkbokförings-
ort samt avregistrering från folkbokföringen.
7
En myndighet får
även ha direktåtkomst till andra uppgifter i databasen om myndigheten enligt lag eller förordning får behandla dem.
En enskild får enligt 2 kap. 9 § FdbL ha direktåtkomst till uppgifter i folkbokföringsdatabasen endast om regeringen har meddelat föreskrifter om det. Enligt 16 § FdbF får Svenska kyrkan ha direktåtkomst till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning och folkbokföringsort samt avregistrering från folkbokföringen. En privatperson får enligt 17 § FdbF ha direktåtkomst till person- och ärendeuppgifter om sig själv. I fråga om barn under 18 år får vårdnadshavare ha direktåtkomst till samma uppgifter som Svenska kyrkan. Direktåtkomst till uppgifter i folkbokföringsdatabasen innebär inte att eventuell sekretess bryts för uppgifterna. Skatteverket måste således alltid göra en sekretessprövning av vilka uppgifter som kan lämnas ut genom direktåtkomst.
Uppgifter i databasen får enligt 2 kap. 6 § FdbL lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det. Sådana föreskrifter finns i 13–15 §§ FdbF och innebär bl.a. att samma uppgifter som får göras tillgängliga genom direktåtkomst också får lämnas ut på medium för automatiserad behandling till Svenska kyrkan och till privatpersoner som begär ut uppgifter om sig själva.
4.3.5. Avgifter
Enligt 2 kap. 12 § FdbL får Skatteverket ta ut avgifter för att lämna ut uppgifter ur folkbokföringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen. Avgift skall enligt 18 § FdbF alltid tas ut vid utlämnande av uppgifter för kontrolländamål eller urvalsändamål. Enligt samma paragraf får Skatteverket fastställa avgifternas storlek.
Avgifterna bygger på självkostnadsprincipen. Enligt Ekonomistyrningsverkets föreskrifter till 5 § avgiftsförordningen (1992:191) skall avgifterna sättas så att intäkterna på ett eller några års sikt
7
Av hänsyn till integritetsskäl finns vissa begränsningar när det gäller vilka sökbegrepp som
får användas vid sökning i folkbokföringsdatabasen. Vid sökning i databasen får enligt 2 kap. 10 § FdbL uppgifter om födelseort, samband inom folkbokföring som grundas på adoption och inflyttning från utlandet inte användas som sökbegrepp. Uppgifter om medborgarskap får användas som sökbegrepp endast i fråga om medborgarskap i de nordiska länderna. Även frågan om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap) får användas som sökbegrepp.
täcker samtliga med verksamheten direkt eller indirekt förenade kostnader. I kostnadsunderlaget för att bestämma avgifterna ingår kostnader för IT-stöd för utveckling och förvaltning av datorsystem, drift och underhåll, fakturahantering och kundstöd.
Rätten att ta ut avgifter får dock inte innebära inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt 2 kap. TF.
4.4. Utlämnande av uppgifter från folkbokföringsdatabasen
4.4.1. Utlämnande från Navet
Tillhandahållande av folkbokföringsuppgifter åt olika funktioner inom samhället är ett av ändamålen med folkbokföringsverksamheten. Folkbokföringsuppgifter överförs till andra myndigheter i samhället automatiskt genom det centrala aviseringsregistret hos Skatteverket, även kallat Navet, som uppdateras varje natt med de ändringar som registrerats lokalt under dagen. Varje dag ändras uppgifter för ca 12 500 personer.
Navet får i första hand användas av statliga och kommunala myndigheter för aktualisering, komplettering och kontroll av personuppgifter. Myndigheter får också använda registret för uttag av urval av personuppgifter för att tillgodose vissa särskilda behov, t.ex. inom skolverksamheten för uppgifter om personer i olika åldersgrupper. De tjänster som erbjuds är t.ex. regelbunden avisering av ändrade uppgifter, enstaka urval, terminalåtkomst och direktuppdatering. Urval kan även göras slumpmässigt.
Såväl regelbunden avisering som urval sker ofta som svar på en frågefil som mottagaren lämnat in. Beståndet utgörs då av personer som inte kan avgränsas geografiskt, t.ex. en myndighets anställda eller personer som ingår i olika forskningsprojekt. Mottagare med stora personbestånd, som inte kan avgränsas geografiskt, kan vid regelbunden avisering välja att ”bruttoaviseras”. De får då ändringar för hela landets befolkning, men skall i enlighet med 12 § sista stycket FdbF omedelbart gallra de uppgifter de inte får behandla. Mottagare med bruttoavisering är Rikspolisstyrelsen, Lantmäteriverket, Vägverket, Kriminalvårdsstyrelsen och Svenska kyrkan.
Uppgifterna lämnas vanligen på datamedium, såsom diskett, band eller linjeöverföring. Det går även att få uppgifterna på
papperslistor eller adressetiketter. Navet är tillgängligt dygnet runt, men teknisk support kan bara lämnas under normal kontorstid. Fr.o.m. 2005 finns nya tjänster med kommunikation via Internet, såväl vid hämtning och lämning av filer som vid direktåtkomst.
Alla kommuner och landsting samt ca 20 statliga myndigheter får löpande avisering av ändrade uppgifter från Navet, antingen dagligen eller veckovis. Det är ca 600 mottagare totalt beroende på att det inom många kommuner är flera olika förvaltningar som har egna system.
Antalet on-linemyndigheter (direktåtkomst) är ca 70 st. Totalt aviseras årligen ca 100 miljoner personposter från Navet. Antalet personposter som lämnas ut on-line är ca 2,5 miljoner och är ständigt ökande.
Utlämnande från Navet sker även i form av ”offentlighetsuttag” på pappersutskrifter.
8
En begäran om att få uppgifter om t.ex. alla
20-åringar i en viss kommun anses som en begäran om att få ta del av en allmän handling eftersom det finns ett färdigt program för att ta fram sammanställningen. Utlämnande som går utöver myndighetens skyldigheter enligt offentlighetsprincipen sker dock inte. Mottagaren har t.ex. inte rätt att välja att uppgifterna skall lämnas på datamedium eller att utskriften skall vara uppställd i viss form. Utlämnande av uppgifter på adressetiketter förekommer inte heller.
Den allmänna handling, med personuppgifter om t.ex. en viss åldersgrupp, som finns hos Skatteverket tas fram i form av en datafil. Den datafilen är inte en systematiskt ordnad uppställning av namn och adresser, utan är en lång sträng av uppgifter. Det krävs ett särskilt dataprogram för att arrangera om uppgifterna till en normal lista. Något sådant dataprogram har inte Skatteverket.
9
4.4.2. Massuttag
Det centrala aviseringsregistret, Navet, har blivit föremål för ”offentlighetsuttag” i stor omfattning. Med de många olika sökvariabler som finns, t.ex. viss födelsetid, visst kön, visst geografiskt område, ges det möjlighet till många varierande uttag. Beställningar
8
Se 2 kap. TF.
9
De myndigheter som beställer en lista får datafilen omvandlad och utskriven hos en
servicebyrå.
görs för alltifrån samhällsnyttiga ändamål till rent kommersiella direktreklamändamål.
10
Navet används för att komma runt de integritetsrestriktioner och andra begränsningar som finns för att använda SPAR. Som exempel kan nämnas att flera försäkringsföretag med jämna mellanrum begär listor på nyfödda barn inom vissa områden. För sådana uttag finns inte sådana integritetsrestriktioner som gäller för uttag ur SPAR, där exempelvis uppgifter om barn yngre än åtta veckor eller uppgifter om avlidna personer inom fyra veckor efter dödsfallet inte får användas som sökbegrepp. Ytterligare begränsningar i möjligheten att använda SPAR, som exempelvis att personnummer inte lämnas ut vid urval, innebär att uttag i stället begärs ur Navet.
Den vanligaste handlingen som begärs att få ut är s.k. personlista. För varje person redovisas personnummer, namn, adress, och folkbokföring (län, kommun och församling).
Sedan 1997 har ca 570 offentlighetsuttag gjorts. Av ändamålen är ca 50 % att värva nya medlemmar till olika föreningar eller organisationer, ca 28 % rent kommersiella, ca 6 % forskning, ca 5 % journalistiska och 11 % övriga.
Kostnaden för ett offentlighetsuttag har oftast varit en bråkdel av vad myndigheterna behövt betala för motsvarande uttag i Navet. På senare tid har Skatteverket gjort det lite mindre attraktivt att begära massuttag med stöd av offentlighetsprincipen. Eftersom det inte finns någon rättighet för sökanden att själv bestämma i vilken form avskrift skall göras lämnas numera en utskrift av själva datafilen, i stället för en bearbetad sådan. Det innebär att det har blivit krångligare och dyrare för den som begär massuttag med stöd av offentlighetsprincipen. T.ex. innehåller en personlista i dag endast uppgifter om ca tre personer per A 4-sida. Tidigare hade en personlista plats för ca tio personer per sida.
Om Skatteverket i framtiden skall lämna ut allmänna handlingar i elektronisk form, skulle det förmodligen innebära en stor ökning av offentlighetsuttagen ur Navet. Hur stor är något osäkert, det som i dag lämnas på ADB-medium är en kodad datafil som inte kan förstås utan att ha den tämligen omfattande tekniska beskrivningen tillgänglig. Även om mottagaren måste göra ett program för att läsa filen skulle offentlighetsuttagen öka med mer än 100 % enligt
10
Rutiner för sammanställning av personer som motsvarar vissa kriterier, s.k. massuttag, finns i regel inte för de lokala folkbokföringsregistren. En begäran om sådana sammanställningar hänvisas i stället till Navet.
Skatteverkets bedömning. Om uppgifterna skulle levereras till mottagarna i en färdig läsbar sammanställning förmodar Skatteverket att ökningen skulle mångdubblas.
4.4.3. Övrigt utlämnande
Ett annat viktigt ändamål med folkbokföringsverksamheten är framställning av personbevis och andra registerutdrag. Det finns ingen allmän definition av begreppet personbevis, men i författningar förekommer att ”personbevis” skall företes i vissa ärenden, t.ex. i samband med ansökan om namn hos Patent- och registreringsverket (se t.ex. 39 § namnlagen (1982:670)). Utlämnande av allmänna handlingar från de lokala folkbokföringsregistren sker huvudsakligen i form av personbevis till den person som personbeviset avser. Beställning av personbevis kan också göras via Skatteverkets servicetelefon och webbplats. Från december 2004 finns även en elektronisk tjänst på Skatteverkets webbplats för att skriva ut personbevis på egen skrivare.
Totalt utlämnas ca 2 miljoner personbevis per år. Skatteverket har tagit fram tolv olika grupper av personbevis där varje grupp innehåller uppgifter som behövs för specifika ändamål, exempelvis för Id-kortsändamål, för ansökan om pass eller för skilsmässa. Som exempel kan nämnas att årligen utfärdas cirka 400 000 personbevis för framställning av Id-kort. I princip finns nödvändiga uppgifter i SPAR för framställning av Id-kort. Dock kräver Id-kortsföretagen personbevis för att styrka uppgift om i första hand utländskt medborgarskap. Även vissa myndigheter har ett större behov av personuppgifter för sin verksamhet. Det rör sig ofta om uppgifter som inte är tillgängliga i det centrala aviseringsregistret Navet, t.ex. uppgift om folkbokföring per den 1 november visst år (hemort), samtliga in- och utvandringar och andra historiska uppgifter. Årligen utfärdas därför cirka 435 000 personbevis för verksamheterna hos Migrationsverket och domstolarna.
I samhället finns även ett stort behov hos privatpersoner, företag, organisationer och myndigheter att kontrollera en persons namn och adress. I de fall den som frågar känner till personnumret kan en förfrågan göras mot telefontjänsten Namn- och adressförfrågan i Skatteverkets servicetelefon. Svar på namn- och adressförfrågan lämnas per fax. Maximalt åtta förfrågningar avseende folkbokförda personer kan göras per faxsvar. En
förutsättning för inrättandet av denna tjänst var – enligt Datainspektionen – att den maskinella hanteringen avbryts genom någon form av manuell granskning före utlämnande av faxsvar. En central funktion som löpande granskar innehållet i varje svarsfil (faxsvar) ingår därför i hanteringen. Förfrågningarna till namn- och adresstjänsten har ökat under senare år och uppgår nu till ca 5 000– 7 000 svar per månad. Ett faxsvar innehåller i regel en till tre förfrågningar.
Utlämnande sker även av andra handlingar, t.ex. skärmbildskopior av en s.k. ”personbild”, som bl.a. innehåller uppgifter om biologiska föräldrar respektive adoptivföräldrar. Bilden är ett formulär som används vid handläggningen av folkbokföringsärenden. En sådan bild är mycket efterfrågad vid släktforskning och medför åtskillig tidsåtgång för sekretessprövning vid begäran om utlämnande. Vidare är utlämnande av enstaka uppgifter, främst namn och adress, via telefonfunktionen ”Skatteupplysningen” mycket vanligt förekommande.
Tillkomsten av Navet och andra tjänster för utlämnande av folkbokföringsuppgifter har medfört ett minskat behov av personbevis i samhället. Fortfarande utfärdas dock en stor mängd personbevis för olika ändamål.
11
I detta sammanhang bör påpekas
att personbevisen i praktiken är avgiftsfria. En bidragande orsak till att folkbokföringsuppgifter fortfarande tillhandahålls i form av personbevis i stor omfattning är att uppgiftsinnehållet i de lokala folkbokföringsregistren, Navet och SPAR skiljer sig åt i väsentliga delar. Myndigheter och enskildas behov av folkbokföringsuppgifter kan således inte helt tillgodoses genom Navet eller SPAR.
11
Utan tvekan är detta det vanligaste ärendet för den enskildes kontakt med folkbokföringsverksamheten. Anledningen till en personbevisbeställning kan vara brådska eller okunskap om vilka handlingar som krävs vid exempelvis en ansökan om pass. Enligt Skatteverket bör det övervägas om personbevis skulle kunna undvaras inom vissa områden, i första hand inom statlig och kommunal verksamhet.
5. Beskattningsdatabasen
5.1. Inledning
Skatteverket är, enligt förordningen (2003:1106) med instruktion för Skatteverket, central förvaltningsmyndighet för bl.a. frågor om skatter, socialavgifter, fastighetstaxering och registrering av bouppteckningar. Verket är dessutom förvaltningsmyndighet för frågor om pensionsgrundande inkomst. Behandlingen av de uppgifter som behövs i dessa verksamheter regleras i lagen (2001:181) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet (SdbL), som trädde ikraft den 1 oktober 2001.
1
SdbL gäller i stället för PuL, om inte annat anges. I och med SdbL infördes begreppet databas som en juridisk beteckning på vissa fastställda automatiserade behandlingar som används gemensamt inom en verksamhet och för vilka särskilda regler gäller. Beskattningsdatabasen regleras i 2 kap. SdbL. Tekniskt sett behandlas uppgifter i ett flertal olika IT-system. Exempelvis så behandlas uppgifter om grundbeslut om taxerad förvärvsinkomst och inkomst av kapital i ett system, ändringar av dessa uppgifter i ett annat system och fastighetstaxeringsuppgifter i ett tredje system. SdbL är tillämplig om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Till lagen hör en förordning, SdbF.
1
SdbL ersatte skatteregisterlagen (1980:343), som till stora delar innehöll motsvarande
reglering.
5.2. Ändamål
Ändamålen med behandlingen av uppgifter i beskattningsdatabasen är uppdelade i primära och sekundära ändamål. De primära ändamålen omfattar det som Skatteverket har att utföra enligt instruktionen. De sekundära ändamålen reglerar behandling av uppgifter som sker för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket. Uppgifter får inte behandlas enbart för att de behövs för sekundära ändamål.
5.2.1. Primära ändamål
De primära ändamålen anges i 1 kap. 4 § SdbL. Enligt paragrafen får uppgifter behandlas för tillhandahållande av information som behövs hos Skatteverket för
1. fastställande av underlag för samt bestämmande, redovisning,
betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan
liknande prövning,
6. handläggning av mål och ärenden om ansvar för någon annans
skatter och avgifter,
7. fullgörande av ett åliggande som följer av ett för Sverige
bindande internationellt åtagande,
8. verksamheten med bouppteckningar och dödsboanmälningar
enligt ärvdabalken, och
9. tillsyn, kontroll, uppföljning och planering av verksamheten.
Dessa ändamål är de primära ändamål för vilka Skatteverket samlar in och registrerar uppgifter.
5.2.2. Sekundära ändamål
De sekundära ändamålen anges i 1 kap. 5 § SdbL. Enligt denna paragraf får uppgifter behandlas för tillhandahållande av information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för
1. fastställande av underlag för samt redovisning, bestämmande,
betalning och återbetalning av skatter eller avgifter,
2. utsökning och indrivning,
3. att utgöra underlag för beslut och kontroll av bidrag och andra
stöd,
4. pensionsberäkning,
5. tillsyn och kontroll samt lämplighets- och tillståndsprövning
och annan liknande prövning, och
6. aktualisering och komplettering av uppgifter om fastigheter i
andra myndigheters register.
5.3. Innehållet i beskattningsdatabasen
I 2 kap. 1 § SdbL sägs att det i beskattningsverksamheten skall finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de nyss angivna ändamålen (beskattningsdatabas). Enligt 3 § samma kapitel får för de ändamål som anges i 1 kap. 4 § SdbL (de primära) följande uppgifter behandlas i databasen
1. en fysisk persons identitet, medborgarskap, bosättning och
familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt
firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter,
6. underlag för fastighetstaxering,
7. revision och annan kontroll av skatter och avgifter,
8. avgiftsskyldighet till ett registrerat trossamfund och
medlemskap i fackförening,
9. yrkanden och grunder i ett ärende, 10. beslut, betalning, redovisning och övriga åtgärder i ett ärende,
och 11. uppgifter som behövs i verksamheten med bouppteckningar
och dödsboanmälningar enligt ärvdabalken.
2
2
I databasen får även andra uppgifter behandlas som behövs för fullgörande av ett åliggande
som följer av ett för Sverige bindande internationellt åtagande. Dessutom får enligt 2 kap. 4 § SdbL handlingar i elektronisk form behandlas i databasen.
Regeringen har i SdbF meddelat närmare föreskrifter om innehållet i databasen. Dessutom har Skatteverket, med stöd av SdbF, meddelat en föreskrift om innehållet.
5.4. Sekretess
I 9 kap. sekretesslagen (1980:100) finns bestämmelser till skydd för enskildas personliga och ekonomiska förhållanden. Sekretess gäller enligt 9 kap. 1 § för alla uppgifter om enskildas personliga eller ekonomiska förhållanden när dessa uppgifter förekommer i en myndighets verksamhet på skatteområdet m.m.
3
Sekretessen enligt
9 kap. är med några undantag absolut, dvs. den gäller oavsett om någon skada kan uppkomma eller inte genom att en uppgift röjs. Motsvarande sekretess gäller bl.a. i en myndighets verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt SdbL.
I 2 kap. 5 § SdbL görs vissa undantag från den absoluta sekretessen. Om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs, får de i paragrafen uppräknade uppgifterna lämnas ut till en enskild.
Enligt 9 kap. 1 § tredje stycket sekretesslagen är beslut som innebär att skatt eller pensionsgrundande inkomst bestäms och beslut som innebär att underlag för bestämmande av skatt fastställs undantagna från sekretess. Undantaget omfattar bl.a. beslut om debitering, fastighetstaxering samt inkomst- och förmögenhetstaxering.
Beslutade uppgifter om taxerad förvärvsinkomst och inkomst av kapital anses vara offentliga. En uppgift om en persons förmögenhet är offentlig endast i de fall förmögenhetsskatt skall utgå. Uppgift om en persons fastighetsinnehav som söks fram med utgångspunkt från personens identitet är inte offentlig. En uppgift om en fysisk persons adress omfattas inte av undantaget i 2 kap. 5 § SdbL och får därför inte lämnas ut från beskattningsdatabasen.
3
Verksamheten skall avse antingen bestämmande av skatt eller taxering eller i övrigt
fastställande av underlag för bestämmande av skatt.
5.5. Direktåtkomst
Skatteverket är personuppgiftsansvarigt för behandlingen av uppgifter i beskattningsdatabasen. Verket har direktåtkomst till samtliga uppgifter i databasen. Åtkomsten inom verket regleras genom ett behörighetskontrollsystem, eftersom varje handläggare bara skall ha åtkomst till de uppgifter som han eller hon behöver för att kunna utföra sina arbetsuppgifter.
Av 2 kap. 8 § SdbL framgår att kronofogdemyndigheterna och Tullverket får ha direktåtkomst till vissa uppgifter i beskattningsdatabasen. Vilka uppgifter som skall lämnas ut till dessa myndigheter framgår av 4 och 5 §§ SdbF. Utlämnandet får ske i form av direktåtkomst eller på medium för automatiserad behandling.
Om polisen skall få ha direktåtkomst till uppgifter i beskattningsdatabasen krävs ett tillägg i 2 kap. 8 § SdbL samt ett förtydligande i SdbF av vilka uppgifter det gäller. Utredningen lämnar förslag om ändring i 2 kap. 8 § SdbL (se Författningsförslag och kap. 12).
5.6. Utlämnande på medium för automatiserad behandling
I SdbL regleras under vilka förutsättningar uppgifter i beskattningsdatabasen får lämnas ut på medium för automatiserad behandling. Utlämnanden sker endast som ett led i Skatteverkets verksamhet eller om det finns ett samhällsintresse av att lämna ut uppgifterna. Enligt 2 kap. 6 § SdbL får uppgifter i databasen lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har föreskrivit om det. Det innebär att uppgifter från beskattningsdatabasen endast lämnas ut till andra myndigheter samt till betalningsförmedlare, kreditupplysningsföretag och registrerade trossamfund. Uppgifter lämnas inte ut för marknadsföringsändamål.
Uppgifter lämnas på begäran ut till andra statliga myndigheter, t.ex. kronofogdemyndigheterna, Tullverket, Centrala studiestödsnämnden, Försäkringskassan, Statistiska centralbyrån och SPAR. Många kommuner inhämtar uppgifter om taxerade inkomster och beslutade skatter. Utlämnande till myndigheter av sekretessbelagda uppgifter kräver att det finns någon form av uppgiftsskyldighet för
Skatteverket. Vissa utlämnanden till myndigheter är reglerade i SdbF. Utlämnande av offentliga uppgifter kräver att den mottagande myndigheten får behandla uppgifterna.
Av 2 kap. 6 § SdbL framgår att uppgifter i beskattningsdatabasen får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det. I 9–15 §§ SdbF har regeringen meddelat sådana föreskrifter.
Efter förfrågan från arbetsgivare eller uppdragsgivare får Skatteverket, enligt 10 § SdbF, lämna ut uppgifter som behövs för skatteavdrag för preliminärskatt.
Enligt 11 § SdbF får uppgifter lämnas till den som har tillstånd enligt 3 § första stycket kreditupplysningslagen (1973:1173) att bedriva kreditupplysningsverksamhet eller bedriver kreditupplysningsverksamhet som är undantagen från tillståndsplikt enligt andra eller fjärde stycket nämnda paragraf. Utlämnandena omfattar uppgifter om taxerade inkomster och beslut om beskattning, registrering till F-skatt, moms och arbetsgivaruppgifter samt uppgift om fastighetsinnehav. Före SdbL:s ikraftträdande reglerades dessa utlämnanden av tillstånd från Datainspektionen.
Enligt 12 § SdbF får uppgift som utgör underlag för beräkning av avgift till registrerat trossamfund lämnas till respektive samfund.
Skatteverket får enligt 2 kap. 14 § SdbL ta ut avgifter för uppgiftsutlämnandet, utom när det föreligger en uppgiftsskyldighet till andra myndigheter.
5.7. Utlämnande av allmänna handlingar
Var och en kan med stöd av offentlighetsprincipen begära att få ta del av inkomst- och beskattningsuppgifter. Skatteverkets normala sökväg till sådana uppgifter är personnummer eller organisationsnummer. Den som vill ha uppgifter om en enskild måste alltså känna till en del om personen för att det skall gå att få fram uppgifter.
Skatteverket har för sina behov dessutom tagit fram vissa möjligheter att göra sammanställningar för kontroller och statistik. Allmänheten kan få ut motsvarande uppgifter i den mån de är offentliga. De uppgifter som lämnas ut är uppgifter om beslutade skatter och avgifter. Uppgift om adress för en fysisk person omfattas inte eftersom den anses hemlig. Adressuppgiften är i detta sammanhang en allmän handling endast om den gäller närings-
idkare. Skatteverket har inte program för att ta fram listor som inkluderar adresser till övriga fysiska personer kombinerat med beskattningsuppgifter. Skatteverket lämnar inte heller ut uppgifter som utgår från postnummerområde eller kommun som en fysisk person är folkbokförd i.
Skatteverket lämnar varje år ut 200 till 300 papperslistor med sammanställningar på individnivå. Antal sidor varierar mellan några enstaka individuppgifter till som mest 250 sidor med 60 individuppgifter på varje sida. Vanligast är utlämnande av två sidor dvs. uppgifter om 120 personer. Ungefär 90 % av utlämnandena gäller uppgifter om fysiska personer. En stor del av dessa uttag gäller vilka som debiterats högst inkomstskatter och storleken på skatterna.
För att få tag på adress för de personnummer som finns på en sådan lista krävs att den som begärt ut uppgifterna med hjälp av personnummer manuellt kompletterar uppgifterna. Det förekommer att enskilda först begär att få listor med personnummer och beskattningsuppgifter och därefter lämnar personnummer på listan till skattekontoret för komplettering med namn och adress ur folkbokföringsdatabasen. Detta medför ett betydande arbete för Skatteverket. Ärenden rörande offentlighetsuttag av denna typ har ökat de senaste åren och enligt Skatteverkets bedömning kommer de sannolikt att öka ytterligare om möjligheten till urvalsdragningar med uppgifter från beskattningsdatabasen som grund tas bort.
6. Offentlighetsprincipen, personuppgiftslagen och PSI-direktivet
6.1. Offentlighetsprincipen och regler om sekretess
De grundläggande reglerna om allmänna handlingars offentlighet finns i 2 kap. TF. Utgångspunkten är att var och en till främjande av ett fritt meningsutbyte och en allsidig upplysning har rätt att ta del av allmänna handlingar. En handling är allmän om den förvaras hos myndigheten och är att anse som inkommen eller upprättad hos myndigheten. Om någon begär att få ta del av en allmän handling får myndigheten inte efterforska vem han är eller vilket syfte han har med sin begäran, i större utsträckning än som behövs för att myndigheten skall kunna pröva om hinder föreligger mot att handlingen lämnas ut. Myndigheten är skyldig att tillmötesgå begäran genom att så snart som möjligt, avgiftsfritt, göra handlingen tillgänglig på stället, dvs. i myndighetens lokaler. Den som önskar ta del av en allmän handling har även rätt att mot fastställd avgift få avskrift eller kopia av handlingen. En myndighet är dock inte skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift på papper. Avgiftens storlek skall fastställas med utgångspunkt i avgiftsförordningens (1992:191) bestämmelser. Detta är kärnan i den s.k. offentlighetsprincipen.
Offentlighetsprincipen skall fungera som en garanti för att den offentliga maktutövningen sker i demokratiskt öppna former, under allmänhetens och massmedias insyn. En allmän insynsrätt kan dock inte gälla i obegränsad omfattning, utan måste vägas mot viktiga allmänna och enskilda intressen. I TF (2 kap.) anges därför vissa bestämda kriterier för offentlighetsprincipens räckvidd. Bl.a. stadgas att rätten att ta del av allmänna handlingar får begränsas genom vanlig lag, om detta är påkallat med hänsyn till vissa i TF uppräknade intressen. Ett sådant intresse är skyddet för enskildas personliga och ekonomiska förhållanden.
Regler om inskränkningar i offentlighetsprincipen till skydd för enskildas personliga och ekonomiska förhållanden finns i flera speciallagar och i sekretesslagen (1980:100). Reglerna i sekretesslagen har generell karaktär och skall tillämpas av alla myndigheter. Även om utgångspunkten är att uppgifterna hos en myndighet är offentliga, måste utlämnandet av uppgifter alltid föregås av en sekretessprövning.
SPAR-lagen innehåller inga särskilda regler om sekretess. Uppgifterna i SPAR är offentliga, om annat inte följer av sekretesslagens bestämmelser. De sekretessregler som SPAR-nämnden i första hand har att iaktta finns i 7 kap.15 och 16 §§sekretesslagen. Enligt 15 § gäller sekretess i verksamhet som avser folkbokföring eller annan liknande registrering av befolkningen och, i den utsträckning regeringen föreskriver det, i annan verksamhet som avser betydande del av befolkningen, om det av särskild anledning kan antas att den enskilde eller någon honom närstående lider men om uppgiften röjs. Saknas särskild anledning att anta att ett utlämnande av uppgiften leder till skada, måste SPAR-nämnden pröva om utlämnandet strider mot sekretessbestämmelsen i 16 §. I 16 § sägs att sekretess gäller för personuppgifter, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid mot personuppgiftslagen (1998:204) (PuL). PuL beskrivs närmare nedan i avsnitt 6.2. Här skall endast påtalas att bestämmelsen i 7 kap. 16 § sekretesslagen bara reglerar fall där den personuppgiftsansvarige är etablerad i Sverige eller om uppgifterna skall behandlas här. Sekretessbestämmelsen i 16 § kan alltså inte tillämpas i fall där den personuppgiftsansvarige är etablerad i utlandet och de aktuella uppgifterna skall behandlas där. Det förhållandet att de nuvarande sekretessreglerna i praktiken är mindre stränga när personuppgifter lämnas ut till en utländsk aktör än när de lämnas till en svensk, har påtalats av såväl SPAR-nämnden som Datainspektionen.
SPAR-verksamheten är uppbyggd på så sätt att uttag med stöd av offentlighetsprincipen tillhandahålls antingen hos myndigheten SPAR-nämnden, via telefonupplysning eller i form av utskrift på papper. Offentlighetsprincipen innebär ingen skyldighet för SPARnämnden att tillhandahålla uppgifterna i elektronisk form. Den som önskar få uppgifterna i elektronisk form måste ingå ett leveransavtal och betala det överenskomna priset till InfoData AB. I dessa fall är inte avgiftsförordningen tillämplig, eftersom den enbart gäller för myndigheter.
6.2. Personuppgiftslagen
6.2.1. Allmänt om integritetsskyddet
Den grundläggande bestämmelsen om integritetsskydd på ITområdet finns i 2 kap. 3 § RF. Där sägs att varje medborgare, i den utsträckning som framgår i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. I bestämmelsen anges inte hur skyddet skall utformas, i vilka fall det är tillåtet att föra personregister eller under vilka förutsättningar samkörning av personuppgifter får göras. Den närmare regleringen av integritetsskyddet skall anges i vanlig lag.
1
Sådana integritetsskyddande regler
finns huvudsakligen i PuL, som i oktober 1998 ersatte datalagen (1973:289).
2
Bestämmelserna i PuL bygger på EG:s dataskyddsdirektiv och följer i allt väsentligt direktivets text och disposition. Dataskyddsdirektivets syfte är att garantera en hög och likvärdig skyddsnivå vid behandling av personuppgifter i alla medlemsstater. Medlemsstaterna får inte föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter än vad som gäller enligt direktivet. Eftersom direktivets regler måste iakttas av alla EU-länder får det fria flödet av personuppgifter mellan medlemsstaterna inte hindras med hänvisning till att något lands integritetsskydd vid behandling av personuppgifter anses vara för svagt.
6.2.2. Huvuddragen i personuppgiftslagen
På datalagens tid krävdes att den som skulle behandla personuppgifter i förväg inhämtade Datainspektionens tillstånd. Datainspektionen förenade tillståndsbesluten med särskilda villkor för behandlingen, t.ex. om vilka uppgifter som fick ingå i ett register och varifrån dessa fick hämtas. Detta tillståndskrav har i PuL ersatts med en anmälningsplikt för den som avser att behandla personuppgifter. I PuL läggs särskild vikt vid att behandlingen av
1
Bestämmelsen i 2 kap. 3 § andra stycket RF innebär att det i grundlag slås fast att det skall
finnas ett integritetsskydd. Genom bestämmelsen uppmanas lagstiftaren att vara aktiv genom att stifta och vidmakthålla en datalagstiftning (prop. 1987/88:57 om grundlagsfäst integritetsskydd). F.n. pågår en översyn av bestämmelsen i 2 kap. 3 § andra stycket RF för att se om integritetsskyddet i bestämmelsen bör stärkas (dir. 2004:51).
2
Tillföljd av övergångsregler kom PuL inte att tillämpas fullt ut förrän den 1 oktober 2001.
personuppgifter sköts korrekt. PuL fastställer ramarna för behandlingen och innehåller uttömmande regler om när det är tillåtet att behandla personuppgifter. I förtydligande syfte finns en särskild paragraf i PuL som anger att tillämpningen av lagen inte i något fall får innebära en inskränkning av en myndighets skyldighet enligt 2 kap. TF att lämna ut personuppgifter (8 § PuL). PuL är subsidiärt tillämplig och skall inte tillämpas om det finns avvikande bestämmelser i annan lag eller förordning, oftast i s.k. registerlagar.
Bestämmelserna i PuL gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad och för manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Den som är personuppgiftsansvarig har det övergripande ansvaret för all behandling som sker med uppgifterna. Personuppgiftsansvaret kan inte delegeras. Däremot kan den personuppgiftsansvarige anlita ett personuppgiftsbiträde, t.ex. ett dataservicebolag, för att få hjälp med den praktiska verksamheten. Personuppgiftsbiträdet får endast hantera uppgifterna i enlighet med den personuppgiftsansvariges instruktioner. Det skall finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet som reglerar hur behandlingen skall gå till.
Datainspektionen är tillsynsmyndighet och har enligt PuL rätt att vidta åtgärder mot den som behandlar personuppgifter i strid mot lagen. Den personuppgiftsansvarige kan förordna ett personuppgiftsombud. Personuppgiftsombudet övertar då i viss utsträckning de tillsynsuppgifter som annars handhas av Datainspektionen. Om ett personuppgiftsombud utses gäller som regel inte den anmälningsplikt som nämnts ovan.
3
PuL gäller endast om behandlingen av personuppgifter sker i Sverige eller om den personuppgiftsansvarige är etablerad här. När personuppgifter lämnas ut för behandling i utlandet skall i stället detta lands lagstiftning tillämpas på behandlingen. Eftersom PuL bygger på ett EG-direktiv (dataskyddsdirektivet) finns motsvarande reglering i samtliga EU- och EES-länder.
3
Vid behandling av särskilt integritetskänsliga uppgifter är dock förhandsanmälan obligatorisk och skall göras även om ett personuppgiftsombud har förordnats.
6.2.3. När behandling av personuppgifter är tillåten
I PuL anges vissa grundläggande krav som gäller vid all behandling av personuppgifter (9 §). Den personuppgiftsansvarige skall se till att dessa regler iakttas; bl.a. att personuppgifter
- alltid behandlas på ett korrekt sätt och i enlighet med god sed,
- endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål, samt
- inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlats in.
Vidare finns regler om när behandling av personuppgifter överhuvudtaget är tillåten (10 §). Personuppgifter får behandlas endast om den registrerade har lämnat sitt samtycke härtill eller om behandlingen är nödvändig för att
- ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade har begärt skall kunna vidtas innan avtal träffas,
- den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,
- vitala intressen för den registrerade skall kunna skyddas,
- en arbetsuppgift av allmänt intresse skall kunna utföras,
- den personuppgiftsansvarige eller tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller
- ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
För behandling av s.k. känsliga personuppgifter gäller särskilt stränga regler (11–22 §§).
6.2.4. Direktreklamspärr och angivande av källa
Enligt 11 § PuL får personuppgifter behandlas för ändamål som rör direkt marknadsföring, om inte den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling (s.k. direktreklamspärr). Vid
direktreklamutskick måste det tydligt framgå varifrån adressuppgifterna har hämtats, så att den registrerade vet till vem han eller hon skall vända sig för att göra en anmälan om reklamspärr. Bortsett från rätten att spärra sina uppgifter mot att användas för direktreklam, har den registrerade inte rätt att motsätta sig sådan behandling som är tillåten enligt PuL.
6.2.5. Registerutdrag
26 § PuL handlar om den enskildes rätt att få information. Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det, gratis en gång om året, lämna besked om huruvida personuppgifter som rör den sökande har behandlats eller inte. Om sökandens personuppgifter har behandlats skall den personuppgiftsansvarige utan kostnad för den registrerade även lämna skriftlig information om vilka uppgifter som behandlats, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna har lämnats ut. Eftersom även lagring av personuppgifter klassificeras som behandling måste den personuppgiftsansvarige redovisa alla uppgifter som finns registrerade om sökanden, såvida ett utlämnade av uppgifterna inte strider mot någon sekretessbestämmelse.
6.2.6. Utlämnande av personuppgifter till utlandet
En begäran om utlämnande av personuppgifter skall behandlas på samma sätt oavsett om mottagaren finns i Sverige eller i ett annat EU-land. Som redan påpekats gäller PuL endast om behandlingen av personuppgifter sker i Sverige eller om den personuppgiftsansvarige är etablerad här. När personuppgifter lämnas ut för behandling i utlandet skall i stället detta lands lagstiftning tillämpas på villkoren för behandlingen. I varje EU-land skall det finnas en tillsynsmyndighet med uppgift att självständigt bevaka att all behandling av personuppgifter sker i enlighet med dataskyddsdirektivets regler.
I PuL anges att personuppgifter får lämnas ut om mottagaren är etablerad i ett EU- eller EES-land eller i ett land som är anslutet till Europarådets konvention om skydd för enskilda vid automatisk
databehandling av personuppgifter. Utlämnade av personuppgifter för behandling i något annat land (tredje land) får endast ske om landet i fråga har en adekvat nivå för skyddet av personuppgifter (33–35 §§).
6.3. PSI-direktivet
6.3.1. PSI-direktivets syfte
Offentliga myndigheter svarar för stora delar av samhällets informationsförsörjning. Inom den offentliga förvaltningen finns en mängd information som samlats in eller framställts för olika ändamål. Att utnyttja sådana handlingar för andra ändamål än det för vilket handlingarna ursprungligen inhämtades eller framställdes utgör vidareutnyttjande. Utbyte av handlingar mellan offentliga myndigheter som enbart sker i samband med myndigheternas offentliga verksamhet anses dock inte vara vidareutnyttjande.
Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn (PSI-direktivet) syftar till att uppmuntra vidareutnyttjande av den information som finns hos den offentliga sektorn. Informationen anses ha en värdepotential, som bör kunna utnyttjas av näringslivet för att därigenom bidra till ekonomisk tillväxt och skapande av nya arbetstillfällen i EU. Enligt PSIdirektivet bör skapandet av gemenskapsomfattande informationsprodukter och informationstjänster som bygger på handlingar från den offentliga sektorn uppmuntras. PSI-direktivet skall vara infört i nationell lagstiftning senast den 1 juli 2005.
Medlemsstaternas regler för vidareutnyttjande av offentliga handlingar har hittills varit mycket olika. Skillnaden i regelsystemen har ansetts utgöra ett hinder för att den fulla potentialen hos dessa handlingar skall kunna utnyttjas. PSI-direktivets regler skall säkerställa att samma grundvillkor gäller för alla aktörer på den europeiska informationsmarknaden och förhindra omotiverade snedvridningar av konkurrensen. Direktivets regler innebär bl.a. att svenska myndigheter måste tillämpa samma villkor för alla företag inom EU som vill vidareutnyttja svenska offentliga handlingar. PSI-direktivet innehåller ingen skyldighet att tillåta vidareutnyttjande av offentliga handlingar. Beslutet, att tillåta eller inte tillåta vidareutnyttjande, fattas av medlemsstaterna själva. PSI-
direktivet gäller bara sådana handlingar som görs tillgängliga för vidareutnyttjande.
I direktivet rekommenderas att alla offentliga handlingar, om det är möjligt och lämpligt, görs elektroniskt tillgängliga. Samtidigt framhålls att PSI-direktivets bestämmelser inte på något sätt får inskränka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter enligt den skyddslagstiftning som finns i gemenskapsrätten (i första hand åsyftas bestämmelserna i dataskyddsdirektivet) eller motsvarande nationell lagstiftning. En bedömning av om svenska offentliga handlingar skall lämnas ut för vidareutnyttjande skall således alltid prövas mot bakgrund av bestämmelserna i bl.a. sekretesslagen och PuL.
6.3.2. När är PSI-direktivet tillämpligt?
Det är alltså varje enskilt medlemsland som bestämmer om en handling som finns inom den offentliga sektorn skall göras tillgänglig för vidareutnyttjande eller inte. Svenska förhållanden är unika i den bemärkelsen att vårt land tillämpar en vidsträckt offentlighetsprincip som ger var och en rätt att utan närmare motivering få tillgång till allmänna handlingar. Vad som är att bedöma som allmän handling regleras i 2 kap. TF och sekretesslagen. Offentlighetsprincipen innebär emellertid ingen skyldighet för svenska myndigheter att lämna ut uppgifterna i elektronisk form.
4
PSI-direktivets inverkan på svenska förhållanden medför
därför inget tvång att tillhandahålla allmänna handlingar på elektronisk väg, men i de fall vidareutnyttjande av handlingar som finns i den offentliga sektorn tillåts skall dessa, om det är möjligt och lämpligt, göras elektroniskt tillgängliga.
SPAR-utredningen har i uppdrag att pröva hur myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter skall tillgodoses i framtiden. Tillhandahållande av folkbokföringsuppgifter för annat ändamål än de insamlats för innebär att handlingarna görs tillgängliga för vidareutnyttjande och att PSI-direktivets regler måste iakttas. I fall utredningen föreslår att folkbokföringsuppgifter skall göras tillgängliga för vidare-
4
Enligt 2 kap. 13 § TF är en myndighet inte skyldig att lämna ut en upptagning för
automatisk databehandling i annan form än utskrift på papper, såvida en sådan skyldighet inte följer av lag.
utnyttjande måste förslaget därför stämma överens med PSIdirektivets regler.
6.3.3. Viktiga bestämmelser i PSI-direktivet
Om svensk rätt tillåter att företag och andra organisationer får vidareutnyttja folkbokföringsuppgifter måste bl.a. följande bestämmelser i PSI-direktivet iakttas.
- Vid behandling av personuppgifter skall alltid bestämmelserna i dataskyddsdirektivet följas. Det kan uttryckas så att bestämmelserna i dataskyddsdirektivet har företräde framför PSI-direktivets bestämmelser. Vidareutnyttjade av folkbokföringsuppgifter måste ske i kontrollerbara former och får inte påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter. Reglerna i dataskyddsdirektivet och personuppgiftslagen får således inte sättas åt sidan.
- Avgiftsprinciper Om avgift tas ut får de samlade inkomsterna från leverans och tillstånd att vidareutnyttja folkbokföringsuppgifter inte överstiga kostnaden för insamling, framställning, reproduktion och spridning av dem, inklusive en rimlig avkastning på investeringar (övre gräns). Någon nedre gräns för avgiften finns inte och myndigheterna bör sträva efter att ta betalt endast för marginalkostnaderna för reproduktionen och spridning av uppgifterna.
- Tillämpliga villkor och avgifter skall offentliggöras Alla tillämpliga villkor och standardavgifter för vidareutnyttjande av folkbokföringsuppgifter skall fastställas i förväg och offentliggöras. Det skall vara enkelt för den som vill vidareutnyttja uppgifterna att beräkna kostnaden.
- Licenser I vissa fall kan det vara lämpligt att förena tillåtelsen att vidareutnyttja uppgifter med särskilda villkor om säkerhet m.m. Om det är lämpligt skall standardiserade licenser används. Licensvillkoren skall vara skäliga och tydliga samt utformas så att de inte i onödan begränsar möjligheterna till vidareutnyttjande.
Villkoren i licenserna får inte användas för att begränsa konkurrensen.
- Icke-diskriminerande villkor Samma villkor för vidareutnyttjande av folkbokföringsuppgifter skall tillämpas för alla marknadsaktörer. Principen om ickediskriminering hindrar emellertid inte att olika avgifter tillämpas för kommersiellt och icke-kommersiellt vidareutnyttjande. Det är inte heller något som hindrar ett avgiftsfritt utbyte av uppgifter mellan myndigheter när de utövar sin offentliga verksamhet. Om en offentlig myndighet skall använda folkbokföringsuppgifterna i kommersiell verksamhet skall emellertid samma avgift och villkor gälla för myndigheten som för andra användare.
Målet med PSI-direktivet är att underlätta och uppmuntra gemenskapsomfattande informationsprodukter och informationstjänster som bygger på handlingar från den offentliga sektorn. Principen om icke-diskriminering innebär att jämförbara kategorier av användare inom EU skall behandlas på lika villkor. En ansökan om att få vidareutnyttja svenska folkbokföringsuppgifter skall behandlas på samma sätt, oavsett om den som ansöker har säte i Sverige eller i något annat EU-land.
- Förbud mot exklusiva avtal Kontrakt eller andra avtal mellan en offentlig myndighet hos vilken handlingen finns och tredje man får inte innehålla något beviljande av ensamrätt, utom i vissa undantagsfall. Alla potentiella marknadsaktörer skall kunna vidareutnyttja handlingar som görs tillgängliga för sådant nyttjande.
Undantag från förbudet mot exklusiva avtal får göras endast om det bedöms vara nödvändigt för att staten skall kunna tillhandahålla en tjänst av allmänt intresse. Skälet för att ge en aktör ensamrätt skall omprövas regelbundet och under alla förhållanden vart tredje år. Avtal om ensamrätt som ingås efter det att PSI-direktivet har trätt i kraft skall var öppna för insyn och göras tillgängliga för allmänheten. Befintliga avtal om ensamrätt, som inte motiveras av att det för tillhandahållandet av handlingarna är nödvändigt med ett exklusivt avtal, skall upphöra senast den 31 december 2008.
6.3.4. Utredningens bedömning av hur PSI-direktivet påverkar villkoren för tillhandahållandet av folkbokföringsuppgifter
PSI-direktivet handlar om vidareutnyttjande av handlingar som finns inom den offentliga sektorn. Tolkning av termen vidareutnyttjande har därför en central betydelse för direktivets räckvidd. Vad som menas med vidareutnyttjande definieras i direktivets artikel 2 punkt 4. Där sägs att vidareutnyttjande är ”personers eller rättssubjekts användning av handlingar som finns hos offentliga myndigheter för andra ändamål än det ursprungliga ändamål för vilket handlingarna framställdes inom den offentliga verksamheten. Utbyte av handlingar mellan offentliga myndigheter som enbart sker i samband med deras offentliga verksamhet skall inte anses utgöra vidareutnyttjande.” Av avgörande betydelse för direktivets tillämplighet är alltså om den offentliga myndigheten, i detta fall Skatteverket, lämnar ut uppgifter för att användas för annat ändamål än det för vilket uppgifterna insamlats eller framställts.
5
Ändamålet med Skatteverkets folkbokföring framgår av 1 kap. 4 § FbdL. Där sägs att uppgifter får behandlas för tillhandahållande av information som behövs för bl.a. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter (1 p.), framställning av personbevis och andra registerutdrag (4 p.), aktualisering, komplettering och kontroll av personuppgifter (5 p.) samt uttag av urval av personuppgifter (6 p.). Skulle ändamålet med folkbokföringsverksamheten preciseras närmare, så att det klart och tydligt anges att ändamålet med Skatteverkets folkbokföringsverksamhet innefattar tillhandahållande av personuppgifter till hela samhället, borde det innebära att ett utlämnade i enlighet därmed inte skulle omfattas av PSI-direktivets bestämmelser om spridning av uppgifter för vidareutnyttjande. En strikt tolkning i enlighet med PSI-direktivets ordalydelse ger således vid handen att utredningen inte måste följa PSI-direktivets bestämmelser vid utformningen av sitt förslag till en framtida ordning för tillhandahållande av
5
Det ligger nära till hands att jämföra med bestämmelserna i dataskyddsdirektivet där det, i
artikel 6.1 punkt b, stadgas att personuppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att uppgifterna senare inte får behandlas på ett sätt som är oförenligt med dessa ändamål. PSI-direktivets tillämpningsområde vid spridning av folkbokföringsuppgifter bör därför avse de fall uppgifterna behandlas, t.ex. lämnas ut till företag och organisationer, för annat ”nytt” ändamål som är förenligt med det ursprungliga.
folkbokföringsuppgifter till myndigheter, företag och andra organisationer.
Som nämnts bör inte heller ett utlämnande enligt offentlighetsprincipen innebära att PSI-direktivets regler blir tillämpliga. I dessa fall lämnas uppgifter ut, inte för att vidareutnyttjas, utan för att säkerställa den enskildes insyn i den offentliga verksamheten. PSI-direktivet är inte skrivet med sikte på en utvidgning av den svenska offentlighetsprincipen och är inte heller avsett att frammana regler om mindre öppenhet, vilket skulle kunna bli fallet om PSI-direktivets regler var tillämpliga på alla uppgifter som kan lämnas ut med stöd av offentlighetsprincipen. Den svenska offentlighetsprincipen är unik och saknar i princip motsvarighet i andra länder. Vidare är den svenska offentliga förvaltningen i jämförelse med flertalet andra EU-länder långt framme när det gäller datorisering, tillgänglighet samt ordning och reda på uppgifter. Sist nämnda förhållande förändrar inte det faktum att Sverige är bundet att följa bestämmelserna i PSI-direktivet. Däremot får det betydelse för tolkningen av direktivet, eftersom dess tillämpning ofta förutsätter att medlemsstaten gör en skälighetsbedömning. I flera av direktivets artiklar anges att de skall tillämpas i den utsträckning det är möjligt och lämpligt, se t.ex. artiklarna 5 och 7.
Även om en snäv tolkning av PSI-direktivet skulle kunna försvaras när det gäller tillhandahållandet av personuppgifter, anser utredningen att utgångspunkten måste vara att direktivets bestämmelser, mål och inriktning skall följas såvida det inte finns starka skäl som talar i motsatt riktning. Utredningen vill särskilt framhålla att PSI-direktivet uttryckligen klargör att tillhandahållandet av personuppgifter inte på något sätt får påverka skyddsnivån för enskilda personer med avseende på behandling av personuppgifter (artikel 1.4). PSI-direktivets bestämmelser kan därför inte rättfärdiga att svenska myndigheter medverkar till att folkbokföringsuppgifter distribueras på ett sätt som innebär ett oacceptabelt intrång i enskildas personliga integritet och rätt till privatliv.
6.3.5. Utredningens bedömning av PSI-direktivets tillämplighet då uppgifter i Skatteverkets beskattningsdatabas används som urvalsgrund för uttag av personuppgifter
Vid uttag av urval av personuppgifter ur SPAR är det tillåtet att som urvalsgrund använda uppgifter som hämtats från Skatteverkets beskattningsdatabas. Även om resultatet av urvalsdragningarna redovisas i form av namn och adress till dem som stämmer in på urvalsgrunderna, innebär det indirekt ett utlämnande av uppgifter i beskattningsdatabasen för vidareutnyttjande. Enligt utredningens bedömning är PSI-direktivet därför tillämpligt vid hanteringen av urvalsdragningar som sker med stöd av uppgifter från beskattningsdatabasen.
Det sekretesskydd som gäller med hänsyn till enskildas ekonomiska förhållanden, bl.a. vid uttag av uppgifter ur beskattningsdatabasen, är starkare än skyddet för folkbokföringsuppgifter. Taxeringsuppgifterna i SPAR anses därför vara mer integritetskänsliga än de folkbokföringsuppgifter som finns i registret. Det visar sig inte minst genom att taxeringsuppgifterna i SPAR inte får lämnas ut i elektronisk form till andra än RPS, polismyndigheter och Tullverket. Eftersom PSI-direktivet inte på något sätt får innebära en inskränkning av det sekretesskydd som gäller vid behandling av personuppgifter bör direktivets påverkan på formerna för utlämnandet av uppgifter ur beskattningsdatabasen bli tämligen begränsad. I de fall taxeringsuppgifter lämnas ut för vidareutnyttjade måste emellertid PSI-direktivets bestämmelser följas (jfr med vad som sagt i avsnitt 6.3.4).
7. Offentliga avgifter
7.1. Det generella regelverket för avgifter i staten
7.1.1. Inledning
RF innehåller bland annat bestämmelser om den så kallade normgivningsmakten, dvs. vad riksdagen skall besluta om och vad som gäller för att regeringen skall få bestämma. I statsrättsliga sammanhang är det därför viktigt att veta om riksdagen skall bestämma att en viss verksamhet skall vara avgiftsbelagd eller om regeringen har rätt att göra det.
Regeringen har successivt utvecklat formerna för sin styrning av avgiftsbelagd verksamhet. I avgiftsförordningen (1992:191) slås fast att en myndighet skall ha bemyndigande för att ta ut en avgift och bestämma storleken på den. Där står också att full kostnadstäckning gäller som ekonomiskt mål om inget annat beslutats. Vidare skall myndigheten ha stöd för att disponera avgiftsinkomsterna, som annars tillfaller statskassan. Förordningen beskrivs närmare i särskilt avsnitt.
Med avgift förstås normalt en penningprestation som betalas för en specificerad motprestation från det allmänna. Det framgår av förarbetena till RF. Motprestationen som staten skall ge i utbyte mot en avgift preciseras som en direkt, särskild eller en specificerad motprestation. Följaktligen kan en avgift normalt definieras som en ersättning som helt eller delvis skall täcka kostnaderna för en direkt motprestation. Avgiftsbelagd verksamhet avser såväl verksamhet där avgifterna disponeras av myndigheten som verksamhet där avgifterna redovisas mot inkomsttitel.
7.1.2. Offentligrättsliga avgifter
Enligt RF är det riksdagen som skall fatta beslut om att införa sådana avgifter som innebär ingrepp i enskildas ekonomiska förhållanden. Dessa avgifter kallas offentligrättsliga eller tvingande. Riksdagen kan delegera rätten att meddela föreskrifter om offentligrättsliga avgifter till regeringen eller till kommunerna. Denna befogenhet har också utnyttjats i stor utsträckning. Bara om riksdagen medgivit det kan regeringen överlåta åt en myndighet att bestämma nivån på en offentligrättslig avgift.
En offentligrättslig avgiftsbelagd verksamhet innebär alltid myndighetsutövning i någon form, vilket placerar den enskilde – ett företag eller en privatperson – i en beroendeställning gentemot myndigheten. Genom besiktningar, auktorisationer och kontroller av olika slag vill staten utöva en samhällelig kontroll som direkt eller indirekt kommer den enskilde medborgaren till godo. Den som skall betala avgiften har begränsade möjligheter att avstå från prestationen och i regel ingen möjlighet att vända sig till någon annan än myndigheten. Gränsen kan i vissa fall vara otydlig, särskilt om man utgår från graden av tvång respektive frivillighet i efterfrågan.
7.1.3. Uppdragsverksamhet
Avgiftsbelagd verksamhet som inte är offentligrättslig kan definieras som uppdragsverksamhet. Den som efterfrågar myndighetens tjänster kan – åtminstone i teorin – välja att i stället t.ex. utföra tjänsten själv eller ge uppdraget till någon annan. Konkurrensen är dock i praktiken ofta begränsad såtillvida att utbudet i form av myndighetens tjänster endast finns tillgängligt på en enda myndighet. Interndebiteringar mellan statliga myndigheter hänförs också till uppdragsverksamhet oavsett om efterfrågan kan betraktas som frivillig eller tvingande. Även om efterfrågan är tvingande för en myndighet är det ju inte fråga om något ingrepp i enskildas förhållanden.
Att besluta om att införa avgifter för prestationer som efterfrågas frivilligt (uppdragsverksamhet) hör till regeringens kompetensområde. Regeringen kan också bestämma att en myndighet skall ta ut ersättning av andra myndigheter för en viss prestation.
Regeringen har i regel delegerat rätten att bestämma storleken på avgifter inom sitt kompetensområde till den myndighet som bedriver verksamheten.
Uppdragsverksamheten har oftast sitt ursprung i eller en koppling till den anslagsfinansierade verksamheten eller till en offentligrättslig avgiftsbelagd verksamhet som myndigheten bedriver med stöd av lag och förordning. I sådana fall arbetar ofta samma personer i bägge verksamheterna och utrustning, lokaler etc. används gemensamt. Exempel på uppdragsverksamhet är konsultationer, laboratorietjänster och informationstjänster av olika slag. Myndigheter som på uppdrag gör sammanställningar och bearbetningar av uppgifter i register bedriver en typ av uppdragsverksamhet som ofta har en nära koppling till offentligrättslig avgiftsbelagd verksamhet, t.ex. registrering av fastigheter hos Lantmäteriet samt registrering av aktiebolag och föreningar hos Bolagsverket.
I fall det råder tveksamhet om det är fråga om en offentligrättslig eller en frivillig avgift kan regeringen begära att riksdagen beslutar om att verksamheten skall avgiftsbeläggas.
7.1.4. Avgiftsförordningen
Avgiftsförordningen (1992:191) trädde i kraft den 1 juli 1992. I den stadfästs de regler för normgivningsmakten som uttalas i 8 kap. RF. Skäl till införande av avgiftsförordningen var bl.a. att statsmakterna ville ha ett samlat regelverk för avgiftsbelagd verksamhet med heltäckande och tydliga riktlinjer.
Förordningens tillämpningsområde
Avgiftsförordningen gäller för statliga myndigheter under regeringen. Förordningen är inte tillämplig på s.k. statligt reglerade avgifter, dvs. sådana som bestäms av staten men som tas ut av andra än statliga myndigheter.
De generella bestämmelserna i avgiftsförordningen skall tillämpas om inte något annat följer av en annan förordning eller av ett särskilt beslut av regeringen. Om regeringen t.ex. har beslutat att ett annat ekonomiskt mål än full kostnadstäckning skall gälla
för en viss verksamhet gäller inte det ekonomiska målet full kostnadstäckning som anges i 5 § första stycket.
Rätten att ta ut avgifter
För att en myndighet skall få ta ut avgift krävs ett bemyndigande från regeringen. Bemyndigandet ges vanligtvis i myndighetens instruktion eller i regleringsbrevet.
Om det gäller offentligrättsliga avgifter skall enligt 8 kap. 3 § RF riksdagen besluta att verksamheten skall bedrivas och att den skall vara avgiftsbelagd. Regeringen fastslår sedan efter riksdagens bemyndigande i en förordning vilken myndighet det är som skall ta ut avgiften. Om tveksamhet råder om en avgifts offentligrättsliga karaktär bör regeringen begära att riksdagen beslutar om att avgiften skall införas. Rätten att meddela föreskrifter om avgiften avser bl.a. vem som har rätt att besluta om avgiftens storlek.
Ekonomiskt mål och avgiftssättning
Det ekonomiska målet talar om hur stor del av kostnaderna för en viss verksamhet som skall täckas av intäkter. Regeringen har bestämt att full kostnadstäckning normalt skall gälla som ekonomiskt mål för avgiftsbelagd verksamhet. Om ett annat ekonomiskt mål skall gälla, t.ex. en annan kostnadstäckningsgrad än full kostnadstäckning eller täckning enbart av vissa angivna kostnader, skall regeringen besluta särskilt om detta. Det förekommer också att inget preciserat ekonomiskt mål anges, t.ex. entréavgifter vid de flesta museer.
Huvudprincipen för avgiftssättningen är att ersättningen skall motsvara den långsiktiga självkostnaden. Avgifterna skall beräknas med sikte på att täcka samtliga direkta kostnader för verksamheten och en så rättvis andel som möjligt av de kostnader som är gemensamma med andra verksamheter. Vid avgiftssättningen skall i regel också hänsyn tas till tidigare uppkomna över- eller underskott i verksamheten.
Ett motiv för undantag från full kostnadstäckning är om ett sådant avgiftsuttag skulle motverka syftet med verksamheten.
Det bör i sammanhanget noteras att riksdagen har fattat ett beslut om en enhetlig princip för prissättning av uppgifter som myndigheter tillhandahåller i elektronisk form.
1
Beslut om avgiftsbelopp, samråd m.m.
En myndighet får bestämma avgiftens storlek endast efter särskilt bemyndigande.
Enligt 7 § avgiftsförordningen skall myndigheterna varje år samråda med Ekonomistyrningsverket (ESV) om de avgifter som myndigheten tar ut.
Rätten att disponera avgiftsinkomster
För att en myndighet skall få disponera inkomsterna i den avgiftsbelagda verksamheten krävs att statsmakterna har medgivit detta.
Offentligrättsliga avgifter bör i regel inte disponeras av myndigheten utan tillföras statskassan och redovisas mot en inkomsttitel. Myndigheten tilldelas då anslagsmedel och styrs således på samma sätt som anslagsfinansierad verksamhet.
Avgifter som tas ut för frivilligt efterfrågade varor och tjänster disponeras normalt av myndigheten. Rätten att disponera avgiftsinkomsterna framgår i regel av myndighetens regleringsbrev.
7.1.5. Kapitalförsörjningsförordningen
I kapitalförsörjningsförordningen (1996:1188) finns generella bestämmelser bl.a. om hur över- och underskott i den avgiftsbelagda verksamheten där avgiftsintäkterna disponeras av myndigheten skall hanteras. I 23 § förordningen anges t.ex. att om det ackumulerade överskottet är större än tio procent av den avgiftsbelagda verksamhetens omsättning skall myndigheten föreslå regeringen hur hela det ackumulerade överskottet skall användas. Vidare framgår att om årets underskott i den avgiftsbelagda verksamheten är större än ett balanserat överskott från tidigare år skall myndigheten lämna förslag till åtgärder till regeringen.
1
Prop. 1997/98:136 Statlig förvaltning i medborgarnas tjänst, bet. 1997/98:KU31, rskr.
1997/98:294.
7.1.6. Specifika regler
Utöver de generella ekonomiadministrativa bestämmelserna finns specifika regler för en enskild avgiftsbelagd verksamhet. Dessa regler skall framgå av eventuell lag och förordning med förarbeten som reglerar verksamheten, myndighetens instruktion, regleringsbrev eller av särskilda regeringsbeslut.
7.2. Nuvarande SPAR-avgifter
7.2.1. Inledning
SPAR-nämnden är en statlig myndighet som tar ut avgifter för användningen av det statliga personadressregistret (SPAR). Avgifter tas ut för utlämnande av vissa i SPAR-lagen reglerade uppgifter i elektronisk form. Bemyndigandet för nämndens rätt att ta ut avgifter framgår av SPAR-förordningen.
2
Förordningen
innehåller närmare föreskrifter om behandlingen av de personuppgifter som avses i SPAR-lagen. Lagen innehåller inga bestämmelser om avgifter.
Avgifterna tas för närvarande ut enligt avtal från år 1988 med en enda kund, InfoData AB, som i sin tur bearbetar och säljer informationen till en mängd kunder enligt marknadsmässiga priser. De avgifter som SPAR-nämnden tar ut av InfoData AB baseras på en fast årlig avgift, som avtalsmässigt höjs varje år, samt rörliga avgifter för varje uttagen adressuppgift.
3
Dessa årliga avgiftsintäkter (ca 10 mnkr) redovisas mot inkomsttitel. Drygt 300 000 kr (beloppet avser år 2004) av avgiftsintäkterna användes dock för att ersätta Skatteverket för de uppgifter som verket tillhandahåller SPAR.
7.2.2. Ekonomiskt mål
De avgifter som SPAR-nämnden tar ut enligt avtalet med InfoData AB bör betraktas som avgifter i statsrättslig mening. Avgifterna omfattas därför av avgiftsförordningens bestämmelser. Det innebär enligt 5 § avgiftsförordningen
4
att det ekonomiska målet är full
2
3 § Användningen av SPAR får vara avgiftsbelagd.
3
Exklusive vissa i avtalet angivna undantagna uttag ur SPAR.
4
5 § Om inget annat ekonomiskt mål för verksamheten beslutats, skall avgifter beräknas så
att full kostnadstäckning uppnås.
kostnadstäckning för statens kostnader, dvs. inte enbart SPARnämndens kostnader för användningen. Å andra sidan föreskrivs i bemyndigandet i 5 § SPAR-förordningen att användningen får vara avgiftsbelagd. En tolkning av denna paragraf skulle kunna vara att nämnden får bestämma om avgifter överhuvudtaget skall tas ut, och om så sker, bestämma avgifternas nivå själv upp till full kostnadstäckning. Det är således inte helt entydigt vad det ekonomiska målet är inom ramen för full kostnadstäckning, dvs. om samtliga kostnader eller endast en del av statens kostnader i verksamheten skall täckas med avgifterna.
7.2.3. Offentligrättsliga avgifter eller avgifter i uppdragsverksamhet?
Utredningen betraktar de avgifter som nämnden erhåller från InfoData AB som avgifter för frivilligt efterfrågad verksamhet, dvs. uppdragsverksamhet. De tas bl.a. ut av enskild, men de kan knappast karaktäriseras som tvingande för InfoData AB som i så fall skulle befinna sig i en beroendeställning gentemot myndigheten SPAR-nämnden. Visserligen kan företaget anses befinna sig i beroendeställning eftersom det behöver få tillgång till personuppgifterna för att kunna bedriva sin verksamhet. Beroendet kan dock närmast karaktäriseras som positivt beroende, en förmånsställning. Dessutom existerar inget tvång för företaget att efterfråga och marknadsföra uppgifterna. Detta innebär att avgiftsuttagen inte behöver regleras av riksdagen i lag eller på annat sätt. Så har som framgått inte heller skett. Nämndens rätt att ta ut avgifter kan enligt 8 kap. 13 § RF bemyndigas av regeringen, vilket gjorts i förordningen. Bedömningen att avgifterna inte är offentligrättsliga, utan avgifter för frivilligt efterfrågade tjänster är inte självklar. Det finns i stort sett inga tydliga kriterier för när en avgift anses vara tvingande för en enskild. Gråzonen är stor. Om tveksamhet råder om avgifternas status bör regeringen begära att riksdagen beslutar om avgiftsbeläggningen.
Som framgått ovan anser dock utredningen att nämndens avgiftsuttag tillhör regeringens kompetensområde, dvs. regeringen kan besluta om att verksamheten skall vara avgiftsbelagd och det ekonomiska målet som – inom ramen för full kostnadstäckning – skall gälla för verksamheten. Om det ekonomiska målet skulle ha
inneburit att generera vinst utöver statens kostnader hade det varit nödvändigt att avgifterna beslutades av riksdagen.
Slutsatsen är således att dessa avgifter är statsrättsliga avgifter som omfattas av avgiftsförordningen och bör betraktas som avgifter i uppdragsverksamhet. Däremot är inte tydligt formulerat vilket ekonomiskt mål – inom ramen för full kostnadstäckning – som gäller.
De priser som InfoData AB tar ut vid vidareförsäljning till sina kunder utgör inte avgifter i statsrättslig bemärkelse och de omfattas inte heller av det generella regelverket för statliga avgifter.
8. Befolkningsdatabaser i några grannländer
8.1. Inledning
De nordiska länderna har sedan länge en gemensam folkbokföringstradition med därtill hörande stora befolkningsregister. Registren var tämligen oskyldiga från integritetssynpunkt så länge de fördes manuellt, men bilden förändrades mot slutet av 1960talet. Precis som i Sverige såg man i grannländerna ett integritetshot i den snabba tekniska utvecklingen. Om inga motåtgärder sattes in skulle utvecklingen kunna föra med sig ett stort antal befolkningsregister; lättåtkomliga via automatisk databehandling. Mot den bakgrunden skapades SPAR och ett antal liknande system i några grannländer. I detta kapitel redovisar utredningen utvecklingen fram till nu i grannländerna Danmark, Norge och Finland.
8.2. Danmark
Det centrala personregistret (CPR) i Danmark etablerades 1968. En starkt bidragande orsak till att registret inrättades var att Danmark samtidigt införde ett centralt källskattesystem, som förutsatte personnummer. CPR skulle emellertid inte bara tillgodose skatteförvaltningens behov utan också behovet av personuppgifter inom den kommunala administrationen, vid statliga myndigheter och inom den privata sektorn. Indenrigsministeriet fick huvudansvaret för registret och kommunerna ansvaret för den fortlöpande grundregistreringen. Driften av CPR-systemet förlades till den dåvarande I/S Datacentralen, en motsvarighet till svenska DAFA.
Ursprungligen fanns ett personregisterråd inom ministeriet med ledamöter utsedda av folketinget och kommunerna. Personregisterrådet skulle bistå indenrigsministern i frågor om personregistrering och följa arbetet i det dåvarande sekretariatet för person-
registrering. Rådet, med departementschefen som ordförande, behandlade såväl principiella frågor som konkreta ärenden. En viktig principfråga under de första åren var i vad mån CPR skulle göras tillgängligt för den privata sektorn. Det rådde exempelvis länge enighet om att den privata sektorn inte skulle få tillgång till personnummer. Även frågor om var gränserna skulle gå mellan privat och offentlig sektor diskuterades ingående. Rådets verksamhet minskade från mitten av 1970-talet och det avvecklades 1978 i samband med att en ny ”folkeregisterlov” trädde i kraft. Den nya lagen innehöll tydliga regler för den privata sektorns nyttjande av folkbokföringsuppgifter. Dessutom hade Danmark fått en registerlag och ett nytt system för registertillsyn.
CPR-systemet har sedan etableringen genomgått en rad förändringar. För statliga och kommunala användare har terminalåtkomst varit möjlig sedan 1981. Kommunerna har kunnat registrera förändringar direkt i CPR sedan 1983. I dag regleras CPR i en särskild lag (CPR-lagen)
1
, som för några år sedan ersatte
”folkeregisterloven”. Därmed är den danska statens tillhandahållande av personuppgifter författningsmässigt integrerat med folkbokföringen. För att uppgifterna i CPR skall lämnas ut krävs alltid tillstånd från CPR-kontoret. Tillstånd ges endast till offentliga myndigheter och privata företag som har ett berättigat intresse av att få uppgifterna. Offentlighetsuttag är inte möjliga att göra, eftersom offentlighetsprincipen i Danmark är grundad på vanlig lag
2
och CPR-lagens bestämmelser gäller framför
offentlighetslagen. Enskilda personer kan, med få undantag, bara få ut uppgifter om sig själva. Det senare även elektroniskt, om personen i fråga har elektronisk identitet.
Den tekniska driften av CPR är utlagd på ett privat företag, för närvarande Computer Sciences Corporation, ett multinationellt företag som köpt upp I/S Datacentralens efterföljare A/S Datacentralen. Det är CPR-kontoret som sköter försäljningen och beslutar om villkoren för åtkomst till uppgifterna i CPR. CPRkontoret beslutar även i frågor som kan uppfattas som rent tekniska, exempelvis frågor om kod i tilldelad personlig användaridentitet. CPR-kontoret äger programvaran och fastställer priserna för användning av CPR, i den mån priserna inte är fastlagda i CPR-lagen. Verksamheten täcker kostnaderna för CPR-
1
Lov om Det Centrale Personregister (lov nr 426 af 31 maj 2000).
2
Lov om offentlighed i forvaltningen (lov nr 572 af 19 december 1985).
kontoret och ger visst överskott. Omsättningen uppgår till ca 87 miljoner DKR/år.
CPR-kontoret säljer överhuvudtaget inga personuppgifter för reklamändamål. Däremot kan den privata sektorn få kontrollera personuppgifter mot CPR och få sina kundregister uppdaterade mot CPR. Urval medges i princip endast för forskningsändamål, som anses vara en angelägen samhällsuppgift.
Det är enligt CPR-lagen förbjudet att vidareförsälja uppgifter som hämtats från CPR. Uppgifterna får inte heller lämnas vidare utan lagstöd eller särskilt tillstånd av CPR-kontoret.
CPR-kontorets beslut kan överklagas till domstol. Klagomål kan även lämnas till Datatilsynet, som utövar tillsyn enligt den danska motsvarigheten till personuppgiftslagen.
3
CPR innehåller uppgifter om alla i Danmark bosatta personer, som tilldelats personnummer. Personposterna är mer omfattande än motsvarande poster i den svenska folkbokföringsdatabasen. I CPR finns även uppgifter om exempelvis kyrklig tillhörighet, rösträtt, underhållsplikt, pensionsförhållanden m.m. Å andra sidan är CPR mer begränsat än svenska SPAR. CPR innehåller inga uppgifter om inkomst, förmögenhet, fastighetsinnehav och fastighetstaxering. Den typen av uppgifter kan alltså inte användas som sökbegrepp vid urval ur CPR.
Flera av personposterna i CPR är spärrade i olika avseenden. De danska medborgarna har fler möjligheter än de svenska att begära skydd för sina uppgifter i CPR. Envar har rätt att efter anmälan till CPR få sitt namn och sin adress skyddad. Ett sådant skydd innebär att uppgifterna inte får lämnas ut till enskilda. Skyddet bortfaller efter ett år. För förlängt skydd krävs myndighetsbeslut. Vidare kan de danska medborgarna begära spärr inte bara mot direktreklam utan också mot vetenskapliga undersökningar och statistiska bearbetningar. Direktreklamspärrarna förs, enligt bestämmelser i CPR-lagen, upp på den s.k. Robinson-listan, som hösten 2004 omfattade 520 000 personer. Robinson-listan, som förs av CPRkontoret, uppdateras kontinuerligt men trycks en gång i kvartalet. Enligt den danska marknadsföringslagen måste en kontroll göras mot Robinson-listan innan utskick görs för direktreklam.
Det dagliga ansvaret för CPR är delat mellan Indenrigs- og Sundhedsministeriet och kommunerna. CPR-kontoret, inom ministeriet, har föreskriftsrätt och fattar merparten av de beslut
3
Lov om behandling af personoplysninger (lov nr 429 af 31 maj 2000).
som följer av CPR-lagen. Kommunerna svarar för grundregistreringen i CPR, men kan också i viss utsträckning fatta beslut om utlämnande av uppgifter. Det centrala CPR-kontoret sysselsätter ca 20 personer fördelade på tre avdelningar: sekretariat, ITcenter och kundtjänst.
8.3. Norge
Den första norska lagen om folkeregistrering tillkom 1905 och det första folkeregistret etablerades i Oslo 1906. Syftet med folkeregistreringen var att skapa en grund för beskattning, allmänna val och befolkningsstatistik. Folkeregistren skulle även tjäna administrativa ändamål inom den offentliga förvaltningen. Ansvaret för folkeregistreringen lades inledningsvis helt på kommunerna.
Det sentrale folkeregistret inrättades 1964 och är lagreglerat sedan 1970,
4
men grunden för folkeregistreringen är fortfarande de
kommunala registren. Kommunerna sköter den löpande registreringen och är i flertalet frågor första instans. Det sentrale folkeregistret uppdateras dagligen via de kommunala registren.
Sedan 1970 finns också ett Sentralkontor för folkeregistrering förlagt till Skattedirektoratet. Sentralkontoret har ett övergripande ansvar, ger ut föreskrifter och är överklagandeinstans. Det är också Sentralkontoret som, i varje enskilt fall, avgör vilka myndigheter och, i undantagsfall, företag som i elektronisk form skall få åtkomst till uppgifterna i folkeregistret.
Det sentrale folkeregistret är uppbyggt med det danska CPR som förebild. Det innehåller fler uppgifter än den svenska folkbokföringsdatabasen, exempelvis uppgifter om kyrkotillhörighet och rösträtt, men där finns inga uppgifter om inkomst, förmögenhet och fastighetsinnehav.
Uppgifterna i folkeregistren är belagda med tystnadsplikt. Tjänsteman som i sin tjänst kommer i kontakt med registren får vid tillträdandet av tjänsten skriva under en försäkran om att iaktta tystnadsplikten. Tystnadsplikten gäller i 60 år efter det att den berörda personen avregistrerats som död eller utvandrad. Utan hinder av tystnadsplikten kan uppgifter lämnas ut till myndigheter
5
4
Lov om folkeregistrering (Lov 1970-01-16 nr 01).
5
Härmed avses organ med offentlig myndighetsutövning, vilket innebär att även företag
som utövar sådan verksamhet kan komma i fråga. Uppgifterna får bara användas i den myndighetsutövande delen av respektive verksamhet.
om detta har stöd i lag eller i beslut från Sentralkontoret. Efter beslut av Sentralkontoret kan uppgifter också lämnas ut för forskning såvida utlämnandet inte bedöms medföra skada för de registrerade. Brott mot lagen om folkeregister är straffbelagt.
Sentralkontoret kan förena beslut om åtkomst till registret med långtgående villkor. Villkoren registreras i samband med utlämnandet och efterlevnaden följs upp. Om ett lokalt folkeregister upptäcker att villkoren inte följs skall saken underställas Sentralkontoret.
Vissa av uppgifterna i folkeregistret kan lämnas ut till företag om dessa kan visa att de behöver uppgifterna för att kunna fullgöra sina lagliga skyldigheter eller tillvarata sina rättigheter. Folkeregistret erbjuder få tjänster till enskilda medborgare. Efter skriftlig ansökan kan en registrerad få sin personpost i folkeregistret spärrad mot utlämnande till privata företag. Spärren gäller i ett år. För längre tid krävs förnyad ansökan. De registrerade har också rätt att få utdrag ur folkeregistret såvitt gäller uppgifter om dem själva.
Den tekniska driften av det sentrale folkeregistret har under en följd av år, genom tjänstekoncessioner, varit förlagd till tre dataserviceföretag, som haft möjlighet att själva sätta priserna i förhållande till slutkunder. Den formen av konkurrensutsättning har emellertid inte gett önskat resultat. Skattedirektoratet har bl.a. funnit det nödvändigt med en hårdare styrning av prisutvecklingen. Efter genomförd anbudskonkurrens under 2004 valde Sentralkontoret att förlägga driften till ett företag, EDB Infobank, fr.o.m. den 1 januari 2005. Den nye leverantören började leverera data den 1 mars 2005. Alla kunder skall vara överförda till den nye leverantören före den 1 juli 2005. Avtalet löper på fyra år, med möjlighet till förlängning i ytterligare två år. Avtalet omfattar onlinelösningar, program-till-programuppkopplingar, urvalsdragningar och à-jour-hållning av kundregister. För att kunna nyttja den nye leverantörens tjänster krävs, som hittills, tillstånd från Sentralkontoret.
Som framgått är det sentrale folkeregistret omgärdat av mer strikta bestämmelser än motsvarande register i Sverige och Danmark. Integritetsskyddet är starkt och beslutsprocesserna tidskrävande. De försök som hittills gjorts för att förenkla regelverket och underlätta åtkomsten till registret har emellertid inte nått framgång. I november 2003 sände det norska
Finansdepartementet ut ett förslag
6
om vidgad åtkomst och
ändrade regler på remiss. Förslaget innehöll tre alternativa modeller, som samtliga i jämförelse med svenska förhållanden var försiktiga. Det skulle exempelvis i alla tre alternativen vara förbjudet att lämna ut personnummer. Syftet med förslaget var främst att möjliggöra för privata företag att uppdatera personregister även om detta inte var nödvändigt för att företagen i fråga skulle kunna fullgöra sina lagliga förpliktelser. Förslaget stötte emellertid på motstånd i remissomgången och är fortfarande föremål för beredning i Finansdepartementet. Eventuellt kommer en proposition om lagändringar att läggas fram under hösten 2005.
8.4. Finland
I Finland har folkbokföringen sedan lång tid tillbaka tillhandahållit information om befolkningen för samhällets behov. När folkbokföringen gick in i dataåldern i början av 1970-talet upprättades ett riksomfattande centralt befolkningsregister. Sedan början av 1980talet innehåller befolkningsdatasystemet också uppgifter om byggnader, lägenheter och innehavarna av dem samt om fastigheter och verksamhetslokaler. Däremot innehåller befolkningsdatasystemet inga uppgifter om inkomst och förmögenhet.
Befolkningsdatasystemet är Finlands flitigast använda basregister. Det är utvecklat speciellt med tanke på den offentliga förvaltningens behov, men betjänar i dag även näringsliv, vetenskapliga samfund och enskilda medborgare. Systemets personuppgifter används för identifiering av personer samt för klarläggande av de registrerades familjerättsliga ställning och rättshandlingsförmåga. Systemets fastighets-, byggnads- och lägenhetsuppgifter används för identifiering av hemkommun och bostad samt för utredningar om byggnaders och lägenheters tekniska egenskaper.
7
Befolkningsdatasystemet sköts av magistraten och Befolkningsregistercentralen. Den senare är en fristående statlig myndighet, som inrättades år 1969 och lyder under Inrikesministeriet. Befolkningsregistercentralen sysselsätter 109 personer (siffran är från år 2003).
6
Hoeringsnotat – Utlevering av opplysninger fra folkeregisteret, Dato 5.11.2003.
7
Befolkningsdatalag 11.6.1993/507.
Med stöd av befolkningsdatalagen lämnas till statliga och kommunala myndigheter de uppgifter dessa behöver för skötseln av sina åligganden. Till trossamfunden lämnas de uppgifter dessa behöver för att uppdatera sina medlemsregister och sköta sina åligganden. Till enskilda juridiska personer lämnas de uppgifter dessa behöver för att tillvarata sina rättigheter och fullgöra sina skyldigheter. I viss utsträckning och under strikt kontroll kan uppgifter också lämnas ut för vetenskaplig forskning, opinions- och marknadsundersökningar, registerunderhåll och direkt marknadsföring.
Både i fråga om teknik och service anses det finska befolkningsdatasystemet ligga på toppnivå. Systemet erbjuder inte bara de tjänster som finns i Sverige, Danmark och Norge utan också tjänster som ännu inte utvecklats fullt ut i grannländernas motsvarande system. Som exempel kan nämnas elektroniska certifikat. Befolkningsregistercentralen producerar certifikattjänster för statsförvaltningen och har utvecklat en personlig e-kod för elektronisk identifiering. Det är visserligen polisinrättningen i respektive härad som beviljar de finska medborgarna elektroniska Id-kort, men det är Befolkningsregistercentralen som står för kortens elektroniska delar och personliga kodnummer (pin-koder). Med hjälp av det elektroniska Id-kortet kan medborgarna även kontrollera de egna uppgifterna i befolkningsdatasystemet, begära flyttning eller adressändring och begära förbud mot utlämnande av de egna uppgifterna för direktmarknadsföring, personmatriklar, släktforskning eller adresstjänst. De sist nämnda tjänsterna kan naturligtvis också begäras på konventionell väg, genom skriftlig ansökan eller vid personligt besök.
Om en person på goda grunder misstänker att den egna eller familjens säkerhet är hotad kan magistraten, efter skriftlig ansökan eller personligt besök, bevilja s.k. skyddsförbud för personens uppgifter i befolkningsdatasystemet. Skyddsförbud beviljas första gången för högst fem år. Förbudet kan därefter förlängas för en period om två år åt gången. Då en person beviljats skyddsförbud förvägras även myndigheter i vissa fall åtkomst till personens adressuppgifter.
De tjänster som erbjuds myndigheter, företag och samfund är i stort sett desamma som i Sverige, men utbudet är mer differentierat och kontrollen från Befolkningsregistercentralens sida mer rigorös. Det senare är främst en följd av befolkningsdatalagens bestämmelser. Då uppgifter begärs ut ur befolkningsdatasystemet skall det
ändamål för vilket uppgifterna skall behandlas uppges. De uppgifter som lämnas ut skall vara nödvändiga för det uppgivna ändamålet och de får användas enbart för detta. Uppgifterna får inte överlåtas till tredje man utan registermyndighetens tillstånd. Mottagare av uppgifterna skall meddela hur användningen och skyddet av uppgifterna kommer att ordnas. Beslut om utlämnande av uppgifter skall vara skriftligt och innehålla behövliga bestämmelser om uppgifternas användning och skydd. Befolkningsregistercentralen har mandat att kontrollera att bestämmelserna följs.
Befolkningsdatalagen innehåller även sekretess- och straffstadganden. Personal som arbetar med befolkningsdatasystemet är belagd med tystnadsplikt. Brott mot tystnadsplikten är straffbara enligt den finska strafflagen. Den som försummar anmälningsskyldighet enligt befolkningsdatalagen kan dömas till böter för folkbokföringsförseelse.
Den tekniska driften av det grundläggande befolkningsdatasystemet sköts av en entreprenör (Tietoenator). Därutöver finns ett antal sidoordnade databaser för olika typer av tjänster och målgrupper. Den databas som är avsedd för den offentliga sektorn sköts av WM-data, men Befolkningsregistercentralen beslutar om tillstånd och sköter marknadsföringen. Den databas som är avsedd för on-linetjänster och direktförfrågningar sköts av Tietoenator. Till sist finns en databas avsedd för massutlämnande av personuppgifter, främst till näringslivet. Denna sistnämnda databas sköts av tre entreprenörer (Tietoenator, WM-data och Target Group). Entreprenörerna är upphandlade i konkurrens.
I de avtal som slutits har entreprenörerna förbundit sig att följa den uppförandekod som Befolkningsregistercentralen tagit fram i samarbete med den finska Dataombudsmannen. Uppförandekoden gäller även för magistratens behandling av personuppgifter. Den centrala tanken vid skapandet av koden har varit att respektera individens skydd och åstadkomma enhetlig praxis, men viktigt har också varit att förbättra servicen och behålla medborgarnas förtroende för befolkningsdatasystemet. Sammantaget har detta lett till ett omfattande regelverk, som kompletterar de finska befolknings- och personuppgiftslagarna.
Mot bakgrund av vad som gäller i Sverige är några av uppförandekodens förhållningsregler av särskilt intresse. Dit hör bl.a. regeln om att utan inskränkning respektera medborgarnas lagstadgade förbudsrätt mot uppgiftslämnande; envar har rätt att bestämma om de uppgifter som angår en själv skall få lämnas ut till
privata ändamål. Vidare skall uppgifterna huvudsakligen bara lämnas ut för engångsutskick och inte för att antecknas i något register. Intressant är också att uppgifterna inte får lämnas ut för marknadsföring per telefon eller telefonundersökningar, annat än under vissa, i koden angivna, speciella förutsättningar. Samtliga beslut om uppgiftslämnande skall vara objektivt grundade. Det skall i efterhand kunna kontrolleras vilka uppgifter som lämnats ut och på vilka grunder samt om uppgifterna använts enligt tillståndsvillkoren.
9. Omvärldsförändringar
9.1. Inledning
Mycket har hänt sedan SPAR inrättades 1976. Den tekniska utvecklingen har gått snabbt. Internationaliseringen har fortsatt och intensifierats. Statskontorets och Datainspektionens roller har förändrats. Skatteverket har tagit över ansvaret för folkbokföringen från Svenska kyrkan. Det finns också tydliga tecken på en pånyttfödd integritetsdebatt. Allt detta påverkar förutsättningarna för det statliga åtagandet att tillhandahålla befolkningsuppgifter för samhällets behov och måste beaktas när utredningen tar ställning till vilken ordning som bör gälla i framtiden.
9.2. Den tekniska utvecklingen
SPAR:s historia kan sägas spegla den tekniska utvecklingen. Datainspektionen tog 1974 initiativet till SPAR för att minimera riskerna med dåtidens nya teknik, s.k. automatisk databehandling (ADB). Ett statligt befolkningsregister med monopolliknande ställning och under betryggande kontroll ansågs bättre från integritetssynpunkt än de många offentliga och privata befolkningsregister som då var under uppbyggnad.
1
Användningen
av registret reglerades i dåvarande datalagen (1973:289) och beslut om åtkomst togs av Datainspektionen. Registeransvaret och ansvaret för driften av SPAR lades på den statliga myndigheten Datamaskincentralen för administrativ databehandling (DAFA). Försäljningen av uppgifter ur SPAR blev snabbt lönsam och bidrog i hög grad till att finansiera övrig verksamhet hos DAFA. År 1986 omvandlades myndigheten DAFA till ett statligt bolag.
1
Statskontorets slutrapport 1975-03-11 om Samordnad datainsamling, Normering av data
och Samordnat person- och adressregister, dnr 532/73-5, 533/73-5 och 15/75-5.
Genom åren har en rad förslag om avveckling av SPAR presenterats. Trots det har registret nu funnits i snart 30 år, vilket till största delen kan tillskrivas dataserviceföretagets överlägsna teknik och service. SPAR:s kundkrets har successivt vidgats. Budgetåret 1980/81 hade SPAR 180 kunder, varav 30 fasta.
2
Fem år
senare hade antalet vuxit tillnärmare 500.
3
I dag har SPAR över
2 000 on-linekunder, förutom aviserings- och urvalskunder. Omkring 130 000 on-lineanvändare (fysiska personer) har personlig användaridentitet. En växande andel av användarna når SPAR via en informationsportal som finns på Internet.
4
Polisen
kan nå SPAR via sina mobiltelefoner. För återförsäljare och urvalskunder finns interaktiva tjänster.
Den snabba tekniska utvecklingen är inte enbart av godo. SPARnämnden står i dag inför vad forskare kallar ”det digitala dilemmat”
5
. Två olika samhällsintressen står mot varandra. Å ena sidan skall nämnden vara kundorienterad och en föredömlig ITanvändare;
6
å andra sidan skall den värna om medborgarnas säker-
het och personliga integritet. Det gäller att skapa balans mellan dessa intressen. Inom ramen för nuvarande regelverk och resurser har SPAR-nämnden små möjligheter att styra utvecklingen.
Nuvarande situation påminner om läget för 30 år sedan. Även i dag ger den snabba tekniska utvecklingen anledning till oro från integritetssynpunkt. Dagens teknik underlättar både skapandet av befolkningsregister och samkörning av register. Sedan SPAR kom till har såväl staten som näringslivet byggt upp ytterligare befolkningsregister. Härtill kommer att personuppgifter börjat flöda ut ur landet via Internet och på annat sätt. Den tekniska utvecklingen har också inneburit att offentlighetsprincipen nu får andra följder än tidigare, eftersom uppgifter i allmänna handlingar blivit mer lättåtkomliga och massuttag av personuppgifter har blivit möjliga.
7
2
Prop. 1980/81:62 om ändring i datalagen (1973:289), s. 7.
3
Överdirektören Jan Rydéns anslagsframställning för budgetåret 1986/87 för den planerade
nämnden för SPAR.
4
Tillgång till de olika databaserna under portalen InfoTorg kräver ID och lösenord, som ges
till den som fått tillstånd - när sådant behövs för viss databas – och ingått ett avtal med InfoData AB. InfoData AB loggar alla transaktioner och skickar fakturor som kan specificeras ner på användarnivå. Loggarna kan även användas för t.ex. efterforskningar vid en polisutredning.
5
Intervju med Cecilia Magnusson Sjöberg, professor i rättsinformatik vid Stockholms
universitet.
6
Regeringens förvaltningspolitiska handlingsprogram En förvaltning i demokratins tjänst.
7
Uppgifter som inhämtats med stöd av offentlighetsprincipen kan t.ex. skannas in och
behandlas i mottagarens dator för olika ändamål.
9.3. Internationaliseringen
Sverige är sedan 1995 medlem i EU. Medlemskapet har i hög grad påverkat det regelverk som gäller för SPAR. Lagen och förordningen om SPAR är en direkt följd av EG:s s.k. dataskyddsdirektiv, som i Sverige omsatts i PuL. Den senare ersatte datalagen (1973:289) där användningen av SPAR tidigare reglerats. Eftersom PuL har en mer generell räckvidd än datalagen, ansåg regeringen att reglerna om SPAR skulle finnas i en särskild registerlag. PuL gäller emellertid vid behandling av uppgifter i SPAR, om inte avvikande bestämmelser meddelas i SPAR-lagen. Även andra lagar av betydelse för SPAR har sin grund i olika EG-direktiv.
I den mån driften av SPAR, eller motsvarande statligt befolkningsregister, fortsatt skall vara förlagd till servicebyrå måste tjänsten konkurrensutsättas och upphandlas
8
. Förutsättningarna för den fortsatta driften kommer också att påverkas av det s.k. PSIdirektivet. Direktivet, som skall vara omsatt i svensk lagstiftning senast den 1 juli 2005, är en del av handlingsplanen för eEurope 2002 – Ett informationssamhälle för alla.
9
Internationaliseringen har påverkat SPAR även på annat sätt än genom EG:s regelverk. Det bolag som på nämndens uppdrag sköter driften av SPAR har haft flera multinationella företag som ägare under det nu löpande avtalets giltighetstid.
10
Staten har, via
SPAR-nämnden, haft ringa möjlighet att påverka de ägarbyten som ägt rum.
11
Även bland SPAR:s kunder har internationaliseringen satt sina spår. Banker och försäkringsbolag m.fl. har dotterbolag i andra länder. Internet-banker och reklamföretag har kunder över hela världen. Bland SPAR:s kunder finns bolag utan representation i
8
En upphandling bör följa de principer som anges i LOU, som är en omsättning i svensk
lagstiftning av ett antal EG-direktiv (se Upphandlingskommitténs delbetänkande SOU 1999:139 Effektivare offentlig upphandling, avsnitt 3.2 EG-direktiven om offentlig upphandling, s. 59 ff.).
9
Regeringskansliets faktapromemoria 2001/02:FPM123 Återanvändning och kommersiali-
sering av myndighetsinformation.
10
Staten sålde 1993 det statliga bolaget DAFA DATA AB till den fransk-brittiska företagsgruppen Sema Group, som i Sverige bildade Sema Group AB och Sema InfoData AB. Båda bolagen såldes 2001 till det amerikanska oljeprospekteringsföretaget Schlumberger, som i sin tur bildade de svenska bolagen SchlumbergerSema och SchlumbergerSema InfoData AB. Det förra bolaget såldes 2004 till det franska företaget Atos Origin. Det senare bolaget såldes till den svenska BTJ-gruppen, som senare bildat BTJ InfoData-koncernen. Koncernens dotterbolag BTJ Infodata AB sköter numera driften av SPAR.
11
Det kan ifrågasättas om de många ägarbytena har varit förenligt med ett fullgott integritetsskydd.
Sverige. Viss efterfrågan finns också från utländska medborgare om offentlighetsuttag ur SPAR.
9.4. Förvaltningspolitikens utveckling
Med utgångspunkt i propositionen Statlig förvaltning i medborgarens tjänst (prop. 1997/98:136) fastställde regeringen hösten 2000 ett förvaltningspolitiskt handlingsprogram.
12
Det mest kända
från programmet är kraven på en öppen förvaltning och begreppet 24-timmarsmyndighet, men programmet innehåller avsevärt mer än så. Av särskild betydelse för SPAR-utredningens överväganden är avsnittet om renodling av statlig verksamhet, som inleds med följande ord.
Renodlingen av den statliga verksamheten bör fortsätta. Renodlingen innebär att en avgränsning av statens uppgifter eftersträvas. Syftet är också att uppnå en större tydlighet i ansvarsfördelningen mellan myndigheter och mellan staten och andra huvudmän. Regeringens inriktning är att värna om kärnverksamheterna i det fortsatta arbetet med att renodla den statliga verksamheten. Fortsatta effektivitetssträvanden kommer att handla om att det statliga åtagandet måste prövas med stor omsorg. De uppgifter som inte tillhör kärnverksamheten bör avvecklas eller överlåtas till någon annan huvudman.
Viljeinriktningen är inte ny. Den påminner bl.a. om regeringens strävan i början av 1990-talet, som den kom till uttryck dels i skriften Utveckling av offentlig sektor
13
, dels i de generella direktiven
till samtliga kommittéer och särskilda utredare att pröva offentliga åtaganden (dir. 1994:23). Viljeinriktningen är också i högsta grad aktuell, vilket kan avläsas i direktiven till Ansvarskommittén
14
och i
målen för Statskontoret, regeringens stabsorgan för förvaltningsutveckling.
Statskontoret har omsatt målen i sin verksamhetsplan för 2005. Planen innehåller flera prioriteringar och uttalanden med bäring på SPAR-utredningens uppdrag. Dit hör bl.a.
Registerfrågorna spelar en central roll för utvecklingen av en effektiv nätverksförvaltning och av 24-timmarsmyndigheter. Det finns ett stort behov av insatser för att främja en rationell och systematisk registerhantering. I detta ligger frågor om vilka som får använda registren, om juridisk reglering och om hanteringen av integritetsskyddet. /- - - -/
12
Regeringens förvaltningspolitiska handlingsprogram En förvaltning i demokratins tjänst.
13
Bilaga 2 till budgetpropositionen 1990 (prop. 1989/90:100).
14
Dir. 2003:10 och 2004:93.
Både den statsfinansiella krisen i början av 90-talet och dagens växande resursknapphet har medfört att offentliga förvaltningsenheter finansierar delar av sin verksamhet genom intäkter från kommersiell verksamhet. Utvecklingen har medfört risker för snedvridning av konkurrensen. Vi skall prioritera insatser för att främja en tydligare separation av kommersiella aktiviteter från myndighetsuppgifter och från anslagsfinansierad verksamhet.
Under senare tid har ansvarigt statsråd även lyft fram frågor om medborgarnas förtroende för förvaltningen.
15
Sammanfattningsvis
ger förvaltningspolitiken utredningen stöd i uppfattningen att det nu finns skäl att ompröva det statliga åtagandet SPAR.
9.5. Direktreklambranschens utveckling
En inflytelserik aktör i SPAR:s omgivning är branschorganisationen Swedma som funnits sedan 1968. Swedma organiserar företag som arbetar med direktmarknadsföring, vilket numera inkluderar interaktiv marknadsföring, relationsmarknadsföring och CRM, dvs. Customer Relationship Management. Swedma har ca 160 anslutna företag, varav 60 är medlemmar och ca 100 s.k. associerade företag. Medlemmarna har förbundit sig att följa Swedmas affärs- och etikregler. De associerade företagen får ta del av Swedmas produkter och tjänster, exempelvis i form av seminarier och kurser. De kan också delta i Swedmas referensgrupp DM-rådet.
16
Ur utredningens perspektiv är Swedmas branschregler av särskilt intresse. De har som syfte att mot bakgrund av gällande regler och allmänt omfattade etiska värderingar ange dels vad som kan anses vara god sed vid behandling av personuppgifter för direktmarknadsföring, dels vilket ansvar som åvilar branschens företag och organisationer. Reglerna bygger inte bara på EG:s dataskyddsdirektiv och den svenska PuL, utan har också ett antal andra förebilder, däribland
- EG-direktivet om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet (97/66/EG),
15
Nyhetsbrev från Finansdepartementet Nr 1, feb. 2005.
16
Se http://www.swedma.se.
- Internationella Handelskammarens
17
Grundregler för reklam,
Regler för säljfrämjande åtgärder, Regler för direktmarknadsföring samt Internetregler för reklam och marknadsföring,
- Fedmas
18
European principles for the use of the telephone as a
marketing medium by business,
- Fedmas förslag till Code of Practise for the use of personal data in direct marketing.
Fedmas Code of Practise, den sist nämnda punkten ovan, antogs i juni 2003 efter sju års förhandlingar med den inom EU inrättade arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter.
19
Arbetsguppen, som inrättats med stöd av
artikel 29 i dataskyddsdirektivet, är EU:s rådgivande organ i frågor om dataskydd och personlig integritet.
På motsvarande sätt har Fedma under senare år varit involverad i kommissionens arbete med PSI-direktivet. Via Fedma har även Swedma deltagit i det arbetet, som bl.a. anses öppna möjligheter för pan-europeiska marknadsföringskampanjer.
Swedmas branschregler är godkända av Datainspektionen. Swedma har också inrättat en etisk nämnd, DM-nämnden
20
, som
skall följa direktmarknadsföringens utveckling, påtala oacceptabla former av marknadsföring och bidra till normbildning för framtida marknadsåtgärder. Till DM-nämnden har knutits en informell referensgrupp, bestående av företrädare för Konsumentverket, InfoData AB, Datainspektionen, Posten Sverige AB, SPARnämnden, Telia AB och aktuella statliga utredningar. Vidare har Swedma inrättat spärregistren Nix telefon och Nix adresserat
21
.
Branschreglerna, DM-nämnden och Nix-registren kan ses som exempel på näringslivets egenåtgärder för god marknadsetik.
SPAR-nämnden medger uttag ur SPAR för direktreklam om det kan antas att mottagaren kommer att följa branschreglerna, men nämnden har samtidigt i referensgruppen uttryckt missnöje med den punkt i regelverket som möjliggör samkörning av register. Från viss källa inhämtade adressuppgifter får, enligt punkten 6.3 i branschreglerna, kompletteras med annan typ av adressuppgift hämtad från en annan källa. Det innebär bl.a. att SPAR-nämnden inte kan förhindra att adressuttag ur SPAR kompletteras med
17
International Chamber of Commerce, ICC.
18
Federation of European Direct Marketing, FEDMA.
19
Artikel 29 – Arbetsgruppen för uppgiftsskydd
20
Etiska Nämnden för direktmarknadsföring, DM-nämnden.
21
NIX adresserat – spärregistret för adresserad reklam.
telefonnummer. SPAR bidrar således indirekt till den ökade telefonförsäljningen.
9.6. Kreditupplysning i förändring
I februari 2005 hade 17 företag tillstånd från Datainspektionen att bedriva verksamhet enligt kreditupplysningslagen (1973:1173). Merparten av dessa har funnits under lång tid och hör till SPAR:s större kunder. På senare tid har emellertid samarbetet mellan dessa företag och SPAR-nämnden inte varit helt friktionsfritt. En av anledningarna till detta är att kreditupplysningsföretagen fått Datainspektionens tillstånd att behandla fler personuppgifter än de kan få ut från SPAR. En annan anledning är att flera kreditupplysningsföretag börjat sälja adresser för direktreklam, vilket bl.a. innebär att företagen utvecklats till konkurrenter till SPAR.
Kreditupplysningsföretagen har, enligt sina kreditupplysningstillstånd, rätt att behandla uppgifter om alla folkbokförda personer i landet från det år de fyller 16 år. Det innebär att flertalet kreditupplysningsföretag har eller har tillgång till register med omkring 7,5 miljoner personposter. Om man bortser från barnen har kreditupplysningsföretagen därmed i praktiken kopior på SPAR. Varje personpost i kreditupplysningsregistren innehåller dessutom fler och mer känsliga uppgifter än motsvarande poster i SPAR.
Kreditupplysningsregistren används inte längre enbart för kreditupplysningsverksamhet. Vad som nu inträffat är att några kreditupplysningsföretag har skaffat sig utgivningsbevis för hemsidor med stöd av YGL och publicerar sina kreditupplysningsregister via Internet. Eftersom YGL gäller framför vanlig lag blir effekten att kreditupplysningsföretagen varken behöver följa kreditupplysningslagen eller personuppgiftslagen. De kan därmed sälja personuppgifter för andra ändamål än kreditupplysning och de behöver inte sända ut en omfrågandekopia till den registrerade personen när en kreditupplysning tagits. Datainspektionen har fäst regeringens uppmärksamhet på problemet och frågan utreds för närvarande inom Regeringskansliet.
Nämnas bör också att tre av de större kreditupplysningsföretagen för ett par år sedan skrev till regeringen och begärde att få hämta personuppgifter direkt från dåvarande Riksskatteverkets
folkbokföringsdatabas.
22
Regeringen avslog företagens begäran,
men frågan kan komma att aktualiseras på nytt.
9.7. Pånyttfödd integritetsdebatt
Integritetsdebatten har under årtionden varit tämligen lågmäld i Sverige; så även debatten om SPAR.
Våren 2004 inträffade emellertid en förändring. Regeringen tillkallade en parlamentariskt sammansatt kommitté (Ju 2004:05) med uppdrag att se över skyddet för den personliga integriteten. Kommittén, som antagit namnet Integritetsskyddskommittén, skall enligt sina direktiv (Dir. 2004:51) bl.a.
- kartlägga och analysera sådan lagstiftning som rör den personliga integriteten,
- överväga om regeringsformens bestämmelse om skyddet för den personliga integriteten i 2 kap. 3 § andra stycket bör ändras, och i så fall föreslå en ny grundlagsreglering, samt
- överväga om det, vid sidan av befintlig lagstiftning, behövs generellt tillämpliga bestämmelser till skydd för den personliga integriteten, och i så fall lämna förslag till sådan reglering.
Integritetsskyddskommittén skall inte slutredovisa sitt uppdrag förrän den 30 mars 2007. Åtgärder för att på olika sätt stärka integritetsskyddet är emellertid aktuella både före och efter detta datum.
Även SPAR-utredningen skall enligt sina direktiv beakta integritets- och säkerhetsaspekter samt frågor om sekretess och skydd för personuppgifter. Frågor om integritetsskydd måste övervägas fortlöpande i takt med teknikens och omvärldens utveckling.
Den myndighet som i framtiden tilldelas ansvar för tillhandhållande av befolkningsuppgifter bör kunna basera sina överväganden i dessa avseenden på det underlag som fortlöpande tas fram i form av exempelvis rekommendationer från E-nämnden
23
,
forskningsresultat och aktuell facklitteratur.
Relevant forskningsmaterial finns redan i dag samlat inom ramen för projektet Skydd av Användare i IT-Samhället (SAITS), som är
22
SPAR-nämndens korrespondens med Finansdepartementet i frågan, nämndens dnr 2002/0100, 2003/0276 och 2003/0277.
23
Nämnden för elektronisk förvaltning, E-nämnden.
finansierat av bl.a. Vinnova
24
. Projektet är gemensamt för Institutet för rättsinformatik vid Stockholms Universitet och Swedish Institute of Computer Science. SAITS-projektet kommer att avslutas under 2005, men en uppföljare är redan planerad. En central uppgift för SAITS-projektet har varit att undersöka behovet av och förutsättningarna för en välordnad samverkan mellan områdets aktörer och intressenter. I korthet har avsikten varit att skapa goda nationella förutsättningar för att belysa olika sidor av integritetsskyddet, bedöma hur utvecklingen av IT och dess användningar påverkar behoven av skydd och skyddets utformning (legalt och tekniskt) samt att diskutera olika intressen och hur de kan stämmas av mot varandra.
25
Mot den bakgrunden
har projektet tagit initiativ till Nationell samverkan för integritetsskydd (NSI), ett nätverk som nu är under utveckling.
Liknande aktiviteter pågår utanför forskningsvärlden. SPARutredningen har tagit del av böcker, konferenser och manifest i ämnet. Allt tyder på att den debatt om personlig integritet, som fanns när SPAR bildades, på nytt har tagit fart.
9.8. Skatteverkets förändrade roll
Riksskatteverket (numera Skatteverket) har varit aktuellt som huvudman för SPAR ända sedan registret inrättandes 1976. I den utredning som låg till grund för inrättandet av registret föreslog Statskontoret att system- och driftansvaret för SPAR skulle läggas på Riksskatteverket,
26
men regering och riksdag valde i stället att
övergångsvis lägga totalansvaret för SPAR på myndigheten Datamaskincentralen för administrativ databehandling (DAFA).
27
Skälet var främst att Datainspektionen pekat på vissa praktiska fördelar med att DAFA, som skulle sköta driften av SPAR, också tilldelades registeransvaret enligt datalagens mening.
Regeringen förutsatte i nämnda proposition att frågan om huvudmannaskapet för SPAR skulle tas upp på nytt när det nya ADB-systemet för folkbokföring och beskattning hade genomförts. Frågan aktualiserades emellertid tidigare av andra skäl.
24
Verket för innovationssystem, Vinnova.
25
PM om Nationell samverkan för integritetsskydd (NSI), utarbetat av professor Peter Seipel, Institutet för rättsinformatik vid Stockholms universitet.
26
SPAR. Samordnat Person- och AdressRegister (Rapport 1976:21).
27
Prop. 1976/77:27 om åtgärder för att begränsa möjligheterna att föra omfattande personregister, s. 10, 17 och 21.
När DAFA ombildades till aktiebolag 1986 överfördes huvudmannaskapet för SPAR till den nybildade myndigheten SPARnämnden.
Arbetet med det planerade ADB-systemet för folkbokföring och beskattning drog ut på tiden. Riksdagen hade redan 1987 fattat principbeslut om en ny organisation för folkbokföringen fr.o.m. den 1 juli 1991. Förändringen förbereddes av en organisationskommitté, som gav underlag för en ny proposition
28
hösten 1990. I
denna konstaterade regeringen bl.a. att den väsentliga registerfunktionen att förse olika användare med grundläggande folkbokföringsuppgifter måste fullgöras med hjälp av länsregistren och riksaviseringsbandet även några år efter den 1 juli 1991, eftersom de nödvändiga ADB-systemen saknades. Frågan om ett centralt aviseringsregister fick anstå i avvaktan på ytterligare utredningsarbete. I det arbetet skulle även kopplingen till SPAR utredas närmare.
Som redan framgått föreslog den kommande Aviseringsutredningen år 1994 att ett nytt centralt aviseringsregister skulle bildas och att detta skulle ta över bl.a. SPAR:s funktioner. Riksdag och regering antog förslaget om aviseringsregister, men sköt frågan om SPAR på framtiden. Ett av skälen var att frågan om urval för direktreklamändamål behövde övervägas ytterligare.
29
Såväl en av
Aviseringsutredningens experter som Riksskatteverket och Datainspektionen hade riktat kritik mot utredningens förslag att urval efter inkomst, förmögenhet och fastighetsinnehav skulle få göras genom att det föreslagna aviseringsregistret skulle få samköras med skatteregistret. Just denna för SPAR:s framtid avgörande fråga har dock inte varit föremål för utredning sedan dess. Vare sig Grunddatabasutredningen eller E-infogruppen berörde frågan.
30
9.9. Sammanfattande bedömning
Omvärlden har förändrats sedan SPAR inrättades 1976. Förutsättningarna för verksamheten är på många sätt annorlunda i dag, jämfört med hur det var för 30 år sedan.
28
Prop. 1990/91:53 om lag om folkbokföringsregister m.m.
29
Prop. 1994/95:201 Avisering av folkbokföringsuppgifter.
30
Grunddata – i samhällets tjänst (SOU 1997:146) och Samhällets grundläggande information (Ds 2000:34).
- Den snabba tekniska utvecklingen och internationaliseringen skärper kraven på IT-säkerhet och integritetsskydd.
- Offentlighetsprincipen möjliggör i dag massuttag av befolkningsuppgifter, vilket kan innebära ett hot mot den personliga integriteten.
- Förvaltningspolitiken har fått en inriktning mot omprövning och renodling av offentlig verksamhet.
- Direktreklambranschen och kreditupplysningsföretagen har utvecklat avancerade metoder för att analysera uppgifter om befolkningen, t.ex. för riktade reklamkampanjer och kreditvärdering. Det finns anledning att ta ställning till om det finns en etisk gräns bortom vilken statlig medverkan är olämplig.
- Regeringen har bejakat den pånyttfödda integritetsdebatten genom att tillsätta en Integritetsutredning.
- Skatteverket har numera ansvar för folkbokföringen, vilket bl.a. innebär att verket har som myndighetsuppgift att tillgodose samhällets behov av befolkningsinformation.
- Skatteverket har i dag väl utvecklade IT-system och mycket god kompetens på området. Systemen utvecklas fortlöpande.
Sammanfattningsvis talar en rad utvecklingstendenser för en omprövning av det offentliga åtagandet gällande SPAR.
10. Överväganden och förslag
10.1. Utgångspunkter
Utredningens uppdrag har varit att utreda och föreslå hur myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter skall tillgodoses i framtiden. I uppdraget har även ingått att pröva om SPAR kan samordnas med den behandling av personuppgifter som sker inom Skatteverkets folkbokföringsverksamhet och om behovet kvarstår av en särskild huvudman för funktionen att tillhandahålla befolkningsuppgifter till myndigheter och enskilda. Till bilden hör att Skatteverket sedan den 1 januari 2005 är värdmyndighet för SPAR-nämnden.
Utredningen har genomfört sitt uppdrag genom en analys av bl.a. följande frågor:
- samhällets behov av personuppgifter
- de registrerades behov av skydd mot otillbörligt integritetsintrång
- gränserna för det statliga åtagandet
- polisens och tullens särskilda behov
- myndighetsorganisationen
- offentlighetsuttagen
- EG-rätten och konkurrensfrågan
- finansieringsprinciper.
På övergripande nivå har samtliga nämnda områden varit föremål för regeringens och riksdagens prövning under senare år. Utredningens kompletterande analys handlar främst om gränserna för det statliga åtagandet och i vilken ordning detta skall fullgöras. Utredningen pekar även ut områden som bör bli föremål för fortsatta överväganden.
10.2. Gränserna för det statliga åtagandet
10.2.1. Samhällets behov av personuppgifter
Det bör vara ett prioriterat statligt åtagande att tillhandahålla grundläggande befolkningsinformation till samhällets aktörer, dvs. myndigheter, företag och andra organisationer.
Regeringen konstaterade i den förvaltningspolitiska propositionen
1
att en enkel, säker och kostnadseffektiv tillgång till samhällets grundläggande information är ett offentligt åtagande av väsentlig betydelse för den offentliga förvaltningen, för medborgarna och för företagen. Till den grundläggande informationen räknades i första hand de centrala person-, företags- och fastighetsregistren. Regeringen konstaterade vidare att viktiga steg hade tagits mot ett effektivare informationssamhälle, men att ett fortsatt arbete var nödvändigt. Riksdagen hade inga invändningar mot propositionen i denna del.
2
Det aviserade fortsatta arbetet kom att bedrivas av den tidigare nämnda E-infogruppen inom Regeringskansliet. E-infogruppens uppdrag var att inventera och analysera det allmännas ansvar för spridning av offentlig basinformation i elektronisk form. Analysen skulle utvisa om det fanns tillräckligt beslutsunderlag i de frågor som krävde regeringens ställningstagande.
E-infogruppen lyfte i sin slutrapport
3
fram befolkningsinforma-
tion, näringsinformation, fastighetsinformation och geografisk information som prioriterade områden. När det gällde tillhandahållande av befolkningsinformation konstaterade E-infogruppen att det fortfarande saknades en tydlig infrastruktur och att det fanns behov av samordning. Enligt E-infogruppen handlade den för regeringen kvarstående frågan om hur det offentliga åtagandet skulle utföras.
SPAR-utredningen delar bedömningen att det bör vara ett prioriterat statligt åtagande att tillhandahålla grundläggande befolkningsinformation till samhällets aktörer, dvs. myndigheter, företag och andra organisationer. Nedan redovisar utredningen sin syn på vad som bör ingå i det statliga åtagandet och hur detta på lämpligaste sätt fullgörs.
1
Prop. 1997/98:136 Statlig förvaltning i medborgarnas tjänst, s. 60.
2
Konstitutionsutskottets betänkande (1997/98:KU31) Statlig Förvaltningspolitik,
rskr. 1997/98:294.
3
Departementspromemorian Samhällets grundläggande information (Ds 2000:34).
10.2.2. Oförändrat angelägna ändamål
Det statliga åtagandet att tillhandahålla befolkningsinformation till myndigheter och enskilda bör fortsatt omfatta ändamålen aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter.
Uppgifterna i SPAR får enligt 3 § SPAR-lagen användas för att
1. aktualisera, komplettera och kontrollera personuppgifter (t.ex.
vid identitetskontroll i enstaka fall eller vid uppdatering av andra personregister),
2. ta ut uppgifter om namn och adress genom urvalsdragning för
direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet.
Användningen enligt ändamål 1 (kontrolländamålet) dominerar helt. Varje år görs ca 220 miljoner transaktioner mot SPAR, varav ca 140 miljoner avser kontrolländamål och ca 80 miljoner ändamål 2 (urvalsändamålet).
Av de transaktioner som görs för kontrolländamål avser ca 100 miljoner uppdateringar av andra register och ca 40 miljoner onlineförfrågningar, t.ex. vid utfärdande av pass, id-kort, bankkonto eller försäkring. Antalet on-lineuppkopplade kunder (räknat i antal avtal) uppgick i mars 2005 till 2 066 stycken. Ca 300 kunder kom från primärkommuner och landsting, ca 250 från statliga myndigheter och resten från den privata sektorn. Den offentliga sektorn svarar för ungefär hälften av alla on-lineförfrågningar som görs mot SPAR.
4
Antalet användare on-line med personlig användaridentitet
är ca 130 000.
I dagens datoriserade samhälle är behovet av att på ett effektivt sätt kunna få tillgång till aktuella och korrekta personuppgifter mycket stort. Såväl myndigheter och företag som organisationer har inrättat sig efter nuvarande förhållanden, vilka medger god och snabb tillgång till aktuella, tillförlitliga och kvalitetssäkrade personuppgifter. T.ex. beräknas ett adressregister som inte uppdateras förlora i aktualitet med 20 procent per år genom att de registrerade byter namn, flyttar eller avlider. Således kan stora kostnads-
4
Polisen står för den största andelen on-linefrågor (ca 15 miljoner transaktioner om året
inkl. tullen). Oräknat polisen svarar den offentliga sektorn för ca 5 miljoner transaktioner, varav den kommunala sektorn svarar för ca 1,5 miljoner och den statliga sektorn för 3,5 miljoner. Sju stora statliga användare står för 2,5 miljoner transaktioner.
besparingar göras genom att försändelser i form av t.ex. fakturor och kontoutdrag skickas till rätt adress. SPAR-utredningen anser att kontrolländamålet är ett ytterst angeläget statligt åtagande som bör behållas och vidareutvecklas.
Även urvalsändamålet bör behållas som ett statligt åtagande, men med vissa begränsningar i förhållande till nuläget. Motivet för detta åtagande är främst näringslivets och den kommunala förvaltningens behov, men ett annat väsentligt motiv är att urvalsdragningar i växande utsträckning används för samhällsinformation och angelägen forsknings- och undersökningsverksamhet.
10.2.3. Färre tillåtna sökbegrepp vid urval
Urvalsgrunderna bör begränsas. Urvalsdragning med stöd av uppgifter ur Skatteverkets beskattningsdatabas bör inte längre vara möjlig.
SPAR är unikt som adresskälla eftersom registret innehåller både folkbokföringsuppgifter och taxeringsuppgifter. Uppgifterna i SPAR hämtas från Skatteverkets databaser för folkbokföring respektive beskattning. Med undantag för namn, födelsehemort och medborgarskap får samtliga uppgifter i SPAR användas som sökbegrepp vid urval. Det innebär bl.a. att urval kan göras med utgångspunkt från inkomst, förmögenhet och fastighetsinnehav.
Enligt direktreklambranschen är det synnerligen värdefullt att kunna avgränsa målgrupper med hjälp av taxeringsuppgifterna i SPAR. Branschorganisationen Swedma har till utredningen framfört att ett borttagande av de ekonomiska uppgifterna vid urvalsdragningar skulle få betydande negativa ekonomiska konsekvenser både för organisationens medlemmar och för annonsörerna.
5
Swedma har sammanfattningsvis anfört följande argument
Taxeringsvariabler används i ca 35 procent av urvalsdragningarna i SPAR. Dessa urvalsdragningar innehåller 20–30 miljoner levererade adresser. Om de ekonomiska parametrarna inte får användas skulle
5
Bl.a. i skrivelse från Swedma till utredningen, daterad den 7 mars 2005. Liknande syn-
punkter har framförts av Posten Sverige AB och av Svenska Förläggareföreningen.
målgrupperna bli fyra gånger större. Det skulle innebära att de nämnda urvalsdragningarna skulle generera ca 100 miljoner adresser i stället för 20–30 miljoner. Varje försändelse kostar totalt 5 à 10 kr. Den besparing som uppnås genom att urvalen kan begränsas med ekonomiska parametrar uppgår därmed, enligt Swedmas beräkningar, till mellan 500 miljoner kr och en miljard kr. Därtill kommer att reklamförsändelser skulle sändas till konsumenter som sannolikt inte är intresserade av erbjudandena eller har möjlighet att utnyttja dem. Sådan felriktad reklam skapar lätt begriplig irritation och upplevs säkert som en störning i betydligt högre grad än ett personadresserat erbjudande på ett område som mottagaren faktiskt är intresserad av.
Emellertid skulle reklamföretagen knappast bete sig på det sätt som skisserats. I stället framstår det som i hög grad sannolikt att företagen skulle söka andra vägar för att avgränsa målgrupper med hjälp av ekonomiska parametrar. En sådan utväg skulle kunna vara att välja en annan kommunikationsmetod än personadresserad post. Det är t.ex. troligt att mängden oadresserad reklam skulle öka. Vidare kan det antas att minst 10–15 företag med större adressregister skulle komma att utveckla urvalstjänster med användning av de nu aktuella ekonomiska parametrarna.
Det finns flera alternativa sätt att begränsa antalet personadresserade reklamförsändelser med användande av uppgifter om mottagarnas ekonomiska förhållanden. I första hand genom att exakta uppgifter inhämtas från skilda myndigheter med stöd av offentlighetsprincipen (t.ex. uppgifter om fastighetsinnehav från Lantmäteriverket och från Skatteverket om taxerad inkomst och förmögenhet). Genom modern teknik torde sådan information kunna göras användbar i masshantering även om den inte lämnas ut i elektronisk form. Vidare kan bl.a. från Statistiska centralbyrån inhämtas uppgifter om inkomst efter kön, ålder, barninnehav m.m. på postnummernivå eller mindre områden. Dessa uppgifter är inte direkt personanknutna utan ger en bild av den genomsnittlige mottagaren i det aktuella området. Metoden har således lägre precision. Trots att uppgifterna i detta fall inte utgör personuppgifter ifrågasätter Swedma om denna metod är mindre integritetskänslig än den nuvarande aktuella användningen av ekonomiska uppgifter i SPAR.
SPAR-utredningens bedömning
Användningen av taxeringsuppgifter vid urvalsdragningar är en kostnadseffektiv metod att nå rätt målgrupp i reklamsammanhang. För den som vill marknadsföra t.ex. en produkt gäller det att på ett effektivt sätt nå potentiella kunder. Felriktade reklamkampanjer är resursslöseri och kan skapa onödig irritation hos mottagaren. Urvalsdragningarna har således en icke oväsentlig funktion att fylla.
Om staten inte längre tillhandahåller urval baserade på taxeringsuppgifter kan det, såsom Swedma framhållit, få till följd att uppgifterna inhämtas med hjälp av andra metoder eller att urval matchas fram med stöd av andra variabler. Det kan också leda till att företag med stora personregister utvecklar ”nya” tjänster för att tillhandahålla efterfrågade urval.
Även med beaktade härav anser SPAR-utredningen att möjligheten att göra urval genom att samköra folkbokföringsuppgifter med taxeringsuppgifter bör slopas; i vart fall bör det inte längre vara ett statligt åtagande att medverka vid sådana urval. Enligt utredningens uppfattning är det inte förenligt med ett fullgott integritetsskydd att staten för direktreklamändamål tillhandhåller urval baserade på taxeringsuppgifter. Ett sådant förfarande strider också mot ändamålsbestämmelserna i SdbL.
För ett slopande talar inte bara integritetsskäl utan också säkerhetsskäl. Även om uppgiftsutlämnandet föregås av en noggrann prövning finns risk för att urval baserade på inkomst- och förmögenhetsuppgifter kommer till användning för ändamål som icke är avsedda.
6
Utredningen vill understryka vikten av att medborgarna har fortsatt förtroende för statens sätt att hantera inhämtade personuppgifter. Personer som enligt lag är skyldiga att deklarera sina ekonomiska förhållanden för beskattningsändamål, måste kunna förvänta sig att de inhämtade uppgifterna används för just detta ändamål, och inte, utan den registrerades samtycke, lämnas vidare för att användas i kommersiella syften. Som jämförelse kan nämnas att vare sig Finland, Danmark eller Norge medger urval baserade på taxeringsuppgifter. I dessa länder används andra variabler för att ta fram lämpliga målgrupper för direktreklam.
6
Det har inträffat att urval baserade på inkomst- och förmögenhetsuppgifter lämnats ut till
en person med falsk identitet, se skrivelse från InfoData AB till SPAR-nämnden med underrättelse om bedräglig verksamhet (SPAR-nämndens dnr 2004/0358).
Förutom folkbokföringsuppgifter används t.ex. statistiska uppgifter, postnummer och uppgifter ur telefonkatalogen.
Vidare gör utredningen en annan konsekvensbedömning än Swedma. SPAR:s betydelse som adresskälla har minskat och urvalen baserade på taxeringsuppgifter har i dag en förhållandevis liten omfattning. Enligt vad utredningen inhämtat skickas varje år ca 400 miljoner direktadresserade reklamförsändelser till privatpersoner i Sverige. SPAR är källa till bara ca en tredjedel
7
av dessa.
Urvalsdragningar för kommersiell direkt marknadsföring svarar visserligen för närmare 80 procent av urvalen ur SPAR, men av de ca 2 500
8
uppdrag (avtal) om urvalsdragningar som utfördes under
2004 baserades endast en tredjedel, dvs. 850 urval, på taxeringsuppgifter. Enligt InfoData AB:s avtalsvillkor med kunden får ett urval av namn och adresser från SPAR inte överlåtas till annan. Vidare gäller att urvalet endast får användas för ett utskick
9
och
inte under längre tid än tre månader efter utskicket. Det innebär således att det rör sig om ca 850 direktreklamkampanjer per år, där urvalet tagits fram bl.a. med stöd av beskattningsuppgifterna i SPAR.
Ett slopande av möjligheten att basera urval på taxeringsuppgifter får begränsade effekter även för Posten Sverige AB. Ca 50 procent av de, totalt 5,3 miljarder, meddelanden som distribueras av posten utgörs av olika former av marknads- och reklambudskap. Därav härrör sig 12 procent från adresserad direktreklam och 38 procent från oadresserad reklam.
10
Uppgifterna
gäller verksamhetsåret 2003. Värt att påminna om i sammanhanget är att SPAR är källa till endast en tredjedel av den direktadresserade
7
Möjligen är andelen ännu lägre. Till utredningen har även lämnats uppgift om att SPAR
endast är källa till en fjärdedel av de direktadresserade reklamförsändelserna.
8
Enligt InfoData AB:s beräkningar görs ca 40% av urvalen i SPAR för ändamål som inte
avser renodlad kommersiell marknadsföring och försäljning. Den kommersiella delen svarar emellertid för det största antalet adresser. Vissa branscher, t.ex. banker och försäkringsbolag, gör mycket stora utskick. Utskick för samhällsinformation och undersökningar avser oftast ett begränsat antal.
9
Om det framtagna urvalet skall användas för flera utskick krävs att kunden träffar ett
skriftligt avtal med Infodata AB om det, vilket enligt uppgift inte är särskilt vanligt.
10
Följande uppgifter har lämnats av Posten Sverige AB (Posten) och avser verksamhetsåret 2003. Ca 34 % av de totala 5,3 miljarder meddelanden som distribueras av Posten utgörs av administrativ kommunikation, d.v.s. kontoutdrag, fakturor o.dyl. Motsvarande intäkter är 7,44 Mdr SEK. Ca hälften av de meddelanden som förmedlas av Posten avser direktreklam, d.v.s. olika former av marknads- och reklambudskap. Av denna volym härrör sig ca 12 % från adresserad direktreklam och ca 38 % från oadresserad direktreklam. Intäkterna för den adresserade direktreklamen är 2,17 Mdr SEK och intäkterna för den oadresserade är 1,17 Mdr SEK. Intäkterna från privatbrev är 0,87 Mdr SEK och för tidningar och tidskrifter 1,84 Mdr SEK.
reklamen och att bara ca en tredjedel av reklamurvalen ur SPAR är baserade på taxeringsuppgifter.
10.2.4. Polisens och tullens särskilda behov
Skatteverket bör tillgodose polisens och tullens behov av befolkningsuppgifter. Det förutsätter, förutom utveckling av IT-systemen hos Skatteverket och de berörda myndigheterna, även författningsändringar. Frågan kommer att hanteras i särskild ordning; dels pågår ett samarbete mellan Skatteverket, Rikspolisstyrelsen och Tullverket, dels förbereder Justitiedepartementet en ny lagstiftning avseende polisens behandling av personuppgifter.
Polisens och tullens särskilda behov av tillgång till personuppgifter ur SPAR har i hög grad styrt registrets innehåll och användning. Polisens person- och adressökningssystem (PPA), som används av både polis och tull, är helt integrerat med SPAR. PPA innehåller, förutom uppgifterna i SPAR, bl.a. uppgifter om samordningsnummer, relationer och historiska persondata. Informationen i PPA måste vara tillgänglig dygnet runt och via olika sökvägar. InfoData AB har därför genom åren successivt utvecklat och anpassat PPA, och därmed SPAR, för att motsvara polisens och tullens höga krav på snabbhet, teknik och service.
PPA bygger på ett antal sidoregister till SPAR; polisens adressdatabas
11
, polisens fastighetsfråga
12
, polisens historikdatabas
13
och polisens folkbokföringsdatabas
14
. Sidoregistren förs med stöd av tillstånd från Datainspektionen. Tillståndet att föra registren
11
Polisens adressdatabas: Ändamålet med adressdatabasen är att ge polisen upplysning om vilka personer som är folkbokförda på en bestämd adress för att därmed utgöra ett stöd för polisens hjälpande verksamhet. Dessutom skall registret utgöra ett stöd i polisens uppgift att bedriva spaning och utredning i fråga om brott som hör under allmänt åtal. Registret bygger på information från SPAR (SOU 2001:92 Behandling av personuppgifter i polisens verksamhet, s. 102–103).
12
Polisens fastighetsfråga: Ändamålet med registret är att ge polisen upplysning om fastighet (fastighetsbeteckning) hörande till viss person. Registerinnehållet bygger på information från SPAR (SOU 2001:92, s. 102–103).
13
Polisens historikdatabas: Ändamålet med registret är att ge polisen upplysning om uppgifter som gallrats ur SPAR. När uppgifter gallras i SPAR finns de alltså kvar i polisens historikdatabas. Det gäller dock inte adresser som gallrats ur SPAR (SOU 2001:92, s. 102– 103).
14
Polisens folkbokföringsdatabas: Innehållet i registret består av folkbokföringsuppgifter som inte får ingå i SPAR. Dessa uppgifter hämtas från Skatteverkets folkbokföringsdatabas (SOU 2001:92, s. 102–103).
grundas på den numera upphävda datalagen (1973:298). Enligt övergångsbestämmelserna till polisdatalagen (1988:622) upphör Datainspektionens tillstånd att gälla från den 31 december 2005. Enligt uppgift kommer övergångsbestämmelserna att förlängas till utgången av 2007.
Den nuvarande lösningen, med InfoData AB som informationsleverantör, fungerar bra, men är enligt Rikspolisstyrelsen och Tullverket, mycket kostsam. I dagsläget betalar Rikspolisstyrelsen cirka 3 miljoner kr i månaden för InfoData AB:s tjänster. Cirka 80 procent av det beloppet avser hanteringen av personuppgifter. Tullverket betalar också ersättning till InfoData AB för att få tillgång till de personuppgifter som behövs i verksamheten.
Polisens och tullens behov är det främsta skälet till att SPAR fortfarande innehåller exakta uppgifter om de registrerades ekonomiska förhållanden och fastighetsinnehav. Dessa uppgifter, som hämtas från Skatteverkets beskattningsdatabas, får inte lämnas ut i elektronisk form till andra användare av SPAR, men som framgått ovan får de användas som sökbegrepp vid urvalsdragningar.
Polisens och tullens beroende av SPAR har genom åren utgjort ett starkt argument mot en avveckling av registret. När frågan om SPAR behandlades i den förvaltningspolitiska propositionen framhöll regeringen att SPAR hade stor betydelse för några myndigheters verksamhet och anförde bl.a.:
15
Polisen använder SPAR bl.a. för att utfärda pass. Även de inkomstuppgifter som polisen behöver för sin verksamhet inhämtas via SPAR. Aviseringsregistret är ännu inte helt klart, t.ex. är terminalåtkomsten till registret inte utvecklad. Polisens behov kan därför inom de närmaste åren sannolikt inte tillgodoses på annat sätt än genom SPAR. Detsamma gäller tullen. Även CSN och Patent- och registreringsverket har behov av terminalåtkomst till SPAR.
Eventuella förändringar av SPAR bör enligt regeringens mening inte genomföras innan behovet av åtkomst till informationen helt kan tillgodoses på annat sätt. Man kan inte heller bortse från de investeringar som gjorts för att anpassa verksamheterna till SPAR.
Sedan den återgivna texten skrevs har Skatteverket utvecklat sina IT-system. Skatteverket har också, i samarbete med Rikspolisstyrelsen och Tullverket, inlett förberedelser för att ta över rollen som informationsdistributör till polis och tull. Avsikten är att polis
15
Prop. 1997/98:136 Statlig förvaltning i medborgarnas tjänst, s. 71.
och tull om några år skall få behövliga person- och taxeringsuppgifter direkt från Skatteverket.
Det innebär att frågan om den framtida utformningen av PPA kommer att hanteras i särskild ordning i samarbete mellan Skatteverket, Rikspolisstyrelsen och Tullverket. Den planerade förändringen kräver särskild författningsreglering. Ansvaret för utformningen av nödvändiga författningsändringar avseende polisens behandling av personuppgifter ligger i första hand på Justitiedepartementet, som för närvarande arbetar med ett förslag till sådan lag.
16
Förslaget beräknas vara klart under våren 2006. Ett
förslag till ny lagstiftning avseende tullens behandling av personuppgifter har nyligen lämnats i prop. 2004/05:164 Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling. Emellertid krävs även vissa ändringar i författningarna om behandling av uppgifter i Skatteverkets beskattningsverksamhet. I SdbL och SdbF finns redan bestämmelser om att tullen får ha direktåtkomst till vissa uppgifter i beskattningsdatabasen. För att möjliggöra att taxeringsuppgifterna kan lämnas ut till Rikspolisstyrelsen och polismyndigheter, utan SPAR som mellanled, föreslår utredningen en ändring i 2 kap. 8 § SdbL.
Eftersom förberedelserna för att Skatteverket skall ta över rollen som informationsdistributör till Rikspolisstyrelsen, polismyndigheter och Tullverket sker i särskild ordning har utredningen valt att inte i övrigt behandla polisens och tullens särskilda behov.
10.2.5. Avgränsning enligt PSI-direktivet
Närmare avgränsning av det statliga åtagandet bör göras med utgångspunkt från kommande svensk lagstiftning till följd av EG:s direktiv (2003/98/EG) om vidareutnyttjande av information från den offentliga sektorn, det s.k. PSI-direktivet.
I utredningens uppdrag har ingått att göra en bedömning av hur EG:s s.k. PSI-direktiv påverkar framtiden för SPAR. Utredningen har funnit att det statliga åtagandet så vitt gäller tillhandahållande av folkbokföringsuppgifter i princip bör avgränsas i överens-
16
När direktåtkomst medges till personuppgifter eller om en stor mängd integritetskänsliga uppgifter behandlas bör det finnas en särskild lag som reglerar behandlingen av personuppgifter i den aktuella sakverksamheten. Det bör således finnas en särskild lag om behandling av personuppgifter i polisens verksamhet och en motsvarande lag för Tullverkets behandling av personuppgifter.
stämmelse med direktivet, men att effekterna på kort sikt torde bli små.
Av avgörande betydelse för direktivets tillämplighet är om Skatteverket kommer att lämna ut folkbokföringsuppgifter för andra ändamål än de för vilka uppgifterna samlats in. Ändamålet med Skatteverkets behandling av folkbokföringsuppgifter fastställs i FdbL. Om lagen ändras, i enlighet med utredningens förslag, så att det klart och tydligt framgår att verksamheten har som ändamål att tillhandahålla personuppgifter till hela samhället, så kan detta komma att innebära att verksamheten inte behöver omfattas av PSI-direktivets bestämmelser. Inte heller ett utlämnande enligt offentlighetsprincipen behöver, enligt utredningens uppfattning, omfattas av PSI-direktivet om direktivet tolkas snävt. Vid offentlighetsuttag lämnas uppgifterna formellt inte ut för att vidareutnyttjas utan för att säkerställa den enskildes insyn i den offentliga verksamheten.
Även om en snäv tolkning av PSI-direktivet skulle kunna försvaras, anser utredningen att Sverige bör följa intentionerna bakom direktivet om inte starka skäl pekar i motsatt riktning. Enligt PSI-direktivets artikel 1 punkt 4 skall tillämpningen av direktivet inte på något sätt påverka skyddsnivån för enskilda personer enligt bestämmelserna i gemenskapslagstiftningen och nationell lagstiftning. I synnerhet gäller att PSI-direktivet inte ändrar de skyldigheter och rättigheter som anges i det s.k. dataskyddsdirektivet. Det är alltså fullt möjligt att både bejaka PSIdirektivets intentioner och behålla eller förstärka nuvarande integritetsskydd.
Mot den bakgrunden föreslår utredningen att staten bör utgå från huvudreglerna i PSI-direktivet när den avgränsar det statliga åtagandet att tillhandhålla befolkningsinformation för samhällets behov. Det innebär bl.a. att de avgifter som tas ut bör vara kostnadsrelaterade och att alla villkor för hur uppgifterna får nyttjas bör fastställas i förväg, offentliggöras och vara ickediskriminerande. Vidare gäller i princip ett förbud för staten att ingå exklusiva avtal.
Förutom reglerna i PSI-direktivet finns andra EG-regler som måste beaktas när gränserna för det statliga åtagandet fastställs. Sveriges medlemskap i EU påverkar i högsta grad förutsättningarna för ett utlämnande av personuppgifter. Likabehandlingsprincipen, som är en av EG-rättens hörnstenar, innebär bl.a. att alla EUmedlemmar (inkl. företag, organisationer och privatpersoner) skall
behandlas på samma villkor. Principen kommer till uttryck bl.a. i dataskyddsdirektivet där det sägs att det fria flödet av personuppgifter mellan medlemsstaterna inte får hindras av skäl som har samband med att något lands integritetsskydd vid behandling av personuppgifter anses vara för svagt. Om uppgifter ur svenska myndigheters register lämnas ut till enskilda i elektronisk form för de ändamål som anges i SPAR-lagen får t.ex. ingen åtskillnad göras mellan svenska företag och företag i andra EU-länder. Det bör noteras att SPAR i dag har kunder i flera EU-länder, som köper uppgifter om den svenska befolkningen.
Nämnda konsekvenser av EG-rätten måste tas i beaktande vid bedömningen av vilka personuppgifter som lämpligen kan lämnas ut och formerna för det. Enligt utredningens bedömning bör det statliga åtagandet att tillhandahålla uppgifter för kommersiella ändamål begränsas till uppgifter som kan lämnas ut utan risk för att det leder till otillbörligt integritetsintrång.
10.2.6. Tonvikt på myndighetsutövning
Uppgifter som innebär ett tydligt myndighetsansvar eller som innebär myndighetsutövning mot enskild skall alltid fullgöras av ansvarig myndighet. I övrigt får det statliga åtagandet förläggas till servicebyrå.
Det statliga åtagandet SPAR har expanderat kraftigt genom åren. Expansionen kan inte sägas vara en följd av medveten statlig styrning. Den är snarare en konsekvens av den affärsdrivande servicebyråns ambition att utveckla tjänster och produktutbud. Utvecklingen har formellt sett ägt rum inom ramen för statens åtagande. Samtidigt tycks gränserna i dag vara flytande mellan vad som är statens ansvar och servicebyråns. Enligt utredningens uppfattning är det angeläget att göra ansvarsfördelningen tydligare än vad den är i dag.
Gränserna för det nuvarande statliga åtagandet framgår av det avtal mellan SPAR-nämnden och InfoData AB som tecknades 1988. I avtalet uppdrar nämnden åt bolaget att ombesörja drift, produktion, underhåll och marknadsföring m.m. av SPAR. Vidare ger avtalet bolaget ensamrätt
- att inom ramen för gällande lagar och förordningar marknadsföra SPAR som enskild produkt eller i samband med andra produkter,
- att på av nämnden godkända villkor sluta avtal med kund om försäljning av uppgifter ur SPAR,
- att förändra/förbättra produktutbudet i SPAR inom ramen för befintliga lagar och förordningar.
Marknadsföringen av SPAR äger inte bara rum i servicebyråns egen regi, utan också genom ett antal s.k. auktoriserade återförsäljare.
Som avtalet nu är utformat ingår produktutveckling och marknadsföring i det statliga åtagandet. Utredningen ifrågasätter om detta är förenligt med PSI-direktivet.
Utredningen förutsätter att staten även framöver kommer att anlita ett eller flera servicebolag som får rätt att förmedla, utveckla och marknadsföra produkter som bygger på folkbokföringsinformation. Inför en ny upphandling måste den ansvariga myndigheten överväga en annan uppdragsutformning och en annan ansvarsfördelning mellan myndighet och servicebyrå. Vägledande måste därvid vara att uppgifter som innebär ett tydligt myndighetsansvar eller innehåller myndighetsutövning mot enskild inte läggs ut på entreprenad.
10.3. Samordnad författningsreglering
Det statliga åtagandet bör regleras i en lag och en förordning. Detta uppnås genom ändringar i lagen och förordningen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Lagen och förordningen om SPAR bör avvecklas.
Staten tillhandahåller i dag befolkningsuppgifter dels enligt lagen och förordningen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, dels enligt lagen och förordningen om SPAR. Författningarna är delvis överlappande vad gäller berörda databasers ändamål, innehåll och användning. Den främsta skillnaden är att uppgifterna i SPAR får lämnas ut i elektronisk form till såväl myndigheter som enskilda, medan uppgifterna i folkbokföringsdatabasen, oavsett ändamålet med verksamheten, inte får lämnas ut till företag eller till andra organisationer än Svenska kyrkan.
Viljeinriktningen i tidigare utredningar har varit att myndigheter skall hänvisas till folkbokföringsdatabasen och att SPAR skall finnas kvar för näringslivets behov. SPAR-utredningen ifrågasätter om denna gränsdragning är meningsfull. I dag bedrivs många angelägna samhällsfunktioner i bolagsform. Dit hör exempelvis AB Svensk Bilprovning, Apoteket AB och Radiotjänst i Kiruna AB. Samtliga nämnda bolag bedriver verksamhet med inslag av myndighetsutövning och kan ha lika stort behov av befolkningsuppgifter som en myndighet. Härtill kommer att en stor andel av SPAR:s användare är myndigheter.
Så vitt utredningen kan bedöma finns det inte längre några bärande skäl för att på det här området upprätthålla två skilda regelverk. I stället bör de författningsbestämmelser som skall gälla för statens tillhandahållande av folkbokföringsuppgifter sammanföras i en lag och en förordning. Den differentiering som behöver göras mellan myndigheter och enskilda, t.ex. beträffande olika behörighetsnivåer för skilda kategorier av användare, kan ske genom att regler härom inarbetas i de författningar som styr folkbokföringsverksamheten. Utredningen föreslår att flera av de bestämmelser som i dag finns i fråga om SPAR inarbetas i FdbL och FdbF.
För en förändring i den riktning som utredningen föreslår talar också det faktum att SPAR-författningarna under alla förhållanden måste arbetas om. Lagen om SPAR är otidsenlig. Renodlade registerlagar har under senare år successivt ersatts med verksamhetsanknutna lagar av typen den nämnda lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Den senare lagen ersatte 2001 lagen (1995:743) om aviseringsregister, som i sin tur var förebild när SPAR-lagen kom till. En motsvarande teknisk förändring av SPAR-lagen är mindre lämplig, eftersom behandlingen av uppgifter i SPAR inte har någon faktisk sakverksamhet att anknyta till.
10.4. Samordnad databashantering
Det statliga åtagandet bör fullgöras med utgångspunkt från ett register; eller rättare via en statlig befolkningsdatabas. Skatteverkets folkbokföringsdatabas bör utgöra grunden för det statliga åtagandet. Den särskilda databasen SPAR bör avvecklas.
Om åtagandet avgränsas och regelverket ändras på det sätt som utredningen föreslår bortfaller några av motiven för att tillhandahålla befolkningsuppgifter både via SPAR och via Skatteverkets folkbokföringsdatabas. Vad som återstår att bedöma är om folkbokföringsdatabasen, med det därtill knutna aviseringsregistret (Navet), har förutsättningar att tillgodose samhällets behov av befolkningsuppgifter.
Redan när Navet planerades i början av 1990-talet var avsikten att registret skulle ersätta SPAR, men riksdag och regering har sedan dess vid upprepade tillfällen kommit fram till att SPAR skall finnas kvar tills vidare. Eventuella förändringar av SPAR skulle inte genomföras förrän informationsbehovet helt kunde tillgodoses på annat sätt än via SPAR.
17
Regeringen har också tagit hänsyn till de
investeringar som gjorts hos SPAR:s användare. Ett byte av informationsleverantör skulle kräva nya investeringar och därigenom bli tidsödande och kostsamt.
18
SPAR-utredningen gör bedömningen att situationen är på väg att förändras. Den tekniska utvecklingen har gått snabbt framåt under senare år, inte minst inom skatteförvaltningen. På skattesidan har Skatteverket under en lång tid satsat på utökad tillgänglighet och mer användarvänlig IT-miljö, bl.a. genom självbetjäning via Internet. Med teknikens hjälp har Skatteverket kunnat ge en väsentligt förbättrad service till enskilda medborgare och företag. I dag pågår också ett omfattande arbete inom Skatteverket med att utveckla tekniken avseende folkbokföringsdatabasen, med sikte på att åstadkomma en mer användarvänlig IT-miljö.
Enligt utredningen kan det på goda grunder förutsättas att Skatteverket har den kompetens som krävs för att utveckla folkbokföringsdatabasen på ett sådant sätt att den successivt kan ta över de funktioner som i dag fullgörs via SPAR. Utredningen föreslår därför att Skatteverkets folkbokföringsdatabas skall utgöra grunden för det statliga åtagandet att tillhandahålla befolkningsuppgifter och att det statliga personadressregistret, SPAR, avvecklas.
17
Prop. 1997/98:136 Statlig förvaltning i medborgarnas tjänst, s. 71.
18
Den sistnämnda aspekten föreligger alltjämt och naturligtvis måste strävan vara att ett byte av informationsleverantör skall kunna genomföras på ett så smidigt sätt som möjligt.
10.5. Renodlat myndighetsansvar
Det statliga åtagandet att tillhandahålla folkbokföringsuppgifter för samhällets behov bör fullgöras av en myndighet, lämpligen av den myndighet som bär ansvaret för folkbokföringen, dvs. Skatteverket. SPAR-nämnden bör avvecklas.
När SPAR-nämnden bildades 1986 gjorde regeringen och riksdagen bedömningen att den myndighet som skulle få ansvaret för SPAR skulle vara fristående från såväl de sakansvariga myndigheterna (Datainspektionen och Riksskatteverket) som från drift- och försäljningsorganisationen. Därför inrättades en ny myndighet, SPAR-nämnden. Den var avsedd att vara en tillfällig lösning i avvaktan på förslag från dåvarande Data- och offentlighetskommittén (DOK). Eftersom DOK aldrig presenterade de förväntade förslagen kom nämnden att bestå. Denna s.k. tillfälliga lösning har nu funnits i snart 20 år.
I den proposition som föregick bildandet av SPAR-nämnden uttalade det föredragande statsrådet bl.a. följande.
19
Den lösning som jag här beskriver bör därför tillämpas övergångsvis i avvaktan på DOK:s förslag och statsmakternas efterföljande ställningstagande. Myndigheten bör enligt min mening vara fristående från såväl sakansvarig myndighet som drifts- och försäljningsorganisation. Vidare bör myndigheten – en nämnd – vara så liten som möjligt och hämta sina kansliresurser från Statskontoret. Myndighetens sammansättning bör vara bred och innehålla ledamöter som är verksamma inom såväl statsförvaltningen som från intresseorganisationer och näringsliv.
SPAR-nämnden fick inga egna anställda. Anslaget beräknades för att räcka till 1–2 årsarbetskrafter och andel i lokaler, utrustning m.m. Nämndens eget riksstatsanslag avvecklades 1991/92. De medel som funnits under anslaget fördes över till Statskontorets förvaltningsanslag. Nämnden har sedan dess, fram till årsskiftet 2004/2005, fått en årsbudget från Statskontoret som motsvarar det ursprungliga statsanslaget.
Själva nämnden fick en parlamentarisk sammansättning, enligt en överenskommelse träffad i anslutning till ovannämnda riksdagsbeslut. Alla sju riksdagspartierna är representerade i nämnden. Åtta av nio ledamöter sitter i riksdagen. SPAR-nämndens organisation
19
Prop. 1984/85:225 om statsförvaltningens användning av ADB m.m., s. 29. Se även FiU 1985/86:4, s. 6.
avspeglar en vilja från statsmakternas sida att ordna medborgerlig insyn i driften av SPAR. Nämndens nuvarande huvuduppgift enligt instruktionen
20
är att vara huvudman och personuppgiftsansvarig
för SPAR.
I den proposition som föregick bildandet av nämnden definierades huvudmannaskapet som det totala ansvaret för registrets användning, bearbetning och innehåll.
21
Det senare begreppet
personuppgiftsansvarig avser, enligt 3 § PuL, den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Med PuL:s terminologi är InfoData AB enbart nämndens personuppgiftsbiträde. Ett sådant får bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Sammanfattningsvis kan sägas att SPAR-nämnden med åren och med verksamhetens tillväxt har fått ett betydande ansvar. I praktiken har det lett till att servicebyrån, InfoData AB, fått svara för en stor del av myndighetsuppgifterna.
Den nuvarande SPAR-verksamheten fungerar väl sett ur kundernas, dvs. de professionella användarnas, perspektiv. Myndigheter och företag får snabbt och effektivt de personuppgifter de vill ha på det sätt de vill ha. InfoData AB har ett brett utbud av tjänster, hög kompetens, god service och lång erfarenhet av att behandla och distribuera personuppgifter. Förutom uppgifter ur SPAR erbjuds kunderna särskilt anpassade datatekniska lösningar, uppgifter ur andra stora databaser (t.ex. Basun, Aktiebolagsregistret, Teleadress och Bilregistret), registerservicetjänster, kundregisteranalyser m.m. Flertalet myndigheter har också valt att använda SPAR, trots att de enligt lag har rätt att få direktåtkomst till uppgifterna i folkbokföringsdatabasen.
Den kritik som riktats mot SPAR har framförallt avsett monopolsituationen, som innebär att InfoData AB har ensamrätt att sälja, marknadsföra och prissätta uttag av uppgifter ur SPAR. Kritik har också riktats mot att avtalet med InfoData AB inte har upphandlats i konkurrens med tillämpning av LOU.
Det är tveksamt om staten, med den myndighetsorganisation som gäller i dag, kan styra utvecklingen i önskad riktning och om staten i längden kan garantera medborgarna ett fullgott integritetsskydd. Även från förvaltningspolitiska utgångspunkter är nuläget otillfredställande. Staten tillhandahåller i dag folkbokföringsuppgifter via två olika myndigheter; Skatteverket respektive SPAR-
20
Förordning (1998:1235) med instruktion för Statens personadressregisternämnd.
21
Prop. 1984/85:225 om statsförvaltningens användning av ADB m. m.
nämnden. Ansvarsfördelningen mellan myndigheterna är otydlig och de båda kanalerna skiljer sig väsentligt åt med avseende på regelverk, finansieringsformer och teknik. Utredningen anser att övervägande skäl talar för att det statliga åtagandet att tillhandahålla folkbokföringsuppgifter för samhällets behov skall fullgöras av en myndighet. Det är också angeläget att tydliggöra myndighetsansvaret och förstärka myndighetsorganisationen. Den myndighet som tilldelas ansvaret för uppgiften måste ha tillräckliga resurser för att kunna leva upp till de krav som i dag ställs på en central förvaltningsmyndighet.
Ansvaret att fullgöra det statliga åtagandet att tillgodose myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter bör lämpligen anförtros den myndighet som bär ansvaret för folkbokföringen, dvs. Skatteverket. Att Skatteverket övertar SPAR-nämndens myndighetsansvar är i linje med folkbokföringens huvudändamål som är att tillgodose samhällets behov av befolkningsuppgifter. Skatteverket har stora resurser till sitt förfogande, bl.a. i form av en stark organisation och god IT-kompetens. Utredningen föreslår att SPAR-nämnden avvecklas och att uppdraget i sin helhet förs över till Skatteverket.
10.6. Skatteverket övertar SPAR-nämndens uppgifter
Skatteverket skall tillgodose såväl myndigheters som enskildas behov av folkbokföringsuppgifter.
En enskilds begäran om att få tillgång till folkbokföringsuppgifter i elektronisk form skall alltid föregås av Skatteverkets prövning. Sådana ärenden skall handläggas i vanlig ordning och prövas av den tjänsteman som enligt Skatteverkets arbetsordning tilldelas uppgiften.
Skatteverkets beslut kan överklagas till förvaltningsdomstol.
Eftersom ett utlämnande av folkbokföringsuppgifter alltid måste föregås av en sekretessprövning
22
, kan uppgifterna av integritetsskäl
inte fritt läggas ut i en allmänt tillgänglig databas. Med andra ord krävs, liksom i dag, ett myndighetsbeslut innan någon kan få åtkomst till uppgifterna för kontrolländamål eller genom uttag av urval. Utlämnade av folkbokföringsuppgifter i elektronisk form
22
Se 7 kap.15 och 16 §§sekretesslagen (1980:100).
som begärs av en enskild skall därför, enligt utredningens förslag, alltid föregås av Skatteverkets prövning. Förutom sekretessreglerna finns det även andra regler att beakta innan ett utlämnande kan ske. I varje ärende måste beslut tas om huruvida uppgifterna skall lämnas ut eller inte och, om uppgifterna lämnas ut, de närmare villkoren för uppgiftsutlämnandet.
Till stöd för prövningen finns ett omfattande regelverk. Skatteverkets beslut kan överklagas till förvaltningsdomstol. Vidare finns det skäl att förutsätta att Skatteverket organiserar verksamheten på ett sätt som tillgodoser de krav som medborgarna rimligen kan ställa på insyn och kontroll. Utredningen har därför funnit att ärenden som initieras av enskilda kan handläggas i vanlig ordning och prövas av den tjänsteman som enligt Skatteverkets arbetsordning tilldelas uppgiften. Enligt utredningens uppfattning erfordras inte heller någon särskild huvudman, som vid sidan av Skatteverket skall bedöma i vilka fall uppgifter kan lämnas ut till enskilda.
Skatteverkets övertagande av SPAR-funktionerna innefattar ett ansvar för att folkbokföringsuppgifterna fortsatt kan tillhandahållas på ett enkelt, säkert och kostnadseffektivt sätt. Möjligheten att aktualisera och komplettera register mot uppgifterna i SPAR har stor betydelse för företag och andra organisationer. Härigenom kan de effektivisera sin verksamhet, vilket är gynnsamt för den ekonomiska tillväxten i samhället. För flera myndigheter, företag och organisationer är det lika viktigt att ha direktåtkomst till uppgifterna i SPAR för kontroll av personuppgifter avseende enskilda individer. Skatteverkets måste därför organisera verksamheten så att användarna fortsatt garanteras effektiv och god service.
Den nya uppgiften innebär en ökad arbetsbelastning för Skatteverket. Utredningen uppskattar att den ökade ärendevolymen kräver en resursförstärkning motsvarande ca tre till fem årsarbetskrafter hos Skatteverket.
10.7. Genomförande
10.7.1. Tidsplan
Genomförandet bör ske successivt enligt utredningens tidsplan. Förslagen bör vara fullt genomförda senast den 1 juli 2007.
Utredningen rekommenderar att förslagen genomförs i etapper under perioden 1 juli 2005–1 juli 2007. Det innebär att åtgärder bör vidtas i följande ordning:
1 juli 2005 utredningens betänkande överlämnas till
regeringen
juli–okt 2005 betänkandet remissbehandlas
okt 2005 SPAR-nämnden säger upp avtalet med InfoData AB
2005–2006 SPAR-nämnden förbereder upphandling med stöd av Skatteverket
mars 2006 proposition går till riksdagen
juni 2006 riksdagsbeslut
31 dec 2006 nämndens mandat utgår; eventuellt förlängs det med ett halvår
1 juli 2007 de nya författningsreglerna och den nya organisationen träder i kraft.
Till utredningen har framförts rekommendationer om att de föreslagna författningsändringarna bör träda ikraft vid en senare tidpunkt. Det huvudsakliga skälet till att senarelägga ikraftträdandet skulle vara att ett genomförande av utredningens förslag innebär stora kostnader för de nuvarande SPAR-kunderna, som tvingas att investera i nya IT-system. Samma argument framfördes även då frågan om SPAR:s avveckling prövades förra gången, dvs. i
den förvaltningspolitiska propositionen
23
våren 1998. Då var de
extra investeringskostnaderna ett av flera avgörande skäl till att SPAR behölls oförändrat och knutet till samma servicebyrå. Det helt avgörande skälet var emellertid att det då inte fanns något realistiskt alternativ som kunde ersätta SPAR.
Oavsett när ett byte av informationsleverantör inträffar kan det i ett inledande skede komma att medföra extra kostnader för de SPAR-kunder som är beroende av InfoData AB:s tekniksupport. Enligt utredningen är denna omständighet inte ett bärande argument för att senarelägga genomförandet av de föreslagna författningsändringarna. Däremot ställer det höga krav på Skatteverket som redan på ett tidigt stadium måste involvera nuvarande SPAR-kunder i förändringsprocessen. Inte minst gäller det i förhållande till kunder med verksamhet inom den privata sektorn, vilka under snart 30 år medvetet styrts till SPAR för att hämta folkbokföringsuppgifter. Vidare får det förutsättas att Skatteverket inleder ett samarbete med den nuvarande informationsleverantören InfoData AB, för att på bästa sätt lösa de olägenheter som kan uppstå för SPAR:s nuvarande kunder.
10.7.2. Finansiering av kostnader
Kostnaderna bör finansieras i etapper. I ett första steg bör Skatteverket få disponera en del av intäkterna från SPAR i syfte att bistå nämnden i dess förberedelser för en upphandling. I ett andra steg bör Skatteverket sätta avgifterna så att de täcker dels Skatteverkets kostnader för tillhandahållande av folkbokföringsinformation, dels ger ett årligt bidrag till statsbudgeten på samma nivå som nuvarande belopp.
Ett genomförande av utredningens förslag förutsätter att SPARnämnden och senare Skatteverket tillförs extra resurser. Utredningen har övervägt hur dessa kostnader skall finansieras och funnit att finansieringen bör variera med hänsyn till genomförandets olika etapper.
SPAR-nämnden bör under hösten 2005 skriva till regeringen och begära att Skatteverket får disponera en del av intäkterna från SPAR för att finansiera sitt stöd till nämnden i samband med
23
Prop. 1997/98:136 Statlig förvaltning i medborgarnas tjänst.
förberedelserna för övergången till en ny organisation. Till förberedelserna hör bl.a. upphandling av en eller flera servicebyråer avseende de delar av det statliga åtagandet som inte innebär myndighetsutövning mot enskild och som därför kan läggas ut på entreprenad.
När den nya organisationen trätt i kraft och Skatteverket övertagit ansvaret för de SPAR-funktioner som skall vara kvar bör dessa finansieras med avgifter. Avgifterna för användningen av folkbokföringsdatabasen skall i första hand täcka Skatteverkets kostnader för driften av databasen, men de skall även ge ett bidrag som motsvarar det som driften av SPAR tidigare tillfört statskassan.
Bidragskravet på förslagsvis 10 miljoner kronor kan anges i Skatteverkets regleringsbrev. Myndigheten har då att beakta kravet i sin avgiftssättning som vilken annan kostnadspost som helst. Myndigheten åläggs även att årligen till viss inkomsttitel inbetala ett belopp motsvarande bidragets storlek. Beloppet skall således tillföras statskassan och det bidrar därmed till statens kostnader för uppbyggnad, drift och utveckling av informationssystemet.
När SPAR-nämnden upphör och Skatteverket inte längre har kostnader för att bistå nämnden med kansliresurser m.m. bör verkets anslag minskas med ca 900 000 kr, dvs. det belopp som är avsett att täcka kostnaderna för värdmyndighetsskapet.
10.7.3. Skatteverkets upphandling
I den mån det statliga åtagandet innefattar ett tydligt myndighetsansvar eller innebär myndighetsutövning mot enskild skall det fullgöras av Skatteverket, men i övrigt får det förläggas till servicebyrå. Den del som läggs ut skall vara upphandlad i konkurrens.
Skatteverket kan få svårigheter att genomföra hela det nya åtagandet i egen regi. Det kan också ifrågasättas om en sådan ambition skulle vara lämplig. I den mån det statliga åtagandet innefattar ett tydligt myndighetsansvar eller innebär myndighetsutövning mot enskild skall det fullgöras av Skatteverket; men i övriga delar får det förläggas till servicebyrå. Ett minimikrav bör emellertid vara att Skatteverket i egen regi kan möta den offentliga
sektorns befogade önskemål om effektivitet och service. Inte minst statsfinansiella skäl talar härför.
I övrigt bör utgångspunkten vara att renodla myndighetsuppgiften och följa intentionerna i PSI-direktivet. Det innebär att Skatteverket i egen regi bör tillhandahålla bas-tjänster motsvarande en viss grundnivå, medan vidareutveckling av tjänster, individuellt anpassad teknik och aktiv försäljning av befolkningsinformation m.m., bör överlåtas på marknaden och konkurrensutsättas. Den del av det statliga åtagandet som avser framtagande av urval av namn och adress för kommersiella ändamål är, enligt utredningen, ett typexempel på en tjänst som bör förläggas till en eller flera upphandlade servicebyråer. Vid en upphandling är det viktigt att Skatteverket klargör vad som skall utföras i egen regi och vad som skall utföras av servicebyrå; så att Skatteverket inte ägnar sig åt verksamhet som på ett illojalt sätt konkurrerar med verksamhet som lagts ut på entreprenad.
För att Skatteverket, som har det övergripande ansvaret för distributionen av folkbokföringsuppgifter, skall kunna behålla kontrollen över hur uppgifterna används bör ett begränsat antal servicebyråer upphandlas. En rimlig utgångspunkt bör därför vara att inte upphandla fler än fem. Utredningen anser att det ur konkurrenssynpunkt vore önskvärt att minst tre servicebyråer upphandlas. Innan en inventering gjorts av hur stor marknaden är och av hur många servicebyråer som är intresserade av att få del av uppdraget, är det emellertid svårt att ange vad som är optimalt. Hänsyn måste också tas till att det förmodligen är förhållandevis få servicebyråer som har den kapacitet som krävs för att kunna utföra uppdraget.
För att få en uppfattning om hur en upphandling skulle kunna gå till har utredningen låtit utföra en särskild upphandlingsstudie. Studien, som redovisas i bilaga 3 till betänkandet, bör kunna tjäna som ett underlag för SPAR-nämndens respektive Skatteverkets förberedelser för en upphandling.
10.8. Övrigt
Några av de problem som utredningen har stött på under arbetets gång måste lösas i särskild ordning. Dit hör bl.a. vissa brister i integritetsskyddet samt kreditupplysningsföretagens utökade
verksamhet. Även massuttag av befolkningsuppgifter med stöd av offentlighetsprincipen ger anledning till oro.
10.8.1. Integritetsskyddet bör förstärkas
EG:s dataskyddsdirektiv, i Sverige omsatt i PuL, gäller vid behandling av uppgifter i SPAR om inte avvikande bestämmelser meddelas i SPAR-lagen. Det innebär bl.a. att nämnden är ansvarig för att uppgifterna i SPAR behandlas enligt PuL och att uppgifterna inte lämnas ut till någon som kan förväntas behandla uppgifterna i strid mot den lagen.
24
Innan nämnden medger åtkomst till SPAR sker inte bara en prövning enligt reglerna i SPAR-författningarna, utan också en sekretessprövning enligt 7 kap.15–16 §§sekretesslagen. I samband därmed får behörig firmatecknare för det företag som söker åtkomst skriva under en försäkran om att företaget i fråga och dess personal skall följa PuL och bara använda uppgifterna i tjänsten. Om det finns anledning för nämnden att anta att företaget inte kommer att behandla uppgifterna i enlighet med PuL kan nämnden avslå ansökan.
Eftersom PuL inte är tillämplig vid behandling av personuppgifter som sker utom Sverige, kan dessa krav inte ställas på ett utländskt företag som begär åtkomst till uppgifterna i SPAR. De enda krav som nämnden anser sig kunna ställa när det gäller utländska sökande är att landet där företaget är beläget har ett tillfredsställande integritetsskydd enligt dataskyddsdirektivet och gällande EG-praxis. Det ställs alltså strängare krav på svenska företag än på utländska vid åtkomst till SPAR. Här bör tilläggas att nämnden i tveksamma fall har hävdat att ett utlämnande förutsätter medgivande av den registrerade.
Frågan hänger nära samman med utformningen av 7 kap. 16 § sekretesslagen, som anger att en folkbokföringsuppgift inte får lämnas ut om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid mot personuppgiftslagen. Bestämmelsen är nu föremål för översyn och har behandlats i betänkandet Översyn av personuppgiftslagen (SOU 2004:06). Betänkandet är under beredning inom Regeringskansliet.
24
Det senare framgår av den sekretessprövning som skall göras enligt 7 kap. 16 § sekretesslagen (1980:100).
Till integritetsskyddet hör också de registrerades möjlighet att få sekretessmarkering i folkbokföringen. Problemet med denna skyddsmöjlighet är att många användare av folkbokföringsuppgifter kan få uppfattningen att personuppgifter som inte är sekretessmarkerade är offentliga. Så är nu inte fallet. Folkbokföringssekretessen måste bedömas utifrån förutsättningarna i det enskilda fallet. Situationer som är hotfulla för den registrerade kan uppstå snabbt och även vara okända för den registrerade. Det är därför angeläget att folkbokföringssekretessen tolkas på det sätt som Offentlighets- och sekretesskommittén gör i sitt huvudbetänkande, där den redogör för hur bestämmelsen i 7 kap. 15 § sekretesslagen bör tillämpas:
25
Den omständigheten att den enskilde har sekretesskydd inom folkbokföringen är bara en av flera omständigheter som kan få betydelse för avgörandet om sekretess föreligger. Även andra omständigheter som kommer till den utlämnande myndighetens kännedom bör kunna medföra att sekretess gäller enligt bestämmelsen.
10.8.2. Kreditupplysningsverksamheten
En annan kundkategori som i växande utsträckning står utanför PuL är de svenska kreditupplysningsföretagen, som samtidigt hör till de största användarna av SPAR. Sedan en tid tillbaka har några kreditupplysningsföretag utgivningsbevis, enligt YGL, för sina hemsidor. De har också börjat sälja personuppgifter via internet, bl.a. för reklamändamål.
26
Detta är ett bekymmer främst från
integritetssynpunkt. Förutom de uppgifter som hämtas från SPAR, innehåller kreditupplysningsföretagens register bl.a. uppgifter från Skatteverkets beskattningsdatabas. Kreditupplysningsföretagen kan också tillföra registren viss egen information. Kreditupplysningsföretagen kan därmed erbjuda sina kunder avsevärt fler uppgifter än nuvarande SPAR, bl. a. den typ av urval baserade på taxeringsuppgifter, som utredningen anser bör avvecklas.
Eftersom YGL gäller framför vanlig lag behöver kreditupplysningsföretagen varken iaktta PuL:s eller kreditupplysningslagens (1973:1173) bestämmelser när de säljer uppgifter via sina hemsidor. Statens möjlighet att utöva tillsyn över denna verksamhet är
25
Ny sekretesslag, Del 1 (SOU 2003:99), s. 185.
26
Kreditupplysningsföretagen säljer bl.a. urval som bygger på uppgifter som hämtas från deras kundregister. Registren innehåller ca 7,5 miljoner personposter (i princip hela Sveriges befolkning över 16 år) och uppdateras regelbundet via SPAR.
begränsad och enligt nuvarande regler är möjligheterna att ingripa till skydd för de registrerades integritet små.
27
Datainspektionen
har anmält förhållandet till regeringen, som tillsatt en intern utredning. Även denna fråga är alltså föremål för beredning i Regeringskansliet.
10.8.3. Massuttag med stöd av offentlighetsprincipen
Utredningen vill fästa uppmärksamheten på att förekomsten av kommersiella offentlighetsuttag, s.k. massuttag, från myndigheternas befolkningsregister är ett problem. Det är svårt att garantera medborgarna ett fullgott integritetsskydd om massuttag enligt offentlighetsprincipen fortsatt skall vara möjliga ur Skatteverkets folkbokföringsdatabas och beskattningsdatabas. Risken finns att de kommersiella offentlighetsuttagen sätter den övriga författningsregleringen till skydd för den personliga integriteten ur spel.
Rätten att ta del av allmänna handlingar är grundlagskyddad i 2 kap. TF. Grundlagskyddet har tillkommit för att garantera att den offentliga maktutövningen sker i demokratiskt öppna former, under allmänhetens och massmedias insyn. Massuttag av personuppgifter för att användas för kommersiella ändamål har ett helt annat syfte. Mot bakgrund av att staten även skall värna om medborgarnas förtroende och skydda den enskildes personliga och ekonomiska förhållanden anser utredningen att det finns skäl att se över de bestämmelser som reglerar detta område (jfr 2 kap. 2 § TF som reglerar i vilka fall rätten att ta del av allmänna handlingar får begränsas genom lag).
10.8.4. Reklambranschens egenåtgärder bör förstärkas
Utredningen har även noterat att det finns möjligheter att med förhållandevis enkla åtgärder förstärka effekten av direktreklambranschens s.k. egenåtgärder. Branschorganisationen Swedma ansvarar i dag för två spärregister mot direktreklam, Nix telefon och Nix adresserat. Swedmas medlemmar har förbundit sig att före
27
Genom påpekandet vill utredningen inte beskylla kreditupplysningsföretagen för olämplig hantering av personuppgifter som finns i deras databaser, utan bara rikta uppmärksamheten på att det behövs en tydlig reglering av området.
ett reklamsamtal eller reklamutskick ”tvätta” sina adresser mot Nix-registren.
Swedma har länge framfört önskemål om att Nix adresserat skulle kunna fyllas på med de personer som har direktreklamspärr i SPAR. Den möjligheten finns inte i dag eftersom uppgifter om vilka personer som har reklamspärr i SPAR inte får lämnas ut i elektronisk form.
Utredningen ser positivt på Swedmas önskan och föreslår att det nya regelverket för folkbokföringsdatabasen skall innehålla en möjlighet att lämna ut uppgifter om reklamspärrade adresser.
11. Ekonomiska och andra konsekvenser
11.1. Inledning
Utredningen skall enligt sina direktiv analysera förslagens författningsmässiga, ekonomiska och tekniska konsekvenser samt lämna förslag till konsekvensändringar i regelverk, finansieringsformer och teknik. I uppdraget ingår även att bedöma kostnaderna för den framtida verksamheten och hur denna skall finansieras. Därutöver gäller kommittéförordningens generella bestämmelser om kostnadsberäkningar och andra konsekvensbeskrivningar.
1
Eftersom utredningens förslag kan få konsekvenser för små företag har utredningen, efter samråd med Näringslivets regelnämnd, även utfört en s.k. Simplex-analys.
2
Mot den bakgrunden sammanfattar utredningen sina konsekvensbedömningar i detta kapitel. Merparten av konsekvenserna har tidigare redovisats mer utförligt i direkt anslutning till respektive förslag.
11.2. Författningsmässiga konsekvenser
Författningsmässigt innebär förslagen att lagen och förordningen om SPAR samt förordningen (1998:1235) med instruktion för SPAR-nämnden upphör att gälla fr.o.m. den 1 juli 2007. Det statliga åtagandet att tillhandahålla folkbokföringsuppgifter till myndigheter och enskilda skall fr.o.m. nämnda datum regleras i FdbL och FdbF.
Författningsändringarna innebär att SPAR och SPAR-nämnden avvecklas och att Skatteverket tilldelas ansvaret för det statliga åtagandet att förse samhället med folkbokföringsinformation.
1
14–16 §§Kommittéförordningen (1998:1474).
2
Se förordningen (1998:1820) om särskild konsekvensanalys av reglers effekter för små
företags villkor.
11.3. Direkta ekonomiska konsekvenser
Utredningen är medveten om att Skatteverket kan få svårigheter att genomföra hela åtagandet i egen regi. Det kan också ifrågasättas om en sådan ambition skulle vara lämplig. Enligt utredningens uppfattning bör Skatteverket lägga ut delar av åtagandet på ett antal servicebyråer som upphandlas i konkurrens. De delar som innebär ett tydligt myndighetsansvar eller som innefattar myndighetsutövning mot enskild bör dock alltid utföras av myndigheten själv, dvs. av Skatteverket. För att få en uppfattning om hur en konkurrensutsättning av verksamheten skulle kunna gå till och vilka kostnader som en upphandling skulle föra med sig har utredningen låtit utföra en särskild upphandlingsstudie. Studien redovisas i bilaga 3 och bör kunna tjäna som vägledning för SPARnämndens respektive Skatteverkets förberedelser för en upphandling.
De kostnader som sammanhänger med att den nya ordningen tas i bruk och att uppgiften att tillgodose hela samhällets behov av folkbokföringsuppgifter förs över till Skatteverket, kan inte slutgiltigt beräknas förrän upphandlingsförberedelserna är slutförda. Först då finns ett genomarbetat förslag till uppgiftsfördelning mellan Skatteverket som upphandlande myndighet och framtidens servicebyråer. I dagsläget finns inte underlag för annat än en grov kostnadsuppskattning. Utredningen gör bedömningen att de nya uppgifter som överförs från SPAR-nämnden till Skatteverket kommer att sysselsätta 3–5 årsarbetskrafter.
11.4. Finansiering
Sett över en längre tidsperiod bör de direkta kostnader som uppkommer till följd av förslagen kunna avgiftsfinansieras, men under genomförandefasen behöver SPAR-nämnden och Skatteverket extra resurser. Utredningen har övervägt hur dessa kostnader skall finansieras och funnit att finansieringen bör variera med hänsyn till genomförandets olika etapper. SPAR-nämnden bör under hösten 2005 skriva till regeringen och begära att Skatteverket får disponera en del av intäkterna från SPAR för att kunna finansiera sitt stöd till nämnden i samband med övergången till en ny organisation. Hit hör bl.a. förberedelserna för en upphandling av de delar av det statliga åtagandet som skall läggas ut på entreprenad.
När den nya organisationen trätt i kraft och Skatteverket övertagit ansvaret bör avgifterna sättas enligt de principer som redovisats i avsnitt 10.7.2. Avgifterna för användningen av folkbokföringsdatabasen skall i första hand täcka Skatteverkets kostnader för driften av databasen, men de skall även ge ett bidrag som motsvarar det som driften av SPAR tidigare tillfört statskassan. Avsikten är att den föreslagna förändringen skall vara kostnadsneutral för Skatteverket.
11.5. Indirekta ekonomiska konsekvenser
Utöver de direkta ekonomiska konsekvenserna för SPAR-nämnden respektive Skatteverket kan kostnader uppstå hos de många myndigheter och företag som integrerat sin åtkomst till uppgifterna från SPAR med de egna administrativa systemen. Oberoende av om Skatteverket väljer att sköta åtagandet i egen regi eller att upphandla driften av databasen kan SPAR:s nuvarande kunder komma att möta en ny informationsleverantör som erbjuder tjänsterna via en för kunderna ny teknik. Det innebär att kunderna kan behöva anpassa sina system och investera i ny teknik.
Merkostnader kan också komma att uppstå för de kunder som anpassat sina rutiner till möjligheten att göra urval med utgångspunkt från taxeringsuppgifter. När den möjligheten försvinner kan det ta tid för kunderna att finna nya sätt att avgränsa sina målgrupper.
Sammantaget kan omläggningen komma att kosta tid och pengar, men utredningen förutsätter att nämnden respektive Skatteverket förbereder och genomför förändringen på ett sådant sätt att merkostnaderna för kunderna minimeras. På sikt räknar utredningen med att kundernas kostnader för åtkomst till uppgifter ur folkbokföringsdatabasen blir lägre än i dag. Utredningen utgår i från att Skatteverket kommer att erbjuda myndigheter och flertalet större företag direktåtkomst till folkbokföringsdatabasen till självkostnadspris. Även de kunder som erbjuds åtkomst via någon av de entreprenörer som Skatteverket anlitar torde få en lägre kostnad på sikt eftersom verksamheten i samband med upphandlingen blivit konkurrensutsatt. Inte minst medför utredningens förslag en besparing för polis och tull.
11.6. Särskilt om konsekvenserna för företag
Inledning
När en myndighet under regeringen överväger nya eller förändrade regler som kan ha betydelse för små företags villkor skall myndigheten, enligt den s.k. Simplexförordningen
3
, göra en
särskild konsekvensanalys och dokumentera denna. Motsvarande regler gäller för kommittéer och särskilda utredare. SPARutredningen har gjort bedömningen att utredningens föreslag till författningsförändringar kan komma att påverka de små företagens arbetsförutsättningar och redovisar därför föreskriven analys. De slutsatser som redovisas är inte specifika för just små företag utan kan appliceras på företag i allmänhet.
Problembeskrivning
Utredningen föreslår att SPAR avvecklas och att Skatteverket övertar SPAR-nämndens uppgifter. Syftet med förändringen är främst att renodla det statliga åtagandet att tillhandahålla personuppgifter för samhällets behov. Efter en övergångsperiod förväntas de föreslagna förändringarna enbart ha positiva effekter för företag som regelbundet behandlar stora mängder personuppgifter.
I förhållande till nuläget föreslås en viss begränsning av de urvalsgrunder som får användas vid urvalsdragningar för direktreklam. Uppgifter om inkomst, förmögenhet och fastighetsinnehav bör inte längre få användas som urvalsgrund. Motivet är främst att förstärka skyddet för den enskildes säkerhet och personliga integritet. Förändringen kan leda till merkostnader för företagen genom att målgrupper inte kommer att kunna avgränsas lika exakt som i dag, men utredningen har gjort en intresseavvägning och funnit att medborgarnas behov av integritetsskydd väger tyngre än företagens behov av låga portokostnader. Vidare finns det alternativa metoder för ett företag att nå rätt målgrupp med sitt budskap.
3
Förordningen (1998:1820) om särskild konsekvensanalys av reglers effekter för små
företags villkor.
Konsekvensbeskrivning
Förslagens konsekvenser beskrivs genom svar på de frågor som tas upp i 3 § Simplexförordningen.
1. Vilket är problemet och vad händer om någon reglering inte sker?
Problemet är beskrivet ovan. Reglering är nödvändig om verksamheten skall bedrivas i enlighet med EG:s dataskyddsdirektiv och PuL.
2. Finns det några alternativa lösningar?
Ett alternativ skulle möjligen kunna vara att bedriva verksamheten enbart med stöd i EG:s dataskyddsdirektiv och PuL. En sådan ordning skulle emellertid vara avsevärt mindre förutsägbar och därmed mindre rättssäker. Särskilda registerlagar gör regelverket tydligare för såväl användarna av databaserna som för de registrerade medborgarna.
3. Vilka administrativa, praktiska eller andra åtgärder måste småföretagen vidta till följd av regleringen?
De föreslagna regelförändringarna avspeglar förslagen om avveckling av SPAR och av myndigheten SPAR-nämnden. De åtgärder småföretagen kan behöva vidta beror mer på dessa förändringar av organisation och teknik än på föreslagna regeländringar. De företag som har integrerat SPAR med de egna administrativa systemen kan exempelvis behöva investera i ny teknik och de företag som regelbundet gör stora reklamutskick kan behöva lägga om sina rutiner för beställningar av adressuttag. Företagen kommer sannolikt också att under övergångstiden behöva besvara ett antal enkäter från den nya huvudmannen, dvs. Skatteverket. För att minimera de negativa effekterna för företagen rekommenderar utredningen att övergångstiden görs förhållandedevis lång.
4. Vilken tidsåtgång kan reglerna föra med sig för småföretagen?
De nya reglerna i sig medför ingen ökad tidsåtgång för företagen. Vad som kan ta tid och kosta pengar är omläggningen till ny teknik och nya rutiner. Den omläggningen är, som sagt, mer en följd av organisationsförändringen än av det nya regelverket.
5. Vilka lönekostnader, andra kostnader eller resursbelastning i övrigt kan reglerna leda till?
Jfr svaret på fråga 4.
6. Kan reglerna komma att snedvridna konkurrensförhållandena till nackdel för småföretagen eller i övrigt försämra deras konkurrensförutsättningar?
De nyinvesteringar som kan komma att krävas blir sannolikt helt marginella för större företag, men kan bli mer besvärande för små företag. De små företagen kan därför behöva längre tid än de stora för att anpassa sina rutiner till nya förhållanden. Detta mer beroende på investeringarna än på regelverket.
7. Kommer reglerna i andra avseenden att påverka småföretagen?
Företagen kommer fortsatt att kunna göra urval för reklamutskick med utgångspunkt från variablerna personnummer, adress, folkbokföringsort, make/maka, vårdnadshavare och avregistrering från folkbokföringen. Urval kommer däremot inte längre att vara möjliga med utgångspunkt från variablerna inkomst, förmögenhet och fastighetsinnehav. Det kan innebära att vissa företag måste ändra sina rutiner för beställning av adresser för reklamutskick.
Utredningen vill påminna om att de finns alternativa metoder för ett företag att nå rätt målgrupp med sitt budskap.
8. Går det att kontrollera efterlevnaden av reglerna och hur kommer reglernas effekter för småföretag att uppmärksammas och granskas?
Regleringens främsta syfte är att säkerställa att behandlingen av personuppgifter i Sverige tillgodoser kraven på ett fullgott integritetsskydd. De nya reglerna står i överensstämmelse med dataskyddsdirektivet och PuL, vilket bl.a. innebär att
Datainspektionen sköter tillsynen. Utredningen förutsätter också att Skatteverket uppmärksammar eventuella negativa effekter för småföretagen i sin årliga s.k. Simplex-rapportering till Verket för näringslivsutveckling, Nutek.
9. Bör reglerna gälla endast viss begränsad tid för att förhindra eventuella negativa effekter för småföretagen?
Reglerna bör gälla tills vidare. I den mån negativa effekter uppstår för småföretagen bör hänsynen till medborgarnas integritetsskydd väga tyngre än företagens intresse av att göra urval baserade på medborgarnas ekonomiska förhållanden. Hänsyn till småföretagens eventuella behov av att göra nya investeringar kan tas genom övergångslösningar med innebörden att företagen får god tid på sig för att ändra sina rutiner.
10. Behöver särskilda hänsyn tas till småföretagens villkor när det gäller tiden för reglernas ikraftträdande?
Se svaret på fråga 9.
11. Finns det behov av speciella informationsinsatser?
Ja! Inför den förändring, som utredningen föreslår skall äga rum per den 1 juli 2007, bör massiva informationsinsatser vidtas.
12. Hur har samråd skett med näringslivet och med de myndigheter som särskilt berörs? Vilka synpunkter av betydelse har kommit fram?
Samråd har ägt rum med näringslivet dels genom en hearing med berörda intresseorganisationer, dels genom särskilda möten med företrädare för Swedma, Posten Sverige AB och vissa kreditupplysningsföretag. Vidare har samråd ägt rum med berörda myndigheter, däribland Rikspolisstyrelsen, Tullverket, Datainspektionen, SPAR-nämnden, Riksarkivet, Näringslivets regelnämnd och Konsumentverket. I samband med att värdmyndighetsskapet för SPAR-nämnden överflyttades från Statskontoret till Skatteverket skedde samråd med dessa myndigheter. Näringslivets organisationer har varit angelägna om att ingen förändring sker av de funktioner som för närvarande fullgörs via SPAR. De berörda
myndigheterna har i stort inte haft något att invända mot utredningens överväganden och förslagens inriktning.
11.7. Konsekvenser för medborgarna
Slutligen bör nämnas att förslagen får positiva men svårmätbara konsekvenser för medborgarna. Förslagen innebär att staten skärper kontrollen över hanteringen av de uppgifter medborgarna lämnat in till den offentliga förvaltningen. Medborgarperspektivet har varit centralt i utredningens arbete. SPAR bildades av integritetsskäl och avvecklas, om utredningens förslag genomförs, av liknande skäl, eftersom omvärldsförutsättningarna har förändrats.
12. Författningskommentarer
12.1. Inledning
Enligt utredningens förslag skall SPAR och SPAR-nämnden avskaffas. Staten skall inte längre driva två register med delvis samma ändamål; i stället skall såväl myndigheter som enskilda hämta information om folkbokföringsuppgifter direkt från källan, dvs. Skatteverkets folkbokföringsdatabas. Skatteverket blir ansvarigt för att tillhandahålla folkbokföringsuppgifter till hela samhället. Flertalet av de regler som gäller för SPAR i dag skall gälla även för Skatteverkets verksamhet.
Den nya regleringen inarbetas i de författningar som i dag anger ramarna för behandlingen av personuppgifter i Skatteverkets folkbokföringsverksamhet, dvs. FdbL och FdbF. Härigenom blir det tydligt att det primära ändamålet för Skatteverkets folkbokföringsdatbas är att tillgodose, inte bara myndigheters, utan hela samhällets behov av korrekta och aktuella personuppgifter.
12.2. Skillnad i lagstiftningsteknik
EG:s dataskyddsdirektiv gäller för all behandling av personuppgifter som sker i databaser.
1
Medlemsstaterna får inte föreskriva
vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter än vad som gäller enligt direktivet. Dataskyddsdirektivet har införts i svensk lagstiftning; i första hand genom PuL. PuL är subsidiär. Om det i annan lag eller förordning finns bestämmelser som avviker från PuL skall de bestämmelserna gälla (2 § PuL).
Enligt SPAR-lagen är bestämmelserna i PuL tillämpliga vid behandling av personuppgifter i SPAR, om inte avvikande bestäm-
1
I dataskyddsdirektivet anges att direktivets bestämmelser inte är tillämpliga i vissa fall, t.ex.
när behandlingen sker uteslutande för privat bruk.
melser meddelas i SPAR-lagen.
2
I de registerlagar som tillkommit
på senare tid är utgångspunkten oftast den motsatta, dvs. den särskilda registerlagen gäller i stället för PuL, om annat inte uttryckligen anges i registerlagen. Sistnämnda lagstiftningsteknik kommer till utryck i 1 kap. 2 § FdbL. Där sägs att lagen gäller i stället för PuL, om inte annat anges 1 kap. 3 § eller i 3 kap. FdbL.
3
12.3. Författningskommentarer
Förslaget till författningsändringar följer den systematik som tillämpas i den förevarande författningstexten. Det innebär bl.a. att många av de nya reglerna förs in under de rubriker som handlar om utlämnande av personuppgifter till enskilda. En annan konsekvens härav är att ramarna för behandlingen av personuppgifter i databasen regleras i lagform, medan mer detaljerade föreskrifter förs in i förordningen.
12.3.1. Förslag till lag om ändring i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
1 kap.
2 §
I första stycket införs en hänvisning till bestämmelserna i 2 kap. 6 och 9 §§, som gäller utlämnade av uppgifter till en enskild på medium för automatiserad behandling respektive genom direktåtkomst. Dessa paragrafer kompletteras med ett nytt stycke där det sägs att 10 § PuL är tillämplig i fråga om sådant utlämnande. Skälen härför utvecklas närmare i kommentaren till 2 kap. 6 § andra
2
3 § SPAR-lagen.
3
Denna lagstiftningsteknik, som nu är vedertagen, mötte kritik från lagrådet som bl.a.
pekade på att den är riskfylld, ”med hänsyn såväl till svårigheten att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagstiftningarna som till möjligheten att vid kommande lagändringar hänvisningarna till PuL blir felaktiga eller ofullständiga” (prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 345).
stycket FdbL.
4
Genom tillägget i andra stycket ges upplysning om att den registrerade har rätt att motsätta sig behandling av personuppgifter i de fall som anges i 7 §. Sistnämnda bestämmelse slår fast att en registrerad har en ovillkorlig rätt att motsätta sig att hans eller hennes personuppgifter behandlas för ändamål som rör direktreklam.
4 §
I paragrafen anges ändamålen med behandlingen av personuppgifter i folkbokföringsdatabasen. Behandling som är oförenlig med ändamålen är inte tillåten. Det är därför väsentligt att lagtexten tydligt återspeglar för vilka ändamål behandlingen är avsedd och att ändamålsbestämmelserna inte är för allmänt hållna.
5
SPAR har två registerändamål; kontrolländamålet och urvalsdragningsändamålet (3 § SPAR-lagen). När SPAR upphör skall dessa ändamål tillgodoses via Skatteverkets folkbokföringsdatabas. Kontrolländamålet finns redan angivet som ett särskilt ändamål för folkbokföringsdatabasen (punkten 5).
Uttag av urval av personuppgifter som utförs för Skatteverket eller annan myndighet regleras i punkten 6. Det markeras genom att begreppet ”för myndigheter” tillförs bestämmelsen. Någon ändring i sak är inte avsedd.
6
Punkten 6 a är ny och motsvarar urvalsdragningsändamålet i SPAR (3 § punkt 2 SPAR-lagen). Uttag av urval som utförs på begäran av en enskild införs som ett nytt ändamål för behandlingen av uppgifter i folkbokföringsdatabasen. Härigenom blir det tydligt att detta ändamål är ett bland övriga ändamål för databasen. Som urvalskriterier får endast vissa personuppgifter användas och resultatet redovisas enbart i form av namn och adress till den framtagna gruppen. Med undantag för att beskattningsuppgifter
4
I fråga om utlämnande av folkbokföringsuppgifter till myndigheter är förhållandena
annorlunda. För sådant utlämnande finns bakomliggande författningar som styr i vilka fall uppgifter i databasen får behandlas. Verksamhet som bedrivs med stöd av dessa författningar omfattas utan inskränkning av rätten att behandla personuppgifter. När FdbL infördes var avsikten att uppgifterna i databasen endast i undantagsfall skulle lämnas ut till en enskild i elektronisk form. Mot den bakgrunden ansågs en hänvisning till 10 § PuL vara obehövlig (prop. 2000/01:33, s. 93).
5
Prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 140.
6
Av 13 § FdbF framgår att samma regler som gäller för myndigheter också skall gälla vid
uttag av urval av personuppgifter som görs för Svenska kyrkan.
inte längre skall få användas som urvalskriterier, skall samma regler som i dag gäller enligt SPAR-författningarna gälla för en enskilds uttag av urval av personuppgifter i folkbokföringsdatabasen.
Urvalsdragningsändamålet i SPAR är att ta fram uppgifter om namn och adress för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet. Eftersom det har förelegat viss tveksamhet om hur lagtexten skall tolkas, görs en redaktionell ändring när bestämmelsen överförs till FdbL. Uttag av urval för forskning, statistik
7
och undersökningar har
således tillåtits även i SPAR.
7 §
Bestämmelsens första stycke motsvarar 4 § andra stycket SPARlagen och ger den registrerade en ovillkorlig rätt att motsätta sig att hans eller hennes personuppgifter behandlas för direktreklam. Det uppställs inget krav på att en anmälan om direktreklamspärr görs i skriftlig form.
8
Paragrafens andra stycke saknar motsvarighet i SPAR-lagen. En direktreklamspärr i SPAR får inte tas bort, såvida inte den registrerade uttryckligen begär det. För att en anmälan om direktreklamspärr i folkbokföringsdatabasen skall fortsätta att gälla efter tre år måste den registrerade dessförinnan förnya sin anmälan. Vid förnyad anmälan gäller direktreklamspärren för en ny period om tre år räknat från den dag då den senaste anmälan gjordes. Utan förnyad anmälan upphör spärren automatsikt att gälla efter tre år. Naturligtvis kan den registrerade därefter återkomma med en ny anmälan om direktreklamspärr som gäller för en ny treårsperiod. Bestämmelsen i 7 § andra stycket innebär att direktreklamspärren bättre kommer att återspegla den registrerades aktuella inställning i frågan.
Det förhållandet att Skatteverket på uppdrag av den registrerade spärrar dennes personuppgifter från att användas vid urval för direktreklam är enligt utredningen en åtgärd av teknisk natur. Direktreklamspärren bör därför inte betraktas som en sådan personuppgift som skall ingå i den uppräkning som görs i 2 kap. 3 § FdbL.
7
Jfr 9 § andra stycket PuL.
8
Jfr bestämmelsen i 11 § PuL, prop. 1997/98:44 Personuppgiftslag, s. 66 och prop. 1997/98:136
Statlig förvaltning i medborgarnas tjänst, s. 77.
2 kap.
6 §
Av paragrafen framgår att uppgifterna i databasen får lämnas ut till en enskild på medium för automatiserad behandling. I bestämmelsen informeras om att det är regeringen som meddelar de närmare förutsättningarna för uppgiftsutlämnandet, dvs. vilka uppgifter som får lämnas ut och till vilka mottagare.
9
Hittills har
regeringen varit återhållsam med att meddela sådana föreskrifter
10
och hänvisat till att motsvarande uppgifter kan hämtas från SPAR. I och med att SPAR avvecklas ändras förutsättningarna. Enskilda som tidigare kunnat hämta uppgifter från SPAR skall få hämta motsvarande uppgifter direkt från folkbokföringsdatabasen. Föreskrifterna om villkoren för utlämnande av uppgifter i databasen till enskilda måste således kompletteras.
11
Enligt utredningens förslag skall Skatteverket överta SPARnämndens myndighetsuppgifter. Begäran från en enskild om att få hämta uppgifter från databasen skall prövas av verket, som beslutar om uppgifterna skall lämnas ut eller inte. Om uppgifterna lämnas ut skall Skatteverket också besluta om de närmare villkoren för uppgiftsutlämnandet.
12
Ett utlämnande får endast ske om ingen
bestämmelse, t.ex. om sekretess
13
, hindrar att uppgifterna lämnas
ut. Vidare måste hänsyn tas till de integritetsrisker som kan följa med att personuppgifter lämnas ut på medium för automatiserad behandling till bl.a. företag och andra organisationer.
14
Sådant
utlämnande kan därför endast komma i fråga när det efter särskild prövning anses lämpligt. Ett utlämnande förutsätter vidare att mottagaren behöver uppgifterna för ett berättigat ändamål. Härav följer att Skatteverket måste ta reda på hur mottagaren avser att behandla de utlämnade uppgifterna.
Att Skatteverket skall företa en sådan prövning tydliggörs genom att ett nytt andra stycke tillförs paragrafen. I detta stycke
9
Jfr prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 113 och
345.
10
Enligt FdbF får uppgifter i databasen lämnas ut på medium för automatiserad behandling till Svenska kyrkan, den enskilde själv och till dennes vårdnadshavare (13 och 15 §§).
11
Se avsnitt 12.3.3 där utredningens förslag till ändringar i FdbF kommenteras.
12
Skatteverkets befogenhet att besluta härom följer av 19 § FdbF.
13
T.ex. folkbokföringssekretessen i 7 kap.15 och 16 §§sekretesslagen (1980:100).
14
När det gäller utlämnade till enskilda saknas, till skillnad mot vad som gäller för myndigheter, normalt särskilda bestämmelser om hur personuppgifter får behandlas hos mottagaren. För dessa mottagare är det vanligtvis PuL:s bestämmelser som är tillämpliga på behandlingen av de mottagna uppgifterna.
sägs att 10 § PuL är tillämplig vid utlämnade av uppgifter till en enskild på medium för automatiserad behandling.
15
10 § PuL
handlar om när behandling av personuppgifter är tillåten. Med behandling avses bl.a. bearbetning, utlämnande och spridning av personuppgifter.
16
Enligt 10 § PuL får personuppgifter behandlas
bara om den registrerade har lämnat sitt samtycke till behandlingen eller om den är nödvändig för att bl.a. en arbetsuppgift av allmänt intresse skall kunna utföras (punkten d), den personuppgiftsansvarige eller en tredjeman till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning (punkten e), eller för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten (punkten f). I det sist nämnda fallet krävs en vägning, om den personuppgiftsansvarige eller tredjemannens intresse av en behandling väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.
17
Även de övriga
punkterna i 10 § PuL kan bli tillämpliga. T.ex. finns det flera privata företag som utför arbetsuppgifter av allmänt intresse, bl.a. inom sjukvård, kommunikation och undervisning.
Genom att det i lagtexten särskilt anges att 10 § PuL är tillämplig vid utlämnade av uppgifter till en enskild på medium för automatiserad behandling säkerställs att dataskyddsdirektivet blir till fullo genomfört. Klargörandet är också i linje PSI-direktivet, som betonar vikten av att villkoren för vidareutnyttjande av uppgifter som finns hos den offentliga sektorn skall vara tydliga.
15
Den behandling av personuppgifter som i dag förekommer i folkbokföringsdatabasen styrs av särskilda författningar. Vid införandet av FdbL ansågs det obehövligt att göra 10 § PuL tillämplig vid sidan av dessa regler. Datainspektionens rekommendation om att 10 § PuL skulle vara tillämplig avvisades med motiveringen att Skatteverkets verksamhet bedrivs med stöd av särskilda författningar och omfattas därför utan inskränkning av rätten att behandla personuppgifter. I fråga om utlämnade av uppgifter till enskilda på medium för automatiserad behandling är förhållandena annorlunda. För att personuppgifter skall lämnas ut till en enskild krävs, som ovan nämnts, att Skatteverket först bedömer om utlämnandet kan ske utan risk för att det leder till otillbörligt intrång i de registrerades personliga integritet. I dessa fall är det alltså fråga om att göra en skälighetsprövning i varje enskilt ärende.
16
3 § PuL.
17
Departementspromemorian Några frågor kring det statliga personadressregistret (SPAR) Ju2001/5103/F, s. 5.
8 §
I paragrafen görs ett tillägg om att myndigheter får ha direktåtkomst till uppgifter om make och vårdnadshavare. Det motsvarar vad som nu gäller enligt 8 § SPAR-förordningen, där det framgår att uppgifter om make eller vårdnadshavare får lämnas ut i elektronisk form bl.a. till myndigheter. När SPAR avvecklas bör det tydligt framgå att myndigheter kan få direktåtkomst till dessa uppgifter i folkbokföringsdatabasen. Jfr nedan vad som sägs i kommentaren till 9 §.
9 §
Av paragrafen framgår att en enskild får ha direktåtkomst till folkbokföringsdatabasen, om regeringen har meddelat föreskrifter om det. Det är alltså regeringen som avgör vilka enskilda som får ha direktåtkomst till uppgifter i databasen. I paragrafen informeras även om att det är regeringen eller den myndighet som regeringen bestämmer som meddelar föreskrifter om vilka uppgifter som får omfattas av direktåtkomsten.
18
Med direktåtkomst avses att den som använder registret på egen hand kan söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet. I det enskilda fallet har den ansvariga myndigheten inte kontroll över vilka uppgifter som lämnas ut. De uppgifter som i dag lämnas ut till en enskild via direktåtkomst till SPAR är i första hand uppgifter om namn, personnummer, adress och folkbokföringsort samt avregistrering från folkbokföringen. Banker, kreditupplysningsföretag, försäkringsbolag och några till kan härutöver få direktåtkomst till uppgifter om make och vårdnadshavare. Uppgifter som lämnas ut via direktåtkomst till SPAR anses typiskt sett vara av sådant slag att de kan lämnas ut utan risk för att det leder till otillbörligt intrång i den registrerades personliga integritet. Samma kategori uppgifter bör kunna komma i fråga för utlämnande till en enskild via direktåtkomst till folkbokföringsdatabasen.
18
Bestämmelserna i 9 § första och andra styckena FdbL kan uppfattas som en uppmaning till regeringen att meddela de föreskrifter som är nödvändiga för att lagens intentioner skall kunna föreverkligas. När SPAR-lagstiftningen avvecklas finns det därför skäl att utgå från att regeringen meddelar de föreskrifter som behövs. Jfr lagrådets uttalande i prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 345.
För att en enskild skall få ha direktåtkomst till uppgifter i folkbokföringsdatabasen krävs att Skatteverket efter en skälighetsprövning meddelar beslut om det. Vid denna prövning äger det som sägs i kommentaren till 2 kap. 6 § motsvarande tillämpning.
I tredje stycket anges att 10 § PuL är tillämplig då uppgifter i databasen lämnas ut genom direktåtkomst. Detta stycke införs av samma skäl som redovisas i kommentaren till 2 kap. 6 § andra stycket FdbL.
11 a §
Paragrafens första stycke motsvarar 11 § SPAR-förordningen. En viss skillnad föreligger dock genom att adressbegreppet i folkbokföringsdatabasen skiljer sig från det som används i SPAR. SPAR innehåller endast svenska adresser medan folkbokföringsdatabasen även innehåller uppgifter om utlandsadresser. Eftersom uppgifter som lämnas ut för kontrolländamål endast får avse de senast registrerade uppgifterna om en person som är folkbokförd i Sverige eller som avregistrerats från folkbokföringen, torde detta i praktiken inte innebära någon större förändring av vilka uppgifter som får göras tillgängliga (jfr 15 e § FdbF i utredningens förslag till författningsändringar).
I förarbetena till FdbL framhålls att frågan om vilka sökmöjligheter som skall finnas i ett personregister är av stor betydelse från integritetssynpunkt och att dessa därför uttömmande bör anges i lagen. Detta synsätt är tillämpligt även i fråga om vilka sökbegrepp som är tillåtna vid utlämnande av uppgifter till en enskild.
19
Enligt andra stycket gäller inte begränsningarna av sökbegreppen när den enskilde söker efter uppgifter om sig själv, eftersom det i dessa fall inte föreligger samma integritetsrisker.
11 b §
Paragrafen motsvarar 12 § SPAR-förordningen. En viss skillnad föreligger dock genom att adressbegreppet i folkbokföringsdatabasen skiljer sig från det som används i SPAR. Det som sägs härom i kommentaren till 11 a § är giltigt även för tillämpningen av
19
Se prop. 2000/2001:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 146.
denna paragraf. Av integritetsskäl bör begränsningen av sökbegreppen meddelas i lagform.
20
3 kap.
4 §
Skatteverkets beslut om utlämnande av uppgifter enligt 2 kap. 6 och 9 §§, bör liksom beslut som meddelas av SPAR-nämnden, kunna överklagas enligt de regler som gäller för överklagande av förvaltningsbeslut. En enskilds rätt att överklaga ett sådant beslut bör klart och tydligt framgå av lagtexten.
21
Strävan efter tydlighet
är i linje med de intentioner som kommer till uttryck i PSIdirektivet; bl.a. framhålls att personer som har begärt att få vidareutnyttja handlingar bör informeras om hur de kan få beslut eller förfaranden som påverkar dem överprövade.
22
Ikraftträdande
Enligt utredningen är det realistiskt att utgå från att lagen kan träda i kraft den 1 juli 2007. Skälen härför redovisas i kap. 10.7.1.
12.3.2. Förslag till lag om ändring i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
2 kap.
8 §
Paragrafen tillförs ett nytt tredje stycke där det anges att Rikspolisstyrelsen och polismyndigheter får ha direktåtkomst till beskattningsdatabasen så vitt avser sådana uppgifter som dessa
20
Jfr kommentaren till 2 kap. 11 a § första stycket FdbL. Se även prop. 2000/2001:33, s. 146.
21
Jfr dock vad som sägs i prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 109–110 om rätten att överklaga. Då detta uttalande gjordes var avsikten att utlämnande i elektronisk form av uppgifter i databasen till andra enskilda än Svenska kyrkan och den enskilde själv i princip inte skulle förekomma.
22
Se punkten 15 i förklaringssatserna till PSI-direktivet och artikel 4 punkt 4 i samma direktiv.
myndigheter i dag har åtkomst till via SPAR (se 4 § punkterna 9–12 och 7 § SPAR-lagen).
Ur sekretesskyddssynpunkt har det ansetts viktigt att frågan om direktåtkomst regleras i lagen, dvs. SdbL. Av regleringen skall det framgå till vilka myndigheter utlämnande får ske, vilka uppgifter som avses och i vilka fall de får lämnas ut. Direktåtkomst till uppgifterna i beskattningsdatabasen för myndigheter utanför Skatteverket bör endast förekomma om starka effektivitetsskäl talar för det. Enligt utredningens uppfattning väger Rikspolisstyrelsens och polismyndigheternas behov av att snabbt och enkelt få tillgång till de uppgifter som behövs för att de skall kunna utföra sin polisiära verksamhet tyngre än den risk från integritetssynpunkt som direktåtkomsten kan medföra.
23
De aktuella myndigheterna
bör därför kunna medges direktåtkomst till nämnda uppgifter i beskattningsdatabasen.
Direktåtkomst innebär att uppgifter lämnas ut utan att Skatteverket i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut. Utlämnandet måste därför vara förenligt med sekretesslagstiftningen. Uppgifter om taxerad förvärvsinkomst, inkomst av kapital, beskattningsbar förmögenhet och taxeringsvärde för småhusenhet är offentliga.
24
En uppgift om vilken eller
vilka fastigheter en viss person äger är däremot sekretessbelagd enligt 9 kap. 1 § sekretesslagen (1098:100). Sekretessen är absolut, dvs. något skaderekvisit finns inte. Vid direktåtkomst överförs sekretessen till den myndighet som mottar uppgifterna.
Formuleringen att Rikspolisstyrelsen och polismyndigheter får ha direktåtkomst till uppgifter i beskattningsdatabasen bryter inte sekretessen. De sekretessbrytande bestämmelser som kan behövas för utlämnande genom direktåtkomst får, enligt förarbetena till SdbL, meddelas i förordningsform.
25
Det är också i förordningen
som de närmare reglerna om direktåtkomstens omfattning skall anges. Direktåtkomst till uppgifter som polisen inte nödvändigtvis behöver skall inte utlämnas i denna form. SPAR-utredningen har inte tillräckligt underlag för att kunna väga polisens behov av uppgifterna mot andra intressen. De ändringar i SdbF som måste göras för att reglera polisens direktåtkomst till uppgifterna bör därför utformas när den nya lagen om polisens behandling av
23
Jfr prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 110 ff. och 130 ff.
24
9 kap. 1 § tredje stycket sekretesslagen (100:1980).
25
Prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 131-132.
personuppgifter är klar och polisens behov av uppgifterna har inventerats.
12.3.3. Förslag till förordning om ändring i förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
15 a §
Paragrafens första stycke motsvarar vad som i dag gäller vid utlämnande av uppgifter till enskild enligt ändamål 1 i 3 § SPARlagen, dvs. för kontrolländamål.
26
Paragrafens andra stycke motsvarar vad som i dag gäller vid utlämnande av uppgifter till enskild enligt ändamål 2 i 3 § SPARlagen, dvs. urvalsdragningsändamålet.
27
15 b §
Paragrafen motsvarar 8 § SPAR-förordningen.
15 c §
Enligt paragrafen får en uppgift om att den registrerade har anmält direktreklamspärr lämnas ut på medium för automatiserad behandling, dock endast om denne har samtyckt till att uppgiften lämnas vidare. Paragrafen innebär en förändring i förhållande till vad som gäller för direktreklamspärrar i SPAR.
Enligt 9 § SPAR-förordningen får en uppgift om direktreklamspärr i SPAR inte lämnas ut i elektronisk form. Det har ansetts att en person som motsätter sig att hans eller hennes personuppgifter får behandlas för direktreklam inte skall riskera att denna uppgift, som är en registrering av ett aktivt ställningstagande, lämnas ut för att registreras i en annan databas. Förbudet mot att lämna ut uppgifter om direktreklamspärrar i SPAR har lett till viss förvirring. En registrerad som anmäler direktreklamspärr till SPAR tror ofta att spärren gäller i förhållande till all
26
Regler som begränsar uppgiftsutlämnandet till en enskild finns bl.a. i 7 § SPAR-lagen och 5–7 §§ SPAR-förordningen.
27
Jfr 12 § SPAR-förordningen.
direktreklam. Direktreklamspärren gäller emellertid endast om adressuppgiften hämtas från detta register. SPAR är adresskälla till ca en tredjedel av alla direktreklamutskick. Vid övriga utskick hämtas adressen från andra register.
Direktreklambranschens egen organisation, Swedma, har inrättat egna spärregister, Nix adresserat och Nix telefon. Organisationens medlemmar har förbundit sig att respektera att personer som ”nixat” sig inte skall omfattas av direktreklamkampanjer. Nixregistren innehåller endast uppgifter om dem som anmält direktreklamspärr till dessa register. Också den som anmäler direktreklamspärr till Nix-registren kan lätt få uppfattningen att spärren gäller i förhållande till all direktreklam.
Såväl SPAR-nämnden som Swedma har framfört önskemål om att kunna samordna registren, i första hand genom att spärrarna i SPAR förs över till Nix adresserat. Genom utformningen av den föreslagna paragrafen tillvaratas fördelen med att kunna samordna registren, samtidigt som hänsyn tas till den enskildes integritet.
15 d §
Paragrafen motsvaras av 8 a § SPAR-förordningen. Bestämmelsen om bruttoavisering, som trädde ikraft den 1 oktober 2001, innebar en kodifiering av en sedan länge tillämpad praxis. I förarbetena till denna paragraf diskuteras huruvida bruttoavisering är förenlig med dataskyddsdirektivet.
28
Regeringens slutsats var att bruttoavi-
seringsmetoden är förenlig med dataskyddsdirektivets bestämmelser i de fall behandlingen (metoden) är nödvändig. Nödvändighetskravet kunde inte sättas så högt att det skall vara fråga om dagligen återkommande aviseringar som avser hela Sveriges befolkning. Enligt regeringens mening borde det, för att bruttoavisering skulle få användas, vara fråga om regelmässigt och frekvent återkommande aviseringar som avser en betydande del av befolkningen. En betydande andel av befolkningen skulle anses vara för handen åtminstone när behandlingen omfattade 2 miljoner personer eller fler. I sådana fall borde avvägningen mellan olika intressen sammanfattningsvis utfalla så att nödvändighetskravet ansågs uppfyllt.
29
Förarbetsuttalandena till 8 a § SPAR-förord-
28
Departementspromemorian Några frågor kring det statliga personadressregistret (SPAR) Ju2001/5103/F.
29
Ju2001/5103/F, s. 6-8.
ningen bör ligga till grund även för tolkningen av den nu föreslagna paragrafen.
Andra stycket, som handlar om gallring av överskottsinformation, innebär att bruttoavisering kan komma i fråga endast om Skatteverket har försäkrat sig om att mottagaren omedelbart gallrar bort all överskottsinformation.
15 e §
Enligt paragrafen får, förutom i de fall som avser utlämnande av uppgifter till Svenska kyrkan (13 §) och till den enskilde själv eller dennes vårdnadshavare (15 §), endast de senaste uppgifterna om den registrerade lämnas ut på medium för automatisk behandling. Det innebär en förändring i förhållande till vad som gäller för uppgifter i SPAR. Från SPAR lämnas även ”historiska” uppgifter ut.
30
I de fall som avses i 15 a–d §§ FdbF talar integritetsskäl för att
endast aktuella och korrekta uppgifter skall lämnas ut till en enskild på medium för automatiserad behandling.
31
Reglerna i 9 § första
stycket PuL om grundläggande krav på behandlingen av personuppgifter talar i samma riktning. Enligt denna bestämmelse skall den personuppgiftsansvarige se till bl.a. att de personuppgifter som behandlas är adekvata och relevanta samt att de behandlas i enlighet med god sed. Följaktligen bör t.ex. ett kundregister kontinuerligt hållas uppdaterat. För det fall att en enskild har behov av att få tillgång till historiska uppgifter för att aktualisera, komplettera eller kontrollera personuppgifter kan denne i det enskilda fallet inhämta upplysningen direkt från Skatteverket.
32
Mot bakgrund häremot bedömer utredningen att skälen för att, i andra fall än som avses i 13 eller 15 §, lämna ut historiska folkbokföringsuppgifter till en enskild på medium för automatiserad behandling inte uppväger de risker för intrång i den personliga integriteten som ett utlämnande kan innebära.
30
En ändrad uppgift får finnas kvar i SPAR även efter det att en ny motsvarande uppgift har registrerats, dock längst under tre år (15 § SPAR-förordningen).
31
Jfr bl.a. Datainspektionens (DI) beslut om att kreditupplysningar om fysiska personer inte får innehålla uppgifter om historiska adresser (DI dnr 904-2002). Bakgrunden till beslutet var att DI vid en inspektion hos ett kreditupplysningsföretag uppmärksammade att företaget lämnade ut uppgifter om de registrerades bostadsadresser tre åt tillbaka i tiden (historiska adresser). Uppgifterna hade inhämtats från SPAR. I beslutet hänvisade DI bl.a. till att registreringen av historiska adresser kan innebära ett otillbörligt intrång i den personliga integriteten.
32
Denna möjlighet följer av rätten att ta del av allmänna handlingar (2 kap. TF).
Av paragrafens andra mening framgår att utlämnande av uppgifter till andra än Svenska kyrkan, den enskilde själv eller dennes vårdnadshavare endast får avse personer som är folkbokförda eller som har avregistrerats från folkbokföringen, dvs. den kategori personer som i dag registreras i SPAR.
33
15 f §
Enligt första stycket får uppgifter som lämnas ut till en enskild för ändamål enligt 1 kap. 4 § 5 eller 6 a FdbL, dvs. kontrolländamål eller urvalsändamål, inte överlåtas till annan. Bestämmelsen införs för att markera att tillhandhållandet av folkbokföringsuppgifter i första hand avser att tillgodose mottagarens behov av uppgifterna i den egna verksamheten.
34
Även om en viss folkbokföringsuppgift i
sig inte är särskilt känslig uppkommer risker för integritetsintrång genom att de skilda uppgifterna i databasen får kombineras, avser hela befolkningen och ges en betydande spridning. En utgångspunkt vid regleringen av hur uppgifter i databasen får behandlas måste därför vara att värna om den registrerades integritet. Detta gäller inte minst när uppgifterna i databasen lämnas ut på medium för automatiserad behandling till t.ex. företag och organisationer för att nyttjas kommersiellt. Enligt utredningens uppfattning skall de viktigaste villkoren för hur mottagna uppgifter får behandlas framgå av förordningen eller meddelas av den ansvariga myndigheten, dvs. Skatteverket.
35
Av andra stycket framgår att Skatteverket får medge undantag från överlåtelseförbudet i första stycket. I och med att mottagaren måste inhämta Skatteverkets godkännande innan uppgifter överlåts till annan får verket möjlighet att kontrollera att utlämnade
33
Se 4 § första stycket SPAR-lagen.
34
Liknande villkor gäller beträffande uppgifter som lämnas ut från SPAR. I dessa fall är det dock servicebolaget InfoData AB som avgör om mottagaren får överlåta uppgifterna till annan. Också andra begränsningar som har väsentlig betydelse för hur mottagaren får använda personuppgifter som hämtats från SPAR regleras i avtalsvillkoren med servicebolaget.
35
Detta synsätt är också i linje med uttalanden som gjorts av den inom EU inrättade arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter. Arbetsguppen, som inrättats med stöd av artikel 29 i dataskyddsdirektivet, har uttalat bl.a. att den registeransvarige skall vidta lämpliga åtgärder för att skydda personuppgifter mot obefogad spridning, särskilt när behandlingen omfattar överföring via datanätverk, jfr artikel 17 i direktivet. (Yttrande 7/2003 om vidareutnyttjande av information från offentliga sektorn och skydd för personuppgifter, antaget den 12 december 2003, 10936/03/SV WP 83, s. 4).
folkbokföringsuppgifter inte sprids på ett ur integritetssynpunkt olämpligt sätt.
17 a §
Paragrafens första stycke motsvarar vad som nu gäller beträffande direktåtkomst till SPAR.
36
Se vidare vad som sägs i kommentaren
till 2 kap. 9 § FdbL om direktåtkomst till folkbokföringsdatabasen.
I andra stycket informeras om att det är Skatteverket som beslutar om vilka uppgifter i första stycket som en enskild får ha direktåtkomst till.
17 b §
Jämför vad som sägs i kommentaren till paragraf 15 e §.
17 c §
Paragrafen motsvarar 10 § SPAR-förordningen.
Adresserad direktreklam skall enligt god sed innehålla en tydlig upplysning om varifrån adressuppgiften har hämtats.
37
Att
adresskällan anges på ett klart och tydligt sätt har stor betydelse ur integritetssynpunkt och är sedan länge en väl inarbetad ordning. En person som får direktreklam skall alltid, utan att behöva göra egna efterforskningar, få information om dels varifrån avsändaren har hämtat uppgifterna, dels vart han eller hon skall vända sig med en anmälan om direktreklamspärr.
36
Regler som begränsar uppgiftsutlämnandet till en enskild finns bl.a. i 7 § SPAR-lagen och 5–7 §§ SPAR förordningen.
37
I Swedmas branschregler, som utformats i nära samarbete med Datainspektionen, sägs bl.a. att en direktmarknadsföringskontakt som tas på annat sätt än muntligen skall innehålla upplysning om varifrån adressuppgiften hämtats. Källhänvisningen skall vara så utformad att den registrerade skall kunna ta kontakt med källan för att där ta tillvara sina rättigheter enligt PuL. Den skall därför innehålla telefonnummer/och eller adress till källan.
18 §
Paragrafens första stycke anger att Skatteverket alltid skall ta ut avgift då uppgifter lämnas ut för kontrolländamål (punkten 5) eller urvalsändamål (punkterna 6 och 6 a).
12.3.4. Följdändringar
Av utredningens förslag följer att bestämmelsen i 11 § andra stycket förordningen (2003:1106) med instruktion för Skatteverket skall upphöra att gälla. Vidare måste regleringsbrevet för Skatteverket justeras.
Kommittédirektiv
En översyn av Statens personadressregister m.m
.
Dir. 2004:53
Beslut vid regeringssammanträde den 15 april 2004.
Sammanfattning av uppdraget
En särskild utredare får i uppdrag att föreslå hur såväl myndigheters som företags och andra organisationers behov av folkbokföringsuppgifter, som i dag hämtas från Statens personadressregister (SPAR), skall tillgodoses i framtiden.
Utredaren skall pröva om det finns förutsättningar för att samordna SPAR med den behandling av personuppgifter som sker inom Skatteverkets folkbokföringsverksamhet.
Utredaren skall förbereda en övergång av värdmyndighetsskapet för Statens personadressregisternämnd (SPAR-nämnden) från Statskontoret till Skatteverket fr.o.m. den 1 januari 2005.
Bakgrund
Befolkningsregister
Staten är huvudman för ett flertal helt eller delvis automatiserade befolkningsregister. Ett par register har till syfte att förse myndigheter, företag och andra organisationer med personuppgifter i automatiserad form. De används bl.a. för aktualisering, komplettering och kontroll av personuppgifter samt för urvalsdragningar.
Uppbyggnaden av SPAR
Riksdagen fattade beslut om att inrätta SPAR 1976 (prop. 1976/77:27, KU 1976/77:21, rskr. 1976/77:87). Inrättandet av ett centralt, statligt personregister ansågs från integritetssynpunkt bättre än dåtidens många privata och offentliga befolkningsregister. I beslutet gjordes Datacentralen för administrativ databehandling (DAFA) totalansvarig för SPAR.
DAFA ombildades 1986 till ett statlig ägt bolag, dataserviceföretaget DAFA DATA AB (prop. 1984/85:225, bet. 1985/86:FiU4, rskr.1985/86:91). I propositionen föreslogs att myndigheten SPAR-nämnden skulle inrättas och ges i uppgift att vara huvudman och ansvarig för registrets innehåll och användning. I propositionen angavs flera skäl till varför huvudmannaskapet för SPAR borde läggas på en myndighet. Av särskild vikt framhölls att den medborgerliga insynen på så sätt skulle kunna upprätthållas. Vidare angavs att SPAR hade inrättats bl.a. för att det skulle finnas ett allmänt register med ett från integritetssynpunkt acceptabelt innehåll. Dataserviceföretaget gavs i uppdrag att sköta teknisk drift och marknadsföring av SPAR. Rollfördelningen mellan nämnden och dataserviceföretaget behandlades endast översiktligt i propositionen, där det också angavs att närmare villkor för nämndens insyn i verksamheten skulle regleras i avtal mellan staten och företaget.
Staten tecknade 1986 avtal med DAFA DATA AB, som 1993 såldes till Sema Group Infodata AB och i dag ägs av Litorina, Ratos och Svensk Biblioteksförening.
Tidigare ställningstaganden till SPAR
Frågor om SPAR har utretts i många sammanhang. Aviseringsutredningen föreslog i betänkandet Folkbokföringsuppgifterna i samhället (SOU 1995:44) att personbanden, riksaviseringsbandet och SPAR skulle avskaffas och ersättas med ett centralt register för avisering och tillhandahållande av folkbokföringsuppgifter.
I propositionen Avisering av folkbokföringsuppgifter (1994/95:201) ansåg regeringen i likhet med utredningen att det från integritetsskyddssynpunkt fanns skäl som talade för att det skulle finnas endast ett register för tillhandahållande av folkbokföringsuppgifter. Flera remissinstanser var dock kritiska till förslaget att
överföra SPAR-nämndens verksamhet till Riksskatteverket. Ett sådant överförande ansågs också på nytt resa de frågeställningar som var aktuella vid tillkomsten av SPAR-nämnden. I propositionen konstaterades att regeringen inte var beredd att ta ställning till om ett nytt aviseringsregister även skulle omfatta SPAR:s funktioner. Även frågan om hur urval för direktreklamsändamål skulle lösas behövde enligt regeringens mening övervägas ytterligare.
SPAR granskades senare inom ramen för Grunddatabasutredningen, som i sitt betänkande Grunddata – i samhällets tjänst (SOU 1997:146) ansåg att SPAR borde finnas kvar för ett särskilt motiverat offentligt åtagande att tillhandahålla uppgifter åt kundregister hos företagen och tillgodose direktreklambranschens behov av en adresskälla för urvalsdragningar.
I den förvaltningspolitiska propositionen Statlig förvaltning i medborgarnas tjänst (prop. 1997/98:136) föreslog regeringen att SPAR skall finnas kvar tills vidare eftersom det fyller en viktig samhällsfunktion. Regeringen framhöll att SPAR fortfarande har en stor betydelse för såväl privata aktörer som myndigheter och konstaterade att det bör vara ett offentligt åtagande att hålla register med hög kvalitet för att tillgodose behovet av kontroll av personuppgifter. Regeringen anförde vidare: Verksamheten med SPAR fungerar väl och tillgodoser de behov som finns framför allt på den privata marknaden. Samtidigt har den tekniska utvecklingen medfört att det i dag finns möjlighet att upprätta privata register över befolkningen. Det var enligt regeringens uppfattning från integritetssynpunkt inte önskvärt med ett flertal personregister över befolkningen. En fungerande verksamhet med SPAR kan förhindra uppbyggnaden av sådana register. Den privata marknaden har också ett stort behov av att genom urvalsdragningar få ut personuppgifter. För små och medelstora företag är direkt marknadsföring ofta den enda praktiskt tillgängliga marknadsföringskanalen. SPAR har också stor betydelse för många myndigheter. Regeringen framhöll sin avsikt att i anslutning till det förestående arbetet med en IT-anpassning av handlingsoffentligheten också förebereda ett slutligt ställningstagande till registret. Slutligen konstaterades att förändringar av SPAR inte bör genomföras innan behovet av åtkomst till informationen helt kan tillgodoses på annat sätt.
SPAR i dag
Av förordningen (1998:1235) med instruktion för Statens personadressregisternämnd framgår att nämnden är huvudman för SPAR. Registret är sedan den 1 juli 1998 reglerat genom lagen (1998:527) om det statliga personadressregistret och förordningen (1998:1234) om det statliga personadressregistret. Registret, som får användas av såväl myndigheter som enskilda, har två ändamål:
- aktualisering, komplettering och kontroll av personuppgifter (kontrolländamålet), samt
- uttag av uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsdragningsändamålet).
Nämnden är personuppgiftsansvarig för registret och driften får vara förlagd till en servicebyrå. Registret har stor betydelse för många myndigheter, företag och andra organisationer och är i praktiken den enda personadressregisterkällan för direktreklamsföretag. Uppgifterna i SPAR hämtas från Skatteverkets folkbokföringsdatabas och beskattningsdatabas. Genom SPAR finns en författningsreglerad möjlighet för företag och andra organisationer att få del av personuppgifter i elektronisk form.
Genom avisering från SPAR uppdateras såväl register hos vissa myndigheter som kundregistren hos nästan samtliga stora privata organisationer i landet. Ett adressregister som inte uppdateras, beräknas förlora i aktualitet med 20 procent per år genom att de registrerade byter namn, flyttar eller avlider. Det är således stora kostnadsbesparingar som kan göras genom att försändelser i form av t.ex. fakturor och kontoutdrag går till rätt adress.
Statskontoret är för närvarande värdmyndighet för SPARnämnden och svarar för kanslistödet. Det finns en kanslichef för SPAR-nämnden, som är anställd av Statskontoret, och nämndens verksamhet finansieras via Statskontorets anslag. Användning av uppgifter ur SPAR är avgiftsbelagd. Värdmyndighetsskapet för SPAR-nämnden bör, i avvaktan på regeringens ställningstagande till hur myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter från SPAR skall tillgodoses i framtiden, föras över från Statskontoret till Skatteverket.
Behovet av en översyn
Staten är i dag huvudman för två befolkningsregister för helt eller delvis automatiserat utlämnade av personuppgifter. Registren används bl.a. för aktualisering, komplettering och kontroll av personuppgifter samt för urvalsdragningar.
Det ena registret är folkbokföringsdatabasen, som drivs av Skatteverket och främst är avsedd att användas av myndigheter. Regeringen kan dock meddela föreskrifter om att uppgifter får lämnas ut till enskild. I den förvaltningspolitiska propositionen (prop. 1997/98:136, s. 75 och 76.) anges att det främsta skälet till att det skall finnas en möjlighet att lämna ut uppgifter till en enskild är att Svenska kyrkan även efter den 1 januari 2000 skall kunna använda sig av registret. I övriga fall skall prövningen enligt motiven vara restriktiv. Endast sådana fall där behovet är utrett och inte kan tillgodoses inom ramen för SPAR bör överhuvudtaget komma i fråga. Regeringen angav vidare att denna fråga inte helt kan friskrivas från framtida överväganden beträffande SPAR.
Det andra registret är SPAR. När aviseringsregistret (numera folkbokföringsdatabasen) inrättades var syftet att samtliga myndigheter skulle hämta personuppgifter härifrån. Det är dock fortfarande så att många myndigheter hämtar uppgifter från SPAR.
Regeringen har tidigare gjort bedömningen att den verksamhet som bedrivs genom SPAR inte har kunnat överföras till Skatteverket. Inte heller är de frågor som restes i den förvaltningspolitiska propositionen för att regeringen skulle kunna ta slutlig ställning till SPAR lösta. Det har emellertid förflutit många år sedan frågan om framtiden för SPAR prövades senast. Den snabba IT-utvecklingen och den ökade användningen av elektronisk information gör att det nu finns anledning att på nytt pröva förutsättningarna för att samordna funktionen med SPAR med den automatiserade behandling av uppgifter som sker i Skatteverkets folkbokföringsverksamhet.
Det finns också andra frågor som aktualiserar en översyn av SPAR. Två frågor är av särskild betydelse för SPAR:s framtid. Den ena är frågan om en IT-anpassning av offentlighetsprincipen. Regeringen har i propositionen Offentlighetsprincipen och informationstekniken (prop. 2001/02:70) meddelat sin avsikt att återkomma i frågan om hur en reglering av skyldigheten att lämna ut allmänna handlingar i elektronisk form bör utformas. Den andra är genomförandet av EG-direktivet Public Sector Information, det
s.k. PSI-direktivet, som syftar till att möjliggöra vidareutnyttjande av information från den offentliga sektorn (2003/98/EG).
Uppdraget
En särskild utredare tillkallas med uppdrag att föreslå hur såväl myndigheters som företags och andra organisationers behov av folkbokföringsuppgifter, som i dag hämtas från SPAR, skall tillgodoses i framtiden.
Utredaren skall pröva om en samordning kan ske genom att funktionen med SPAR integreras med den behandling av personuppgifter som sker i folkbokföringsdatabasen och beskattningsdatabasen hos Skatteverket eller om SPAR fortsatt skall vara ett eget register med en särskild funktion. Om verksamheten med SPAR föreslås överföras till Skatteverket, skall utredaren bedöma om behovet av en särskild huvudman för driften ändå kvarstår.
Utredaren skall särskilt beakta polisens behov av tillgång till de personuppgifter som i dag hämtas från SPAR. SPAR innehåller också uppgifter från beskattningsdatabasen. De får endast lämnas ut till polismyndigheter och Tullverket. Polismyndigheterna och Tullverket måste även i framtiden ha tillgång till dessa uppgifter. Utredaren skall också beakta företags och andra organisationers behov av tillgång till korrekta personuppgifter i elektronisk form.
Det är av särskild vikt att utredaren beaktar integritets- och säkerhetsaspekter samt frågor om sekretess och skydd för personuppgifter. Utredaren skall också överväga om det behöver vidtas några åtgärder, t.ex. i form av författningsändringar eller genom annan form av insyn och kontroll för att lagstiftningen skall uppnå sitt syfte att upprätthålla ett effektivt sätt för att täcka behovet av korrekta personuppgifter och samtidigt värna om den enskildes personliga integritet. Sveriges förpliktelser enligt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter skall beaktas.
Utredaren skall särskilt följa utvecklingen av frågorna om en ITanpassning av offentlighetsprincipen och genomförandet av det s.k. PSI-direktivet samt göra en bedömning av hur de påverkar framtiden för SPAR.
Utredaren skall, i avvaktan på regeringens ställningstagande till hur myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter från SPAR skall tillgodoses i framtiden, förbereda en övergång av värdmyndighetsskapet för SPARnämnden från Statskontoret till Skatteverket fr.o.m. den 1 januari 2005. Utredaren skall ta fram förslag till de författnings- och regleringsbrevsändringar som då blir nödvändiga. Utredaren skall hålla berörda arbetstagarorganisationer informerade om arbetet och ge dem tillfälle att framföra synpunkter.
Den nya organisationen för SPAR-nämnden i Skatteverket skall bemannas med beaktande av reglerna om övergång av verksamhet i 6 b § lagen (1982:80) om anställningsskydd.
Utredaren skall i övrigt analysera samordningens författningsmässiga, ekonomiska och tekniska konsekvenser samt lämna förslag till konsekvensändringar i regelverk, finansieringsformer och teknik. I uppdraget ingår även att bedöma kostnaderna för den framtida driften och hur detta skall finansieras.
Utredaren skall samråda med SPAR-nämnden, Skatteverket, Tullverket, Riksarkivet, Statskontoret, Rikspolisstyrelsen och Datainspektionen samt med Näringslivets regelnämnd när det gäller redovisning av förslagets konsekvenser för små företag. Utredaren skall också informera berörda näringslivsorganisationer om arbetets fortskridande.
Uppdraget skall redovisas senast den 1 maj 2005. Uppdraget skall dock i den del som rör överförande av värdmyndighetsskapet för SPAR-nämnden från Statskontoret till Skatteverket redovisas senast den 1 juli 2004.
(Finansdepartementet)
Kommittédirektiv
Tilläggsdirektiv till utredningen En översyn av Statens personadressregister m.m
.
(Fi 2004:06)
Dir. 2005:28
Beslut vid regeringssammanträde den 3 mars 2005
Förlängd tid för uppdraget
Med stöd av regeringens bemyndigande den 15 april 2004 (dir. 2004:53) tillkallade det statsråd som ansvarade för allmänna frågor om statsförvaltningen en särskild utredare med uppdrag att utreda hur såväl myndigheters som företags och andra organisationers behov av folkbokföringsuppgifter, som i dag hämtas från Statens personadressregister (SPAR), skall tillgodoses i framtiden. I uppdraget ingick även att förbereda en övergång av värdmyndighetsskapet för Statens personadressregisternämnd (SPARnämnden) från Statskontoret till Skatteverket fr.o.m. den 1 januari 2005. Enligt direktiven skall utredningen redovisa sitt uppdrag senast den 1 maj 2005. Den del av uppdraget som rör överförande av värdmyndighetsskapet för SPAR-nämnden skulle dock redovisas senast den 1 juli 2004.
Utredningen har den 1 juli 2004 redovisat sist nämnda del av uppdraget i promemorian Skatteverket blir ny värdmyndighet för SPAR-nämnden (dnr Fi2004/3072).
Tiden för redovisning av uppdraget i övrigt förlängs, vilket innebär att utredningen skall redovisa sitt uppdrag senast den 1 juli 2005.
(Finansdepartementet)
Förord till bilaga 3
SPAR-utredningen kunde på ett tidigt stadium konstatera att upphandlingsfrågorna måste få en lösning oavsett om SPAR och SPAR-nämnden skulle vara kvar eller om motsvarande funktioner skulle föras över till Skatteverket. Mot den bakgrunden fann utredningen det vara angeläget att utföra en särskild upphandlingsstudie.
Uppdraget att genomföra studien gick till konsulten Nils Qwerin vid Vagnslidret AB. Studien slutredovisades i januari 2005, dvs. innan utredningen formulerat sina överväganden och förslag. Vidare har InfoData AB i juni 2005 lämnat nya volymuppgifter. Det innebär att studien utgår från förutsättningar som delvis förändrats. Studien har emellertid utgjort ett viktigt underlag för utredningens diskussioner om hur en framtida upphandling skulle kunna gå till och den beskrivna upphandlingsmetodiken är generellt tillämpbar. Utredningen har därför funnit det värdefullt att i sin slutrapport redovisa studien och att låta den ingå som en bilaga till utredningens eget betänkande.
Stockholm den 1 juli 2005
Alf Nilsson
/Kerstin Ekstedt Lundegard
Upphandling av SPAR-tjänster
av Vagnslidret AB 2005-01-25
Sammanfattning
Denna promemoria beskriver hur en upphandling av “SPARtjänster” kan utformas. Promemorian tar inte ställning till vilket försörjningsalternativ som är lämpligast. Beskrivningen belyser ett alternativ där ett begränsat antal leverantörer tillhandahåller personuppgifter som marknaden efterfrågar genom att vidareutnyttja personuppgifter som tillhandahålls av staten. Leverantörerna svarar således för marknadsföring och försäljning av personuppgifter till kunder och tar den ekonomiska risken. Detta motsvarar inriktningen i det så kallade PSI-direktivet om vidareutnyttjande av information från den offentliga sektorn. Den beskrivna upphandlingen är dock tillämplig även för andra försörjningsalternativ.
Upphandlingen föreslås utformas utifrån följande utgångspunkter:
- Kunder ska – inom ramen för ett tydligt regelverk – kunna få tillgång till personuppgifter via ett brett utbud av tjänster med hög servicenivå.
- Den enskildes integritet ska värnas genom att tydliga krav ställs på en mycket säker hantering av personuppgifterna hos leverantörerna och att leverantörernas hantering följs upp.
- Personuppgifter ska kunna tillhandahållas av flera leverantörer.
- Omställningen för befintliga kunder ska vara enkel.
- Statens kostnader för att tillhandahålla personuppgifterna inklusive. kostnaderna för kontroll och uppföljning av verksamheten ska täckas av avgifter från leverantörerna.
Tjänsterna bör kunna användas av såväl myndigheter och offentliga organisationer som privata företag.
Det finns idag en väl fungerande leverantör med ett brett tjänsteutbud och med nöjda kunder. Det handlar således inte om att etablera en helt ny marknad eller helt nya tjänster. Inledningsvis handlar det snarare om att flera leverantörer ska dela på den marknad som den nuvarande leverantören försörjer.
Det är tveksamt om det på kort sikt finns en stark tillväxt i volymer (antal kunder, antal transaktioner m.m.). På längre sikt finns sannolikt ett ökat behov av kontroll av personuppgifter i samband med e-tjänster, e-handel m.m.
Statens kostnader för att tillhandahålla personuppgifterna, urvalsdragningar, uppföljning, kontroll m.m. ska täckas av avgifter
från leverantörerna. Detta kan ske antingen genom att de valda leverantörerna erlägger en fast årlig avgift eller genom att de betalar i förhållande till utnyttjandet genom avgifter per transaktion. Staten ger inga garantier om volymer etc.
Priserna för olika tjänster gentemot kunderna bör inte regleras i upphandlingen. Leverantören bör ha frihet att själv sätta dessa priser och även att förändra priserna under avtalsperioden. Konkurrensen mellan de valda leverantörerna förutsätts bidra till att en för kunderna godtagbar prissättning uppnås.
Upphandlingen bör genomföras som en förhandlad upphandling. Avtalstiden bör vara 4 år med möjlighet till förlängning med två år. Antalet leverantörer bör vara högst tre eller fyra.
Nuvarande kunder till SPAR måste informeras och involveras i upphandlingen för att säkerställa att tjänsterna får en sådan utformning att de tillgodoser marknadens behov.
En särskild beställarfunktion bör inrättas. Funktionen bör svara för uppföljning av att leverantörerna hanterar personinformation på ett säkert och rättsligt korrekt sätt. Funktionen bör även följa upp servicekvalitet, kundnöjdhet m.m.
1. Bakgrund
1.1 Pågående utredning
Den pågående översynen av Statens personadressadressregister (SPAR) ska bl.a. föreslå hur myndigheters, företags och andra organisationers behov av personuppgifter ska tillgodoses i framtiden. Utredningen ska även pröva förutsättningarna att samordna SPAR med den behandling av personuppgifter som sker inom Skatteverkets folkbokföringsverksamhet. Värdmyndighetsansvaret för SPAR-nämnden överförs fr.o.m. 2005 från Statskontoret till Skatteverket.
Denna PM syftar till att vara ett underlag för utredningens övervägande om hur en framtida upphandling av “SPAR-tjänster” kan utformas.
För att förenkla beskrivningen används beteckningen Nämnden för den organisation som har det framtida ansvaret för SPAR.
1.2 Försörjningsalternativ
Den framtida försörjningen av personuppgifter kan organiseras på flera olika sätt. Resonemangen i det följande utgår i från att det finns tre huvudaktörer med olika roller.
Skatteverket, som förser registerhållare med personinformation genom utdrag ur folkbokförings- och beskattningsregister. Utdragen omfattar den information som får förmedlas enligt gällande lagstiftning.
Registerhållare, som ansvarar för och driver det register som innehåller de personuppgifter som får förmedlas. Registerhållaren tillhandahåller personuppgifterna till informationsförmedlare.
Informationsförmedlare förmedlar och säljer informationen till kunder eller till andra informationsförmedlare. Med kunder avses de användare som använder personuppgifterna i sina egna verksamheter.
För den framtida försörjningen av personuppgifter finns två huvudalternativ.
1. Nämnden är registerhållare och informationsförmedlare. Det innebär att Nämnden har den dubbla rollen att både ansvara för registret och försäljning av uppgifter ur registret till kunder. För detta behövs tekniska och organisatoriska funktioner (informationssystem, försäljning, kundsupport m.m.) som drivs i egen regi av Nämnden eller av upphandlad(e) leverantör(er), som sköter uppgiften för Nämndens räkning. Nämnden har ett direkt och tydligt kundansvar och fastställer de priser som kunder betalar för personuppgifterna.
2. Nämndens uppgift begränsas till att vara registerhållare. Rollen som informationsförmedlare tilldelas ett antal tjänsteleverantörer som vidareutnyttjar de personuppgifter som tillhandahålls av Nämnden. Detta motsvarar den inriktning som beskrivs i det så kallade PSI-direktivet (Europaparlamentets och rådet direktiv 2003/98/EG om vidareutnyttjande av information från den offentliga sektorn). Tjänsteleverantörerna svarar för all marknadsföring och försäljning och bestämmer själva priserna för personuppgifterna. I detta alternativ finns det två olika lösningar. 2 a. Alla intresserade leverantörer, som uppfyller lämpliga kvalifikationer, ges möjlighet att vidareförmedla person-
uppgifter genom någon form av licensiering eller tilldelning av tjänstekoncessioner. 2 b. Ett begränsat antal leverantörer utväljs för att vidareförmedla personuppgifterna.
Det kan också finnas mellanalternativ, som innebär kombinationer av alternativen 2 a och 2 b. Ett sådant alternativ kan vara att vissa tjänster, t.ex. tillgång till folkbokföringsuppgifter, erbjuds till alla intresserade leverantörer medan andra tjänster, så kallade urvalsdragningar enbart erbjuds till ett begränsat antal leverantörer.
I alternativ 2 regleras ansvarsfördelning, ekonomiska villkor m.m. mellan leverantörerna och Nämnden i avtal. Nämnden följer kontinuerligt upp att ställda tekniska, rättsliga och ekonomiska krav uppfylls av leverantörerna och att tillfredsställande servicenivåer erbjuds kunderna. En beställarfunktion finns hos Nämnden för detta ändamål.
1.3 Upphandlingsalternativ
Denna PM diskuterar inte vilket försörjningsalternativ, som bör väljas, utan syftar enbart till att vara ett underlag för den pågående utredningens övervägande om hur en framtida upphandling av “SPAR-tjänster” kan utformas.
Alla försörjningsalternativen omfattar upphandlingar men med olika inriktning.
Alternativ 1 innebär i princip två upphandlingar; dels upphandling av den tekniska driften av registret och dels upphandling av informationsförmedlare. Detta motsvarar i princip dagens lösning även om det för närvarande finns endast en informationsförmedlare. Det finns dock starka skäl att i en kommande upphandling tydligt skilja på de olika rollerna och genomföra två separata upphandlingar.
Alternativ 2 a innebär endast upphandling av driften av registret. Ingen upphandling genomförs för att välja de leverantörer som ska ha rollen som informationsförmedlare. Intresserade leverantörer måste i stället prövas mot i förväg uppställda kvalifikationer. Alla leverantörer som uppfyller kvalifikationerna bör ges möjlighet att uppträda som informationsförmedlare.
Alternativ 2 b innebär upphandling av såväl driften av registret som upphandling av ett begränsat antal informationsförmedlare.
De leverantörer som bäst uppfyller ställda krav enligt utvärderingskriterier, som definierats i värderingsmodell, utväljs som informationsförmedlare.
För enkelhets skull diskuteras i det följande främst hur upphandlingen av informationsförmedlare i alternativ 2 b kan genomföras. Diskussionen är emellertid även tillämplig för de övriga alternativen. Följande aspekter diskuteras:
- Upphandlingens utgångspunkter, innehåll och intressenter.
- Affärsmodell.
- Upphandlingens genomförande.
- Uppföljning efter upphandlingen.
- Vissa krav på säkerhet m.m.
Det kan i och för sig diskuteras om det är nödvändigt att genomföra en upphandling för att välja leverantörer för rollen som informationsförmedlare även i detta alternativ. Ett alternativt sätt kan vara att betrakta valet av leverantörer som tilldelning av en tjänstekoncession. Enligt kommissionens tolkningsmeddelande definieras en sådan koncession av att “tjänsteleverantören tar riskerna i samband med den tillhandahållna tjänsten (etablering och nyttjande) och tar ut ersättning av användaren, t.ex. via avgifter i vilken form det än vara må.” Tjänstekoncessioner kännetecknas, liksom byggkoncessioner, av att ansvaret för nyttjandet överförs på koncessionshavaren.
Enligt Regeringskansliets faktapromemoria 2003/04:FPM109 om Grönbok om offentlig-privata partnerskap och EG-rätten om offentlig upphandling och koncessioner omfattas koncessioner av tjänster inte av några regler i direktiven om offentlig upphandling. I de nya direktiven på området offentlig upphandling (2004/18/EG) och upphandling på områdena vatten, energi, transporter och posttjänster (2004/17/EG) undantas uttryckligen tjänstekoncessioner. Enligt EG-domstolens praxis omfattas tjänstekoncessioner av principerna om insyn, likabehandling, proportionalitet och ömsesidigt erkännande.
Kommissionen anser att det system som följer av fördragets bestämmelser kan innefattas i följande skyldigheter;
- fastställande av bestämmelser för val av privat partner,
- offentliggörande av koncessionens utfärdande och reglerna för urval,
- upprätthållande av konkurrens mellan potentiella motparter,
- iakttagande av principen om likabehandling, samt
- upphandling på grundval av objektiva icke-diskriminerande kriterier.
Utöver reglerna i lagen om offentlig upphandling (LOU) finns det för närvarande inga särskilda svenska bestämmelser som reglerar tilldelningen av tjänstekoncessioner. För att fullfölja angivna skyldigheter är det därför lämpligt att genomföra en upphandling enligt LOU för att välja leverantörer.
2. Upphandlingens utgångspunkter, innehåll och intressenter
2.1 Några förutsättningar
Ett förändrat statligt ansvar
Nuvarande ordning innebär att staten genom SPAR-nämnden tillhandahåller personuppgifter till företag, organisationer, myndigheter m.fl. via en servicebyrå (InfoData AB). Staten är ansvarig för SPAR och har därmed ett ansvar gentemot kunderna för tjänsternas utformning, servicekvalitet m.m. även om själva driften, kundkontakter, försäljning m.m. sköts av servicebyrån.
I det följande antas att staten i framtiden tillhandahåller personuppgifter till ett antal valda leverantörer som i sin tur vidareutnyttjar uppgifterna gentemot sina kunder. Nämnden har då inget direkt kundansvar och ingen direkt kundkontakt. Nämnden har emellertid ansvar för att kontinuerligt följa upp servicekvalitet och kundnöjdhet.
Användningen av personuppgifterna regleras genom lagstiftning. För att personuppgifterna skall lämnas ut utan de registrerades samtycke krävs stöd i en särskild registerlag (jämför nuvarande SPAR-lagen och lagen om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet).
Det finns skäl att i avtal mellan Nämnden och leverantörerna därutöver reglera vissa förhållanden. Således bör Nämndens insyn i
leverantörernas hantering och försäljning av personuppgifter och möjligheter till sanktioner vid felaktigheter i hanteringen regleras i avtal med leverantörerna.
Polisens Person- och adressökningssystem
Polisens Person- och adressökningssystem (PPA), som används av polisen och tullen, är nära kopplat till SPAR och använder SPAR som informationskälla. Den framtida utformningen av PPA förutsätts hanteras i särskild ordning och berörs inte i denna PM.
2.2 Upphandlingens utgångspunkter
Det är viktigt att lägga fast utgångspunkterna för upphandlingen. Dessa utgör en grund för de krav som ska ställas i upphandlingen avseende leverantörens organisation, förmåga till support, agerande gentemot kunder, teknisk lösning, ekonomiska och juridiska villkor m.m. Det finns två perspektiv att ta hänsyn till.
Staten har intresse av att försörjningen av personuppgifter, som är en viktig samhällsfunktion, sker på ett effektivt sätt och till låg kostnad för användarna samtidigt som den enskildes integritet värnas. Regeringen har även framhållit vikten av att beakta PSIdirektivet som syftar till att möjliggöra vidareutnyttjande av information från den offentliga sektorn.
Nuvarande kunder har berättigade krav på att den framtida tillgången till personuppgifter blir billig, att nuvarande servicenivå inte försämras och att kostsamma omställningar av egna system minimeras vid förändringar av nuvarande SPAR. Detta gäller främst de kunder som använder personuppgifterna för kontroll och uppdatering (se nedan) i de egna affärssystemen.
Upphandlingen kan förslagsvis utformas utifrån följande utgångspunkter:
- Kunder ska – inom ramen för ett tydligt regelverk – kunna få tillgång till personuppgifter via ett brett utbud av tjänster med hög servicenivå.
- Den enskildes integritet ska värnas genom att tydliga krav ställs på en mycket säker hantering av personuppgifterna hos tjänsteleverantörerna. Kraven bör omfatta både krav på mycket hög IT-säkerhet (skydd mot obehörig åtkomst, förvanskning
m.m.) och tydliga regler och villkor om vilka uppgifter som får förmedlas till kunder. Nämnden ska i efterhand följa upp att personuppgifter endast förmedlas enligt regelverket.
- Personuppgifter ska kunna tillhandhållas av flera leverantörer.
- Omställningen för befintliga kunder ska vara enkel.
- Statens kostnader för att tillhandahålla personuppgifterna inklusive kostnaderna för kontroll och uppföljning av verksamheten ska täckas av avgifter från tjänsteleverantörerna (enligt avgiftsförordningen).
2.3 Leverantörernas tillgång till personuppgifter
En vikigt principiell fråga är om de informationsmängder som erfordras för SPAR-tjänsterna, ska finnas tillgängliga hos de utvalda leverantörerna i egna databaser eller om informationen ska hämtas i varje enskilt fall från Nämnden. Det krävs en djupare analys för att bedöma för- och nackdelar med dessa alternativ.
En preliminär bedömning är emellertid att leverantören bör självständigt förfoga över de databaser (främst utdrag ur folkbokföringsregistren), som behövs för kontroll av personuppgifter. För detta talar leverantörens behov av att kunna integrera informationen i användarnas affärssystem samt att anpassa tjänster, informationsinnehåll, format m.m. och kommunikationssätt till olika kunders önskemål.
Ett särskilt problem är att kontroll av personuppgifter, som är en viktig del i kunders affärssystem, bygger på effektiv användning av så kallade namnsökningssystem för att identifiera en person. Namnsökningssystemen förutsätter en nära anpassning i form av indexfiler, hjälpfiler m.m. till de sökmotorer som leverantören använder. Filerna organiseras så att sökmotorn arbetar så snabbt och effektivt som möjligt. Filerna måste uppdateras med samma frekvens som databasen och måste omfatta databasens hela population.
Det är inte nödvändigt att namnsökningssystemet innehåller alla uppgifter som finns i databasen. Fullständiga uppgifter kan hämtas ut när en person är identifierad. Däremot måste namnsökningen innehålla sökkriterierna för alla personer i databasen. De kriterier som man söker på och som hjälper till att identifiera en person är en eller flera av uppgifterna namn, adress och ålder (födelsetid). Hjälpfilerna blir därmed i lagens mening ett heltäckande person-
register även om t.ex. personnumret ersätts med ett löpnummer som pekar på de fullständiga uppgifterna i själva databasen.
Om sökmöjligheterna ska kunna utvecklas under konkurrens med t.ex. bättre fonetisk och/eller trunkerad sökning, så bör leverantörerna tillåtas att bygga egna söksystem. Detta kräver då tillgång till så mycket uppgifter att söksystemet i sig blir ett heltäckande personregister. Det skulle bara vara en kosmetisk åtgärd att t.ex. efter en sökning skicka en identitet i form av ett löpnummer eller liknande till Skatteverket för att få den fullständiga personbilden.
Det finns således faktorer som talar för att leverantörerna tillåts att skapa egna databaser med den information som behövs för kontroll av personuppgifter. Alternativet att informationen hämtas i varje enskilt fall ställer stora krav på funktionalitet, servicenivå m.m. och på löpande utvecklingsinsatser i Nämndens system.
När det gäller den information som behövs för urvalsdragningarna för direktreklam är förhållandet likartat. Dessa informationsmängder innehåller integritetskänslig information om individers ekonomiska förhållanden. Tillgång till informationen i egna register underlättar väsentligt leverantörens utveckling av tjänster för olika kunders behov och stärker förmågan att hålla en hög servicenivå. Detta måste dock vägas mot att krav på att spridningen av sådan information måste begränsas.
I det fall att även denna senare typ av information ska finnas tillgänglig hos leverantörer måste stränga villkor ställas på leverantörens sätt att skydda informationen. Villkoren bör omfatta krav på mycket säker och skyddad informationsöverföring mellan Nämnden och leverantörerna. Dessutom måste villkor ställas på hur leverantören hanterar informationen i den egna organisationen, dels hur informationen skyddas och dels vilka bearbetningar/urval som får göras av informationen.
De slutsatser som redovisa ovan är preliminära och bygger på en översiktlig analys. Frågan om informationsmängderna ska finnas tillgängliga hos leverantörerna i egna databaser eller om informationen ska hämtas i varje enskilt fall från Nämnden, bör utredas noggrannare innan en upphandling påbörjas.
2.4 Upphandlingens innehåll
Detaljerade krav på tjänsternas innehåll måste fastläggas senare i samverkan med dem som ska använda tjänsterna. På nuvarande stadium kan endast ett antal överordnade antagande göras. Det kan vara lämpligt att dela upp de tjänster som leverantörerna ska tillhandahålla i tre kategorier.
Grundtjänster, som omfattar de grundläggande tjänsterna som behövs för förmedlingen av personuppgifter. Grundtjänsterna bör vara obligatoriska att tillhandahålla. Exempel på grundtjänster är;
- direktåtkomst till personuppgifter för kontroll m.m.,
- uppdatering av personuppgifter hos olika kunder för kundregister m.m.,
- urvalsdragningar för direktreklam, marknadsundersökningar m.m.,
- enskildas registerutdrag (om sig själva enligt 26 § PuL),
- offentlighetsuttag.
Stödtjänster, som är konsulttjänster för att underlätta kunders användning av grundtjänsterna. Stödtjänsterna bör vara obligatoriska att tillhandahålla. Tänkbara stödtjänster är;
- kundtjänst för svar på frågor från allmänhet och kunder,
- rådgivning, utbildning m.m. till kunder avseende bl.a. de lagar som reglerar användning av personuppgifter,
- rådgivning, utbildning m.m. till kunder m.m. avseende hur grundtjänsterna kan användas i kundernas verksamhet,
- konsulttjänster omfattande förstudier, design och införande av grundtjänster inklusive anpassning av befintliga kunders system och rutiner,
- konsulttjänster avseende kommunikation mellan kundernas system och leverantören,
- konsulttjänster för integration mellan grundtjänsterna och kundernas affärssystem eller e-tjänster,
- stöd till systemadministratörer och utvecklare.
Tilläggstjänster, som avser olika typer av förädlingstjänster för att ge kunder större nytta av personuppgifterna. Tilläggstjänsterna bör inte vara obligatoriska och leverantörerna bör ges stor frihet att både utforma och föreslå olika tilläggstjänster inom de angivna områdena. Tänkbara tilläggstjänster är;
- kundregisteranalyser,
- avancerade metoder för urval, däribland “självbetjäningsmetoder”,
- informationsförmedling från andra register i offentlig förvaltning (statliga, kommunala, landstingskommunala),
- drift av kunders kundregister,
- “tvättning” av kunders kundregister,
- elektronisk distribution av material i samband med direktreklam,
- efterbehandling, t.ex. kuvertering och postinlämning m.m.,
- mottagning, hantering och analys av svar vid marknadsundersökningar.
Leverantören bör därutöver ha möjlighet att – efter överenskommelse med Nämnden – utveckla och introducera nya tilläggstjänster som ligger inom ramen för förfrågningsunderlaget.
2.5 Upphandlingens intressenter
Vem är kund
Kunderna till nuvarande SPAR finns inom såväl offentlig som privat verksamhet. Det gäller såväl direktåtkomst till folkbokföringsuppgifter för kontroll som uppdatering av folkbokföringsuppgifter hos olika kunder för kundregister. Det framgår av marknadsbedömningen i avsnitt 3. Många kunder i offentlig förvaltning använder även Skatteverkets folkbokföringsregister, Navet. Det finns knappast praktiska eller rättsliga möjligheter att i upphandlingen ändra detta förhållande genom att begränsa leverantörernas möjlighet att tillhandahålla tjänster åt olika kundkategorier. Det bör dock utredas i vilken omfattning som Navet, med nuvarande och kommande utformning, kommer att överlappa ett nytt SPAR både vad avser kunder och tillgängliga tjänster. En sådan utredning bör även klargöra vilka effektiviseringsmöjligheter – främst för Skatteverket – som är möjliga för att reducera överlappningen.
I det följande antas att såväl myndigheter, offentliga organisationer som privata företag m.m. kan utnyttja de tjänster som ett nytt SPAR kommer att erbjuda.
En viktig fråga i detta sammanhang är vem som ska avgöra vilka kunder som ska få tillgång till personuppgifter. I dag är det SPARnämnden som avgör detta genom att i varje enskilt fall besluta vem som skall få åtkomst till SPAR. Detta gäller med undantag för urval av namn och adress för direktreklam, där servicebyrån själv avgör.
3. Affärsmodell
3.1 Marknadsbedömning
Diskussionen om upphandlings- och affärsmodell måste ha sin utgångspunkt i en bedömning av hur marknaden ser ut avseende både efterfrågan och utbud.
Nuvarande användning av SPAR
SPAR används idag för tre typer av tjänster.
- On-linetjänster för kontroll av personuppgifter. Tjänsterna används t.ex. av företag för att identifiera och ta in nya kunder. De personuppgifter som kunden uppger kontrolleras mot SPAR innan kunden accepteras. Majoriteten av SPAR:s frekventa kunder on-line har integrerat SPAR i de egna affärssystemen.
- Aviseringar av förändringar i personuppgifter. Aviseringstjänster erbjuds som bruttoavisering (aviseringar av alla förändringar som skett under en viss period i SPAR) eller som uppdateringar på olika sätt av berörda kunders personregister. Via SPAR uppdateras bl.a. vissa myndigheters och många stora privata organisationers kundregister i landet.
- Urval för direktreklam, samhällsinformation, opinionsbildning och annan därmed jämförlig verksamhet. Tjänsterna omfattar även olika typer tjänster för att välja ut målgrupper för direktreklam utan att andra individuella uppgifter än namn och adress lämnas ut. SPAR tillhandahåller även slumpmässiga urval för marknads- och vetenskapliga undersökningar.
Antalet användare on-line uppgår till ca 100 000. Av dessa är 66 000 registrerade hos SPAR med personlig användaridentitet medan resten är anställda vid organisationer, t.ex. försäkringsbolag, som
har egna behörighetssystem. Av användarna on-line tillhör ca 50 % offentlig förvaltning. Användarna finns i ca 500 offentliga och drygt 700 privata verksamheter.
Drygt 300 organisationer, företag och några myndigheter med stora kunddatabaser uppdaterar sina register från SPAR regelbundet. Utöver detta uppdaterar mellan 50 och 100 organisationer och företag sina register intermittent. Aviseringarna ger uppskattningsvis upphov till 70 miljoner förändringstransaktioner per år.
Urvalsverksamheten är uppdelad på prenumerationer och engångsurval. SPAR har ca 300 fasta prenumerationskunder gällande t.ex. adresser till nyinflyttade till olika kommuner, jubilarer, nyblivna föräldrar m.m. Varje år skickas ca 400 miljoner direktadresserade försändelser till privatpersoner i Sverige. SPAR är källa till ca en fjärdedel dessa. Antalet kunder för engångsurval är ca 1 600.
Varje år tas 3–5 000 reklamspärrar emot från allmänheten och bekräftas i brev. Antalet registerutdrag som lämnas är 5–7 000 per år. Totalt finns 130 000 reklamspärrar i SPAR.
En genomsnittlig arbetsdag ställs ca 100 000 frågor on-line mot SPAR. Totalt genomförs årligen mer än 200 miljoner transaktioner mot SPAR, dvs. ca 1 miljon per arbetsdag. Den nuvarande verksamheten omsätter 200–300 miljoner kronor per år.
Bedömning av framtida efterfrågan och utbud
Användningen av nuvarande SPAR är betydande, både vad avser antalet kunder och antalet transaktioner. Driften av SPAR är en komplicerad uppgift som ställer stora krav på leverantören. Det finns endast ett begränsat antal leverantörer i Sverige som har erfarenhet av motsvarande driftuppdrag vad avser storlek, komplexitet m.m.
Reglerna som styr SPAR:s användning är omfattande. Utöver SPAR-lagen och SPAR-förordningen ger PuL ett ramverk som innebär avvägningar kring varje behandling av personuppgifter. Regler kring offentlighet och sekretess berör också verksamheten. Vidare krävs ingående kännedom om folkbokföringens regler och sätt att fungera. Personer som säljer personuppgifter måste ha en bred kunskap om reglerna och även känna till hur adresser behandlas även utanför folkbokföringen, t.ex. hos postföretag och teleoperatörer. Kunder och allmänheten ställer mycket frågor kring
detta. Leverantören måste således också ha goda kunskaper om de speciella krav som ställs vid förmedling av integritetskänslig information till en bred kundkrets.
Det finns idag en väl fungerande leverantör med ett brett tjänsteutbud och med nöjda kunder. Det handlar således inte om att etablera en helt ny marknad eller helt nya tjänster. Inledningsvis handlare det snarare om att flera leverantörer ska dela på den marknad som den nuvarande leverantören försörjer.
Det är tveksamt om det på kort sikt finns en stark tillväxt vad avser volymer (antal kunder, antal transaktioner m.m.). På längre sikt finns sannolikt ett ökat behov av kontroll av personuppgifter i samband med e-tjänster, e-handel m.m. Men en förändrad prisbild till följd av ökad konkurrens kan förändra läget. En tillväxtpotential kan även finnas i ett växande efterfrågetryck från utländska myndigheter och företag.
Den nuvarande leverantören har väsentligt bättre förutsättningar att delta i en upphandling genom sin kunskap om nuvarande tjänster, kunder m.m. än “nya” leverantörer. Det kan därför behövas särskilda åtgärder för att stimulera nya leverantörer till att delta i en upphandling. En första åtgärd kan vara att tidigt informera leverantörer om en kommande upphandling.
3.2 Affärsmodell
Affärsmodellen syftar till att klargöra ansvarsfördelningen och riskfördelningen mellan leverantören och Nämnden samt att lägga fast de grundläggande ekonomiska villkoren. Följande upplägg föreslås gälla:
- Nämnden upphandlar och tecknar avtal angående informationsförmedling med ett mindre antal leverantörer.
- Nämnden tillhandhåller personuppgifterna.
- Nämnden garanterar inte någon försäljningsvolym.
- Nämnden följer genom en beställarfunktion upp tjänsternas kvalitet och servicenivå.
- Nämnden följer upp att leverantörerna uppfyller ställda krav på att hantera personuppgifterna på ett säkert och rättsligt korrekt sätt.
- Leverantörerna svarar för marknadsföring och försäljning av personuppgifterna till kunder.
- Leverantörens prissättning för tjänsterna gentemot kunderna regleras inte.
- Leverantörerna tar den ekonomiska risken.
- Leverantörerna betalar en avgift för att få tillgång till personuppgifterna. Avgiften beräknas enligt avgiftsförordningen, dvs. avgiften ska täcka Nämndens kostnader för att tillhandahålla personuppgifterna inklusive kostnaderna för uppföljning av verksamheten.
Antal leverantörer och avtalslängd
LOU ger möjlighet att vid annonseringen ange hur många leverantörer som kommer att få avtal. Denna uppgift är av stort värde för leverantörerna och ofta avgörande när de bedömer sina förutsättningar och de ekonomiska riskerna att delta i upphandlingen.
Valet av hur många leverantörer som ska väljas är en avvägning mellan ett tillräckligt antal leverantörer för att få en tillfredställande konkurrens och marknadens storlek. Det framgår av bedömningen i avsnitt 3 att marknaden kan initialt uppskattas till 200–300 miljoner kronor per år. Leverantörerna måste bedöma sina utvecklings- och etableringskostnader i förhållande till detta. En preliminär bedömning med hänsyn till marknadens storlek och de investeringar som leverantörerna behöver göra är att det är lämpligt med ett begränsat antal leverantörer, sannolikt högst tre eller fyra.
En annan viktig faktor i affärsmodellen är hur länge avtalen ska gälla. Med hänsyn till att utvecklingen och etableringen av tjänsterna kräver stora investeringar är det motiverat med en lång avtalstid för att öka förutsättningarna för leverantörerna att återvinna sina investeringar. En preliminär bedömning är att avtalstiden bör vara fyra år med möjlighet till två års förlängning.
Nämnden bör dock ha möjlighet att häva avtalet om leverantören;
- är i konkurs eller likvidation, är under tvångsförvaltning eller är föremål för ackord eller tills vidare har inställt sina betalningar eller är underkastad näringsförbud,
- är föremål för ansökan om konkurs, tvångslikvidation, tvångsförvaltning, ackord eller liknande förfarande,
- är dömd för brott avseende yrkesutövningen enligt lagakraftvunnen dom,
- har gjort sig skyldig till allvarligt fel i yrkesutövningen, t.ex. att personuppgifter utlämnats i strid med gällande regler,
- inte har fullgjort sina åligganden avseende socialförsäkringsavgifter eller skatt,
- inte fullföljer sina åtaganden från det ingångna avtalet.
Framtida kompletteringar
Behovet av tillgång till personuppgifter kan komma att öka i takt med att kunder i näringsliv, offentlig förvaltning m.m. utvecklar nya e-tjänster med ökad kommunikation med privatpersoner, företag, myndigheter m.m.
Det kan mot den bakgrunden uppstå behov av kompletteringar av de tjänster som ingår i den gjorda upphandlingen. Sådana kompletteringar förutsätts främst röra nya tilläggstjänster och ska regleras genom särskilda avtal.
Såväl Nämnden som leverantören bör således ha möjlighet att under avtalsperioden ta upp förhandlingar om kompletteringar. Förutsättningen är att kompletteringarna har ett direkt samband med de tjänster som upphandlas och att de faller inom ramen för de områden för tilläggstjänster som anges i förfrågningsunderlaget.
Kontrollstation
Avtalen föreslås ha en giltighetstid på fyra år. Både marknaden, tekniska lösningar och användarnas behov kommer att utvecklas och förändras under avtalsperioden. Mot denna bakgrund bör avtalen innehålla en så kallad kontrollstation efter två år. Kontrollstationen innebär att avtalsparterna gör en gemensam bedömning av den teknik- och marknadsutveckling som då föreligger. Parterna kan med ledning av dessa bedömningar överenskomma och teckna tilläggsavtal om förändringar för den återstående avtalsperioden.
Användning av återförsäljare
I den nuvarande verksamheten svarar återförsäljare till InfoData AB för den övervägande delen av försäljning av urvalsdragningar. Detta motiveras främst av att återförsäljarna finns närmare kunderna och har god kunskap om kundernas behov.
I en kommande upphandling bör krav ställas på att eventuella återförsäljare ska uppfylla i princip samma krav som leverantören på såväl grundläggande IT-säkerhet som de rättsliga kraven vid hantering av personuppgifter. Leverantören bör vidare svara för återförsäljarna på samma sätt som för sin egen verksamhet.
3.3 Finansiering och prissättning
En av utgångspunkterna för upphandlingen är att statens kostnader för att tillhandahålla personuppgifterna, urvalsdragningar, uppföljning, kontroll m.m. ska täckas av avgifter från tjänsteleverantörerna. Detta kan ske antingen genom att de valda leverantörerna erlägger en fast årlig avgift eller genom att de betalar i förhållande till utnyttjandet. I det senare fallet kan avgiften tas ut som pris per transaktion eller som en procentuell del av leverantörens omsättning för tjänsterna.
Det kan också finnas blandalternativ som innebär att avgiften består av en fast del, som ger tillgång till personuppgifterna, och en rörlig del som är beroende av utnyttjandet.
Alternativet med avgift baserad på utnyttjandet minskar den ekonomiska risken för leverantörerna och kan bidra till att fler leverantörer blir intresserade att delta i upphandlingen.
När det gäller prissättningen för olika tjänster gentemot kunderna finns det inte skäl att reglera denna i upphandlingen. Leverantören bör ha frihet att själv sätta dessa priser och även att förändra priserna under avtalsperioden. Konkurrensen mellan de valda leverantörerna förutsätts bidra till att en för användarna godtagbar prissättning uppnås.
4. Upphandlingens genomförande
4.1 Upphandlingsform
LOU ger möjlighet att använda olika upphandlingsformer. För en upphandling av denna typ bör upphandlingsformen förhandlad upphandling väljas. Denna form kan väljas eftersom det är svårt att i förväg i detalj precisera alla förutsättningar, t.ex. det efterfrågade tjänsteutbudet, och där förutsättningarna kan behöva anpassas till marknadens intresse och förutsättningar att delta i upphandlingen. En förhandlad upphandling medger att förhandlingar med leverantörer kan upptas på initiativ av den upphandlande myndigheten. En anbudsgivare kan inte påfordra förhandlingar.
Förhandlad upphandling innebär att den upphandlande myndigheten i en första fas inbjuder leverantörer att anmäla sitt intresse att delta i upphandlingen. Därefter väljs ett antal leverantörer ut och inbjuds att inkomma med anbud baserat på ett förfrågningsunderlag. En förhandlad upphandling innebär således följande stegvisa förfarande:
- Annonsering i EGT (Europeiska Gemenskapens Tidning) av upphandlingen. Annonseringen innebär en inbjudan till leverantörer att ansöka om att få delta i upphandlingen. Nämnden preciserar vilka uppgifter m.m. som ska ingå i ansökan.
- Leverantörer inkommer med ansökningar om att få delta i upphandlingen.
- Nämnden gör ett urval av vilka sökande som ska inbjudas att lämna anbud. Urvalet görs baserat på de uppgifter som infordras med ansökan.
- Utvalda leverantörer erhåller förfrågningsunderlaget och inbjuds att avge anbud. Anbuden prövas av Nämnden.
- Avtal tecknas med ett antal leverantörer.
Den formella upphandlingen avslutas i och med att avtalen tecknas. Därefter vidtar ett samarbete mellan Nämnden och leverantörerna som i korthet omfattar följande moment:
- Leverantörerna utvecklar tjänsterna.
- Nämnden genomför leveransprov för att kontrollera att de avtalade grundtjänsterna uppfyller givna krav och har en tillfredsställande servicenivå.
- Nämnden följer kontinuerligt upp tjänsternas kvalitet m.m.
4.2 Värderingsmodeller
I en förhandlad upphandlings första fas – under vilken intresserade leverantörer inbjuds inkomma med intresseanmälningar att delta i upphandlingen – görs en första värderingen av leverantörens förutsättningar att svara för de efterfrågade tjänsterna. För att få ett bra underlag för att avgöra vilka leverantörer som ska ges möjlighet att lämna anbud är det viktigt att ställa tydliga krav både på såväl leverantörens finansiella och ekonomiska förmåga som tekniska förmåga och kapacitet. Formerna för detta regleras i förordningen om bevis vid offentlig upphandling (SFS 1998:1364). Vid en upphandling av den typ av tjänster, som är aktuella i detta sammanhang, är det av särskilt stor vikt är att begära att leverantören beskriver
- den verksamhet som han bedriver inom området utveckling och drift av elektroniska tjänster av samma art och omfattning som efterfrågade grundtjänster, tilläggstjänster och stödtjänster,
- sin kapacitet för utveckling och drift av efterfrågade tjänster,
- referenser för tidigare erfarenheter att tillhandahålla utveckling och drift av efterfrågade tjänster.
Dessa faktorer är avgörande för att en leverantör ska ha bra förutsättningar för att leverera efterfrågade tjänster på ett tillfredsställande sätt. Leverantörernas svar på dessa frågor utgör den viktigaste grunden för att välja ut de leverantörer som ska inbjudas lämna anbud.
I upphandlingens andra fas, då de inkomna anbuden värderas, koncentreras värderingen i huvudsak på de tjänster m.m. som ska levereras och de ekonomiska och avtalsmässiga förutsättningarna. Denna värdering bör göras i förhållande till de mål och utgångspunkter som gäller för upphandlingen (se avsnitt 2.2), dvs. värderingen bör baseras på anbudets kvaliteter inom följande områden:
- Leverantörens utbud av tjänster, dvs. tjänsternas innehåll och utformning, t.ex.
– grundtjänster, stödtjänster och tilläggstjänster, – utveckling och införande av nya tjänster.
- Leverantörens servicenivå gentemot kunder.
- Leverantörens förmåga att hantera personuppgifterna på ett säkert sätt.
- Möjligheter till enkel omställning för befintliga kunder.
- Ekonomiska villkor.
- Avtalsmässiga villkor inklusive krav på olika former av uppföljning.
För dessa områden bör det utarbetas ett så kallat värderingsträd som beskriver vilken vikt de olika områdena har i en sammantagen värdering av leverantörernas förslag. Ett sådant värderingsträd skapar klarhet såväl hos den upphandlande parten som hos leverantörerna om de grundläggande förutsättningarna för upphandlingen.
Värderingsträdet bör tas fram redan innan kraven i upphandlingen formuleras och kan då användas som ett stöd för den upphandlande parten att formulera relevanta och utvärderingsbara krav. Värderingsträdet bör även beskrivas i förfrågningsunderlaget för att ge leverantören bra förutsättningar både att ta fram ett bra anbud och att bedöma sina förutsättningar för att delta i upphandlingen.
Värderingen i den andra fasen bör genomföras i två steg. Det första steget omfattar en bedömning av hur anbudet uppfyller ställda skall-krav. De anbud som inte uppfyller alla skall-krav eller är ofullständiga ska inte granskas ytterligare. Därefter görs en värdering av kvarvarande anbud i förhållande till de prioriteringar som anges i värderingsträdet.
4.3 Prov under utvärderingen
De tjänster som ingår i upphandling kommer sannolikt inte att finnas tillgängliga hos alla de leverantörer som inbjuds att lämna anbud. Mot den bakgrunden bedöms det inte vara möjligt att, som ett led i utvärderingen av anbud, utföra praktiska prov för att kontrollera att ställda krav på grundtjänsterna uppfylls av de olika
leverantörerna. Utvärderingen måste således att i allt väsentligt utföras utgående från anbudsgivarnas anbud.
Nämnden har dock gentemot kunderna ett ansvar att säkerställa att de leverantörer som slutligen väljs kan leverera grundtjänster med tillfredsställande kvalitet. Innan grundtjänsterna börjar säljas till kunder bör därför Nämnden genomföra leveransprov av grundtjänsterna. Detta bör anges som en förutsättning i förfrågningsunderlaget.
4.4 Tidplan
Tidsåtgången för att genomföra en förhandlad upphandling kan uppskattas till minst nio kalendermånader. Detta omfattar tiden från annonsering av upphandlingen till dess att avtal tecknas med utvalda leverantörer. Därtill kommer den tid som leverantörerna behöver för att utveckla tjänsterna samt för Nämnden att – genom leveransprov – godkänna tjänsterna så att de kan börja säljas till kunder. En teoretisk tidplan kan se ut enligt följande.
År 0
1 januari Upphandlingen annonseras. 15 mars Leverantörer inkommer med intresseanmälningar om att få lämna anbud. 1 april Nämnden beslutar om vilka leverantörer som ska inbjudas att delta i upphandlingen. Ett förfrågningsunderlag lämnas till de inbjudna leverantörerna. 1 juni Anbud inkommer. juni Utvärdering av inkomna anbud. 15 augusti Avtalsförhandlingar inleds. 15 september Nämnden beslutar om vilka leverantörer som ska väljas. 1 oktober Avtal tecknas.
År 1
Kvartal 1 Tjänster utvecklas av leverantörerna och leveransprovas och godkänns av Nämnden. Fr.o.m. kvartal 2 Tjänster levereras till kund.
4.5 Övergång för befintliga kunder
Vissa användare, t.ex. Polisens Person- och adressökningssystem (PPA) har som angivits ovan en nära koppling till SPAR som innebär att informationen från SPAR integreras i användarnas verksamhetssystem. Även system hos andra kunder (kreditupplysningsföretag, försäkringsbolag m.m.) kan vara nära kopplade till SPAR. Staten har ett ansvar för att säkerställa en smidig övergång för dessa kunder till den framtida ordningen.
Inför upphandlingen behöver det därför göras en inventering av vilka system som berörs för att säkerställa fortsatt drift vid införande av nya SPAR-tjänster. Det kan även finnas behov av en särskild övergångsperiod för att ge befintliga kunder tid för förändringar i sina system.
De nuvarande kunderna måste således informeras och involveras i det kommande arbetet för att säkerställa att tjänsterna får en sådan utformning att de tillgodoser kundernas behov. Detta kan t.ex. ske genom att ett urval av nuvarande kunder inbjuds att delta i en brett sammansatt referensgrupp för den planerade upphandlingen.
5. Uppföljning efter upphandlingen
Nämnden har ett ansvar att kontinuerligt följa upp att de krav m.m. som ställs i upphandlingen uppfylls. För detta bör en särskild beställarfunktion inrättas hos Nämnden. En sådan funktion bör upprättas i god tid så att den kan medverka i upphandlingen. Funktionen bör ha följande huvuduppgifter:
- Kontaktpunkt gentemot leverantörerna.
- Kontinuerlig uppföljning av servicekvalitet, kundtillfredsställelse.
- Analys av behov av nya tjänster.
- Uppföljning av att leverantörerna uppfyller ställda krav att hantera personinformation på ett säkert sätt.
- Uppföljning av att leverantörerna uppfyller de rättsliga krav
(SPAR-lag, PuL, sekretesslag m.m.) som ställs vid hantering av personuppgifter.
- Ekonomisk uppföljning av leverantörernas försäljning för att säkerställa att staten får rätt intäkter.
Uppföljningen av de två senare punkterna bör i ske genom periodiska redovisningar från leverantörerna. Nämnden bör dock ha rätt att antingen via leverantörens revisor eller genom anlitande av en av Nämnden utsedd auktoriserad revisor, kontrollera att leverantören fullgjort sina åtaganden. Revisor skall ha tillgång till leverantörens avtal med kunder, fakturor och räkenskapsmaterial i den utsträckning som erfordras för kontrollen och som inte står i strid med lag och börsregler som är tillämpliga för leverantören.
Det är också naturligt att beställarfunktionen har ett ansvar för förankringsarbetet hos nuvarande kunder.
6. Vissa krav på säkerhet och teknik
I det följande redovisa några grundläggande krav på säkerhet m.m. som bör ställas i upphandlingen för att säkerställa att leverantörerna har förmåga att hantera personinformationen på ett säkert och effektivt sätt.
6.1 Allmänna krav på IT-säkerhet
Leverantören bör ha ett ledningssystem för informationssäkerhet i drifttjänsten enligt SS-ISO/IEC 17799 eller motsvarande.
Leverantören bör ha en sådan säkerhetsnivå att de krav som rekommenderas för samhällsviktiga system enligt Krisberedskapsmyndigheten rekommendation BITS, som anger en basnivå för ITsäkerhet, kan uppfyllas.
Leverantören bör kunna förbinda sig att upprätthålla en avtalad säkerhetsskyddsnivå genom säkerhetsskyddsavtal enligt 8 § säkerhetsskyddslagen (1996:627).
6.2 Krav på standardiserade av informationsformat
Inom statsförvaltningen pågår ett arbete med så kallade standardmeddelanden i syfte att förenkla för myndigheter och privata näringslivet att utbyta sådan information som frekvent efterfrågas i samband med ärendehandläggning. Exempel på den information som avses är bl.a. personuppgifter ur Skatteverkets folkbokföringsregister och skatteregistren. Ett inledande arbete bedrivs av berörda myndigheter på uppdrag av Nämnden för elektronisk förvaltning
(e-nämnden). E-nämndens uppgift är att stödja utvecklingen av ett säkert och effektivt informationsutbyte mellan myndigheter samt mellan myndigheter och enskilda genom att lägga fast de standarder som ska vara gemensamma för statliga myndigheters informationsutbyte.
Det pågående arbetet syftar till riktlinjer för hur standardmeddelanden för frekvent informationsutbyte ska utformas, juridiskt och tekniskt. I praktiken handlar det om gemensamma riktlinjer för att utforma och publicera öppna, dokumenterade informationsgränssnitt, som bygger på återanvändbara standardstrukturer, fritt tillgängliga för systemutvecklare hos andra myndigheter och systemleverantörer. På så sätt kan utvecklingstider och kostnader minskas samtidigt som informationskvalitén kan ökas. Standardmeddelanden underlättar även för kunder att byta leverantör av t.ex. personuppgifter och kan således bidra till en ökad konkurrens inom området och minskade inlåsningseffekter.
I upphandlingen bör därför ställas krav på att leverantörerna ska anpassa sig till de standardmeddelanden (som berör personuppgifter), som är fastlagda vid upphandlingstillfället. Leverantörerna ska även åta sig att anpassa sig till de standardmeddelanden som senare fastläggs.
6.3 Krav på säker informationsöverföring
Överföringen av personuppgifter från Skatteverket till leverantörerna måste ske på ett säkert sätt. I dag används olika tekniker för detta. Inom ramen för e-nämndens arbete pågår ett arbete att ta fram gemensamma metoder. Metoderna syftar till att säkerställa att informationen är skyddad från insyn och att informationen inte förvanskas. Vidare ska alla överföringar kunna loggas och spåras i efterhand. Mottagare och sändare ska också säkert kunna identifieras innan överföringen sker. Leverantörerna ska vara beredda att ansluta till de metoder som kan komma att fastläggas av e-nämnden.