SOU 2023:100
Framtidens dataskydd
Till statsrådet och chefen för Finansdepartementet
Regeringen beslutade den 3 november 2021 att ge en särskild utredare i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Utredaren fick också i uppdrag att se över nämnda myndigheters förutsättningar att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet (dir 2021:104). Genom tilläggsdirektiv som beslutades av regeringen den 16 februari 2023 förlängdes utredningstiden (dir. 2023:24).
Den 1 december 2021 förordnades kammarrättslagmannen Peder Liljeqvist som särskild utredare.
Som experter att biträda utredningen förordnades från och med den 20 januari 2022 numera kanslirådet Alf Engsbråten, Finansdepartementet, rättssakkunniga Philip Forsberg, Justitiedepartementet, rättsliga experten Anders Hamlin, Skatteverket, verksjuristen Ann-Kristin Hansson, Tullverket, juristen Nina Hubendick, Integritetsskyddsmyndigheten, juristen Petra Kanon, Myndigheten för digital förvaltning, advokaten Caroline Olstedt Carlström, Cirio Advokatbyrå AB, numera kanslirådet Jessica Sjöberg, Finansdepartementet, kanslirådet Annica Svedberg, Finansdepartementet, numera kanslirådet Richard Vesterberg, numera Finansdepartementet, enhetschefen Jens Västberg, Kronofogdemyndigheten och utredaren Anders Åkerfeldt, Riksarkivet. Anders Åkerfeldt entledigades som expert den 29 mars 2022 och i hans ställe förordnades från och med samma dag utredaren Morgan Nordberg, Riksarkivet, som expert i utredningen. Den 7 september 2022 entledigades Jens Västberg från uppdraget att vara expert med verkan från och med den 4 oktober 2022 och i hans ställe förordnades verksjuristen Sofie Wildiér, Krono-
fogdemyndigheten, som expert i utredningen från och med den 5 oktober 2022. Den 23 november 2022 entledigades Alf Engsbråten, Nina Hubendick och Petra Kanon från uppdraget att vara experter med verkan från och med den 1 december 2022. Samma dag förordnades dataskyddsombudet Erika Lidén, Myndigheten för digital förvaltning, att vara expert i utredningen från och med den 1 december 2022. Den 2 maj 2023 förordnades Alf Engsbråten att åter vara expert i utredningen från och med den 9 maj 2023.
Som sekreterare i utredningen anställdes kammarrättsassessorn Ulrika Matsson från och med den 18 december 2021 och hovrättsassessorn Christina Söderbäck Hedén från och med den 1 januari 2022. Christina Söderbäck Hedén avslutade sitt arbete i utredningen den 23 oktober 2022. Från och med den 1 september 2022 anställdes förvaltningsrättsfiskalen Emma Persson som sekreterare.
Arbetet har bedrivits i nära samråd med experterna och betänkandet är därför skrivet med användande av vi-form, även om det inte har funnits fullständig samsyn i alla delar.
Utredningen har antagit namnet Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11) och överlämnar härmed betänkandet Framtidens dataskydd – Vid
Skatteverket, Tullverket och Kronofogden (SOU 2023:100). Vårt arbete
är i och med detta slutfört.
Stockholm i december 2023
Peder Liljeqvist
/ Ulrika Matsson
Emma Persson
Sammanfattning
Vårt uppdrag
Vi har haft i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget har även ingått att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag liksom att göra en översyn av registerförfattningarnas struktur och terminologi.
En annan del av vårt uppdrag har bestått i att se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. En utgångspunkt har varit att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt.
Våra utgångspunkter för en modern och ändamålsenlig reglering
En utgångspunkt för vårt arbete har varit att den kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för att den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet. I den kompletterande dataskyddsregleringen bör myndigheterna därför ges möjlighet att utföra personuppgiftsbehandling endast i den utsträckning det är proportionerligt i förhållande till en-
skildas berättigade intresse av skydd för information om sina personliga förhållanden.
Inom EU finns en generell reglering av personuppgiftsbehandling i EU:s dataskyddsförordning.1 Förordningen kompletteras i svensk rätt på ett generellt plan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen).
Dataskyddsförordningen är i dag den primära dataskyddsrättsliga rättskällan och bestämmelserna i förordningen ska tillämpas av myndigheterna på precis samma sätt som om de fanns i en svensk författning. Även om dataskyddsförordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler, finns det inte längre samma behov som tidigare av att i sektorsspecifik dataskyddsreglering begränsa eller tydliggöra vilken personuppgiftsbehandling som får förekomma inom en myndighet i syfte att upprätthålla ett adekvat integritetsskydd. Förordningen syftar till att skapa en enhetlig och likvärdig nivå för integritetsskyddet inom unionen och den kompletterande regleringen bör endast avvika från vad som annars hade gällt enligt dataskyddsförordningen om det framstår som nödvändigt för att skapa ett adekvat integritetsskydd. Regeringens överväganden i samband med dataskyddslagens tillkomst kan ligga till grund för bedömningen av behovet av kompletterande reglering.
Mot bakgrund av den snabba tekniska utvecklingen bör de kompletterande bestämmelserna vara teknikneutrala i så hög utsträckning som möjligt. I det ligger inte enbart frågan om vilken terminologi som används, utan målsättningen om teknikneutralitet bör tillåtas påverka även vilka förfaranden som över huvud taget ska regleras. Vidare bör enbart de förhållanden som behöver regleras för att åstadkomma ett adekvat integritetsskydd regleras i kompletterande dataskyddsreglering. De kompletterande författningarna bör inte omfatta bestämmelser vars syfte är att reglera andra förhållanden än dataskydd. Dubbelreglering bör undvikas. Kompletterande dataskyddsreglering bör dessutom utformas på ett enhetligt sätt i förhållande till annan liknande lagstiftning.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
För Skatteverket, Tullverket och Kronofogdemyndigheten finns i svensk rätt särskilda registerförfattningar som kompletterar EU:s dataskyddsförordning och dataskyddslagen.
Vi föreslår att följande registerlagar, med tillhörande förordningar, som i dag tillämpas i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter ska upphävas:
- lagen (1998:527) om det statliga personadressregistret
- lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
- lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
- lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
- lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
- lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Vi föreslår också att dessa ovan angivna lagar ska ersättas av nya myndighetsspecifika lagar om dataskydd:
- lag om det statliga personadressregistret
- beskattningsdatalag
- folkbokföringsdatalag
- kronofogdedatalag
- tulldatalag
- lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Lagarnas övergripande syften föreslås vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet
kränks vid sådan behandling. Vi föreslår även att lagarna kompletteras med tillhörande förordningar.
Nedan i sammanfattningen behandlas våra förslag till lag om det statliga personadressregistret och lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter separat under särskilda rubriker.
Lagarnas tillämpningsområden och förhållande till annan reglering
Vi föreslår att beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronfogdedatalagen endast ska gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register. Lagarna ska inte omfatta behandling av uppgifter i administrativ verksamhet.
Vidare bör lagarna inte omfatta behandling av uppgifter om juridiska personer. Ett undantag görs dock i kronofogdedatalagen som vi föreslår ska vara tillämplig på uppgifter om juridiska personer i fråga om särskilda bestämmelser om rättelse m.m. och överklagande i den lagen, mer om det nedan. Vi gör också bedömningen att de nya lagarna inte bör omfatta behandling av uppgifter om avlidna personer. Utöver detta ska bestämmelserna i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen inte gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
De nya lagarna bör enligt vår mening ha samma materiella tillämpningsområden som de nu gällande databaslagarna. Beskattningsdatalagen föreslås därför gälla vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Vad som avses med Skatteverkets beskattningsverksamhet ska framgå av lagen och rör bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Beskattningsdatalagen ska också gälla i viss annan verksamhet inom Skatteverket.
Folkbokföringsdatalagen föreslås gälla vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Vad som avses med folkbokföringsverksamhet ska framgå av folkbokföringsdatalagen. Det handlar bl.a. om myndighetens verksamhet med folkbokföring och samordningsnummer.
Tulldatalagen föreslås gälla vid behandling av personuppgifter i de delar av Tullverkets verksamhet som anges i lagen. Det rör bl.a. verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter.
Kronofogdedatalagen föreslås gälla vid behandling av personuppgifter i de delar av Kronofogdemyndighetens verksamhet som anges i lagen. Det handlar bl.a. om verksamhet med utsökning och indrivning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs och över rekonstruktörer. Bestämmelserna i kronofogdedatalagen ska dock inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning.
I likhet med vad som gäller för databaslagarna i dag föreslås bestämmelserna i lagarna komplettera EU:s dataskyddsförordning. Därutöver ska dataskyddslagen gälla vid behandlingen av personuppgifter enligt de nya lagarna, om inte annat följer av dessa eller föreskrifter som har meddelats i anslutning till de nya lagarna.
Myndigheternas personuppgiftsansvar
Skatteverket, Tullverket och Kronofogdemyndigheten föreslås vara ensamt personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför enligt de lagar som ska tillämpas i respektive myndighets verksamheter och föreskrifter som har meddelats i anslutning till de nya lagarna. Det motsvarar i sak dagens reglering, med undantag för vissa delar av bestämmelsen om personuppgiftsansvar i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Mindre detaljerade ändamålsbestämmelser
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Det framgår av artikel 5.1 b i EU:s dataskyddsförordning. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande principerna i förordningen ska prövas och iakttas. Ändamålet med behandlingen
avgör vilka uppgifter som får behandlas, hur länge de får behandlas och för vilka tillkommande ändamål de får vidarebehandlas.
De ändamål som framgår av de befintliga registerförfattningarnas ändamålsbestämmelser går inte att likställa med sådana särskilda, uttryckligt angivna och berättigade ändamål som dataskyddsförordningen kräver ska finnas för varje behandling. De är i stället snarast att betrakta som en yttersta ram för vilken behandling som är tillåten och de omfattar all personuppgiftsbehandling inom författningarnas materiella tillämpningsområden. Vi föreslår en ny bred ändamålsbestämmelse i respektive myndighetsspecifik dataskyddslag som innebär att Skatteverket, Tullverket och Kronofogdemyndigheten även i fortsättningen ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområden. Det innebär att samtliga ändamål som framgår av dagens reglering omfattas av den nya bestämmelsen. Även vissa ändamål som inte uttryckligen regleras i dagens ändamålsbestämmelser kommer att omfattas av den nya och brett formulerade ändamålsbestämmelsen, exempelvis utveckling och testning av befintliga eller nya it-system. Ansvaret för att formulera särskilda, uttryckligt angivna och berättigade ändamål i det enskilda fallet vilar på den personuppgiftsansvariga myndigheten i enlighet med artikel 5.2 i dataskyddsförordningen.
Den föreslagna bestämmelse som avser behandling av personuppgifter för att utföra verksamhet inom respektive lags materiella tillämpningsområde är mindre detaljerad än dagens ändamålsbestämmelser. Bestämmelsen motsvarar s.k. primära ändamål och föreslås kompletteras av en upplysningsbestämmelse om regeringens möjlighet att meddela föreskrifter om ändamålen med behandlingen. Vi föreslår även en bestämmelse som avser s.k. sekundära ändamål och anger att uppgifter som behandlas med stöd av den primära ändamålsbestämmelsen får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
De primära och sekundära ändamålsbestämmelserna föreslås kompletteras av en bestämmelse som motsvarar den s.k. finalitetsprincipen eller principen om ändamålsbegränsning som framgår av artikel 5.1 b i dataskyddsförordningen. Av bestämmelsen ska framgå att uppgifter som behandlas i enlighet med den primära ändamålsbestämmelsen får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ända-
mål för vilket uppgifterna samlades in. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för andra ändamål än de som uppgifterna samlats in för.
Databasregleringen ska upphävas
I dagens registerförfattningar finns en särskild reglering av myndigheternas uppgiftssamlingar som används gemensamt i verksamheten, s.k. databaser. Databas avser i sammanhanget inte en tekniskt avgränsad databas utan är ett juridiskt begrepp.
Databasregleringen omfattar bl.a. särskilda bestämmelser om vilka uppgiftskategorier som får behandlas, vilka olika former av elektroniskt utlämnande som får användas vid utlämnande samt bestämmelser om gallring och bevarande. Bestämmelser om vilka personuppgifter som får användas gemensamt inom verksamheterna är utmärkande för databasregleringen.
Regleringen kom till under en period då digitaliseringen av förvaltningen endast var påbörjad, och utgår från väsentligt andra tekniska och rättsliga förutsättningar för myndigheters personuppgiftsbehandling än dagens. Vid tidpunkten för databasregleringens tillkomst utgjorde digital informationshantering ett komplement till den analoga hanteringen. I dag är myndigheternas digitala informationshantering i stället fullt integrerad i myndigheternas verksamhet och utgör inte längre ett komplement, utan omfattar all informationshantering. Det innebär att databasregleringen har fått en annan funktion än avsett. Regleringen begränsar i dag inte enbart vilka uppgifter som får göras gemensamt tillgängliga utan också vilka uppgiftskategorier myndigheterna över huvud taget får behandla, om det inte är möjligt att utföra behandlingen utanför databasen.
Vi bedömer att EU:s dataskyddsförordning, som ställer krav på bl.a. tekniska och organisatoriska säkerhetsåtgärder och åtkomstbegränsning vid personuppgiftsbehandling inom myndigheterna, utgör en tillräcklig reglering för att säkerställa att uppgifter som är gemensamt tillgängliga får ett adekvat skydd. Utifrån den allmänna dataskyddsregleringeringen och rådande tekniska förutsättningar för personuppgiftsbehandling finns det enligt vår bedömning inte något behov av att för Skatteverket, Tullverket och Kronofogdemyndigheten införa särskilda regler för sådan behandling av personuppgifter
som innebär att fler än ett fåtal personer har tillgång till uppgifterna. Enligt vår bedömning bör den särskilda databasregleringen därför inte ha någon motsvarighet i de nya dataskyddslagarna. Inte heller i övrigt bör det införas någon generell begränsning av vilka kategorier av personuppgifter som myndigheterna får behandla i syfte att utföra sin verksamhet.
För Skatteverkets folkbokföringsverksamhet finns det dock skäl att i viss utsträckning föra över regleringen av vilka uppgifter om en person som i dag får behandlas i folkbokföringsdatabasen till andra författningar. Folkbokföring innebär nämligen fastställande av en persons bosättning samt registrering av vissa uppgifter om personen. Vilka uppgifter som får registreras vid folkbokföring framgår i dag av regleringen av vilka uppgifter som får behandlas i folkbokföringsdatabasen. Vi föreslår i stället att vilka uppgifter som får registreras om en person vid folkbokföring ska framgå av en ny materiell bestämmelse i folkbokföringslagen (1991:481). Den nya bestämmelsen föreslås i sak motsvara regleringen av vilka uppgifter som i dag får behandlas i folkbokföringsdatabasen, i den utsträckning de uppgifterna är relevanta vid folkbokföring.
Skatteverket registrerar också vissa uppgifter om personer som tilldelas ett samordningsnummer i enlighet med bestämmelserna om vilka uppgifter som får behandlas i folkbokföringsdatabasen. Vi föreslår därför att det även införs en ny bestämmelse i lagen (2022:1697) om samordningsnummer som i relevanta delar motsvarar dagens reglering av vilka uppgifter som får behandlas i folkbokföringsdatabasen. Databasregleringens upphävande medför även vissa andra förändringar i de nyss nämna lagarna.
Känsliga personuppgifter, uppgifter om lagöverträdelser samt person- och samordningsnummer
Med känsliga personuppgifter avses enligt EU:s dataskyddsförordning uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandling av sådana uppgifter är som utgångspunkt förbjuden. Undantag
kan dock göras om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, och vissa ytterligare förutsättningar är uppfyllda. Skatteverket, Tullverket och Kronofogdemyndigheten har behov av att kunna behandla sådana uppgifter inom sina respektive verksamheter när så är relevant till följd av materiell verksamhetsreglering. Vi föreslår att myndigheterna ska få behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i dataskyddsförordningen får enligt förordningen utföras under kontroll av en myndighet. Skatteverket, Tullverket och Kronofogdemyndigheten har i vissa fall behov av att kunna behandla sådana personuppgifter. Vi bedömer att den behandling av personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra inte bör begränsas eller på annat sätt särregleras i de nya lagarna.
Vidare gör vi bedömningen att det inte behöver finnas särskilda bestämmelser om behandling av personnummer och samordningsnummer. Sådana bestämmelser finns i dataskyddslagen.
Sökbegränsningar
Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och sökbegränsningar kan vara ett viktigt och ändamålsenligt sätt att minska dessa risker. Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att det som huvudregel är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på vissa kategorier av känsliga personuppgifter, om sökningen är nödvändig för att myndigheterna ska kunna utföra en uppgift i verksamhet som omfattas av respektive föreslagen lag. Vilka sökningar som ska undantas från sökförbudet måste an-
passas efter respektive myndighets behov. Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende.
Vi föreslår också ett särskilt sökförbud i folkbokföringsdatalagen som innebär att det ska vara förbjudet att som sökbegrepp använda uppgifter om vissa relationssamband som är grundade på adoption.
Tillgången till personuppgifter
En utgångspunkt enligt EU:s dataskyddsförordning är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i de registrerades personliga integritet.
Vi föreslår att det ska införas bestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I de förordningar som hör till lagarna föreslår vi att det ska finnas en reglering som innebär att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Elektroniskt utlämnande av personuppgifter ska vara tillåtet om det inte är olämpligt
Formen för ett tillåtet eller föreskrivet uppgiftslämnande, dvs. om det ska ske exempelvis muntligt, på papper eller på elektronisk väg, är en fråga som är skild från regleringen av utlämnandet i sak. I EU:s dataskyddsförordning finns ingen reglering som särskilt avser vilka tekniska lösningar eller vilka system som får användas vid utlämnande eller överföring av personuppgifter. I nuvarande registerförfattningar finns däremot bestämmelser som särskilt reglerar i vilka situationer uppgifter över huvud taget får lämnas ut elektroniskt till enskilda
(via exempelvis e-post), och i vilka situationer utlämnande får ske genom s.k. direktåtkomst till både myndigheter och enskilda.
Direktåtkomst är en särskild form av elektroniskt utlämnande som innebär att den utlämnande myndigheten saknar kontroll över vilka uppgifter den mottagande aktören (ofta en annan myndighet) vid varje enskilt tillfälle tar del av. När direktåtkomsten är aktiv anses samtliga uppgifter som omfattas vara inkomna till den mottagande myndigheten i enlighet med offentlighetsprincipen, och kan därmed komma att ingå i allmänna handlingar där. Direktåtkomst ger därmed upphov till s.k. överskottsinformation och har bl.a. av den anledningen bedömts vara särskilt känsligt ur integritetssynpunkt.
Den tekniska utvecklingen har dock lett till att skillnaden i integritetshänseende mellan direktåtkomst och andra former av helt automatiserat informationsutbyte inte längre är särskilt stor. Nya former av informationsutbyte kan dessutom ge samma effektivitetsvinster som vid direktåtkomst, utan att uppgifter som tillgängliggörs men inte hämtas in av mottagaren blir del av allmänna handlingar hos den mottagande myndigheten. Vi bedömer att flertalet av de integritetsrisker som har legat till grund för tidigare ställningstaganden om direktåtkomst i dag är läkta genom bestämmelserna i dataskyddsförordningen. Vi bedömer därmed att dagens begränsningar av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst inte bör ha någon motsvarighet i de nya dataskyddslagarna. I lagstiftningshänseende bör direktåtkomst i stället likställas med övriga former av elektroniskt utlämnande.
Vi föreslår att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det innebär att Skatteverkets i dess beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska ges möjlighet att, med beaktande av den allmänna dataskyddsregleringen och övriga tillämpliga bestämmelser, samt i förekommande fall efter samråd med Integritetsskyddsmyndigheten, själva avgöra i vilken form ett föreskrivet utlämnande ska få ske.
Bestämmelser om uppgiftslämnande ska flyttas till särskilda förordningar om utlämnande av uppgifter
EU:s dataskyddsförordning kräver att det finns en rättslig grund för all behandling av personuppgifter. För att en myndighet ska kunna lämna ut personuppgifter till en tredje part krävs som utgångspunkt
en bestämmelse i nationell rätt eller unionsrätten som tillåter eller föreskriver utlämnandet. Visst utlämnande kan också ske med stöd av finalitetsprincipen. För uppgifter som är skyddade av sekretess krävs också att det finns en sekretessbrytande bestämmelse för att en uppgift ska kunna lämnas ut från det sammanhang där den är sekretessbelagd. I de nuvarande registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten finns sekretessbrytande bestämmelser som anger att myndigheten har en skyldighet eller möjlighet att under vissa omständigheter lämna ut uppgifter till andra myndigheter och till enskilda. Sådana bestämmelser finns också i andra författningar och i unionsrätten.
Behandling av personuppgifter i syfte att lämna ut dem till någon annan aktualiserar frågor om dataskydd, bl.a. om säkerhet vid informationsöverföringen. Bestämmelser som anger att ett utlämnande av uppgifter får eller ska ske under vissa förutsättningar utgör dock inte dataskyddsbestämmelser. Vi föreslår därför att sådana bestämmelser inte ska finnas i de nya dataskyddsförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten, och att bestämmelser som reglerar utlämnande i stället ska föras in i nya förordningar. I förordningarna ska även bestämmelser om myndigheternas rätt att ta ut avgifter i vissa fall finnas.
Bestämmelserna i de nya förordningarna föreslås i huvudsak motsvara dagens bestämmelser. Vi föreslår dock vissa justeringar av bestämmelsernas utformning, huvudsakligen i syfte att kompensera för att viss befintlig särreglering av när direktåtkomst är tillåten föreslås upphävas. För att möjliggöra olika former av elektroniskt utlämnande föreslår vi även att de nya bestämmelserna inte ska avse utlämnande som får ske endast på begäran av den mottagande myndigheten. I de fall den nuvarande regleringen avser ett utlämnande på begäran föreslår vi i stället att de nya bestämmelserna förenas med ett förbud mot utlämnande på initiativ av den utlämnande myndigheten. Initiativförbudet avser enbart det faktiska utlämnandet och syftar till att förhindra spontant utlämnande utan att det föregåtts av kontakt med mottagaren.
Reglering om gallring ska ersättas med bestämmelser om längsta tid för behandling
I de befintliga registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten finns bestämmelser om gallring och bevarande.
Enligt vår bedömning är dock både gallring och bevarande begrepp som främst hör till det arkivrättsliga regelverket och som inte bör användas om syftet är integritetsskydd. Den arkivrättsliga utgångspunkten är nämligen att allmänna handlingar ska bevaras. Vi föreslår därför att det fortsättningsvis görs en tydlig uppdelning mellan arkivrättsliga bestämmelser å ena sidan och dataskyddsbestämmelser å andra sidan, och att den kompletterande dataskyddsregleringen inte ska innehålla bestämmelser om gallring.
En grundläggande princip för personuppgiftsbehandling enligt EU:s dataskyddsförordning är den om lagringminimering, dvs. att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för ändamålet med behandlingen (artikel 5.1 e). Vi föreslår att en bestämmelse som motsvarar principen om lagringsminimering ska finnas i lag, men att det i övrigt inte anges någon yttersta tidsgräns för behandling. Myndigheterna måste därför som regel själva avgöra hur lång tid det är motiverat att behandla uppgifter för ett särskilt ändamål. Däremot kan regeringen eller den myndighet regeringen bestämmer föreskriva om yttersta tidsgränser för behandling för vissa ändamål, om det är påkallat av exempelvis integritetshänsyn eller effektivitetshänsyn.
Bestämmelsen om längsta tid för behandling avser endast sådana ändamål som omfattas av det materiella tillämpningsområdet. Det innebär att det inte finns något hinder mot fortsatt behandling för arkivändamål. När uppgifter enbart behandlas för arkivändamål är det arkivlagstiftningens bestämmelser, dvs. i praktiken Riksarkivets beslut eller föreskrifter, som avgör hur länge uppgifter (som ingår i en allmän handling) ska behandlas för detta ändamål.
Enskildas rättigheter ska begränsas i vissa fall
Rätten att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i EU:s dataskyddsförordning. Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte ska gälla vid sådan behandling som är tillåten enligt lagarna eller föreskrifter som har meddelats i anslutning till lagarna. Denna begränsning innebär inte något nytt utan finns i dag i motsvarande registerlagar.
Vidare föreslår vi att det ska införas en bestämmelse i beskattningsdatalagen som reglerar att vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska vissa bestämmelser om rätt till information och tillgång till personuppgifter i dataskyddsförordningen inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Särskilda bestämmelser om rättelse och överklagande för Kronofogdemyndigheten
I dag finns särskilda bestämmelser om rättelse m.m. och överklagande i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Bestämmelserna är motiverade av de potentiella effekterna av att registreras hos myndigheten. Vi föreslår att det ska införas sådana särskilda bestämmelser även i den nya kronofogdedatalagen, dock med vissa ändringar i förhållande till vad som gäller i dag.
Bestämmelsen om rättelse m.m. ska ange att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Bestämmelsen ska inte vara tillämplig på uppgifter om avlidna personer. Avseende juridiska personer ska bestämmelsen vara tillämplig enbart beträffande om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska
förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd att rätta, blockera eller utplåna uppgifter om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse ska inte behöva lämnas om det skulle innebära en oproportionerligt stor arbetsinsats.
Vi föreslår också att beslut om rättelse, liksom i dag, ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.
Dataanalyser och urval för en effektiv kontrollverksamhet
Vi anser att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet.
Dataanalyser och urval bedöms vara ett effektivt verktyg i myndigheternas verksamheter som exempelvis kan underlätta arbetet med att identifiera felaktigheter. Vi föreslår därför att det ska införas särskilda ändamålsbestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att respektive myndighet får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i de verksamheter som omfattas av lagarna. Kronofogdemyndigheten ska även få behandla personuppgifter för att göra sådana analyser och urval i syfte att motverka överskuldsättning. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att myndigheterna ges ett tydligt rättsligt stöd för att använda analyser och urval även i syfte att identifiera olika risker för felaktigheter redan innan det finns ett ärende och inte enbart för efterhandskontroller.
Som underlag för att göra dataanalyser och urval behöver myndigheterna tillgång till adekvata och relevanta uppgifter, däribland personuppgifter. En allt för kringskuren möjlighet att behandla uppgifter för dataanalyser och urval kan i praktiken leda till att myndigheternas möjligheter att behandla personuppgifter styr vilka företeelser myndigheterna kan rikta sina kontroller mot, snarare än att kontroller kan riktas mot de områden där det faktiskt finns störst risk för fel eller fusk. Samtidigt måste intentionerna att effektivisera kon-
trollverksamheten balanseras mot skyddet för den personliga integriteten. Vi föreslår att det i de nya lagarna ska anges att för att göra dataanalyser och urval får de personuppgifter behandlas som respektive myndighet förfogar över eller samlar in till följd av den verksamhet som omfattas av respektive lags tillämpningsområde. Myndigheterna ska även få behandla uppgifter som lämnas till dem för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. De personuppgifter som behandlas måste alltid vara nödvändiga för de i lagarna angivna syftena. Om det finns alternativa och mindre integritetskränkande sätt för myndigheterna att utföra sina uppdrag på med samma grad av effektivitet, ska dessa i stället användas i syfte att minska integritetsintrånget.
Vidare föreslår vi bestämmelser som innebär utökade uppgiftsskyldigheter gentemot Skatteverket och Tullverket i syfte att möjliggöra adekvata och effektiva dataanalyser och urval i kontrollverksamhet.
Vi föreslår också att det ska införas särskilda skydds- och säkerhetsåtgärder som ska gälla när myndigheterna utför dataanalyser och urval med hjälp av personuppgifter. I lagarna ska det föreskrivas att myndigheterna ska dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Vidare ska det i förordning föreskrivas att myndigheterna ansvarar för att det inom respektive myndighet finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval. I övrigt kommer de generella skydds- och säkerhetsåtgärderna i EU:s dataskyddsförordning, dataskyddslagen samt i förslagen till beskattningsdatalag, folkbokföringsdatalag, tulldatalag och kronofogdedatalag med tillhörande förordningar att vara tillämpliga även vid behandling av personuppgifter för dataanalyser och urval.
Offentlighet och sekretess
Till följd av våra förslag om ändrade bestämmelser avseende sökbegrepp inom Skatteverkets folkbokföringsverksamhet finns det behov av en ny sekretessregel till skydd för vissa uppgifter. Detta efter-
som vissa sammanställningar med våra förslag – till skillnad från i dag – kan bli allmänna handlingar. Vi föreslår därför att absolut sekretess ska gälla i Skatteverkets folkbokföringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgifter som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
Vi har också funnit att det finns behov av ändringar av vissa befintliga regler om sekretess samt av nya sekretessbestämmelser till följd av våra förslag om utökade möjligheter för myndigheterna att göra dataanalyser och urval. Absolut sekretess föreslås gälla vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska även gälla i Kronofogdemyndighetens verksamhet med dataanalyser och urval i syfte att motverka överskuldsättning.
Vi föreslår också att myndigheterna ska kunna sekretessbelägga uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör Skatteverkets beskattnings- eller folkbokföringsverksamheter, Tullverkets verksamhet eller Kronofogdemyndighetens verksamhet som omfattas av de nya lagarna. Sådana uppgifter ska också vara möjliga att sekretessbelägga i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen om de hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.
Vidare innebär vissa av våra förslag i övrigt att också andra befintliga sekretessbestämmelser behöver ändras. Vi föreslår därför att bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400), OSL, som i dag omfattar verksamhet som avser förande av eller uttag ur Skatteverkets beskattningsdatabas, Tullverkets tulldatabas och Kronofogdemyndighetens utsöknings- och indrivningsdatabas ska ändras. Det ska i stället föreskrivas att sekretessen gäller vid förande
av eller uttag ur en automatiserad uppgiftssamling som respektive myndighet använder i viss verksamhet som avses i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Sekretessen vid myndigheterna ska inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Syftet med bestämmelserna är främst att garantera sekretess hos en annan mottagande myndighet som har direktåtkomst till sådana uppgifter som i dag behandlas i myndigheternas databaser.
Det statliga personadressregistret (SPAR)
Skatteverkets verksamhet med det statliga personadressregistret, SPAR, är särpräglad och avgränsad. Genom verksamheten med SPAR fullgörs det statliga åtagandet att hålla ett register med befolkningsuppgifter av hög kvalitet för att tillgodose behovet av kontroll av personuppgifter.
Lagen om det statliga personadressregistret, SPAR-lagen, och tillhörande förordning reglerar både förandet av ett särskilt register och utlämnandet av uppgifter från det, vilket inkluderar den personuppgiftsbehandling som detta medför. Författningarna skiljer sig därför från exempelvis regleringen av personuppgiftsbehandling vid Skatteverkets beskattningsverksamhet. Flera av de generella bedömningarna för övriga verksamheter är därför inte relevanta i SPAR-verksamheten. SPAR-författningarna är dock i behov av modernisering avseende språk, struktur och i viss mån avseende vilka bestämmelser författningarna bör innehålla.
Vi bedömer att förändringsbehovet är tillräckligt stort för att motivera att den nuvarande SPAR-lagen med tillhörande förordning upphävs och ersätts av nya författningar, med uppdaterat språk, vissa förtydliganden, samt en anpassning av termer och struktur till övrig dataskyddsreglering.
Vi föreslår även att den nya lagen ska omfatta en sådan syftesbestämmelse som vi har föreslagit i övriga dataskyddslagar, samt vissa justeringar av regleringen av personuppgiftsansvar för behandling enligt SPAR-lagen och förordningen. Vi föreslår att bestämmelser om gallring ersätts med bestämmelser om längsta tid för behandling
i förhållande till de ändamål uppgifter behandlas för, i likhet med övrig dataskyddsreglering. Dessutom föreslår vi att enskildas anmälningsskyldighet vid misstanke om oriktig uppgift, som i dag regleras i förordning, i fortsättningen ska regleras i lag. Däremot föreslår vi att alla begränsningar av utlämnandet från SPAR ska göras i förordning, vilket innebär att begränsningar avseende vissa uppgifter som i dag regleras i lag ska flyttas ner till förordningsnivå.
Avseende utlämnandet till myndigheter föreslår vi att begränsningar i förhållande till myndigheters möjlighet att få ut samma uppgifter från Skatteverkets folkbokföringsverksamhet ska tas bort.
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Den befintliga regleringen av personuppgiftsbehandling inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter är förhållandevis modern. Regleringen innehåller i flera fall bestämmelser som motsvarar vad vi föreslår ska gälla enligt de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Exempelvis finns ingen databasreglering och inga detaljerade ändamålsbestämmelser.
Enligt vår bedömning bör dock nuvarande reglering i flera avseenden anpassas till de förslag vi lämnat i fråga om struktur, terminologi och generella dataskyddsbestämmelser. En ändring av den befintliga lagen hade inneburit att flertalet paragrafer hade ändrats och den konsoliderade versionen skulle framstå som helt omgjord. Vi föreslår därför att den befintliga lagen med tillhörande förordning ska upphävas och ersättas av en ny lag med tillhörande förordning. Det övergripande syftet med förslaget är att skapa enhetlighet i utformningen av de nya dataskyddslagarna.
I den nya lagen föreslår vi vissa strukturella ändringar i förhållande till den befintliga, som t.ex. att ändamålsbestämmelserna utformas enhetligt i förhållande till övrig dataskyddsreglering. Vi föreslår även vissa förändringar i sak. Den nya lagen föreslås inte tillämpas vid behandling av uppgifter om avlidna. Vidare föreslår vi att dagens begränsningar av när Skatteverket får behandla känsliga personuppgifter ersätts av en bestämmelse som tillåter sådan behandling om det är nödvändigt för ändamålet med behandlingen, i likhet med hur
övrig reglering föreslås utformas i detta avseende. Vi föreslår även att sökbegränsningar i den nya lagen utformas i enhetlighet med motsvarande reglering i övriga dataskyddslagar. Det innebär att förbudet ska avse sådan sökning som syftar till att åstadkomma ett urval av personer grundat på känsliga personuppgifter. Något undantag från förbudet för vissa kategorier av uppgifter föreslås inte i detta sammanhang. Förbudet ska dock inte omfatta sökningar i en viss handling eller i ett visst ärende.
Vi föreslår även nya bestämmelser om åtkomstbegränsning och om längsta tid för behandling som saknar motsvarighet i befintlig reglering. Bestämmelserna motsvarar de som föreslås i övrig dataskyddsreglering.
Ikraftträdande
Våra förslag föreslås träda i kraft den 1 januari 2026. Vi har då beaktat att förslagen bör träda i kraft så snart som möjligt för att de i största möjliga utsträckning ska kunna leda till effektivare kontrollverksamhet vid Skatteverket, Tullverket och Kronofogdemyndigheten. Samtidigt har vi tagit hänsyn till att förslagen är omfattande vilket kräver sedvanlig tid för remissbehandling och beredning inom Regeringskansliet och att berörda myndigheter ges viss tid att förbereda sig.
Konsekvenser
Syftet med våra förslag är att åstadkomma en ändamålsenlig kompletterande dataskyddsreglering som ger enskilda ett adekvat integritetsskydd samtidigt som Skatteverket, Tullverket och Kronofogdemyndigheten ges förutsättningar att utföra sina samhällsviktiga uppgifter så som de kommer till uttryck i den materiella verksamhetsregleringen. Förslagen om utökade möjligheter för myndigheterna att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel syftar till att ge myndigheterna adekvata verktyg för att effektivisera kontrollverksamheten. Våra förslag kommer att medföra konsekvenser för enskildas personliga integritet. Vi bedömer dock att integritetsintrången är motiverade och proportionerliga.
Vårt förslag om att myndigheter ska kunna få motsvarande uppgifter som de i dag kan få från folkbokföringsverksamheten (via
Navet) genom SPAR kommer att kräva systemutveckling. Vidare bedömer vi att våra förslag innebär en viss ökning av planerade utbildningsinsatser vid myndigheterna. De ställer också nya krav på att myndigheterna ansvarar för att ta fram vissa rutiner och följa ett särskilt dokumentationskrav vid dataanalyser och urval. Våra förslag om att nuvarande regler om gallring ska ersättas med bestämmelser om längsta tid som personuppgifter får behandlas kommer att leda till vissa indirekta kostnader för Riksarkivet, Skatteverket, Tullverket och Kronofogdemyndigheten fram till dess att nya myndighetsspecifika föreskrifter eller beslut om gallring finns på plats. Sammantaget kommer våra förslag alltså initialt att medföra vissa kostnader för det allmänna. Dessa kostnader bedömer vi inte vara större än att de kan täckas av myndigheternas ordinarie anslag. På längre sikt gör vi dessutom bedömningen att våra förslag bör medföra besparingar för berörda myndigheter och ökade statsintäkter till följd av att verksamheterna vid ärendehanteringen och med kontroll kan bedrivas mer effektivt.
I övrigt förväntas våra förslag ha vissa positiva effekter för brottsligheten och det brottsförebyggande arbetet och indirekt för offentlig service samt företags konkurrensförmåga.
Förslagen är förenliga med EU-rätten och andra relevanta internationella rättsakter till skydd för den personliga integriteten.
Summary
Our remit
We have been tasked with reviewing the register statutes1 of the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority in order to create appropriate regulation adapted to current needs. The regulation should be flexible and up to date in terms of both technological developments and data protection regulation enshrined in EU law. Our remit also included considering whether a less detailed regulation than today would be feasible, as well as reviewing the structure and terminology of the register statutes.
Another part of our remit was to review the feasibility of the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority use of data analysis and sampling as tools for more efficient control activities. A premise was that there should be clear legal support for any data analysis and samplings carried out by the government agencies. The rules should also be technology neutral and flexible and allow the government agencies to develop and adapt their analysis and sampling in line with general developments in society.
Our basic premises for modern, fit-for-purpose regulation
Our work is based on the premise that supplementary data protection regulation should include the provisions necessary for it to provide adequate protection of individual privacy. Consequently, supplementary data protection regulation should only permit government agencies to process personal data to the extent that this is pro-
1 I.e. sector-specific regulations on the processing of personal data.
portionate to the legitimate interest of individuals to protect information about their personal circumstances.
Within the EU, personal data processing is regulated in general terms in the EU General Data Protection Regulation (GDPR).2 The GDPR is supplemented in Swedish law at a general level by the Act (2018:218) containing supplementary provisions to the EU General Data Protection Regulation (Data Protection Act).
Today, the GDPR is the primary source of data protection legislation, and the provisions of the GDPR must be applied by government agencies in the same way as a Swedish statute. Although the GDPR both requires and permits national provisions that supplement or provide for derogations from its rules, there is no longer the same need as before to limit or clarify in sector-specific data protection regulation the personal data that may be processed at a government agency in order to maintain an adequate level of privacy protection. The GDPR aims to create a uniform and comparable level of privacy protection throughout the European Union, and supplementary regulation should only deviate from what will otherwise apply under the GDPR if this appears necessary in order to provide an adequate level of privacy protection. The Government’s considerations when drafting the Data Protection Act can serve as a basis for assessing the need for supplementary regulation.
In the light of the rapid technological development, the supplementary provisions should be as technology neutral as possible. This is not only a question of the terminology used; the objective of technology neutrality should also influence which procedures should be regulated at all. Furthermore, only matters that need to be regulated in order to achieve an adequate level of privacy protection should be regulated in supplementary data protection legislation. The supplementary legislation should not include provisions on matters other than data protection. Double regulation should be avoided.
2 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
New acts on data protection for the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority
Specific register statutes govern the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority under Swedish law. This legislation supplements the GDPR and the Swedish Data Protection Act.
We propose that the following acts, with their associated ordinances, currently governing the activities of the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority be repealed:
- Act (1998:527) on the Swedish state’s personal address register
- Act (2001:181) on the processing of data in the Swedish Tax
Agency’s taxation activities
- Act (2001:182) on the processing of personal data in the Swedish
Tax Agency’s population registration activities
- Act (2001:184) on the processing of data in the activities of the
Swedish Enforcement Authority
- Act (2001:185) on the processing of data in the activities of
Swedish Customs
- Act (2015:898) on the Swedish Tax Agency’s processing of personal data in activities relating to the marriage register and estate inventories.
We also propose that the acts listed above be replaced by new agencyspecific data protection acts:
- Swedish state’s personal address register Act
- Taxation Data Act
- Population Registration Data Act
- Enforcement Data Act
- Customs Data Act
- Act on personal data protection in the Swedish Tax Agency’s marriage register and estate inventory activities.
It is proposed that the overall objective of these acts is to enable the relevant government agencies to process personal data in an appropriate manner, and to protect individuals from having their privacy unduly violated during such processing. We also propose that the acts should be supplemented by related ordinances.
In the summary below, our proposals for the National Personal Address Register Act and the Act on personal data protection in the Swedish Tax Agency’s marriage register and estate inventory activeities are discussed separately under specific headings.
The Scope of the legislation and relationship with other regulation
We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act shall apply only in the case of wholly or partly automated personal data processing, or to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. The legislation shall not cover data processing in administrative activities.
Furthermore, the regulations should not cover data processing regarding legal entities. An exception from this is however made in the Enforcement Data Act, which we propose should apply to data on legal entities with regard to specific provisions on i.a. rectification and appeal in that act; more on this below. We also assess that the new legislation should not cover the processing of data on deceased individuals. In addition, the provisions of the Taxation Data Act, the Customs Data Act and the Enforcement Data Act shall not apply to personal data processing in the common information systems of the European Union.
We suggest that the new legislation has the same substantive scope as current database regulation. Consequently, it is proposed that the Taxation Data Act apply to personal data processing in the Swedish Tax Agency’s taxation activities. What constitutes taxation activities in this setting shall be stated in the act and includes i.a. determining the basis for taxes and charges, and the assessment, accounting, payment and refund of these. The Taxation Data Act shall also apply to certain other activities carried out by the Swedish Tax Agency.
It is proposed that the Population Registration Data Act apply to personal data processing in the Swedish Tax Agency’s population registration activities. What constitutes population registration activities in this setting shall be stated in the act and includes i.a. the Agency’s activities regarding population registration and coordination numbers.
It is proposed that the Customs Data Act apply to personal data processing during the activities carried out by Swedish Customs’ specified in the act. This includes activities related to the assessment, accounting, payment and refund of duties, taxes, and charges.
It is proposed that the Enforcement Data Act apply to personal data processing in the parts of the Swedish Enforcement Authority’s activities specified in the act. This includes enforcement and recovery activities, debt restructuring and company debt restructuring, orders to pay and assistance, and supervision in bankruptcy and of reorganisation administrators. However, the provisions of the Enforcement Data Act shall not apply to personal data processing in the insolvency register of debt restructuring and company debt restructuring under the Insolvency Regulation of 2015 (Supplemental Provisions) Act (2017:473).
As with the current national database regulation, it is proposed that the provisions of the new legislation supplement the GDPR. In addition, the Data Protection Act shall apply to personal data processing under the new acts, unless otherwise provided by these acts or statutes issued in connection with the new acts.
Responsibility of government agencies for personal data
It is proposed that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority respectively be the sole data controller for personal data processing carried out by these government agencies under the respective act and regulations issued in connection with the act. This essentially corresponds to the current regulation, except for certain parts of the provision on personal data responsibility in the Act on the processing of personal data in the Swedish Tax Agency’s population registration activities.
Less detailed purpose provisions
Personal data shall be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes. This is stated in Article 5(1)(b) of the GDPR. It is against this specified, explicit and legitimate purpose that several of the fundamental principles of the GDPR must be examined and adhered to. The purpose of the processing determines which data can be processed, how long it can be processed and for what additional purposes it can be processed further.
The purposes set out in the purpose provisions of the existing register legislation cannot be equated with the specified, explicit, and legitimate purposes that the GDPR requires for each processing operation. Rather, they should be seen as an overall framework for which processing is authorised and cover all personal data processing within the substantive scope of the legislation. We propose a new, broad purpose provision in each agency-specific data protection act. This will allow the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority to continue processing personal data where this is necessary to carry out their activities within the substantive scope of their respective new data protection act. This means that all purposes stated in the current provision are covered by the new provision. Certain purposes not explicitly regulated in the current purpose provisions will also be covered by the new, broadly worded purpose provision, such as the development and testing of new or existing IT systems. The responsibility for formulating specified, explicit, and legitimate purposes in specific each case lies with the data controlling government agency in accordance with Article 5(2) of the GDPR.
The proposed provision on personal data processing to carry out activities within the substantive scope of each act is less detailed than the current purpose provisions. The proposed provision corresponds to what are known as primary purposes, and it is proposed that it be supplemented by an informative provision on the Government’s ability to legislate regarding the purposes of the processing. We also propose a provision regarding what are known as secondary purposes, stating that data processed on the basis of the primary purpose provision may be processed in order to disclose data in accordance with an act or ordinance.
It is proposed that the primary and secondary purpose provisions be supplemented by a provision corresponding to what is known as the principle of finality or purpose limitation principle set out in Article 5(1)(b) of the GDPR. The provision shall state that data processed in accordance with the primary purpose provision may be processed for other purposes, provided that the data is not processed in a manner incompatible with the purpose for which it was collected. Such a provision makes it clearer to the data subject that the data may also be processed for purposes other than those for which the data was collected.
Database regulation to be repealed
The current national register statutes contain specific regulation of government agencies’ data collections that are used jointly in their activities, known as databases. Database in this context does not refer to a technically defined database but is instead a legal term.
The regulation of databases includes specific provisions on the categories of data that may be processed, the different forms of electronic disclosure that may be used and provisions on deletion and preservation. Provisions on the personal data that can be shared within the organisations are characteristic of this regulation of databases.
This regulation came about in a period when the digitalisation of public administration was in its infancy and is based on significantly different technical and legal conditions for personal data processing by government agencies than currently apply. During this period, digital information management was seen as a complement to analogue management. In contrast, the digital information management of government agencies is now fully integrated in their operations and is no longer seen as complementary, but as encompassing all information management. This means that database regulation has taken on a different function than originally intended. The regulation currently limits not only the data that can be made jointly available, but also the categories of data that government agencies may process at all, unless it is possible to carry out the processing outside the database.
It is our assessment that the GDPR, which imposes requirements regarding technical and organisational security measures and access
restrictions in connection with personal data processing at government agencies, constitutes sufficient regulation to ensure that data that is jointly accessible is adequately protected. Based on the GDPR and current technical conditions for personal data processing there is, in our opinion, no need to introduce specific rules for such personal data processing performed by the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority that involves more than a few people having access to the data. For this reason, we do not suggest an equivalent to the specific database regulation in the new data protection acts. Nor do we suggest any other general restriction on the categories of personal data that government agencies may process for the purpose of carrying out their activities.
Where the Swedish Tax Agency’s population registration activities are concerned, however, there is reason to transfer some of the regulation governing which data regarding a person that may currently be processed in the population registration database to other legislation. This is because population registration involves establishing a person’s place of residence and registration of certain data about that person. The data that may be registered in connection with population registration is currently determined by the regulation of which data that may be processed in the population registration database. We propose that a new substantive provision in the Population Registration Act (1991:481) shall instead specify what data may be registered about a person in connection with population registration. It is proposed that the new provision essentially correspond to the regulation of the data that may currently be processed in the population registration database, to the extent that the data is relevant to the population registration.
The Swedish Tax Agency also registers certain data on natural persons assigned a coordination number based on the provisions on what data may be processed in the population registration database. We therefore propose that a new provision also be introduced in the Act (2022:1697) on coordination numbers that corresponds in relevant parts to the current regulation of what data may be processed in the population registration database. Repealing database regulation also entails certain other changes to the acts just mentioned.
Special categories of personal data, personal data relating to criminal convictions and offences and national identification and coordination numbers
Special categories of personal data refers to data that under the GDPR reveal racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. The processing of such data is in principle prohibited. However, exceptions can be made where processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law, and if certain additional conditions are met. The Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to be able to process such data within their respective activities when relevant because of the substantive operational regulation for the agency in question. We propose that government agencies be permitted to process special categories of personal data if this is necessary with regard to the purpose of the processing.
The GDPR permits personal data processing relating to criminal convictions and offences or related security measures based on Article 6(1) of the GDPR to be carried out under the control of official authority. The Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to be able to process this kind of personal data in certain cases. We consider that the processing of personal data regarding criminal convictions and offences that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to carry out should not be limited or otherwise regulated separately in the new acts.
Furthermore, we make the assessment that there is no need for specific provisions on processing national identification numbers and coordination numbers. Such provisions are contained in the Data Protection Act.
Search restrictions
Searches that reveal and aggregate special categories of personal data pose specific privacy risks, and search restrictions can be an important and appropriate way to mitigate these risks. We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulate that, as a general rule, it is prohibited to carry out searches for the purpose of obtaining a sample of individuals based on special categories of personal data. However, the prohibition shall not cover searches carried out with a view to obtaining a sample of individuals on the basis of certain special categories of personal data, if the search is necessary for the government agencies to perform a task in activities covered by the relevant proposed act. The searches to be exempted from the search prohibition must be adapted to the needs of each agency. The prohibition should also not cover searches in a specific document or in a specific case.
In addition, we propose a special search prohibition in the Population Registration Data Act prohibiting the use of data on certain relationships based on adoption as search terms.
Access to personal data
A basic premise under the GDPR is that personal data should not be disclosed to more people than is necessary for the purpose of the processing. The dissemination of personal data entails a greater risk that the data will be used in a way that violates the privacy of the data subjects.
We propose that provisions be introduced in the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulating that access to personal data must be limited to what each person needs in order to carry out their duties, and that access to personal data must be scrutinised and followed up on regularly.
In the ordinances associated with the new acts, we propose regulation whereby each government agency is responsible for ensuring that there are procedures within the agency for allocating, changing, removing, and regularly following up on permissions for personal data access. It shall also be regulated that each government agency is
responsible for ensuring that there are procedures within the agency to document and regularly scrutinise personal data access.
Electronic disclosure of personal data shall be allowed unless inappropriate
The format of an authorised or prescribed data disclosure, such as whether it should be verbal, hard copy or electronic, for example, is an issue separate from the substantive regulation of the disclosure. The GDPR does not regulate specifically which technical solutions or systems may be used for the disclosure or transfer of personal data. The current national register statutes, on the other hand, contains provisions that specifically regulate the situations in which data may be disclosed electronically to individuals at all (by e-mail, for example), and the situations in which disclosure may take place to both government agencies and individuals through what is known as direct access.
Direct access is a special form of electronic disclosure in which the disclosing government agency has no control over what data the receiving actor (often another government agency) accesses on each individual occasion. When direct access is active, all data covered by it is considered to have been received by the receiving agency under the principle of public access to official records and may consequently be considered public documents of that agency. Direct access thus gives rise to what is known as surplus information and has for this reason been judged to be particularly sensitive from a privacy point of view.
However, technological developments have meant that the difference in terms of privacy between direct access and other forms of fully automated information exchange is no longer significant. Moreover, new forms of information exchange can provide the same efficiency gains as direct access, without the data made available but not obtained by the receiving government agency becoming part of that agency’s public documents. We assess that most of the privacy risks that formed the basis for previous positions on direct access have now been satisfactorily remedied by the provisions of the GDPR. We therefore assess that the current restrictions on government agencies’ ability to disclose data through direct access should not have
any equivalent in the new data protection acts. Instead, direct access should be equated with other forms of electronic disclosure from a legal perspective.
We propose that electronic disclosure be allowed unless inappropriate. This means that the Swedish Tax Agency in its taxation and population registration activities, the Swedish Customs Agency and the Swedish Enforcement Authority shall be given the opportunity to determine for themselves the format in which prescribed disclosure may take place, taking into account the GDPR and other applicable provisions, and after consultation with the Swedish Authority for Privacy Protection, where appropriate.
Provisions on obligations to disclose information shall be moved to specific ordinances on data disclosure
The GDPR requires a legal basis for all personal data processing. In order for a government agency to disclose personal data to a third party, a provision in national or Union law authorising or prescribing the disclosure is generally required. Some disclosures can also be made with reference to the principle of finality. Where data protected by confidentiality is concerned, a provision allowing a breach of the confidentiality is also required for data to be disclosed from the context in which it is classified. The current register statutes for the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority contains such provisions stating that the government agency has an obligation or opportunity to disclose data to other government agencies and individuals under certain circumstances. Such provisions also exist in other legislation and in Union law.
Personal data processing for the purpose of disclosure to a third party raises data protection issues regarding amongst other things the security of the information transfer. However, provisions stating that disclosure of data may or shall take place under certain circumstances do not constitute data protection provisions. We therefore propose that provisions regulating disclosure not be included in the new data protection legislation for the Swedish Tax Agency’s taxation and population registration activities, Swedish Customs and the Swedish Enforcement Authority, and that such provisions instead be introduced in new ordinances. These ordinances will also
contain provisions on government agencies’ right to charge fees in certain cases.
It is proposed that the provisions of the new ordinances essentially be equivalent to the current provisions. However, we propose some adjustments to the wording of the provisions, mainly to compensate for the proposed repeal of existing regulation regarding when direct access is allowed. To allow for different forms of electronic disclosure, we also propose that the new provisions not concern disclosures that can only be made at the request of the receiving government agency. In cases where the current regulation concerns disclosure on request, we propose instead combining the new provisions with a prohibition on disclosure on the initiative of the disclosing government agency. This prohibition only concerns the actual disclosure and aims to prevent spontaneous disclosure without prior contact with the recipient.
Regulation regarding deletion to be replaced by provisions on maximum processing duration
The existing register statutes for the Swedish Tax Agency’s taxation activities, Swedish Customs and the Swedish Enforcement Authority contain provisions on deletion and preservation.
In our view, however, both are concepts that belong primarily to the archival legal framework and should not be used for privacy protection purposes. The basic premise of archival law is that public documents must be preserved. We therefore propose that a clear distinction be made between archival law provisions on the one hand and data protection provisions on the other, and that data protection regulation should not include provisions on deletion.
A fundamental principle of personal data processing under the GDPR is that of storage limitation, i.e. personal data shall be kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed (Article 5(1)(e)). We propose that a provision corresponding to the principle of storage limitation be enshrined in law, but that no upper time limit for processing otherwise be specified. As a rule, government agencies must therefore decide for themselves how long the processing of data for a specific purpose is justified.
However, the Government or the agency designated by the Government may stipulate maximum time limits for processing for certain purposes if this is required for reasons such as privacy or efficiency.
The provision on the maximum duration of processing only concerns purposes that fall within the substantive scope. This means that there is no obstacle to further processing for archiving purposes. When data is processed solely for archiving purposes, the provisions of the archival legislation, in practice being the decisions or regulations of the Swedish National Archives, determine how long data (included in a public document) should be processed for this purpose.
Individuals’ rights to be restricted in certain cases
The right to object to the processing of personal data is regulated in Article 21 of the GDPR. We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulate that the right to object under Article 21(1) of the GDPR should not apply to such processing authorised by the acts or statutes issued in connection with the acts. This restriction already exists today in the corresponding register acts.
In addition, we propose that a provision be introduced in the Taxation Data Act regulating that when processing personal data on the basis of cooperation under the Act (2012:843) on administrative cooperation in the European Union in the field of taxation, certain provisions on the right to information and access to personal data in the GDPR shall not apply if such restrictions are necessary in view of an important economic or financial interest of the European Union or one of its Member States.
Specific provisions for the Swedish Enforcement Agency on rectification and appeals
There are currently specific provisions on rectification etc. and appeals in the Act on the processing of data in the activities of the Swedish Enforcement Authority. These provisions are justified by the potential impact of being registered with the Authority. We propose that such specific provisions also be introduced in the new Enforcement
Data Act, albeit with some changes compared to what is applicable today.
The provision on rectification, etc. shall state that, at the request of an individual, the Swedish Enforcement Authority shall promptly rectify, block, or delete such data about the individual that has not been processed in accordance with the above act or related legislation, or that at the time of registration is misleading as to the individual’s willingness or ability to fulfil their financial obligations. This provision shall not apply to data regarding deceased persons. With respect to legal entities, the provision shall apply only if the data at the time of registration is misleading as to the willingness or ability of the entity to fulfil its financial obligations. If the data has been disclosed to a third party, the Swedish Enforcement Authority shall notify the third party of the measure to rectify, block or delete the data if the individual so requests, or if more significant damage or inconvenience to the individual can be avoided this way. Notification shall not be required if it would involve a disproportionate amount of work.
We also propose that rectification decisions shall continue to be appealable to an administrative court. Leave to appeal will be required for appeals to an administrative court of appeal.
Data analysis and sampling for efficient control activities
We consider that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority should be given greater opportunities to use data analysis and sampling as tools for more efficient control activities.
Data analysis and sampling are an effective tool in the activities of government agencies that can, for example, facilitate the work on identifying errors. We therefore propose that specific purpose provisions be introduced in the Taxation Data Act, Population Registration Data Act, Customs Data Act and Enforcement Data Act, stipulating that the respective government agencies may process personal data if this is necessary to carry out data analysis and sampling to prevent, prohibit and detect errors in the activities covered by the legislation. The Swedish Enforcement Authority may also process personal data to carry out such analysis and sampling to prevent over-indebted-
ness. The fact that personal data may be processed to prevent, prohibit, and detect errors means that the government agencies are also provided with a clear legal basis for using analysis and sampling to identify various risks of errors before there is a case, and not only when conducting checks after the fact.
To analyse and sample data, government agencies need access to adequate and relevant data, including personal data. Excessive restrictions of the ability to process data for data analysis and sampling may in practice lead to a situation where the agencies’ opportunities to process personal data determines which phenomena the agencies can focus their control activities on, rather than allowing such activity to focus on the areas in which there is the greatest risk of error or fraud. At the same time, the measures to make control activities more efficient must be balanced against privacy concerns. We propose that the new acts specify that personal data held or collected by the respective government agencies as a result of the activities falling within the scope of each act may be processed for the purpose of data analysis and sampling. The government agencies shall also be allowed to process data provided to them in order to disclose data in accordance with an act or an ordinance. The personal data processed must always be necessary for the purposes specified in the acts. If there are alternative methods for the government agencies to carry out their tasks with the same degree of efficiency that are less invasive of privacy, these should be used instead to limit privacy intrusions.
Furthermore, we propose expanded information obligations in relation to the Swedish Tax Agency and Swedish Customs to enable adequate and efficient data analysis and sampling in control activities.
We also propose introducing specific protection and security measures to apply when government agencies carry out data analysis and sampling using personal data. The government agencies will be required to document the balancing of interests between the intended outcome of the measure and the intrusion into the individual’s personal privacy. The methods and search terms used to produce the sample shall also be documented. All documentation must enable inspection afterwards. Furthermore, an ordinance shall stipulate that the government agencies are responsible for ensuring that there are procedures within each agency for how sampling models should be designed and how search terms may be used in data analysis and sampling. The general protection and security measures in the
GDPR, the Data Protection Act and in the proposals for the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act with associated ordinances will also apply to the processing of personal data for data analysis and sampling.
Public access and confidentiality
As a result of our proposals for amended provisions regarding search terms in the Swedish Tax Agency’s population registration activities, there is a need for a new confidentiality rule to protect certain data. This is because, unlike today, some summaries may become public documents. For this reason, we propose that in the Swedish Tax Agency’s population registration activities, absolute confidentiality apply to data in a compilation from a recording for automated processing if it is based on data about place of birth, country of birth, immigration from abroad, citizenship or right of residence. However, this confidentiality shall not apply to data included in such a compilation if it is based on data on citizenship of Sweden, Denmark, Norway, Finland or Iceland, or on citizenship within or outside the European Union (EU citizenship or non-EU citizenship).
We have also identified a need for changes to certain existing confidentiality rules and for new confidentiality provisions as a result of our proposals to give government agencies greater opportunities to analyse data and carry out sampling. It is proposed that total confidentiality apply to data analysis and sampling to prevent, prohibit and detect errors in the Swedish Tax Agency’s taxation and population registration activities and in the activities of Swedish Customs and the Swedish Enforcement Authority for data about an individual’s personal or financial circumstances. This confidentiality shall also apply to the Swedish Enforcement Authority’s activities involving data analysis and sampling for the purpose of preventing overindebtedness.
We also propose that the government agencies be able to classify data on methods, models and risk factors relating to data analysis and sampling to prevent, prohibit and detect errors, if it can be assumed that the purpose of such analysis and sampling is counteracted if the data is disclosed and the analysis and sampling relate to
the Swedish Tax Agency’s taxation or population registration activities, Swedish Customs’ activities or the Swedish Enforcement Authority’s activities covered by the new acts. It shall also be possible to classify such data in the activities of the Swedish Enforcement Authority as confidential under the Enforcement Data Act if it relates to data analysis and sampling for the purpose of preventing over-indebtedness.
Furthermore, some of our proposals mean that other existing confidentiality provisions also need to be amended. We therefore propose that the provisions on confidentiality in the Public Access to Information and Secrecy Act (2009:400), referred to below using the Swedish abbreviation OSL, which currently cover activities relating to the maintenance of or extraction from the Swedish Tax Agency’s taxation database, Swedish Customs’ customs database and the Swedish Enforcement Authority’s enforcement and recovery database, be amended. Instead, it should be stipulated that confidentiality applies when maintaining or extracting data from an automated data collection that the respective government agency uses in certain activities referred to in the Taxation Data Act, the Customs Data Act and the Enforcement Data Act. Confidentiality at the government agencies shall not apply if there is a primary confidentiality provision other than Chapter 21, Sections 1, 3, 3a, 5 and 7 of OSL that is applicable to the data when it arises in a case at the Swedish Tax Agency, Swedish Customs or the Swedish Enforcement Authority. The main purpose of these provisions is to ensure confidentiality at another receiving agency that has direct access to data currently processed in the agencies’ databases.
The state’s personal address register (SPAR)
The Swedish Tax Agency’s activities regarding the Swedish state’s personal address register, SPAR, are specific and delimited. The activities related to SPAR fulfil the state’s commitment to maintain a high-quality register of population data to meet the need for control of personal data.
The Act on the Swedish state’s personal address register (referred to below as the SPAR Act), and its associated ordinance, regulate both the maintenance of a certain register and the disclosure of data
from it, including the personal data processing that this entails. The legislation therefore differs from, for example, the regulation of personal data processing in the Swedish Tax Agency’s taxation activities. Several of the general assessments regarding other activities are therefore not relevant to SPAR activities. However, the SPAR legislation is in need of modernisation in terms of language, structure and, to some extent, the provisions it should contain.
In our assessment, the need for change is substantial enough to justify repealing the current SPAR Act and the associated ordinance and replacing them with new legislation. The new legislation will have updated wording and clarifications, and the terms and structure will be adapted to other data protection legislation.
We also propose that the new act include a purpose provision such as the ones proposed in the other new data protection acts, as well as certain adjustments to the regulation of personal data responsibility for processing under the SPAR Act and ordinance. We propose that provisions on deletion be replaced by provisions on the maximum duration of processing in relation to the purposes for which data is processed, in line with other data protection regulation. In addition, we propose that individuals’ obligation to report suspected inaccurate data, which is currently regulated by ordinance, shall be regulated in an act. However, we propose that all restrictions on disclosure from SPAR be made in an ordinance, which means that restrictions on certain data, currently regulated in an act, should be moved down to ordinance level.
In addition we propose that restrictions in relation to government agencies’ ability to obtain the same data from the Swedish Tax Agency’s population registration activities be removed.
The Swedish Tax Agency’s marriage register and estate inventory activities
The existing regulation of personal data processing in the Swedish Tax Agency’s marriage register and estate inventory activities is relatively modern. In several cases, the regulation contains provisions that correspond to what we propose should apply in the new data protection acts governing the Swedish Tax Agency’s taxation and population registration activities, Swedish Customs and the Swedish
Enforcement Authority. For example, there is no regulation of databases and there are no detailed purpose provisions.
However, in our view, the current regulation should be adapted in several respects to the proposals we have submitted regarding structure, terminology, and general data protection provisions. Amending the existing legislation would mean amending most of the sections and the consolidated version would appear to be completely reworked. We therefore propose repealing the existing act and its associated ordinance and replacing it with a new act and ordinance. The overall aim of the proposal is to harmonise the design of the new data protection legislation.
In the new act regarding the Swedish Tax Agency’s marriage register and estate inventory activities, we propose certain structural changes compared to the existing act, including harmonising the purpose provisions with other regulation of data protection. We also propose some substantive changes. It is not proposed that the new legislation apply to the processing of data on deceased individuals. Furthermore, we propose that the current restrictions on when the Swedish Tax Agency may process special categories of personal data be replaced by a provision that allows such processing where necessary for the purpose of the processing, similar to the proposed wording of other regulation in this regard. We also propose that the search restrictions in the new act be harmonised with the corresponding regulation in other data protection acts. This means that the prohibition shall apply to searches that aim to achieve a sample of persons based on special categories of personal data. No exception to the prohibition for certain categories of data is proposed in this context. However, the prohibition shall not cover searches in a specific document or in a specific case.
We also propose new provisions on access restriction and on the maximum duration of. The provisions correspond to those proposed in other regulation of data protection.
Entry into force
We propose that the proposals enter into force on 1 January 2026. This is based on the assessment that the proposals should enter into force as soon as possible so that they can maximise the efficiency of
control activities at the Swedish Tax Agency, Swedish Customs, and the Swedish Enforcement Authority. At the same time, we have considered that the proposals are extensive, which requires the customary period of consultation and preparation at the Government Offices of Sweden and giving the relevant government agencies some time to prepare.
Impacts
The purpose of our proposals is to achieve appropriate supplementary data protection regulation that provides individuals with adequate privacy protection while enabling the Swedish Tax Agency, Swedish Customs, and the Swedish Enforcement Authority to perform their tasks essential to society as expressed in the substantive regulation of their respective activities. The proposals to provide government agencies with greater opportunities to carry out data analysis and sampling to prevent, prohibit and detect errors aim to provide agencies with adequate tools to improve the efficiency of their control activities. Our proposals will have implications for individual privacy. However, in our assessment, the privacy intrusions are justified and proportionate.
Our proposal that government agencies be able to obtain equivalent data to that which they can currently obtain from population registration activities (via the Swedish Tax Agency’s population data distribution system, known as Navet) through SPAR will require systems development. Furthermore, we expect our proposals to entail a certain increase in planned training activities at the government agencies. They also impose new requirements on the agencies to develop certain procedures and adhere to a specific documentation requirement when performing data analysis and sampling. Our proposals to replace the current rules on deletion with provisions on the maximum period during which personal data may be processed will lead to certain indirect costs for the Swedish National Archives, the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority until new agency-specific regulations or decisions on deletion are in place. Overall, our proposals will thus initially entail certain costs for the public sector. Our assessment is that these costs can be covered by the government agencies’ regular appropri-
ations. In the longer term, we assess that our proposals should lead to savings for the government agencies concerned and greater government revenue as a result of more efficient case management and control activities.
Our proposals are expected to have some positive effects on crime and crime prevention and indirectly on public services and business competitiveness.
The proposals are compatible with EU law and other relevant international privacy instruments.
1. Författningsförslag
1.1. Förslag till beskattningsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet.
Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt
1. lagen (1991:1047) om sjuklön,
2. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
3. lagen (2013:948) om stöd vid korttidsarbete,
4. lagen (2020:548) om omställningsstöd, och
5. lagen (2023:230) om förfarande för elstöd till företag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys eller kontroll,
5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6. fullgörande av förpliktelser som följer av internationella åtaganden, och
7. annan liknande uppgift som Skatteverket ska utföra.
4 § Bestämmelserna i denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
Förhållandet till annan reglering
5 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
6 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
7 § Skatteverket får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskydds-
förordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett
urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som
behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av information m.m. till den registrerade
17 § Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Begränsning av rätten att göra invändningar
18 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 januari 2026.
2. Genom lagen upphävs lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
1.2. Förslag till folkbokföringsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser
1. folkbokföring,
2. samordningsnummer,
3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. annan liknande uppgift som Skatteverket ska utföra.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-
förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
6 § Skatteverket får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
11 § Det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som
behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 januari 2026.
2. Genom lagen upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
1.3. Förslag till tulldatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet
1. med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter,
2. med övervakning, revision och annan analys eller kontroll,
3. i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande,
4. med fullgörande av förpliktelser som följer av internationella åtaganden, och
5. med annan liknande uppgift som Tullverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
3 § Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Bestämmelserna i denna lag gäller inte heller vid Tullverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
6 § Tullverket får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Särskilda bestämmelser om dataanalyser och urval
11 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
12 § När personuppgifter behandlas för att göra dataanalyser och urval ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
14 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
15 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av rätten att göra invändningar
16 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 januari 2026.
2. Genom lagen upphävs lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.
1.4. Förslag till kronofogdedatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med
1. utsökning och indrivning,
2. skuldsanering och F-skuldsanering,
3. betalningsföreläggande och handräckning,
4. europeiskt betalningsföreläggande,
5. ansökan om och tillsyn över näringsförbud,
6. tillsyn i konkurs och över rekonstruktörer,
7. att motverka överskuldsättning,
8. analys eller kontroll,
9. fullgörande av förpliktelser som följer av internationella åtaganden, och
10. annan liknande uppgift som Kronofogdemyndigheten ska utföra.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer.
3 § Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning.
Bestämmelserna i denna lag gäller inte heller vid Kronofogdemyndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 § De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag.
Personuppgiftsansvar
6 § Kronofogdemyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
7 § Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att
a) förebygga, förhindra och upptäcka fel i den verksamheten, och
b) motverka överskuldsättning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett
urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rättelse av uppgifter och överklagande
18 § På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som
1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller
2. vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.
19 § Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 1 januari 2026.
2. Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
3. Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före ikraftträdandet.
1.5. Förslag till lag om det statliga personadressregistret
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter.
2 § Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
4 § Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
5 § Uppgifterna i SPAR får behandlas för att
1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamål), och
2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål).
Registerinnehåll
6 § SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik.
Följande uppgifter får anges:
1. namn,
2. person- eller samordningsnummer,
3. födelsetid,
4. adress,
5. folkbokföringsort och distrikt,
6. födelsehemort,
7. svenskt medborgarskap,
8. make eller vårdnadshavare,
9. avregistrering enligt 19–22 §§folkbokföringslagen, med angivande av tidpunkt,
10. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,
11. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet),
12. taxeringsvärde för småhusenhet, 13. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer,
14. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,
15. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och
16. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik.
På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2.
7 § Uppgifter som avses i 6 § första stycket 1–9 och 13–16 hämtas från Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattningsverksamhet.
Utlämnande av uppgifter
8 § En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till
SPAR, om inte annat följer av lag eller förordning.
9 § Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR.
Sökbegrepp
10 § Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR.
Begränsning av rätten att göra invändningar
11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.
Längsta tid för behandling
12 § Uppgifter får inte behandlas i SPAR under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Anmälan om misstänkt oriktig uppgift
13 § Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR.
1. Denna lag träder i kraft den 1 januari 2026.
2. Genom lagen upphävs lagen (1998:527) om det statliga personadressregistret.
1.6. Förslag till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
4 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
5 § Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §.
6 § Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
7 § Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
9 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
Tillgång till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
11 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
12 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av rätten att göra invändningar
13 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 januari 2026.
2. Genom lagen upphävs lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
1.7. Förslag till lag om ändring i kreditupplysningslagen (1973:1173)
Härigenom föreskrivs att 8 § kreditupplysningslagen (1973:1173) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 §1
En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen.
En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhållande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes.
En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F-skuldsanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut.
En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen
(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 18 § kronofogdedatalagen
(0000:00).
1 Senaste lydelse 2016:679.
1. Denna lag träder i kraft den 1 januari 2026.
2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
1.8. Förslag till lag om ändring i lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter
Härigenom föreskrivs att 2 och 15 §§ lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §1
Om någon har rätt till ett belopp som avses i 1 § och om det allmänna mot denna person har en fordran, som är registrerad för indrivning i utsöknings- och indriv-
ningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och drivs in enligt
bestämmelserna i lagen (1993:891) om indrivning av statliga fordringar m.m. skall från beloppet räknas av så mycket som kan gå till betalning av fordringen, om inte något annat följer av vad som nedan sägs. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut.
Om någon har rätt till ett belopp som avses i 1 § och om det allmänna mot denna person har en fordran, som är registrerad för indrivning hos Kronofogdemyndig-
heten och drivs in enligt bestäm-
melserna i lagen (1993:891) om indrivning av statliga fordringar m.m. ska från beloppet räknas av så mycket som kan gå till betalning av fordringen, om inte något annat följer av vad som nedan sägs. Med det allmännas fordran avses också förrättningskostnader i målet enligt 17 kap. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut.
15 §2
Kan för betalning av en i
Kronofogdemyndighetens utsöknings- och indrivningsdatabas, regi-
strerad fordran avräkning från be-
Kan för betalning av en hos
Kronofogdemyndigheten registrerad
fordran avräkning från belopp som avses i 1 § göras både enligt denna
1 Senaste lydelse 2006:702. 2 Senaste lydelse 2006:702.
lopp som avses i 1 § göras både enligt denna lag och enligt annan författning, skall denna lag tillämpas.
lag och enligt annan författning,
ska denna lag tillämpas.
Kan en myndighet enligt annan författning göra avräkning från belopp, som avses i 1 §, för betalning av en fordran, som inte är registrerad i utsöknings- och indriv-
ningsdatabasen, får myndigheten
göra avräkningen utan hinder av att förutsättningar föreligger för avräkning enligt denna lag.
Kan en myndighet enligt annan författning göra avräkning från belopp, som avses i 1 §, för betalning av en fordran, som inte är registrerad hos Kronofogdemyndigheten, får myndigheten göra avräkningen utan hinder av att förutsättningar föreligger för avräkning enligt denna lag.
Denna lag träder i kraft den 1 januari 2026.
1.9. Förslag till lag om ändring i folkbokföringslagen (1991:481)
Härigenom föreskrivs i fråga om folkbokföringslagen (1991:481)
dels att 1, 26 c, 28 och 31 §§ ska ha följande lydelse,
dels att det ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §1
Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som enligt lagen (2001:182) om
behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får förekomma i folkbokföringsdatabasen.
Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt 1 a §.
Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd.
Folkbokföring och sådan registrering som avses i andra stycket
sker genom Skatteverkets försorg.
Skatteverket ansvarar för folk-
bokföring och sådan registrering som avses i andra stycket.
Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer.
1 a §
Skatteverket får registrera följande uppgifter om en person:
1. personnummer,
2. samordningsnummer,
3. namn,
4. födelsetid,
5. födelsehemort,
6. födelseort och födelseland,
7. adress,
1 Senaste lydelse 2022:1698.
8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt,
9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt,
12. samband enligt 11 som är grundat på adoption,
13. inflyttning från utlandet, 14. avregistrering enligt 19– 22 §§,
15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och
17. uppehållsrätt.
26 c §2
Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.
När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
2 Senaste lydelse 2022:1280.
28 §3
En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter:
1. namn och person- eller samordningsnummer,
2. datum för ändring av bostads- eller postadress,
3. ny bostads- och postadress samt beräknad giltighetstid,
4. registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och
5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser.
En anmälan enligt 26 § första stycket ska dessutom innehålla
1. uppgift om födelsetid och medborgarskap,
2. uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet,
3. uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och
4. övriga uppgifter som får föras
in i folkbokföringsdatabasen enligt lagen ( 2001:182 ) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
4. övriga uppgifter som får
registreras enligt 1 a §.
31 §4
Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll
Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll
3 Senaste lydelse 2022:1280.4 Senaste lydelse 2022:1280.
eller komplettering av andra uppgifter om en person som får föras
in i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp.
eller komplettering av andra uppgifter om en person som får regi-
streras enligt 1 a §. I föreläggan-
det ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp.
Denna lag träder i kraft den 1 januari 2026.
1.10. Förslag till lag om ändring i lagen (1991:483) om fingerade personuppgifter
Härigenom föreskrivs att 9 § lagen (1991:483) om fingerade personuppgifter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 §1
När ett medgivande att använda fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Verket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringen. Verket ska göra de ändringar i folkbokför-
ingsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet som krävs.
När ett medgivande att använda fingerade personuppgifter har upphört att gälla ska Polismyndigheten underrätta Skatteverket om detta. Skatteverket ska skyndsamt se till att de fingerade uppgifterna inte längre används inom folkbokföringsverksamheten
och göra de ändringar av registrerade uppgifter i folkbokföringsverksamheten som krävs.
Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess verket har registrerat ändringarna i folkbokföringsdatabasen men inte för tid därefter.
Sedan Polismyndigheten har underrättat Skatteverket om att ett medgivande att använda fingerade personuppgifter har upphört får den enskilde använda de fingerade uppgifterna fram till dess Skatteverket har registrerat ändringarna i folkbokföringsverk-
samheten men inte för tid därefter.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelse 2018:687.
1.11. Förslag till lag om ändring i sametingslagen (1992:1433)
Härigenom föreskrivs att 3 kap. 3 § sametingslagen (1992:1433) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 kap.
3 §1
Rösträtt till Sametinget har den som är upptagen i sameröstlängd. I sameröstlängden tas den same upp som anmäler sig till valnämnden och som är svensk medborgare och på den samiska valdagen fyllt eller fyller 18 år.
Under de förutsättningar som i andra stycket anges för svenska medborgare skall i röstlängden tas upp även de utlänningar som
enligt folkbokföringsdatabasen enligt lagen ( 2001:182 ) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
har varit folkbokförda i landet tre år i följd före valdagen och som anmäler sig till valnämnden.
Under de förutsättningar som i andra stycket anges för svenska medborgare ska i röstlängden tas upp även de utlänningar som har varit folkbokförda enligt folkbok-
föringslagen (1991:481) i landet
tre år i följd före valdagen och som anmäler sig till valnämnden.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelse 2003:704.
1.12. Förslag till lag om ändring i lagen (1994:692) om kommunala folkomröstningar
Härigenom föreskrivs att 6 § lagen (1994:692) om kommunala folkomröstningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §1
När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna i folk-
bokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i skatteförvaltningens folkbokföringsverksamhet och i
fastighetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna.
När en kommunal folkomröstning ska hållas, ska en röstlängd upprättas för varje omröstningsdistrikt. Det är uppgifterna som
har registrerats i Skatteverkets folkbokföringsverksamhet och i fastig-
hetsregistret enligt lagen (2000:224) om fastighetsregister 30 dagar före dagen för folkomröstningen som ska ligga till grund för uppgifterna i röstlängderna.
Uppgifter för framställning av röstlängder och röstkort tillhandahålls av den centrala valmyndigheten efter anmälan.
Ska folkomröstning äga rum samtidigt med ett allmänt val eller en nationell folkomröstning, får röstlängderna och röstkorten för den kommunala folkomröstningen samordnas med valet eller den nationella folkomröstningen. I annat fall och för de personer som inte är röstberättigade i det allmänna valet eller den nationella folkomröstningen ska kommunen eller regionen framställa röstlängd och upprätta röstkort med ledning av registeruppgifterna från den centrala valmyndigheten.
Centrala valmyndigheten har rätt till ersättning för de kostnader som föranleds av den kommunala folkomröstningen.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelse 2019:888.
1.13. Förslag till lag om ändring i lagen (1994:1776) om skatt på energi
Härigenom föreskrivs att 4 b kap. 1 § och 4 e kap. 1 § lagen (1994:1776) om skatt på energi ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 b kap.
1 §1
I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet:
1. elektroniska administrativa dokument enligt 4 § första stycket,
2. administrativa referenskoder enligt 4 § tredje stycket,
3. uppgifter om ändrad destination enligt 6 §,
4. underrättelser enligt 8 § om att bränsle inte längre ska föras ut från unionens tullområde,
5. mottagningsrapporter enligt 10 §, och
6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen
( 2001:181 ) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i
beskattningsdatalagen (0000:00) .
När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§.
Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.
4 e kap.
1 §2
I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor:
1. elektroniska förenklade administrativa dokument enligt 3 § första stycket,
1 Senaste lydelse 2022:166. 2 Senaste lydelse 2022:166.
2. förenklade administrativa referenskoder enligt 3 § tredje stycket,
3. uppgifter om ändrad destination enligt 5 §, och
4. mottagningsrapporter enligt 6 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen
(2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i be-
skattningsdatalagen (0000:00) .
När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 9 och 10 §§.
Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare.
Denna lag träder i kraft den 1 januari 2026.
1.14. Förslag till lag om ändring i lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m.
Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 §1
Regeringen får meddela andra föreskrifter om behandling av personuppgifter i Skatteverkets beskatt-
ningsdatabas och folkbokföringsdatabas, Kronofogdemyndighetens utsöknings- och indrivningsdatabas samt Tullverkets tulldatabas än dem som annars gäller.
Regeringen får meddela andra föreskrifter om behandling av personuppgifter än de som annars
gäller enligt
1. beskattningsdatalagen (0000:00) ,
2. folkbokföringsdatalagen (0000:00) ,
3. tulldatalagen (0000:00) , och
4. kronofogdedatalagen (0000:00) för verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud.
13 §2
Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att meddela föreskrifter på Skatteverket eller, beträffande utsök-
nings- och indrivningsdatabasen, Kronofogdemyndigheten eller, beträffande tulldatabasen, Tullverket.
Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning
Regeringen får överlåta sin befogenhet enligt 9 eller 10 §§ att meddela föreskrifter på
1. Skatteverket,
2. Kronofogdemyndigheten beträffande behandling av personuppgifter i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud
1 Senaste lydelse 2006:722. 2 Senaste lydelse 2006:722.
på Skatteverket eller, beträffande tullar, Tullverket.
enligt kronofogdedatalagen (0000:00) , eller
3. Tullverket beträffande behandling av personuppgifter enligt tulldatalagen (0000:00).
Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket.
14 §3
Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter och andra upp-
gifter som reglerar förhållanden
som omfattas av denna lag på Skatteverket eller, beträffande indrivning av fordringar och behandling av uppgifter i Kronofogdemyndighetens verksamhet,
Kronofogdemyndigheten eller, be-
träffande tullar och behandling av
uppgifter i Tullverkets verksam-
het, Tullverket.
Regeringen får överlåta befogenhet som regeringen har enligt de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de författningar om behandling av personuppgifter som reglerar förhållanden som omfattas av denna lag på
1. Skatteverket,
2. Kronofogdemyndigheten
beträffande indrivning av fordringar och behandling av person-
uppgifter i Kronofogdemyndig-
hetens verksamhet, eller
3. Tullverket beträffande tullar
och behandling av personuppgif-
ter i Tullverkets verksamhet.
Denna lag träder i kraft den 1 januari 2026.
3 Senaste lydelse 2006:722.
1.15. Förslag till lag om ändring i lagen (1999:291) om avgift till registrerat trossamfund
Härigenom föreskrivs att 8 § lagen (1999:291) om avgift till registrerat trossamfund ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 §1
Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i beskatt-
ningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskatt-
ningsverksamhet skall det trossamfund som lämnat uppgiften ersätta staten i motsvarande utsträckning.
Om staten till följd av behandlingen av en uppgift som avses i 5 § betalar skadestånd till en person som är registrerad i Skatteverkets beskattningsverksamhet
ska det trossamfund som lämnat
uppgiften ersätta staten i motsvarande utsträckning.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelsen 2003:726.
1.16. Förslag till lag om ändring i studiestödslagen (1999:1395)
Härigenom föreskrivs i fråga om studiestödslagen (1999:1395)
dels att 4 kap. 26 § och 5 kap. 6 a § ska ha följande lydelse,
dels att punkt 20 i ikraftträdande- och övergångsbestämmelserna
ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
26 §1
Låntagaren ska lämna de uppgifter som är av betydelse för tillämpningen av detta kapitel till Centrala studiestödsnämnden.
En låntagare som har fått årsbeloppet nedsatt är skyldig att omedelbart underrätta Centrala studiestödsnämnden, om någon omständighet som föranlett nedsättningen inte längre finns.
En låntagare som inte har sin aktuella adress registrerad i folk-
bokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk-
bokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
En låntagare som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
5 kap.
6 a §2
En återbetalningsskyldig som inte har sin aktuella adress registrerad i folkbokföringsdatabasen
enligt lagen (2001:182) om behandling av personuppgifter i Skatte-
verkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
En återbetalningsskyldig som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
1 Senaste lydelsen 2011:859. 2 Senaste lydelse 2011:859.
20. Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i
folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets
folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
20.3 Den som är återbetalningsskyldig för studielån, studiemedel eller återkrav enligt studiestödslagen (1973:349) och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
Denna lag träder i kraft den 1 januari 2026.
3 Senaste lydelse 2011:859.
1.17. Förslag till lag om ändring i vallagen (2005:837)
Härigenom föreskrivs att 4 kap.1 och 12 §§, 5 kap. 1 § och 6 kap. 8 §vallagen (2005:837) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
1 §1
För val till riksdagen, regionfullmäktige och kommunfullmäktige ska det finnas geografiskt avgränsade områden för vilka det ska väljas ledamöter till den beslutande församling valet gäller (valkretsar). För val till Europa-parla-
mentet utgör landet en enda
valkrets.
För val till riksdagen, regionfullmäktige och kommunfullmäktige ska det finnas geografiskt avgränsade områden för vilka det ska väljas ledamöter till den beslutande församling valet gäller (valkretsar). För val till Europaparla-
mentet utgör landet en enda
valkrets.
Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifterna
i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets
folkbokföringsverksamhet den 1 mars valåret.
Om inte annat anges ska vid tillämpningen av detta kapitel antalet röstberättigade vid ett val beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om per-
soner som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars
valåret.
12 §2
Om en kommun har 36 000 personer eller fler som har rösträtt, får kommunen delas in i två eller flera valkretsar.
En kommun som har färre än 36 000 personer som har rösträtt får delas in i valkretsar endast om det finns särskilda skäl för det.
1 Senaste lydelse 2019:923. 2 Senaste lydelse 2014:1384.
Antalet röstberättigade ska beräknas på grundval av uppgifterna i folkbokföringsdatabasen enligt
lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk-
bokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas.
Antalet röstberättigade ska beräknas på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas.
En valkrets bör utformas så att den kan beräknas få minst 13 fasta valkretsmandat. Den ska ha en sammanhängande gränslinje, om det inte finns särskilda skäl för något annat.
5 kap.
1 §
Vid val skall den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd).
Vid val ska den centrala valmyndigheten för varje valdistrikt upprätta en förteckning över dem som är röstberättigade i valet (röstlängd).
Röstlängderna skall grundas på de uppgifter som 30 dagar före
valdagen finns i folkbokföringsdatabasen enligt lagen ( 2001:182 ) om behandling av personuppgifter
i Skatteverkets folkbokföringsverksamhet och i fastighetsregistret enligt lagen (2000:224) om fastighetsregister.
Röstlängderna ska grundas på uppgifter i Skatteverkets folkbokföringsverksamhet, i fastighetsregistret enligt lagen (2000:224) om fastighetsregister och uppgif-
ter om personer som ska tas upp i röstlängden enligt 2 § första stycket. Röstlängderna ska grundas på de uppgifter som finns 30 dagar före valdagen.
6 kap.
8 §3
Följande partier som ställer upp i ett val har rätt till valsedlar på statens bekostnad:
1. vid val till riksdagen: parti som vid valet får eller vid något av de två senaste riksdagsvalen har fått mer än 1 procent av rösterna i hela landet eller som ändå är eller genom valet blir representerat i riksdagen,
3 Senaste lydelse 2019:923.
2. vid val till region- eller kommunfullmäktige: parti som är eller genom valet blir representerat i fullmäktige,
3. vid val till Europaparlamentet: parti som vid valet får eller vid något av de två senaste valen till Europaparlamentet har fått mer än 1 procent av rösterna i hela landet.
I samtliga fall avser rätten till fria valsedlar ett antal som motsvarar högst tre gånger antalet röstberättigade i
1. vid val till riksdagen: valkretsen,
2. vid övriga val: valet. Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifterna
i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk-
bokföringsverksamhet den 1 mars valåret.
Vid tillämpningen av andra stycket beräknas antalet röstberättigade på grundval av uppgifter i Skatteverkets folkbokföringsverksamhet och uppgifter om personer
som ska tas upp i röstlängden enligt 5 kap. 2 § första stycket. Beräkningen ska ske på grundval av de uppgifter som finns den 1 mars
valåret.
Denna lag träder i kraft den 1 januari 2026.
1.18. Förslag till lag om ändring i lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar
Härigenom föreskrivs att 6 § lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt den beskatt-
ningsdatabas som Skatteverket för enligt lagen (2001:181) om behandling av uppgifter i Skatte-
verkets beskattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen.
Med ett års tillväxt avses i denna lag produkten av lantbruksenhetens skogsmarksareal den 1 januari 2005 enligt uppgift som
har registrerats i Skatteverkets be-
skattningsverksamhet och det tillväxttal som enligt bilaga 2 till denna lag gäller för det län där lantbruksenheten är belägen.
Om lantbruksenheten har bildats efter den 1 januari 2005, beräknas tillväxten på enhetens skogsmarksareal vid tidpunkten för enhetens bildande.
Denna lag träder i kraft den 1 januari 2026.
1.19. Förslag till lag om ändring i lagen (2006:939) om kvalificerade skyddsidentiteter
Härigenom föreskrivs att 4 och 10 §§ lagen (2006:939) om kvalificerade skyddsidentiteter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 §1
I ett beslut om kvalificerad skyddsidentitet får det förordnas
1. att Transportstyrelsen skall utfärda körkort i den kvalificerade skyddsidentitetens namn,
1. att Transportstyrelsen ska utfärda körkort i den kvalificerade skyddsidentitetens namn,
2. att andra statliga myndigheter skall utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller
2. att andra statliga myndigheter ska utfärda pass eller andra identitetshandlingar i den kvalificerade skyddsidentitetens namn, eller
3. att Skatteverket skall registrera den kvalificerade skyddsidentiteten i folkbokföringsdata-
basen enligt lagen ( 2001:182 ) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
3. att Skatteverket ska registrera den kvalificerade skyddsidentiteten i folkbokföringsverk-
samheten.
Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet skall föra in uppgifter om körkortet i vägtrafikregistret.
Ett förordnande enligt första stycket 1 får meddelas endast för den som innehar motsvarande körkort. I samband med förordnandet får det beslutas att Transportstyrelsen eller någon annan körkortsmyndighet ska föra in uppgifter om körkortet i vägtrafikregistret.
I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även skall
I samband med ett förordnande enligt första stycket 2 får det beslutas att den myndighet som utfärdar handlingen även ska
1 Senaste lydelse 2008:1355.
föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras.
föra in uppgifter om handlingen i det register där handlingar av det aktuella slaget registreras.
Ett förordnande enligt första stycket 3 får meddelas endast om åtgärder enligt första stycket 1 eller 2 inte är tillräckliga.
10 §2
När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 1 eller 2 har upphört att gälla, ska körkort, pass eller andra identitetshandlingar som omfattas av förordnandet lämnas in till beslutsmyndigheten.
När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokförings-
databasen utgör en kvalificerad
skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folk-
bokföringsdatabasen ange att
registreringen avser en kvalificerad skyddsidentitet.
När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan från beslutsmyndigheten, avregistrera den kvalificerade skyddsidentiteten. Om det fortfarande finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska anstå till dess att risken har upphört. När uppgiften att det som har registrerats i folkbokförings-
verksamheten utgör en kvalificerad
skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), ska Skatteverket, efter anmälan från beslutsmyndigheten, i folk-
bokföringsverksamheten ange att
registreringen avser en kvalificerad skyddsidentitet.
Denna lag träder i kraft den i januari 2026.
2 Senaste lydelse 2009:517.
1.20. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 17 kap. 1 a §, 22 kap. 1 a och 6 §§, 27 kap. 1, 3, 4, 7, 8 och
10 §§, 34 kap. 2, 3, 4 och 11 §§ och rubriken närmast före 17 kap. 1 a § och 34 kap. 2 § ska ha följande lydelse,
dels att det ska införas fyra nya paragrafer, 22 kap. 1 b §, 27 kap.
2 a och 3 a §§ och 34 kap. 10 b §, och närmast före 34 kap. 10 b § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
17 kap.
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i
folkbokföringsverksamheten
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i vissa
verksamheter
1 a §1
Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka
felaktiga uppgifter i folkbokföringsverksamheten, om det kan antas
att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs
och analyserna och urvalen rör
1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) eller 2 § folkbokföringsdatalagen (0000:00) ,
2. Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00) , eller
1 Senaste lydelse 2023:162.
3. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) . Sekretessen gäller även i verksamhet som avses i första stycket 3 för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.
22 kap.
1 a §2
Sekretess gäller i verksamhet
som avser förande av och uttag ur analys- och urvalsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet för upp-
gift om en enskilds personliga eller ekonomiska förhållanden som
har tillförts databasen.
Sekretess gäller vid dataanaly-
ser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00)
för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
1 b §
Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt.
Sekretessen gäller inte för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller
2 Senaste lydelse 2023:162.
Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
6 §3
Den tystnadsplikt som följer av 1 § första stycket, 1 a och 2 §§ inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 1 § första stycket och 1 a–2 §§ inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
27 kap.
1 §4
Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller vidare
1. i verksamhet som avser förande av eller uttag ur beskattnings-
databasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet för
uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen,
1. vid förande av eller uttag ur
en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift
om en enskilds personliga eller ekonomiska förhållanden,
2. hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och
3 Senaste lydelse 2023:162. 4 Senaste lydelse 2022:1685.
3. hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift.
Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, rapporteringsavgift, plattformsavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst.
Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §.
Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §. Andra stycket 1 gäller inte
heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket.
För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år.
2 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
3 §
Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
Motsvarande sekretess gäller
i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet för uppgift som har tillförts databasen.
Motsvarande sekretess gäller
vid förande av eller uttag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift som finns i den uppgiftssamlingen.
Första och andra styckena gäller inte om annat följer av 6 §.
Första och andra styckena gäller inte om annat följer av 6 §.
Andra stycket gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
3 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
4 §5
Sekretessen enligt 1–3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om upp-
Sekretessen enligt 1, 2 och
3 §§ gäller för uppgift i mål hos
domstol, om det kan antas att den enskilde lider skada eller men om
5 Senaste lydelse 2011:739.
giften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen.
uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen.
7 §6
Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i
1. lag om förfarande vid beskattning,
2. lagen ( 2001:181 ) om behandling av uppgifter i Skatteverkets beskattningsverksamhet,
3. lagen (1990:613) om miljö-
avgift på utsläpp av kväveoxider vid energiproduktion, eller
2. lagen (1990:613) om miljö-
avgift på utsläpp av kväveoxider vid energiproduktion,
3. förordningen ( 0000:00 ) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller
4. förordningen (2001:646) om
behandling av uppgifter i Tullverkets verksamhet.
4. förordningen (0000:00) om
utlämnande av uppgifter från Tullverket.
8 §
Sekretessen enligt 1–4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs.
Sekretessen enligt 1, 2, 3 och
4 §§ hindrar inte att uppgift i
ärende om revision lämnas till en förvaltare i den enskildes konkurs.
6 Senaste lydelse 2016:883.
Sekretessen enligt 2–4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs.
Sekretessen enligt 2, 3 och
4 §§ hindrar inte att uppgift i
ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs.
Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen.
10 §7
Den tystnadsplikt som följer av 1 §, 2 § första stycket och 3–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 1 §, 2 § första stycket och 2 a–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
34 kap.
Utsöknings- och indrivningsdatabasen
Uppgifter i automatiserade uppgiftssamlingar
2 §
Under motsvarande förutsättningar som i 1 § gäller sekretess i
verksamhet som avser förande av
eller uttag ur utsöknings- och in-
drivningsdatabasen enligt lagen
Under motsvarande förutsättningar som i 1 § gäller sekretess
vid förande av eller uttag ur en automatiserad uppgiftssamling som Kronofogdemyndigheten använder
7 Senaste lydelse 2018:1919.
(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet för uppgift om en en-
skilds personliga eller ekonomiska förhållanden som har tillförts data-
basen.
i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en en-
skilds personliga eller ekonomiska förhållanden.
Första stycket gäller inte om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
3 §
Uppgift i mål, ärende eller
verksamhet som avses i 1 och 2 §§
och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § lagen
(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet omfattas av sekretess
oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats.
Uppgift som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 18 § krono-
fogdedatalagen (0000:00)omfattas
av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
4 §
Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat
Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat
eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet.
eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och
10 b §§ för sådan uppgift om en
enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet.
Om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i Kronofogdemyndighetens verksamhet
10 b §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel samt motverka överskuldsättning i Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
11 §8
Den tystnadsplikt som följer av 4 § och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 4 § och 10 b § och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
1. Denna lag träder i kraft den 1 januari 2026.
2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
8 Senaste lydelse 2018:1919.
1.21. Förslag till lag om ändring i skatteförfarandelagen (2011:1244)
Härigenom föreskrivs att 65 kap. 13 § skatteförfarandelagen (2011:1244) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
65 kap.
13 §
Om skatt eller avgift inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats.
Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras i utsök-
nings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Därefter
beräknas kostnadsräntan efter en räntesats som motsvarar basräntan.
Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning eller för verkställighet av betalningssäkring registreras hos Krono-
fogdemyndigheten. Därefter beräk-
nas kostnadsräntan efter en räntesats som motsvarar basräntan.
Denna lag träder i kraft den 1 januari 2026.
1.22. Förslag till lag om ändring i lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter
Härigenom föreskrivs att 8 § lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 §
Om skatten inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats till och med den dag då beloppet betalas.
Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras
i utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Därefter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen.
Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus 15 procentenheter till och med den dag då ett beslut om att lämna beloppet till Kronofogdemyndigheten för indrivning registreras
hos Kronofogdemyndigheten. Där-
efter beräknas kostnadsräntan med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen.
Om skatt ska betalas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska kostnadsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag. Kostnadsränta ska beräknas till och med den dag då betalning senast ska ske. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen.
Om det finns synnerliga skäl, ska beskattningsmyndigheten besluta om befrielse från kostnadsränta.
Om skatt ska tillgodoräknas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska intäktsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag till och med den dag
omprövning beslutats. Intäktsränta ska beräknas efter en räntesats som motsvarar intäktsräntan enligt 65 kap. 4 § tredje stycket skatteförfarandelagen.
Denna lag träder i kraft den 1 januari 2026.
1.23. Förslag till lag om ändring i tullagen (2016:253)
Härigenom föreskrivs att 1 kap.4 och 5 §§tullagen (2016:253)1 ska upphöra att gälla den 1 januari 2026.
1 Senaste lydelse av 1 kap. 4 § 2022:1132.
1.24. Förslag till lag om ändring i kommunallagen (2017:725)
Härigenom föreskrivs att 5 kap. 6 § kommunallagen (2017:725) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
6 §
Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av uppgifterna i folk-
bokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folk-
bokföringsverksamhet den 1 mars året före valåret.
Vid tillämpningen av 5 § ska antalet röstberättigade beräknas på grundval av de uppgifter som
har registrerats i Skatteverkets folk-
bokföringsverksamhet den 1 mars året före valåret.
Denna lag träder i kraft den 1 januari 2026.
1.25. Förslag till lag om ändring i lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område
Härigenom föreskrivs att 2 kap. 6 § och rubriken närmast före 2 kap. 6 § lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
Beskattningsdatabasen Sökning i beskattningsverksamheten
6 §
I lagen (2001:181) om behand-
ling av uppgifter i Skatteverkets beskattningsverksamhet finns be-
stämmelser om beskattningsdata-
basen. Vid sökning i beskattningsdatabasen som görs för att utföra
en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas.
I
(0000:00) finns bestämmelser om hur personuppgifter får behandlas i Skatteverkets beskattningsverksamhet. Vid sökning i beskattningsverksamheten som görs för att ut-
föra en uppgift som anges i 1 § får endast uppgift om namn, personnummer eller samordningsnummer användas.
Denna lag träder i kraft den 1 januari 2026.
1.26. Förslag till lag om ändring i lagen (2022:155) om tobaksskatt
Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:155) om tobaksskatt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
2 §
I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet:
1. elektroniska administrativa dokument enligt 4 § första stycket,
2. administrativa referenskoder enligt 4 § tredje stycket,
3. uppgifter om ändrad destination enligt 6 §,
4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde,
5. mottagningsrapporter enligt 10 §, och
6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen
(2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskatt-
När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§.
Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.
8 kap.
2 §
I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor:
1. elektroniska förenklade administrativa dokument enligt 4 § första stycket,
2. förenklade administrativa referenskoder enligt 4 § tredje stycket,
3. uppgifter om ändrad destination enligt 6 §, och
4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen
(2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskatt-
När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§.
Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare.
Denna lag träder i kraft den 1 januari 2026.
1.27. Förslag till lag om ändring i lagen (2022:156) om alkoholskatt
Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:156) om alkoholskatt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
2 §
I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet:
1. elektroniska administrativa dokument enligt 4 § första stycket,
2. administrativa referenskoder enligt 4 § tredje stycket,
3. uppgifter om ändrad destination enligt 6 §,
4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde,
5. mottagningsrapporter enligt 10 §, och
6. exportrapporter enligt 11 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen
(2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskatt-
När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§.
Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.
8 kap.
2 §
I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor:
1. elektroniska förenklade administrativa dokument enligt 4 § första stycket,
2. förenklade administrativa referenskoder enligt 4 § tredje stycket,
3. uppgifter om ändrad destination enligt 6 §, och
4. mottagningsrapporter enligt 7 §. Bestämmelser om behandlingen av uppgifter i det datoriserade systemet finns i lagen
(2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Bestämmelser om behandlingen av personuppgifter i det datoriserade systemet finns i beskatt-
När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§.
Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare.
Denna lag träder i kraft den 1 januari 2026.
1.28. Förslag till lag om ändring i lagen (2022:856) om omställningsstudiestöd
Härigenom föreskrivs att 45 § lagen (2022:856) om omställningsstudiestöd ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
45 §
Den som är återbetalningsskyldig för återkrav och som inte har sin aktuella adress registrerad
i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets
folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
Den som är återbetalningsskyldig för återkrav och som inte har sin aktuella adress registrerad i Skatteverkets folkbokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
Denna lag träder i kraft den 1 januari 2026.
1.29. Förslag till lag om ändring i lagen (2022:1697) om samordningsnummer
Härigenom föreskrivs att 1 kap. 2 §, 2 kap. 4 § och 4 kap.1 och 2 §§ lagen (2022:1697) om samordningsnummer ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
2 §
Skatteverket beslutar i ärenden enligt denna lag.
Uppgifter om personer som har tilldelats samordningsnummer registreras i folkbokföringsdatabasen enligt lagen ( 2001:182 ) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Skatteverket får registrera följande uppgifter om en person som har tilldelats samordningsnummer:
1. samordningsnummer,
2. personnummer,
3. namn,
4. födelsetid,
5. medborgarskap,
6. födelseort och födelseland
7. kontaktadress,
8. om personens identitet är styrkt, sannolik eller osäker,
9. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1,
10. vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och
11. tidpunkt för när en person har avlidit.
Bestämmelser om folkbokföring och personnummer finns i folkbokföringslagen (1991:481).
2 kap.
4 §
Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck
och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.
När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
4 kap.
1 §
En myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokförings-
databasen om någon som har till-
delats ett samordningsnummer är oriktig eller ofullständig.
En myndighet ska underrätta Skatteverket om det kan antas att en uppgift som får registreras om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig.
En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det.
Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekämpande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400).
2 §
Om en person med ett samordningsnummer har en kontaktadress registrerad i folkbokförings-
databasen, ska han eller hon an-
mäla ändringar av adressen till Skatteverket.
Om en person med ett samordningsnummer har en kontaktadress registrerad, ska han eller hon anmäla ändringar av adressen till Skatteverket.
Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.
Denna lag träder i kraft den 1 januari 2026.
1.30. Förslag till beskattningsdataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar beskattningsdatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.
Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
Rätt att meddela föreskrifter
7 § Skatteverket får meddela föreskrifter om verkställigheten av beskattningsdatalagen (0000:00) och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026.
2. Genom förordningen upphör förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet att gälla.
1.31. Förslag till folkbokföringsdataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar folkbokföringsdatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.
Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
Rätt att meddela föreskrifter
7 § Skatteverket får meddela föreskrifter om verkställigheten av folkbokföringsdatalagen (0000:00) och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026.
2. Genom förordningen upphör förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet att gälla.
1.32. Förslag till tulldataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar tulldatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.
Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Tullverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Tullverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Tullverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Tullverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Tullverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
Rätt att meddela föreskrifter
7 § Tullverket får meddela föreskrifter om verkställigheten av tulldatalagen (0000:00) och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026.
2. Genom förordningen upphör förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet att gälla.
1.33. Förslag till kronofogdedataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar kronofogdedatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen.
Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Kronofogdemyndigheten får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
Rätt att meddela föreskrifter
7 § Kronofogdemyndigheten får meddela föreskrifter om verkställigheten av kronofogdedatalagen (0000:00) och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026.
2. Genom förordningen upphör förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet att gälla.
1.34. Förslag till förordning om det statliga personadressregistret
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar lagen (0000:00) om det statliga personadressregistret.
Ansvarig myndighet
2 § Skatteverket ansvarar för SPAR.
SPAR-nämnden
3 § Skatteverkets beslut i frågor som avses i 10 § och 13 § första stycket denna förordning ska fattas av en särskild nämnd inom myndigheten, SPAR-nämnden. Om det finns skäl för det, får Skatteverket bestämma att nämnden ska fatta beslut även i annat enskilt ärende enligt lagen (0000:00) om det statliga personadressregistret eller denna förordning.
Närmare bestämmelser om nämnden, dess ledamöter och nämndens beslutsförhet finns i 27–29 §§ förordningen (2017:154) med instruktion för Skatteverket.
Avgifter
4 § Användningen av SPAR får vara avgiftsbelagd.
Elektroniskt utlämnande av uppgifter
5 § Uppgifter från Skatteverkets beskattningsverksamhet får endast lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket.
6 § Uppgifter om födelsehemort och svenskt medborgarskap får endast lämnas ut till myndigheter.
7 § Uppgifter om adress och folkbokföringsort för en person under 16 år får till enskilda endast lämnas ut för kontrolländamål enligt 5 § 1 lagen (0000:00) om det statliga personadressregistret.
8 § Uppgifter om make eller vårdnadshavare får endast lämnas ut till
1. myndigheter,
2. banker,
3. kreditmarknadsföretag,
4. försäkringsföretag,
5. tjänstepensionsföretag,
6. fondbolag,
7. AIF-förvaltare,
8. värdepappersbolag,
9. betalningsinstitut, 10. institut för elektroniska pengar, 11. kreditupplysningsföretag, 12. pensionsstiftelser, 13. inrättningar för detaljhandel med läkemedel som bedrivs med tillstånd enligt 2 kap. 1 § lagen (2009:366) om handel med läkemedel,
14. enskilda huvudmän enligt 2 kap. 5 § skollagen (2010:800), 15. privata vårdgivare enligt 1 kap. 3 § patientdatalagen (2008:355), 16. sådana företag som på uppdrag av försäkringsföretag, tjänstepensionsföretag eller pensionsstiftelser administrerar försäkringar, pensioner eller liknande utfästelser, och
17. föreningar och stiftelser om uppgifterna behövs i samband med släktforskning.
9 § Uppgifter om att en registrerad har begärt att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret får endast lämnas ut om den registrerade har samtyckt till det.
Bruttoavisering
10 § Efter beslut av Skatteverket får vissa uppgifter som rör samtliga personer i SPAR lämnas ut för kontrolländamål enligt 5 § 1 lagen (0000:00) om det statliga personadressregistret (bruttoavisering).
Bruttoavisering får avse uppgifter för en viss period om ändring av
namn, personnummer, födelsetid, adress, folkbokföringsort och make eller vårdnadshavare samt avregistrering från folkbokföringen.
Bruttoavisering får endast medges den som i sin verksamhet regelmässigt behandlar uppgifter om en betydande del av befolkningen och fortlöpande behöver uppdatera dessa. För sådant utlämnande gäller att uppgifter om personer som inte har direkt samband med mottagarens verksamhet ska gallras i omedelbar anslutning till uppdateringen.
Informationsskyldighet vid utlämnande för direktreklam
11 § Vid utlämnande av uppgifter om namn och adress för direktreklam enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret ska Skatteverket se till att den som hämtar uppgifterna ur
SPAR informerar de registrerade om att uppgifterna hämtats ur SPAR och om adress dit de kan vända sig i frågor rörande SPAR.
Sökbegrepp
12 § För kontrolländamål enligt 5 § 1 lagen (0000:0) om det statliga personadressregistret får endast följande uppgifter användas som sökbegrepp:
1. namn,
2. person- eller samordningsnummer,
3. födelsetid,
4. adress, och
5. folkbokföringsort och distrikt. Uppgifter om adress, folkbokföringsort och distrikt får dock endast användas i kombination med uppgift om namn.
13 § För urvalsändamål enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret får endast följande uppgifter användas som sökbegrepp, om inte annat sägs i tredje eller fjärde stycket:
1. person- eller samordningsnummer,
2. födelsetid,
3. adress,
4. folkbokföringsort och distrikt,
5. make eller vårdnadshavare,
6. avregistrering enligt 19–22 §§folkbokföringslagen (1991:481), med angivande av tidpunkt,
7. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,
8. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), och
9. taxeringsvärde för småhusenhet. Uppgifter enligt första stycket 7 och 9 ska ordnas i klasser på det sätt som Skatteverket beslutar.
Uppgifter om barn yngre än åtta veckor och uppgifter enligt 7–9 om en person under 18 år får inte användas som sökbegrepp vid en behandling enligt första stycket.
Uppgifter om avregistrering på grund av dödsfall enligt 19 § folkbokföringslagen får användas som sökbegrepp vid en behandling enligt första stycket tidigast fyra veckor efter dödsfallet.
Statistiska bearbetningar
14 § Uppgifter enligt 6 § första stycket lagen (0000:00) om det statliga personadressregistret får även behandlas för statistiska bearbetningar med de sökbegrepp som är tillåtna enligt 13 §, om resultaten redovisas i en avidentifierad form.
Längsta tid för behandling
15 § För kontroll- och urvalsändamål enligt 5 § lagen (0000:00) om det statliga personadressregistret får följande uppgifter behandlas som längst tre år efter det att en ny, motsvarande uppgift registrerades:
1. namn,
2. person- eller samordningsnummer,
3. födelsetid,
4. adress,
5. folkbokföringsort och distrikt,
6. födelsehemort,
7. svenskt medborgarskap,
8. make eller vårdnadshavare, och
9. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer.
16 § För kontroll- och urvalsändamål enligt 5 § lagen (0000:00) om det statliga personadressregistret får följande uppgifter behandlas som längst till när en ny, motsvarande uppgift registreras:
1. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,
2. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), och
3. taxeringsvärde för småhusenhet.
17 § Om en person avregistreras från folkbokföringen, en person med ett samordningsnummer avlider eller ett samordningsnummer förklaras vilande, får uppgifter enligt 6 § lagen (0000:00) om det statliga personadressregistret behandlas för kontroll- och urvalsändamål enligt 5 § samma lag som längst tre år efter det att uppgiften om avregistreringen, dödsfallet eller vilandeförklaringen registrerades i
SPAR.
Uppgifter om den som avregistrerats som utflyttad enligt 20 § folkbokföringslagen (1991:481) får dock behandlas för sådana ändamål som längst fem år efter det att uppgiften om avregistreringen registrerades i SPAR, om inte den utflyttade dessförinnan anmält ett fortsatt behov av att uppgifterna står kvar i registret. En sådan anmälan måste därefter göras vart femte år för att uppgifterna ska få fortsätta behandlas. Har tidsfristen för hur länge uppgifterna får behandlas löpt ut, får de efter anmälan åter behandlas i SPAR.
Rätt att meddela föreskrifter
18 § Skatteverket får meddela föreskrifter om
1. giltighetstid för Skatteverkets beslut enligt lagen (0000:00) om det statliga personadressregistret och denna förordning,
2. giltighetstid för användning av uppgifter som har lämnats ut för urvalsändamål, och
3. villkor för säkerhet och hantering vid utlämnande av uppgifter ur SPAR.
Skatteverket får även meddela de föreskrifter som behövs för verkställigheten av lagen och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026.
2. Genom förordningen upphävs förordningen (1998:1234) om det statliga personadressregistret.
1.35. Förslag till förordning om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar lagen (0000:00) om dataskydd för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Ord och uttryck i förordningen har samma betydelse som i lagen.
Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Rutiner vid elektroniskt utlämnande
4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
5 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
Avgifter
6 § Skatteverket får besluta om avgifter för utlämnande av uppgifter.
Rätt att meddela föreskrifter
7 § Skatteverket får meddela föreskrifter om verkställigheten av lagen (0000:00) om dataskydd för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026.
2. Genom förordningen upphör förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter att gälla.
1.36. Förslag till förordning om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet i vissa fall.
Bestämmelser som avser Skatteverkets utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § beskattningsdatalagen (0000:00).
3 § Skatteverket får ta ut avgifter för att lämna ut uppgifter.
Rätten att ta ut avgifter får dock inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Skatteverket fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.
2 kap. Utlämnande till enskilda
1 § Om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs får följande uppgifter lämnas ut till en enskild:
1. namn och personnummer,
2. organisationsnummer, namn, företagsnamn och juridisk form samt i fråga om handelsbolag och andra juridiska personer sådana
uppgifter om huvudkontor och säte som avses i 67 kap. 8 § skatteförfarandelagen (2011:1244),
3. registrering enligt skatteförfarandelagen samt särskilt registrerings- eller redovisningsnummer,
4. på vilket sätt den preliminära skatten ska betalas för en fysisk person,
5. registrering av skyldighet att göra skatteavdrag eller betala arbetsgivaravgifter,
6. slag av näringsverksamhet,
7. beslut om likvidation, förenklad avveckling eller konkurs,
8. om en fysisk eller juridisk person är godkänd som skattebefriad förbrukare enligt lagen (1994:1776) om skatt på energi eller lagen (2022:156) om alkoholskatt och i sådana fall från vilken tidpunkt, samt vad godkännandet omfattar.
9. om en fysisk eller juridisk person är godkänd som registrerad avsändare enligt lagen om skatt på energi, lagen (2022:155) om tobaksskatt eller lagen om alkoholskatt och i sådana fall från vilken tidpunkt, och
10. om en distansförsäljare enligt 10 kap. lagen om tobaksskatt har ställt säkerhet för skatten på de varor som sänds från det andra EU-landet.
2 § I den utsträckning det behövs för beräkning eller kontroll av arbetslöshetsersättning enligt lagen (1997:238) om arbetslöshetsförsäkring ska följande uppgifter lämnas ut till arbetslöshetskassorna:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
3 kap. Utlämnande till andra verksamheter inom Skatteverket
Skatteverkets brottsbekämpande verksamhet
1 § I den utsträckning det behövs i verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet ska följande uppgifter lämnas ut till Skatteverkets brottsbekämpande verksamhet:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter,
6. revision och annan kontroll av skatter och avgifter,
7. uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
8. yrkanden och grunder i ett ärende, och
9. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Skatteverkets folkbokföringsverksamhet
2 § I den utsträckning det behövs för handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten ska följande uppgifter lämnas ut till Skatteverkets folkbokföringsverksamhet:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter,
6. underlag för fastighetstaxering, och
7. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Skatteverkets verksamhet med det statliga personadressregistret
3 § I den utsträckning det behövs i verksamhet enligt lagen (0000:00) om det statliga personadressregistret ska följande uppgifter lämnas ut till Skatteverkets verksamhet med det statliga personadressregistret:
1. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,
2. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), och
3. taxeringsvärde för småhusenhet.
Skatteverkets verksamhet för evenemangsstöd
4 § I den utsträckning det behövs för handläggning enligt förordningen (2021:816) om statligt stöd för vissa planerade evenemang som inte kunnat genomföras med anledning av begränsningar som beslutats för att förhindra spridning av sjukdomen covid-19 ska följande uppgifter lämnas ut till Skatteverkets verksamhet för evenemangsstöd:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, och
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare.
Utlämnande på eget initiativ
5 § Utlämnande av uppgifter enligt 1, 2 och 4 §§ får inte ske på initiativ av Skatteverkets beskattningsverksamhet.
4. kap. Utlämnande till Kronofogdemyndigheten
1 § I den utsträckning det behövs i Kronofogdemyndighetens verksamhet ska följande uppgifter lämnas ut till Kronofogdemyndigheten:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, och
3. registrering för skatter och avgifter.
2 § Uppgifter som anges i 3 § ska lämnas ut till Kronofogdemyndigheten i den utsträckning det behövs för
1. verksamhet med skuldsanering eller F-skuldsanering,
2. verksamhet med utsökning eller indrivning, eller
3. handläggning av ärenden om tillsyn över näringsförbud.
3 § Följande uppgifter ska lämnas ut enligt 2 §:
1. underlag för fastställande av skatter och avgifter,
2. bestämmande av skatter och avgifter,
3. uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
4. yrkanden och grunder i ett ärende, och
5. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
4 § Uppgifter som anges i 3 § 1 och 2 ska även lämnas ut till Kronofogdemyndigheten i den utsträckning det behövs för handläggning av en begäran om inhämtande av bankkontoinformation enligt
Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur.
Utlämnande på eget initiativ
5 § Utlämnande av uppgifter enligt 1–4 §§ får inte ske på initiativ av Skatteverket.
5 kap. Utlämnande till Tullverket
1 § Uppgifter som anges i 2 § ska lämnas ut till Tullverket i den utsträckning det behövs för
1. handläggning av ärenden om skyldighet att betala tull eller andra avgifter enligt tullagstiftningen,
2. handläggning av ärenden om skyldighet att betala skatt för vara vid import,
3. handläggning av ärenden om skattskyldighet enligt
a) lagen (1994:1776) om skatt på energi,
b) lagen (2016:1067) om skatt på kemikalier i viss elektronik,
c) lagen (2018:696) om skatt på vissa nikotinhaltiga produkter,
d) lagen (2020:32) om skatt på plastbärkassar,
e) lagen (2022:155) om tobaksskatt, eller
f) lagen (2022:156) om alkoholskatt,
4. verksamhet med utbyte av information i punktskattefrågor enligt i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004,
5. kontrollverksamhet, eller
6. dataanalyser och urval.
2 § Följande uppgifter ska lämnas ut enligt 1 §:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter,
6. yrkanden och grunder i ett ärende, och
7. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
3 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Tullverket:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
4 § Uppgifter och handlingar som ingår i det datoriserade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor ska lämnas ut till Tullverket.
Utlämnande på eget initiativ
5 § Utlämnande av uppgifter enligt 1–4 §§ får inte ske på initiativ av Skatteverket.
6 kap. Utlämnande till Försäkringskassan
1 § Uppgifter som anges i 2 § ska lämnas ut till Försäkringskassan, i den utsträckning det behövs för
1. beräkning eller kontroll av sjukpenninggrundande inkomst,
2. fördelning av ålderspensionsavgifter,
3. fastställande av underhållsstöd och betalningsskyldighet för sådant stöd enligt socialförsäkringsbalken,
4. beräkning och kontroll av bostadsbidrag enligt socialförsäkringsbalken,
5. beräkning av betalningsskyldighet enligt 8 § andra stycket lagen (2004:1237) om särskild sjukförsäkringsavgift,
6. beräkning och kontroll av bostadstillägg enligt socialförsäkringsbalken, eller
7. beräkning av ersättning för sjuklönekostnad enligt 17 eller 17 d § lagen (1991:1047) om sjuklön.
2 § Följande uppgifter ska lämnas ut enligt 1 §:
1. uppgifter enligt 19 kap.11, 13 och 14 §§socialförsäkringsbalken, med undantag av 13 § tredje stycket,
2. uppgifter om inkomst som anges i 97 kap.2, 4, 5, 11 och 13 §§socialförsäkringsbalken, med undantag av 5 § tredje stycket och 13 § första stycket 1–3,
3. uppgifter om fastighet, ägarandel, fastighetsbeteckning, adress och bostadsyta,
4. uppgifter om avgiftsunderlag enligt 2 kap. 24 § socialavgiftslagen (2000:980) och om därpå belöpande arbetsgivaravgifter enligt 2 kap. socialavgiftslagen, skatt enligt 1 § lagen (1990:659) om löneavgift och avgift enligt 1 § lagen (1994:1920) om allmän löneavgift som beräknats för arbetsgivare under ett kalenderår,
5. uppgifter om avdrag för avsättning till periodiseringsfond och expansionsfond enligt 30 och 34 kap. inkomstskattelagen (1999:1229) samt om återföring av sådana avdrag,
6. uppgifter om schablonintäkt enligt 47 kap. 11 b § inkomstskattelagen,
7. uppgifter om samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital,
8. uppgifter om överskott eller underskott i inkomstslaget näringsverksamhet, och
9. uppgifter om sjuklönekostnad enligt 17 b § första stycket lagen (1991:1047) om sjuklön.
3 § I den utsträckning det behövs för beräkning och kontroll av ersättning enligt förordningen (2022:807) om statlig ersättning för arbete i etableringsjobb ska följande uppgifter ska lämnas ut till
Försäkringskassan:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 3 § får inte ske på initiativ av
Skatteverket.
7 kap. Utlämnande till Migrationsverket
1 § Uppgifter som anges i 2 § ska lämnas ut till Migrationsverket i den utsträckning det behövs för handläggning av ansökningar om eller kontroll av
1. uppehållstillstånd enligt 5 kap. 5 § första stycket 1, 10 eller 15 a § utlänningslagen (2005:716) och arbetstillstånd enligt 6 kap. 2 § första stycket samma lag,
2. uppehållstillstånd enligt 5 kap. 5 § andra stycket och 10 a §utlänningslagen,
3. uppehålls- och arbetstillstånd för högkvalificerad anställning (EU-blåkort) enligt 6 a kap. utlänningslagen,
4. tillstånd för företagsintern förflyttning (ICT-tillstånd) eller ICT-tillstånd för rörlighet för längre vistelse enligt 6 b kap. utlänningslagen, eller
5. tillstånd för säsongsarbete enligt 6 c kap. utlänningslagen.
2 § Följande uppgifter ska lämnas ut enligt 1 §:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter, och
6. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
3 § I den utsträckning det behövs för beräkning eller kontroll av dagersättning enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska följande uppgifter lämnas ut till Migrationsverket:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 1 och 2 §§ får inte ske på initiativ av Skatteverket.
8 kap. Utlämnande till brottsbekämpande myndigheter
Ekobrottsmyndigheten
1 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Ekobrottsmyndigheten:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Kustbevakningen
2 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Kustbevakningen:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Polismyndigheten
3 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Polismyndigheten:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
4 § I den utsträckning det behövs för inspektioner för att kontrollera anställning av utlänningar som inte har rätt att vistas i Sverige enligt artikel 14 i Europaparlamentets och rådets direktiv 2009/52/EG av den 18 juni 2009 om minimistandarder för sanktioner och åtgärder mot arbetsgivare för tredjelandsmedborgare som vistas olagligt ska uppgifter ska lämnas ut till Polismyndigheten.
Säkerhetspolisen
5 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Säkerhetspolisen:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Åklagarmyndigheten
6 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Åklagarmyndigheten:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
7 § Utlämnande av uppgifter enligt 1–6 §§ får inte ske på initiativ av Skatteverket.
9 kap. Utlämnande till domstolar, Rättshjälpsmyndigheten och Rättshjälpsnämnden
Allmänna domstolar
1 § I den utsträckning det behövs för påföljdsbestämning eller beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i mål eller ärende i domstol ska följande uppgifter lämnas ut till allmän domstol:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Rättshjälpsmyndigheten
2 § I den utsträckning det behövs för beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i fråga om rättshjälp och rådgivningsavgift ska följande uppgifter lämnas ut till Rättshjälpsmyndigheten:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Rättshjälpsnämnden
3 § I den utsträckning det behövs för beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i fråga om rättshjälp och rådgivningsavgift ska följande uppgifter lämnas ut till Rättshjälpsnämnden:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 1–3 §§ får inte ske på initiativ av Skatteverket.
10 kap. Utlämnande till Statistiska centralbyrån
1 § Uppgifter som anges i 2 § ska lämnas ut till Statistiska centralbyrån i den utsträckning det behövs för
1. framställning av officiell statistik enligt lagen (2001:99) om den officiella statistiken,
2. beräkning av bidrag och avgifter enligt lagen (2004:773) om kommunalekonomisk utjämning,
3. förande av centrala företagsregistret, eller
4. förande av registret över kontrolluppgifter.
2 § Följande uppgifter ska lämnas ut enligt 1 §:
1. namn, personnummer, organisationsnummer, samt särskilt registrerings- och redovisningsnummer,
2. hemortskommun och församling,
3. personnummer för make eller annan med vilken sambeskattning sker,
4. kontrolluppgifter och uppgifter per betalningsmottagare i en arbetsgivardeklaration avseende inkomstslagen tjänst och kapital, pensionsförsäkring, pensionssparkonto och tjänstepensionsavtal,
5. andra kontrolluppgifter än sådana som anges i 4,
6. intäkts- och kostnadsposter i varje inkomstslag i beslut om slutlig skatt i fråga om statlig och kommunal inkomstskatt,
7. allmänna avdrag,
8. antal dagar för vilka sjöinkomst har erhållits,
9. tillgångar och skulder, 10. beslut om beskattning när det gäller sådan skatt eller avgift som avses i 56 kap. 3 § skatteförfarandelagen (2011:1244), dock inte skälen för beslutet,
11. beslut om fastighetstaxering, dock inte skälen för beslutet, 12. skatteavdrag, socialavgifter och särskild löneskatt, mervärdesskatt och preliminär skatt samt sådana uppgifter om näringsverksamhet som avses i 31 kap.7 och 10 §§ och 33 kap. 6 §skatteförfarandelagen samt 6 kap.9, 11 och 12 §§skatteförfarandeförordningen (2011:1261),
13. kommunalt skatteunderlag, 14. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
15. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
16. registrering och betalningar enligt skatteförfarandelagen, uppgifter om beslut om konkurs eller likvidation, uppgifter om antal lämnade kontrolluppgifter och uppgifter per betalningsmottagare i en arbetsgivardeklaration samt uppgift om överskott och underskott i inkomstslagen näringsverksamhet och kapital,
17. fastighetsägare och annan innehavare av fast egendom, om ägd andel, fastighetsbeteckning, taxeringsvärde, omräknat delvärde, beskattningsnatur, typ av fång, tidpunkt för fånget och betald ersättning,
18. bouppteckningar och dödsboanmälningar, och 19. för enkla bolag, bolagsmännens och bolagens personnummer eller organisationsnummer.
3 § I den utsträckning som det behövs för förande av den databas som avses i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna ska uppgifter om organisationsnummer och uppgifter från resultat- och balansräkningar på begäran av
Riksbanken lämnas ut till Statistiska centralbyrån.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 1–3 §§ får inte ske på initiativ av Skatteverket.
11 kap. Utlämnande till övriga myndigheter
Arbetsförmedlingen
1 § Uppgifter som anges i 2 § ska lämnas ut till Arbetsförmedlingen i den utsträckning det behövs för
1. handläggning av ärenden inom den arbetsmarknadspolitiska verksamheten, eller
2. kontroll av stöd till arbetsgivare enligt
a) förordningen (2013:1157) om stöd för yrkesintroduktionsanställningar,
b) förordningen (2017:462) om särskilda insatser för personer med funktionsnedsättning som medför nedsatt arbetsförmåga,
c) förordningen (2018:42) om särskilt anställningsstöd, eller
d) förordningen (2018:43) om stöd för nystartsjobb.
2 § Följande uppgifter ska lämnas ut enligt 1 §:
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Centrala studiestödsnämnden
3 § Uppgifter som anges i 4 § ska lämnas ut till Centrala studiestödsnämnden i den utsträckning det behövs för
1. kontroll av ansökningar om uppskov med betalning av studiemedelsavgifter i fråga om studiestöd och av ansökningar om avskrivning av studieskuld,
2. kontroll av ansökningar om studiestöd, om nedsättning av årsbelopp och om avskrivning av studielån samt fastställande av årsbelopp,
3. kontroll av ärenden om återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar, eller
4. kontroll av ärenden om återbetalning av körkortslån.
4 § Följande uppgifter ska lämnas ut enligt 3 §:
1. överskott och underskott i inkomstslagen tjänst, näringsverksamhet och kapital,
2. arbetsinkomster enligt 67 kap. 6 § första stycket inkomstskattelagen (1999:1229),
3. nettoomsättning enligt deklarationsbilaga för enskilda näringsidkare samt för delägare i handelsbolag och kommanditbolag, och
4. registrering i sjömansregistret.
Inspektionen för socialförsäkringen
5 § I den utsträckning det behövs för systemtillsyn och effektivitetsgranskning enligt 2 § första stycket 3 och 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen ska uppgifter lämnas ut till Inspektionen för socialförsäkringen.
Inspektionen för vård och omsorg
6 § I den utsträckning det behövs för tillståndsgivning eller tillsyn avseende yrkesmässig enskild verksamhet som omfattas av 7 kap. 1 § socialtjänstlagen (2001:453) eller 23 § lagen (1993:387) om stöd och service till vissa funktionshindrade ska uppgifter som är hänförliga till underskott på ett sådant skattekonto som avses i 61 kap. 1 § skatte-
förfarandelagen (2011:1244) lämnas ut till Inspektionen för vård och omsorg.
Kammarkollegiet
7 § I den utsträckning det behövs för handläggning enligt lagen (2022:850) om grundläggande omställnings- och kompetensstöd ska följande uppgifter lämnas ut till Kammarkollegiet:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter, och
5. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Länsstyrelserna
8 § Uppgifter som anges i 9 § ska lämnas ut till en länsstyrelse i den utsträckning det behövs för handläggning enligt
1. förordningen (2020:893) om omsättningsstöd till enskilda näringsidkare för mars–juli 2020,
2. förordningen (2021:143) om omsättningsstöd till enskilda näringsidkare,
3. förordningen (2021:208) om omsättningsstöd till handelsbolag, eller
4. förordningen (2021:273) om statligt stöd när vissa lokalhyresgäster fått rabatt på hyran under 2021.
9 § Följande uppgifter ska lämnas ut enligt 8 §:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter, och
6. uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag.
Myndigheten för tillväxtpolitiska utvärderingar och analyser
10 § I den utsträckning det behövs för undersökningar av statliga stödinsatser inom regionalpolitik, regional tillväxtpolitik eller innovationspolitik ska följande uppgifter lämnas ut till Myndigheten för tillväxtpolitiska utvärderingar och analyser:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter,
6. yrkanden och grunder i ett ärende,
7. beslut, betalning, redovisning och övriga åtgärder i ett ärende, och
8. uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag.
Pensionsmyndigheten
11 § Uppgifter som anges i 12 § ska lämnas ut till Pensionsmyndigheten i den utsträckning det behövs för
1. pensionsberäkning,
2. beräkning av inkomstindex, eller
3. beräkning och kontroll av bostadstillägg och äldreförsörjningsstöd.
12 § Följande uppgifter ska lämnas ut enligt 11 §:
1. pensionsgrundande inkomst med delbelopp,
2. pensionsgrundande inkomst, utan den begränsning som anges i 59 kap. 4 § andra stycket socialförsäkringsbalken, efter avdrag för allmän pensionsavgift,
3. tjänstepension som har redovisats i kontrolluppgifter och som avser personer som är födda 1937 eller tidigare för vilka lagen (1991:586) om särskild inkomstskatt för utomlands bosatta har tillämpats, och
4. samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital, och överskott eller underskott i inkomstslaget näringsverksamhet.
Statens tjänstepensionsverk
13 § Uppgifter om inkomster som är pensionsgrundande enligt 59 kap. socialförsäkringsbalken ska lämnas ut till Statens tjänstepensionsverk i den utsträckning det behövs för beräkning och kontroll av
1. pensionsersättning och särskild pensionsersättning enligt statligt kollektivavtal om trygghetsfrågor,
2. pension enligt statligt kollektivavtal om särskild pension för yrkesofficerare, eller
3. inkomstgaranti eller motsvarande förmåner för den som har varit statsråd och för vissa arbetstagare som har innehaft statlig chefsanställning.
Tillväxtverket
14 § I den utsträckning det behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2021:937) om ny anmälan om avstämning av stöd vid korttidsarbete ska följande uppgifter lämnas ut till Tillväxtverket:
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter, och
5. bestämmande av skatter och avgifter.
Utlämnande på eget initiativ
15 § Utlämnande av uppgifter enligt 3–10 och 14 §§ får inte ske på initiativ av Skatteverket.
Denna förordning träder i kraft den 1 januari 2026.
1.37. Förslag till förordning om utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om Skatteverkets utlämnande av uppgifter i vissa fall.
Bestämmelser som avser Skatteverkets utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § folkbokföringsdatalagen (0000:00).
3 § Skatteverket får ta ut avgifter för att lämna ut uppgifter.
Rätten att ta ut avgifter får dock inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Skatteverket fastställer avgifterna för att lämna ut uppgifter enligt denna förordning eller annan författning.
En avgift ska tas ut när uppgifter lämnas ut för aktualisering, komplettering och kontroll av personuppgifter, eller uttag av urval av personuppgifter. När uppgifter lämnas ut i andra fall får en avgift tas ut.
Statliga myndigheter, med undantag för affärsverken, är fria från sådana avgifter som avses i andra stycket när uppgifter lämnas ut elektroniskt.
5 § Formulär för personbevis och andra utdrag av uppgifter fastställs av Skatteverket.
Utlämnande av uppgifter till enskilda
6 § I den utsträckning det behövs för aktualisering, komplettering, kontroll eller uttag av urval av personuppgifter får följande uppgifter lämnas ut till Svenska kyrkan:
1. uppgifter som anges i 1 a § folkbokföringslagen (1991:481), och
2. uppgifter som anges i 1 kap. 2 andra stycket lagen (2022:1697) om samordningsnummer.
7 § I den utsträckning det behövs för aktualisering, komplettering, kontroll eller uttag av urval av personuppgifter får uppgifter om en nordisk medborgare som är folkbokförd i Sverige lämnas ut till en central registreringsmyndighet för folkbokföring i det nordiska land personen är medborgare i.
Skatteverkets underrättelseskyldighet
8 § Statistiska centralbyrån ska underrättas när registrering har skett beträffande
1. födelse av dödfött barn,
2. adoption,
3. avregistrering som försvunnen,
4. invandring eller utvandring, eller
5. annan person än förälder eller vårdnadshavare som barn under 18 år är bosatt hos.
Underrättelse om födelse av dödfött barn ska lämnas snarast. I övrigt ska underrättelse lämnas vid tidpunkt som Skatteverket bestämmer efter samråd med Statistiska centralbyrån.
9 § Socialnämnden ska snarast underrättas när
1. ett barn har folkbokförts eller registrerats enligt 1 § andra stycket folkbokföringslagen (1991:481) och faderskapet eller föräldraskapet enligt 1 kap. 9 § föräldrabalken till barnet inte följer av 1 kap. 1 §, 9 § första stycket eller 11 a § föräldrabalken eller annan lag,
2. gemensam vårdnad om barn har registrerats efter en anmälan enligt 6 kap. 4 § andra stycket 2 föräldrabalken,
3. ett barn saknar registrerad vårdnadshavare, eller
4. sekretessmarkering i fråga om ett barn har registrerats.
Om modern vid barnets födelse är myndig och folkbokförd, inträder skyldigheten att enligt första stycket 1 underrätta socialnämnden om att ett barn har folkbokförts först 15 dagar efter barnets födelse, förutsatt att faderskapet eller föräldraskapet enligt 1 kap. 9 § föräldrabalken till barnet då inte har fastställts.
Underrättelse enligt första och andra styckena ska lämnas till socialnämnden i den kommun där barnet är folkbokfört eller, om barnet inte är folkbokfört, till socialnämnden i den kommun där barnet har fötts.
10 § Försäkringskassan och Pensionsmyndigheten ska underrättas när registrering skett beträffande
1. adoption, eller
2. annan person än förälder eller vårdnadshavare som barn under 18 år är bosatt hos.
11 § Socialstyrelsen ska underrättas när uppgift om ingivare och utfärdare av dödsbevis registrerats.
12 § Närmare föreskrifter om innehållet i underrättelser som avses i 8–11 §§ meddelas av Skatteverket efter samråd med berörda centrala myndigheter.
Skatteverkets uppgiftsskyldighet
13 § I den utsträckning det behövs för Skatteverkets verksamhet enligt lagen (0000:00) om det statliga personadressregistret ska följande uppgifter lämnas ut till Skatteverkets verksamhet med det statliga personadressregistret:
1. namn,
2. person- eller samordningsnummer,
3. födelsetid,
4. adress,
5. folkbokföringsort och distrikt,
6. födelsehemort,
7. svenskt medborgarskap,
8. make eller vårdnadshavare,
9. avregistrering enligt 19–22 §§folkbokföringslagen (1991:481), med angivande av tidpunkt,
10. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer,
11. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,
12. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och
13. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik.
Denna förordning träder i kraft den 1 januari 2026.
1.38. Förslag till förordning om utlämnande av uppgifter från Tullverket
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om Tullverkets utlämnande av uppgifter i vissa fall.
Bestämmelser som avser Tullverkets utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § tulldatalagen (0000:00).
3 § Tullverket får ta ut avgifter för att lämna ut uppgifter.
Rätten att ta ut avgifter får dock inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid tillämpning av tullagstiftningen får Tullverket bara ta ut avgifter i enlighet med artikel 52 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex.
4 § Tullverket fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.
Utlämnande till enskilda
5 § Till en ekonomisk aktör, som är registrerad hos en tullmyndighet i enlighet med artikel 9 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en
tullkodex, får de uppgifter lämnas ut som aktören behöver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen som den definieras i 1 kap. 3 § tullagen (2016:253).
Utlämnande till Tullverkets brottsbekämpande verksamhet
6 § I den utsträckning det behövs i Tullverkets brottsbekämpande verksamhet ska uppgifter lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet.
Utlämnande till Skatteverket
7 § I den utsträckning det behövs i Skatteverkets verksamhet ska uppgifter som rör import eller export av varor lämnas ut till Skatteverket.
8 § I den utsträckning det behövs för kontrollverksamhet avseende mervärdesskatt vid import eller för handläggning av ärenden ska följande uppgifter lämnas ut till Skatteverket:
1. en fysisk persons identitet och bosättning,
2. en juridisk persons identitet, säte, firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för tull, annan skatt och avgifter,
5. bestämmande av tull, annan skatt och avgifter,
6. yrkanden och grunder i ett ärende, och
7. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
9 § Tullverket ska skriftligen underrätta Skatteverket, om
1. det finns anledning att anta att någon
a) på annat sätt än muntligen har lämnat eller kommer att lämna en oriktig uppgift till Skatteverket, eller
b) inte har lämnat eller inte kommer att lämna mervärdesskattedeklaration, kontrolluppgift eller annan föreskriven uppgift till Skatteverket, och
2. det därigenom finns risk för att mervärdesskatt undandras eller felaktigt tillgodoräknas eller betalas tillbaka.
Av underrättelsen ska det framgå vilka omständigheter som ligger till grund för antagandet enligt första stycket 1.
Utlämnande till övriga myndigheter
10 § I den utsträckning det behövs i mottagarens verksamhet ska uppgifter som rör import eller export av varor lämnas ut till följande myndigheter:
– Arbetsmiljöverket, – Boverket, – Elsäkerhetsverket, – Folkhälsomyndigheten, – Havs- och vattenmyndigheten, – Kemikalieinspektionen, – Kommerskollegium, – Konsumentverket, – Kronofogdemyndigheten, – Livsmedelsverket, – Läkemedelsverket, – Myndigheten för press, radio och tv, – Myndigheten för samhällsskydd och beredskap, – Naturvårdsverket, – Post- och telestyrelsen, – Skogsstyrelsen, – Statens energimyndighet, – Statens jordbruksverk, – Statistiska centralbyrån, – Strålsäkerhetsmyndigheten, – Styrelsen för ackreditering och teknisk kontroll, – Sveriges riksbank, och – Transportstyrelsen.
11 § I den utsträckning det behövs i Inspektionen för strategiska produkters verksamhet ska uppgifter som rör export av varor lämnas ut till inspektionen.
12 § I den utsträckning det behövs i Säkerhetspolisens verksamhet ska uppgifter som rör export av varor lämnas ut till Säkerhetspolisen.
Utlämnande på eget initiativ
13 § Utlämnande av uppgifter enligt 6–8 och 10–12 §§ får inte ske på initiativ av de enheter inom Tullverket som arbetar med verksamhet som anges i 2 § tulldatalagen (0000:00).
Denna förordning träder i kraft den 1 januari 2026.
1.39. Förslag till förordning om utlämnande av uppgifter från Kronofogdemyndigheten
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om utlämnande av uppgifter från Kronofogdemyndigheten i vissa fall.
Bestämmelser som avser Kronofogdemyndighetens utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § kronofogdedatalagen (0000:00).
3 § Kronofogdemyndigheten får ta ut avgifter för att lämna ut uppgifter.
Rätten att ta ut avgifter får dock inte innebära en inskränkning i
1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller
2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Kronofogdemyndigheten fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.
Utlämnande till Skatteverket
5 § I den utsträckning det behövs för Skatteverkets handläggning av ärenden eller dataanalyser och urval ska följande uppgifter lämnas ut till Skatteverket:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, firmatecknare och andra företrädare,
3. en enskilds ekonomiska förhållanden,
4. näringsförbud,
5. egendom som berörs i ett mål,
6. yrkanden och grunder i ett mål eller ärende, och
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
6 § I den utsträckning det behövs för handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten ska följande uppgifter lämnas ut till Skatteverket:
1. adress och andra kontaktuppgifter,
2. genomförd avhysning, utmätning och delgivning, och
3. tillgångar i utlandet.
Utlämnande till Tullverket
7 § I den utsträckning det behövs för Tullverkets handläggning av ärenden ska följande uppgifter lämnas ut till Tullverket:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, firmatecknare och andra företrädare,
3. en enskilds ekonomiska förhållanden,
4. näringsförbud,
5. egendom som berörs i ett mål,
6. yrkanden och grunder i ett mål eller ärende, och
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
Utlämnande till Säkerhetspolisen
8 § I den utsträckning det behövs för handläggning av ärenden om särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585) ska följande uppgifter lämnas ut till Säkerhetspolisen:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, firmatecknare och andra företrädare,
3. en enskilds ekonomiska förhållanden,
4. näringsförbud,
5. egendom som berörs i ett mål,
6. yrkanden och grunder i ett mål eller ärende, och
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
Utlämnande på eget initiativ
9 § Utlämnande av uppgifter enligt 5–8 §§ får inte ske på initiativ av Kronofogdemyndigheten.
Denna förordning träder i kraft den 1 januari 2026.
1.40. Förslag till förordning om ändring i kungörelsen (1950:431) med vissa föreskrifter angående taxering och debitering av skatt vid ändring i kommunal indelning, m.m.
Härigenom föreskrivs att 3 § kungörelsen (1950:431) med vissa föreskrifter angående taxering och debitering av skatt vid ändring i kommunal indelning, m.m. ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §1
Om en del av en kommun genom ändring i den kommunala indelningen överförs till en annan kommun, bildar en egen kommun eller ingår i en nybildad kommun, har kommunstyrelsen i den kommun till vilken kommundelen hör enligt den nya indelningen, att från den motsvarande myndigheten i den förstnämnda kommunen på begäran erhålla de till denna myndighet överlämnade uppgifterna från Skatteverkets beskatt-
ningsdatabas och förvaltnings-
rättens domar angående ändring av taxering av fastighet för året närmast före det, då indelningsändringen träder i kraft.
Om en del av en kommun genom ändring i den kommunala indelningen överförs till en annan kommun, bildar en egen kommun eller ingår i en nybildad kommun, har kommunstyrelsen i den kommun till vilken kommundelen hör enligt den nya indelningen, att från den motsvarande myndigheten i den förstnämnda kommunen på begäran få de till denna myndighet överlämnade uppgifterna från Skatteverkets beskatt-
ningsverksamhet och förvaltnings-
rättens domar angående ändring av taxering av fastighet för året närmast före det, då indelningsändringen träder i kraft.
Vad i första stycket sägs skall tillämpas också om en kommun i sin helhet införlivas med en annan kommun eller ingår i en nybildad kommun.
Vad i första stycket sägs ska tillämpas också om en kommun i sin helhet införlivas med en annan kommun eller ingår i en nybildad kommun.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2009:873.
1.41. Förslag till förordning om ändring i förordningen (1967:502) om utdrag ur folkbokföringsdatabasen för utredning om brott
Härigenom föreskrivs att rubriken till förordningen (1967:502) om utdrag ur folkbokföringsdatabasen för utredning om brott1 samt 1 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förordning om utdrag ur
folkbokföringsdatabasen för
utredning om brott
Förordning om utdrag ur
folkbokföringsverksamheten
för utredning om brott
1 §2
Domstol, åklagarmyndighet, Polismyndigheten, Säkerhetspolisen och Kustbevakningen har rätt att för utredning om brott få utdrag ur folkbokföringsdatabasen om en viss person. Skatteverket utformar formulär för sådana utdrag efter samråd med Åklagarmyndigheten.
Domstol, åklagarmyndighet, Polismyndigheten, Säkerhetspolisen och Kustbevakningen har rätt att för utredning om brott få utdrag ur folkbokföringsverksam-
heten om en viss person. Skatte-
verket utformar formulär för sådana utdrag efter samråd med Åklagarmyndigheten.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse av förordningens rubrik 2019:85. 2 Senaste lydelse 2019:85.
1.42. Förslag till förordning om ändring i bötesverkställighetsförordningen (1979:197)
Härigenom föreskrivs att 17 § bötesverkställighetsförordningen (1979:197) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
17 §1
Om indrivning av böter har avbrutits utan att böterna har blivit fullt betalda och om det enligt Kronofogdemyndighetens bedömning finns anledning att anta att böterna skall förvandlas, skall Kronofogdemyndigheten skyndsamt sända en redogörelse för förhållandet till åklagare som är behörig att föra talan om böternas förvandling. Redogörelsen
skall innehålla upplysningar om
den bötfällde och hans förmåga att betala böterna samt utdrag ur
utsöknings- och indrivningsdatabasen. Redogörelsen upprättas en-
ligt formulär som fastställs av Kronofogdemyndigheten efter samråd med Åklagarmyndigheten.
Om indrivning av böter har avbrutits utan att böterna har blivit fullt betalda och om det enligt Kronofogdemyndighetens bedömning finns anledning att anta att böterna ska förvandlas, ska Kronofogdemyndigheten skyndsamt sända en redogörelse för förhållandet till åklagare som är behörig att föra talan om böternas förvandling. Redogörelsen
ska innehålla upplysningar om
den bötfällde och hans eller
hennes förmåga att betala böterna
samt utdrag från Kronofogdemyn-
dighetens verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud.
Redogörelsen upprättas enligt formulär som fastställs av Kronofogdemyndigheten efter samråd med Åklagarmyndigheten.
Om böterna betalas helt eller delvis, sedan handlingarna har sänts till åklagaren men innan rätten har meddelat slutligt beslut i målet, skall Kronofogdemyndigheten genast underrätta åklagaren.
Om böterna betalas helt eller delvis, sedan handlingarna har sänts till åklagaren men innan rätten har meddelat slutligt beslut i målet, ska Kronofogdemyndigheten genast underrätta åklagaren.
1 Senaste lydelse 2006:1199.
Uppgift om att handlingarna har översänts till åklagaren och vilken dag detta har skett skall
föras in i utsöknings- och indrivningsdatabasen. Utfärdar Krono-
fogdemyndigheten därefter nytt utdrag ur utsöknings- och indriv-
ningsdatabasen, skall även upp-
gift om detta föras in i databasen. På grund av ett sådant utdrag får inte någon åtgärd vidtas för böternas förvandling utan att samtycke lämnas av den åklagare till vilken utdrag först sänts.
Uppgift om att handlingarna har översänts till åklagaren och vilken dag detta har skett ska
registreras hos Kronofogdemyndigheten. Utfärdar Kronofogdemyn-
digheten därefter nytt utdrag från
Kronofogdemyndighetens verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud, ska även uppgift om
detta registreras. På grund av ett sådant utdrag får inte någon åtgärd vidtas för böternas förvandling utan att samtycke lämnas av den åklagare till vilken utdrag först sänts.
Bestämmelserna i denna paragraf tillämpas inte i fråga om en bötfälld, som inte har kunnat anträffas eller som vistas utomlands.
Denna förordning träder i kraft den 1 januari 2026.
1.43. Förslag till förordning om ändring i utsökningsförordningen (1981:981)
Härigenom föreskrivs att 1 kap.3 och 5 §§utsökningsförordningen (1981:981) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
3 §1
När bestämmelser i utsökningsbalken, som innebär att sökanden kan begära, medge eller bestrida något, skall tillämpas i allmänna mål och åtgärden inte sker vid sammanträde, anses åtgärden ha vidtagits först när den har registrerats i utsöknings- och
indrivningsdatabasen eller sedan
anteckning om den har gjorts i protokoll eller på annan handling i målet.
När bestämmelser i utsökningsbalken, som innebär att sökanden kan begära, medge eller bestrida något, ska tillämpas i allmänna mål och åtgärden inte sker vid sammanträde, anses åtgärden ha vidtagits först när den har registrerats hos Kronofogde-
myndigheten eller sedan anteck-
ning om den har gjorts i protokoll eller på annan handling i målet.
5 §2
Kronofogdemyndigheten skall registrera enskilda mål i utsök-
nings- och indrivningsdatabasen samt föra dagbok i varje mål. Där-
vid skall sådana uppgifter som av-
ses i 2 kap. 5 § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet registreras.
Kronofogdemyndigheten ska registrera enskilda mål och föra dagbok i varje mål. Därvid ska
följande uppgifter registreras:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, firmatecknare och andra företrädare,
3. en enskilds ekonomiska förhållanden,
4. näringsförbud,
5. egendom som berörs i ett mål,
1 Senaste lydelse 2001:593. 2 Senaste lydelse 2006:879.
6. yrkanden och grunder i ett mål eller ärende,
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende,
8. Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål, och
9. andra uppgifter som behövs för fullgörande av förpliktelser som följer av internationella åtaganden.
Kronofogdemyndigheten får meddela föreskrifter för hur dagbok och kassajournal skall föras.
Bestämmelser om utsöknings- och indrivningsdatabasen finns i lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och i förordningen ( 2001:590 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Kronofogdemyndigheten får meddela föreskrifter för hur dagbok och kassajournal ska föras.
Denna förordning träder i kraft den 1 januari 2026.
1.44. Förslag till förordning om ändring i förordningen (1984:692) om det allmänna företagsregistret
Härigenom föreskrivs att 3, 10 och 22 §§ förordningen (1984:692) om det allmänna företagsregistret ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §1
I 2 § 3 avses sådana fysiska personer eller dödsbon
1. som hos Skatteverket har registrerats för mervärdesskatt enligt 7 kap. 1 § skatteförfarandelagen (2011:1244),
2. som enligt 10 kap. 2 § skatteförfarandelagen ska göra skatteavdrag, dock inte
– sådana enskilda arbetsgivare eller dödsbon som bara har arbetstagare som är anställda för arbete i arbetsgivarens eller dödsboets hushåll
– enskilda arbetsgivare som i
beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattnings-
verksamhet har antecknats som tillfälliga arbetsgivare eller som annars inte bedriver någon näringsverksamhet,
– enskilda arbetsgivare som i Skatteverkets beskattningsverksamhet har antecknats som tillfälliga arbetsgivare eller som annars inte bedriver någon näringsverksamhet,
3. som efter beslut om debitering av preliminär skatt enligt 55 kap. 2 § skatteförfarandelagen ska betala F-skatt eller särskild A-skatt för inkomst av näringsverksamhet enligt inkomstskattelagen (1999:1229).
10 §2
För det allmänna företagsregistret ska det på begäran lämnas uppgifter till Statistiska centralbyrån från nedan angivna register enligt följande:
För det allmänna företagsregistret ska det på begäran lämnas uppgifter till Statistiska centralbyrån från nedan angivna myn-
digheter och register enligt följande:
1 Senaste lydelse 2011:1443. 2 Senaste lydelse 2018:1809.
1. Beskattningsdatabasen enligt
lagen (2001:181) om behandling av uppgifter i Skatteverkets be-
skattningsverksamhet
1. Skatteverkets beskattningsverksamhet
– organisations- eller personnummer – fysisk persons namn – företagsnamn samt markering om det finns flera företagsnamn – juridisk form – län och kommun där styrelsen har sitt säte eller – i fråga om handelsbolag och enskild näringsidkare – där bolagets huvudkontor är beläget eller näringsidkaren är folkbokförd
– postadress – antal anställda hos den som har nyregistrerats i beskattnings-
databasen
– antal anställda hos den som har nyregistrerats i Skatteverkets
beskattningsverksamhet
– besöksadress – markering om den registrerade driver sin verksamhet på flera arbetsställen
– binäringar inklusive tilläggsnummer och verksamhetsbenämning, om sådan finns, i fråga om den som har registrerats som redovisningsskyldig för mervärdesskatt
– huvudnäringsgren – tidigare organisations- eller personnummer (vid ombildning och vissa överlåtelser)
– statusmarkeringar – tidpunkt för registrering av uppgifterna
2. Bolagsverkets aktiebolagsregister – aktiebolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk
3. Bolagsverkets europabolagsregister – europabolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk
4. Bolagsverkets europakooperativsregister – europakooperativs särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk
5. Bolagsverkets handelsregister – enskild näringsidkares eller handelsbolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk
6. Lantbruksregistret vid Jordbruksverket – uppgifter som ska registreras om den som driver jordbruk, skogsbruk, trädgårdsodling eller som håller djur.
22 §3
Den som hos Skatteverket begär att få uppgifter ur beskatt-
ningsdatabasen för ett sådant ända-
mål som avses i 4 § och som lika väl kan tillgodoses genom det allmänna företagsregistret skall hänvisas till detta register.
Den som hos Skatteverkets be-
skattningsverksamhet begär att få ut uppgifter för ett sådant ända-
mål som avses i 4 § och som lika väl kan tillgodoses genom det allmänna företagsregistret ska hänvisas till detta register.
Denna förordning träder i kraft den 1 januari 2026.
3 Senaste lydelse 2003:937.
1.45. Förslag till förordning om ändring i förordningen (1990:320) om ömsesidig handräckning i skatteärenden
Härigenom föreskrivs att 10 § förordningen (1990:320) om ömsesidig handräckning i skatteärenden ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 §1
Begäran om handräckning för indrivning skall innehålla utredning om att de i 15 § lagen (1990:314) om ömsesidig handräckning i skatteärenden angivna förutsättningarna för handräckning föreligger.
Begäran om handräckning för indrivning ska innehålla utredning om att de i 15 § lagen (1990:314) om ömsesidig handräckning i skatteärenden angivna förutsättningarna för handräckning föreligger.
Till begäran skall fogas det beslut på vilket anspråket grundas i original eller kopia. Om det följer av överenskommelse med den främmande staten får till begäran i stället fogas utdrag ur restlängd eller utsöknings- och indrivnings-
databasen eller annan handling där
grunden för anspråket framgår.
Till begäran ska fogas det beslut på vilket anspråket grundas i original eller kopia. Om det följer av överenskommelse med den främmande staten får till begäran i stället fogas utdrag ur restlängd eller från Kronofogdemyndighetens
verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud eller
annan handling där grunden för anspråket framgår.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2006:767.
1.46. Förslag till förordning om ändring i förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m.
Härigenom föreskrivs att 1 § förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 §1
Denna förordning innehåller bestämmelser om statlig ersättning till kommuner och regioner för mottagande av och insatser för skyddsbehövande och vissa andra utlänningar som avses i 3 § och som före utgången av november 2010 först togs emot i en kommun.
För utlänningar som har varit registrerade vid en mottagningsenhet hos Migrationsverket eller som har beviljats uppehållstillstånd enligt 5 kap. 2 § utlänningslagen (2005:716) ska tidpunkten då de först togs emot i en kommun anses vara den dag han eller hon faktiskt togs emot i kommunen. För övriga utlänningar som omfattas av 3 § ska tidpunkten då de först togs emot i en kommun anses vara då han eller hon folkbokfördes i kommunen enligt uppgift
i folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
För utlänningar som har varit registrerade vid en mottagningsenhet hos Migrationsverket eller som har beviljats uppehållstillstånd enligt 5 kap. 2 § utlänningslagen (2005:716) ska tidpunkten då de först togs emot i en kommun anses vara den dag han eller hon faktiskt togs emot i kommunen. För övriga utlänningar som omfattas av 3 § ska tidpunkten då de först togs emot i en kommun anses vara då han eller hon folkbokfördes i kommunen enligt folk-
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2019:1010.
1.47. Förslag till förordning om ändring i folkbokföringsförordningen (1991:749)
Härigenom föreskrivs i fråga om folkbokföringsförordningen (1991:749)
dels att rubriken närmast före 4 § ska lyda ”Folkbokföring under
särskild rubrik och distrikt”,
dels att det ska införas en ny paragraf, 4 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 a §
Vilket distrikt som ska anges för en person avgörs av den personens belägenhetsadress på den fastighet där personen är folkbokförd med stöd av 6 § folkbokföringslagen (1991:481) . Med distrikt avses här detsamma som i 2 § förordningen ( 2015:493 ) om distrikt.
Denna förordning träder i kraft den 1 januari 2026.
1.48. Förslag till förordning om ändring i förordningen (1991:1339) om betalningsföreläggande och handräckning
Härigenom föreskrivs att 14, 16 och 17 §§ förordningen (1991:1339) om betalningsföreläggande och handräckning ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
14 §1
Kronofogdemyndigheten får meddela föreskrifter om hur dagbok i målen skall föras i betal-
ningsföreläggande- och handräckningsdatabasen.
Kronofogdemyndigheten får meddela föreskrifter om hur dagbok i målen ska föras.
I lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet regleras vilka uppgifter som får behandlas i databasen.
16 §2
Om ett mål skall överlämnas till en tingsrätt eller en annan myndighet med stöd av 36 § lagen (1990:746) om betalningsföreläggande och handräckning eller efter ansökan om återvinning, skall Kronofogdemyndigheten lämna över alla handlingar i målet inklusive delgivningsbevis. Vid behov skall Kronofogdemyndigheten därvid ur betalningsföreläggande-
och handräckningsdatabasen som förs enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ta
Om ett mål ska överlämnas till en tingsrätt eller en annan myndighet med stöd av 36 § lagen (1990:746) om betalningsföreläggande och handräckning eller efter ansökan om återvinning, ska Kronofogdemyndigheten lämna över alla handlingar i målet inklusive delgivningsbevis. Vid behov ska Kronofogdemyndigheten därvid ta fram utskrift av ansökan, förelägganden, beslut, utslag, dagbok och andra uppgifter som kan vara av betydelse för den fortsatta handläggningen. Handling-
1 Senaste lydelse 2006:770. 2 Senaste lydelse 2006:770.
fram utskrift av ansökan, förelägganden, beslut, utslag, dagbok och andra uppgifter som kan vara av betydelse för den fortsatta handläggningen. Handlingarna
skall sedan ingå i den mottagande
myndighetens akt.
arna ska sedan ingå i den mottagande myndighetens akt.
Första stycket gäller även när ett utslag överklagas till tingsrätten.
17 §3
Om en uppgift i ett mål om betalningsföreläggande eller handräckning har lämnats ut till ett kreditupplysningsföretag, ska Kronofogdemyndigheten genast underrätta kreditupplysningsföretaget om uppgiften blockeras med stöd av 3 kap. 3 a § lagen
(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Om en uppgift i ett mål om betalningsföreläggande eller handräckning har lämnats ut till ett kreditupplysningsföretag, ska Kronofogdemyndigheten genast underrätta kreditupplysningsföretaget om uppgiften blockeras med stöd av 18 § kronofogde-
1. Denna förordning träder i kraft den 1 januari 2026.
2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
3 Senaste lydelse 2008:275.
1.49. Förslag till förordning om ändring i bostadsbidragsförordningen (1993:739)
Härigenom föreskrivs att 1 b § bostadsbidragsförordningen (1993:739) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 b §1
Centrala studiestödsnämnden ska på begäran lämna Försäkringskassan uppgifter om utbetalda studiemedel i form av studiebidrag, utom när det gäller den del som avser tilläggsbidrag. Uppgifterna ska lämnas på medium för automatiserad behandling.
Bestämmelser om skyldighet att lämna uppgifter från beskatt-
ningsdatabasen finns i förordning-
en (2001:588) om behandling av
uppgifter i Skatteverkets beskatt-
ningsverksamhet.
Bestämmelser om skyldighet att lämna uppgifter från Skatte-
verkets beskattningsverksamhet
finns i förordningen (0000:00) om
utlämnande av uppgifter från
Skatteverkets beskattningsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2008:870.
1.50. Förslag till förordning om ändring i fastighetstaxeringsförordningen (1993:1199)
Härigenom föreskrivs i fråga om fastighetstaxeringsförordningen (1993:1199)1
dels att 2 kap. 5 § och 7 kap. 3 § ska upphöra att gälla,
dels att 1 A kap. 1 § och 2 kap. 4 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 A kap.
1 §2
Sådana överlåtelser som avses i 2 § 8 förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och
som kvarstår efter gallring enligt 2 och 3 §§ tas upp på förteckningar över representativa överlåtelser. Sådana överlåtelser som gallrats enligt 3 § ska tas upp på förteckningar över bortgallrade överlåtelser.
Lagfarna köp av hela eller delar av fastigheter samt fastighetsregleringar vid vilka mer än två hektar åkermark, betesmark och skogsmark överförs från en fastighet till en annan och där frivillig överenskommelse om likviden föreligger,
och som kvarstår efter gallring enligt 2 och 3 §§, tas upp på förteckningar över representativa överlåtelser. Sådana överlåtelser som gallrats enligt 3 § ska tas upp på förteckningar över bortgallrade överlåtelser.
Beträffande fastighetsregleringar gäller första stycket endast om mer än fyra hektar överförts från en fastighet till en annan och bebyggelse saknas på den överförda marken.
2 kap.
4 §3
Bestämmelserna i 20 kap. 5 § skatteförfarandeförordningen (2011:1261) gäller i tillämpliga delar i fråga om uppgifter i fastighetsdeklarationer och andra handlingar, som enligt bestämmelserna i fas-
1 Senaste lydelse av 2 kap. 5 § 2004:281 7 kap. 3 § 2003:963. 2 Senaste lydelse 2018:1097. 3 Senaste lydelse 2011:1266.
tighetstaxeringslagen (1979:1152) har lämnats till ledning för fastighetstaxering eller upprättats eller för granskning omhändertagits av en myndighet vid taxeringskontroll.
Bestämmelserna i 20 kap. 2 § första och tredje styckena skatteförfarandeförordningen ska tilllämpas på sådana handlingar som avses i första stycket.
Handlingar som avses i första stycket ska förvaras på sådant sätt att obehöriga inte kan komma åt dem och om möjligt hållas skilda från andra handlingar.
Denna förordning träder i kraft den 1 januari 2026.
1.51. Förslag till förordning om ändring i indrivningsförordningen (1993:1229)
Härigenom föreskrivs att 12, 18 och 24 §§indrivningsförordningen (1993:1229) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 §1
Kronofogdemyndigheten skall registrera en ansökan om indrivning i utsöknings- och indriv-
ningsdatabasen.
Kronofogdemyndigheten ska registrera en ansökan om indrivning.
18 §2
Kronofogdemyndigheten skall skyndsamt registrera uppgifter om influtna medel i utsöknings-
och indrivningsdatabasen. Det-
samma gäller sådana uppgifter som har lämnats till Kronofogdemyndigheten enligt 8 eller 9 §.
Kronofogdemyndigheten ska skyndsamt registrera uppgifter om influtna medel. Detsamma gäller sådana uppgifter som har lämnats till Kronofogdemyndigheten enligt 8 eller 9 §§.
24 §3
Kronofogdemyndigheten skall
i utsöknings- och indrivningsdatabasen registrera sådana upp-
gifter som avses i 2 kap. 5 § lagen
(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och som behövs i verk-
samheten.
Kronofogdemyndigheten ska registrera följande uppgifter som behövs i verksamheten:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, firmatecknare och andra företrädare,
3. en enskilds ekonomiska förhållanden,
4. näringsförbud,
5. egendom som berörs i ett mål,
1 Senaste lydelse 2006:773. 2 Senaste lydelse 2006:773. 3 Senaste lydelse 2006:773.
6. yrkanden och grunder i ett mål eller ärende,
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende,
8. Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål, och
9. andra uppgifter som behövs för fullgörande av förpliktelser som följer av internationella åtaganden.
Denna förordning träder i kraft den 1 januari 2026.
1.52. Förslag till förordning om ändring i förordningen (1995:238) om totalförsvarsplikt
Härigenom föreskrivs att 3 kap. 3 § förordningen (1995:238) om totalförsvarsplikt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 kap.
3 §1
Skatteverket ska underrätta Totalförsvarets plikt- och prövningsverk om de ändringar i folk-
bokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet som är av
betydelse för inskrivning eller redovisning av dem som är skyldiga att mönstra eller som skrivits in för värnplikt eller civilplikt eller i utbildningsreserven.
Skatteverket ska underrätta Totalförsvarets plikt- och prövningsverk om de ändringar som
görs av registrerade uppgifter i folkbokföringsverksamheten som är av
betydelse för inskrivning eller redovisning av dem som är skyldiga att mönstra eller som skrivits in för värnplikt eller civilplikt eller i utbildningsreserven.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2020:1280.
1.53. Förslag till förordning om ändring i förordningen (2000:308) om fastighetsregister
Härigenom föreskrivs att 64, 72 och 74 §§ förordningen (2000:308) om fastighetsregister ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
64 §1
I taxeringsuppgiftsdelen skall redovisas uppgifter från beskatt-
ningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskatt-
ningsverksamhet såvitt avser
I taxeringsuppgiftsdelen ska redovisas uppgifter från Skatteverkets beskattningsverksamhet såvitt avser
1. taxeringsvärden och övriga uppgifter som enligt fastighetstaxeringslagen (1979:1152)skall redovisas i beslut om fastighetstaxering, samt
1. taxeringsvärden och övriga uppgifter som enligt fastighetstaxeringslagen (1979:1152)ska redovisas i beslut om fastighetstaxering, samt
2. fastighetsägare eller tomträttshavare och ägare till hus på ofri grund med uppgift om person- eller organisationsnummer, namn och postadress.
Uppgifter enligt första stycket
skall avse förhållandena året när-
mast före det år då uppgiften hålls tillgänglig i fastighetsregistret.
Uppgifter enligt första stycket
ska avse förhållandena året när-
mast före det år då uppgiften hålls tillgänglig i fastighetsregistret.
Taxeringsuppgiftsdelen får även innehålla uppgift enligt första stycket 1 som avser förhållandena för annat år än det år som avses i andra stycket. En sådan uppgift
skall redovisas skild från uppgift
enligt andra stycket och innehålla en anmärkning om det kalenderår som den avser.
Taxeringsuppgiftsdelen får även innehålla uppgift enligt första stycket 1 som avser förhållandena för annat år än det år som avses i andra stycket. En sådan uppgift
ska redovisas skild från uppgift
enligt andra stycket och innehålla en anmärkning om det kalenderår som den avser.
1 Senaste lydelse 2003:1014.
72 §2
Sedan en underrättelse som avses i 74 § har kommit in, ska Lantmäteriet snarast möjligt i fastighetsregistret föra in de uppgifter som avses i 64 § första stycket och 67 §. Införingen av uppgifter från beskattningsdata-
basen ska med beaktande av 64 §
andra stycket ske senast i samband med årsskifte. Om det med stöd av 64 § tredje stycket redovisas ytterligare uppgifter i registret, får Lantmäteriet föra in dessa vid den tidpunkt som bestäms av Lantmäteriet efter samråd med Skatteverket.
Sedan en underrättelse som avses i 74 § har kommit in, ska Lantmäteriet snarast möjligt i fastighetsregistret föra in de uppgifter som avses i 64 § första stycket och 67 §. Införingen av uppgifter från Skatteverkets beskatt-
ningsverksamhet ska med beak-
tande av 64 § andra stycket ske senast i samband med årsskifte. Om det med stöd av 64 § tredje stycket redovisas ytterligare uppgifter i registret, får Lantmäteriet föra in dessa vid den tidpunkt som bestäms av Lantmäteriet efter samråd med Skatteverket.
74 §3
Skatteverket ska på upptag-
ning för automatiserad behandling underrätta Lantmäteriet om
de uppgifter från beskattnings-
databasen enligt lagen (2001:181) om behandling av uppgifter i Skatte-
verkets beskattningsverksamhet som behövs för att fastighetsregistret ska kunna tillföras uppgifter enligt 64 § första stycket.
Skatteverket ska elektroniskt underrätta Lantmäteriet om de uppgifter från Skatteverkets beskattningsverksamhet som behövs för att fastighetsregistret ska kunna tillföras uppgifter enligt 64 § första stycket.
Skatteverket ska underrätta Lantmäteriet om de uppgifter från
folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets
folkbokföringsverksamhet och från beskattningsdatabasen som behövs för att fastighetsregistret
Skatteverket ska underrätta Lantmäteriet om de uppgifter från Skatteverkets folkbokföringsverksamhet och från beskattnings-
verksamheten som behövs för att
fastighetsregistret ska kunna tillföras uppgifter enligt 53 och 67 §§.
2 Senaste lydelse 2008:687. 3 Senaste lydelsen 2011:60.
ska kunna tillföras uppgifter enligt 53 och 67 §§.
Underrättelser enligt första och andra styckena ska lämnas vid den tidpunkt som bestäms av Skatteverket efter samråd med Lantmäteriet.
Denna förordning träder i kraft den 1 januari 2026.
1.54. Förslag till förordning om ändring i förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration
Härigenom föreskrivs att 2 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §1
Utöver de fall som anges i 114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de begränsningar som anges i samma stycke samt i 11 och 12 §§ samma kapitel, i socialförsäkringsdatabasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt uppgifter om
1. kön,
2. civilstånd,
3. medborgarskap,
4. födelseort,
5. studiemedel och andra ekonomiska förhållanden,
6. värnpliktstjänstgöring, utbildning, yrke och arbetsuppgifter,
7. arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i,
8. preliminärskatt, inkomstbeskattning och fastighetstaxering,
9. hyra för hyreslägenhet eller avgift för bostadsrättslägenhet, 10. uppgifter i och formerna för ansökningar eller anmälningar, 11. förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårdsstöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårdsåtgärder som begäran avser,
13. åtgärdskoder enligt förordningen (2008:193) om statligt tandvårdsstöd,
15. patientavgifter och tandvårdsersättningar, 16. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,
1 Senaste lydelse 2018:461.
17. nedsatt arbetsförmåga, 18. förmåns- eller ersättningsrelaterad information i intyg och utlåtanden av läkare eller annan intygsgivare,
19. förmåns- eller ersättningsrelaterad information i rehabiliteringsutredningar eller andra utredningar i rehabiliteringsärenden samt rehabiliteringsplaner,
20. arten av, kostnaderna och tidpunkterna för föreslagna, planerade och vidtagna rehabiliteringsåtgärder,
21. leverantörer av produkter och tjänster inom rehabiliteringsområdet,
22. vårdgivare, 23. remisser, 24. läkaren som utfärdat intyg eller utlåtanden som ligger till grund för beslutet om ersättning,
25. diagnoser, 26. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 97 kap. 18 § andra stycket och 27 § andra stycket socialförsäkringsbalken,
27. bevakningsanledningar, 28. frågor om återbetalningsskyldighet har uppkommit, 29. anledningen till att ett ärende har avslutats, 30. avgöranden av domstol, Försäkringskassan eller Pensionsmyndigheten som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och om avgörandet har överklagats,
31. beslut i ärenden, 32. att den registrerade får eller har rätt till ersättning enligt förordningen (2017:819) om ersättning till deltagare i arbetsmarknadspolitiska insatser,
34. registrerade som får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad,
35. den registrerade från ut-
söknings- och indrivningsdatabasen,
35. den registrerade från
Kronofogdemyndighetens verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud,
36. att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,
37. att den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt,
38. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken,
39. vilken personkrets enligt 52 kap.10–13 §§socialförsäkringsbalken som den registrerade hör till,
40. att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn,
41. den registrerade i register hs sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EUrättsliga regler
42. den registrerade hos Migrationsverket som behandlas med stöd av 11 och 13 §§utlänningsdatalagen (2016:27), och
43. att den registrerade eller dennes make eller sambo får vårdnadsbidrag enligt den upphävda lagen (2008:307) om kommunalt vårdnadsbidrag.
Denna förordning träder i kraft den 1 januari 2026.
1.55. Förslag till förordning om ändring i förordningen (2007:789) om Skatteverkets hantering av vissa borgenärsuppgifter
Härigenom föreskrivs att 6 § förordningen (2007:789) om Skatteverkets hantering av vissa borgenärsuppgifter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §
Skatteverket ska underrätta Kronofogdemyndigheten om det hos verket, i fråga om en fordran som överlämnats för verkställighet till Kronofogdemyndigheten, har uppkommit fråga om
1. ackord,
2. nedsättning av fordran enligt 5 § första stycket lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
3. åtgärder för att en gäldenär ska försättas i konkurs eller ansökan om likvidation eller företagsrekonstruktion,
4. talan om betalningsansvar för någon annans skulder till det allmänna,
5. preskriptionsförlängning, eller
6. förordnande av boutredningsman enligt 19 kap. 1 § ärvdabalken. Skatteverket ska också, i den utsträckning det behövs, hålla Kronofogdemyndigheten informerad om den fortsatta handläggningen i en fråga som avses i första stycket.
Underrättelse enligt första stycket ska lämnas senast då ett ärende registrerats i beskattnings-
databasen enligt lagen (2001:181) om behandling av uppgifter i
Skatteverkets beskattningsverksamhet.
Underrättelse enligt första stycket ska lämnas senast då ett ärende registrerats i Skatteverkets beskattningsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
1.56. Förslag till förordning om ändring i förordningen (2008:892) om europeiskt betalningsföreläggande
Härigenom föreskrivs att 12, 14 och 15 §§ förordningen (2008:892) om europeiskt betalningsföreläggande ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 §
Kronofogdemyndigheten får meddela föreskrifter om hur dagbok i målen ska föras i betalnings-
föreläggande- och handräckningsdatabasen.
Kronofogdemyndigheten får meddela föreskrifter om hur dagbok i målen ska föras.
I lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet regleras vilka uppgifter som får behandlas i databasen.
14 §1
Om ett mål överlämnas till en domstol med stöd av 10 § lagen (2008:879) om europeiskt betalningsföreläggande, ska Kronofogdemyndigheten lämna över alla handlingar i målet inklusive delgivningsbevis. Vid behov ska Kronofogdemyndigheten ta fram utskrift av ansökan, förelägganden, beslut, dagbok och andra uppgifter som kan vara av betydelse för den fortsatta handläggningen ur den
betalningsföreläggande- och handräckningsdatabas som förs enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Handlingarna
Om ett mål överlämnas till en domstol med stöd av 10 § lagen (2008:879) om europeiskt betalningsföreläggande, ska Kronofogdemyndigheten lämna över alla handlingar i målet inklusive delgivningsbevis. Vid behov ska Kronofogdemyndigheten ta fram utskrift av ansökan, förelägganden, beslut, dagbok och andra uppgifter som kan vara av betydelse för den fortsatta handläggningen. Handlingarna ska sedan ingå i den mottagande domstolens akt.
1 Senaste lydelse 2017:415.
ska sedan ingå i den mottagande domstolens akt.
15 §
Om en uppgift i ett mål om europeiskt betalningsföreläggande har lämnats ut till ett kreditupplysningsföretag, ska Kronofogdemyndigheten genast underrätta kreditupplysningsföretaget om uppgiften blockeras med stöd av
3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Om en uppgift i ett mål om europeiskt betalningsföreläggande har lämnats ut till ett kreditupplysningsföretag, ska Kronofogdemyndigheten genast underrätta kreditupplysningsföretaget om uppgiften blockeras med stöd av
18 § kronofogdedatalagen (0000:00) .
1. Denna förordning träder i kraft den 1 januari 2026.
2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
1.57. Förslag till förordning om ändring i förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen
Härigenom föreskrivs att 2 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §1
Inspektionen för socialförsäkringen ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av
1. Försäkringskassan,
2. Pensionsmyndigheten, i de delar som inte står under Finansinspektionens tillsyn, och
3. Skatteverket, i de delar som avser beslut om pensionsgrundande inkomst. För Försäkringskassan och Pensionsmyndigheten finns bestämmelser om skyldighet att lämna uppgifter till Inspektionen för socialförsäkringen i 5 a § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration. För Skatteverket finns motsvarande bestämmelser i 7 b §
förordningen (2001:588) om behandling av uppgifter i Skatte-
verkets beskattningsverksamhet.
För Försäkringskassan och Pensionsmyndigheten finns bestämmelser om skyldighet att lämna uppgifter till Inspektionen för socialförsäkringen i 5 a § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration. För Skatteverket finns motsvarande bestämmelser i 11 kap.
5 § förordningen ( 0000:00 ) om utlämnande av uppgifter från
Skatteverkets beskattningsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2009:1203.
1.58. Förslag till förordning om ändring i offentlighets- och sekretessförordningen (2009:641)
Härigenom föreskrivs att 2 § offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.
Nuvarande lydelse
2 §1 Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400).
Myndighet Handlingar som innehåller sekretessreglerade uppgifter och som inte behöver registreras – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Tullverket – handlingar som rör klarering av varor och transportmedel, – handlingar som innehåller bokningsuppgifter inhämtade från transportföretag, och – handlingar som ingår i informationssystemet om transporter av sprit och cigaretter åklagarmyndigheter – utdrag ur folkbokföringsdatabasen, – utdrag ur belastningsregistret, misstankeregistret och register enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, – utdrag ur vägtrafikregistret, och – rekvisitioner av sådana utdrag – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
1 Senaste lydelse 2022:652.
Föreslagen lydelse
2 §2 Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400).
Myndighet Handlingar som innehåller sekretessreglerade uppgifter och som inte behöver registreras – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Tullverket – handlingar som rör klarering av varor och transportmedel, – handlingar som innehåller bokningsuppgifter inhämtade från transportföretag, och – handlingar som ingår i informationssystemet om transporter av sprit och cigaretter åklagarmyndigheter – utdrag från folkbokföringsverk-
samheten,
– utdrag ur belastningsregistret, misstankeregistret och register enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, – utdrag ur vägtrafikregistret, och – rekvisitioner av sådana utdrag
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Denna förordning träder i kraft den 1 januari 2026.
2 Senaste lydelse 2022:652.
1.59. Förslag till förordning om ändring i förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar
Härigenom föreskrivs att 6 § förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 §1
För utlänningar som har varit registrerade vid en mottagningsenhet hos Migrationsverket eller som har beviljats uppehållstillstånd enligt 5 kap. 2 § utlänningslagen (2005:716) ska tidpunkten då utlänningen först togs emot i en kommun anses vara den dag då han eller hon faktiskt togs emot i kommunen. För övriga utlänningar som omfattas av 5–5 b §§ ska tidpunkten då utlänningen först togs emot i en kommun anses vara då han eller hon folkbokfördes i kommunen enligt uppgift
i folkbokföringsdatabasen enligt lagen ( 2001:182 ) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
För utlänningar som har varit registrerade vid en mottagningsenhet hos Migrationsverket eller som har beviljats uppehållstillstånd enligt 5 kap. 2 § utlänningslagen (2005:716) ska tidpunkten då utlänningen först togs emot i en kommun anses vara den dag då han eller hon faktiskt togs emot i kommunen. För övriga utlänningar som omfattas av 5–5 b §§ ska tidpunkten då utlänningen först togs emot i en kommun anses vara då han eller hon folkbokfördes i kommunen enligt folkbok-
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2017:487.
1.60. Förslag till förordning om ändring i skatteförfarandeförordningen (2011:1261)
Härigenom föreskrivs i fråga om skatteförfarandeförordningen (2011:1261)
dels att 20 kap. 2 och 3 §§ ska upphöra att gälla,
dels att rubriken närmast före 20 kap. 1 § ska lyda ”Förvaring”.
Denna förordning träder i kraft den 1 januari 2026.
1.61. Förslag till förordning om ändring i förordningen (2012:873) om beredskapslagring av olja
Härigenom föreskrivs att 27 § förordningen (2012:873) om beredskapslagring av olja ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
27 §
Skatteverket ska på begäran av Energimyndigheten lämna ut uppgifter om införsel av bränslen från annan medlemsstat i Europeiska unionen från det system som avses i 2 kap. 4 a § lagen
(2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, om uppgifterna be-
hövs för kontroll och tillsyn enligt lagen (2012:806) om beredskapslagring av olja och denna förordning.
Skatteverket ska på begäran av Energimyndigheten lämna ut uppgifter om införsel av bränslen från annan medlemsstat i Europeiska unionen från det datorise-
rade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor,
om uppgifterna behövs för kontroll och tillsyn enligt lagen (2012:806) om beredskapslagring av olja och denna förordning.
Denna förordning träder i kraft den 1 januari 2026.
1.62. Förslag till förordning om ändring i förordningen (2015:493) om distrikt
Härigenom föreskrivs att 4 § förordningen (2015:493) om distrikt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 §
Lantmäteriet ska överföra distriktsindelningen med tillhörande belägenhetsadresser ur fastighetsregistret till Skatteverket i den utsträckning det behövs för redovisningen av uppgift om distrikt i folkbokföringsdatabasen.
Lantmäteriet ska överföra distriktsindelningen med tillhörande belägenhetsadresser ur fastighetsregistret till Skatteverket i den utsträckning det behövs för redovisningen av uppgift om distrikt i folkbokföringsverksamheten.
Denna förordning träder i kraft den 1 januari 2026.
1.63. Förslag till förordning om ändring i förordningen (2015:904) om identitetskort för folkbokförda i Sverige
Härigenom föreskrivs att 12 § förordningen (2015:904) om identitetskort för folkbokförda i Sverige ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 §
Databasen får tillföras sådana uppgifter från Skatteverkets folk-
bokföringsdatabas som anges i 11 §
första stycket.
Databasen får tillföras sådana uppgifter från Skatteverkets folk-
bokföringsverksamhet som anges i
11 § första stycket.
Denna förordning träder i kraft den 1 januari 2026.
1.64. Förslag till förordning om ändring i skuldsaneringsförordningen (2016:689)
Härigenom föreskrivs att 3 och 13 §§skuldsaneringsförordningen (2016:689) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 §
Kronofogdemyndigheten ska registrera varje ärende i skuldsaner-
ingsdatabasen.
Kronofogdemyndigheten ska registrera varje ärende.
I lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet finns bestämmelser om vilka uppgifter som får behandlas i databasen.
13 §
Kronofogdemyndigheten ska
i skuldsaneringsdatabasen fortlöp-
ande registrera vilka inbetalningar och utbetalningar av medel som görs, vilken ränta som kapitaliseras, vilken avgift som tas ut, vilka åtgärder som utförs och vad som i övrigt förekommer med anledning av det som har bestämts om gäldenärens skyldighet att betala till myndigheten.
Kronofogdemyndigheten ska fortlöpande registrera vilka inbetalningar och utbetalningar av medel som görs, vilken ränta som kapitaliseras, vilken avgift som tas ut, vilka åtgärder som utförs och vad som i övrigt förekommer med anledning av det som har bestämts om gäldenärens skyldighet att betala till myndigheten.
Denna förordning träder i kraft den 1 januari 2026.
1.65. Förslag till förordning om ändring i förordningen (2017:154) med instruktion för Skatteverket
Härigenom föreskrivs att 27 och 38 §§ förordningen (2017:154) med instruktion för Skatteverket ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
27 §
I förordningen (1998:1234) om det statliga personadressregistret (SPAR) finns bestämmelser om att Skatteverkets beslut i frågor om SPAR i vissa fall ska fattas av en särskild nämnd (SPAR-nämnden).
I förordningen (0000:00) om det statliga personadressregistret (SPAR) finns bestämmelser om att Skatteverkets beslut i frågor om SPAR i vissa fall ska fattas av en särskild nämnd (SPAR-nämnden).
38 §
Skatteverket ska disponera intäkter från avgifter som myndigheten tar ut enligt bestämmelser som finns i
1. lagen (2009:1289) om prissättningsbesked vid internationella transaktioner,
2. förordningen (2015:904) om identitetskort för folkbokförda i Sverige,
3. lagen (2001:181) om be-
handling av uppgifter i Skatte-
verkets beskattningsverksamhet,
3. förordningen (0000:00) om
utlämnande av uppgifter från
Skatteverkets beskattningsverksamhet,
4. lagen (2001:182) om behand-
ling av personuppgifter i Skatte-
verkets folkbokföringsverksamhet,
4. förordningen (0000:00) om
utlämnande av uppgifter från
Skatteverkets folkbokföringsverksamhet,
5. förordningen (2015:905) om
behandling av personuppgifter i
Skatteverkets äktenskapsregister- och bouppteckningsverksamheter,
5. förordningen (0000:00) om
dataskydd i Skatteverkets äkten-
skapsregister- och bouppteckningsverksamheter,
6. förordningen (1998:1234) om det statliga personadressregistret, och
6. förordningen
( 0000:00 )
om det statliga personadressregistret, och
7. förordningen (2017:120) om personnamn.
Intäkterna enligt första stycket 1 och 2 ska disponeras så att minst hälften av dessa verksamheters kostnader täcks.
Denna förordning träder i kraft den 1 januari 2026.
1.66. Förslag till förordning om ändring i förordningen (2018:759) om ekonomiska föreningar
Härigenom föreskrivs att 2 kap. 28 § förordningen (2018:759) om ekonomiska föreningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
28 §
Till en ansökan om förenklad avveckling enligt 18 kap. 1 § lagen (2018:672) om ekonomiska föreningar ska det bifogas
1. en kopia av föreningsstämmans protokoll tillsammans med föreningens medlemsförteckning samt dokumentation som utvisar styrelseledamöternas och i förekommande fall den verkställande direktörens samtycke enligt 18 kap. 2 § i den lagen,
2. ett utdrag från Kronofogdemyndighetens utsöknings- och
indrivningsdatabas och betalningsföreläggande- och handräckningsdatabas, som vid inlämnandet inte
får vara äldre än en månad, och
2. ett utdrag från Kronofogdemyndighetens verksamhet med ut-
sökning och indrivning, ansökan om och tillsyn över näringsförbud samt betalningsföreläggande och handräckning, som vid inlämnan-
det inte får vara äldre än en månad, och
3. ett intyg från Skatteverket, som vid inlämnandet inte får vara äldre än en månad, om att föreningen inte är betalningsskyldig för skatter eller avgifter och att det inte heller kan antas att sådan betalningsskyldighet kommer att beslutas.
Ansökan ska innehålla en försäkran på heder och samvete av samtliga styrelseledamöter och i förekommande fall den verkställande direktören om att föreningen
1. inte har några skulder och att sådana, enligt vad de känner till, inte kommer att uppkomma, och
2. enligt stadgarna inte är skyldig att gå i likvidation.
Denna förordning träder i kraft den 1 januari 2026.
1.67. Förslag till förordning om ändring i vägtrafikdataförordningen (2019:382)
Härigenom föreskrivs att 2 kap. 2 § vägtrafikdataförordningen (2019:382) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
2 §
Transportstyrelsen ansvarar för att uppgifterna enligt 1 § förs in om inte annat följer av andra eller tredje stycket eller av föreskrifter som har meddelats med stöd av 8 kap. 1 § 2.
Polismyndigheten ska föra in uppgifter om
1. undanröjande av betalningsskyldighet och rättelse av parkeringsanmärkning enligt bilaga 1 avsnitt 3.3,
2. tillstånd att använda vissa polisiära kännetecken på motorfordon enligt bilaga 1 avsnitt 2.3,
3. omhändertagande av körkort, körkortstillstånd, traktorkort och förarbevis enligt bilaga 2 avsnitt 2.1, och
4. anmälan enligt 7 kap. 9 § 3 körkortsförordningen (1998:980) enligt bilaga 2 avsnitt 2.2.
Skatteverket ska föra in vissa uppgifter från beskattningsdata-
basen och vissa andra uppgifter
som är av betydelse för Transportstyrelsens uppdrag i vägtrafikregistret. Det avser uppgifter enligt bilaga 1 avsnitt 2.3, 4 och 6 som behövs för Transportstyrelsens handläggning och uppgifter om beslut som Skatteverket fattar, enligt
Skatteverket ska föra in vissa uppgifter från beskattningsverk-
samheten och vissa andra upp-
gifter som är av betydelse för Transportstyrelsens uppdrag i vägtrafikregistret. Det avser uppgifter enligt bilaga 1 avsnitt 2.3, 4 och 6 som behövs för Transportstyrelsens handläggning och uppgifter om beslut som Skatteverket fattar, enligt
1. vägtrafikskattelagen (2006:227),
2. lagen (2004:629) om trängselskatt,
3. lagen (1997:1137) om vägavgift för vissa tunga fordon, och
4. lagen (2006:228) med särskilda bestämmelser om fordonsskatt.
Denna förordning träder i kraft den 1 januari 2026.
1.68. Förslag till förordning om ändring i förordningen (2019:383) om fordons registrering och användning
Härigenom föreskrivs att 7 kap. 6 § förordningen (2019:383) om fordons registrering och användning ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap.
6 §
Skatteverket ska underrätta Transportstyrelsen om de ändringar av uppgifter i folkbokför-
ingsdatabasen eller beskattningsdatabasen som är av betydelse
för vägtrafikregistreringen.
Skatteverket ska underrätta Transportstyrelsen om de ändringar av registrerade uppgifter i
folkbokföringsverksamheten eller beskattningsverksamheten som är
av betydelse för vägtrafikregistreringen.
Denna förordning träder i kraft den 1 januari 2026.
1.69. Förslag till förordning om ändring i förordningen (2022:807) om statlig ersättning för arbete i etableringsjobb
Härigenom föreskrivs att 26 § förordningen 2022:807) om statlig ersättning för arbete i etableringsjobb ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
26 §
Försäkringskassan ska före varje utbetalning kontrollera mot inhämtade uppgifter från Skatteverkets beskattningsdatabas hur mycket utbetalad lön som arbetsgivaren har redovisat för den aktuella arbetstagaren den aktuella månaden.
Försäkringskassan ska före varje utbetalning kontrollera mot inhämtade uppgifter från Skatteverkets beskattningsverksamhet hur mycket utbetalad lön som arbetsgivaren har redovisat för den aktuella arbetstagaren den aktuella månaden.
Försäkringskassan ska därefter betala ut den statliga ersättningen i enlighet med Arbetsförmedlingens beslut om rätt till ersättning och det som anges i 15 §.
Denna förordning träder i kraft den 1 januari 2026.
1.70. Förslag till förordning om ändring i förordningen (2023:363) om samordningsnummer
Härigenom föreskrivs att 2 och 5 §§ förordningen (2023:363) om samordningsnummer ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §
Samordningsnummer får tilldelas efter ansökan av den enskilde eller på begäran av en statlig myndighet eller en enskild utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, om myndigheten eller utbildningsanordnaren i sin verksamhet behöver ett samordningsnummer för en person.
Skatteverket får på eget initiativ tilldela samordningsnummer för registrering i beskattnings-
databasen.
Skatteverket får på eget initiativ tilldela samordningsnummer för registrering i beskattnings-
verksamheten.
5 §
Samordningsnummer enligt 2 kap. 6 § lagen (2022:1697) om samordningsnummer får endast tilldelas för
1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område,
2. annan behandling av uppgifter enligt lagen om polisens behandling av personuppgifter inom brottsdatalagens område eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, eller i övrigt inom rättsväsendets informationssystem,
3. Migrationsverkets behandling av personuppgifter med stöd av utlänningsdatalagen (2016:27) när det gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl.,
4. registrering i beskattnings-
databasen, eller
4. registrering i Skatteverkets
beskattningsverksamhet, eller
5. Försäkringskassans behandling av personuppgifter med stöd av 114 kap. socialförsäkringsbalken.
Denna förordning träder i kraft den 1 januari 2026.
2. Utredningens uppdrag och arbete
2.1. Utredningens uppdrag
Regeringen beslutade den 3 november 2021 kommittédirektiv om att ge en särskild utredare i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov (dir. 2021:104). Utredaren fick även i uppdrag att se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. Utredningstiden förlängdes genom tilläggsdirektiv den 16 februari 2023 (dir. 2023:24). Kommittédirektiven finns bifogade i betänkandet som bilaga 1 och bilaga 2.
Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling regleras i ett flertal olika registerförfattningar. De registerförfattningar som gäller i vissa delar av Skatteverkets verksamhet och som omfattas av vårt uppdrag är lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen (2001:588), lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen (2001:589), lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234) samt lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och den tillhörande förordningen (2015:905).
När det gäller befintlig reglering av Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling omfattar vårt uppdrag lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen (2001:646) samt lagen (2001:184) om
behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen (2001:590).
Det ligger inte inom ramen för vårt uppdrag att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter, dvs. lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Uppdraget att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar innebär enligt våra direktiv att reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag. En översyn av registerförfattningarnas struktur och terminologi ingår också i uppdraget. En utgångspunkt för uppdraget i den del det avser myndigheternas möjligheter att göra dataanalyser och urval är att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med sådana verktyg. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt. Inom ramen för vårt uppdrag ska vi noga väga myndigheternas behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. I uppdraget ingår att lämna nödvändiga författningsförslag.
Bland de frågor som vi enligt direktiven särskilt ska undersöka kan nämnas att ta ställning till om juridiska personer ska omfattas av registerförfattningarna och att se över tillämpningsområdet i övrigt. Vi ska också ta ställning till om det finns ett behov av en utvidgad ändamålsreglering för att den ska vara anpassad till den tekniska utvecklingen och om ändamålsregleringen kan vara mindre detaljerad, t.ex. när det gäller de sekundära ändamålsbestämmelserna.
Andra frågor vi ska ta ställning till är om regleringen av utlämnande av uppgifter är väl avvägd eller om det finns behov av förändringar, varvid behovet av skydd för den personliga integriteten ska beaktas. Vi ska också ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt. Vidare ska vi ta ställning till om dagens bestämmelser om sökbegränsningar är ändamålsenligt utformade och om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga, vilket inne-
fattar om gallringsbestämmelserna bör ersättas med regler om längsta tid som personuppgifter får behandlas. Det ingår också i uppdraget att analysera hur frågan om gallring av uppgifter lämpligen kan regleras i de fall någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.
När det gäller uppdraget att se över förutsättningarna för de berörda myndigheterna att använda dataanalyser och urval ingår att analysera och bedöma lämpligheten och utformningen av en reglering som innebär en utökad möjlighet att göra dataanalyser och urval. Vi ska också kartlägga vilken information som behövs för att möjliggöra adekvata analyser och urval och föreslå hur tillgång till sådan information bör ges samt bedöma om det finns behov av ändringar i sekretessbestämmelserna eller nya sekretessbestämmelser och då även beakta insynsintresset. Det ingår även i uppdraget att bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som behandlas och hur gjorda analyser och urval ska dokumenteras för att tillgodose såväl myndigheternas verksamhetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand. Slutligen ska vi säkerställa behovet av skydd för den personliga integriteten och att EU:s dataskyddsreglering följs samt lämna nödvändiga författningsförslag.
Om det bedöms nödvändigt får vi ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.
2.2. Utredningens arbete
Utredningsarbetet påbörjades i december 2022 och har bedrivits på sedvanligt sätt med regelbundna sammanträden med expertgruppen. Sammantaget har vi genomfört sex protokollförda möten med utredningens experter under 2022 och tre under 2023.
Utöver sammanträdena med samtliga experter har sekretariatet haft särskilt mycket kontakt med Skatteverket, Tullverket och Kronofogdemyndigheten. Som ett led i arbetet har studiebesök gjorts hos myndigheterna för att inhämta information om myndigheternas nuvarande arbete med de frågor som vi ska utreda och om vilka behov som kan förutses uppstå i framtiden.
Sekretariatet har haft samråd och dialog med Tullbefogenhetsutredningen (Fi 2021:04), Utredningen om inrättande av Utbetalningsmyndigheten (Fi 2022:01), Fastighetsregisterlagsutredningen (Ju 2022:09), Utredningen om ett effektivt straffrättsligt skydd för statliga stöd till företag (Fi 2022:02) och 2022 års skatteförfarandeutredning – åtgärder mot fusk och arbetslivskriminalitet (Fi 2022:16). Därutöver har sekretariatet haft möte med företrädare för Integritetsskyddsmyndigheten under den del av arbetet då utredningen inte har haft någon expert från den myndigheten.
Under utredningens gång har vi särskilt hållit oss informerade om beredningen av förslagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen (SOU 2020:35) samt betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57). Vissa av förslagen i dessa utredningar har numera lett till lagstiftning, se vidare nedan. Vi har också hållit oss informerade om bl.a. beredningen av Försäkringskassans och Pensionsmyndighetens hemställan i en promemoria om ändringar i 114 kap. SFB och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration, vilken nu har lett till förslag i propositionen En ny dataskyddsreglering på socialförsäkringsområdet1, och förslagen i promemorian Utökat informationsutbyte.2
Tidigare statliga utredningar och myndigheters rapporter har varit viktiga i vårt arbete.
2.3. Avgränsningar
Utredningens direktiv framgår av avsnitt 2.1 och bilaga 1 och 2 till betänkandet. Där anges att vårt uppdrag inte omfattar att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. När vi i betänkandet endast talar om Skatteverket och Tullverket avses därför inte myndigheternas brottsbekämpande verksamheter.
Skatteverkets verksamhet med Statens personadressregister (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas i betänkandet som utgångspunkt avskilt från Skatte-
1 Se prop. 2023/24:29. 2 Se Ds 2022:13. Förslagen i promemorian har remissbehandlats.
verkets beskattningsverksamhet och folkbokföringsverksamhet. I den mån så inte görs framgår det av de enskilda kapitlen eller avsnitten. När vi i betänkandet endast talar om Skatteverket avses därför generellt sett myndighetens beskattningsverksamhet och folkbokföringsverksamhet.
2.4. Vissa arbeten som har bedrivits parallellt med utredningen
2.4.1. Utbetalningsmyndigheten
Förslag som Utredningen om samordning av statliga utbetalningar från välfärdssystemen har lämnat i betänkandet SOU 2020:35 har numera lett till lagstiftning och till att en ny myndighet, Utbetalningsmyndigheten, ska inleda sin verksamhet den 1 januari 2024.3 Bland annat har en ny lag om den myndighetens personuppgiftsbehandling beslutats, lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten med tillhörande förordning (2023:463). Författningarna träder i kraft den 1 januari 2024.
Utbetalningsmyndigheten har bl.a. i uppdrag att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Myndigheten ska också göra dataanalyser och urval, genomföra inledande och fördjupade granskningar enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar och administrera ett system med transaktionskonto enligt lagen (2023:454) om transaktionskonto vid Utbetalningsmyndigheten.4 Vidare har det införts en ny lag, lagen (2023:456) om skyldighet att lämna uppgifter till Utbetalningsmyndigheten, som även den träder i kraft den 1 januari 2024. I lagen finns bestämmelser om att de myndigheter vars utbetalningar ska administreras via systemet med transaktionskonto enligt lagen om transaktionskonto vid Utbetalningsmyndigheten ska lämna de uppgifter till Utbetalningsmyndigheten som den behöver för att administrera utbetalningarna, däribland Skatteverket.5 Vidare ska Skatteverket på begäran av Utbetalningsmyndigheten lämna vissa uppgifter i den utsträckning som uppgifterna behövs för Utbetalnings-
3 Se prop. 2022/23:34, bet. 2022/23:FiU35, rskr. 2022/23:266. 41 och 2 §§ förordningen (2023:461) med instruktion för Utbetalningsmyndigheten. 5 2 § lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten och 2 § lagen om transaktionskonto vid Utbetalningsmyndigheten.
myndighetens dataanalyser och urval.6 Det finns också bestämmelser om att statliga myndigheter, däribland Skatteverket, Tullverket och Kronofogdemyndigheten, på begäran av Utbetalningsmyndigheten ska lämna uppgifter som avser en namngiven fysisk eller juridisk person som behövs vid en fördjupad granskning enligt lagen om Utbetalningsmyndighetens granskning av utbetalningar.7
Regeringen har också gett en särskild utredare i uppdrag att lämna förslag och vidta nödvändiga åtgärder i syfte att förbereda och genomföra bildandet av Utbetalningsmyndigheten (Fi 2022:01). Utredaren ska föreslå hur Utbetalningsmyndighetens instruktion och regleringsbrev ska utformas, bemanna myndigheten och vidta de ytterligare åtgärder som krävs för att myndigheten ska kunna inleda sin verksamhet den 1 januari 2024. Den utredningen har lämnat förslag löpande och uppdraget ska slutredovisas senast den 31 december 2023.
Vissa av de förslag som avser Utbetalningsmyndigheten har varit av relevans för delar av vårt uppdrag, särskilt för den del som rör förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval i kontrollverksamhet. Vi har därför följt och beaktat det arbete som bedrivits parallellt med vårt arbete.
2.4.2. Skatteverkets folkbokföringsverksamhet
Förslag som presenterades i betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57) har resulterat i ny lagstiftning som syftar till att stärka kvaliteten i folkbokföringen.8Bland annat har ändringar i folkbokföringslagen (1991:481) och lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet beslutats som innebär en stärkt identitetskontroll vid bl.a. anmälan om inflyttning till Sverige. Skatteverket har bl.a. getts möjlighet att kontrollera biometriska uppgifter som finns lagrade i de handlingar som ska överlämnas vid kontrollen och den som är föremål för identitetskontroll ska vara skyldig att på begäran låta Skatteverket ta fingeravtryck och en ansiktsbild. Lagändringarna om biometriska uppgifter, fingeravtryck och ansiktsbild trädde i kraft den
6 7 och 8 §§ lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten. 7 9 § lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten. 8 Se prop. 2021/22:217, bet. 2021/22:SkU28, rskr. 2021/22:372.
1 september 2023 medan övriga lagar trädde i kraft den 1 september 2022.
Även förslag om ett stärkt system för samordningsnummer har numera lett till lagstiftning.9 Det innebär bl.a. att lagen (2022:1697) om samordningsnummer har införts. Genom ändringarna har Skatteverket tagit över ansvaret för identitetskontroller vid tilldelning av samordningsnummer. Vidare gjordes vissa ändringar i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, bl.a. i fråga om att lagen numera också gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt den nya lagen om samordningsnummer. De nu aktuella lagändringarna trädde i kraft den 1 september 2023.
Vidare har regeringens förslag om bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten införlivats i lagstiftningen.10 Lagändringar gjordes därmed i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och offentlighets- och sekretesslagen (2009:400). Dessa lagändringar trädde i kraft den 1 maj 2023.
2.5. Betänkandets disposition
Vårt betänkande är indelat i 20 kapitel. I kapitel 1 redovisar vi våra författningsförslag och i kapitel 2 vårt uppdrag och dess genomförande. Kapitel 3 och 4 innehåller redogörelser för gällande rätt om dataskydd och sekretess samt för Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter som är aktuella för vårt uppdrag.
I kapitel 5 presenterar vi våra utgångspunkter för en modern och ändamålsenlig kompletterande dataskyddsreglering. I kapitel 6 redovisas våra förslag om att det ska införas nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten och att de nuvarande registerförfattningarna samtidigt ska upphävas.
I kapitel 7 behandlas våra förslag till vad vi har valt att kalla för allmänna bestämmelser om personuppgiftsbehandling. Det rör bl.a. bestämmelser i de nya lagarna om lagarnas syften, tillämpningsområden, förhållande till annan reglering, personuppgiftsansvar, tillgången till personuppgifter och enskildas rättigheter. Kapitel 8 avser ända-
9 Se prop. 2021/22:276, bet. 2022/23:SkU4, rskr. 2022/23:40. 10 Se prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156.
målsbestämmelser och kapitel 9 den nuvarande databasregleringen som vi föreslår ska utmönstras. I kapitel 10 finns våra förslag och bedömningar som rör reglering av vissa särskilda kategorier av personuppgifter, nämligen känsliga personuppgifter, uppgifter om lagöverträdelser samt person- och samordningsnummer.
I kapitel 11 redovisas våra bedömningar och förslag till ny reglering av elektroniskt utlämnande från myndigheterna. Kapitel 12 innehåller våra överväganden och förslag till reglering av gallring och längsta tid för behandling av personuppgifter.
I kapitel 13 finns våra förslag till en ny reglering av uppgiftslämnande från Skatteverket, Tullverket och Kronofogdemyndigheten, som vi föreslår ska hållas åtskild från dataskyddsregleringen.
I kapitel 14 föreslår vi reglering som syftar till att utöka Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att göra dataanalyser och urval.
Frågor om offentlighet och sekretess och våra förslag inom detta område redogör vi för i kapitel 15.
Kapitel 16 och 17 innehåller våra bedömningar och förslag till reglering av det statliga personadressregistret, SPAR, respektive Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
I kapitel 18 finns en redovisning av våra bedömningar och förslag i fråga om ikraftträdande- och övergångsbestämmelser.
De avslutande kapitlen, kapitel 19 och 20, innehåller en konsekvensutredning och författningskommentarer.
3. Gällande rätt – dataskydd och sekretess
3.1. Inledning
Rätten till skydd av personuppgifter är en dimension av den grundläggande rätten till respekt för privatlivet, som regleras i flera internationella konventioner till skydd för de mänskliga rättigheterna. Skyddet för privatlivet omfattar vitt skilda aspekter av en persons liv och begreppet kan inte ges någon uttömmande definition.1 Utöver skydd för en persons bostad och kommunikationer garanterar dock denna rättighet bl.a. ett skydd för den personliga integriteten, en rätt till självbestämmande och en rätt till personlig utveckling.
Den snabba tekniska utvecklingen och framväxten av informationssamhället har medfört en alltmer omfattande behandling av personuppgifter och annan data, inom såväl offentlig som privat sektor. Om personuppgifter behandlas för ett annat ändamål än vad som avsetts eller om de hanteras av någon som inte borde ha tillgång till uppgifterna kan det utgöra ett oönskat intrång i den personliga integriteten. Automatiserad behandling av personuppgifter kan dessutom innebära särskilda risker ur ett integritetsperspektiv eftersom tekniken gör det möjligt att på ett enkelt sätt både samla in, sammanställa och sprida stora mängder information.
Någon entydig definition av begreppet personlig integritet är svår att finna. Möjligen kan kränkningar av den personliga integriteten sägas utgöra intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där oönskade intrång bör kunna avvisas.2 Behovet av en ändamålsenlig reglering av offentliga och privata aktörers hanter-
1 Se Europadomstolens uttalanden i t.ex. López Ribalda m.fl. mot Spanien, mål nr 1874/13 och 8567/13, dom den 17 oktober 2019 och Breyer mot Tyskland, mål nr 50001/12, dom den 30 januari 2020. 2Prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2009/10:80, En reformerad
grundlag, s. 175.
ing av personuppgifter, med goda möjligheter att motverka oberättigad behandling, kan sägas ha ökat parallellt med framväxten av det digitaliserade samhället.
Skatteverket, Tullverket och Kronofogdemyndigheten hanterar stora mängder allmänna handlingar och uppgifter som ofta rör enskilda fysiska personer. Offentlighetsprincipen innebär att enskilda har rätt till insyn i den offentliga verksamheten genom att ta del av allmänna handlingar och uppgifter om de inte är sekretessbelagda. Utöver de regelverk som syftar till att skydda enskildas personliga integritet finns bestämmelser om sekretess och tystnadsplikt som ger skydd mot spridning av uppgifter om enskilda. I svensk rätt betraktas bestämmelser om sekretess och tystnadsplikt som en viktig del av det nationella skyddet för personuppgifter.3
I detta kapitel redogörs för den allmänna regleringen av skyddet för den personliga integriteten och behandling av personuppgifter som är av betydelse för vårt uppdrag. Vidare redogör vi översiktligt för vad som allmänt gäller för sekretess och tystnadsplikt, sekretess mellan myndigheter och relevant sekretessreglering som gäller i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter.
3.2. Den personliga integriteten och dataskydd
3.2.1. FN:s allmänna förklaring och konvention
Det internationella arbetet för mänskliga rättigheter tar sin utgångspunkt i den allmänna förklaring om de mänskliga rättigheterna som FN antog 1948. I artikel 12 anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare anges att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. FN:s allmänna förklaring om de mänskliga rättigheterna ses till stora delar som ett uttryck för sedvanerättsliga regler.
Sverige har anslutit sig till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i artikel 12 i den allmänna förklaringen. Konventionen är bindande för anslutna stater.
3Prop. 2021/22:272, Statens stöd till trossamfund samt demokrativillkor vid stöd till civilsamhället, s. 133.
3.2.2. Europakonventionen och dataskyddskonventionen
Europakonventionen4 är inkorporerad i svensk rätt och gäller som lag. Lag eller annan föreskrift får inte meddelas i strid med Sveriges åtaganden på grund av Europakonventionen (2 kap. 19 § regeringsformen, RF). Artikel 8 i Europakonventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Artikel 8 ålägger följaktligen stater en förpliktelse att avstå från att göra oproportionerliga intrång i rätten till respekt för privat- och familjelivet. Behandling av personuppgifter faller ofta inom bestämmelsens tillämpningsområde.5
Europarådets ministerkommitté antog 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen), som Sverige och även övriga medlemsstater i EU har ratificerat. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Dess innehåll kan ses som en precisering av skyddet vid användning av automatiserad behandling av personuppgifter enligt artikel 8 i Europakonventionen.6
Dataskyddskonventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgiftsbehandling i allmän och enskild verksamhet. Enligt konventionen ska personuppgifter inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av personuppgifter får inte behandlas genom automatiserad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.
4 Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna. 5 Se t.ex. Europadomstolens dom i s. och Marper mot Förenade kungariket, mål nr 30562/04 och 30566/04, dom den 4 december 2008. 6Prop. 2016/17:91, Tullbrottsdatalag, s. 24.
Mot bakgrund av bl.a. den tekniska utvecklingen sedan 1981 har konventionen genomgått en översyn i syfte att modernisera och förbättra den.7 Ändringarna har ännu inte trätt i kraft.
3.2.3. EU-stadgan om de grundläggande rättigheterna
EU:s medlemsstater har antagit Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) som, sedan Lissabonfördragets ikraftträdande i december 2009, är rättsligt bindande för EU-institutionerna och medlemsstaterna när de tillämpar unionsrätten.8 Enligt artikel 7 i EU-stadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och kommunikationer. Av artikel 8 i EU-stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikeln gäller vidare att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
3.2.4. Regeringsformen
Den personliga integriteten skyddas av regeringsformen. Av målsättningsstadgandet i 1 kap. 2 § RF följer att det allmänna ska värna den enskildes privat- och familjeliv. Målsättningsstadgandet anger ett viktigt mål för den samhälleliga verksamheten, men är inte rättsligt bindande för det allmänna. I 2 kap. RF finns däremot rättsligt bindande föreskrifter om grundläggande fri- och rättigheter. I 2 kap. 2 § RF föreskrivs att ingen får av det allmänna tvingas att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Vidare anges i 2 kap. 3 § RF att ingen svensk medborgare får utan samtycke antecknas i ett allmänt register enbart på grund av sin politiska åskådning. Av 2 kap. 6 § andra stycket RF framgår att var och en är gentemot det allmänna skyddad mot betydande intrång i den per-
7 Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 223). 8 Jfr prop. 2007/08:168, Lissabonfördraget, s. 58–59.
sonliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
3.2.5. EU:s dataskyddsförordning
Allmänt om EU:s dataskyddsförordning
EU:s dataskyddsförordning9 utgör sedan den började tillämpas den 25 maj 2018 en generell reglering för behandling av personuppgifter inom EU. Förordningen ersatte 1995 års dataskyddsdirektiv.10 Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och gäller före nationell rätt. Samtidigt både förutsätter och medger dataskyddsförordningen kompletterande nationella bestämmelser av olika slag.
Dataskyddsförordningen innehåller bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.11 Förordningen syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Enligt dataskyddsförordningen får det fria flödet av personuppgifter inom unionen varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.12
Behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken omfattas inte av dataskyddsförordningens tillämpningsområde.13 Inte heller sådan personuppgiftsbehandling som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll
9 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 10 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 11 Artikel 2.1. 12 Artikel 1. 13 Skäl 16 till dataskyddsförordningen.
omfattas av dataskyddsförordningen.14 Vidare gäller dataskyddsförordningen inte heller för behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.15 Sådan behandling regleras i stället i det s.k. dataskyddsdirektivet16 som i Sverige kompletteras av brottsdatalagen (2018:1177) och brottsdataförordningen (2018:1202).
I dataskyddsförordningen anges de principer som ska gälla vid behandling av personuppgifter (kapitel 2), den registrerades rättigheter (kapitel 3), den personuppgiftsansvariges och dennes eventuella biträdes, det s.k. personuppgiftsbiträdets, skyldigheter m.m. (kapitel 4) och det som ska gälla vid överföring av personuppgifter till tredjeländer eller internationella organisationer (kapitel 5). I förordningen finns också bestämmelser om oberoende tillsynsmyndigheter (kapitel 6) och deras samarbete och åtgärder som de ska vidta för att förordningen ska tillämpas på ett enhetligt sätt (kapitel 7). Vidare finns bestämmelser om rättsmedel, ansvar och sanktioner (kapitel 8), särskilda behandlingssituationer (kapitel 9) och delegerade befogenheter (kapitel 10).
Nedan följer en beskrivning av för vårt uppdrag centrala delar av dataskyddsförordningen.
Personuppgifter
Personuppgifter definieras i dataskyddsförordningen som varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska ekonomiska, kulturella eller sociala identitet.17 Dataskyddsförordningen gäller inte vid
14 Artikel 2.2 c. 15 Artikel 2.2 d. 16 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 17 Artikel 4.1.
behandling av uppgifter om avlidna personer.18 Den gäller inte heller uppgifter om juridiska personer.19 Däremot utgör avidentifierade individdata, där nyckeln till identifiering finns bevarad, personuppgifter i dataskyddsförordningens mening.20
Behandling
Begreppet behandling är enligt dataskyddsförordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.21
Grundläggande principer
För all behandling av personuppgifter enligt dataskyddsförordningen gäller ett antal grundläggande principer. Principerna framgår av artikel 5.1. Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna efterlevs, vilket framgår av artikel 5.2 (den s.k. ansvarsprincipen). Principerna är följande.
a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i
förhållande till den registrerade (laglighet, korrekthet och öppenhet).
b) De ska samlas in för särskilda, uttryckligt angivna och berättigade
ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).
c) De ska vara adekvata, relevanta och inte för omfattande i förhål-
lande till de ändamål för vilka de behandlas (uppgiftsminimering).
18 Skäl 27 till dataskyddsförordningen. 19 Artikel 1 och skäl 14 till dataskyddsförordningen. 20 Artikel 4.1 och skäl 26 till dataskyddsförordningen. 21 Artikel 4.2.
d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rim-
liga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
e) De får inte förvaras i en form som möjliggör identifiering av den
registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).
f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för
personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Rättslig grund
För att behandling av personuppgifter över huvud taget ska vara laglig enligt dataskyddsförordningen krävs att något av de villkor som anges i artikel 6.1 i förordningen är uppfyllda. Det innebär att en behandling inte är tillåten om den inte vilar på en rättslig grund enligt dataskyddsförordningen.
De rättsliga grunder som i huvudsak aktualiseras för myndigheter är behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, artikel 6.1 e och c.
När det i dataskyddsförordningen hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament. Den rättsliga grunden eller lagstiftningsåtgärden bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med
rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna.22
Dataskyddsförordningen medför inte något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.23
Den grund för behandlingen som avser rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning ska fastställas i enlighet med unionsrätten, eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt bestämmelsen om uppgift av allmänt intresse eller myndighetsutövning, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.24 Enligt dataskyddsförordningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter.25
Det unionsrättsliga begreppet nödvändigt har inte samma strikta innebörd som det svenska ordet nödvändigt, dvs. att någonting absolut fordras eller inte kan underlåtas. Nödvändighetsrekvisitet i artikel 7 i 1995 års dataskyddsdirektiv har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Trots att en arbetsuppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan
22 Skäl 41 till dataskyddsförordningen. 23 Skäl 45 till dataskyddsförordningen. 24 Artikel 6.3. 25 Skäl 47 till dataskyddsförordningen.
behandlingen anses nödvändig om den innebär effektivitetsvinster.26Det bör i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.27
Finalitetsprincipen
Som redan nämnts ska personuppuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b i dataskyddsförordningen). Bestämmelsen ger uttryck för den s.k. finalitetsprincipen. Denna princip medger att uppgifter behandlas för andra ändamål än insamlingsändamålen under förutsättning att dessa ändamål inte är oförenliga med det ursprungliga ändamålet, men förbjuder annan vidarebehandling av uppgifterna.
I artikel 6.4 i dataskyddsförordningen anges att om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bl.a. beakta följande:
a) Kopplingar mellan de ändamål för vilka personuppgifterna har
samlats in och ändamålen med den avsedda ytterligare behandlingen.
b) Det sammanhang inom vilket personuppgifterna har samlats in,
särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.
c) Personuppgifternas art, särskilt huruvida särskilda kategorier av
personuppgifter behandlas i enlighet med artikel 9 eller huruvida
26 EU-domstolens dom den 16 december 2008 i mål C-524/06, Heinz Huber mot Bundesrepublik Deutschland och prop. 2017/18:105, Ny dataskyddslag, s. 46–47. 27Prop. 2017/18:105, Ny dataskyddslag, s. 47.
personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10.
d) Eventuella konsekvenser för registrerade av den planerade fort-
satta behandlingen.
e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa
kryptering eller pseudonymisering.
Om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig.28 Tillåtligheten av en vidarebehandling kan alltså säkerställas genom nationell lagstiftning som reglerar när sådan vidarebehandling ska vara tillåten.29 Om behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte.30
Känsliga personuppgifter m.m.
För behandling av vissa särskilda kategorier av uppgifter, s.k. känsliga personuppgifter, gäller stränga krav. Som huvudregel är behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning förbjuden enligt artikel 9.1 dataskyddsförordningen.
Det finns vissa undantag från förbudet mot behandling av känsliga personuppgifter. Förbudet ska exempelvis inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken
28 Skäl 50 till dataskyddsförordningen. 29 Jfr artikel 6.3 andra stycket. 30 Skäl 50 till dataskyddsförordningen.
ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, vilket framgår av artikel 9.2 g.
Vad gäller behandlingen av genetiska eller biometriska uppgifter, eller uppgifter om hälsa, får medlemsstaterna behålla eller införa ytterligare villkor och begränsningar.31
Det finns även särskilda bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Behandling av sådana personuppgifter enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.32 Om en uppgift om en fällande dom i brottmål eller lagöverträdelse som innefattar brott även utgör en känslig personuppgift, gäller därutöver de särskilda krav som gäller för behandling av sådana uppgifter.
De registrerades rättigheter
Dataskyddsförordningen innehåller ett antal rättigheter för de enskilda vars personuppgifter behandlas (de registrerade). Den registrerade har rätt att få omfattande information från den personuppgiftsansvarige. Informationen och kommunikationen ska vara klar och tydlig och de villkor som ska gälla för utövandet av den registrerades rättigheter ska vara klara och tydliga.33 Informationen som ska tillhandahållas om personuppgifterna samlas in från den registrerade är bl.a. ändamålen med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen.34 Om den personuppgiftsansvarige avser att ytterligare behandla uppgifterna för ett annat syfte än för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra
31 Artikel 9.4. 32 Artikel 10. 33 Artikel 12. 34 Artikel 13.1 c.
syfte, om den registrerade inte redan förfogar över informationen.35Om information inte erhållits från den registrerade gäller som utgångspunkt samma krav på information om bl.a. ändamålen och den rättsliga grunden för behandlingen.36 Undantag görs dock bl.a. för erhållande eller utlämnande av uppgifter som uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.37
Den registrerade kan också begära registerutdrag med information om bl.a. vilka kategorier av uppgifter som behandlas om honom eller henne.38 Vidare har den registrerade rätt att begära att få uppgifter rättade eller raderade eller att behandlingen ska begränsas.39 Den registrerade har också rätt att göra invändningar mot personuppgiftsbehandling som grundar sig på bl.a. artikel 6.1 e.40
Den registrerade ska även ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder eller på liknande sätt i betydande grad påverkar den registrerade.41
De rättigheter som tillkommer de registrerade kan begränsas under vissa förutsättningar.42 I unionsrätten eller en medlemsstats nationella rätt ska det nämligen vara möjligt att införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. En begränsning av den registrerades rättigheter får dock inte ske av vilken anledning som helst. Den måste ha som syfte att säkerställa någon av de mål som anges i dataskyddsförordningen, bl.a. unio-
35 Artikel13.3 och 13.4. 36 Artikel 14. 37 Artikel 14.5 c. 38 Artikel 15. 39 Artiklarna 16–18. 40 Artikel 21.1. 41 Artikel 22. Profilering innebär varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar, se artikel 4.4. 42 Artikel 23.1.
nens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet eller en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med sådan myndighetsutövning.43
Alla begränsande lagstiftningsåtgärder ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling, omfattningen av de införda begränsningarna och skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring.44
Säkerhet m.m.
Allmänt om säkerhet vid behandling av personuppgifter
Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas. Redan av de grundläggande principerna för personuppgiftsbehandling framgår att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f).
Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.45
Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i
43 Artikel 23.1 e och h. 44 Artikel 23.2 a, c och d. 45 Artikel 29.
förhållande till risken.46 Säkerhetsåtgärder som kan aktualiseras är bl.a. pseudonymisering och kryptering av personuppgifter och ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.47
Inbyggt dataskydd och dataskydd som standard
Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder som ska vara utformade för ett effektivt genomförande av dataskyddsprinciper och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas.48 Den personuppgiftsansvarige ska vidare genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.49
Konsekvensbedömning
Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyd-
46 Artikel 32.1. 47 Artikel 32.1 a och d. 48 Artikel 25.1. 49 Artikel 25.2.
det av personuppgifter.50 En sådan konsekvensbedömning kan aktualiseras bl.a. vid behandling i stor omfattning av känsliga personuppgifter enligt artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10.51 Konsekvensbedömningen ska göras i syfte att bedöma den höga riskens sannolikhetsgrad och allvar samt dess ursprung och bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska risken, säkerställa personuppgiftsskyddet och visa att dataskyddsförordningen efterlevs.52 En konsekvensbedömning bör särskilt vara tillämplig på storskalig uppgiftsbehandling med syftet att behandla betydande mängder uppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort antal registrerade och sannolikt kommer innebära en hög risk.53
Om behandling enligt de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, krävs ingen konsekvensbedömning, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.54
Möjligheten till kompletterande lagstiftning
En EU-förordning är i alla delar bindande och direkt tillämplig i medlemsstaternas nationella rätt och ska därmed inte implementeras.55Dataskyddsförordningen är dock utformad på ett sådant sätt att förordningen till viss del både förutsätter och medger nationell dataskyddsreglering som kompletterar förordningens bestämmelser. Förordningen har därmed i vissa delar en direktivliknande karaktär.
Dataskyddsförordningen medger att medlemsländerna behåller eller inför mer specifika bestämmelser för att anpassa bestämmelserna i
50 Artikel 35.1. 51 Artikel 35.3 b. 52 Skäl 90 till dataskyddsförordningen. 53 Skäl 91 till dataskyddsförordningen. 54 Artikel 35.10. 55 Jfr artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt.
förordningen, med hänsyn till behandling för att efterleva bestämmelserna om rättslig förpliktelse samt uppgift av allmänt intresse eller myndighetsutövning som rättslig grund. Medlemsstaterna får även fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling.56 Den rättsliga grunden ska dessutom fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.57
I skälen till dataskyddsförordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.58 Möjligheten att anta kompletterande dataskyddsbestämmelser på nationell nivå medför även en möjlighet för medlemsstaterna att i viss mån anpassa förordningens bestämmelser till den nationella kontexten.59
Dataskyddsförordningens förhållande till offentlighetsprincipen
Bestämmelserna i dataskyddsförordningen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen, TF, eller yttrandefrihetsgrundlagen (1 kap. 7 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter benämnd dataskyddslagen, och artikel 85 i dataskyddsförordningen). Dataskyddsförordningen medför inte heller några begränsningar av rätten att ta del av allmänna handlingar.60 Den svenska offentlighetsprincipen ges därmed företräde framför rätten till skydd av personuppgifter enligt dataskyddsförordningen. Detta innebär bl.a. att den svenska regleringen om allmänna handlingars offentlighet och rätten att ta del av allmänna handlingar i 2 kap. TF ska tillämpas framför bestämmelserna i dataskyddsförordningen.61
56 Artikel 6.2. 57 Artikel 6.3. 58 Skäl 8 till dataskyddsförordningen. 59 Se t.ex. artiklarna 6.2 och 23. 60 Artikel 86 i dataskyddsförordningen. 61 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 40–43.
3.2.6. Dataskyddslagen
Allmänt om dataskyddslagen
I Sverige kompletteras dataskyddsförordningen av dataskyddslagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Lagen med tillhörande förordning förtydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Genom dataskyddslagen upphävdes personuppgiftslagen (1998:204), som genomförde 1995 års dataskyddsdirektiv.
Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket innebär att avvikande bestämmelser i registerförfattningar och annan kompletterande dataskyddsreglering har företräde.62Lagen innehåller bl.a. bestämmelser om rättslig grund för behandling av personuppgifter, behandling av känsliga personuppgifter och begränsningar av vissa rättigheter och skyldigheter samt om arkiv och statistik.
Dataskyddslagens förarbeten om rättslig grund
Allmänt om rättslig grund vid myndigheters personuppgiftsbehandling
I dataskyddslagens förarbeten gjordes flera överväganden om tolkningen av centrala delar i dataskyddsförordningen, bl.a. avseende de krav som ställs i relation till den rättsliga grund för behandling som i huvudsak är aktuell för myndigheter. Regeringens bedömning var sammanfattningsvis att dataskyddsförordningens krav på att den grund för behandling som vanligtvis aktualiseras för myndigheter ska vara fastställd i enlighet med unionsrätten eller den nationella rätten inte innebär ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen är enligt regeringen fastställd i enlighet med svensk rätt, om den följer av författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.63
62 1 kap. 6 § dataskyddslagen. 63Prop. 2017/18:105, Ny dataskyddslag, s. 48.
Vad ska fastställas i unionsrätten eller nationell rätt?
Regeringen konstaterade att av ordalydelsen i artikel 6.3 första stycket64 framgår att det som ska fastställas i unionsrätten eller nationell rätt är den grund för behandling som avses i artikel 6.1 c och e. Det krävs alltså inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.65
Vad menas med att grunden för behandlingen ska vara fastställd?
Dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd utgjorde enligt regeringen inte någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § RF och innebär att myndigheters maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Det borde inte förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.66
Kraven på proportionalitet i artikel 6.3 motsvarar enligt regeringen det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Enligt 2 kap. 19 § RF gäller att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt.67 Kravet att nationell rätt ska uppfylla ett mål av
64 I artikel 6.3 första stycket i dataskyddsförordningen anges att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. 65Prop. 2017/18:105, Ny dataskyddslag, s. 49. 66Prop. 2017/18:105, Ny dataskyddslag, s. 50. 67Prop. 2017/18:105, Ny dataskyddslag, s. 50.
allmänt intresse och vara proportionell mot det legitima mål som eftersträvas måste i första hand anses riktat mot lagstiftaren och andra som har befogenhet att fastställa rättsliga förpliktelser, uppgifter av allmänt intresse, samt myndighetsutövning, och inte till personuppgiftsansvariga eller personuppgiftsbiträden.68
Av skäl 41 till förordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Även detta var enligt regeringen ett uttryck för legalitetsprincipen och utgjorde således inte någon nyhet inom den svenska offentliga förvaltningen. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringen bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär.69
Hur fastställs en rättslig grund i enlighet med svensk rätt?
Föreskrifter ska meddelas av riksdagen genom lag bl.a. om föreskrifterna avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga och ekonomiska förhållanden.70 Regeringen får dock, efter bemyndigande från riksdagen, meddela sådana föreskrifter i en förordning.71 Normgivningskompetensen kan även vidaredelegeras till en myndighet eller en kommun.72När det gäller föreskrifter som är gynnande för den enskilde får regeringen, inom ramen för sin restkompetens, meddela föreskrifter om åtgärder utan stöd av ett bemyndigande från riksdagen.73
Under regeringen lyder de statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen. Regeringen styr dessa myndigheter genom regeringsbeslut och genom att med stöd av restkompetensen meddela föreskrifter. Det kommunala självstyret innebär att
68Prop. 2017/18:105, Ny dataskyddslag, s. 54. 69Prop. 2017/18:105, Ny dataskyddslag, s. 51. 708 kap. 2 § RF. 718 kap. 3 § RF. 72 8 kap. 9 och 10 §§ RF. 738 kap. 7 § RF.
fullmäktige har visst utrymme att styra de kommunala myndigheternas verksamhet genom reglementen.74
EU-rättsakter gäller här i landet med den verkan som följer av EU-fördragen. Det innebär att även unionsrätten har stöd i svensk lag, t.ex. i fråga om förpliktelser, myndighetsutövning och uppgifter av allmänt intresse som följer av direkt tillämpliga EU-förordningar eller som meddelas med stöd av sådana förordningar. En rättslig grund är fastställd i enlighet med svensk rätt om den följer av en författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal.75
Bestämmelser om rättslig grund i dataskyddslagen
Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Bestämmelsen har sin grund i artikel 6.3 första stycket i dataskyddsförordningen. Enligt artikeln måste en rättslig förpliktelse vara fastställd i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragrafen är avsedd att ge vägledning för rättstillämpningen i Sverige och tydliggör att förpliktelsen måste vara fastställd i enlighet med gällande rätt, men behöver inte framgå direkt av en författning. Vidare kan en rättslig förpliktelse enligt svensk rätt även följa av till exempel regeringsbeslut, myndighetsbeslut eller dom. Med lag jämställs EU-förordningar.76
Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Bestämmelsen har sin grund i artikel 6.3 första
74Prop. 2017/18:105, Ny dataskyddslag, s. 51. 75Prop. 2017/18:105, Ny dataskyddslag, s. 51–52. 76Prop. 2017/18:105, Ny dataskyddslag, s. 188–189.
stycket i dataskyddsförordningen där det anges att en uppgift av allmänt intresse respektive myndighetsutövning måste fastställas i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragrafen är avsedd att ge vägledning för rättstillämpningen i Sverige. Bestämmelsen tydliggör att uppgiften inte måste framgå direkt av en författning. Uppgifter av allmänt intresse kan enligt svensk rätt även följa av beslut som har meddelats med stöd av lag eller annan författning. Till exempel kan en sådan uppgift tilldelas en statlig myndighet eller ett statligt bolag genom ett regeringsbeslut. Vidare tydliggörs att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter bara om myndighetsutövningen sker enligt lag eller annan författning. Begreppet myndighetsutövning ska tolkas och tillämpas på samma sätt som enligt dataskyddsförordningen. Det som i Sverige brukar anses som myndighetsutövning borde omfattas av begreppet.77
3.2.7. Särskilda nationella registerförfattningar
Allmänt om registerförfattningar
Utöver den allmänna dataskyddsregleringen i form av dataskyddsförordningen och dataskyddslagen finns det i svensk rätt en stor mängd specialförfattningar, s.k. registerförfattningar, som reglerar framför allt myndigheters behandling av personuppgifter. Registerförfattningarna utgör ett komplement till den allmänna regleringen och förekommer både i form av lag och förordning. Syftet med registerförfattningarna är att anpassa regleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes personliga integritet.78
Särskilda registerförfattningar blir ofta aktuella inom verksamheter där stora mängder personuppgifter hanteras. Det finns dock ett flertal myndigheter som saknar registerförfattning och där enbart den generella dataskyddsregleringen tillämpas.
Registerförfattningar kan sägas konkretisera ramarna för personuppgiftsbehandlingen och den kompletterande regleringen kan sägas
77Prop. 2017/18:105, Ny dataskyddslag, s. 189–190. 78Prop. 2015/16:65, Utlänningsdatalag, s. 21.
ange de yttersta ramarna för vilka ändamål en myndighet över huvud taget får samla in och använda uppgifter.79
Registerförfattningars innehåll
Registerförfattningar och annan kompletterande dataskyddsreglering är ofta uppbyggda på så sätt att de inledande bestämmelserna anger författningens tillämpningsområde, exempelvis en viss verksamhet inom en viss myndighet, och förhållande till annan reglering, primärt dataskyddsförordningen och dataskyddslagen. De allra flesta registerförfattningar innehåller därefter ändamålsbestämmelser.
Ändamålsbestämmelserna brukar delas upp i primära och sekundära ändamål. Bestämmelserna om primära ändamål avser behovet av att behandla personuppgifter i myndighetens egen verksamhet och anger för vilka ändamål inom lagens tillämpningsområde myndigheten får samla in personuppgifter. Uttrycket samlas in är ett begrepp som inte särskilt definieras i dataskyddsförordningen. Det får dock antas avse de olika tillvägagångssätt som, i en vid bemärkelse, medför att uppgifter kommer in till myndigheten. Begreppet träffar alltså inte enbart de situationer när uppgifter kommer till myndigheten efter myndighetens egen begäran, utan även andra situationer som innebär att en myndighet får tillgång till personuppgifter, exempelvis genom att en enskild på eget initiativ lämnar in en handling av något slag till myndigheten.80 En primär ändamålsbestämmelse kan t.ex. ange att uppgifter får behandlas för tillhandahållande av information som behövs hos en myndighet för en viss uppgift som ankommer på myndigheten.
Bestämmelserna om sekundära ändamål reglerar hur personuppgifter som redan har samlats in och behandlas i verksamheten för de primära ändamålen får vidarebehandlas. I de sekundära ändamålsbestämmelserna ges ofta en uppräkning över vissa vanligt förekommande ändamål för utlämnande till andra myndigheter. Utöver detta anges ofta att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och att uppgifter även får behandlas för andra ändamål, under förutsättning att upp-
79Prop. 2017/18:95, Ny dataskyddslag, s. 54. 80 Öman, Dataskyddsförordningen (GDPR) m.m. – en kommentar, (27 september 2023, Version 2B, JUNO), kommentaren till artikel 5 under rubriken Led b – Ändamålsbegränsning.
gifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
Det är även vanligt förekommande att registerförfattningarna innehåller särskilda bestämmelser om bl.a. personuppgiftsansvar, behandling av känsliga personuppgifter, förbud mot vissa sökningar, samt begränsningar av tillgången till personuppgifter.
Flera registerförfattningar innehåller också en reglering av vilka uppgifter som får behandlas för vilka ändamål, vilka uppgifter som får användas gemensamt i en databas, samt villkor för olika former av elektroniskt utlämnande av uppgifter, exempelvis genom direktåtkomst.
Inte sällan finns det förordningar som kompletterar registerlagarna. I förordningarna ges då ofta mer detaljerade bestämmelser, exempelvis om vilka uppgifter som får behandlas i vilken kontext, eller vilka uppgifter som får lämnas ut till vem samt i vilken elektronisk form detta får ske. I förordningarna kan det även finnas andra begränsningar.
3.2.8. Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar
Skatteverket
Skattedatabaslagen med tillhörande förordning
Vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet tillämpas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen, och förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen.
Skattedatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde skatteregisterlagen (1980:343) att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Skattedatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgiftslagen upphävdes.81
81 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till
EU:s dataskyddsförordning.
Skattedatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. beskattningsdatabasen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.).
Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön och lagen (2020:548) om omställningsstöd samt vid handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §).
Termer och uttryck som används i lagen har samma betydelse och tillämpningsområde som i inkomstskattelagen (1999:1229) (1 kap. 1 a §). Skattedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§).
Lagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Uppgifter får enligt de primära ändamålen behandlas för att tillhandahålla information som behövs hos Skatteverket för bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, bestämmande av pensionsgrundande inkomst, fastighetstaxering, revision och annan analys- eller kontrollverksamhet och fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §).
Enligt de s.k. sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen i 1 kap. 4 § även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för bl.a. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter, för utsökning, indrivning, skuldsanering och F-skuldsanering och för att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd. Uppgifter får också behandlas för att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, och för att fullgöra upp-
giftslämnande som sker i överensstämmelse med lag eller förordning. Vidare får uppgifter behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 5 §).
Det är Skatteverket som är personuppgiftsansvarigt för den behandling av personuppgifter som verket ska utföra (1 kap. 6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av beskattningsdatabasen (1 kap. 7 §).
Uppgifter som Skatteverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §).
Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör beskattningsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i beskattningsdatabasen (2 kap. 3–4 a §§). Vidare finns regler om enskilds rätt att ta del av uppgifter från databasen och vilka uppgifter som då får lämnas ut (2 kap. 5 §). Det finns också bestämmelser om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling (2 kap. 6 §). Vilken direktåtkomst som är tillåten till beskattningsdatabasen framgår av lagen (2 kap. 7–9 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i beskattningsdatabasen (2 kap. 10 §). Uppgifter och handlingar som finns i beskattningsdatabasen ska som utgångspunkt gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller handlingarna kan hänföras till gick ut. (2 kap. 11 §). Det finns även ytterligare särskilda regler om gallring av uppgifter och handlingar som finns i databasen (2 kap. 12–13 §§). Vidare får Skatteverket ta ut
avgifter för att lämna ut uppgifter ur beskattningsdatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 13 §).
Två rättigheter enligt EU:s dataskyddsförordning har inskränkts genom skattedatabaslagen. Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15–19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen (3 kap. 3 a §). Vidare gäller inte artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar vid sådan behandling som är tillåten enligt skattedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §).
I skattedatabasförordningen finns ytterligare bestämmelser om Skatteverkets behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, uppgifter som får behandlas i beskattningsdatabasen, utlämnande av uppgifter till myndigheter och andra organ, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, utlämnande av uppgifter till Europeiska kommissionen, direktåtkomst för enskilda, bevarande och gallring av uppgifter i beskattningsdatabasen och avgifter.
Folkbokföringsdatabaslagen med tillhörande förordning
Vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet tillämpas lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen, och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen.
Folkbokföringsdatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde lagen (1990:1536) om folkbokföringsregister och lagen (1995:743) om aviseringsregister att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Folkbokföringsdatabaslagen har sedan dess änd-
rats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgiftslagen upphävdes.82
Folkbokföringsdatabaslagen är indelad i fyra kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. folkbokföringsdatabasen (2 kap.), analys- och urvalsdatabasen (2 a kap.) och enskildas rättigheter (3 kap.).
Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller också vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen (2022:1697) om samordningsnummer. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om avlidna (1 kap. 1 §).
Folkbokföringsdatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§).
Lagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Uppgifter får enligt de primära ändamålen behandlas för att tillhandahålla information som behövs för bl.a. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, fullgörande av underrättelseskyldighet enligt lag eller förordning, aktualisering, komplettering och kontroll av personuppgifter och uttag av urval av personuppgifter (1 kap. 4 § första stycket). Uppgifter får också behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten (1 kap. 4 a §).
Enligt de s.k. sekundära ändamålen får uppgifter även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 4 § andra stycket).
Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet ut-
82 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning.
för enligt lagen (1 kap. 5 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av folkbokföringsdatabasen (1 kap. 6 §).
Vidare finns regler om att när en kontroll enligt 26 b och 26 c §§folkbokföringslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras (1 kap. 7 §).
Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som anges i 1 kap. 4 § utgör folkbokföringsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som har tilldelats personnummer eller samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i folkbokföringsdatabasen (2 kap. 3–5 §§). Det finns också bestämmelser om vilka uppgifter i databasen som får lämnas ut till enskilda på medium för automatiserad behandling (2 kap. 6 §). Vilken direktåtkomst som är tillåten till folkbokföringsdatabasen framgår av lagen (2 kap. 8 och 9 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i folkbokföringsdatabasen (2 kap. 10 och 11 §§). Vidare får Skatteverket ta ut avgifter för att lämna ut uppgifter ur folkbokföringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 12 §).
I folkbokföringsverksamheten ska det också finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och urvalsdatabas) (2 a kap. 1 §). I analys- och urvalsdatabasen får uppgifter om de personer som uppgifter får behandlas om i folkbokföringsdatabasen behandlas (2 a kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i analys- och urvalsdatabasen (2 a kap. 3 §). Det finns också bestämmelser om vilka sökbegrepp som får användas vid sökning i databasen (2 a kap. 4 §). Vidare finns ett särskilt dokumentationskrav som innebär att metoder för att ta
fram urval och sökbegrepp som används vid sökningar i analys- och urvalsdatabasen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand (2 a kap. 5 §). Uppgifter som behandlas i analys- och urvalsdatabasen får inte behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen (2 a kap. 6 §).
En rättighet enligt EU:s dataskyddsförordning har inskränkts genom folkbokföringsdatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt folkbokföringsdatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §).
I folkbokföringsdatabasförordningen finns ytterligare bestämmelser om Skatteverkets behandling av personuppgifter inom folkbokföringsverksamheten. Förordningen innehåller bl.a. bestämmelser om definitioner, Skatteverkets skyldighet att behandla uppgifter, vilka uppgifter som får behandlas i folkbokföringsdatabasen respektive analys- och urvalsdatabasen, underrättelser som Skatteverket ska lämna, personbevis, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, direktåtkomst för enskilda och avgifter.
Lagen om det statliga personadressregistret med tillhörande förordning
Statens personadressregister, SPAR, är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret ingår även personer som har fått samordningsnummer och vars identitet är fastställd. Skatteverket är huvudman och personuppgiftsansvarig för SPAR sedan den 1 januari 2009.
Av lagen (1998:527) om det statliga personadressregistret, SPARlagen, framgår att för vissa ändamål ska det med hjälp av automatiserad behandling föras ett statligt personadressregister (SPAR). Registret får användas av myndigheter och enskilda (1 §). SPAR-lagen kompletteras av förordningen (1998:1234) om det statliga personadressregistret, SPAR-förordningen.
SPAR-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (2 §).
I lagen finns bestämmelser om registerändamål. Uppgifterna i SPAR får behandlas för att aktualisera, komplettera och kontrollera personuppgifter och för att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (3 §).
Vidare har en rättighet enligt EU:s dataskyddsförordning inskränkts genom SPAR-lagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt SPAR-lagen eller föreskrifter som har meddelats i anslutning till lagen. Det finns också en upplysning om att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i dataskyddsförordningen (3 a §).
Lagen innehåller bestämmelser om vilka uppgifter SPAR får innehålla (4 och 5 §§). Det finns också bestämmelser om utlämnande av uppgifter till enskilda samt till vissa myndigheter (6 och 7 §§). Slutligen anges i lagen att regeringen får föreskriva om begränsningar av sökbegreppen för SPAR (8 §).
I SPAR-förordningen finns ytterligare bestämmelser om SPAR. Där anges bl.a. att Skatteverket är personuppgiftsansvarigt för SPAR. Driften av SPAR får vara förlagd till servicebyråer. Vidare finns regler om den s.k. SPAR-nämnden, inhämtande av uppgifter till verksamheten med SPAR, utlämnande av uppgifter i elektronisk form, informationsskyldighet, sökbegrepp, statistiska sammanställningar och gallring.
Lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med tillhörande förordning
Vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter tillämpas lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, ÄrBu-lagen, och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, ÄrBu-förordningen.
Syftet med lagen är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verkets äktenskapsregister- och bouppteckningsverksamheter och att skydda människor mot att
deras personliga integritet kränks vid en sådan behandling (1 §). Lagen gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa bestämmelser gäller även vid behandling av uppgifter om avlidna (2 §).
ÄrBu-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (3 §).
Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför (5 §).
I lagen regleras tillåtna primära och sekundära ändamål. Personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Personuppgifter får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (6 §).
När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får sådana uppgifter behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning (7 §). Vidare finns regler om begränsningar av sökbegrepp som får användas (8 §).
Personuppgifter får enligt lagen lämnas ut på medium för automatiserad behandling om det inte är olämpligt (9 §).
Vidare har rättighet enligt EU:s dataskyddsförordning inskränkts genom ÄrBu-lagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt ÄrBu-lagen eller föreskrifter som har meddelats i anslutning till lagen (10 §). Slutligen finns bestämmelser om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om avgifter för utlämnande av uppgifter (11 §).
I ÄrBu-förordningen finns bestämmelser bl.a. om att Skatteverket får meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling, att
Skatteverket får besluta om avgifter för utlämnande av uppgifter samt att Riksarkivet får, efter att ha inhämtat synpunkter från Skatteverket, meddela föreskrifter om vilka uppgifter och handlingar som ska gallras.
Tullverket
I svensk rätt regleras den del av Tullverkets behandling av personuppgifter som omfattas av vårt uppdrag i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen, och förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen.
Tulldatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde tullregisterlagen (1990:137) att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Tulldatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgiftslagen upphävdes.83
Tulldatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. tulldatabasen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.).
Lagen är tillämplig vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer (1 kap. 1 §).
Tulldatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§).
Lagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Uppgifter får enligt de primära ändamålen behandlas för att tillhandahålla information som behövs hos Tullverket för bl.a. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, för övervakning, revision och annan analys- eller kontrollverksamhet och för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §).
83 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning.
Enligt de s.k. sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen i 1 kap. 4 § även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter. Uppgifter får också behandlas för att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område och för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Vidare får uppgifter behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 5 §).
Det är Tullverket som är personuppgiftsansvarigt för behandling av personuppgifter (1 kap. 6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av tulldatabasen (1 kap. 7 §).
Uppgifter som Tullverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §).
Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör tulldatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i tulldatabasen (2 kap. 3 och 4 §§). Vidare finns regler om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling (2 kap. 5 §). Vilken direktåtkomst som är tillåten till tulldatabasen framgår av lagen (2 kap. 7 och 8 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i tulldatabasen (2 kap. 9 §). Uppgifter och
handlingar som finns i tulldatabasen ska som utgångspunkt gallras senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången (2 kap. 10 § första stycket). Vidare får Tullverket ta ut avgifter för att lämna ut uppgifter ur tulldatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 11 §).
En rättighet enligt EU:s dataskyddsförordning har inskränkts genom tulldatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt tulldatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §).
I tulldatabasförordningen finns ytterligare bestämmelser om Tullverkets behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, tullidentifikationsnummer, Tullverkets uppgiftsskyldighet, utlämnande av uppgifter på medium för automatiserad behandling, direktåtkomst för enskilda, gallring och avgifter.
Kronofogdemyndigheten
Allmänt om Kronofogdemyndighetens registerförfattningar
I svensk rätt regleras Kronofogdemyndighetens behandling av personuppgifter i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen.
Kronofogdedatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde utsökningsregisterlagen (1986:617) och lagen (1991:876) om register för betalningsföreläggande och handräckning att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Kronofogdedatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgiftslagen upphävdes.84
Kronofogdedatabaslagen skiljer sig från Skatteverkets och Tullverkets registerförfattningar på så sätt att den reglerar fyra olika databaser med separata ändamål för respektive databas. Det är vidare i
84 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning.
databasregleringen som tillåtna primära och sekundära ändamål anges, och inte i de allmänna bestämmelserna.
Allmänna bestämmelser i kronofogdedatabaslagen
Kronofogdedatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om Kronofogdemyndighetens databaser (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.).
Lagen är tillämplig vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas dock inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §).
Kronofogdedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur ska tillämpas i stället för kronofogdedatabaslagen (1 kap. 3 a §).
I lagen anges vidare att uppgifter får behandlas för de ändamål som anges för respektive databas (1 kap. 4 §). Vidare föreskrivs att Kronofogdemyndigheten är personuppgiftsansvarig för den behandling som myndigheten skall utföra (1 kap. 5 §).
När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana
uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av myndighetens databaser (1 kap. 6 §).
Uppgifter som Kronofogdemyndigheten behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 7 §).
De samlingar uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen (2 kap. 1, 7, 13 och 19 §§). I respektive databas får uppgifter behandlas för vissa angivna primära och sekundära ändamål.
Utsöknings- och indrivningsdatabasen
I utsöknings- och indrivningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m., ansökan om och tillsyn över näringsförbud, förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering och för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för bl.a. avräkning vid återbetalning av skatter och avgifter, kvittning vid utbetalning av bidrag, planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering och utredningar vid bestämmande och betalning av skatter, tullar och avgifter. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (2 kap. 2 och 3 §§). Det finns även bestämmelser
om vilka uppgifter som får behandlas i utsöknings- och indrivningsdatabasen (2 kap. 4 och 5 §§) samt särskilda regler om gallring i den databasen (2 kap. 6 §).
Betalningsföreläggande- och handräckningsdatabasen
I betalningsföreläggande- och handräckningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande och tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för bl.a. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 8 och 9 §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i utsöknings- och indrivningsdatabasen (2 kap. 10 och 11 §§) samt särskilda regler om gallring i den databasen (2 kap. 12 §).
Skuldsaneringsdatabasen
I skuldsaneringsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggning av ärenden om skuldsanering och F- skuldsanering och förebyggande av överskuldsättning. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för bl.a. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra
ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 14 och 15 §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i skuldsaneringsdatabasen (2 kap. 16 och 17 §§) samt särskilda regler om gallring i den databasen (2 kap. 18 §).
Konkurstillsynsdatabasen
I konkurstillsynsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggningen av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497) och förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att bl.a. tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 20 och 20 a §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i konkurstillsynsdatabasen (2 kap. 21 och 22 §§) samt särskilda regler om gallring i den databasen (2 kap. 23 §).
Gemensamma bestämmelser för databaserna
I kronofogdedatabaslagen finns vissa gemensamma bestämmelser för databaserna. Det finns regler som rör elektroniska handlingar (2 kap. 24 §) och utlämnande av uppgifter till enskilda på medium för automatiserad behandling (2 kap. 25 §). Det finns också en bestämmelse om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (2 kap. 26 §).
Vilken direktåtkomst som är tillåten till databaserna framgår av lagen (2 kap. 27 och 28 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i databaserna (2 kap. 29 §). Vidare får Kronofogdemyndigheten får ta ut avgifter för att lämna ut
uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 30 §).
Enskildas rättigheter
En rättighet enligt EU:s dataskyddsförordning har inskränkts genom kronofogdedatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt kronofogdedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 3 §).
Vidare finns en särskild bestämmelse om rättelse, blockering och utplåning av sådana uppgifter som inte har behandlats i enlighet med lagen eller anslutande författningar eller som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. En särskild bestämmelse om överklagande finns för sådana beslut (3 kap. 3 a och 4 §§).
Kronofogdedatabasförordningen
I kronofogdedatabasförordningen finns ytterligare bestämmelser om Kronofogdemyndighetens behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, vilka uppgifter som får behandlas i databaserna, uppgiftsskyldigheter, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling, avgifter och gallring.
3.3. Sekretess och tystnadsplikt
3.3.1. Allmänna handlingar hos myndigheterna
Reglering av allmänna handlingars offentlighet finns i 2 kap. TF. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt.85 En handling är allmän, om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet.86
852 kap. 3 § TF. 862 kap. 4 § TF.
En upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 2 kap. 7 § TF.87 Regleringen innebär att om en myndighet har s.k. direktåtkomst till uppgifter hos en annan myndighet blir de handlingar som åtkomsten omfattar allmänna handlingar även hos den mottagande myndigheten. En sammanställning anses dock inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig.88 Om det finns sökbegränsningar eller sökförbud i en tillämplig registerförfattning anses en sammanställning, exempelvis baserad på en kategori av uppgifter som bedöms vara känsliga, därmed inte förvarad hos myndigheten.
När en handling delas inom en myndighet blir den allmän först om detta sker mellan två självständiga organ.89 Omständigheter som brukar anses ha betydelse för om en verksamhetsdel uppfyller självständighetskriteriet är bl.a. om verksamheten självständigt förvaltar viss egendom, har viss handlingsfrihet inom en angiven ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder självständigt och på eget ansvar.90
3.3.2. Allmänt om sekretess och tystnadsplikt
Reglering av sekretess
Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400), OSL. Sekretess definieras som ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.91 Gäller förbud enligt offentlighets- och sekretesslagen mot att röja en uppgift, får uppgiften inte heller i
872 kap. 6 § TF. 882 kap. 7 § TF. 892 kap. 11 § TF. 90Prop. 1975/76:160, om nya grundlagsbestämmelser angående allmänna handlingars offent-
lighet, s. 151–152, RÅ 1993 ref. 20 och RÅ 1987 ref. 28. Av HFD 2013 ref. 40 följer att orga-
nets förhållande till myndighetsledningen kan vara av särskild betydelse. 913 kap. 1 § OSL.
övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad.92 De uppgifter som sekretessbestämmelserna ska skydda är viss slags information med visst innehåll. Syftet är dock att en sekretessreglering inte ska innebära en större begränsning i offentlighetsprincipen än vad som är nödvändigt för att värna det intresse som sekretessen är avsedd att skydda, jfr 2 kap. 2 § TF.
Sekretessens föremål, räckvidd och styrka
En sekretessbestämmelse består i regel av tre grundläggande rekvisit, dvs. förutsättningar för bestämmelsens tillämplighet. Dessa tre rekvisit anger sekretessens föremål, sekretessens räckvidd och sekretessens styrka.93
Sekretessens föremål är information med visst innehåll som anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art. En sekretessbestämmelses
räckvidd bestäms genom att det t.ex. anges att sekretess gäller i verk-
samhet eller i ärende av ett visst slag eller vid viss myndighet, i samtliga fall för vissa uppgifter.94 Vissa sekretessbestämmelser gäller dock utan att räckvidden är begränsad till viss verksamhet, ärende eller myndighet. Sådana bestämmelser finns t.ex. i 21 kap. OSL.
När det gäller sekretessens styrka bestäms denna med hjälp av s.k. skaderekvisit, dvs. villkor som i regel för sekretess kräver sannolikhet i det särskilda fallet för skada av viss art om en uppgift lämnas ut.95
Vid sekretessbestämmelser med ett rakt skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften i det enskilda fallet lämnas ut. Skadebedömningen ska i dessa fall i huvudsak göras med utgångspunkt i själva uppgiften. Avgörande för om sekretess gäller är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen.96 Vissa bestämmelser innehåller ett kvali-
927 kap. 1 § OSL. 93Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 72 och Ds 2016:2, Några frågor
om offentlighet och sekretess, s. 39.
94Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 72–73. 95Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78. 96Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80.
ficerat rakt skaderekvisit, dvs. det krävs särskilt mycket för att sekretessen ska gälla.97
Om en sekretessbestämmelse innehåller ett omvänt skaderekvisit innebär det att sekretess som huvudregel gäller för uppgiften. Vid sådana skaderekvisit gäller sekretess om det inte står klart att en uppgift kan röjas utan att viss skada uppstår. I praktiken innebär detta att tillämparen ofta inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgiften.98
Vidare kan sekretessen vara absolut, dvs. sekretessbestämmelsen saknar skaderekvisit. Sekretess gäller då utan någon skadeprövning om uppgifterna begärs ut.
För att en enskild person ska lida skada eller men krävs att uppgifterna är hänförliga till en viss individ. Det innebär att avidentifierade uppgifter i princip kan lämnas ut utan hinder av sekretess.99
Tystnadsplikten
En uppgift för vilken sekretess gäller enligt offentlighets- och sekretesslagen får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i offentlighets- och sekretesslagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till.100 Ett förbud mot att röja vissa uppgifter som behandlas vid en myndighet träffar både myndigheten som sådan och dess personal.101 Om en uppgift är sekretessbelagd får den som utgångspunkt inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad.102
Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt.103 Avgörande för straffansvar är att en person röjer en uppgift som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning.
97Ds 2016:2, Några frågor om offentlighet och sekretess, s. 40. 98Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 82. 99Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84. 1008 kap. 1 § OSL. 1012 kap. 1 § OSL. 1027 kap. 1 § OSL. 10320 kap. 3 § brottsbalken.
En grundprincip är att personen själv kan bestämma över de uppgifter som rör honom eller henne och därmed också kan välja att efterge sekretessen.104 En person kan följaktligen lämna sitt samtycke till att en sekretesskyddad uppgift lämnas till annan person eller myndighet. I sådana fall utgör utlämnandet inte ett otillåtet röjande.
Några regler om sekretess som gäller oavsett sammanhang
Som nämns ovan finns det vissa sekretessbestämmelser som gäller oavsett i vilken verksamhet eller vid vilken myndighet uppgiften förekommer. Exempelvis gäller sekretess enligt 21 kap. 1 § OSL för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Sekretessen gäller dock inte för uppgift som tas in i beslut.
Sekretess gäller vidare enligt 21 kap. 3 § OSL inom alla myndigheter för uppgift om en enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, den enskildes telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne samt för motsvarande uppgifter om den enskildes anhöriga, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs.
Sekretess gäller även i mål eller ärende vid domstol eller annan myndighet där en part har skyddad folkbokföring enligt 16 § folkbokföringslagen för uppgift som lämnar upplysning om var den parten bor stadigvarande eller tillfälligt, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men. Detsamma gäller om uppgiften tillsammans med annan uppgift i målet eller ärendet bidrar till sådan upplysning.105
Enligt 21 kap. 5 § OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som
10412 kap. 2 § OSL. 10521 kap. 3 a § OSL.
föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar.
En grundläggande sekretessbestämmelse, som också gäller oavsett sammanhang, innehåller en direkt koppling till det generella regelverket om dataskydd. Enligt 21 kap. 7 § OSL gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen gäller när myndigheter lämnar ut personuppgifter, oavsett i vilket sammanhang personuppgifterna förekommer. De situationer som kan aktualisera bestämmelsen är exempelvis vid s.k. massuttag eller selekterade uttag.106
Några sekretessbrytande regler som gäller oavsett sammanhang
Bestämmelsen om nödvändigt utlämnande i 10 kap. 2 § OSL innebär att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. För att denna sekretessbrytande regel ska aktualiseras krävs dock att det är en nödvändig förutsättning för fullgörandet av ett visst åliggande som en myndighet har, att en sekretessbelagd uppgift lämnas ut.107
Sekretess hindrar inte att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. Sekretess hindrar aldrig att en part i ett mål eller ärende tar del av en dom eller ett beslut i målet eller ärendet.108
Ibland kan den risk för skada som hindrar ett utlämnande undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna
106Prop. 2017/18:105, Ny dataskyddslag, s. 135–136 och JO:s beslut 2013-08-28 (dnr 4171-2011). 107Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465. 10810 kap. 3 § OSL.
uppgiften vidare eller utnyttja den.109 En myndighet kan då lämna uppgiften till den enskilde med ett sådant förbehåll.
Den s.k. generalklausulen stadgar att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.110 Bestämmelsen möjliggör informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess i fall då det saknas uttryckliga sekretessbrytande regler. Generalklausulen gäller dock inte om det rör sådan sekretess som förekommer inom vissa särskilda områden, bl.a. inom socialtjänsten och hälso- och sjukvården.111 Den gäller inte heller om utlämnandet strider mot lag eller förordning.112Det innebär att om det t.ex. i lag har föreskrivits att en viss myndighet på vissa angivna villkor kan få ta del av hemliga uppgifter hos en annan myndighet, kommer det inte i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället.113
Konkurrens mellan flera sekretessbestämmelser
Om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i offentlighets- och sekretesslagen (7 kap. 3 § OSL).
Bestämmelsen reglerar alltså vilken sekretessregel som ska ha företräde i de fall flera sekretessbestämmelser är tillämpliga på samma uppgift, s.k. konkurrens mellan sekretessbestämmelser.
Undantag från huvudregeln i 7 kap. 3 § OSL finns i 11 kap. 8 § OSL. Där anges att bl.a. den sekretessbestämmelse som avses i 11 kap. 4 § OSL inte ska tillämpas på en uppgift när det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. I 11 kap. 4 § OSL anges att om en myndighet hos
10910 kap. 14 § OSL. 11010 kap. 27 § första stycket OSL. 11110 kap. 27 § andra stycket OSL. 11210 kap. 27 § tredje stycket OSL. 113Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 328.
en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Det gäller dock inte en uppgift som ingår i ett beslut hos den mottagande myndigheten.
3.3.3. Sekretess mellan myndigheter och mellan självständiga verksamhetsgrenar inom en myndighet
Allmänt om sekretess mellan och inom myndigheter
Om en viss uppgift hos en myndighet är skyddad av en sekretessbestämmelse gäller sekretesskyddet även i förhållande till andra myndigheter. Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra.114 Exempelvis gäller föreskriven sekretess mellan Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet. Sekretess hindrar dock inte att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.115 Det är en generell regel som medför att sekretessen mellan myndigheter ger vika för uppgifter som omfattas av uppgiftsskyldighet. Bestämmelsen är tillämplig både när det gäller att lämna uppgifter mellan olika myndigheter och mellan självständiga verksamhetsgrenar inom en och samma myndighet.
Överföring av sekretess m.m.
Sekretesskyddet som följer av en sekretessregel följer som huvudregel inte med en uppgift när den lämnas från en myndighet till en annan. Det beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Detta intresse måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Offentlighetsintresset kan alltså kräva att uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myn-
1148 kap. 2 § OSL. 11510 kap. 28 § OSL.
digheten. Det finns alltså ingen generell bestämmelse om överföring av sekretess mellan myndigheter.116
Det finns dock särskilda bestämmelser om överföring av sekretess. Vid överföring av sekretess görs det skillnad mellan primära och sekundära sekretessbestämmelser. En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa internt, exempelvis de sekretessregler för respektive myndighet som redogörs för nedan.117 En bestämmelse om överföring av sekretess innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet (primär sekretess) ska tillämpas på uppgiften även av en annan myndighet som uppgiften lämnas till (sekundär sekretess). Om en sekretessreglerad uppgift lämnas från en myndighet till en annan myndighet gäller alltså sekretess för uppgiften hos den mottagande myndigheten bara om sekretess följer antingen av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet.118 Om ingen av dessa förutsättningar är uppfyllda blir uppgiften alltså offentlig hos den mottagande myndigheten.
Exempelvis finns en bestämmelse om överföring av sekretess som enbart gäller i en specifik situation i 11 kap. 4 § OSL, vilken avser direktåtkomst. Vid direktåtkomst gäller enligt denna bestämmelse sekretessen hos ursprungsmyndigheten som huvudregel även hos den mottagande myndigheten.119 Motsvarande gäller bl.a. om en myndighet i verksamhet som avser tillsyn eller revision får en sekretessreglerad uppgift från en annan myndighet, samt för uppgifter som för forskningsändamål överlämnas från en myndighet till en annan.120
Myndigheters informationsskyldighet
En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Skyldigheten
116Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 75–76 och prop. 2010/11:78,
Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 15.
117 Se avsnitten 3.3.4–3.3.6. 1187 kap. 2 § OSL. 119 Undantag finns dock i 11 kap. 8 § OSL. 120 11 kap. 1 och 3 §§ OSL.
anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter (jfr 8 § förvaltningslagen [2017:900], FL). Enligt Högsta förvaltningsdomstolens uttalanden i rättsfallet HFD 2021 ref. 10 står ett sådant utlämnande inte i strid med finalitetsprincipen.
En skyldighet att lämna personuppgifter till en annan myndighet kan finnas reglerad i lag eller förordning. Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om en sådan uppgiftsskyldighet följer av lag eller förordning, vilket framgår av 10 kap. 28 § OSL.
3.3.4. Sekretess inom Skatteverket
Skattesekretess
Beskattningsverksamheten har en sådan fristående ställning inom Skatteverket att den utgör en självständig verksamhetsgren. Detta innebär att en sekretessbelagd uppgift hos beskattningsverksamheten inte får röjas för en annan självständig verksamhetsgren inom myndigheten om det inte är särskilt föreskrivet i lag. I 27 kap. OSL regleras skattesekretessen inom Skatteverket.
Enligt 27 kap. 1 § första stycket OSL gäller sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen avser det som brukar kallas skattesekretess. Sekretessen är enligt bestämmelsen absolut.
Sekretess gäller vidare i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt skattedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (27 kap. 1 § andra stycket 1 OSL). Detta brukar kallas för databassekretess. Bestämmelsen gäller också hos Kronofogdemyndigheten och Tullverket eftersom dessa myndigheter har direktåtkomst till vissa uppgifter i beskattningsdatabasen. Även enligt denna bestämmelse är sekretessen absolut.121
Sekretess gäller enligt 27 kap. 2 § första stycket OSL för uppgifter om enskildas personliga eller ekonomiska förhållanden som förekommer i vissa andra ärenden. Det rör sig bl.a. om särskilt ärende om revision eller annan kontroll i fråga om skatt, ärende om kom-
121 Närmare redogörelser för databassekretessen finns i avsnitt 15.5.
pensation för återbetalning av skatt, ärende om anstånd med erläggande av skatt och ärende om kassaregister enligt skatteförfarandelagen (2011:1244). I dessa ärenden råder absolut sekretess.
Enligt 27 kap. 2 § andra stycket OSL gäller sekretess i ärende enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Denna bestämmelse föreskriver alltså ett omvänt skaderekvisit.
Sekretessen enligt 27 kap. 2 § gäller inte i fråga om beslut i vissa ärenden.122
I 27 kap. 6 § finns undantag från sekretessen i bl.a. 1 §. Sekretessen gäller inte beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs. Sekretessen gäller dock om beslutet meddelas i ärende om förhandsbesked i taxerings- eller skattefråga, beskattning av utländska experter, forskare eller andra nyckelpersoner när beslutet har fattats av Forskarskattenämnden, trängselskatt, eller prissättningsbesked vid internationella transaktioner. I beslut varigenom trängselskatt bestäms eller underlag för bestämmande av sådan skatt fastställs gäller sekretessen dock endast för uppgift om vilken betalstation eller kontrollpunkt bilen har passerat och tidpunkten för denna passage.
I 27 kap. 7 § anges bl.a. att sekretessen enligt 1 § inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i lag om förfarande vid beskattning eller lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Sekretess vid internationellt informationsutbyte
Vid internationellt informationsutbyte gäller olika sekretessbestämmelser beroende på om det är Sverige som bistår en annan stat genom att lämna ut information, eller om Sverige i stället är mottagare av information från en annan stat. Sekretess kan också gälla till skydd för myndighetens kontroll i ett ärende om handräckning.
Samma regler om sekretess i beskattningsverksamheten som gäller nationellt gäller även i ärenden om handräckning eller bistånd som en svensk myndighet lämnar åt en myndighet eller något annat organ
122 Se 27 kap. 2 § tredje stycket OSL.
i den andra staten eller inom den mellanfolkliga organisationen. En förutsättning är att riksdagen har godkänt ett avtal om detta och att biståndet lämnas i en sådan verksamhet som motsvarar den som avser bl.a. bestämmande av skatt. Uppgifter som förekommer i ett sådant ärende blir dock inte sekretessbelagda direkt genom de grundläggande reglerna om skattesekretess. Om uppgiften lämnas ut för att användas i en verksamhet som motsvarar den verksamhet som avses i 27 kap. 1 § första stycket OSL eller i ett sådant kontrollärende som avses i 27 kap. 2 § första stycket 1 OSL i den mottagande staten, eller hos den mellanfolkliga organisationen, gäller dock sekretessen enligt de bestämmelserna för uppgifterna.123
När Skatteverket i stället är mottagare av uppgifterna kommer uppgifter om enskilds personliga eller ekonomiska förhållanden att omfattas av sekretess enligt de grundläggande reglerna om skattesekretess beroende på i vilket ärende handräckningen är begärd. Absolut sekretess kommer att gälla för sådana uppgifter.124
Sekretess inom folkbokföringsverksamheten
I likhet med beskattningsverksamheten har folkbokföringsverksamheten en så fristående ställning inom Skatteverket att den utgör en egen självständig verksamhetsgren.
Uppgifter om hela Sveriges befolkning registreras i folkbokföringsdatabasen och de flesta uppgifter där är normalt sett offentliga. I vissa fall kan dock en del av uppgifterna om enskildas personliga förhållanden vara sekretessbelagda. Enligt 22 kap. 1 § första stycket 1 OSL gäller nämligen sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföringen eller annan liknande registrering av befolkningen. Sekretessen gäller med ett kvalificerat rakt skaderekvisit. Sekretessen kan alltså gälla för olika kategorier av uppgifter men också för uppgifter som på grund av speciella omständigheter i det enskilda fallet är skyddsvärda. Sekretess gäller även i sådan verksamhet för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att
12327 kap. 5 § första stycket OSL. 12427 kap. 5 § andra stycket OSL.
den enskilde eller någon närstående till denne lider men (22 kap. 1 § andra stycket OSL). För sådana uppgifter gäller alltså ett omvänt skaderekvisit.
De uppgifter inom folkbokföringsverksamheten som vanligen är offentliga är de som anses som harmlösa.125 Det är bl.a. uppgifter om namn, adress, personnummer och civilstånd. De uppgifter i folkbokföringsverksamheten som normalt är sekretessbelagda är de som vanligtvis anses som känsliga.126 Det kan t.ex. vara uppgifter om ändrad könstillhörighet, s.k. börd (t.ex. adoptioner inom Sverige) och förvaltarskap.
För uppgifter om personer som löper risk att utsättas för förföljelse eller våld kan sekretess med ett omvänt skaderekvisit gälla till följd av s.k. skyddad folkbokföring och fingerade personuppgifter. Enligt 22 kap. 1 § gäller sekretess i ärende om skyddad folkbokföring enligt folkbokföringslagen och i ärende enligt lagen (1991:483) om fingerade personuppgifter för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I 22 kap. 3 § OSL finns en särskild bestämmelse om överföring av sekretess som föreskriver att om en myndighet får en uppgift som är sekretessreglerad i 2 § från en myndighet som handlägger ärenden som avses där, blir 2 § tillämplig på uppgiften även hos den mottagande myndigheten.
Efter ansökan kan en person få sina uppgifter i folkbokföringen skyddade genom att en sekretessmarkering förs in i folkbokföringen. En sekretessmarkering är dock enbart en varningssignal och har ingen självständig betydelse. Markeringen överförs till de myndighetsregister som aviseras från folkbokföringsverksamheten.
Vidare gäller sekretess i ärende om byte av namn för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.127 Bestämmelsen har alltså ett kvalificerat rakt skaderekvisit. Sekretess gäller vidare hos Skatteverket i ärende enligt lagen (2005:130) om dödförklaring för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller inte beslut i ärende (22 kap. 4 a § OSL).
125Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 210–211. 126Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 211. 12722 kap. 4 § OSL.
Får Skatteverket i ärende som avses i 22 kap. 4 a § OSL från en annan myndighet en uppgift som är sekretessreglerad till skydd för enskilds personliga förhållanden, blir sekretessbestämmelsen tillämplig på uppgiften även hos Skatteverket. Sekretessen gäller inte beslut i ärende.128
Sekretessen inom folkbokföringsverksamheten ska inte kunna kringgås genom att uppgifterna får en mer vidsträckt offentlighet i andra register som omfattar befolkningen. Därför gäller reglerna i 22 kap. 1 § OSL också för annan liknande registrering av befolkningen (t.ex. SPAR) och i annan verksamhet som avser registrering av en betydande del av befolkningen när regeringen har föreskrivit det (se 6 § offentlighets- och sekretessförordningen [2009:641], OSF).
Sekretess i äktenskapsregister- och bouppteckningsverksamheterna
Det finns inga specifika sekretessregler som gäller för uppgifter i äktenskapsregistret eller i bouppteckningsverksamheten. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är sådana som är gemensamma för alla myndigheter.
Sekretess i det statliga personadressregistret (SPAR)
SPAR har organisatoriskt en så fristående ställning inom Skatteverket att det utgör en egen självständig verksamhetsgren. SPAR innehåller folkbokförings- och beskattningsuppgifter som hämtas från folkbokförings- respektive beskattningsdatabasen. Uppgifterna lämnas elektroniskt till SPAR med stöd av en sekretessbrytande bestämmelse.129
Uppgifterna som förs över till SPAR skyddas av sekretess i folkbokförings- respektive beskattningsverksamheten. De tillämpliga bestämmelserna i de verksamheterna är i första hand folkbokföringssekretessen och skattesekretessen.130 Det finns ingen särskild bestämmelse om överföring av sekretess för uppgifterna, vilket innebär att sekretessen inte följer med uppgifterna när de förs över till SPAR. För att uppgifterna ska omfattas av sekretess krävs därmed att de omfattas av en primär sekretessbestämmelse som gäller i den aktuella verksam-
12822 kap. 4 b § OSL. 129 4 § SPAR-förordningen. 13022 kap. 1 § OSL och 27 kap. 1 § OSL.
heten. SPAR anses dock vara en sådan annan liknande registrering av befolkningen som träffas av folkbokföringssekretessen vilket innebär att de folkbokföringsuppgifter som behandlas inom verksamheten med SPAR är sekretessreglerade på samma sätt som inom folkbokföringsverksamheten. Även de uppgifter som hämtas in till SPAR från beskattningsdatabasen är sekretessreglerade med stöd av folkbokföringssekretessen. Beskattningsuppgifterna i SPAR får i elektronisk form bara lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket.131
3.3.5. Sekretess inom Tullverket
av skatt eller fastställande av underlag för bestämmande av Sekretess gäller enligt 27 kap. 1 § OSL i verksamhet som avser bestämmande skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Med skatt avses enligt 27 kap. 1 § tredje stycket OSL bl.a. tull och annan indirekt skatt.
Enligt 27 kap. 2 § första stycket OSL gäller sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i bl.a. särskilt ärende om revision eller annan kontroll i fråga om skatt samt annan verksamhet som avser tullkontroll och som inte omfattas av 1 §.
I 27 kap. 3 § första stycket OSL föreskrivs att sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. I andra stycket anges att motsvarande sekretess gäller i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt tulldatabaslagen för uppgift som har tillförts databasen, s.k. databassekretess.132
Enligt bestämmelsen gäller sekretess med ett omvänt skaderekvisit, dvs. det finns en presumtion för sekretess. Sekretessen inom Tullverket är alltså inte lika stark som skatte- och databassekretessen inom Skatteverket. Databassekretessen som omfattar tulldatabasen gäller även andra myndigheter än Tullverket som har tillgång till tulldatabasen genom direktåtkomst.
Enligt 27 kap. 6 § OSL gäller inte sekretessen uppgifter i vissa beslut, bl.a. beslut varigenom skatt bestäms. I 27 kap. 7 § första stycket 4 OSL anges bl.a. att sekretessen enligt 3 § inte hindrar att uppgift
1317 § lagen (1998:527) om det statliga personadressregistret. 132 Närmare redogörelser för databassekretessen finns i avsnitt 15.5.
lämnas till en enskild enligt vad som föreskrivs i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet.
Sekretess gäller även, i den utsträckning regeringen meddelar föreskrifter om det, bl.a. i en statlig myndighets verksamhet som består i tillståndsgivning eller tillsyn med avseende på handel för uppgift om en enskilds affärs- eller driftförhållanden om det kan antas att den enskilde lider skada om uppgiften röjs.133 Det omfattar bl.a. tillståndsgivning och tillsyn enligt tullagen (2016:253).134
3.3.6. Sekretess inom Kronofogdemyndigheten
Allmänt om sekretess inom Kronofogdemyndigheten
Inför att den rikstäckande Kronofogdemyndigheten skulle inrättas var bedömningen att de olika verksamheterna verkställighet, summarisk process, konkurstillsyn och skuldsanering var självständiga verksamhetsgrenar varför det ansågs råda sekretess dem emellan.135 I dag gör dock Kronofogdemyndigheten en annan bedömning, bl.a. mot bakgrund av myndighetens omorganisering sedan dess. Någon sekretess enligt OSL anses därmed inte gälla mellan myndighetens olika verksamhetsgrenar. Bedömningen innebär att handlingar och uppgifter kan utväxlas mellan olika delar av myndigheten utan hinder av sekretess och utan att handlingarna därigenom blir allmänna.
Även om det i dag inte finns någon bestämmelse i offentlighets- och sekretesslagen som bedöms hindra att en personuppgift delas mellan medarbetare inom Kronofogdemyndigheten kan det dock strida mot myndighetens registerförfattning att ta del av uppgifter som en medarbetare inte behöver i arbetet. Av myndighetens registerförfattning framgår nämligen att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (2 kap. 26 § KFMdbL).
Eftersom Kronofogdemyndighetens beslut till stor del utgör myndighetsutövning mot enskilda har intresset av allmän insyn i verksamheten ansetts vara betydande.136 Trots det nyss sagda finns det ett flertal regler som medför att uppgifter som myndigheten hanterar
13330 kap. 23 § OSL. 134 9 § 1 OSF, samt punkt 48 i bilagan till OSF. 135Prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 146–148. 136Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 288.
skyddas av sekretess. Den huvudsakliga sekretessreglering som avser Kronofogdemyndighetens verksamhetsområden finns i 34 kap. OSL.
Summarisk process
Det finns inga särskilda sekretessregler som gäller för uppgifter inom Kronofogdemyndighetens verksamhet med summarisk process, dvs. bland annat handläggning av mål om betalningsföreläggande och handräckning. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är sådana som är gemensamma för alla myndigheter.
Utsökning och indrivning m.m.
Uppgifter om enskilda inom verksamheten med verkställighet och indrivning är oftast skyddade av sekretess. Enligt 34 kap. 1 § första stycket OSL gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Bestämmelsen innehåller alltså ett omvänt skaderekvisit, varför det föreligger en presumtion för sekretess i dessa ärendetyper. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål, eller i ett avslutat mål, om verkställighet för någon annan förpliktelse söks inom två år eller om verkställighet tidigare sökts och uppgiften inte är äldre än två år (34 kap. 1 § andra stycket OSL). Sekretessen gäller inte heller beslut i mål eller ärende (34 kap. 1 § femte stycket OSL).
Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt kronofogdedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, s.k. databassekretess (34 kap. 2 § OSL).137 Även enligt denna bestämmelse gäller alltså sekretess med ett omvänt skaderekvisit.
I 3 kap. 3 a § KFMdbL stadgas en möjlighet för Kronofogdemyndigheten att besluta om bl.a. blockering av sådana uppgifter som
137 Närmare redogörelser för databassekretessen finns i avsnitt 15.5.
inte har behandlats i enlighet med den lagen eller anslutande författningar eller är missvisande i fråga om vilja eller förmåga att uppfylla ekonomiska förpliktelser. I 34 kap. 3 § OSL föreskrivs att uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § KFMdbL omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. Enligt denna bestämmelse gäller alltså absolut sekretess för uppgifterna.
Skuldsanering och F-skuldsanering
Enligt 34 kap. 6 § OSL gäller sekretess hos Kronofogdemyndigheten eller domstol i ärende om skuldsanering eller F-skuldsanering för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller inte beslut i ärende. Bestämmelsen innehåller alltså ett rakt skaderekvisit, dvs. det råder presumtion för offentlighet.
Tillsyn i konkurs
Sekretess gäller hos tillsynsmyndigheten i konkurs och över rekonstruktörer, dvs. Kronofogdemyndigheten, för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs (34 kap. 7 § OSL). Bestämmelsen innehåller ett rakt skaderekvisit. Sekretessen hindrar dock inte att uppgift lämnas till en enskild enligt vad som föreskrivs i konkurslagen (1987:672).138
Vidare gäller sekretess hos tillsynsmyndigheten i konkurs och över rekonstruktörer för uppgift som gäller misstanke om brott och som rör en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (34 kap. 8 § OSL). Här gäller alltså ett omvänt skaderekvisit.
13834 kap. 10 § OSL.
Delgivning
Sekretess gäller i verksamhet som avser delgivning enligt delgivningslagen (2010:1932) eller bistånd med sådan delgivning för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (22 kap. 5 § OSL). Bestämmelsen innehåller alltså ett rakt skaderekvisit.
Vissa internationella sekretessregler inom Kronofogdemyndigheten
I 34 kap. 1 a § OSL anges att under motsvarande förutsättningar som i 1 § gäller sekretess hos Kronofogdemyndigheten för uppgift om en enskilds personliga eller ekonomiska förhållanden i mål och ärenden om inhämtning av bankkontoinformation enligt Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur.
Vidare gäller sekretess, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Om sådan sekretess gäller, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet.139
I 34 kap. 9 § anges att om sekretess gäller enligt 7 §, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtal som ingåtts med en utländsk myndighet eller ett utländskt organ.
Utöver dessa bestämmelser finns i 34 kap. 10 a § en sekretessbestämmelse som reglerar sekretess vid internationellt samarbete i fråga om underhållsskyldighet.
13934 kap. 4 § OSL.
3.3.7. Sekretess inom de brottsbekämpande verksamheterna
Skatteverkets och Tullverkets brottsbekämpande verksamheter
Inom Skatteverkets och Tullverkets brottsbekämpande verksamheter gäller särskilda sekretessregler till skydd för verksamheten.140 Dessa bestämmelser behandlas inte närmare här eftersom vårt uppdrag inte omfattar myndigheternas brottsbekämpande verksamheter.
Den brottsbekämpande verksamheten vid Skatteverket har en sådan organisatoriskt självständig ställning att en uppgift som träffas av sekretess inte får röjas för en annan verksamhetsgren inom myndigheten om det inte är särskilt föreskrivet i lag.141 Verksamheten har även en särskild registerförfattning.142 Också för Tullverket gäller en särskild registerförfattning för den brottsbekämpande verksamheten.143 Till skillnad från Skatteverket har dock den brottsbekämpande verksamheten hos Tullverket inte ansetts utgöra en självständig verksamhetsgren.144
I 35 kap. OSL finns sekretessbestämmelser till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott, m.m. För att skydda enskilda som är föremål för brottsutredningar finns regler om sekretess för uppgift om enskilds personliga och ekonomiska förhållanden. Sekretess gäller bl.a. i förundersökning i brottmål och i myndigheternas brottsbekämpande verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott.145 Sekretessen gäller med ett omvänt skaderekvisit vilket innebär att utgångspunkten är sekretess. En uppgift får alltså bara lämnas ut om det står klart att uppgiften kan röjas utan att den enskilda eller någon närstående till denne lider skada eller men. Sekretess med omvänt skaderekvisit gäller även för uppgift i de register som förs med stöd av de tillämpliga registerförfattningarna eller som annars behandlas av myndigheterna.146 För Tullverkets del gäller dessutom absolut sekretess för uppgifter i register över strafförelägganden samt föreläggande om ordningsbot.147
140 Jfr 18 kap. OSL som rör sekretess till skydd främst för intresset att förebygga eller beivra brott. 141 Jfr 8 kap. 2 § OSL. 142 Lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. 143 Lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 144 Jfr prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 100– 101. 145 35 kap. 1 § första stycket 1 och 4 OSL. 146 35 kap. 1 § första stycket 7 och 9 OSL. 147 35 kap. 4 § första stycket 1 OSL.
Sekretessen till skydd för enskilda som är föremål för brottsutredningar gäller dock inte för bl.a. beslut om att åtal ska väckas, beslut om att en förundersökning inte ska inledas samt beslut om att en förundersökning ska läggas ned.148
Myndighetssamverkan mot viss organiserad brottslighet
Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet gäller vid särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet som är av allvarlig eller omfattande karaktär, och bedrivs i organiserad form eller systematiskt av en grupp individer (1 §). De myndigheter som är skyldiga att lämna eller får ta emot uppgifter enligt lagen är bl.a. Skatteverket, Tullverket och Kronofogdemyndigheten.149
Inom ramen för samverkan enligt lagen ska en myndighet trots sekretess lämna uppgift till en annan myndighet om det behövs för den mottagande myndighetens deltagande i samverkan. En uppgift ska inte lämnas om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut (2 §).
Lagen gäller endast vid särskilt beslutad myndighetsöverskridande samverkan på det s.k. underrättelsestadiet. Den är dock inte tillämplig när myndigheter mer sporadiskt tar kontakt med varandra eller endast tillfälligt samarbetar kring någon specifik fråga.150
148 35 kap. 6 § 1 OSL. 149 3 § lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. 150Prop. 2015/16:167, Informationsutbyte vid samverkan mot organiserad brottslighet, s. 24–31.
4. Myndigheternas verksamheter
4.1. Skatteverket
Inledning
Skatteverket är en av Sveriges största myndigheter. Myndighetens verksamhet berör i princip alla som är bosatta i Sverige, alla svenska medborgare och företag med verksamhet i Sverige. Även personer som inte är bosatta i landet men som har tillgångar eller inkomster härifrån berörs av Skatteverkets verksamhet. Verksamheten vid myndigheten är omfattande och regleras i ett mycket stort antal författningar samt av unionsrätten.
I Skatteverkets huvudsakliga uppdrag ingår att fastställa och ta ut skatter och andra avgifter så att en riktig uppbörd kan säkerställas, ansvara för frågor om fastighetstaxering, folkbokföring, personnamn, registrering av bouppteckningar och äktenskapsregistret samt att vara borgenär åt staten.
Uppdraget omfattar även att bekämpa brott och att utfärda identitetskort för folkbokförda. Vår översyn omfattar inte dock inte Skatteverkets brottsbekämpande verksamhet och inte heller Skatteverkets identitetskortsverksamhet, varför någon beskrivning av dessa verksamheter inte görs nedan.
Skatteverkets uppdrag styrs bl.a. av förordningen (2017:154) med instruktion för Skatteverket och genom regeringens årliga regleringsbrev och andra regeringsbeslut. Alla uppdrag framgår dock inte av instruktionen. Exempel på detta är Skatteverkets verksamhet enligt lagen om (2022:272) om konto- och värdefackssystem och med det statliga personadressregistret, SPAR (se nedan).
Instruktionen
Skatteverkets övergripande uppdrag beskrivs i förordningen med instruktion för Skatteverket.
Skatteverket ska fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ska även fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatteberäkning och andra ändamål (1 §).
Skatteverket ansvarar för frågor om folkbokföring och personnamn. Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder (2 §).
Skatteverket utfärdar identitetskort för folkbokförda i Sverige (3 §). Vidare ansvarar Skatteverket för registrering av bouppteckningar och handläggning av ärenden enligt 16 kap. ärvdabalken (4 §). Skatteverket ansvarar också för äktenskapsregistret och för registreringsärenden enligt 16 kap. äktenskapsbalken (5 §).
Till Skatteverkets uppgifter hör vidare att förebygga och motverka ekonomisk brottslighet, medverka i brottsutredningar som rör vissa brott samt att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (6 §).
Skatteverket ansvarar för vissa borgenärsuppgifter (7 §) och ska fastställa pensionsgrundande inkomst (8 §).
Skatteverket ska bestyrka skriftliga uppgifter om sökandens ekonomiska förhållanden vid ansökan om fri rättshjälp hos Europadomstolen för de mänskliga rättigheterna (9 §).
Skatteverket ska bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som Skatteverket (10 §). Myndigheten ska också tillhandahålla behovsanpassad, lättillgänglig och kvalificerad information och service till allmänhet och företag (11 §). Skatteverket är vidare beredskapsmyndighet och sektorsansvarig myndighet enligt förordningen (2022:524) om statliga myndigheters beredskap (12 a §).
Av förordningen med instruktion för Skatteverket framgår även bl.a. att myndigheten snarast ska informera Regeringskansliet (Finansdepartementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (13 §). Instruktionen innehåller även bestämmelser om samverkan, myndighetens ledning,
delegering och organisation (15–22 §§), samt om särskilda organ inom myndigheten (23–36 §§).
Regleringsbrevet
Genom regleringsbrevet beslutar regeringen bl.a. om Skatteverkets uppdrag, mål och återrapporteringskrav.
Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) framgår bl.a. följande.
Skatteverket ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för både allmänhet och företag samt motverka brottslighet.
Skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt. Skatteverket ska vart fjärde år bedöma skattefelets storlek och i vilken grad skattefelet har förändrats. Nästa bedömning ska lämnas i årsredovisningen för 2025. Skatteverket ska redovisa resultatet av genomförda analyser för att utöka underlaget för kommande bedömning av skattefelet.
Uppgifterna i folkbokföringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska bedöma folkbokföringsfelets storlek och redovisa vilka åtgärder som har vidtagits för att öka kvaliteten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedömningar prioritera arbetet med att minska felen.
Skatteverket ska även redovisa hur resurserna i huvudsak har prioriterats till olika områden där kontrollerna kan uppnå bästa möjliga effekt och områden där risk för fel och fusk är hög. Skatteverket ska också redovisa och analysera kontrollverksamhetens resultat avseende t.ex. förändrade skattebeslut och regelefterlevnad.
Beskattningsverksamheten
Beskattningsverksamheten är omfattande och inom verksamheten tillämpas ett stort antal författningar som exempelvis reglerar skattskyldighet, förfarandet vid fastställande av underlag för och bestäm-
mande av skatter och avgifter samt bestämmande av pensionsgrundandande inkomst. Inom beskattningsverksamheten ryms också punktskatter på t.ex. alkohol och cigaretter. Även verksamheterna med s.k. rot- och rutavdrag ingår i verksamheten. Fastighetstaxeringen utgör en särskild del av beskattningsverksamheten. Målet med denna är att fastställa och tillhandahålla information om taxeringsvärde för landets fastigheter. Några av de författningar som reglerar Skatteverkets uppgifter inom beskattningsverksamheten är följande.
I inkomstskattelagen (1999:1229) finns bl.a. bestämmelser om kommunal och statlig inkomstskatt. I lagen finns bestämmelser om bl.a. skattskyldighet för fysiska och juridiska personer, vad som ska tas upp i olika inkomstslag, om fåmansföretag och om allmänna avdrag och beräkning av skatt.
I skatteförfarandelagen (2011:1244) finns bestämmelser om förfarandet vid uttag av skatter och avgifter. I lagen finns bestämmelser om bl.a. kontrolluppgifter i olika inkomstslag, Skatteverkets skyldighet att utreda och kommunicera, om revision, om andra myndigheters skyldighet att lämna uppgifter till Skatteverket, om olika tvångsåtgärder, om särskilda avgifter och om beslut om skatter och avgifter m.m.
I bl.a. socialavgiftslagen (2000:980) och lagen (1994:1920) om allmän löneavgift finns bestämmelser om arbetsgivares skyldighet att betala arbetsgivaravgifter och allmän löneavgift.
I mervärdesskattelagen (2023:200) finns bestämmelser om mervärdesskatt. I lagen finns bestämmelser om vilka transaktioner som är föremål för mervärdesskatt, om beskattningsbara personer, om beskattningsbara transaktioner mot ersättning, om vem som är betalningsskyldig och om transaktioner som medför avdragsrätt eller rätt till återbetalning. Bestämmelser om mervärdesskatt finns även i rådets direktiv 2006/112/EG av den 28 november 2006 om ett gemensamt system för mervärdesskatt och i rådets genomförandeförordning (EU) nr 282/2011 av den 15 mars 2011 om fastställande av tillämpningsföreskrifter för direktiv 2006/112/EG om ett gemensamt system för mervärdesskatt.
I fastighetstaxeringslagen (1979:1152) finns bestämmelser om fastighetstaxering. I lagen finns bl.a. bestämmelser om skatte- och avgiftsplikt, om deklarationsskyldighet, om riktvärden för byggnader och mark av olika beskaffenhet och om allmän, förenklad och särskild fastighetstaxering.
Skatteverket har på beskattningsområdet ett omfattande informationsutbyte med myndigheter i andra länder både utom och inom EU. Informationsutbytet regleras bl.a. genom EU-förordningar, EU-direktiv, konventioner och mellanstatliga avtal. Ett exempel är rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning som införlivas genom lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Varefter har det införts fler bestämmelser i direktivet som införlivas genom ytterligare särskilda lagar, t.ex. genom lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet. Samarbetet mellan stater som gäller bestämda fysiska eller juridiska personers beskattning brukar delas in i olika typer. Olika typer av samarbete är bl.a. informationsutbyte på begäran, automatiskt informationsutbyte, spontant informationsutbyte, närvaro vid skatteutredning i annat land, samtidiga kontroller och gemensamma revisioner. Indelningen grundas på hur samarbetet praktiskt går till, inte vad uppgifterna handlar om eller vilka bestämmelser samarbetet grundar sig på. Alla rättsakter om administrativt samarbete ger inte stöd för alla typer av samarbete.
Folkbokföringsverksamheten
Folkbokföringens huvudsakliga uppgift är att tillhandahålla information som speglar befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Inom folkbokföringsverksamheten tillämpas ett flertal olika författningar som exempelvis reglerar förutsättningarna för folkbokföring och tilldelning av samordningsnummer dvs. en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. Inom folkbokföringsverksamheten ingår även bl.a. prövning av ärenden om personnamn, hindersprövning enligt äktenskapsbalken samt utfärdande av intyg för gravsättning eller kremering. Några av de författningar som reglerar Skatteverkets uppgifter inom folkbokföringsverksamheten är följande.
I folkbokföringslagen (1991:481) finns bestämmelser om folkbokföring. I lagen finns bl.a. bestämmelser om när och hur folkbokföring ska ske, skyddad folkbokföring, personnummer, avregistrering
från folkbokföringen, anmälningar och ansökningar samt utredning och kontroll.
I lagen (2022:1697) om samordningsnummer finns bestämmelser om samordningsnummer. Lagen innehåller även bestämmelser om personnummer som före år 2000 tilldelats utan samband med folkbokföring. I lagen finns bl.a. bestämmelser om förfarandet vid tilldelning av samordningsnummer, identitetskontroll, ändringar av registrerade identitetsuppgifter samt underrättelse- och anmälningsskyldighet.
I lagen (2016:1013) om personnamn finns bestämmelser om förvärv och ändring av personnamn. I lagen finns bl.a. bestämmelser om byte och ändring av namn, särskilt skydd för efternamn, internationella förhållanden samt förfarandet vid Skatteverket.
SPAR-verksamheten
Skatteverket ansvarar för statens personadressregister, SPAR, sedan 2009. SPAR, är ett offentligt register som bl.a. får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Syftet med SPAR är att lämna ut uppgifter elektroniskt till myndigheter och enskilda under förutsättning att mottagaren uppfyller vissa villkor. SPAR-verksamheten regleras i lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234).
Äktenskapsregister- och bouppteckningsverksamheterna
Äktenskapsregisterverksamheten omfattar förandet av äktenskapsregistret och handläggning av registreringsärenden enligt 16 kap. äktenskapsbalken. Bouppteckningsverksamheten omfattar registreringen av bouppteckningar och förvaring av dödsboanmälningar samt handläggning av vissa andra typer av ärenden enligt 16 kap. ärvdabalken. Skatteverkets uppgifter som behörig myndighet för utfärdande av europeiska arvsintyg enligt Europaparlamentets och rådets förordning (EU) nr 650/2012 av den 4 juli 2012 om behörighet, tilllämplig lag, erkännande och verkställighet av domar samt godkännande och verkställighet av officiella handlingar i samband med arv och om
inrättandet av ett europeiskt arvsintyg ingår också i bouppteckningsverksamheten.
Vissa övriga uppgifter som Skatteverket har
Skatteverket är borgenär för statens fordringar. Det innebär att det är Skatteverket som bevakar statens fordringar i en konkurs. Om det blir aktuellt är det också Skatteverket som, för statens räkning, ansöker om att en gäldenär ska försättas i konkurs. Inom ramen för rollen som borgenär för statens fordringar företräder Skatteverket de flesta övriga statliga myndigheter när en skuld till staten ska betalas. Skatteverket företräder också staten vid företagsrekonstruktioner, skuldsaneringar, likvidationer, ackord och preskriptionsförlängningar. Skatteverkets uppgifter i samband med uppdraget att vara borgenär åt staten regleras i lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter. I lagen finns bestämmelser om bl.a. Skatteverkets skyldighet att göra en utredning om gäldenärens ekonomiska förhållanden och om Skatteverkets befogenheter att fatta vissa beslut och ansöka om att en gäldenär försätts i konkurs.
Skatteverket hanterar ärenden om stöd vid korttidsarbete, dvs. stöd till arbetsgivare som har tillfälliga och allvarliga ekonomiska svårigheter för lönekostnader kopplade till korttidsarbete för anställda. Bestämmelser om korttidsstöd finns i lagen (2013:948) om stöd vid korttidsarbete. I lagen finns bl.a. bestämmelser om beräkning av och ansökan om preliminärt stöd, återbetalningsskyldighet och kontroll.
Mellan 2020 och 2022 har Skatteverket hanterat ärenden om omställningsstöd, dvs. ekonomiskt stöd till företag vars nettoomsättning har minskat i större omfattning till följd av spridningen av sjukdomen covid-19 Bestämmelser om omställningsstöd finns i lagen (2020:548) om omställningsstöd och tillhörande förordningar. I lagen finns bl.a. bestämmelser om handläggningen av en ansökan om omställningsstöd, om utredning och kontroll, om kontrollbesök, om bevissäkring och om företrädaransvar.
Skatteverket handlägger ärenden om elstöd, dvs. ekonomiskt stöd som kan ges till företag för att mildra effekterna av höga elpriser. Bestämmelser om elstöd finns i lagen (2023:230) om förfarande för elstöd till företag och den tillhörande förordningen (2023:233). I lagen finns bl.a. bestämmelser om tillgodoräknande och utbetal-
ning av stöd, om återbetalning och återkrav, och om indrivning, verkställighet och preskription.
4.2. Tullverket
Inledning
Tullverket har i uppdrag att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Tullverket är också den myndighet som övervakar och kontrollerar trafiken till och från Sverige så att bestämmelser om in- och utförsel följs. Tullverket har även ett brottsbekämpande uppdrag. Vår översyn omfattar inte Tullverkets brottsbekämpande verksamhet varför någon mer ingående beskrivning av denna verksamhet inte görs nedan.
Tullverkets uppdrag styrs av förordningen (2016:1332) med instruktion för Tullverket och genom regeringens årliga regleringsbrev och andra regeringsbeslut. Av 1 kap. 2 § tullförordningen (2016:287) framgår dessutom att Tullverket ska utföra de uppgifter som en tullmyndighet eller en behörig myndighet har enligt Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (tullkodexen) och de förordningar som meddelas med stöd av den förordningen, om inget annat sägs i lag eller förordning.
Instruktionen
Tullverkets övergripande uppdrag beskrivs i förordningen med instruktion för Tullverket.
Tullverket ska fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas (1 §).
Tullverket ska övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs (2 §).
Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor. Tullverket ska även delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (3 §).
Till Tullverkets uppgifter hör vidare att bedriva viss utrednings- och åklagarverksamhet i fråga om brott mot bestämmelser om in-
och utförsel av varor (4 §). Tullverket ska även bedriva viss verksamhet i fråga om rattfylleribrott (5 §).
Tullverket ska tillhandahålla information och god service så att allmänheten och företag har goda förutsättningar för att kunna fatta långsiktiga och hållbara beslut (6 §). Tullverket ska bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som Tullverket (7 §).
Myndigheten är vidare behörig myndighet enligt lagen (2017:244) om kontroller och inspektioner på plats av europeiska byrån för bedrägeribekämpning, när det gäller vissa utpekade kontroller och inspektioner (8 a §). Tullverket är också beredskapsmyndighet enligt förordningen (2022:524) om statliga myndigheters beredskap (8 b §).
Av förordningen med instruktion för Tullverket framgår även bl.a. att myndigheten snarast ska informera Regeringskansliet (Finansdepartementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (9 §).
Bestämmelser om myndighetens ledning och organisation finns i 11–17 §§.
Regleringsbrevet
Genom regleringsbrevet beslutar regeringen bl.a. om Tullverkets uppdrag, mål och återrapporteringskrav.
Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) framgår bl.a. följande.
Tullverkets verksamhet ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle för allmänhet och företag samt motverka brottslighet.
Skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt. Tullverket ska bedöma skattefelets storlek och i vilken grad skattefelet har förändrats.
Ambitionsnivån avseende att förhindra smuggling av narkotika, vapen och explosiva varor liksom att förhindra storskalig eller frekvent illegal införsel av alkohol och tobak ska öka. Tullverket ska redovisa resultatet av kontrollverksamheten avseende smuggling av narkotika, vapen och explosiva varor samt storskalig eller frekvent
illegal införsel av alkohol och tobak. Av redovisningen ska det även framgå hur myndigheten har balanserat insatserna inom dessa områden mot insatser på övriga risk- och restriktionsområden, hur ambitionsnivån ökat samt vilka överväganden som gjorts.
Tullverket ska enligt regleringsbrevet vidare redovisa hur myndigheten har stärkt arbetet med att förebygga brottslighet i samband med in- och utförsel av varor. Tullverket ska också redovisa effekterna av myndighetens utökade möjligheter att ingripa mot brott, t.ex. när det gäller stöldgods som är på väg att föras ut ur landet.
Tullverkets verksamhet
Unionsrätten
Tullverkets uppgifter framgår av ett flertal författningar och i mycket hög utsträckning av unionsrätten. Inom EU är tullagstiftningen till stor del harmoniserad.
Kärnan i EU:s gemensamma tullagstiftning utgörs av tullkodexen, som fastställer de allmänna regler och förfaranden som ska tillämpas på varor som förs in i eller ut ur EU:s tullområde. Tullkodexen är direkt tillämplig i alla 27 medlemsstater. Förordningen kompletteras av stödjande lagstiftning i form av olika tillämpningsföreskrifter. Det finns exempelvis en kompletteringsförordning1 och en genomförandeförordning2 som anger närmare bestämmelser avseende vissa stadganden i tullkodexen samt syftar till att säkerställa likartade villkor för implementeringen av kodexen i alla medlemsstater.
Tullkodexen innehåller bestämmelser om bl.a. tullagstiftningens tillämpningsområde, definitioner, tullmyndigheternas uppgifter samt personers rättigheter och skyldigheter enligt tullagstiftningen. Det finns även bestämmelser om exempelvis förfarandet vid beslut enligt tullagstiftningen, sanktioner, överklagande, kontroll av varor, bevarande av dokument och elektroniska system.
Tullmyndigheterna ska enligt tullkodexen bl.a. ha det primära ansvaret för att övervaka unionens internationella handel. Därutöver ska
1 Kommissionens delegerade förordning (EU) 2015/2446 av den 28 juli 2015 om komplettering av Europaparlamentets och rådets förordning (EU) nr 952/2013 vad gäller närmare regler avseende vissa bestämmelser i unionens tullkodex. 2 Kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets förordning (EU) nr 952/2013 om fastställande av en tullkodex för unionen.
Tullmyndigheterna vidare inrätta åtgärder med syfte bl.a. att skydda unionens och dess medlemsstaters ekonomiska intressen, att säkerställa unionens och dess invånares säkerhet och skydd, samt skyddet av miljön, vid behov i nära samarbete med andra myndigheter. Vidare ska Tullmyndigheterna inrätta åtgärder med syfte att bevara en lämplig balans mellan tullkontroll och underlättande av laglig handel.
Tullmyndigheterna ska vid EU:s yttre gränser kontrollera efterlevnaden av mer än 60 olika EU-rättsakter med särskilda restriktioner och krav inom olika politikområden, däribland hälsa och säkerhet, miljöskydd, fiskeri och jordbruk, marknadsövervakning och produktöverensstämmelse samt kulturarv.3
Tullagen (2016:253) innehåller bestämmelser som kompletterar det unionsrättsliga regelverket. Lagen innehåller bl.a. bestämmelser om Tullverkets skyldighet att tillhandahålla information till andra myndigheter och bevarande av uppgifter. Tullagen innehåller även närmare reglering av förfarandet vid exempelvis tullövervakning vid införsel och utförsel av varor, olika former av tullkontroll, samt regler om sanktioner, åtgärder vid nöd eller olycka, och om delgivning.
Inregränslagen
Tullverket har befogenhet att utföra kontroller avseende vissa särskilt angivna varor, bl.a. narkotika, vapen, krigsmateriel, kulturföremål, vissa djur och djurprodukter samt vissa hälsofarliga varor som förs in eller ut ur Sverige från eller till ett annat EU-land. I lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot annat land inom Europeiska unionen, inregränslagen, finns bestämmelser om sådana kontroller. I lagen finns bl.a. bestämmelser om skyldighet för enskilda att lämna uppgifter och visa handlingar, om vilka utrymmen, föremål och försändelser en tulltjänsteman får undersöka samt under vilka omständigheter Tullverket får omhänderta varor.
3 Regeringskansliet, Faktapromemoria, Förordning om en kontaktpunkt för tullen i EU, 2020/21:FPM40, s. 2.
Lagen om punktskattekontroller
Tullverket har rätt att under vissa förutsättningar kontrollera och omhänderta bl.a. skattepliktiga alkohol- och tobaksvaror för att utreda om skatt ska betalas i Sverige, samt att fatta beslut om skatt. I lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter finns bestämmelser om förfarandet. I lagen finns bl.a. bestämmelser om vilka dokument, utrymmen och försändelser Tullverket får undersöka, om enskildas skyldighet att legitimera sig och uppvisa dokument samt under vilka omständigheter Tullverket får omhänderta varor.
4.3. Kronofogdemyndigheten
Inledning
Kronofogdemyndigheten är den myndighet i Sverige som har i uppdrag att se till att den som har rätt att få betalt får det. Det kan vara myndigheter, kommuner, företag eller privatpersoner som ansöker om hjälp med att få betalt. Kronofogdemyndigheten ger även stöd till den som ska betala sina skulder och ser till att betalningar sker på ett rättssäkert sätt.
Myndighetens uppgifter är främst att fastställa och verkställa krav, exempelvis genom att driva in skulder efter beslut om att någon är skyldig att betala, eller genom att genomföra vräkningar. Myndigheten beslutar också om skuldsanering och utövar tillsyn över konkursförvaltare och rekonstruktörer. Myndigheten har även vissa gränsöverskridande uppdrag som härrör ur internationell samverkan kring bland annat underhållsskyldighet, handräckning i skatteärenden och verkställighet av olika beslut. Dessutom får myndigheten kontinuerligt allt fler uppgifter som är relaterade till arbetet med att motverka gängkriminalitet.
Kronofogdemyndighetens uppdrag styrs bl.a. av förordningen (2016:1333) med instruktion för Kronofogdemyndigheten och genom regeringens årliga regleringsbrev och andra regeringsbeslut.
Instruktionen
Kronofogdemyndighetens övergripande uppdrag beskrivs i förordningen med instruktion för Kronofogdemyndigheten.
Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer (1 §).
Kronofogdemyndigheten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas (2 §).
Myndigheten har även i uppdrag att tillhandahålla information och god service så att allmänhet och företag har goda förutsättningar för att kunna fatta långsiktiga och hållbara beslut (3 §).
Myndigheten ska förebygga och motverka ekonomisk brottslighet samt delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (4 §).
Vidare ska Kronofogdemyndigheten bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som Kronofogdemyndigheten (5 §).
Kronofogdemyndigheten ska snarast informera Regeringskansliet (Finansdepartementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (7 §).
Kronofogdemyndigheten ska tillsammans med Skatteverket bestämma den gemensamma utvecklingen och användningen av administrativt och tekniskt stöd inom Skatteverket (8 §).
Bestämmelser om myndighetens ledning och organisation samt om kronofogdar finns i 9–16 §§.
Regleringsbrevet
Genom regleringsbrevet beslutar regeringen bl.a. om Kronofogdemyndighetens uppdrag, mål och återrapporteringskrav.
Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) framgår bl.a. följande.
Kronofogdemyndigheten ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle för allmänhet och företag samt motverka brottslighet. Allmänhet och företag ska ha förtroende för Kronofogdemyndighetens verksam-
het och alla ska ges samma möjligheter och villkor vid kontakter med myndigheten.
Kronofogdemyndigheten har tillförts tillfälliga medel under 2021– 2023 för att digitalisera och automatisera verksamheten.
Kronofogdemyndighetens verksamhet
Betalningsföreläggande och handräckning
Kronofogdemyndigheten ansvarar för betalningsföreläggande och handräckning, dvs. att företag eller privatpersoner kan ansöka om att få ett krav på betalning eller annan förpliktelse fastställt. Myndigheten har i uppdrag att pröva ansökningar och meddela beslut, s.k. utslag. Myndigheten hanterar också bl.a. ansökningar om vanlig handräckning, exempelvis rörande vräkning, och särskild handräckning som till exempel kan innebära ansökan om att någon ska lämna annans byggnad eller mark. I lagen (1990:746) om betalningsföreläggande och handräckning finns bl.a. bestämmelser om ansökningsprocessen, om föreläggande för svaranden att yttra sig, om kostnader i målet och om återvinning. I lagen (2008:879) om europeiskt betalningsföreläggande finns kompletterande nationella bestämmelser om handläggning av ansökningar om europeiska betalningsförelägganden (enligt Europaparlamentets och rådets förordning (EG) nr 1896/2006 om införande av ett europeiskt betalningsföreläggande).
Utsökning och indrivning
Kronofogdemyndighetens uppgifter med utsökning och indrivning, dvs att använda tvång för att ta i anspråk någons egendom eller lön för betalning av en fastställd skuld, eller att verkställa bl.a. en skyldighet att flytta från ett visst utrymme eller en skyldighet att fullgöra eller underlåta något, regleras i huvudsak i utsökningsbalken. Kronofogdemyndigheten handlägger ärenden från två typer av ingivare: staten, regioner och kommuner (allmänna mål) respektive företag och privatpersoner (enskilda mål). I allmänna mål företräds sökanden av Kronofogdemyndigheten.
I utsökningsbalken finns bl.a. bestämmelser om förfarandet hos Kronofogdemyndigheten, om utmätning, om exekutiv försäljning,
om annan verkställighet och om kostnader. I lagen (1993:891) om indrivning av statliga fordringar m.m. finns bestämmelser som gäller särskilt vid handläggning hos Kronofogdemyndigheten av allmänna mål om verkställighet enligt utsökningsbalken.
Skuldsanering
Kronofogdemyndigheten fattar beslut om skuldsanering och F-skuldsanering. Skuldsanering innebär att en person som är svårt skuldsatt kan få hela eller delar av sina skulder avskrivna. En skuldsanering pågår vanligtvis fem år och personen har under den tiden en betalningsplan. Ett beslut om skuldsanering kan ändras om det sker oförutsedda och väsentliga förändringar i den skuldsattes ekonomi. Ett sådant beslut kan också upphävas om personen inte betalar enligt betalningsplanen, har förfarit illojalt eller fått en väsentligt förbättrad ekonomi. I skuldsaneringslagen (2016:675) finns bl.a. bestämmelser om villkor för skuldsanering, vad en ansökan ska innehålla, om Kronofogdemyndighetens kontroll, om handläggningen och om innehållet i en skuldsanering. I lagen (2016:676) om skuldsanering för företagare finns bestämmelser om en särskild form av skuldsanering för företagare och närstående till företagare (F-skuldsanering). I lagen finns bl.a. bestämmelser liknande de som finns i skuldsaneringslagen.
Tillsyn
Kronofogdemyndigheten är tillsynsmyndighet i konkursförfarandet och har i detta sammanhang uppdrag att ha tillsyn över konkursförvaltaren. I konkurslagen (1987:672) finns bestämmelser om Kronofogdemyndighetens tillsynsuppdrag.
Myndigheten är också tillsynsmyndighet för rekonstruktörer enligt lagen (2022:964) om företagsrekonstruktion.
Enligt lagen (2014:836) om näringsförbud är Kronofogdemyndigheten också tillsynsmyndighet avseende meddelade näringsförbud. I lagen om näringsförbud finns bl.a. bestämmelser om myndighetens rätt att begära att den som har näringsförbud lämnar uppgifter av betydelse för att klarlägga hur han eller hon försörjer sig, söka upp vederbörande i bostaden och vidta utrednings- och spaningsåtgärder som är befogade för att klarlägga hur den som har näringsförbud
försörjer sig. Kronofogdemyndigheten får i detta sammanhang även förelägga tredje man att lämna uppgifter om sina ekonomiska förehavanden med en person som har näringsförbud
Kreditupplysningsinformation
Kreditupplysning regleras i kreditupplysningslagen (1973:1173) och tillhandahålls av kreditupplysningsföretag med tillstånd från Integritetsskyddsmyndigheten. Med kreditupplysning avses uppgifter, omdömen eller råd som lämnas till ledning för bedömning av någon annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende (2 §). Genom kreditupplysningarna får exempelvis kreditgivare kännedom om en kredittagares betalningsvilja och betalningsförmåga.
Kronofogdemyndigheten lämnar löpande ut information till företag som har tillstånd att bedriva kreditupplysning. Myndighetens utlämnande av information utgör inte kreditupplysningsverksamhet enligt kreditupplysningslagen.
Motverkande av överskuldsättning
Kronofogdemyndigheten arbetar strategiskt med att hjälpa människor att undvika ekonomiska problem och att ta sig ur överskuldsättning. Barn och unga vuxna är en prioriterad målgrupp. Detta sker inom arbetet med att motverka överskuldsättning.
5. Utgångspunkter för en modern och ändamålsenlig kompletterande dataskyddsreglering
5.1. Uppdraget och behovet av att formulera några utgångspunkter för dess utförande
Vårt uppdrag
Vårt uppdrag omfattar bl.a. att göra en systematisk översyn av registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Uppdraget omfattar i denna del även registerförfattningarna för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, samt regleringen av det statliga personadressregistret, SPAR. Vårt uppdrag omfattar att föreslå ändamålsenliga regler som är anpassade efter dagens behov. Den nya regleringen bör enligt våra direktiv vara flexibel och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen, samtidigt som enskildas personliga integritet värnas.
Uppdraget omfattar alltså att föreslå ändamålsenliga och flexibla bestämmelser om personuppgiftsbehandling inom flera olika verksamheter där behoven i fråga om kompletterande dataskyddsreglering i viss utsträckning skiljer sig från varandra.
Behovet av några gemensamma utgångspunkter
I syfte att fullgöra vårt uppdrag har vi inledningsvis studerat myndigheternas uppgifter som framgår av nationell rätt och unionsrätten, samt deras organisation och verksamhet. Vi har även fördjupat oss i den befintliga allmänna och kompletterande dataskyddsregleringen, dvs. EU:s dataskyddsförordning1 och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt bestämmelser om offentlighet och sekretess (se avsnitt 3.2).
Vi har också haft en tät kontakt med Skatteverket, Tullverket och Kronofogdemyndigheten för att kartlägga deras respektive uppfattningar om vilka behov som föreligger ur ett myndighetsperspektiv, utifrån ramen för vårt uppdrag. Behovsinventeringen har av naturliga skäl utgått från myndigheternas respektive uppgifter och verksamheter. De uppgivna behoven skiljer sig därför åt på flera punkter. Vissa synpunkter har dock varit genomgående och gemensamma för samtliga tre myndigheter. Exempelvis uppfattas dagens reglering som omodern och dåligt anpassad till digitaliseringen av myndigheternas verksamhet. Dagens reglering uppfattas även i flera fall som omotiverat hindrande, utan att några uppenbara fördelar för skyddet av enskildas personliga integritet uppnås.
Vår bedömning är att omfattningen av vårt uppdrag starkt talar för att några gemensamma utgångspunkter bör formuleras utifrån de aspekter som är gemensamma för samtliga verksamheter. Sammanfattningsvis kan det gemensamma behovet hos myndigheterna sägas vara att dataskyddsregleringen anpassas till rådande rättsliga och tekniska förutsättningar för personuppgiftsbehandling. Detta motsvarar också vårt uppdrag enligt våra direktiv.
Behoven som myndigheterna har gett uttryck för är förvisso inte desamma för samtliga verksamheter. För Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, samt Skatteverkets SPARverksamhet är behoven av förändring mindre, eller av annan karaktär. De utgångspunkter vi behöver formulera bör dock vara giltiga även för dessa verksamheter.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
5.2. Utgångspunkter för en ändamålsenlig och modern kompletterande dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten
5.2.1. Den kompletterande dataskyddsregleringen ska utgöra ett adekvat integritetsskydd
Vår bedömning: En utgångspunkt för vårt arbete bör vara att den
kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för att den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet.
Skälen för vår bedömning
Att uppgifter om enskildas personliga förhållanden måste åtnjuta ett skydd i en rättsstat framgår av skyddsreglering för den personliga integriteten både i regeringsformen och i olika internationella rättsakter (se avsnitt 3.2). Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.2 Var och en är vidare gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.3 Var och en har dessutom rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.4Respekten för individens självbestämmande och integritet är alltså grundläggande i en demokrati och inte enbart en dataskyddsrättslig fråga.5 En självklar utgångspunkt för vårt arbete bör därför vara ett enskilda har ett berättigat intresse av att erbjudas skydd för information om sina personliga förhållanden.6
Grundläggande rättigheter kan vara absoluta eller möjliga att begränsa under vissa förutsättningar. Några av de absoluta grundläggande rättigheterna i svensk rätt är att ingen får dömas till dödsstraff eller utsättas för kroppsstraff.7 Rätten till skydd för personuppgifter
2 Artikel 8.1 Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). 32 kap. 6 § andra stycket RF. 4 Artikel 8.1 Europeiska konventionen om skydd för de mänskliga rättigheterna. 5Prop. 2022/23:34, Utbetalningsmyndigheten, s. 161. 6 Jfr prop. 2009/10:80, En reformerad grundlag, s. 175. 7 2 kap. 4, 5 och 20 §§ RF.
och mot betydande intrång i den personliga integriteten är dock inte en absolut rättighet. Liksom rätten till skydd för privat- och familjeliv, hem och korrespondens kan rätten till skydd för personuppgifter och mot betydande intrång i den personliga integriteten begränsas.8
Enligt dataskyddsförordningen måste rätten till skydd för personuppgifter förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter i enlighet med proportionalitetsprincipen.9Proportionalitetsprincipen innebär att åtgärder ska vara lämpliga och nödvändiga för att uppnå det önskade resultatet, och inte innebära en orimlig börda för den enskilde i förhållande till det eftersträvade målet. Proportionalitetsprincipen framgår också av regeringsformen och i olika internationella rättsakter.10
Inom sina respektive verksamheter behandlar Skatteverket, Tullverket och Kronofogdemyndigheten i dag en mycket stor mängd uppgifter om enskilda. Det rör sig såväl om behandling av uppgifter som bör uppfattas som mycket privata, exempelvis om hälsa, tillhörighet i trossamfund och privatekonomi, som om behandling av uppgifter som typiskt sett är mindre skyddsvärda, exempelvis om någons adress. Myndigheterna har förvisso ett legitimt behov av att behandla personuppgifter i syfte att utföra den verksamhet som riksdagen eller regering beslutat eller som krävs enligt unionsrätten. De uppgiftssamlingar som förekommer inom myndigheternas verksamheter kan dock innebära att uppgifterna är tillgängliga för myndigheterna på sådant sätt att behandlingen kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.11
I den kompletterande dataskyddsregleringen bör myndigheterna därför ges möjlighet att utföra personuppgiftsbehandling endast i den utsträckning det är proportionerligt i förhållande till enskildas berättigade intresse av skydd för information om sina personliga förhållanden. Det innebär att den kompletterande dataskyddsregleringen inte bör möjliggöra annan personuppgiftsbehandling än sådan som kan antas leda till att myndigheterna kan utföra sin verksamhet enligt tillämplig lagstiftning. Dataskyddsregleringen bör inte heller möjlig-
82 kap. 21 § RF. 9 Skäl 4 till dataskyddsförordningen. 10 Se 2 kap. 21 § regeringsformen och exempelvis artikel 5.4 i Fördraget om europeiska unionen och fördraget om europeiska unionens funktionssätt (2016/C 202/01) och artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). 11Prop. 2009/10:80, En reformerad grundlag, s. 175.
göra sådan personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin verksamhet, eller sådan behandling som inte står i ett rimligt förhållande till det intrång i den personliga integriteten som behandlingen innebär.
En utgångspunkt för vårt arbete bör följaktligen vara att den kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet.
5.2.2. EU:s dataskyddsförordning utgör i dag den primära rättskällan i dataskyddsfrågor
Vår bedömning: En utgångspunkt för vårt arbete bör vara att
EU:s dataskyddsförordning i dag är den primära dataskyddsrättsliga rättskällan.
Skälen för vår bedömning
Myndigheterna ska tillämpa dataskyddsförordningen
De flesta författningar som omfattas av vår översyn kom till i samband med eller som en konsekvens av att personuppgiftslagen (1998:204), PUL, infördes. När dataskyddsförordningen började tillämpas ersatte den 1995 års dataskyddsdirektiv,12 som på generell nivå hade genomförts i svensk rätt genom personuppgiftslagen, personuppgiftsförordningen (1998:1191) och dåvarande Datainspektionens föreskrifter.
För att säkerställa att EU-lagstiftningen ger samma skydd för alla medborgare inom hela EU har bestämmelser som finns i en EU-förordning företräde framför nationella lagar.13 Dataskyddsförordningen ska alltså tillämpas av enskilda och myndigheter precis som om bestämmelserna i förordningen hade funnits i en svensk författning. Det innebär att den primära regleringen avseende personuppgiftsbehandling inom svenska myndigheter i dag finns i dataskyddsförordningen.
12 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 13 Se bl.a. EU-domstolens dom den 15 juli 1964, Flaminio Costa mot E.N.E.L., mål 6/64.
En mer omfattande dataskyddsreglering
Dataskyddsförordningen innebär i många avseenden en förändring i förhållande till personuppgiftslagen och 1995 års dataskyddsdirektiv, och ställer framför allt högre krav på personuppgiftsansvariga myndigheter än tidigare.
I artikel 5.1 anges de grundläggande principerna för behandling, vilka även angavs i 1995 års dataskyddsdirektiv och personuppgiftslagen.14 De grundläggande principerna innebär bl.a. att personuppgifter enbart får behandlas för särskilda och berättigade ändamål, att uppgifterna inte senare får behandlas på ett sätt om är oförenligt med insamlingsändamålen, att behandlingen inte får omfatta fler uppgifter än nödvändigt och att den inte får pågå längre än nödvändigt. Av artikel 5.2 i dataskyddsförordningen framgår att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna efterlevs.
För att behandling av personuppgifter över huvud taget ska vara laglig enligt dataskyddsförordningen krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. Av 10 § f PUL, liksom av artikel 7 i 1995 års dataskyddsdirektiv, framgick att även offentliga aktörer kunde behandla personuppgifter på grund av sitt s.k. berättigade intresse. Enligt dataskyddsförordningen kan en myndighet som utgångspunkt inte behandla personuppgifter på den grunden. Myndigheter kan i stället som utgångspunkt bara behandla personuppgifter om det är nödvändigt för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, (artikel 6.1 c och e).
Enligt dataskyddsförordningen ska dessutom den grund för behandling som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3). Något motsvarande krav på att grunden för en myndighets personuppgiftsbehandling skulle vara fastställd i unionsrätten eller den nationella rätten fanns inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Det har därför ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som var nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om den rättsliga grunden inte var fastställd i författ-
14 Artikel 6 i 1995 års dataskyddsdirektiv och 9 § personuppgiftslagen.
ning eller liknande. Dataskyddsförordningens bestämmelser om rättslig grund innebär däremot att bl.a. förpliktelser och uppgifter av allmänt intresse inte kan åberopas som rättsliga grunder för behandling av personuppgifter om den rättsliga grunden inte är fastställd i unionsrätten eller medlemsstatens nationella rätt.15
Vid behandling som omfattas av artikel 6.1 c och e ska enligt artikel 6.3 också syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkten 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Artikel 6.3 ställer också krav på att, i fråga om den rättsliga grunden för personuppgiftsbehandling, unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Dataskyddsförordningen innehåller dessutom ett stort antal bestämmelser om olika förhållanden kopplade till dataskydd. Bestämmelserna i förordningen rör alltså inte enbart grundläggande principer för behandling och vilken rättslig grund för behandling som måste föreligga. I förordningen finns även utförliga bestämmelser avseende den personuppgiftsansvariges ansvar att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att personuppgiftsbehandling utförs i enlighet med förordningens bestämmelser (artikel 24), bygga in dataskydd i de tekniska systemen för att rent teknisk säkerställa att de grundläggande principerna följs (artikel 25), och att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå (artikel 32). Det finns även förfaranderegler om konsekvensbedömningar och samråd med de nationella tillsynsmyndigheterna vid behandling som kan innebära särskilt hög risk för de registrerade (artiklarna 35 och 36), förfaranderegler vid gemensamt personuppgiftsansvar (artikel 26) och om personuppgiftsbiträden (artikel 28).
Dataskyddsförordningen innehåller dessutom ett flertal utförliga bestämmelser om enskilda rättigheter, bl.a. avseende rätt till information om ändamålen med den behandling som utförs (kapitel III), samt bestämmelser om gränsöverskridande behandling av personuppgifter till tredjeland (kapitel V). Ytterligare en skillnad mellan dataskyddsförordningen och 1995 års dataskyddsdirektiv är att till-
15Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 42.
synsmyndigheternas befogenheter har stärkts genom dataskyddsförordningen, jfr artikel 58 i dataskyddsförordningen och artikel 28.3 i direktivet. I Sverige är det Integritetsskyddsmyndigheten, IMY, som är tillsynsmyndighet. Genom dataskyddsförordningens bestämmelser om administrativa rättsmedel, ansvar och sanktioner (kapitel VIII) har IMY möjlighet att bl.a. påföra en myndighet administrativa sanktionsavgifter på upp till motsvarande 10 000 000 kronor om behandlingen strider mot de grundläggande principerna i dataskyddsförordningen, som kravet på att personuppgifter bara får samlas in för berättigade ändamål. Ett annat exempel är om den registrerade inte får sina rättigheter tillgodosedda, som rätten till information och rättelse (artikel 83.5 och 6 kap. 2 § andra stycket lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen).
Totalt innehåller dataskyddsförordningen 99 artiklar som i många fall är mycket omfångsrika. Artiklarna kompletteras vidare av 173 beaktandeskäl. Europeiska dataskyddsstyrelsen, EDPB, en paraplyorganisation som sammanför de nationella dataskyddsmyndigheterna, publicerar dessutom bl.a. riktlinjer och rekommendationer som tydliggör den närmare innebörden av dataskyddsförordningens bestämmelser.
Behovet av sektorsspecifik dataskyddsreglering har minskat
Dataskyddsförordningen baseras till stor del på 1995 års dataskyddsdirektivs struktur och innehåll men innebär även en rad förändringar. Dataskyddsförordningen som till skillnad från direktivet ska tillämpas på precis samma sätt som vore den en svensk lag utgör en mer omfattande dataskyddsreglering än 1995 års direktiv och personuppgiftslagen gjorde. Framför allt innebär dataskyddsförordningen att det i dag finns begränsningar av Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att behandla personuppgifter som inte förelåg innan förordningen började tillämpas i maj 2018. I dag finns det också högre krav på att myndigheterna ska vidta ett flertal olika åtgärder för att kunna säkerställa bl.a. lämplig säkerhet för de personuppgifter som får behandlas, och en möjlighet för IMY att besluta om administrativa sanktionsavgifter.
Trots att dataskyddsförordningen närmast är heltäckande i dataskyddsrättsliga frågor både förutsätter och medger förordningen nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Enligt förordningen finns det alltså möjlighet att i nationell rätt behålla eller införa kompletterande dataskyddsreglering. I några fall ger förordningen utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet, se artikel 9.2 g om känsliga personuppgifter och artikel 23 om möjligheterna att begränsa tillämpningsområdet för vissa skyldigheter och rättigheter. I andra fall ges medlemsstaterna möjlighet att fastställa mer specifika villkor för att anpassa bestämmelserna i förordningen för att säkerställa en laglig och rättvis behandling, vilket framgår av artikel 6.2 och 6.3 andra stycket. Principen om unionsrättens företräde innebär dock att en bestämmelse i en sektorsspecifik författning endast får tillämpas om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt.
För att avgöra i vilken utsträckning det är nödvändigt med reglering som kompletterar dataskyddsförordningen inom en viss sektor krävs överväganden som tar hänsyn till de omständigheter som föreligger i den aktuella verksamheten. Inom offentlig verksamhet kan det exempelvis förekomma synnerligen integritetskänslig behandling där det kan uppfattas vara nödvändigt med kompletterande reglering för att åstadkomma ett adekvat integritetsskydd. Ett exempel är Rättsmedicinalverkets elimineringsdatabas där dna-prov från både anställda och andra personer behandlas.16 Att dataskyddsförordningen sedan maj 2018 är den primära rättskällan i dataskyddsfrågor innebär dock att det redan finns en tydlig reglering av dataskyddsrättsliga frågor som alla, såväl myndigheter som privata ekonomiska aktörer och organisationer, som behandlar personuppgifter måste iaktta. Mot den bakgrunden bedömer vi att det inte längre finns samma generella behov som tidigare av att i sektorsspecifik dataskyddsreglering begränsa eller tydliggöra vilken personuppgiftsbehandling som får förekomma inom en myndighet, i syfte att upprätthålla ett adekvat integritetsskydd. Vilken behandling som får förekomma inom en myndighet begränsas nämligen redan av dataskyddsförordningen.
16 Jfr 6–7 §§ lag (2020:422) om Rättsmedicinalverkets elimineringsdatabas.
5.2.3. Dataskyddsförordningens dubbla syfte
Vår bedömning: En utgångspunkt för vårt arbete bör vara att
dataskyddsförordningens syfte inte enbart är att skapa ett starkt skydd för den personliga integriteten, utan även att skapa en enhetlig och likvärdig nivå för integritetsskyddet inom unionen.
Skälen för vår bedömning
En sammanhängande ram för dataskyddet inom unionen
I skäl 6 till dataskyddsförordningen anges att den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter, och att tekniken gör det möjligt för bl.a. offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Dessa förändringar kräver enligt skäl 7 en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. I skäl 9 till dataskyddsförordningen konstateras att 1995 års dataskyddsdirektiv inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skäl 9 förhindra det fria flödet av personuppgifter och därför bl.a. hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten.
För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13, en förordning som bl.a. ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt.
Dataskyddsförordningens dubbla syften bör beaktas
Ett av de huvudsakliga syftena med dataskyddsförordningen är att åstadkomma en harmonisering av dataskyddsregleringen inom unionen för att undanröja hindren för det fria flödet av personuppgifter inom EU. Det avser inte enbart ekonomiska aktörer utan även myndigheter. Enligt vår mening är det därför angeläget att förordningens bestämmelser inte tolkas på ett mer begränsande sätt i Sverige än i andra medlemsstater.17 Det avser särskilt bedömningen av i vilken utsträckning det är nödvändigt eller lämpligt att med stöd av bl.a. artikel 6.2 och 6.3 andra stycket fastställa mer specifika villkor för eller begränsningar av myndigheters personuppgiftsbehandling i syfte att anpassa bestämmelserna i förordningen för att säkerställa en laglig och rättvis behandling.
I avsnitt 5.2.2 har vi bedömt att betydelsen av sektorspecifik dataskyddsreglering för att upprätthålla ett adekvat integritetsskydd har minskat efter att dataskyddsförordningen började tillämpas. Förordningens dubbla syfte talar ytterligare för att kompletterande dataskyddsreglering bör övervägas noga och enbart avvika från vad som annars hade gällt enligt dataskyddsförordningen om det framstår som nödvändigt för att tillskapa ett adekvat integritetsskydd. Den kompletterande dataskyddsregleringen bör under alla förhållanden inte hindra myndigheterna att utföra sina uppgifter enligt unionsrätten eller att utföra sin verksamhet som regleras i den nationella rätten.
5.2.4. Överväganden i samband med införandet av dataskyddslagen
Vår bedömning: De överväganden som gjordes i samband med data-
skyddslagens tillkomst bör utgöra en utgångspunkt för vårt arbete.
Skälen för vår bedömning
I Sverige kompletteras dataskyddsförordningen av dataskyddslagen. I dataskyddslagen finns bestämmelser som förtydligar dataskyddsförordningens bestämmelser bl.a. i fråga om den rättsliga grund för
17 Jfr prop. 2017/18:105, Ny dataskyddslag s. 99.
personuppgiftsbehandling som är aktuell för myndigheter. Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Av 2 kap. 2 § samma lag framgår att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
I dataskyddslagens förarbeten finns dessutom en utförlig beskrivning av bestämmelsernas innebörd och de överväganden som regeringen gjort i frågan om hur dataskyddsförordningens krav på den rättsliga grunden ska tolkas på ett generellt plan (se avsnitt 3.2.6). De överväganden och bedömningar som regeringen gav uttryck för i dataskyddslagens förarbeten är av naturliga skäl generella, eftersom dataskyddslagen kompletterar dataskyddsförordningen på ett generellt plan. Regeringen bedömde exempelvis att risken för att myndigheter på ett generellt plan inte skulle kunna behandla personuppgifter med stöd av dataskyddsförordningen om inte kompletterande lagstiftning infördes var mycket liten, eftersom det inte borde förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknade stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.18
I fråga om den svenska rätten på ett generellt plan kunde anses uppfylla dataskyddsförordningens krav på proportionalitet (artikel 6.3 andra stycket) konstaterade regeringen att kravet motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Regeringen konstaterade även att genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna hade Europakonventionen inkorporerats i svensk rätt. Regeringen påpekande också att enligt 2 kap. 19 § regeringsformen får lagar och andra föreskrifter inte meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Enligt regeringen borde det därför vara mycket ovanligt att svensk rätt
18Prop. 2017/18:105, Ny dataskyddslag, s. 50.
inte uppfyller Europakonventionens krav. Mot den bakgrund borde utgångspunkten enligt regeringen vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Enligt regeringen behövde den personuppgiftsansvarige därmed inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kunde utgå från att svensk rätt uppfyller detta krav.19
Skatteverket, Tullverket och Kronofogdemyndigheten har sedan en lång tid sektorspecifika dataskyddsregleringar. Även om den kompletterande dataskyddsregleringen i dag innehåller bestämmelser om frågor som inte utgör dataskydd, exempelvis arkivrättsliga frågor som rör gallring och bevarande, innehåller den främst bestämmelser som avser myndigheternas automatiserade behandling av personuppgifter. Myndigheternas verksamhet och uppdrag regleras i stället i den nationella rätten och unionsrätten. Enligt vår bedömning är den kompletterande dataskyddsregleringen därför inte av en sådan karaktär att regeringens uttalanden i förarbetena till dataskyddslagen, avseende kraven på proportionalitet och att den rättsliga grunden ska vara fastställd, inte kan utgöra en utgångspunkt för vårt arbete. De överväganden som gjordes i samband med dataskyddslagens tillkomst bör därför utgöra en utgångspunkt för vårt arbete.
5.2.5. Teknikneutral reglering
Vår bedömning: En utgångpunkt för vårt arbete bör vara att den
kompletterande dataskyddsregleringen inte ska innehålla bestämmelser som förutsätter eller förhindrar användandet av någon befintlig eller framtida teknisk lösning.
Skälen för vår bedömning
Digitaliseringen av myndigheternas verksamhet
De nuvarande registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, SPAR-verksamheten, Tullverket och Kronofogdemyndigheten kom till i samband med att person-
19Prop. 2017/18:105, Ny dataskyddslag, s. 50.
uppgiftslagen infördes, eller för att anpassa den dåvarande regleringen av automatiserad personuppgiftsbehandling till personuppgiftlagen.20När personuppgiftslagen trädde i kraft i oktober 1998 var den elektroniska förvaltningen fortfarande i början av sin uppbyggnad.21 De flesta registerförfattningar som omfattas av vår översyn kom alltså till under en period då digitaliserad informationshantering inom den offentliga förvaltningen fortfarande var ett komplement till analog informationshantering.
I dag är digital informationshantering i stället en självklarhet och huvudregel inom den offentliga sektorn. Ärenden handläggs elektroniskt och inom myndigheternas verksamhet fattas beslut i stor utsträckning med olika digitala beslutsstöd. Enskilda och andra myndigheter kommunicerar vidare med Skatteverket, Tullverket och Kronofogdemyndigheten på elektronisk väg i stor omfattning. Inom unionsrätten finns vidare krav på att vissa digitala lösningar används i det unionsgemensamma samarbetet. Exempelvis är utgångspunkten inom det unionsrättsliga tullsamarbetet att all informationshantering ska vara digital. Det gäller både avseende informationsöverföring mellan privata aktörer och tullmyndigheterna, men även vid utbyte av information mellan myndigheterna inom EU.22 Arbetet med att öka effektiviteten i myndigheternas verksamhet och samverkan mellan myndigheterna samt att ge medborgarna en förbättrad service är dessutom i princip helt inriktat på att det ska ske på elektronisk väg.23 I dag är digital informationshantering alltså inte längre en avgränsad del av myndigheternas verksamhet som utförs åtskild från verksamheten i övrigt, som var fallet när den befintliga kompletterande dataskyddsregleringen infördes. I dag är digital informationshantering i stället helt integrerad i myndigheternas verksamhet och det går inte att särskilja den digitala informationshanteringen från verksamheten i sig.
Regeringen har uttalat att det i dagsläget mer eller mindre regelmässigt bör anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ
20 Jfr dir. 1998:2, Översyn av skatteförvaltningens och exekutionsväsendets registerförfattningar, s. 4–5, samt dir. 1996:43, Vissa frågor avseende de centrala person-, företags- och fastighetsdata-
registren, s. 9.
21Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 54–55. 22 Se avdelning IX i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen. 23SOU 2015:39, Myndighetsdatalag, s. 175.
för vare sig myndigheter eller företag.24 Regeringen har också sedan länge haft det uttalade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.25 Regeringen har 2018 uttalat att målet för digitaliseringen av den offentliga förvaltningen bl.a. är en enklare vardag för medborgare och högre kvalitet och effektivitet i verksamheten. Vidare har regeringen gjort bedömningen att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatpersoner och företag, samtidigt som säkerheten och skyddet för den personliga integriteten ska säkerställas.26I budgetpropositionen för 2023 har regeringen uttalat att det behövs en ambitionshöjning för att nå sagda mål. Sverige konstateras prestera över snittet i EU, men placerar sig efter de ledande länderna när det kommer till att använda digitaliseringens möjligheter, särskilt inom offentlig sektor. Regeringen har i sammanhanget påpekat att det faktum att flera andra länder lyckas bättre än Sverige trots sämre förutsättningar, visar på att Sverige ännu inte lyckats använda digitaliseringens möjligheter fullt ut.27 Regeringen har även uttalat att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt.28
Teknikneutralitet är en förutsättning för en ändamålsenlig dataskyddsreglering
Skyddet för fysiska personer bör enligt skäl 15 till dataskyddsförordningen vara teknikneutralt och inte beroende av den teknik som används. Frågan om vad som egentligen avses med en teknikneutral reglering inte har dock inte ett självklart svar. En sådan reglering kan vara neutral i den bemärkelsen att den inte pekar ut att en viss teknisk lösning ska användas, t.ex. e-post eller vanligt brev. Även en reglering som förefaller teknikneutral har dock ofta utformats med utgångspunkt i kommunikationssätt eller informationshantering i former som i dag inte längre används, eller endast används i begränsad omfattning. Det kan röra sig om att regleringen styr att viss information ska överföras från en aktör till en annan, exempelvis genom att förutsätta att en begäran inleder ett förfarande. Sådana bestämmelser kan visserligen
24Prop. 2017/18:105, Ny dataskyddslag, s. 47. 25 Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84. 26 Budgetpropositionen för 2019, prop. 2018/19:1 utg. omr. 2, s. 53. 27 Budgetpropositionen för 2023, prop. 2022/23:1, utg. omr. 22, s. 105. 28Prop. 2017/18:105, Ny dataskyddslag, s. 87.
sägas vara neutrala i förhållande till vilken teknik som används. En helt digital informationshantering väcker emellertid frågor även rörande sådana bestämmelser, eftersom den digitala tekniken möjliggör en i allt väsentligt annan typ av hantering av information än vad som var möjligt när förfarandet ursprungligen reglerades. Det kan alltså vid en helt digital hantering vara svårt att avgöra vad som ska anses utgöra en begäran. Bestämmelser som kan framstå som teknikneutrala kan därför behöva förändras om målsättningen är att de faktiskt ska vara det.29
I sammanhanget kan även påpekas att också viss reglering som inte är teknikneutral, utan som särskilt reglerar en viss digital lösning, kan komma att få en förändrad betydelse om de tekniska förutsättningarna för det avsedda förfarandet förändras. Ett tydligt exempel är begreppet utlämnande på medium för automatiserad behandling, vilket i dag avser exempelvis e-post eller direkt överföring från ett itsystem till ett annat, dvs. något helt annat än de magnetband och hålremsor som ursprungligen avsågs.30
Vid sidan om integritetshänsyn var målsättningar om bl.a. flexibilitet och teknikoberoende vägledande vid tidpunkten för de befintliga registerförfattningarnas tillkomst.31 Författningarna innehåller dock i flera fall begränsningar av myndigheternas möjlighet att kommunicera digitalt med enskilda, vilket innebär att exempelvis Skatteverket i flera situationer är hänvisat till att använda vanlig postgång när information ska lämnas till enskilda. Den särskilda databasregleringen, som innebär att uppgifter som används gemensamt i en verksamhet kringgärdas av särskilda regler, utgår dessutom från tekniska förutsättningar för myndigheternas interna informationshantering som är väsentligt skilda från de som föreligger i dag. Vilka möjligheter till kommunikation och övrig informationshantering som framtida teknik för med sig är lika svårt att förutse i dag som det var runt millennieskiftet. En utgångspunkt för vårt arbete bör därför vara att regleringen ska vara teknikneutral i så hög utsträckning som möjligt. Mot bakgrund av den snabba tekniska utvecklingen förefaller det vara en förutsättning för en ändamålsenlig dataskyddsreglering. I det ligger alltså inte enbart frågan om vilken terminologi som används, utan målsättningen om teknikneutralitet bör tillåtas påverka även vilka för-
29 Jfr SOU 2018 :25, Juridik som stöd för förvaltningens digitalisering, s. 127. 30Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen
m.m., s. 75.
31Prop. 2000/01:33, Personuppgiftsbehandling inom skatt, tull och exekution, s. 80–81.
faranden som över huvud taget regleras i den kompletterande dataskyddsregleringen.
5.2.6. En renodlad dataskyddsreglering
Vår bedömning: En utgångspunkt för vårt arbete bör vara att den
nya dataskyddsregleringen endast ska omfatta bestämmelser av dataskyddsrättslig art.
Skälen för vår bedömning
Myndigheternas verksamhet regleras i flera andra sammanhang
Som framgått ovan bör en generell utgångspunkt för vårt arbete vara att myndigheternas behandling av personuppgifter inte längre kan betraktas som en separat del av respektive verksamhet, enbart av den anledningen att behandlingen är automatiserad. Enligt vår mening innebär det bl.a. att den nya dataskyddsregleringen bör utformas utifrån att det finns många andra regelverk än det dataskyddsrättsliga som styr myndigheternas verksamhet. För att åstadkomma en ändamålsenlig kompletterande dataskyddsreglering behöver därför inte enbart vad som framgår av den allmänna dataskyddsregleringen tas i beaktande.
Framför allt bör en utgångspunkt vara att dataskyddsförordningens krav på att den rättsliga grunden för behandling ska vara fastställd är uppfyllt genom den reglering av myndigheternas verksamheter som framgår av unionsrätten och nationell rätt. Av de bestämmelser som styr myndigheternas verksamheter framgår i regel vilka förhållanden som tillmäts betydelse vid tillämpningen eller som är avgörande för en prövning, se kapitel 4. Att tillämpningen eller prövningen i dag sker med stöd av digital teknik behöver därför inte innebära att det finns ett behov av att exempelvis författningsreglera vilka uppgifter som får behandlas i syfte att utföra verksamheten. En begränsning av vilka uppgifter en myndighet får behandla automatiserat för att utföra sina uppgifter innebär nämligen också en begränsning av den materiella verksamhetsregleringen i sig, om verksamheten är helt digitaliserad.
Förvaltningslagens (2017:900) bestämmelser – med bl.a. krav på legalitet, objektivitet och proportionalitet – bör vidare beaktas, lik-
som det arkivrättsliga regelverket med bestämmelser om gallring och arkiv som framgår av arkivlagen (1990:782). Också myndighetsförordningen (2007:515) och andra regelverk som i olika hänseenden styr myndigheternas verksamhet bör beaktas. Även offentlighets- och sekretesslagens (2009:400) bestämmelser om sekretess i vissa fall, till skydd för enskildas personliga och ekonomiska förhållanden, måste tillmätas betydelse i frågan om det finns skäl att särskilt reglera viss behandling av personuppgifter.
I vilken mån kompletterande dataskyddsreglering behöver innehålla särskilda bestämmelser för att tillförsäkra enskilda ett adekvat integritetsskydd behöver övervägas mot bakgrund av sådana bestämmelser om rättigheter för enskilda och skyldigheter för myndigheter som finns i det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr myndigheternas verksamhet. Att behovet av kompletterande dataskyddsreglering övervägs i förhållande till hur myndigheternas verksamhet är reglerad i övrigt bör vara i överensstämmelse med de grunder som dataskyddsförordningen bygger på och ger uttryck för.
Kompletterande dataskyddsreglering bör inte innehålla bestämmelser om annat än dataskydd
Mot bakgrund av det som anges ovan bör en utgångspunkt för vårt arbete vara att en ändamålsenlig kompletterande dataskyddslagstiftning i så hög grad som möjligt enbart ska omfatta sådana bestämmelser av dataskyddsrättslig karaktär som av någon anledning är motiverade i den aktuella verksamheten. I de befintliga författningarna finns i dag bestämmelser om uppgiftsskyldighet, bestämmelser om gallring och bevarande samt bestämmelser om myndigheternas rätt att ta ut avgifter i vissa fall. Regelverket har med tiden blivit svåröverskådligt och det finns utrymme för olika tolkningar av bestämmelserna. Lagstiftningen har även uppfattats av myndigheterna som svårtillämpad, vilket till viss del borde vara relaterat till den stora variationen i förekommande bestämmelsers karaktär och syfte. En blandning av bestämmelser med olika funktion och rättslig karaktär som ibland dessutom överlappar varandra riskerar alltså att skapa en omotiverat komplex lagstiftning. Det nyss sagda gäller enligt vår mening särskilt bestämmelser som reglerar förhållanden som ligger nära de rena dataskyddsfrågorna, eftersom bestämmelsernas skiftande kar-
aktär och föremål kan medföra en osäkerhet kring deras innebörd. En reglering som innehåller bestämmelser av olika karaktär kan även skapa osäkerhet om dess innebörd i förhållande till andra rättsområden, exempelvis i frågor om uppgiftslämnande (jfr HFD 2021 ref. 10).
En utgångspunkt för arbetet med en ändamålsenlig reglering av Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter bör alltså vara att den inte ska syfta till att reglera respektive myndighets verksamhet utanför dataskyddsområdet. Regleringen bör i stället utformas så att den enbart tar sikte på att reglera dataskyddsrättsliga frågor, dvs. i första hand frågor rörande det behov av skydd för enskildas personliga integritet som den automatiserade behandlingen av personuppgifter ger upphov till. Förändringar som sker beträffande myndigheternas tekniska, organisatoriska eller rättsliga förutsättningar att behandla personuppgifter ska därmed inte ha betydelse på det sättet att innehållet i dataskyddsregleringen behöver ändras, om det inte finns sakliga skäl för det. Sådana sakliga skäl kan vara att en myndighet får ett helt nytt uppdrag, eller att en särskilt känslig form av behandling av exempelvis biometriska uppgifter behöver begränsas, och det inte är möjligt eller lämpligt av normtekniska skäl att införa en sådan begränsning i den materiella verksamhetsregleringen.
5.2.7. Enbart det som behöver regleras ska regleras
Vår bedömning: En utgångspunkt för vårt arbete bör vara att
enbart det som behöver regleras för att åstadkomma ett adekvat integritetsskydd ska regleras i kompletterande dataskyddsreglering. Regleringen bör ha en enhetlig utformning.
Skälen för vår bedömning
Enbart det som behöver regleras ska regleras
Syftet med sektorspecifika dataskyddsförfattningar är i regel att balansera en myndighets behov av att behandla personuppgifter i sin verksamhet mot ett adekvat skydd för den personliga integriteten. Så är
fallet även avseende de författningar som vår översyn omfattar.32Som nämnts ovan ska dock EU:s dataskyddsförordning i dag tillämpas av myndigheterna som om den vore en svensk lag, vilket enligt vår bedömning innebär att behovet av sektorspecifik kompletterande reglering har minskat. Dataskyddsförordningen innehåller nämligen redan bestämmelser om bl.a. rättslig grund, uppgiftsminimering, lagringsminimering, ändamålsbegränsningar och olika säkerhetsåtgärder som ska vidtas (se avsnitt 3.2.5). En utgångspunkt för vårt arbete bör därför vara att den kompletterande lagstiftningen endast ska omfatta bestämmelser som av någon anledning framstår som motiverade eller nödvändiga, trots att dataskyddsförordningen ska tillämpas av myndigheterna som svensk lag.
I syfte att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen är det tillåtet att i den nationella rätten bl.a. reglera de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling (artikel 6.3).
I vissa fall framstår det vidare som nödvändigt, och krävs dessutom enligt dataskyddsförordningen, att särskilt reglera vissa förhållanden med anknytning till dataskydd. Det gäller exempelvis de undantag från rätten att göra invändningar mot behandlingen enligt artikel 21.1 som är möjliga att göra enligt artikel 23, eller vid behandling av känsliga personuppgifter enligt artikel 9.2 g då den nationella rätten ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En sektorsspecifik reglering kan också krävas om den rättsliga grunden för behandling i enstaka fall inte är tillräcklig för att uppfylla dataskyddsförordningens krav på proportionalitet, eller tydlighet, precision och förutsebarhet (skäl 41 till dataskyddsförordningen).
Om en rättsregel hade gällt enligt överordnade normer, även utan motsvarande bestämmelse i kompletterande lagstiftning, anser vi dock att det bör finnas starka skäl för att införa motsvarande bestämmelse
32 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 229, Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket s. 34 och prop. 1997/98: 136, Statlig förvaltning i medborgarnas tjänst, s. 70–71.
också i den kompletterade dataskyddsregleringen. En dubbel- eller i vissa fall trippelreglering riskerar framför allt att skapa osäkerhet om vad som gäller i en viss fråga. Det gäller både vid myndigheternas tillämpning och för enskilda. Möjligheten för en enskild att kunna förstå vilka dataskyddsregler som styr behandlingen av uppgifter om honom eller henne hos respektive myndighet är enligt vår mening en faktor som bör tas i beaktande vid utformningen av kompletterande dataskyddsreglering. Överskådlighet och begriplighet är nämligen viktiga komponenter för enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket. En sektorsspecifik bestämmelse som motsvarar vad som annars hade gällt enligt dataskyddsförordningen riskerar att tolkas på ett annat sätt än motsvarade bestämmelse i dataskyddsförordningen både av tillämpare och enskilda. En intern praxis kan vidare utvecklas på myndighetsnivå avseende den kompletterande bestämmelsen eller så kan redan införandet av bestämmelsen ge upphov till en föreställning om att bestämmelsen är avgörande för att en viss åtgärd ska vara laglig eller tillåten.
Skäl som talar för att i den kompletterande lagstiftningen införa bestämmelser som motsvarar vad som redan gäller enligt dataskyddsförordningen kan vara att det finns ett behov av tydlighet i frågor som är centrala i den allmänna dataskyddsregleringeringen. Sådana bestämmelser kan då ha en stor betydelse för enskildas möjlighet att sätta sig in i vad som gäller på olika områden, exempelvis i fråga om vem som är personuppgiftsansvarig för viss behandling, i vilka syften den personuppgiftsansvarige får behandla uppgifter, förutsättningarna för vidarebehandling av redan insamlade uppgifter och den längsta tid personuppgifter får behandlas. Bestämmelser kan även motiveras av behovet att tydliggöra personuppgiftsansvariga myndigheters skyldigheter enligt dataskyddsförordningen.
Sammanfattningsvis bör också en mer ändamålsenlig kompletterande dataskyddsreglering än vad de befintliga registerförfattningarna utgör syfta till att balansera en myndighets behov av att behandla personuppgifter i sin verksamhet mot ett adekvat skydd för den personliga integriteten. Mot bakgrund av att dataskyddsförordningen är den primära rättskällan avseende dataskyddsfrågor – som ska tilllämpas direkt av myndigheterna – bör dock enbart det som särskilt behöver regleras i det nyss nämnda syftet återfinnas i de kompletterande dataskyddsförfattningarna.
En enhetlig utformning av den kompletterande regleringen
Den kompletterande regleringen bör enligt vår mening utformas på ett enhetligt sätt, även över myndighetsgränserna. Med detta avser vi att bestämmelser som reglerar samma förhållande, exempelvis för vilka ändamål en myndighet får behandla personuppgifter, bör utformas likartat så länge det inte finns sakliga skäl för att särreglera viss behandling. På så sätt kan både enskilda och tillämpare ges bättre möjligheter att överblicka och förstå det dataskyddsrättsliga regelverket. Vi bedömer även att en ökad enhetlighet i utformningen av den kompletterande dataskyddsregleringen kan minska riskerna för att sektorsspecifika bestämmelser på myndighetsnivå tolkas på ett annat sätt än i den allmänna dataskyddsregleringen. Genom en enhetlig utformning kan dessutom osäkerhet i fråga om en bestämmelses utformning medför att den har en annan innebörd än motsvarande bestämmelse i ett annat sammanhang undvikas. Det förefaller också troligt att praxisbildning i dataskyddsfrågor kan komma att underlättas av att bestämmelser i den kompletterande dataskyddsregleringen utformas likartat.
Sammanfattningsvis bör en utgångspunkt för vårt arbete vara att den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten ska utformas på ett enhetligt sätt. Målsättningen om enhetlighet bör dock bara genomföras i den utsträckning det är möjligt utifrån målsättningen om att regleringen ska utgöra ett adekvat skydd för den personliga integriteten.
6. Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
6.1. Inledning
I detta kapitel föreslår vi att de nuvarande lagarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter som omfattas av vårt uppdrag ska upphävas och ersättas av nya författningar som även de ska ha form av lag. Vi föreslår även att de förordningar som tillhör de gällande lagarna ska upphävas och att också de nya lagarna ska kompletteras av förordningar.
I kapitlet redogörs för våra bedömningar avseende vilken normgivningsnivå den nya dataskyddsregleringen kräver mot bakgrund av regeringsformens bestämmelser. Vi gör även bedömningen att Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling kan innebära särskilda risker ur ett integritetsperspektiv mot bakgrund av bl.a. omfattningen och arten av den behandling som utförs.
6.2. Gällande lagar ska upphävas och ersättas av nya
Vårt förslag: De nuvarande lagarna om Skatteverkets, Tullverkets
och Kronofogdemyndighetens behandling av personuppgifter ska upphävas och ersättas av nya författningar som även de ska ha form av lag.
Skälen för vårt förslag
De befintliga lagarna ska upphävas
Vår översyn av befintlig lagstiftning innebär att ett stort antal kapitel och paragrafer behöver ändras eller upphävas, eftersom vi föreslår att myndigheternas lagar om dataskydd ska ha en helt ny systematik. Detta kan resultera i en mycket svåröverskådlig lagstiftning. Det är vid sådana förhållanden fördelaktigt att upphäva den tidigare lagstiftningen och ersätta den med en ny. Det skulle även göra regleringen mer pedagogisk och överblickbar.
Mot denna bakgrund anser vi att följande lagar bör upphävas och ersättas med nya lagar (jfr 8 kap. 18 § regeringsformen, RF):
- lagen (1998:527) om det statliga personadressregistret
- lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet
- lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet
- lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
- lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet
- lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Särskilda motiveringar i fråga om varför vi föreslår att lagen om det statliga personadressregistret och lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska upphävas och ersättas av nya lagar finns i avsnitten 16.4.2 och 17.4.2.
Närmare motivering avseende behovet av att den nya regleringen ges i lagform finns nedan.
Regeringsformens bestämmelser om normgivning
I 1 kap. 2 § första stycket RF anges att den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet. I bestämmelsens fjärde stycke anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Bestämmelsen är en målsättningsparagraf för det allmännas verksamhet.1
I 8 kap. RF finns regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter kan också, efter bemyndigande av riksdagen eller regeringen, meddelas av andra myndigheter än regeringen och av kommuner. Ett bemyndigande att meddela föreskrifter ska alltid ges i lag eller förordning (8 kap. 1 § RF).
Föreskrifter ska bl.a. meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2 RF). Riksdagen kan dock bemyndiga regeringen att, med vissa undantag som inte är aktuella här, meddela sådana föreskrifter (8 kap. 3 § RF). Regeringen får i övrigt utan bemyndigande bl.a. meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § första stycket 2 RF). I denna paragraf regleras regeringens primärområde för normgivning, vilket brukar kallas regeringens restkompetens.2 Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 § RF).
Av 8 kap. 18 § första stycket RF framgår att en lag inte får ändras eller upphävas på annat sätt än genom lag. Det innebär att om riksdagen har stiftat en lag som reglerar en myndighets verksamhet inom ett visst område, kan lagen inte ändras eller upphävas på annat sätt än genom en ny lag. Detta oavsett om riksdagen har stiftat lagen inom ett område som annars enligt grundlag primärt faller inom regeringens kompetensområde.
Att det allmänna behandlar personuppgifter om enskilda har i andra lagstiftningsärenden inte ansetts innebära någon skyldighet för den
1Prop. 1975/76:209, om ändring i regeringsformen, s. 136–138. 2Prop. 2009/10:80, En reformerad grundlag, s. 216 och 272.
enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Generellt gäller att bestämmelser om behandling av personuppgifter i princip är att anse som bestämmelser som införs för att skydda den enskilde. Bestämmelser om behandling av personuppgifter som statliga myndigheter under regeringen utför har därmed i princip ansetts kunna beslutas av regeringen i förordningsform med stöd av restkompetensen.3 Utgångspunkten kan alltså sägas vara att bestämmelser om Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling inte behöver regleras i lag till följd av bestämmelserna om normgivning i 8 kap. RF.
Konstitutionsutskottet har dock uttryckt att det bör vara en målsättning att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll ska regleras genom lag. Regeringen har instämt i detta.4 Det kan ifrågasättas i vilken mån dessa uttalanden kan appliceras på myndigheters personuppgiftsbehandling som sådan, eller om uttalandena framför allt är hänförliga till förandet av regelrätta register, såsom t.ex. fastighetsregistret eller belastningsregistret.5
Skatteverket, Tullverket och Kronofogdemyndigheten behandlar visserligen uppgifter i olika uppgiftssamlingar och i förekommande fall register för att kunna fullgöra sina uppdrag. Det görs bl.a. i enlighet med den databasreglering som gäller i dag, vilken vi föreslår inte längre ska finnas kvar (se avsnitt 9.4.2). De uppgifter som behandlas enligt den gällande databasregleringen behöver dock inte vara på ett visst sätt organiserade eller systematiserade samlingar utan kan införas helt ostrukturerat och oorganiserat i en dator. Bland annat mot denna bakgrund infördes begreppet databas i stället för register i de nuvarande registerförfattningarna.6 Den behandling av personuppgifter som utförs vid berörda myndigheter avser med andra ord i huvudsak inte regelrätta register av den typ som nämns ovan eller register i en mer strikt betydelse, dvs. när uppgifterna är organiserade på ett systematiserat sätt enligt fastställda register7, se dock nedan avseende det statliga personadressregistret (SPAR). Regleringen avser i stället
3 Se bl.a. SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 202, prop. 2017/18:105,
Ny dataskyddslag, s. 26 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 116.
4 Bet. 1990/91:KU11, s. 11, bet. 1997/98:KU18, s. 48 samt prop. 1990/91:60, om offentlighet,
integritet och ADB, s. 58 och prop. 1997/98:44, Personuppgiftslag, s. 41.
5 Jfr SOU 2015:39, Myndighetsdatalag, s. 202. 6Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 89–91. 7 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 90.
att myndigheterna under vissa förutsättningar tillåts att behandla personuppgifter automatiserat, t.ex. avseende känsliga personuppgifter eller möjligheten att göra vissa sammanställningar. De uppgifter som tillåts behandlas (automatiserat) genom regleringen är enligt vår bedömning en nödvändig följd av den verksamhet som myndigheterna enligt andra regelverk är skyldiga att utföra. Regleringarna tillåter med andra ord inte behandling i större mån än vad som annars hade varit möjligt redan som en följd av EU:s dataskyddsförordning.8 Det är därför svårt att anse att sådana bestämmelser utgör ett ingrepp i enskilds personliga förhållanden på det sätt som avses i 8 kap. 2 § första stycket 2 RF. Detsamma gäller bestämmelser om t.ex. tillgång till personuppgifter och sökbegränsningar, vilka avser att skydda den registrerades personliga integritet. Inte heller bör ”neutrala” regler, som bl.a. reglerar tillämpningsområde och förhållandet till annan reglering, kunna anses vara sådana bestämmelser som träffas av nämnda bestämmelse i regeringsformen.
Detta innebär enligt vår mening att de föreslagna dataskyddsregleringarna inte i sig kan anses innebära några skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga förhållanden. Därmed bedömer vi att 8 kap. 2 § första stycket 2 RF inte kräver att de nya dataskyddsregleringarna ges form av lag. Som framgår ovan har det även i tidigare förarbeten ansetts att bestämmelser om behandling av personuppgifter som statliga myndigheter under regeringen utför i princip kan beslutas av regeringen i förordningsform. Det förhållandet att konstitutionsutskottet och regeringen i tidigare förarbeten ansett att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll som målsättning bör regleras genom lag påverkar enligt vår mening inte bedömningen av vad som i detta fall krävs enligt 8 kap. 2 § RF.
Detta resonemang gäller dock inte fullt ut avseende den föreslagna lagen om SPAR. I den lagen kommer nämligen fortsättningsvis de rättsregler som ger stöd för förandet av själva registret att finnas. Om registret innehåller känsliga personuppgifter skulle sådana regler av mer materiell karaktär, till skillnad från regler som avser att skydda enskildas integritet, i sig kunna utgöra ett ingrepp i enskildas person-
8 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Jfr SOU 2015:39, Myndighetsdatalag, s. 207.
liga förhållanden i enlighet med 8 kap. 2 § första stycket 2 RF.9 Så är dock inte fallet avseende SPAR. Eftersom det rör ett register som innefattar stora mängder uppgifter om enskilda registrerades personliga förhållanden kan det av detta skäl ändå, i linje med det ovan nämnda uttalandet från konstitutionsutskottet, vara det mest lämpliga att regleringen av registret ges lagform.
Regeringsformens skydd för den personliga integriteten
Utgångspunkten när det gäller frågan om myndigheters behandling av personuppgifter måste regleras genom lag blev till viss del en annan när ändringarna av regeringsformen trädde i kraft 2011. Genom ikraftträdandet av den nu gällande bestämmelsen i 2 kap. 6 § andra stycket RF utökades grundlagsskyddet för den personliga integriteten. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begreppet enskilds personliga förhållanden har enligt förarbetena till bestämmelsen samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).10
Enligt 2 kap. 20 § RF får skyddet endast begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Enligt denna bestämmelse får begränsningar enligt 20 § endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Bestämmelserna innebär att lagstiftaren noga ska redovisa sina syften när en fri- och rättighetsinskränkande lag beslutas.11
Även utanför området för det grundlagsreglerade integritetsskyddet kan det ställas krav på att ett intrång måste ha stöd i lag till följd av reglerna i bl.a. 8 kap. RF eller artikel 8 i Europakonventionen.12
9 Jfr SOU 2015:39, Myndighetsdatalag, s. 208 samt det ovan nämnda uttalandet från konstitutionsutskottet. 10 Se prop. 2009/10:80, En reformerad grundlag, s. 250. 11Prop. 1975/76:209, om ändring i regeringsformen, s. 153. 12 Prop. 2009/10 :80, En reformerad grundlag, s. 177.
Myndigheternas personuppgiftsbehandling omfattas av regeringsformens skydd mot betydande intrång i den personliga integriteten
Vid det ursprungliga ikraftträdandet av aktuella myndigheters nuvarande registerförfattningar hade ovan angivna bestämmelse i 2 kap. 6 § andra stycket RF ännu inte trätt i kraft. Frågorna berördes inte heller särskilt i samband den översyn av lagstiftningen som gjordes i samband med att EU:s dataskyddsförordning skulle börja tillämpas.13
Det kan konstateras att de personuppgifter som redan nu behandlas, och även fortsättningsvis kommer att få behandlas, rör enskildas personliga förhållanden enligt 2 kap. 6 § andra stycket RF. Begreppet personliga förhållanden har, som framgår ovan, samma innebörd som i sekretesslagstiftningen. Därmed omfattas bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av begreppet.14 Också uppgift om en persons ekonomi kan sägas falla under begreppet personliga förhållanden.15
Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är enligt motiven till bestämmelsen inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp.16 Vad gäller begreppet kartläggning av den enskildes personliga förhållanden anges bl.a. följande i förarbetena.17
En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande, kan – även om avsikten inte är att kartlägga enskilda – i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. […]
13 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till
EU:s dataskyddsförordning.
14Prop. 2009/10:80, En reformerad grundlag, s. 177. 15Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84. 16Prop. 2009/10:80, En reformerad grundlag, s. 250. 17Prop. 2009/10:80, En reformerad grundlag, s. 180.
Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshanteringen finns för t.ex. socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kustbevakningen samt hos domstolarna. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.
Vid aktuella myndigheter behandlas olika slags personuppgifter och behandlingen förutsätter insamling av personuppgifter som rör enskildas personliga förhållanden avseende stora delar av befolkningen. Som framgår ovan nämns i förarbetena bl.a. Skatteverkets, Tullverkets och Kronofogdemyndighetens uppgiftssamlingar som exempel på lagring och behandling av uppgifter som kan innebära kartläggning av enskildas förhållanden i regeringsformens mening.18 Genom våra förslag kommer det fortsatt finnas särskild reglering som närmare anger förutsättningarna för berörda myndigheters personuppgiftsbehandling.
För Skatteverkets del är det i vissa avseenden fråga om att behandla uppgifter om i princip samtliga personer som är bosatta i Sverige och därutöver ett stort antal svenska medborgare bosatta utomlands. Uppgifterna som behandlas är av varierande art, men rör till stor del enskildas personliga förhållanden. Det handlar både om uppgifter som i sig inte är särskilt känsliga, t.ex. uppgifter om adress eller arbetsgivare, men det kan också förekomma känsliga personuppgifter om bl.a. hälsa eller religiös övertygelse. Uppgifterna inom beskattningsverksamheten ger även en tydlig bild av den enskildes ekonomiska förhållanden, vilket typiskt sett gör dem integritetskänsliga. Det handlar bl.a. om kontrolluppgifter och uppgifter som lämnas av den enskilde på grund av den lagstadgade skyldigheten att lämna självdeklaration och även på grund av skyldigheten att medverka under en efterföljande skatteutredning.19 Vidare kan uppgifter som sedda för sig inte framstår som ett intrång uppfattas som detta när de samlas tillsammans med andra sådana uppgifter. Detta får anses
18Prop. 2009/10:80, En reformerad grundlag, s. 180. 19 Jfr prop. 2005/06:169, Effektivare skattekontroll m.m., s. 82.
innebära ett större integritetsintrång som från integritetssynpunkt kan medföra särskilda risker. Med hänsyn till omfattningen och arten av Skatteverkets verksamhet bedömer vi att stora delar av Skatteverkets personuppgiftsbehandling får den effekten att det kan anses utgöra kartläggning av enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF.
I jämförelse med Skatteverket behandlar Tullverket färre uppgifter om enskildas personliga förhållanden, eftersom en stor del av behandlingen avser uppgifter om juridiska personer vilka förekommer i t.ex. import- och exportdeklarationer. Enskilda kommer inte heller i kontakt med Tullverket i motsvarande utsträckning, vilket får till följd att myndigheten inte behandlar uppgifter om en lika stor del av befolkningen som Skatteverket. Även fysiska personer behöver dock i vissa fall exempelvis betala tull, moms eller andra skatter och avgifter vid import eller införsel av varor. Andelen fysiska personer som köper varor från tredjeland har även ökat den senaste tiden. Denna verksamhet föranleder behandling av uppgifter om enskilda fysiska personers personliga förhållanden, såsom namn, adress, personnummer och uppgifter som ingår i underlag för tull, annan skatt och avgifter. Det finns även inom Tullverket en relativt stor del uppgifter som ger en bild av enskildas ekonomiska förhållanden och som därmed i vissa fall typiskt sett bör anses vara känsliga från integritetssynpunkt, även om det inte är lika omfattande som inom Skatteverkets beskattningsverksamhet. I Tullverkets verksamhet kan det vidare förekomma behandling av känsliga personuppgifter om bl.a. etnicitet, religiös övertygelse eller hälsa. Uppgifterna kan tillsammans innebära att behandlingen även inom Tullverkets verksamhet kan medföra integritetsrisker. Vidare kan även uppgifter om juridiska personer innehålla personuppgifter i form av t.ex. uppgifter om ett företags företrädare. Trots den mindre omfattningen av behandlingen av uppgifter om enskilda fysiska personers personliga förhållanden, bedömer vi att Tullverkets verksamhet är sådan att den personuppgiftsbehandling som utförs i vissa fall kan få den effekten att enskildas personliga förhållanden kartläggs.
Även Kronofogdemyndigheten behandlar stora mängder personuppgifter i sin verksamhet. Kronofogdemyndighetens verksamhet är dock mer begränsad än den som Skatteverket och Tullverket ansvarar för. De personuppgifter som aktualiseras avser främst de personer som har eller har haft betalningssvårigheter, eller som av annan an-
ledning kommit i kontakt med myndigheten.20 Även uppgifter om bl.a. konkursförvaltare och parter i mål om betalningsföreläggande behandlas inom myndighetens verksamhet. De uppgifter som behandlas om fysiska personer avser bl.a. uppgifter om enskildas identitet och adressuppgifter, men även uppgifter om hälsa som förekommer i t.ex. läkarintyg eller skrivelser från enskilda. Kronofogdemyndigheten har även inom ramen för sin verksamhet möjlighet att kartlägga en gäldenärs ekonomiska förhållanden på ett sätt som ger en helhetsbild som kan upplevas integritetskänslig.21 Inom t.ex. verksamheten med att verkställa betalningsförpliktelser görs i vissa fall utredningar för att klarlägga gäldenärens inkomst- och anställningsförhållanden, familjeförhållanden och försörjningsbörda samt ta reda på om gäldenären har några utmätningsbara tillgångar. Omfattningen av undersökningen är beroende av ansökans innehåll, gäldenärens förhållanden och övriga omständigheter. Undersökningen görs i stor utsträckning genom efterforskning i olika databaser och andra register samt kontakt med gäldenären. Kronofogdemyndigheten kan även genomföra förrättning i gäldenärens bostad och eventuell verksamhetslokal.22
I en gäldenärsutredning kan ingå uppgifter från deklarationshandlingar och mer ömtåliga uppgifter om exempelvis anstaltsvistelser, arbetslöshet och sjukdomar.23 I samband med att lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet infördes, stärktes även sekretessen i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt den dåvarande lagen (1986:436) om näringsförbud24 från ett rakt skaderekvisit, dvs. presumtion för offentlighet, till ett omvänt skaderekvisit vilket innebär presumtion för sekretess. Skälen till detta var den ökade insamlingen av uppgifter om gäldenärers tillgångar och skulder som hade inneburit att mängder av integritetskänslig information samlats hos myndigheten samt myndighetens ökade möjligheter att kartlägga gäldenärers ekonomiska förhållanden med betydligt större precision än tidigare.25
Vi anser att det är tydligt att det även inom Kronofogdemyndighetens verksamhet förekommer uppgifter om enskildas ekonomiska
20 Exempelvis var vid utgången av 2022 antalet skuldsatta, både fysiska och juridiska personer, 461 000 varav 85 procent var privatpersoner, se Kronofogdemyndighetens årsredovisning 2022, s. 8 och 25. 21 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 186–187. 22Prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 121. 23SOU 2007:22, Skyddet för den personliga integriteten – kartläggning och analys, s. 132–133. 24 Lagen har upphävts och ersatts av lagen (2014:836) om näringsförbud. 25Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 185–188.
förhållanden som måste anses vara integritetskänsliga, även om inte vissa enskilda uppgifter var för sig är det. Sammantaget innefattar alltså även Kronofogdemyndighetens uppgiftssamling en stor mängd uppgifter om enskildas personliga förhållanden. Omfattningen och arten av verksamheten är enligt vår mening också vid Kronofogdemyndigheten sådan att enskilda i vissa fall kartläggs på det sätt som avses i 2 kap. 6 § andra stycket RF.
Skatteverket, Tullverket och Kronofogdemyndigheten kommer genom våra förslag även att ges utökade möjligheter att behandla personuppgifter för att göra dataanalyser och urval för kontrolländamål, och för Kronofogdemyndighetens del även för att motverka överskuldsättning. Användningen av dessa verktyg förutsätter att stora mängder uppgifter som myndigheterna förfogar över och kan samla in om enskilda behandlas för att ta fram urvalsträffar. Uppgifternas karaktär varierar mellan de olika myndigheterna till följd av de olika uppdragen, vilket beskrivits ovan. Förfarandet vid dataanalyser och urval är dock sådant att uppgifterna genom sambearbetning kan komma att skapa en bild av en enskilds personliga förhållanden som är mer heltäckande än vid t.ex. handläggning av ett enskilt ärende. Det kan i sin tur enligt vår bedömning innebära att enskilda kartläggs.
Även om syftet med Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling är ett annat, får den personuppgiftsbehandling som sker inom ramen för myndigheternas verksamheter enligt vår bedömning anses vara en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket RF. Frågan blir då om intrånget är att bedöma som så betydande att det omfattas av grundlagsskyddet. Det är endast vissa kvalificerade intrång som aktualiserar en tillämpning av grundlagsskyddet.
Vid bedömningen av vad som kan anses utgöra ett betydande intrång anges i förarbetena att flera omständigheter bör vägas in. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av
kvaliteten i handläggningen. Därutöver kan mängden uppgifter vara en betydelsefull faktor i sammanhanget, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen. I förarbetena framgår även att sekretesslagstiftningens styrka avseende uppgifter i en viss myndighets verksamhet inte i sig bör utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller inom eller utanför det utvidgade grundlagsskyddet. Det förhållandet att de uppgifter som behandlas omfattas av stark sekretess utgör alltså inte en omständighet som med automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av grundlagsbestämmelsens tillämpningsområde. Även andra omständigheter måste beaktas, t.ex. på vilket sätt och för vilka syften mottagaren av uppgifterna hanterar utlämnade uppgifter.26
Vidare anges i förarbetena att vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld. I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag och med tillämpning av det kvalificerade förfarandet vid inskränkningar av de grundläggande fri- och rättigheterna i 2 kap. 22 § RF.27 I 2 kap. 22 § första stycket RF anges att ett förslag till lag enligt 20 § ska, om det inte avslås av riksdagen, på yrkande av lägst tio av dess ledamöter vila i minst tolv månader från det att det första utskottsyttrandet över förslaget anmäldes i riksdagens kammare. Riksdagen får dock anta förslaget direkt, om minst fem sjättedelar av de röstande enas om beslutet.
Myndigheterna har inom ramen för sina uppdrag uppgiftssamlingar som innefattar uppgifter om stora mängder fysiska personer, även om omfattningen till viss del varierar. Myndigheternas verksamheter består till stora delar av vad som får sägas vara ingripande myndighetsutövning mot enskilda, såsom beskattning, registrering av enskildas personliga förhållanden i folkbokföringen och indrivning av skulder. Uppdragen medför även viss behandling av känsliga personuppgifter. Den tekniska utvecklingen har under senare år varit sådan att det i dag bl.a. är möjligt att på ett relativt enkelt sätt åstadkomma precisa sammanställningar av stora mängder personuppgifter.
26Prop. 2009/10:80, En reformerad grundlag, s. 183–184. 27Prop. 2009/10:80, En reformerad grundlag, s. 185.
Med beaktande av framför allt uppgifternas karaktär, samt ändamålen med och omfattningen av behandlingen, är det vår bedömning att i vart fall delar av myndigheternas personuppgiftsbehandling innebär ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket RF.
Regeringsformens skydd mot betydande intrång i den personliga integriteten får begränsas
Som framgår ovan följer av 2 kap. 20 och 21 §§ RF att enskildas skydd mot intrång som innebär övervakning och kartläggning av den enskildes personliga förhållanden får begränsas genom lag. Begränsningar får dock endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
För att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive verksamheter är det av vikt att myndigheterna även framöver kan behandla personuppgifter automatiserat. Myndigheterna utför viktiga samhällsuppgifter. Skatteverkets uppgifter är bl.a. att fastställa och ta ut skatter och avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ansvarar vidare för bl.a. frågor om folkbokföring, äktenskapsregistret och fastighetstaxering, samt att registrera bouppteckningar och vara borgenär åt staten. Tullverkets uppgifter är bl.a. att fastställa och ta ut tullavgifter, punktskatter och kontrollavgifter, samt att övervaka och kontrollera trafiken till och från Sverige, t.ex. för att se till att inga varor som kan utgöra fara för liv eller hälsa förs in i landet. Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Det rör alltså uppgifter som är viktiga med hänsyn till landets ekonomiska välstånd, men även till viss del med hänsyn till förebyggande av oordning eller brott och den nationella säkerheten.28 En begränsning av skyddet i 2 kap. 6 § andra stycket RF för ändamålen att myndigheterna även fortsättningsvis kan fullgöra sina
28 Jfr artikel 8.2 i Europakonventionen.
åligganden är enligt vår uppfattning godtagbart i ett demokratiskt samhälle.
Vid en proportionalitetsbedömning ska den enskildes rätt till personlig integritet vägas mot det allmännas intresse av att genomföra en viss åtgärd. Proportionalitetsbedömningen gör sig gällande vid all personuppgiftsbehandling hos myndigheterna.
De begränsningar i skyddet för enskildas personliga integritet i 2 kap. 6 § andra stycket RF som Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling kan medföra i vissa fall, är till stor del en följd av den behandling som krävs enligt materiell verksamhetsreglering i t.ex. skatteförfarandelagen (2011:1244), folkbokföringslagen (1991:481), tullagen (2016:253) eller lagen (1990:746) om betalningsföreläggande och handräckning. Den behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten bedöms vara nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina samhällsviktiga uppgifter. Den föreslagna dataskyddsregleringen tillåter inte myndigheterna att samla in eller på annat sätt behandla personuppgifter i större omfattning än vad som följer av EU:s dataskyddsförordning, vilken gäller som lag i Sverige. Vissa bestämmelser kommer snarare att inskränka möjligheterna till viss behandling, såsom sökbegränsningar. Flertalet andra föreslagna bestämmelser införs för att skydda enskildas personliga integritet. Den utökade möjligheten att behandla uppgifter för dataanalyser och urval är noggrant avvägd utifrån myndigheternas behov och bedöms vara nödvändig i myndigheternas kontrollverksamhet. I denna verksamhet föreslås också särskilda skydds- och säkerhetsåtgärder.29 Vidare har integritetsintresset haft betydelse vid utformningen av de sekretessregler som föreslås, vilket bl.a. innefattar absolut sekretess för uppgifter om enskildas personliga eller ekonomiska förhållanden i verksamhet med dataanalyser och urval.30
I avsnitt 19.3 finns en samlad integritets- och proportionalitetsbedömning av våra förslag. Utöver detta finns löpande redogörelser för integritetsaspekterna och proportionalitetsbedömningar avseende de olika sakfrågorna.
29 Se avsnitt 14.11. 30 Se avsnitt 15.3.
Den föreslagna regleringen bedöms sammantaget vara väl avvägd och ytterligare begränsningar behövs därmed inte för att tillgodose proportionalitetskravet.
Myndigheternas behandling av personuppgifter ska regleras i nya författningar som ges lagform
Den automatiserade personuppgiftsbehandlingen vid Skatteverket, Tullverket och Kronofogdemyndigheten som omfattas av vårt uppdrag regleras för närvarande i lagar, med tillhörande förordningar. Det är viktigt att den personuppgiftsbehandling som sker i myndigheternas verksamheter utförs på ett sätt som säkerställer ett tillräckligt skydd för den personliga integriteten för de enskilda som berörs av behandling. Av nämnda skäl är det av stor vikt att det även framöver tydligt framgår hur myndigheterna får behandla personuppgifter och detta bör därför vara utgångspunkten vid utformningen av den uppdaterade regleringen för respektive myndighet.
En lagreglering kan bidra till stabilitet och långsiktig förutsebarhet i fråga om myndigheternas personuppgiftsbehandling. Även om 8 kap. RF inte kräver att myndigheternas personuppgiftsbehandling regleras i lag kan det därmed finnas flera fördelar med att så görs. Vidare har vi ovan konstaterat att i vart fall delar av Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling omfattas av det grundlagsreglerade skyddet för den personliga integriteten i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna dataskyddsregleringen måste ges i lagform.
Lagarna bör syfta till att åstadkomma en jämvikt mellan myndighetens behov av effektiva arbetsformer och ett omfattande skydd för enskildas personliga integritet. Enligt vår uppfattning är det ramarna för personuppgiftsbehandlingen som ska slås fast i lag. Även de bestämmelser som är av central betydelse för integritetsskyddet bör vara reglerade i lag.31
Vi anser att det bör finnas samma antal lagar för de verksamheter vid Skatteverket, Tullverket och Kronofogdemyndigheten som i dag omfattas av särskilda lagar avseende behandling av personuppgifter.
31 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 118–119.
Övergripande om innehållet i lagarna och dess systematik
Vi har i avsnitt 5.2 redogjort för ett antal allmänna utgångspunkter för vad vi anser är en ändamålsenlig och modern kompletterande dataskyddsreglering. Regleringen ska enligt vår mening vara teknikneutral och innehålla en minskad detaljreglering i förhållande till de nuvarande registerlagarna. Vidare är vår utgångspunkt att lagarna inte ska innehålla bestämmelser som inte utgör regler om dataskydd. Lagarna ska alltså enbart innehålla dataskyddsregler. Detta innebär att lagarna, med undantag för den lag som reglerar SPAR, därmed inte längre kommer att utgöra en sådan typ av fullständig registerförfattning som i dag gäller för bl.a. Skatteverket, Tullverket och Kronofogdemyndigheten.
Bestämmelserna i lagarna ska komplettera EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. De kommer alltså inte att vara tillämpliga i Skatteverkets och Tullverkets brottsbekämpande verksamheter. Vissa av de föreslagna bestämmelserna är sådana som enligt dataskyddsförordningen är en förutsättning för behandling, medan andra är regler som inte har någon motsvarighet i dataskyddsförordningen, t.ex. bestämmelser om utlämnande av personuppgifter i elektronisk form eller sökbegränsningar. Ytterligare andra bestämmelser utgör snarare tydliggörande av vad som gäller för myndigheternas behandling av personuppgifter i den mån vi bedömer att det är tillåtet enligt dataskyddsförordningen.
Vidare behöver det också i vissa fall finnas sektorspecifika bestämmelser som enbart gäller för en av de berörda myndigheterna till följd av de olika verksamheternas karaktär, t.ex. särskilda bestämmelser om rättelse i Kronofogdemyndighetens verksamhet.
Lagarna ska ta hänsyn till de övergripande syften som slås fast i EU:s dataskyddsförordning, dvs. skyddet för fysiska personer med avseende på behandlingen av personuppgifter och det fria flödet av personuppgifter.
I likhet med vad som gäller enligt dagens lagstiftning bör de olika lagarna enligt vår mening följa i huvudsak samma systematik, med undantag för lagen om det statliga personadressregistret eftersom den till skillnad från övriga föreslagna lagar har viss karaktär av materiell verksamhetslagstiftning. Lagarnas systematik bör även så långt som möjligt följa den som finns i nyare dataskyddsregleringar avseende andra myndigheter, i syfte att öka enhetligheten och underlätta tillämpningen av lagarna.
6.3. Lagarnas namn
Vårt förslag: De nya lagarna ska benämnas beskattningsdatalag,
folkbokföringsdatalag, lag om det statliga personadressregistret, lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, tulldatalag respektive kronofogdedatalag.
Hänvisningar till motsvarande nu gällande lagar i andra författningar ska ändras till de nya lagarnas namn. Hänvisningar i andra författningar till de nuvarande särskilda databaserna ska också ändras.
Skälen för vårt förslag
Våra allmänna utgångspunkter är att lagarna ska komplettera dataskyddsförordningen och enbart innehålla bestämmelser om dataskydd. Vidare sker myndigheternas behandling av personuppgifter i dag i princip uteslutande på automatiserad väg. Detta bör avspeglas i de nya lagarnas namn.
Vi anser därför att de lagar som ska vara tillämpliga i Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, vid förandet av det statliga personadressregistret respektive i Tullverkets verksamhet och Kronofogdemyndighetens verksamhet ska benämnas på följande sätt:
- beskattningsdatalag
- folkbokföringsdatalag
- lag om det statliga personadressregistret
- lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
- tulldatalag
- kronofogdedatalag.
Med undantag från lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter samt lagen om det statliga personadressregistret är namnen kortare än de nuvarande register-
lagarnas namn, vilket är en fördel. Namnen passar enligt vår mening väl även ihop med den förkortning som lagen med kompletterande bestämmelser till EU:s dataskyddsförordning brukar ges, dvs. dataskyddslagen.
När det gäller lagen som ska tillämpas vid behandling av personuppgifter i SPAR kommer den genom våra förslag fortsatt att innehålla vissa regler som utgör materiell verksamhetsreglering vid sidan av rena dataskyddsregler (se avsnitt 16.4.2). Vi anser därför att den lag som reglerar SPAR fortsatt bör benämnas lagen om det statliga personadressregistret.
Alla hänvisningar till motsvarande lagar som gäller i dag som finns i andra författningar ska ändras till de nya lagarnas namn. I avsnitt 9.4.2 föreslår vi att den nuvarande databasregleringen ska upphävas och inte ersättas av bestämmelser av motsvarande innebörd i de nya lagarna. Det innebär att även hänvisningar i andra författningar till de särskilda databaserna ska ändras.
6.4. Gällande förordningar ska upphävas och ersättas av nya
Vårt förslag: De nuvarande förordningarna om Skatteverkets,
Tullverkets och Kronofogdemyndighetens behandling av personuppgifter ska upphävas och ersättas av nya förordningar som kompletterar de föreslagna lagarna.
Det finns i vissa fall behov av bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som kompletterar bestämmelser i de nya lagarna. Sådana bestämmelser ska därför införas i lag där det bedöms finnas ett behov av det.
I de nya förordningarna ska det tas in en bestämmelse som bemyndigar respektive myndighet att meddela föreskrifter om verkställigheten av de nya lagarna och förordningarna.
Vår bedömning: Någon generell upplysningsbestämmelse om
regeringens normgivningskompetens behöver inte tas in i de nya lagarna.
Skälen för vårt förslag och vår bedömning
Gällande förordningar bör upphävas och ersättas av nya
Mot bakgrund av att vi föreslår att de nu gällande registerlagarna för Skatteverket, Tullverket och Kronofogdemyndigheten ska upphöra att gälla, föreslår vi även att de förordningar32 som i dag kompletterar gällande registerlagar ska upphävas. Särskilda motiveringar i fråga om SPAR och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter finns i avsnitten 16.4.2 och 17.4.10.
Vi har i avsnitt 6.2 bedömt att myndigheternas behandling av personuppgifter fortsatt ska regleras i lag. På detta sätt åstadkoms ett fortsatt starkt integritetsskydd för uppgifter om enskilda.
Mot bakgrund av vad som anges i avsnitt 6.2 bedömer vi att det även finns utrymme att i viss utsträckning reglera myndigheternas personuppgiftsbehandling på annan normgivningsnivå, framför allt förordning och föreskrifter. Detta är en fördel då vi anser att de nya lagarna inte bör tyngas med alltför detaljerade bestämmelser.
Lagregleringen avseende Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling bör mot denna bakgrund kompletteras med bestämmelser som meddelas genom förordning med stöd av 8 kap. 7 § RF, dvs. regeringens restkompetens. De föreskrifter som regeringen meddelar får dock inte innebära ett betydande intrång i den personliga integriteten (jfr 2 kap. 6 § andra stycket och 20 § RF).
Upplysningsbestämmelser om rätt att meddela föreskrifter
Mot bakgrund av att det följer av regleringen i 8 kap. RF att kompletterande bestämmelser kan finnas i förordning, bedömer vi att det inte finns något behov av att ta in en generell upplysningsbestämmelse om regeringens normgivningskompetens i lagarna.33
32 Förordningen (1998:1234) om det statliga personadressregistret, förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. 33 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 119.
Detta utesluter dock inte att det avseende vissa bestämmelser i lagarna av tydlighetsskäl kan finnas ett behov av att upplysa om regeringens eller myndigheters rätt att med stöd av 8 kap. 7 § RF meddela vissa föreskrifter som kompletterar bestämmelser i de nya lagarna. Så är t.ex. fallet avseende de föreslagna bestämmelserna i lag som reglerar den längsta tid som personuppgifter får behandlas. En sådan information kan vara särskilt angelägen om en tillämpare får en felaktig uppfattning genom att bara läsa lagbestämmelserna i ämnet och det därigenom riskeras att bestämmelserna tillämpas fel.34 Vidare framgår av en dom från Högsta förvaltningsdomstolen att i vissa fall kan en upplysningsbestämmelse sägas ha en materiell funktion, eftersom regeringen utan en sådan bestämmelse kan vara förhindrad att med stöd av restkompetensen meddela föreskrifter i fall då riksdagen har lagstiftat på området för regeringens restkompetens. Genom bestämmelsens avgränsning tydliggörs i vad mån regeringen kan använda sig av restkompetensen på området (HFD 2023 ref. 2).
Vi föreslår mot denna bakgrund att sådana upplysningsbestämmelser tas in i lagarna där det bedöms finnas ett behov av det.
Bemyndigande till myndigheterna att meddela verkställighetsföreskrifter
I 8 kap. 11 § RF anges bl.a. att regeringen får bemyndiga en myndighet under regeringen eller någon av riksdagens myndigheter att meddela föreskrifter enligt 8 kap. 7 § RF. Det innebär att regeringen kan överlåta den normgivningskompetens som regeringen har enligt 8 kap. 7 § RF, dvs. att meddela föreskrifter om verkställighet av lag (s.k. verkställighetsföreskrifter) samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen (den s.k. restkompetensen).
Med verkställighetsföreskrifter avses tillämpningsföreskrifter av rent administrativ karaktär och föreskrifter som i viss utsträckning i materiellt hänseende ”fyller ut” en lag under förutsättning att regleringen inte tillförs något väsentligt nytt. Verkställighetsföreskrifter får alltså inte innebära ett nytt åliggande för enskilda eller något som kan betraktas som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden.35
34Ds 2014:1, Gröna boken – Riktlinjer för författningsskrivning, s. 90. 35Prop. 1973:90, Kungl. Maj:ts proposition med förslag till ny regeringsform och ny riksdags-
ordning m.m., s. 211.
I de nuvarande registerförordningarna för Skatteverket, Tullverket och Kronofogdemyndigheten finns bestämmelser som innebär att regeringen har bemyndigat respektive myndighet att meddela föreskrifter om verkställighet av bestämmelserna i de gällande registerlagarna och tillhörande förordningarna, dvs. verkställighetsföreskrifter.36 Föreskriftsrätten har endast i begränsad omfattning utnyttjats av myndigheterna.37
Vi bedömer att det inte kan uteslutas att det kan uppstå ett behov för myndigheterna att meddela föreskrifter avseende verkställigheten av de nya lagarna och förordningarna. Det har inte heller kommit fram några särskilda skäl mot att ha ett sådant bemyndigande i de nya förordningarna i likhet med vad som gäller enligt de nuvarande registerförordningarna. Mot denna bakgrund anser vi att det i de nya förordningarna ska tas in en bestämmelse som bemyndigar respektive myndighet att meddela föreskrifter om verkställigheten av de nya lagarna och förordningarna.
I avsnitten 16.4.9 och 17.4.10 finns särskilda motiveringar i fråga om behovet av att ha bemyndiganden som ger Skatteverket rätt att meddela föreskrifter i den föreslagna regleringen av SPAR och äktenskapsregister- och bouppteckningsverksamheterna.
36 Se 17 § andra stycket förordningen om det statliga personadressregistret, 24 § förordningen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 19 § förordningen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 20 § förordningen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 10 § förordningen om behandling av uppgifter i Tullverkets verksamhet och 5 § förordningen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. 37 Se t.ex. föreskrifter (TFS 2021:5) om ändring i Tullverkets föreskrifter (TFS 2016:21) om tjänsten Mina sidor och enskilds direktåtkomst till uppgifter om sig själv i tulldatabasen.
7. Allmänna bestämmelser om personuppgiftsbehandling
7.1. Inledning
I detta kapitel redovisar vi våra förslag till de allmänna bestämmelser om personuppgiftsbehandling vi anser ska gälla i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter.
I kapitlet finns förslag om att det ska införas bestämmelser i de nya lagarna om respektive lags syfte, tillämpningsområden och förhållande till annan reglering. Vi gör bl.a. bedömningen att uppgifter om juridiska personer och avlidna, med vissa undantag för Kronofogdemyndigheten, inte ska omfattas av de nya lagarnas tillämpningsområden. Vi föreslår också att de nya lagarna i Skatteverkets beskattningsverksamhet och i Tullverkets samt Kronofogdemyndighetens verksamheter inte ska gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. I fråga om de nya lagarnas materiella tillämpningsområden anser vi att dessa inte bör skilja sig från vad som gäller enligt de nuvarande registerlagarna, med undantag för viss verksamhet hänförlig till Skatteverkets folkbokföringsverksamhet som utförs av passmyndigheterna.
Vidare föreslås i kapitlet reglering av personuppgiftsansvar, tillgången till personuppgifter och enskildas rättigheter. Viss reglering föreslås införas i lag och annan reglering i förordning.
Frågor om liknande bestämmelser som behandlas i detta kapitel avseende det statliga personadressregistret (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas separat i avsnitten 16.4 och 17.4.
7.2. Lagarnas syfte
Vårt förslag: Syftet med beskattningsdatalagen, folkbokförings-
datalagen, tulldatalagen och kronofogdedatalagen ska vara att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Skälen för vårt förslag
Sedan den 25 maj 2018 utgör EU:s dataskyddsförordning1 den primära generella rättskällan avseende personuppgiftsbehandling inom EU. De kompletteringar till och undantag från dataskyddsförordningen som ansetts behövliga på ett generellt plan finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. I artikel 1.1 i dataskyddsförordningen framgår förordningens syfte, vilket är tvådelat. Artikeln föreskriver att i förordningen fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter.
Bestämmelser om en lags syfte finns i vissa moderna registerförfattningar (se t.ex. 1 § domstolsdatalagen [2015:728], 1 § utlänningsdatalagen [2016:27], 1 § vägtrafikdatalagen [2019:369] och 1 § brottsdatalagen [2018:1177]). I ytterligare andra nyare registerförfattningar har lagstiftaren dock valt att inte införa bestämmelser om en lags syfte (se t.ex. lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter och lagen [2023:457] om behandling av personuppgifter vid Utbetalningsmyndigheten).
Syftesbestämmelser saknar visserligen eget materiellt innehåll, men kan enligt vår mening ändå fylla en viktig funktion, eftersom de ger vägledning angående hur de materiella bestämmelserna i en författning ska tolkas. När det gäller just sektorspecifik dataskyddsreglering är syftet dessutom i regel tvådelat. Dessa författningar syftar dels till att möjliggöra en ändamålsenlig personuppgiftsbehandling vid en myndighet eller annat organ, dels till att skydda enskilda mot integ-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
ritetsintrång. En syftesbestämmelse kan att på ett tydligt sätt klargöra ett sådant dubbelt syfte.2
Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets och Kronofogdemyndighetens verksamheter medför ett behov av i vissa fall omfattande behandling av personuppgifter, även känslig sådan. En sådan hantering kan innebära en risk för intrång i den personliga integriteten. Vid utformningen av lagarna måste en väl avvägd balans hittas mellan å ena sidan enskildas rätt till skydd av personuppgifter och å andra sidan samhällets rättmätiga krav på att berörda myndigheters verksamheter kan bedrivas på ett effektivt och välordnat sätt.3 Våra förslag till nya lagar syftar till att möjliggöra en ändamålsenlig personuppgiftsbehandling vid berörda myndigheter. Ett av lagarnas syften är alltså att säkerställa att myndigheterna har de rättsliga förutsättningarna för att kunna utföra nödvändig personuppgiftsbehandling inom ramen för sina respektive verksamheter. De nya lagarna syftar även till att skydda fysiska personer mot att deras personliga integritet kränks vid myndigheternas behandling av personuppgifter.
För att på ett tydligt sätt klargöra lagarnas tvådelade syften anser vi att lagarna ska innehålla en syftesbestämmelse. Bestämmelserna ska formuleras som att syftet med respektive lag är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
7.3. Definitioner
Vår bedömning: Det bör inte införas några särskilda bestämmel-
ser om definitioner i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen eller kronofogdedatalagen.
Vårt förslag: Det ska i beskattningsdataförordningen, folkbok-
föringsdataförordningen, tulldataförordningen och kronofogdedataförordningen finnas en bestämmelse som anger att ord och uttryck i respektive förordning har samma betydelse som i de tillhörande lagarna.
2 Jfr prop. 2014/15:148, Domstolsdatalag, s. 29. 3 Jfr prop. 2015/16:65, Utlänningsdatalag, s. 38 och prop. 2018/19:33, Behandling av person-
uppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 62.
Skälen för vår bedömning och vårt förslag
Definitioner bör inte regleras i lag
Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), innehåller i dag i 1 kap. 1 a § en bestämmelse som anger att termer och uttryck som används i den lagen har samma innebörd som i inkomstskattelagen (1999:1229). Av förarbetena framgår att genom införandet av bestämmelsen klargörs att lagens termer och uttryck har samma betydelse och tillämpningsområde som de har i inkomstskattelagen.4
Förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF), förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF), förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF) och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), innehåller bestämmelser där det anges att termer och uttryck i förordningarna har samma betydelse, respektive innebörd, och tillämpningsområde som i tillhörande lagar.
Den bestämmelse om definitioner som i dag finns i skattedatabaslagen utgör endast klargöranden och fyller därför inte något egentligt behov i lagen. Den nuvarande definitionsbestämmelsen, vilken hänvisar till en annan lag som inte har koppling till registerförfattningarna, bör inte heller kunna anses vara komplett bl.a. mot bakgrund av att vissa termer och uttryck i den nuvarande skattedatabaslagen härrör från t.ex. EU-rätten och inte inkomstskattelagen. Utöver detta innehåller bestämmelserna i den föreslagna beskattningsdatalagen mindre detaljerade bestämmelser och därmed också färre begrepp från den materiella verksamhetsregleringen jämfört med den nu gällande skattedatabaslagen. Mot denna bakgrund gör vi bedömningen att det inte bör införas en bestämmelse som motsvarar 1 kap. 1 a § SdbL i den nya beskattningsdatalagen. Avsikten är dock även fortsättningsvis att beskattningsdatalagens termer och uttryck har samma betydelse och tillämpningsområde som de har i inkomstskattelagen.
4Prop. 2001/02:46, Ändringar i de särskilda skattereglerna för vissa andelsägare i fåmansföretag,
m.m., s. 66 och 83.
Av motsvarande skäl som nu har anförts avseende Skatteverkets beskattningsverksamhet bör bestämmelser om definitioner inte heller föras in i folkbokföringsdatalagen, tulldatalagen eller kronofogdedatalagen.
En tydliggörande bestämmelse i de nya förordningarna
Även de bestämmelser om definitioner som i dag finns i databasförordningarna får mot bakgrund av deras utformning anses utgöra klargörande bestämmelser. Det är enligt vår mening lämpligt att tydliggöra att begreppsanvändningen i de föreslagna lagarna och tillhörande förordningarna hänger samman med varandra och att de därmed ska tolkas och tillämpas på samma sätt. Som en jämförelse finns även liknande bestämmelser i t.ex. 2 § brottsdataförordningen (2018:1202) och 1 kap. 2 § skatteförfarandeförordningen (2011:1261). Vi föreslår mot denna bakgrund att det i de nya förordningarna ska finnas en bestämmelse som anger att ord och uttryck i respektive förordning har samma betydelse som i de tillhörande lagarna.
7.4. Lagarnas tillämpningsområden
7.4.1. Lagarnas allmänna tillämpningsområden
Vårt förslag: Beskattningsdatalagen, folkbokföringsdatalagen, tull-
datalagen och kronofogdedatalagen ska endast gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Vår bedömning: Lagarna bör inte omfatta behandling av person-
uppgifter i administrativ verksamhet.
Skälen för vårt förslag och vår bedömning
I dag omfattar skattedatabaslagen, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen
(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), behandling av personuppgifter, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.5
När de nuvarande registerförfattningarna infördes gällde personuppgiftslagen (1998:204), PUL. Personuppgiftslagen omfattade behandling av personuppgifter som var helt eller delvis automatiserad. Lagen omfattade även annan behandling av personuppgifter, om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sökning eller sammanställning enligt särskilda kriterier.6 I förarbetena till de nu gällande registerförfattningarna anförde regeringen att även speciallagstiftningen skulle ha samma tillämpningsområde som personuppgiftslagen.7
I artikel 2.1 i dataskyddsförordningen anges att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Register definieras i dataskyddsförordningen som en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6).
I artikel 2.2 i dataskyddsförordningen anges att förordningen inte ska tillämpas vid viss behandling av personuppgifter, exempelvis sådan behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Eftersom inget av de undantag som anges i artikel 2.2 i dataskyddsförordningen är tillämpligt på Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av personuppgifter i de verksamheter som här är aktuella, omfattas behandlingen av dataskyddsförordningens tillämpningsområde. Dataskyddsförordningen hindrar dock inte att medlemsstaterna fritt bestämmer tillämpningsområdet för den nationella dataskyddslagstiftningen. Det innebär att den nationella sektorspecifika lagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än data-
5 1 kap. 1 § SdbL, 1 kap. 1 § FdbL, 1 kap. 1 § TDL och 1 kap. 1 § KFMdbL. 65 § PUL. 7Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86.
skyddsförordningen och t.ex. omfatta sådan manuell behandling av personuppgifter som inte omfattas av dataskyddsförordningen.8
Vi anser att beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen endast ska gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register. Detta bör komma till uttryck i de nya lagarna. Det innebär att tillämpningsområdena på ett tydligt sätt ansluter till dataskyddsförordningens bestämmelser. Med begreppen i den föreslagna lydelsen avses detsamma som i dataskyddsförordningen.
Bestämmelserna kommer genom vårt förslag att innehålla begreppet ”register”, i stället för ”en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier”. Någon skillnad i sak är dock inte avsedd. Nu föreslagen formulering har även använts i andra modernare registerförfattningar (se t.ex. 1 kap. 2 § andra stycket vägtrafikdatalagen och 1 kap. 2 § andra stycket lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Förslaget innebär att behandling som inte kommer att omfattas av lagarnas tillämpningsområden t.ex. är minnesanteckningar som enbart förs på papper.9
Berörda myndigheter utför viss behandling av personuppgifter även vid löpande administration, t.ex. hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. Med personuppgiftsbehandling för sådana rent administrativa ändamål menas alltså sådan behandling som inte har något samband med ett enskilt ärende eller annan sådan materiell verksamhet som avses i avsnitten 7.4.5–7.4.8 nedan. I dag innehåller de sektorspecifika registerförfattningarna ingen särreglering av sådan behandling. I stället var avsikten vid författningarnas införande att personuppgiftslagen skulle tillämpas på den administrativa delen av myndigheternas verksamheter.10
Vi anser att det inte heller i dag finns någon anledning att låta de föreslagna lagarna omfatta sådan behandling av personuppgifter som sker i myndigheternas löpande administrativa verksamhet. Behand-
8 Jfr prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av for-
don på vägtrafikområdet, s. 63–64.
9 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 120. 10Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 87 och 103–104.
lingen kan i stället grundas direkt på dataskyddsförordningen och dataskyddslagen och omfattas därför inte av de föreslagna lagarna.11
7.4.2. Uppgifter om juridiska personer
Vår bedömning: Regleringen i beskattningsdatalagen, folkbok-
föringsdatalagen, tulldatalagen och kronofogdedatalagen bör, med vissa undantag i kronofogdedatalagen, inte omfatta behandling av uppgifter om juridiska personer.
Skälen för vår bedömning
Dataskyddsförordningen och dataskyddslagen reglerar behandling av personuppgifter. I dataskyddsförordningen definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person. Med identifierbar fysisk person avses en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1). Av skäl 14 till dataskyddsförordningen framgår att förordningen inte omfattar behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter. Uppgifter om juridiska personer utgör alltså inte personuppgifter enligt dataskyddsförordningen.
I dag omfattar vissa av bestämmelserna i skattedatabaslagen, tulldatabaslagen och kronofogdedatabaslagen behandling av uppgifter om juridiska personer.12 Även de registerförfattningar som föregick dagens reglering omfattade registrering och användning av uppgifter om juridiska personer.13 I förarbetena till befintliga bestämmelser anförde
11 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 60–61 och prop. 2022/23:34, Utbetalningsmyndig-
heten, s. 120.
12 1 kap. 1 § andra stycket SdbL, 1 kap. 1 § andra stycket TDL och 1 kap. 1 § andra stycket KFMdbL. 13 Se t.ex. skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregisterlagen (1990:317).
regeringen bl.a. följande skäl för varför vissa av bestämmelserna i de nu gällande lagarna skulle omfatta behandling av sådana uppgifter.14
Personuppgiftslagen reglerar endast behandling av personuppgifter, dvs. uppgifter om fysiska personer som är i livet. För dataregister eller andra systematiserade uppgiftssamlingar som endast innehåller uppgifter om juridiska personer finns det alltså ingen motsvarande generell reglering av behandlingen. I beskattnings-, utsöknings- och tullverksamheten måste uppgifter om såväl juridiska som fysiska personer behandlas.
[…]
Genom den ökade användningen av elektroniska akter och elektroniska dokument kommer det att i många fall bli svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare. I ett ärende rörande juridiska personer kan ingå uppgifter om delägare, styrelseledamöter, m.fl. Detta medför att framför allt elektroniska handlingar som rör juridiska personer måste behandlas på samma sätt som de som rör fysiska personer. Även de föreslagna bestämmelserna om gallring bör gälla såväl fysiska som juridiska personer. Gemensamma bestämmelser om gallring innebär att systemet blir enklare. Även om flertalet uppgifter omfattas av sekretess bör möjligheten att lämna ut uppgifter om juridiska personer automatiserat regleras på samma sätt som uppgifter om fysiska personer. Sekretesslagens regler medför vidare att det behövs särskilda regler för att en skattemyndighet skall få ha direktåtkomst till uppgifter om juridiska personer som beskattas i en annan region. Enligt regeringens mening talar övervägande skäl för att de nya lagarnas bestämmelser om ändamål, innehåll, åtkomst och gallring liksom i dag bör omfatta juridiska personer.
Viss dataskyddsreglering tillämpas även i andra sammanhang på uppgifter om juridiska personer, exempelvis inom brottsdatalagens område.15 Annan nyare dataskyddsreglering omfattar inte uppgifter om juridiska personer (se t.ex. 2 § domstolsdatalagen).16 I den utredning som föregick den nya lagen om behandling av personuppgifter vid Utbetalningsmyndigheten föreslogs att vissa bestämmelser skulle gälla även vid myndighetens behandling av uppgifter om juridiska personer.17 I den efterföljande propositionen ansåg dock regeringen att det
14Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87. 15 Se t.ex. brottsdatalagen, lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 16 Se även Ds 2013:10, Domstolsdatalag, s. 51–52. 17SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 348–349.
för dessa personer inte fanns några motsvarande skyddsskäl eller andra skäl att införa liknande begränsningar som föreslogs för uppgifter om avlidna. Något sådant förslag lämnades därför inte.18 Den lag om behandling av personuppgifter vid Utbetalningsmyndigheten som sedan kom att införas omfattar inte heller behandling av uppgifter om juridiska personer.
Vid den översyn som skedde av aktuella registerförfattningar med anledning av EU:s dataskyddsförordning konstaterade regeringen att den omständigheten att författningarna i vissa angivna avseenden omfattar även juridiska personer inte medför att dataskyddsförordningens bestämmelser blir tillämpliga avseende dessa.19 Den nu gällande nationella regleringen går i dessa avseenden således längre än dataskyddsförordningen, och även dataskyddslagen.
I såväl Skatteverkets som Tullverkets och Kronofogdemyndighetens verksamheter förekommer uppgifter om ett stort antal juridiska personer. Till följd av att begreppet personuppgifter definieras brett i dataskyddsförordningen utgör i vissa fall uppgifter om juridiska personer direkta eller indirekta personuppgifter som skyddas av den allmänna dataskyddsregleringen och sektorspecifik registerlagstiftning. Det kan t.ex. handla om uppgifter om firmatecknare, firmanamn eller organisationsnummer i en enskild näringsverksamhet som består av den enskilda näringsidkarens personnummer. De uppgifter som förekommer avseende dessa och som skulle kunna utgöra direkta eller indirekta personuppgifter är redan skyddade av lagstiftningen genom att de utgör personuppgifter. Vidare är det allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer.20 I det fall det finns ett indirekt skyddsbehov för uppgifter om juridiska personer, har detta sin grund i intresset av integritetsskydd för fysiska personer. Det skyddsbehov som finns för aktuella uppgifter vid berörda myndigheter bör alltså anses vara tillgodosett genom regleringen i de föreslagna lagarna, dataskyddsförordningen och dataskyddslagen. Enligt vår mening talar dessa omständigheter för att det inte finns tillräckliga skäl att avvika från vad som gäller enligt dataskyddsförordningen genom att låta de nya lagarnas tillämpningsområden omfatta uppgifter om juridiska personer.
18Prop. 2022/23:34, Utbetalningsmyndigheten, s. 121. 19Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 38.
20Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 113.
Vid en sammantagen bedömning anser vi att de skäl som tidigare anförts för att registerförfattningarnas tillämpningsområden ska omfatta även uppgifter om juridiska personer inte är tillräckliga för att även låta de nya lagarna generellt sett omfatta sådana uppgifter. Däremot föreslår vi att en del av den i dag gällande särskilda bestämmelsen om rättelse m.m. i 3 kap. 3 a § KFMdbL ska införas i den nya kronofogdedatalagen och då även vara tillämplig på uppgifter om juridiska personer. Närmare motivering av skälen för dessa förslag finns i avsnitten 7.4.8 och 7.8.3.
Att de föreslagna lagarna som utgångspunkt inte ska omfatta uppgifter om juridiska personer innebär dock inte att Skatteverket, Tullverket och Kronofogdemyndigheten måste behandla sådana uppgifter på ett annat sätt än personuppgifter. Det kan även i vissa fall vara enklare för myndigheterna att inte särskilja behandling av uppgifter om fysiska och juridiska personer för att säkerställa att de indirekta personuppgifter som kan förekomma får det skydd som krävs enligt gällande dataskyddsreglering. Det förhållandet att det är svårt att skilja sådana personuppgifter som förekommer i elektroniska handlingar åt från rena uppgifter om juridiska personer anser vi dock inte i sig är ett starkt skäl för att låta de föreslagna lagarna omfatta uppgifter om juridiska personer.21
Det kan också finnas annan reglering som ställer krav på myndigheterna att t.ex. rätta felaktiga uppgifter om juridiska personer (jfr 36 § förvaltningslagen [2017:900], FL). I ett mål har Högsta förvaltningsdomstolen slagit fast att det förhållandet att kronofogdedatabaslagen saknade bestämmelser om rättelse av felaktiga uppgifter såvitt avsåg juridiska personer inte rimligen kunde innebära att en juridisk person skulle kunna vägras att få en sådan uppgift rättad (RÅ 2004 ref. 104).
Att författningarnas tillämpningsområden inte längre omfattar juridiska personer föranleder vidare vissa andra konsekvenser, bl.a. i fråga om behov av följdändringar i annan lagstiftning. I dag finns bestämmelser om uppgiftsskyldigheter i registerförfattningarna som kan påverkas av att de nya författningarna inte föreslås omfatta uppgifter om juridiska personer. Av bl.a. detta skäl föreslår vi i avsnitt 13.4.3 att bestämmelser om Skatteverkets, Tullverkets och Kronofogdemyndighetens uppgiftsskyldigheter som i dag finns i registerförfattningarna i stället ska föras in i nya förordningar. Vidare får våra för-
21 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87.
slag avseende tillämpningsområdena i de nya lagarna i denna del vissa konsekvenser för sekretessregler i offentlighets- och sekretesslagen (2009:400), OSL. Dessa konsekvenser hanteras i avsnitt 15.5.3. Våra förslag innebär också att uppgifter om juridiska personer kan anses få ett försämrat skydd. Som framgår ovan är det dock generellt sett inte lika angeläget att skydda rena uppgifter om juridiska personer.
7.4.3. Uppgifter om avlidna personer
Vår bedömning: Regleringen i beskattningsdatalagen, folkbok-
föringsdatalagen, tulldatalagen och kronofogdedatalagen bör inte omfatta behandling av uppgifter om avlidna personer.
Skälen för vår bedömning
Dataskyddsförordningen och dataskyddslagen reglerar behandling av personuppgifter. Av skäl 27 till dataskyddsförordningen framgår att förordningen inte gäller behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får dock fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer. Det finns alltså inget hinder mot att de nya lagarna i tillämpliga delar även omfattar uppgifter om avlidna.
I dag gäller vissa av bestämmelserna i skattedatabaslagen, folkbokföringsdatabaslagen och kronofogdedatabaslagen även vid behandling av uppgifter om avlidna.22 I förarbetena till de nu gällande författningarna saknas närmare motivering till varför uppgifter om avlidna personer omfattas av tillämpningsområdet för vissa delar av dessa lagar. Det som anges är att regeringen ansåg att lagarnas bestämmelser om ändamål, innehåll, åtkomst och gallring även skulle omfatta uppgifter om avlidna personer.23
Det finns även annan, mer modern, registerlagstiftning vars tillämpningsområden omfattar uppgifter om avlidna (se t.ex. 114 kap. 2 § tredje stycket socialförsäkringsbalken [SFB], 1 kap. 1 § andra stycket patientdatalagen [2008:355], 1 kap. 7 § lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 2 § tredje
22 1 kap. 1 § andra stycket SdbL, 1 kap. 1 § tredje stycket FdbL och 1 kap. 1 § andra stycket KFMdbL. 23Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87.
stycket lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).
Av förarbetena till Rättsmedicinalverkets registerförfattning framgår att det vid myndigheten förekommer uppgifter om avlidna i relativt stor utsträckning och att det då ofta rör sig om uppgifter som är särskilt känsliga, t.ex. uppgifter om personer som utsatts för grov brottslighet. Vidare förekommer uppgifter om enskildas psykiska och fysiska hälsa som det kan vara betydelsefullt för efterlevande att skydda. Regeringen anförde vidare att den omständigheten att lagen gäller även för uppgifter om avlidna bidrar till att upprätthålla den frid som bör tillkomma en avliden person.24 Motsvarande skäl har angetts i förarbetena till patientdatalagen.25 Även i förarbetena till regleringen i socialförsäkringsbalken motiveras den av den mängd uppgifter hänförliga till avlidna som förekommer i databasen.26
När det gäller Utbetalningsmyndigheten omfattar vissa bestämmelser i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten uppgifter om avlidna. I förarbetena till regleringen konstaterade regeringen att Utbetalningsmyndigheten kan komma att behandla uppgifter om avlidna. Regeringen ansåg också att även om behandling av uppgifter om avlidna inte omfattas av dataskyddsförordningens tillämpningsområde fanns det skäl att i viss utsträckning skydda behandlingen av sådana uppgifter.27
Annan nyare registerlagstiftning omfattar inte uppgifter om avlidna (se t.ex. domstolsdatalagen).28
Såvitt framkommit är mängden uppgifter som rör avlidna inte av någon större omfattning inom ramen för Kronofogdemyndighetens verksamhet. De uppgifter om avlidna som behandlas rör främst dödsbon som har skulder. När det gäller Skatteverket förekommer uppgifterna främst inom ramen för folkbokföringsverksamheten och verksamhet som avser bouppteckningar, men de finns även i beskattningsverksamheten. Exempelvis registrerar Skatteverket dödsfall i folkbokföringen och om den avlidne var gift vid dödsfallet ska äktenskapet registreras som upplöst och den efterlevande makens civilstånd ändras till änka eller änkling. Skatteverket utfärdar också intyg för
24Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 32. 25Prop. 2007/08:126, Patientdatalag m.m., s. 52. 26Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 45. 27Prop. 2022/23:34, Utbetalningsmyndigheten, s. 120. 28 Se även Ds 2013:10, Domstolsdatalag, s. 53–54.
gravsättning och kremering samt bevakar att tiden för gravsättning och kremering hålls. Antalet uppgifter om avlidna är stort inom folkbokföringsverksamheten och uppgifterna ska även som utgångspunkt bevaras.29 Frågan om uppgifter om avlidna ska omfattas av sektorspecifik dataskyddsreglering i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas särskilt i avsnitt 17.4.3.
Det kan undantagsvis inträffa att en person som förekommer t.ex. i ett ärende vid Skatteverket, Tullverket eller Kronofogdemyndigheten avlider under handläggningen av ärendet. Även i andra situationer kan det förekomma att uppgifter om avlidna behöver behandlas.
De uppgifter om avlidna som kan förekomma vid nu aktuella verksamheter är i regel inte av samma känsliga natur som t.ex. vid Rättsmedicinalverket, inom vården eller vid Försäkringskassan. Inom beskattningsverksamheten samt Tullverkets och Kronofogdemyndighetens verksamheter rör det sig inte heller om lika stora mängder uppgifter om avlidna. Vidare har inte avlidna samma behov av integritetsskydd som levande fysiska personer.30 Det finns enligt vår uppfattning ett stort värde i att de uppgifter som ska omfattas av de nya lagarna i så hög grad som möjligt ansluter sig till vad som gäller enligt dataskyddsförordningen. Alla bestämmelser i de nya lagarna kan inte heller tillämpas på uppgifter om avlidna, t.ex. bestämmelser om enskildas rättigheter. Att mängden uppgifter om avlidna som behandlas inom Skatteverkets folkbokföringsverksamhet är stor föranleder inte någon annan bedömning av behovet av ett utökat skydd för uppgifterna mot bakgrund av att uppgifternas art inte kan sägas vara av sådan känslig natur i jämförelse med vissa andra myndigheters verksamheter som redogörs för ovan vilka omfattas av ett sådant utökat skydd. Vidare omfattas inte uppgifter om avlidna av dataskyddsförordningens reglering avseende känsliga personuppgifter i artikel 9.
Mot den angivna bakgrunden anser vi att det inte finns tillräckligt starka skäl att låta beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen eller kronofogdedatalagen omfatta behandling av uppgifter om avlidna personer. Det innebär dock inte att Skatteverket, Tullverket och Kronofogdemyndigheten måste behandla uppgifter om avlidna annorlunda än personuppgifter.
29 Jfr RA-MS 2018:38, Föreskrifter om gallring i folkbokföringsverksamheten hos Skatteverket. 30 Se t.ex. prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av
fordon på vägtrafikområdet, s. 67.
Att de nya lagarnas tillämpningsområden inte ska omfatta uppgifter om avlidna personer föranleder vissa skillnader i förhållande till vad som gäller i Skatteverkets och Kronofogdemyndighetens verksamheter i dag. Exempelvis kommer det inte finnas några särskilda krav på för vilka ändamål uppgifterna får behandlas eller en reglering av under hur lång tid uppgifter om avlidna får behandlas. En viss del av sådana uppgifter som finns i allmänna handlingar kommer dock med största sannolikhet omfattas av särskilda föreskrifter om gallring utfärdade av Riksarkivet, även om sådana föreskrifter inte avser att skydda enskildas integritet (jfr avsnitt 12.4.2). Utöver detta kommer inte heller några särskilda sökbegränsningar att gälla för aktuella uppgifter. De föreslagna sökbegränsningarna gäller dock så snart det rör en upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras.31
Vår bedömning innebär inte att uppgifterna helt kommer att sakna skydd eftersom sekretessreglering som omfattar uppgifter om enskildas personliga och ekonomiska förhållanden även kan tillämpas på uppgifter om avlidna under vissa förutsättningar. Vid tidpunkten för införandet av den tidigare gällande sekretesslagen (1980:100) uttalades i förarbetena att det för bedömningen av sekretessfrågan i princip saknar betydelse att den vars personliga förhållanden berörs i allmän handling har avlidit. Vidare uttalades att med hänsyn till att avlidens rätt skyddas genom regler i brottsbalken och tryckfrihetsförordningen (TF) om förtal av avliden borde det inte vara uteslutet att sekretesskyddet gällde också till förmån för den avlidne själv.32Högsta förvaltningsdomstolen (HFD) har i ett mål ansett att karaktären på skattesekretessen för uppgifter i deklarationer som lämnats av en avliden person i vart fall borde innebära att det krävs att de personer som är delägare i dödsboet efter den avlidne medgav utlämnande. I målet fanns inga sådana medgivanden, varför de begärda deklarationerna inte lämnades ut (RÅ 85 2:62). I ett annat mål prövade HFD om sekretess gällde gentemot avliden persons moder för vissa uppgifter i socialtjänstens journal rörande den avlidne. I målet uttalade HFD bl.a. att det knappast låter sig göra att anse att en avliden person lider men, men att sekretess bör kunna gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne, t.ex. för
31 Artikel 4.1 i dataskyddsförordningen. 32Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84–85.
integritetskänsliga uppgifter som det med fog kan antas att den avlidne inte velat skulle komma till någon annans kännedom ens efter hans eller hennes död (RÅ 2007 ref. 16).
Vidare innebär våra förslag i denna del att den särskilda bestämmelsen om rättelse m.m. som i dag finns i 3 kap. 3 a § KFMdbL och som gäller uppgifter om avlidna, vilken vi föreslår ska föras in i den nya kronofogdedatalagen, inte längre kommer att kunna tillämpas på uppgifter om avlidna.33 Vi anser att det inte heller har kommit fram skäl att särskilt låta tillämpningsområdet omfatta uppgifter om avlidna i denna del. Närmare motivering till detta ställningstagande finns i avsnitt 7.8.3 nedan.
De konsekvenser som ett förändrat tillämpningsområde kan komma att innebära medför enligt vår mening inte någon annan bedömning i fråga om avlidna personer ska omfattas av författningarna. Vid denna bedömning har vi tagit hänsyn till den allmänna dataskyddsregleringens tillämpningsområde, den mängd uppgifter om avlidna samt uppgifternas karaktär som är aktuella för berörda myndigheter att behandla i respektive verksamhet och att sekretess, om än i viss mindre omfattning, fortsatt kommer att gälla för uppgifter om avlidna. Utöver detta har myndigheterna andra generella regler att förhålla sig till vid utförandet av sina uppdrag, även avseende uppgifter om avlidna personer, genom regleringen i t.ex. förvaltningslagen.
7.4.4. Behandling av personuppgifter i EU:s gemensamma informationssystem
Vårt förslag: Bestämmelserna i beskattningsdatalagen, tulldata-
lagen och kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
33 Däremot föreslås regleringen om rättelse m.m. i kronofogdedatalagen omfatta uppgifter om juridiska personer och därmed dödsbon, se avsnitt 7.8.3.
Skälen för vårt förslag
Inledning
Den centrala frågeställningen i denna del är i vilken utsträckning nationell kompletterande dataskyddsreglering ska vara tillämplig i itmiljöer där även andra medlemsstaters behöriga myndigheter behandlar personuppgifter inom ramen för det administrativa samarbetet inom EU. Särskilt Skatteverket och Tullverket har till utredningen uppgett att det vore önskvärt att det tydliggörs vad som ska gälla avseende gemensamma tekniska plattformar och om kompletterande nationella bestämmelser över huvud taget ska tillämpas i dessa sammanhang. Om nationell reglering är tillämplig vid de aktuella behandlingarna är det enligt myndigheterna viktigt att denna i sig inte innebär ett hinder för användningen av gemensamma plattformar inom ramen för det administrativa samarbetet inom EU.
Skatteverkets behov och uppfattning om den nuvarande regleringen
Skatteverket har uppgett att de nuvarande registerförfattningarnas tillämpningsområden innebär problem för myndigheten i internationella sammanhang. I beskattningsverksamheten uppkommer frågan om i vilken utsträckning skattedatabaslagen är tillämplig inom ramen för det administrativa EU-samarbetet. Det gäller särskilt när uppgifter tillgängliggörs genom tekniska plattformar som alla medlemsstater har tillgång till eller när uppgifter används i sådana it-miljöer gemensamt.
Ett exempel på en gemensam it-miljö som berörs av dataskyddsregleringen är den gemensamma plattformen för utbyte av uppgifter av rapporteringspliktiga arrangemang. Den tekniska lösningen för att genomföra utbytet av uppgifter har tagits fram av EU-kommissionen och utgörs av en teknisk plattform som i sin tur består av två olika användargränssnitt. Ett gränssnitt används enskilt av respektive myndighet och det andra används gemensamt av samtliga myndigheter. Alla behöriga myndigheter kan få tillgång till alla publicerade och rapporteringspliktiga arrangemang i det gemensamma gränssnittet. Det är avsevärt fler tjänstemän som kan få och har tillgång till det gemensamma gränssnittet än myndigheternas enskilda gränssnitt.
Skatteverkets skyldigheter att lämna uppgifter om rapporteringspliktiga arrangemang till andra medlemsstaters behöriga myndigheter framgår av 12 d § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Genom nämnda lag implementeras rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning i svensk rätt. Av artikel 21.5 i nämnda direktiv framgår att EU-kommissionen har ansvar för att ta fram ett tekniskt och logiskt stöd för utbytet. Av artikel 25.1 framgår vidare att utbytet omfattas av dataskyddsförordningen.
Utgångspunkten är att skattedatabaslagen ska tillämpas när Skatteverket i egenskap av behörig myndighet agerar för Sveriges räkning inom ramen för det administrativa samarbetet inom Europeiska unionen i fråga om beskattning och då också behandlar personuppgifter.34Det kan dock uppstå oklarheter avseende nationell reglerings tillämplighet vid behandling av personuppgifter i gemensamma it-lösningar. Problem kan även uppstå eftersom skattedatabaslagen går längre än dataskyddsförordningen i fråga om t.ex. behandling av känsliga personuppgifter och gallring. Det kan enligt Skatteverket också vara så att den nuvarande databasregleringen i 2 kap. SdbL inte är tillämplig på sådan behandling som sker i det enskilda användargränssnittet om syftet med publiceringen enbart är att fullgöra informationsutbytet av rapporteringspliktiga arrangemang. Samtidigt innebär den tekniska lösning som EU-kommissionen har tagit fram för utbytet i praktiken att uppgifter som publiceras av Skatteverket görs gemensamt tillgängliga i det gemensamma användargränssnittet även för den verksamhet vid Skatteverket som har tillgång till och arbetar med rapporteringspliktiga arrangemang. Den gemensamma plattformen utgör även en uppgiftssamling som används av flera tjänstemän vid Skatteverket. Om motsvarande reglering som i dag finns i 2 kap. SdbL ska anses vara tillämplig på de behandlingar som Skatteverket utför i det gemensamma gränssnittet uppstår bl.a. frågan om hur bestämmelserna ska tillämpas i förhållande till annan behandling som utförs i den gemensamma plattformen.
34 Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85, 124 och 129, prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt sam-
arbete i fråga om beskattning, s. 71–72 och 89 samt prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 172–175.
Tullverkets behov och uppfattning om den nuvarande regleringen
Tullverket har till utredningen fört fram motsvarande problematik som Skatteverket. Myndigheten anser att den nya tulldatalagen inte bör vara tillämplig vid sådan personuppgiftsbehandling som sker i EU-gemensamma informationssystem. Tullverket har anfört att oavsett om det finns ett gemensamt personuppgiftsansvar medlemsstaterna emellan och om kommissionen bedöms vara gemensamt personuppgiftsansvarig eller personuppgiftsbiträde till medlemsstaterna för den personuppgiftsbehandling som ska ske, tas it-systemen fram gemensamt av medlemsstaterna under ledning av kommissionen. Det finns då ett gemensamt ansvar för att systemen byggs med de funktioner som krävs enligt den allmänna dataskyddsförordningen, medan varje medlemsstats behöriga myndighet är personuppgiftsansvarig för de behandlingar som dess anställda utför i systemet. Det är därför svårt att bygga in ytterligare funktioner som följer av krav i nationell lagstiftning, om det inte är möjligt att ha ett eget gränssnitt.
Regleringen i de nuvarande registerförfattningarna har enligt Tullverket i praktiken resulterat i att myndigheten i vissa fall inte har kunnat följa tulldatabaslagen vid all behandling som myndigheten utför i de fall regleringen gått längre än den allmänna dataskyddsregleringen. Dessutom ställer den materiella EU-rättsliga tullagstiftningen krav på behandling som inte i alla delar är förenlig med regleringen i tulldatabaslagen, exempelvis krav på riskanalyser som inte är förenliga med sökbegränsningarna i tulldatabaslagen. Tullverket har också uppgett att det inte står helt klart om uppgifter som behandlas i EUgemensamma system ska anses vara en del av tulldatabasen eller inte, vilket i dag är relevant för tillämpligheten av vissa regler i tulldatabaslagen, t.ex. om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. Det finns särskilda system där tullmyndigheterna inom EU delar olika former av risker för överträdelser, bl.a. Customs Risk Management System (CRMS) och Automated Fingerprint Identification System (AFIS). I båda fallen kan det förekomma nämnda uppgifter, samtidigt som kopplingen till ett specifikt ärende inte nödvändigtvis förekommer. Att tulldatabaslagen omfattar uppgifter om juridiska personer innebär vidare problem främst vid viss vidarebehandling av uppgifter för exempelvis analyser och uppföljning på central nivå, där uppgifterna inte har koppling till fysiska personer utan enbart juridiska personer.
Kommissionen och medlemsstater som inte har nationell lagstiftning med reglering gällande behandling av uppgifter om juridiska personer har då inte någon särskild dataskyddslagstiftning att ta hänsyn till, medan Tullverket har att beakta tulldatabaslagens bestämmelser om ändamål, gallring, sökbegrepp och former för elektroniskt utlämnande. Dataskyddsförordningen innehåller t.ex. inga fasta tidsgränser för hur länge uppgifter får behandlas vilket kan utgöra ett problem i förhållande till den nu gällande sektorspecifika regleringen. Sådana tidsgränser kan dock finnas i specifika EU-rättsakter, såsom t.ex. i artikel 113 i Kommissionens genomförandeförordning (EU) 2023/1070 av den 1 juni 2023 om tekniska arrangemang för utveckling, underhåll och användning av elektroniska system för utbyte och lagring av information enligt Europaparlamentets och rådets förordning (EU) nr 952/2013 (systemförordningen). Tullverket bedömer att skyddet för den personliga integriteten säkerställs redan genom bestämmelser i den allmänna dataskyddsförordningen med kompletterande allmän dataskyddslagstiftning.
Som ett exempel har Tullverket uppgett att alla utbyten av uppgifter mellan berörda aktörer ska ske elektroniskt enligt artikel 6 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (tullkodexen). Hur proceduren ska gå till är dessutom reglerat på en mycket detaljerad nivå vilket påverkar hur it-system behöver kunna utformas. Det pågår inom EU och i medlemsstaterna för närvarande ett intensivt arbete för att genomföra digitaliseringen av informationsutbytet inom unionen. Det finns för närvarande cirka 15 EU-gemensamma system reglerade i systemförordningen. Det finns också andra EU-gemensamma it-plattformar för olika former av samarbete som inte är reglerade i systemförordningen. Därutöver pågår arbete inom EU att med att utveckla analysförmåga på central nivå, dvs. på uppgifter i centrala datalagringsplatser.
Tullverket har också uppgett att det blir alltmer vanligt med s.k. single window environments för tullmyndigheter inom EU, dvs. nationella miljöer med en enda kontaktpunkt. Det innebär att en uppgiftslämnare lämnar uppgifter som behövs för flera syften vid ett och samma tillfälle. Mottagaren är personuppgiftsansvarig för de behandlingar den utför i sin egen verksamhet, men det är enligt Tullverket inte självklart hur det förhåller sig med insamlande av uppgifter som sker för andra myndigheters räkning. Om Tullverket ska
tillhandahålla system för att tillgodose andra myndigheter med uppgifter kan fråga uppkomma om den aktuella behandlingen ryms inom Tullverkets verksamhet och om tulldatabaslagen i så fall är tillämplig på behandlingen. När uppgifter samlas in för andra myndigheters behov, finns det en risk att insamlingen och övrig behandling av uppgifterna kan vara svår att förena med regleringen i tulldatabaslagen.
Kronofogdemyndighetens behov och uppfattning om den nuvarande regleringen
Kronofogdemyndigheten har förklarat att myndigheten i dag inte utför behandling i EU-gemensamma system varför det är svårt att dra några slutsatser i fråga om eventuella problem som den nuvarande formuleringen av tillämpningsområdet i kronofogdedatabaslagen kan innebära i detta avseende. Det kan dock enligt myndigheten inte uteslutas att den i framtiden kommer att ställas inför samma problematik som Skatteverket och Tullverket i denna fråga, varför en ny reglering bör ta höjd för detta redan nu.
Behandling av personuppgifter i EU:s gemensamma informationssystem undantas från de nya lagarnas tillämpningsområden
Såväl Skatteverket som Tullverket bedriver i dag relativt omfattande gränsöverskridande verksamheter i vissa avseenden. Det förekommer även gränsöverskridande verksamhet vid Kronofogdemyndigheten, även om det inte i dag medför behandling av personuppgifter i EU-gemensamma system.35 Sannolikt kommer den internationella verksamheten också att utökas ytterligare i framtiden.36 Mot denna bakgrund är det vår uppfattning att tillämpningsområdena måste formuleras på ett sådant sätt att de inte innebär hinder för myndigheterna i deras internationella arbete. Frågan blir då hur detta lämpligen görs för att på ett ändamålsenligt sätt fungera i de aktuella verksamheterna.
Genom de sätt på vilka vi föreslår att beskattningsdatalagens, tulldatalagens och kronofogdedatalagens tillämpningsområden ska for-
35 Se t.ex. Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. 36 Se t.ex. EU-kommissionens förslag den 17 maj 2023 om en ny tullkodex och upphävande av förordningen (EU) 952/2013, 2023/0156 (COD).
muleras (se avsnitten 7.4.5, 7.4.7 och 7.4.8) är vår uppfattning att den behandling av personuppgifter som myndigheterna utför i EU-gemensamma informationssystem tillsammans med andra medlemsstater i vart fall i vissa delar kan komma att omfattas av lagarna. Det skulle innebära att myndigheterna behöver tillämpa de föreslagna lagarna och dess sektorspecifika reglering, t.ex. avseende sökbegränsningar, även vid sådan behandling. Då vissa bestämmelser i de föreslagna lagarna går längre än dataskyddsförordningen är vi av uppfattningen att det, liksom i dag, kan uppstå vissa problem för myndigheterna inom ramen för EU-samarbetet. Mot bakgrund av hur regleringen generellt föreslås utformas i de nya lagarna, vilket i högre grad närmar sig den allmänna dataskyddsregleringen i dataskyddsförordningen, kommer visserligen flera av de problem som Skatteverket och Tullverket har beskrivit finns med de nuvarande registerförfattningarna vid behandling av personuppgifter i EU-gemensamma informationssystem inte längre att göra sig gällande. Som nämnts kommer det dock att finnas viss reglering som går längre än dataskyddsförordningen.
Mot bakgrund av detta och med beaktande av myndigheternas behov och problemformuleringar anser vi att det finns skäl att undanta behandling av personuppgifter i EU:s gemensamma informationssystem från tillämpningsområdena i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Syftet med en sådan reglering är att säkerställa att Skatteverket, Tullverket och Kronofogdemyndigheten kan delta i det EU-gemensamma samarbetet på ett ändamålsenligt sätt utan obefogade hinder i nationell rätt.
Med EU:s gemensamma informationssystem avses ett system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana gemensamma system avses sådan behandling som myndigheterna utför i systemen av t.ex. uppgifter som berörda myndigheter eller andra medlemsstaters myndigheter lämnar eller har lämnat över till systemen och som sedan finns där, visserligen åtkomliga för bl.a. Skatteverket eller Tullverket.
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Skatteverkets, Tullverkets eller Kronofogdemyndighetens egna interna system som inte är förvaltade och utformade av EUkommissionen, något annat EU-organ eller av EU-kommissionen och medlemsstaterna gemensamt och där berörda myndigheter kan be-
stämma ändamålen och medlen för behandlingen. Med andra ord avser det system som inte förvaltas nationellt. Undantaget omfattar inte heller behandling av uppgifter som myndigheterna hämtar in från de EU-gemensamma systemen i syfte att behandlas inom myndigheternas egna verksamhetssystem i enlighet med EU-rättslig reglering. Så länge berörda myndigheter behandlar uppgifterna och dessa inte tillgängliggörs i något av EU:s gemensamma informationssystem för behandling där är myndigheterna som utgångspunkt ansvariga för behandlingen enligt bestämmelserna i de föreslagna nationella dataskyddsrättsliga författningarna. När uppgifterna övergår till sådana EU-gemensamma informationssystem och behandlas i dessa gäller inte de föreslagna lagarna. Det kan dock fortfarande vara så att berörda myndigheter anses personuppgiftsansvariga för behandlingen även i de EU-gemensamma informationssystemen enligt t.ex. bestämmelser i materiell EU-rättslig reglering.37 Det föreslagna undantaget är alltså inte nödvändigtvis knutet till om berörda myndigheter är personuppgiftsansvariga eller inte för en viss behandling av personuppgifter. Det väsentliga för de nya lagarnas tillämplighet är om uppgifterna behandlas i de EU-gemensamma informationssystemen. Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i EU-gemensamma informationssystem och i de egna verksamhetssystemen vid en myndighet samtidigt. De nya lagarna kan alltså vara tillämpliga på samma uppgifter som samlats in enbart för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i myndighetens egna verksamhetssystem.
Utöver det som nu beskrivits om den föreslagna regleringens innebörd är det inte möjligt att på ett mer exakt sätt beskriva när myndigheterna utför en specifik behandling i ett visst EU-gemensamt informationssystem på ett sätt som innebär att undantaget blir tillämpligt. Detta får i stället avgöras i den praktiska tillämpningen av bestämmelsen.
Att behandling av personuppgifter i EU:s gemensamma informationssystem föreslås undantas från lagarnas tillämpningsområden innebär inte att det kommer att saknas ett datarättsligt skydd för uppgifterna. I första hand kommer EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet att gälla för behandlingen. Vi anser slutligen att det bör kunna antas att sådan behandling som myndigheterna till följd av materiell EU-
37 Se t.ex. artikel 112 i systemförordningen.
rättslig reglering får eller ska utföra i EU:s gemensamma informationssystem i sig är reglerat på ett sätt som är förenligt med EU:s dataskyddsförordning.
7.4.5. Beskattningsdatalagens tillämpningsområde
Vårt förslag: Beskattningsdatalagen ska gälla vid behandling av
personuppgifter i Skatteverkets beskattningsverksamhet.
Lagen ska även gälla vid behandling av personuppgifter i Skatteverkets verksamhet enligt
1. lagen (1991:1047) om sjuklön,
2. lagen (2007:324) om Skatteverkets hantering av vissa borge-
närsuppgifter,
3. lagen (2013:948) om stöd vid korttidsarbete,
4. lagen (2020:548) om omställningsstöd, och
5. lagen (2023:230) om förfarande för elstöd till företag.
Med Skatteverkets beskattningsverksamhet ska enligt beskattningsdatalagen avses
1. fastställande av underlag för samt bestämmande, redovisning,
betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys eller kontroll,
5. tillsyn samt lämplighets- och tillståndsprövning och annan
liknande prövning,
6. fullgörande av förpliktelser som följer av internationella åtag-
anden, och
7. annan liknande uppgift som Skatteverket ska utföra.
Skälen för vårt förslag
Den nuvarande regleringen
I dag är skattedatabaslagen tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön, lagen (2020:548) om omställningsstöd och lagen (2023:230) om förfarande för elstöd till företag.38 I lagen finns ingen uttrycklig definition av vad som innefattas i begreppet beskattningsverksamhet.
När skattedatabaslagen infördes angavs endast att lagen var tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Enligt förarbetena skulle lagen förutom de tidigare skatteregistren även omfatta det dåvarande fastighetstaxeringsregistret, gåvoskatteregistret, olika punktskatteregister samt tillfälliga register som inrättades vid revision och annan kontroll. I förarbetena gavs även redogörelser för vad dessa register fick innehålla.39 I den skattedatabaslag som sedan infördes, och som gäller även i dag, angavs sedan för vilka ändamål uppgifter fick behandlas i Skatteverkets beskattningsverksamhet, samt vilka uppgifter som fick behandlas i beskattningsdatabasen.
Skatteverkets verksamhet enligt de lagar som uttryckligen räknas upp i 1 kap. 1 § SdbL har succesivt lagts till i skattedatabaslagens tilllämpningsområde allteftersom myndigheten har fått nya uppgifter som medför ett behov av personuppgiftsbehandling. I samband med att Skatteverket tog över vissa uppgifter från Kronofogdemyndigheten i fråga om borgenärsuppgifter skedde vissa ändringar i skattedatabaslagen av lagens tillämpningsområde, särskilda ändamål och databasreglering. Ändringen ansågs vara förenlig med den huvudsakliga avgränsningen av skattedatabaslagens tillämpningsområde till Skatteverkets beskattningsverksamhet.40
Ett annat exempel är när Skatteverket fick i uppdrag att enligt lagen om sjuklön hantera uppgifter om sjuklönekostnader för att i huvudsak vidarebefordras till Försäkringskassan.41 Regeringen uttal-
38 1 kap. 1 § SdbL. 39Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 62–68 och 122. 40Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s. 36 och 54–55. 41 17 b och 17 c §§ lagen om sjuklön.
ade då att det var svårt att likna hanteringen av sådana uppgifter vid något av Skatteverkets övriga åligganden. Regeringen ansåg därför att verkets handläggning i samband med insamling av dessa uppgifter uttryckligen borde anges i lagens bestämmelse om tillämpningsområdet, för att tydliggöra att hanteringen omfattades av detta. Vidare infördes ett särskilt ändamål för behandling av sådana uppgifter och en ny punkt i lagen som angav att sjuklönekostnad fick behandlas i beskattningsdatabasen.42
Ett ytterligare exempel är när det statliga omställningsstödet i lagen om omställningsstöd infördes för att kompensera företag som drabbats av stora omsättningstapp till följd av spridningen av sjukdomen covid-19.43
Utöver att viss verksamhet har lagts till särskilt i tillämpningsområdet för skattedatabaslagen, vid sidan av begreppet beskattningsverksamhet, faller vissa andra delar av Skatteverkets verksamhet inom skattedatabaslagens tillämpningsområde trots att det inte utgör ett led i beskattningsförfarandet. Sådan verksamhet faller då inom uttrycket beskattningsverksamhet.44 För att täcka in behandling av uppgifter i sådan verksamhet, som ligger vid sidan av den egentliga beskattningsverksamheten, har lagstiftaren infört särskilda ändamål. Ett exempel på ett sådant ändamål regleras i 1 kap. 4 § 5 SdbL som tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.45 Detta specifika ändamål omfattar bl.a. Skatteverkets tillsynsverksamhet enligt alkohollagen (2010:1622). I detta fall har det alltså inte ansetts krävas någon ytterligare reglering avseende skattedatabaslagens tillämpningsområde i nuvarande 1 kap. 1 § SdbL, till skillnad från vad som ovan angetts om Skatteverkets uppgifter inom borgenärsområdet, hanteringen av uppgifter om sjuklönekostnader eller handläggningen av ärenden om omställningsstöd.
42Prop. 2014/15:1, Budgetpropositionen för 2015, s. 391–392. 43 Se prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag,
insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 90–92.
44Prop. 2014/15:1, Budgetpropositionen för 2015, s. 392. 45 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124 och prop. 2014/15:1, Budgetpropositionen för 2015, s. 391.
Den nya beskattningsdatalagens materiella tillämpningsområde
Den nya beskattningsdatalagen bör ha samma materiella tillämpningsområde som skattedatabaslagen. Beskattningsdatalagen föreslås därför omfatta behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i Skatteverkets verksamhet enligt lagen om sjuklön, lagen om Skatteverkets hantering av vissa borgenärsuppgifter, lagen om stöd vid korttidsarbete, lagen om omställningsstöd och lagen om förfarande för elstöd till företag. Detta ska enligt vår mening komma till uttryck direkt i lagtexten.
Som framgår ovan har viss verksamhet som inte utgör ett led i beskattningsförfarandet ändå ansetts ingå i begreppet beskattningsverksamhet. Det har bl.a. tydliggjorts av lagens ändamålsbestämmelser och i viss mån av databasregleringen. I avsnitt 8.4.3 gör vi bedömningen att den nya beskattningsdatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande skattedatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att den nuvarande regleringen av beskattningsdatabasen ska upphöra att gälla. I den nya beskattningsdatalagen kommer det därmed inte att vara lika tydligt vad som omfattas av Skatteverkets beskattningsverksamhet. Mot denna bakgrund anser vi att det bör införas en reglering i anslutning till bestämmelsen om beskattningsdatalagens tillämpningsområde som tydliggör vad som avses med beskattningsverksamhet i lagens materiella tillämpningsområde. På detta sätt kommer det fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt skattedatabaslagen i dag, med undantag för uppgifter om juridiska personer och avlidna (se avsnitten 7.4.2 och 7.4.3). Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt skattedatabaslagen i dag, vilket regleras i 1 kap. 4 § SdbL. Samtliga dessa ändamål får antas ha ansetts vara så näraliggande beskattningsförfarandet att de kan omfattas av regleringen i skattedatabaslagen. I det följande behandlas vad som i den nya beskattningsdatalagen ska avses med Skatteverkets beskattningsverksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
Vad innefattas i Skatteverkets beskattningsverksamhet enligt den nya beskattningsdatalagen ?
Med beskattningsverksamhet ska i beskattningsdatalagen för det första avses fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Detta knyter an till sådan verksamhet som är ett led i beskattningsförfarandet. Begreppet betalning av skatt omfattar även ärenden om ackord.46
Vidare ska det anges att med beskattningsverksamhet avses bestämmande av pensionsgrundande inkomst och fastighetstaxering. När dessa punkter togs med i den nuvarande 1 kap. 4 § SdbL uttalade regeringen att det var nödvändigt att ange dem som särskilda ändamål då de inte alltid utgjorde ett led i beskattningsförfarandet.47 Vi anser mot denna bakgrund att det finns skäl att förtydliga att utförandet av sådana uppgifter ingår i Skatteverkets beskattningsverksamhet.
Det ska vidare tydliggöras att revision och annan analys eller kontroll ingår i Skatteverkets beskattningsverksamhet. Det utgör en stor och nödvändig del av Skatteverkets verksamhet. Det ligger också ofta till grund för bl.a. myndighetens bestämmande av skatter och avgifter.
Därutöver ska tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning anges i regleringen. Sådan verksamhet utgör inte heller ett direkt led i beskattningsförfarandet, men har en stark koppling till beskattningsverksamheten.48 Med sådan verksamhet som ska anges i den nya lagens tillämpningsområde avses t.ex. Skatteverkets uppgifter med viss tillsyn enligt alkohollagen49 eller Skatteverkets ansvar för att fatta beslut om godkännande av upplagshavare, registrerad varumottagare, tillfälligt registrerad varumottagare, registrerad avsändare eller skatteupplag enligt lagen (2022:155) om tobaksskatt.50 Enligt skatteförfarandelagen (2011:1244), SFL, ska Skatteverket även t.ex. pröva och godkänna den som uppger sig bedriva eller ha för avsikt att bedriva näringsverksamhet i Sverige för F-skatt, vari ingår en viss lämplighetsprövning.51 Skatteverket utför även lämplighetsprövningar inför godkännande av deklarationsombud.52
46 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 49 Se 9 kap. 4 § alkohollagen. 50 Se 3 kap. 17 § lagen om tobaksskatt. 51 9 kap. 1 och 2 §§ SFL. 52 6 kap. 6 och 7 §§ SFL.
Vidare ska det uttryckligen anges att med beskattningsverksamhet avses fullgörande av förpliktelser som följer av internationella åtaganden. Det tydliggör att även Skatteverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning, såsom på mervärdesskatteområdet och punktskatteområdet, innefattas i begreppet beskattningsverksamhet.
Slutligen anser vi att det ska anges att med beskattningsverksamhet avses annan liknande uppgift än de ovan uppräknade som Skatteverket ska utföra. Med denna lydelse avses ytterligare andra uppgifter som Skatteverket ska utföra, och som kan anses ha en koppling till beskattningsverksamheten som den definierats i den nu gällande skattedatabaslagen utan att utgöra ett led i beskattningsförfarandet. Avsikten är att sådana uppgifter ska omfattas av tillämpningsområdet genom att de ingår i begreppet beskattningsverksamhet. I detta ingår också uppgifter med koppling till beskattningsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515). På detta sätt behöver ändringar i beskattningsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska behandlas automatiserat enligt den nya lagen.
Ytterst blir det en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under beskattningsdatalagen, eller om tillämpningsområdet behöver utökas. Det kan göras genom att lägga till ytterligare en uttrycklig verksamhet i bestämmelsen om tillämpningsområdet, såsom skedde avseende t.ex. lagen om omställningsstöd, eller ett tillägg till definitionen av beskattningsverksamhet. I andra fall kommer det inte att behövas någon sådan uttrycklig reglering, utan lagstiftaren kan i stället konstatera att det redan faller inom någon av punkterna som föreslås tydliggöra vad som avses med Skatteverkets beskattningsverksamhet. Det är dock en bedömning som får göras från fall till fall när Skatteverket får nya uppgifter att utföra som medför behandling av personuppgifter. Som framgår ovan gäller redan en liknande systematik i dag i fråga om tilllämpningsområdet och tillåtna ändamål för behandling.
Vissa mindre utökade uppdrag till Skatteverket kan komma att anses ingå i beskattningsverksamheten om personuppgiftsbehandlingen utförs som ett led i att t.ex. bestämma pensionsgrundande in-
komst. Ett annat exempel är om nya uppdrag innebär att Skatteverket ska ta emot viss information för vidarebefordran till någon annan myndighet. I vissa fall kan utförandet av sådana uppgifter komma att anses falla in under begreppet annan liknande uppgift som Skatteverket ska utföra om det finns en koppling till beskattningsverksamheten. I annat fall kan tillämpningsområdet komma att behöva utökas.
Som ett exempel på befintliga förslag om åläggande av nya uppgifter som Skatteverket kan komma att utföra, och som skulle kunna tänkas leda till att tillämpningsområdet för den nya lagen behöver utökas, kan nämnas ett delbetänkande av 2022 års skatteförfarandeutredning – åtgärder mot fusk och arbetslivskriminalitet. Förslagen innebär bl.a. att arbetsgivare ska lämna uppgifter per betalningsmottagare om frånvaro av vissa skäl i samband med arbetsgivardeklarationen, vilket skulle medföra att Skatteverkets behandling av personuppgifter kommer att utökas. Uppgifterna ska sedan tillhandahållas Försäkringskassan. Utredningen anförde att det fanns en särskild likhet med de uppgifter om kostnad för sjuklön som lämnas i samband med arbetsgivardeklarationen enligt 17 b § lagen om sjuklön och som vidarebefordras av Skatteverket till Försäkringskassan. Sådan handläggning omfattas i dag särskilt av skattedatabaslagen. Mot den bakgrunden ansåg utredningen att även förslaget om behandlingen av frånvarouppgifterna uttryckligen skulle anges i skattedatabaslagen.53
Beskattningsverksamheten i övrigt
I 1 kap. 4 § 6 b SdbL anges handläggning av andra frågor om ansvar för någon annans skatter och avgifter som ett särskilt ändamål. Betalningsansvar för annans skatter och avgifter kan t.ex. handla om ansvar när skatteavdrag inte har gjorts med rätt belopp eller om betalningsmottagarens ansvar för arbetsgivaravgifter i vissa fall. Vi anser att sådan verksamhet får anses vara närliggande den föreslagna punkten om fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Även om verksamheten inte utgör ett direkt led i beskattningsförfarandet bör den därför anses omfattas av den föreslagna punkten annan liknande uppgift som Skatteverket ska utföra. Det behöver därmed inte uttryck-
53SOU 2023:47, En utvecklad arbetsgivardeklaration – åtgärder mot missbruk av välfärdssyste-
men, s. 270–271.
ligen anges i den nya lagen att med beskattningsverksamhet avses i lagen Skatteverkets handläggning av andra frågor om ansvar för någon annans skatter och avgifter.
I 1 kap. 4 § 6 c SdbL föreskrivs i dag handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL som ett särskilt ändamål. Paragrafen ändrades för att tillåta Skatteverket att behandla uppgifter för tillhandahållande av information som behövdes hos Skatteverket för handläggning enligt den då nya lagen om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL.54 Ändringarna gjordes i samband med införandet av de författningar som krävdes för att bl.a. införliva OECD:s globala standard för automatiskt utbyte av upplysningar om finansiella konton samt för att genomföra rådets direktiv 2014/107/EU av den 9 december 2014 om ändring av direktivet 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplysningar i fråga om beskattning. I den nya beskattningsdatalagen kommer det att anges att med beskattningsverksamhet avses fullgörande av förpliktelser som följer av internationella åtaganden. Vi anser att det därför inte särskilt behöver anges att med beskattningsverksamhet avses t.ex. handläggning enligt lagen om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL. Skatteverkets åligganden enligt dessa regleringar bedöms även falla in under den föreslagna punkten annan liknande uppgift som Skatteverket ska utföra.
Vidare omfattar 1 kap. 4 § 6 d SdbL i dag handläggning enligt lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet och 33 a kap. SFL. Ändamålet infördes i samband med bl.a. genomförande av OECD:s standard för dokumentation vid internprissättning och land-för-land-rapportering samt genomförande av EU-direktivet om ändring i rådets direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning, avseende land-för-landrapportering (DAC 4). I förarbetena anges som motiv till ändringen att land-för-land-rapporterna skulle lämnas in till Skatteverket och eftersom Skatteverket skulle hantera rapporterna borde en ändring göras i skattedatabaslagen.55 Vi anser att det inte särskilt behöver anges i beskattningsdatalagen att med beskattningsverksamhet avses handläggning enligt lagen om automatiskt utbyte av land-för-land-
54Prop. 2015/16:29, En global standard för automatiskt utbyte av upplysningar om finansiella
konton, s. 119 och 209.
55Prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatte-
området, s. 62 och 83.
rapporter på skatteområdet och 33 a kap. SFL då det bedöms falla in under punkterna fullgörande av förpliktelser som följer av internationella åtaganden samt annan liknande uppgift som Skatteverket ska utföra.
I 1 kap. 4 § 6 d föreskrivs att uppgifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för handläggning enligt 33 b kap. SFL. Ändringen genomfördes i samband med genomförandet av rådets direktiv (EU) 2018/822 av den 25 maj 2018 om ändring av direktiv 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplysningar i fråga om beskattning som rör rapporteringspliktiga gränsöverskridande arrangemang (DAC 6). Syftet med direktivet är bl.a. att ge skattemyndigheterna tidig information om nya former av aggressiv skatteplanering och i vilken utsträckning de används. I samband med ändringen i skattedatabaslagen uttalade regeringen att det kunde ifrågasättas om inte den behandling av uppgifter som den föreslagna regleringen i 33 b kap. SFL gav upphov till hos Skatteverket i sin helhet omfattades av de befintliga ändamålen om revision och annan analys- eller kontrollverksamhet samt för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. För att säkerställa att uppgifterna fick behandlas för berörda ändamål ansåg regeringen dock att det borde införas en ny ändamålsbestämmelse i 1 kap. 4 § SdbL som uttryckligen angav att uppgifter även fick behandlas för att tillhandahålla information som behövdes hos Skatteverket för handläggning enligt 33 b kap. SFL.56
I likhet med vad som anförs ovan om andra uppgifter Skatteverket har att utföra enligt EU-rättslig reglering anser vi att Skatteverkets handläggning enligt 33 b kap. SFL får anses falla under begreppet beskattningsverksamhet i den nya lagen genom att det avser fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Som föreslås ovan kommer det även anges att med beskattningsverksamhet avses revision och annan analys eller kontroll. Mot denna bakgrund anser vi att det inte särskilt behöver anges att lagen omfattar myndighetens handläggning enligt 33 b kap. skatteförfarandelagen.
I 1 kap. 4 § 6 g SdbL anges handläggning enligt lagen (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen (2022:1682) om automatiskt utbyte av upplysningar
56Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som
rör rapporteringspliktiga gränsöverskridande arrangemang, s. 174.
om inkomster genom digitala plattformar och 22 c kap. SFL som ytterligare ett särskilt ändamål. Även detta ändamål infördes till följd av EU-rättslig reglering, nämligen i samband med genomförandet av rådets direktiv (EU) 2021/514 av den 22 mars 2021 om ändring av direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning. I likhet med andra nya ändamålsbestämmelser som redogörs för ovan infördes det aktuella ändamålet av tydlighetsskäl. I samband härmed anförde regeringen att det kunde ifrågasättas om det dock inte redan omfattades av ändamålen i den nuvarande 1 kap. 4 § 1, 4 och 7 SdbL.57 Av samma skäl som enligt våra bedömningar ovan avseende de nuvarande särskilda ändamålen som knyter an till EU-rättslig reglering anser vi att motsvarande ändamål som i dag anges i 1 kap. 4 § 6 g SdbL inte behöver anges särskilt i den nya beskattningsdatalagen för att det ska vara tillräckligt tydligt att sådan verksamhet omfattas av Skatteverkets beskattningsverksamhet.
Vidare finns i 1 kap. 4 § 8 ett särskilt ändamål som avser hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige. Ändamålet infördes i samband med genomförande av Europaparlamentets och rådets direktiv 2009/52/EG av den 18 juni 2009 om minimistandarder för sanktioner och åtgärder mot arbetsgivare för tredjelandsmedborgare som vistas olagligt (sanktionsdirektivet). Skatteverket utsågs då till behörig myndighet att motta underrättelser från arbetsgivare om anställning av utlänningar. Regeringen uttalade i förarbetena att Skatteverkets uppgift enligt föreslagen lagstiftning huvudsakligen skulle komma att vara att registrera uppgifter som eventuellt kunde behövas för handläggning av annan myndighets utredningsärenden. Troligen skulle dock endast ett mindre antal av de registrerade uppgifterna komma att användas av andra myndigheter. Uppgifterna skulle således inte komma att regelmässigt användas av andra myndigheter. Ändamålet med Skatteverkets behandling av uppgifterna kunde därför enligt regeringen varken sägas vara av rent primär eller sekundär karaktär. För att syftet med behandlingen av uppgifterna skulle kunna uppfyllas krävdes enligt regeringen att Skatteverket kunde behandla även känsliga uppgifter. Ändamålet borde därför en-
57Prop. 2022/23:6, Rapportering och utbyte av upplysningar om inkomster genom digitala platt-
formar och vissa andra ändringar i EU:s direktiv om administrativt samarbete på direktskatteområdet, s. 168.
ligt regeringen vara att klassificera som ett primärt sådant. Regeringen föreslog därför att en ny ändamålsbestämmelse skulle föras in i 1 kap. 4 § SdbL.58 Även Skatteverkets uppgifter enligt lagen om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige får enligt vår mening anses falla in under fullgörande av förpliktelser som följer av internationella åtaganden och annan liknande uppgift som Skatteverket ska utföra. Det behöver därför inte tydliggöras särskilt i den nya lagens tillämpningsområde.
I dag anges även tillsyn, kontroll, uppföljning och planering av verksamheten som ett särskilt ändamål i 1 kap. 4 § 10 SdbL. I förarbetena anges att Skatteverket skulle ha möjlighet att som ett led i beskattningsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden. Vad som avsågs var alltså intern kontroll av och tillsyn över den löpande verksamheten, i motsats till extern kontroll och tillsyn.59 I förarbetena till dataskyddslagen uttalade regeringen att alla myndigheter, såväl statliga som kommunala, vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Som exempel nämndes bl.a. olika former av uppföljning och utvärdering av den egna verksamheten. Vidare uttalade regeringen att behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är rättsligt grundad enligt dataskyddsförordningen och det krävs inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt.60
Vi anser att sådana åtgärder inte utgör en så fristående del av Skatteverkets verksamhet att det särskilt behöver anges i regleringen av beskattningsdatalagens tillämpningsområde. Det är i stället den verksamhet som följer av den materiella verksamhetsregleringen som medför ett behov av att tydliggöra omfattningen av tillämpningsområdet. När sådana mer administrativa åtgärder utförs som ett led i t.ex. Skatteverkets beskattningsverksamhet ska dock den föreslagna regleringen i beskattningsdatalagen tillämpas vid behandling av personuppgifter.
58Prop. 2012/13:125, Genomförande av direktivet om sanktioner mot arbetsgivare, s. 37–38. 59Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 60Prop. 2017/18:105, Ny dataskyddslag, s. 60–61.
7.4.6. Folkbokföringsdatalagens tillämpningsområde
Vårt förslag: Folkbokföringsdatalagen ska gälla vid behandling av
personuppgifter i Skatteverkets folkbokföringsverksamhet.
Med Skatteverkets folkbokföringsverksamhet ska enligt folkbokföringsdatalagen avses
1. folkbokföring,
2. samordningsnummer,
3. samordnad behandling, kontroll och analys av identifierings-
uppgifter för fysiska personer och av andra folkbokföringsuppgifter,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. annan liknande uppgift som Skatteverket ska utföra.
Vår bedömning: Folkbokföringsdatalagen bör inte omfatta be-
handling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer.
Skälen för vårt förslag och vår bedömning
Den nuvarande regleringen
Den nu gällande folkbokföringsdatabaslagen är tillämplig vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Lagen gäller också vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen (2022:1697) om samordningsnummer.61 Frågan om den nya folkbokföringsdatalagen bör omfatta behandling av personuppgifter i passmyndigheternas verksamhet, vilket nyligen lades till i folkbokföringsdatabaslagens tillämpningsområde62, behandlas särskilt nedan. I övrigt har tillämpningsområdet för folkbokföringsdatabaslagen inte utvid-
61 1 kap. 1 § första och andra styckena FdbL. 62 Se prop. 2021/22:276, bet. 2022/23:SkU4, rskr. 2022/23:40.
gats utöver att lagen gäller i Skatteverkets folkbokföringsverksamhet sedan den trädde i kraft 1 oktober 2001.
När folkbokföringsdatabaslagen infördes uttalade regeringen att lagen skulle omfatta behandling av personuppgifter för folkbokföringsverksamheten och aviseringsverksamheten.63 Då gällde enligt 2 § lagen (1990:1536) om folkbokföringsregister att folkbokföringsregistren fick användas för samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av uppgifter för förvaring hos statliga arkivmyndigheter. Vidare fick aviseringsregistret enligt 2 § lagen (1995:743) om aviseringsregister användas för aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter. Aviseringsregistret fick i huvudsak endast användas av myndigheter. Regeringen fick dock föreskriva att även annan än myndighet får använda registret. Med stöd härav hade regeringen föreskrivit att registret fick användas av Svenska kyrkan.
Folkbokföringsdatabaslagen innehåller inte någon definition av vad som avses med folkbokföringsverksamhet. En definition av folkbokföring finns dock i dag i 1 kap. 1 § folkbokföringslagen (1991:481), FOL. Enligt denna innebär folkbokföring enligt den lagen fastställande av en persons bosättning samt registrering av de uppgifter om personen som enligt folkbokföringsdatabaslagen får förekomma i folkbokföringsdatabasen. Att Skatteverkets folkbokföringsverksamhet är ett vidare begrepp än folkbokföring och även innefattar myndighetens befattning med registrering av uppgifter om personer med samordningsnummer framgår av folkbokföringsdatabaslagen.64 Vilka uppgifter som får förekomma i folkbokföringsdatabasen anges i dag i 2 kap. 2–5 §§ FdbL.
Den legala definitionen av folkbokföring hänvisar alltså i dag till vad som framgår av databasregleringen. I avsnitt 9.4.5 föreslår vi att den legala definitionen av folkbokföring i stället ska framgå av folkbokföringslagen, genom att en ny bestämmelse införs i den lagen, som motsvarar vad som gäller enligt databasregleringen. Det innebär att folkbokföringsdatalagen inte i sig själv kommer att utgöra en rättslig grund för behandling av personuppgifter på det sätt som folkbokföringsdatabaslagen gör i dag.
63Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 139. 64Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43–44.
Den nya folkbokföringsdatalagens materiella tillämpningsområde
Den nya folkbokföringsdatalagen bör ha samma materiella tillämpningsområde som folkbokföringsdatabaslagen, med undantag för viss verksamhet som utförs av passmyndigheterna vilket behandlas närmare nedan. Folkbokföringsdatalagen föreslås därför omfatta behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Detta ska enligt vår mening komma till uttryck direkt i lagtexten.
I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya folkbokföringsdatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande folkbokföringsdatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. I jämförelse med vad som ovan redogörs för i fråga om Skatteverkets beskattningsverksamhet kommer det inte leda till lika stora otydligheter avseende vad som kommer att omfattas av den nya lagen. Även i den nuvarande folkbokföringsdatabaslagen kan det dock av regleringens tillämpningsområde sett tillsammans med för vilka ändamål uppgifter får behandlas sägas framgå tydligare vad personuppgiftsbehandlingen i folkbokföringsverksamheten omfattar.
Med anledning av att vi föreslår att ändamålsregleringen inte ska överföras till den nya lagen på det detaljerade sätt som finns i dag anser vi dock att det även i folkbokföringsdatalagen bör införas en reglering i anslutning till bestämmelsen om lagens tillämpningsområde som tydliggör vad som avses med folkbokföringsverksamhet i lagen. På detta sätt kommer det fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt folkbokföringsdatabaslagen i dag, med de undantag som nämns ovan. Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt folkbokföringsdatabaslagen i dag, vilket regleras i 1 kap. 4 § FdbL. I det följande behandlas vad som i den nya folkbokföringsdatalagen ska avses med Skatteverkets folkbokföringsverksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
Vad innefattas i Skatteverkets folkbokföringsverksamhet?
I folkbokföringsdatalagen ska för det första anges att Skatteverkets folkbokföringsverksamhet avser folkbokföring och samordningsnummer. Detta anges inte i dag som särskilda ändamål i 1 kap. 4 § FdbL men omfattas av den nuvarande databasregleringen i 2 kap. 3 § FdbL. I avsnitt 9.4.5 föreslår vi ändringar i folkbokföringslagen avseende bestämmelsen i 1 § FOL som i dag reglerar vad som avses med folkbokföring enligt den lagen. Vår avsikt är att begreppet folkbokföring i folkbokföringsdatalagen ska ha samma innebörd som i folkbokföringslagen. Folkbokföring kommer med våra förslag att innebära fastställande av en persons bosättning samt registrering av de uppgifter om denne som får registreras enligt den föreslagna bestämmelsen i 1 a § FOL.
Inom Skatteverkets folkbokföringsverksamhet handläggs emellertid även ärenden som har annan materiell grund än folkbokföringslagen. Det rör t.ex. myndighetens prövning av ansökningar om förvärv eller ändring av ett personnamn enligt lagen (2016:1013) om personnamn eller av om det finns något hinder mot att ett äktenskap ingås enligt 3 kap. äktenskapsbalken.65 Prövning av sådana andra typer av ärenden, som ingår i folkbokföringsverksamheten, faller i dag in under ändamålet handläggning av folkbokföringsärenden i 1 kap. 4 § första stycket 2 FdbL. Regeringen anförde i förarbetena till lagen om samordningsnummer att med anledning av förslaget att de bestämmelser som reglerade samordningsnummer skulle utmönstras ur folkbokföringslagen och föras in i en egen författning var det angeläget att i det sammanhanget i folkbokföringslagen också återställa innebörden av begreppet folkbokföring till fastställande av en persons bosättning och registrering av de uppgifter om denne som får förekomma i folkbokföringsdatabasen.66 En ändring av 1 § FOL har sedan dess införts. Vi föreslår som tidigare nämnts att den paragrafen ska justeras genom att bl.a. hänvisningen till folkbokföringsverksamhetens registerlag tas bort och att det införs en ny reglering i folkbokföringslagen. De beslut som Skatteverket fattar enligt t.ex. lagen om personnamn innebär inte i sig själva registrering av vissa uppgifter om den aktuella personen, även om exempelvis ett bifall av en ansökan om att byta personnamn också leder till ändrad registrering i folkbok-
65 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 68. 66Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43.
föringen (jfr 2 § FdbF). Inte heller t.ex. ärenden om hindersprövning enligt äktenskapsbalken inför ingående av äktenskap leder i sig till registrering i folkbokföringen.
För att följa lagstiftarens intentioner avseende vad som innefattas i begreppet folkbokföring respektive folkbokföringsverksamhet anser vi att t.ex. handläggning av ärenden som rent faktiskt inte avser fastställande av en persons bosättning eller registrering av uppgifter om denne som får registreras inte ska anses ingå i begreppet folkbokföring i den nya lagen. Sådana ärenden får enligt vår uppfattning anses ingå i det vidare begreppet folkbokföringsverksamhet (se nedan).
Vidare anges i dag i 1 kap. 1 § lagen om samordningsnummer att ett samordningsnummer är en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. Med samordningsnummer i folkbokföringsdatalagen ska avses samma sak som i lagen om samordningsnummer.
Vi föreslår också att det i den nya lagen ska anges att folkbokföringsverksamhet avser samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Motsvarande lydelse finns i dag i 1 kap. 4 § första stycket 1 FdbL. I förarbetena till ändamålsbestämmelsen uttalade regeringen att det inom ramen för folkbokföringsverksamheten ingick att fullgöra vissa kvalitetskontroller när uppgifter skulle registreras i databasen samt göra kontroller och analyser av riktigheten av registrerade uppgifter. Kontroll av uppgifter om identitet, bosättning och familjerättsliga förhållanden ansågs enligt regeringen vara en viktig del av folkbokföringsverksamheten. Detta förutsatte bl.a. att urvalskontroller gjordes, dvs. analyser av vilka personer som skulle granskas. Regeringen bedömde att denna verksamhet borde framgå av ändamålsbestämmelsen på motsvarande sätt som gällde för beskattningsverksamheten.67 För att det ska vara tydligt att folkbokföringsdatalagen gäller när Skatteverket behandlar personuppgifter vid utförandet av sådana uppgifter anser vi att det finns skäl att uttryckligen ange att detta är en del av folkbokföringsverksamheten och därmed även den nya lagens tillämpningsområde.
Vi anser också att det uttryckligen ska framgå att med folkbokföringsverksamhet avses framställning av personbevis och andra registerutdrag, vilket anges som ett särskilt ändamål i 1 kap. 4 § första stycket 4 i dag. Det särskilda ändamålet har som ovan framgår sitt
67Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.
ursprung i den tidigare gällande lagen om folkbokföringsregister. Punkten införs i tillämpningsområdet för att det ska vara tydligt att den nya lagen omfattar sådan personuppgiftsbehandling som behöver utföras till följd av Skatteverkets uppgifter i denna del och att det är en del av folkbokföringsverksamheten.
Det ska också anges att begreppet folkbokföringsverksamhet omfattar aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter. Även detta anges som särskilda ändamål i dag (1 kap. 4 § första stycket 5 och 6 FdbL). Ändamålen fanns ursprungligen i den tidigare gällande lagen om aviseringsregister, vilket reglerade ett register som syftade till tillhandahållande av folkbokföringsuppgifter för hela landet.68 Att folkbokföringen fortsatt har i uppdrag att förse andra med folkbokföringsuppgifter framgår bl.a. av 2 § förordningen (2017:154) med instruktion för Skatteverket. Där anges bl.a. att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Sådan verksamhet som här avses ingår i folkbokföringsverksamheten även i dag. För att det ska vara tydligt att Skatteverket ska utföra aktuella uppgifter inom folkbokföringsverksamheten finner vi skäl att föreslå att det uttryckligen ska framgå i regleringen av den nya folkbokföringsdatalagens tillämpningsområde.
Slutligen anser vi att det ska anges att med folkbokföringsverksamhet avses annan liknande uppgift än de ovan uppräknade som Skatteverket ska utföra. Med denna lydelse avses ytterligare andra uppgifter som Skatteverket ska utföra, och som kan anses ha en så nära koppling till de övriga punkterna om vad som utgör folkbokföringsverksamhet att det inte behöver anges särskilt. Avsikten är, på samma sätt som ovan anges avseende beskattningsverksamheten, att sådana uppgifter ska omfattas av tillämpningsområdet genom att de avser folkbokföringsverksamhet. I detta ingår också uppgifter med koppling till folkbokföringsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i folkbokföringsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska be-
68 1 § lagen om aviseringsregister.
handlas automatiserat enligt den nya lagen. På samma sätt som anges ovan i avsnitt 7.4.5 avseende beskattningsverksamheten blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under folkbokföringsdatalagen, eller om tillämpningsområdet behöver utökas.
Som ett exempel på annan liknande uppgift som Skatteverket ska utföra inom folkbokföringsverksamheten men som vi inte anser behöver anges uttryckligen är handläggning av folkbokföringsärenden enligt den materiella regleringen av detta (se vidare nedan). Vidare finns vissa typer av ärenden som Skatteverket handlägger inom ramen för folkbokföringsverksamheten vilka har sin materiella grund även i annan lagstiftning än folkbokföringslagen. Det handlar t.ex. som ovan nämnts om bestämmelser i lagen om personnamn avseende myndighetens prövning av frågor rörande personnamn och i äktenskapsbalken i fråga om myndighetens prövning av äktenskapshinder. Även handläggning av sådana ärenden omfattas av den nya lagens tillämpningsområde.
Folkbokföringsverksamheten i övrigt
I dag finns ett särskilt ändamål i 1 kap. 4 § första stycket 2 som föreskriver att uppgifter får behandlas för att tillhandahålla information som behövs för handläggning av folkbokföringsärenden. Skatteverkets handläggning av folkbokföringsärenden enligt den materiella regleringen om detta i bl.a. folkbokföringslagen får anses vara ett naturligt led i myndighetens folkbokföringsverksamhet. Detsamma gäller egentligen all handläggning av ärenden som utförs av Skatteverkets folkbokföringsverksamhet. Vi anser därför att det inte uttryckligen behöver anges för att det ska vara tydligt att folkbokföringsdatalagen även omfattar sådana åtgärder.
I 1 kap. 4 § första stycket 3 anges att uppgifter får behandlas för fullgörande av underrättelseskyldighet enligt lag eller förordning. Vi anser att detta är en så integrerad del av folkbokföringsverksamheten att det inte särskilt behöver anges som en del av tillämpningsområdet. Det kommer vidare att framgå av 7 § i den föreslagna folkbokföringsdatalagen att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
I likhet med skattedatabaslagen innehåller den nuvarande folkbokföringsdatabaslagen ett ändamål om tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten (1 kap. 4 § första stycket 7). I förarbetena till den bestämmelsen angav regeringen att det dåvarande Riksskatteverket och skattemyndigheterna måste ha möjlighet att som ett led i folkbokföringsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden.69Detta gör sig fortfarande gällande i Skatteverkets folkbokföringsverksamhet. Av samma skäl som ovan anförs i avsnitt 7.4.5 avseende beskattningsverksamheten anser vi att sådana åtgärder som rör Skatteverkets egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av folkbokföringsdatalagens tillämpningsområde.
Folkbokföringsdatalagen bör inte omfatta personuppgiftsbehandling i viss del av passmyndigheternas verksamhet
Som redan nämnts omfattar folkbokföringsdatabaslagen i dag behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (1 kap. 1 § FdbL). Tillämpningsområdet utökades på detta sätt när passmyndigheterna gavs i uppgift att utföra vissa identitetskontroller i samband med bl.a. tilldelning av samordningsnummer som innebar att behandling av personuppgifter behövde utföras. Skatteverket och passmyndigheterna ålades då att ansvara för den behandling av personuppgifter som respektive myndighet utför i detta sammanhang, vilket framgår av 1 kap. 5 § FdbL.70
I avsnitten 9.4.6 och 9.4.9 föreslår vi att vissa integritetshöjande bestämmelser avseende de aktuella personuppgifterna flyttas från dataskyddsregleringen för folkbokföringsverksamheten till den materiella regleringen av Skatteverkets verksamhet med folkbokföring respektive samordningsnummer. I avsnitt 7.6.2 gör vi därför bedömningen att det inte bör införas en reglering i den nya folkbokföringsdatalagen som motsvarar den nu gällande bestämmelsen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför
69Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140. 70Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 80–83.
enligt den lagen. Vi anser att det är tillräckligt att regleringen i dataskyddsförordningen och dataskyddslagen gäller för den behandling passmyndigheterna behöver utföra vid identitetskontroller i samband med bl.a. tilldelning av samordningsnummer. Denna bedömning medför enligt vår mening att det inte finns något behov av att i den nya folkbokföringsdatalagens tillämpningsområde ange att den gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer. Vi anser därför att en bestämmelse motsvarande den som finns i 1 kap. 1 § andra stycket FdbL inte bör införas i folkbokföringsdatalagen.
7.4.7. Tulldatalagens tillämpningsområde
Vårt förslag:Tulldatalagen ska gälla vid behandling av person-
uppgifter i Tullverkets verksamhet
1. med bestämmande, redovisning, betalning och återbetalning
av tull, skatt och avgifter,
2. med övervakning, revision och annan analys eller kontroll,
3. i fråga om förbud och restriktioner i samband med in- och ut-
försel av varor och i samband med att varor hänförs till ett tullförfarande,
4. med fullgörande av förpliktelser som följer av internationella
åtaganden, och
5. med annan liknande uppgift som Tullverket ska utföra.
Bestämmelserna i tulldatalagen ska inte gälla vid behandling av personuppgifter som omfattas av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Skälen för vårt förslag
Den nuvarande regleringen
Av 1 kap. 1 § första stycket TDL framgår bl.a. att lagen är tillämplig vid behandling av personuppgifter i Tullverkets verksamhet. I förarbetena till den nuvarande regleringen finns inte några utförliga redo-
görelser för vad som avsågs omfattas av begreppet Tullverkets verksamhet. Lagen ersatte dock den tidigare tullregisterlagen (1990:137) som reglerade behandling av personuppgifter inom Tullverkets fiskala verksamhet. I en bestämmelse i lagens 2 § angavs vad tullregistret fick användas för, genom vilken det gick att utläsa vilken verksamhet som avsågs. Dessa bestämmelser om ändamål fördes i princip över till tulldatabaslagen endast med vissa redaktionella ändringar.71 Utöver vissa justeringar av tulldatabaslagens tillämpningsområde i förhållande till myndighetens brottsbekämpande verksamhet har ändringar inte gjorts sedan lagen infördes.
Den nya tulldatalagens materiella tillämpningsområde
Den nya tulldatalagen bör ha samma materiella tillämpningsområde som tulldatabaslagen. Tulldatalagen föreslås därför som utgångspunkt omfatta behandling av personuppgifter i Tullverkets verksamhet.
I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya tulldatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande tulldatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. Mot bakgrund av hur tulldatabaslagen är utformad i dag kan det komma att leda till vissa otydligheter avseende vad som kommer att omfattas av den nya lagen. Med anledning av att vi föreslår att dagens detaljerade ändamålsreglering inte ska överföras till den nya lagen anser vi att det i tulldatalagen bör införas en reglering i anslutning till bestämmelsen om lagens tillämpningsområde som tydliggör vad som avses med Tullverkets verksamhet i lagen. På detta sätt kommer det enligt vår mening fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde i fråga om vad som avses med Tullverkets verksamhet eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt tulldatabaslagen i dag. Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt 1 kap. 4 § TDL. I det följande behandlas vad som i den nya tulldatalagen ska avses med Tullverkets verksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
71Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
Vad innefattas i Tullverkets verksamhet?
I bestämmelsen om tulldatalagens tillämpningsområde ska för det första anges att lagen gäller vid behandling av personuppgifter i Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Det gör det tydligt att lagen omfattar utförandet av sådana uppgifter som är ett led i Tullverkets fiskala verksamhet. Lydelsen motsvarar vad som i dag anges som ett särskilt ändamål i 1 kap. 4 § 1 TDL.
Vidare bör det uttryckligen anges att tulldatalagen gäller i Tullverkets verksamhet med övervakning, revision och annan analys eller kontroll. Detta utgör en stor och mycket nödvändig del av Tullverkets verksamhet och utfallet av sådana åtgärder ligger ofta till grund för bl.a. myndighetens bestämmande av tull, skatt och avgifter. Det finns därför skäl att tydliggöra att den behandling av personuppgifter som då behöver utföras omfattas av regleringen i tulldatalagen.
Vi anser att det också bör tydliggöras att Tullverkets verksamhet i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande omfattas av lagens tillämpningsområde. Detta anges inte som ett särskilt ändamål eller i någon annan bestämmelse i tulldatabaslagen i dag. Vårt förslag i denna del till förtydligande av att det omfattas av Tullverkets verksamhet är en följd av de särskilda import- eller exportbestämmelser, dvs. restriktioner, som finns för vissa varor och som främst härrör från EU-rättslig reglering. För sådana varor krävs i vissa fall en licens eller ett tillstånd innan import är tillåten. Restriktionerna har bl.a. införts av handelspolitiska skäl, av hänsyn till miljön och människors hälsa eller säkerhet samt för att förhindra spridning av djur- och växtsjukdomar. Tullverkets uppgifter som är hänförliga till denna reglering utgör inte ett direkt eller närliggande led i verksamheten med att säkerställa en korrekt uppbörd, men de kan anses falla under fullgörande av förpliktelser som följer av internationella åtaganden (se nedan). För att tydligt knyta an till Tullverkets uppgifter att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs72 anser vi dock att det finns skäl att tydliggöra att tulldatalagen även omfattar denna verksamhet. Vi föreslår att det ska anges särskilt i lagen.
72 Se 2 § förordningen (2016:1332) med instruktion för Tullverket.
Vi föreslår också att det i lagen särskilt ska anges att den gäller vid behandling av personuppgifter i Tullverkets verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden. Motsvarande anges i dag i ett särskilt ändamål i 1 kap. 4 § 3 TDL och infördes i samband med tulldatabaslagens ikraftträdande. I förarbetena anges att införandet ändamålet var en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. tull- och punktskatteområdet. Dessa skyldigheter kunde innebära att personuppgifter och andra uppgifter var tvunget att behandlas på sätt som saknade direkt relevans för den nationella fiskala verksamheten.73 Av motsvarande skäl som anges ovan i avsnitt 7.4.5 om Skatteverkets beskattningsverksamhet anser vi att det uttryckligen bör anges att fullgörandet av sådana förpliktelser som följer av bl.a. EU-rättslig lagstiftning omfattas av tulldatalagens tillämpningsområde genom att det utgör en del av Tullverkets verksamhet.
Slutligen anser vi att det ska anges att lagen gäller vid behandling av personuppgifter i Tullverkets verksamhet med annan liknande uppgift som Tullverket ska utföra än de ovan uppräknade. Med denna lydelse avses ytterligare andra uppgifter som Tullverket ska utföra, och som kan anses ha en nära koppling till Tullverkets verksamhet utan att det kan anses falla under övriga föreslagna punkter. I detta ingår också uppgifter med koppling till den verksamhet som ska utföras på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i tulldatalagen inte göras varje gång Tullverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska behandlas automatiserat enligt den nya lagen. På samma sätt som ovan anges för Skatteverkets beskattnings- och folkbokföringsverksamheter blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under tulldatalagen, eller om tillämpningsområdet behöver utökas (se avsnitten 7.4.5 och 7.4.6).
Exempelvis anser vi att uppgifter som behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer (jfr 1 kap. 4 a § TDL) bör omfattas av begreppet annan lik-
73Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
nande uppgift som Tullverket ska utföra (se vidare om detta nedan). Ett annat exempel är behandling av personuppgifter vid förebyggande informationsinsatser och service som förklarar hur tullproceduren går till, vilket är ett led i Tullverkets arbete med att minska skattefelet.
Tullverkets verksamhet i övrigt
I likhet med vad som gäller för Skatteverkets beskattnings- och folkbokföringsverksamheter anges i 1 kap. 4 § 4 TDL i dag att uppgifter får behandlas för att tillhandahålla information som behövs hos Tullverket för tillsyn, kontroll, uppföljning och planering av verksamheten. I förarbetena till den bestämmelsen uppgav regeringen att Tullverket måste ha möjlighet att som ett led i den fiskala verksamheten behandla personuppgifter med syfte att kartlägga denna, dvs. följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden.74 Detta gör sig fortfarande gällande. Av samma skäl som ovan anförs i avsnitt 7.4.5 avseende beskattningsverksamheten anser vi att sådana åtgärder som rör Tullverkets egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av tulldatalagens tillämpningsområde.
Vidare anges i dag som ett särskilt ändamål i 1 kap. 4 a § TDL att uppgifter får behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer. Bestämmelsen infördes i samband med införandet av ändringar som behövde göras i den svenska lagstiftningen till följd av att det i EU-rätten infördes regler om enhetstillstånd vid övergång till fri omsättning och export, dvs. ett tillstånd som medgav att en importör eller exportör fullgjorde sina deklarations- och betalningsskyldigheter beträffande tull gentemot en viss tullmyndighet även om varorna rent fysiskt importerades till eller exporterades från en annan medlemsstat. Det infördes vidare bestämmelser i 2 kap. 8 a § TDL som medgav att Tullverket offentliggjorde förteckningar över medgivna tillstånd och innehavare av certifikat för godkända ekonomiska aktörer via Internet.75 Denna paragraf upphävdes i samband med att en ny tullag infördes 2016.76
74Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177. 75Prop. 2009/10:63, Enhetstillstånd för förenklade förfaranden – nya bestämmelser i EG:s tullag-
stiftning, s. 1.
76 2 kap. 8 a § upphävd genom SFS 2016:276.
I motiveringen till införandet av bestämmelsen i 1 kap. 4 a § TDL, då det tidigare dataskyddsdirektivet från 199577 gällde, anförde regeringen att för att undanröja eventuella tveksamheter beträffande om uppgifter fick behandlas för ändamålet att göra dem tillgängliga för allmänheten, föreslogs en ny ändamålsbestämmelse om detta.78
Vi anser att Tullverkets uppgifter i dessa delar har en så nära koppling till myndighetens fiskala verksamhet att det inte uttryckligen behöver regleras i tulldatalagens tillämpningsområde då det faller in under begreppet annan liknande uppgift som Tullverket ska utföra. Det bedöms även vara en del av Tullverkets verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden.
Tulldatalagen ska inte gälla vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet
I 1 kap. 1 § TDL tredje stycket föreskrivs att lagen inte gäller vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. En bestämmelse med motsvarande innebörd har funnits med i regleringen av tulldatabaslagens tillämpningsområde sedan lagen infördes. När den nu gällande lydelsen infördes i samband med att lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område trädde i kraft uttalade regeringen det i fortsättningen skulle avgöras utifrån syftet med behandlingen vilken reglering som är tillämplig när personuppgifter behandlas i Tullverkets brottsbekämpande verksamhet. Om syftet är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott tillämpas brottsdatalagen och lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, medan dataskyddsförordningen med kompletterande lagstiftning är tillämplig om syftet ligger utanför dessa lagars tillämpningsområden.79I 1 kap. 1 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område anges att den lagen gäller utöver brottsdatalagen när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa uppbörd.
77 Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 78Prop. 2009/10:63, Enhetstillstånd för förenklade förfaranden – nya bestämmelser i EG:s tullag-
stiftning, s. 37.
79Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 385.
Tullverket är organiserat så att verksamheten som faller inom ramen för tulldatabaslagens tillämpningsområde och den brottsbekämpande verksamheten inte anses utgöra två separata verksamhetsgrenar varemellan sekretess råder.80 Detta skiljer sig från Skatteverkets beskattningsverksamhet och brottsbekämpande verksamhet. Eftersom Tullverkets behandling av personuppgifter i myndighetens brottsbekämpande verksamhet regleras i lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, bör sådan behandling av tydlighetsskäl uttryckligen undantas från den nya tulldatalagens tillämpningsområde. Vi föreslår därför att tulldatalagen inte ska gälla vid behandling av personuppgifter som omfattas av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
7.4.8. Kronofogdedatalagens tillämpningsområde
Vårt förslag: Kronofogdedatalagen ska gälla vid behandling av
personuppgifter i Kronofogdemyndighetens verksamhet med
1. utsökning och indrivning,
2. skuldsanering och F-skuldsanering,
3. betalningsföreläggande och handräckning,
4. europeiskt betalningsföreläggande,
5. ansökan om och tillsyn över näringsförbud,
6. tillsyn i konkurs och över rekonstruktörer,
7. att motverka överskuldsättning,
8. analys eller kontroll,
9. fullgörande av förpliktelser som följer av internationella åtag-
anden, och 10. annan liknande uppgift som Kronofogdemyndigheten ska ut-
föra.
80 Jfr 8 kap. 2 § OSL.
Den föreslagna bestämmelsen om att Kronofogdemyndigheten på begäran av en enskild snarast ska rätta, blockera eller utplåna sådana uppgifter om den enskilde som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser ska även gälla vid behandling av uppgifter om juridiska personer. Detsamma gäller Kronofogdemyndighetens underrättelseskyldighet i fråga om sådan åtgärd. Även den föreslagna bestämmelsen om överklagande av sådana beslut om rättelse m.m. ska gälla vid behandling av uppgifter om juridiska personer.
Bestämmelserna i kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning.
Skälen för vårt förslag
Den nuvarande regleringen
I 1 kap. 1 § första stycket KFMdbL anges bl.a. att lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten.
När kronofogdedatabaslagen infördes fanns tio regionala kronofogdemyndigheter i stället för den i dag rikstäckande myndigheten benämnd Kronofogdemyndigheten. Inom de dåvarande kronofogdemyndigheternas områden föll ett flertal verksamheter av skilda slag. Det var verksamhet med utsökning och indrivning, skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs. Dessutom fanns det vissa mindre arbetsuppgifter som särskilt åvilade kronofogdemyndigheterna. De register som fördes för de olika verksamhetsområdena var tidigare reglerade i olika författningar. Genom kronofogdedatabaslagen kom dock verksamheterna att omfattas av en gemensam reglering.81
81Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156.
De mindre arbetsuppgifter som avsågs var upptagning av protester av växlar och checkar, registrering av avhandlingar om lösöreköp, beslut när arbetsgivare ska utnyttja sin kvittningsrätt mot arbetstagare, processer i vissa lönegarantimål, kallelse på okända borgenärer samt underrättelser till målsägande i brottmål. I fråga om dessa mindre arbetsuppgifter ansåg regeringen att behandling av uppgifterna inte behövde regleras i en eller flera för ändamålen särskilt inrättade databaser. Då behandlades personuppgifter avseende dessa områden i kronofogdemyndigheternas allmänna diarier. Behandling av personuppgifter för dessa syften, med undantag från processer i vissa lönegarantimål, borde enligt regeringen omfattas av bestämmelserna i utsöknings- och indrivningsdatabasen. Den behandling av personuppgifter som behövde utföras när kronofogdemyndigheterna förde statens talan i processer enligt lönegarantilagen (1992:497), åvilade tillsynsmyndigheterna i konkurs. Sådan behandling borde därför enligt regeringen regleras gemensamt med behandling av ärenden i konkurstillsynsdatabasen.82
Den nya kronofogdedatalagens materiella tillämpningsområde
Den nya kronofogdedatalagen bör ha samma materiella tillämpningsområde som kronofogdedatabaslagen. Kronofogdedatalagen föreslås därför som utgångspunkt omfatta behandling av personuppgifter i Kronofogdemyndighetens verksamhet.
I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya kronofogdedatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande kronofogdedatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. Mot bakgrund av hur kronofogdedatabaslagen är utformad i dag kan det komma att leda till vissa otydligheter avseende vad som kommer att omfattas av den nya lagen. Genom regleringen i den nuvarande kronofogdedatabaslagen kan tillämpningsområdet sett tillsammans med för vilka ändamål uppgifter får behandlas i de olika databaserna sägas ge en tydligare bild av vad personuppgiftsbehandlingen i Kronofogdemyndighetens verksamhet omfattar.
82Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 157.
Med anledning av att vi föreslår att ändamålsregleringen inte ska överföras till den nya lagen på det detaljerade sätt som finns i dag anser vi att det i kronofogdedatalagen bör införas en reglering i anslutning till bestämmelsen om lagens tillämpningsområde som definierar och på så sätt tydliggör vad som avses med Kronofogdemyndighetens verksamhet i lagen. På detta sätt kommer det enligt vår mening fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt kronofogdedatabaslagen i dag. Regleringen ska därför ha sin utgångspunkt i det nuvarande tillämpningsområdet samt för vilka primära ändamål uppgifter får behandlas enligt 2 kap. 2, 8, 14 och 20 §§ KFMdbL. I det följande behandlas vad som i den nya kronofogdedatalagen ska avses med Kronofogdemyndighetens verksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
Vad innefattas i Kronofogdemyndighetens verksamhet?
I bestämmelsen om kronofogdedatalagens tillämpningsområde ska för det första framgå att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande. Detta framgår även av den nu gällande kronofogdedatabaslagens tillämpningsområde.83 Någon skillnad i sak är inte avsedd.
Med utsökning och indrivning avses därmed bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m. och avräkning vid återbetalning av skatter och avgifter. Till denna verksamhet kan också hänföras t.ex. myndighetens uppgift att lämna underrättelser till målsäganden i brottmål, anmäla misstanke om brott och att fullgöra sina uppgifter enligt bötesverkställighetslagen (1979:189) med tillhörande förordning.84
83 1 kap. 1 § första stycket KFMdbL. 84 Jfr 2 kap. 2 § och 2 kap. 5 § KFMdbL samt 2 § KFMdbF.
Vad gäller Kronofogdemyndighetens verksamhet med skuldsanering och F-skuldsanering så omfattar det bl.a. handläggning av ärenden om skuldsanering och F-skuldsanering.85
I myndighetens verksamhet med betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande ingår t.ex. uppgifter såsom handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande, tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande.86
Vidare ska det av kronofogdedatalagen framgå att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med tillsyn i konkurs och över rekonstruktörer. Det ska också framgå att lagen gäller i myndighetens verksamhet med ansökan om och tillsyn över näringsförbud. I dag anges i kronofogdedatabaslagen att den lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med tillsyn i konkurs.87 Vi anser alltså att det fortsatt ska framgå att tillsyn i konkurs utgör en del i Kronofogdemyndighetens verksamhet varvid kronofogdedatalagen ska tillämpas på den personuppgiftsbehandling som behöver utföras i verksamheten. I denna del av myndighetens verksamhet ingår uppgifter såsom t.ex. handläggning av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497).88 Även inom ramen för tillsyn i konkurs kan det dock vara aktuellt med ansökan om näringsförbud enligt lagen (2014:836) om näringsförbud.
Tillsyn över rekonstruktörer kan alltså möjligen anses vara en del av konkurstillsynsverksamheten, medan ansökan om och tillsyn över näringsförbud möjligen kan ses som en del i verksamheten med utsökning och indrivning till följd av den nuvarande databasregleringen.89 Att dessa verksamheter har inordnats under konkurstillsyn respektive utsökning och indrivning i den nuvarande kronofogdedatabaslagen kan dock ha att göra med den nuvarande databasregleringens struktur. För detta talar till viss del att lagstiftaren vad gäller sekretess enligt 34 kap. 1 § OSL har valt att ange både utsökning och
85 Jfr 2 kap. 14 § KFMdbL. Jfr även 2 kap. 17 § KFMdbL och 4 § KFMdbF. 86 Jfr 2 kap. 8 § KFMdbL. Jfr även 2 kap. 11 § KFMdbL och 3 § KFMdbF. 87 1 kap. 1 § första stycket KFMdbL. 88 Jfr 2 kap. 20 § KFMdbL. Jfr även 2 kap. 22 § KFMdbL och 5 § KFMdbF. 89 Jfr 2 kap. 2 § 4 KFMdbL, prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull
och exekution, s. 158 och prop. 2021/22:215, En ny lag om företagsrekonstruktion, s. 327–329.
indrivning samt verksamhet enligt lagen (2014:836) om näringsförbud uttryckligen i sekretessbestämmelsen.
Att myndigheten har i uppgift att bedriva tillsyn över rekonstruktörer framgår av 1 § förordningen (2016:1333) med instruktion för Kronofogdemyndigheten och 7 kap. 1 § lagen (2022:964) om företagsrekonstruktion och anges som ett särskilt ändamål för konkurstillsynsdatabasen i 2 kap. 20 § 1 KFMdbL. Att Kronofogdemyndigheten ska utöva tillsyn över näringsförbud framgår av 41 § lagen om näringsförbud och anges även som ett särskilt ändamål för utsöknings- och indrivningsdatabasen i dag i 2 kap. 2 § 4 KFMdbL. Även om tillsyn över rekonstruktörer och ansökan om och tillsyn över näringsförbud i dag skulle anses omfattas av verksamheten med konkurstillsyn respektive utsökning och indrivning till följd av regleringen i kronofogdedatabaslagen anser vi att dessa uppgifter som myndigheten har att utföra uttryckligen ska anges i kronofogdedatalagens tillämpningsområde. Det gör det enligt vår mening tydligt att kronofogdedatalagen ska tillämpas vid den personuppgiftsbehandling som sker i all tillsynsverksamhet som Kronofogdemyndigheten ska bedriva enligt materiell verksamhetsreglering. Det korrelerar även bättre med gällande sekretessregler i verksamhet med utsökning och indrivning. Detta hindrar dock inte att dessa verksamheter samtidigt kan anses vara en del av verksamheten med tillsyn i konkurs respektive utsökning och indrivning, eller en separat verksamhet.
Vi anser följaktligen att det i den nya kronofogdedatalagen ska anges att lagen gäller i Kronofogdemyndighetens verksamhet med ansökan om och tillsyn över näringsförbud, respektive med tillsyn i konkurs och över rekonstruktörer.
Vidare anser vi att det i kronofogdedatalagen ska anges att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med att motverka överskuldsättning. Denna uppgift framgår inte av 1 kap. 1 § KFMdbL i dag. I 2 § förordningen med instruktion för Kronofogdemyndigheten framgår dock att Kronofogdemyndigheten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Att myndigheten får behandla uppgifter i utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och i förekommande fall Skatteverkets verksamhet för förebyggande av överskuldsättning framgår
av särskilda ändamålsbestämmelser för respektive databas.90 Med överskuldsättning avses en situation där gäldenärens skulder är så omfattande att det saknas möjlighet att infria förpliktelserna allteftersom skulderna förfaller till betalning och denna oförmåga inte är endast tillfällig.91
Verksamheten med att motverka överskuldsättning har av regeringen tidigare setts som en sådan annan verksamhet som särskilt åligger Kronofogdemyndigheten och som därmed inte behöver anges uttryckligen i kronofogdedatabaslagens tillämpningsområde (jfr 1 kap. 1 § KFMdbL). När förebyggande av överskuldsättning infördes som ett särskilt ändamål uttalade regeringen att verksamheten inte är en självständig verksamhet i förhållande till myndighetens verksamhet med utsökning och indrivning (verkställighet), betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande (summarisk process), skuldsanering och konkurstillsyn. Enligt regeringen utgjorde det snarare en kompletterande och integrerad del av dessa verksamheter. För att kunna bedriva ett effektivt arbete inom området ansågs denna förebyggande verksamhet behöva kunna använda uppgifter som behandlades i de olika verksamheternas databaser. Det borde enligt regeringen även finnas möjlighet att dokumentera och samla in uppgifter som endast behövdes för den förebyggande verksamheten. De då gällande ändamålsbestämmelserna ansågs inte täcka den förebyggande verksamheten på ett tillräckligt tydligt sätt, varför regeringen bedömde att en komplettering var nödvändig.92
Eftersom Kronofogdemyndighetens verksamhet med att motverka överskuldsättning är en kompletterande och integrerad del av myndighetens övriga reglerade verksamhetsområden kan det ifrågasättas om det finns något behov av att ange det uttryckligen i en bestämmelse om kronofogdedatalagens tillämpningsområde. För att regleringen i den nya kronofogdedatalagen ska bli tillräckligt tydlig anser vi dock att det ska framgå att lagen omfattar behandling av personuppgifter i Kronofogdemyndighetens verksamhet med att motverka överskuldsättning. Med motverkande av överskuldsättning avses samma sak som förebyggande av överskuldsättning. Genom att använda begreppet motverka överskuldsättning anser vi dock att lydelsen stämmer
90 2 kap. 2 § 5, 2 kap. 8 § 3, 2 kap. 14 § 2 och 2 kap. 20 § 2 KFMdbL. 91Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 33. 92Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 24–26.
bättre överens med regleringen i 2 § förordningen med instruktion för Kronofogdemyndigheten. I sak avses dock ingen ny verksamhet.
Vi anser också att det uttryckligen ska framgå att Kronofogdemyndighetens verksamhet med analys och kontroll omfattas av kronofogdedatalagens tillämpningsområde. Motsvarande finns inte i kronofogdedatabaslagens bestämmelser om tillämpningsområde i dag, och det finns inte heller något särskilt ändamål som har den lydelsen för någon av databaserna. Även Kronofogdemyndigheten, likt Tullverket och Skatteverket inom ramen för beskattningsverksamheten, utför dock olika former av analyser inom ramen för sin verksamhet även om det inte är lika omfattande som vid de andra myndigheterna. Till exempel bearbetas inom ramen för uppgiften att motverka överskuldsättning befintliga uppgifter och utifrån dessa identifieras tendenser som kan leda till överskuldsättning. Vidare utförs analyser av uppgifter i databaserna för att se om myndigheten kan identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling.93 Med kontroll avses i detta sammanhang extern kontroll, till skillnad från intern kontroll av den egna verksamheten. När det gäller Kronofogdemyndighetens kontrollverksamhet är denna inte lika omfattande som vid t.ex. Tullverket. Även Kronofogdemyndigheten måste dock utföra olika typer av kontroller inom ramen för utförandet av sina uppgifter, bl.a. för att säkerställa att beslut fattas på korrekta grunder samt för att förebygga och motverka ekonomisk brottslighet. Även om analys och kontroll kan sägas ingå som ett led i de reglerade verksamheterna vid Kronofogdemyndigheten anser vi att det bör klargöras att den behandling av personuppgifter som då sker ska omfattas av kronofogdedatalagens bestämmelser.
Vidare anser vi att det uttryckligen ska framgå att kronofogdedatalagen ska tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden. I dag anges i 2 kap. 2 § 6 KFMdbL att uppgifter får behandlas i utsöknings- och indrivningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Ändamålet infördes för att klargöra att uppgifter får behandlas i utsöknings- och indrivningsdatabasen för sådana ändamål. I förarbetena anges som exempel på sådana åtaganden de som följer av Sveriges
93Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.
medlemskap i EU och som regleras i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, men också sådana som följer av exempelvis det nordiska handräckningsavtalet och Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden.94 I likhet med vad vi anfört avseende Skatteverkets beskattningsverksamhet ovan (se avsnitt 7.4.5) anser vi att det bör tydliggöras att även Kronofogdemyndighetens skyldigheter enligt bl.a. sådana internationella åtaganden som nu nämnts innefattas i Kronofogdemyndighetens verksamhet med följden att kronofogdedatalagen ska tillämpas vid personuppgiftsbehandlingen. Sådana uppgifter kan dock, i likhet med samtliga uppräknade punkter i den föreslagna bestämmelsen, samtidigt falla in under flera punkter såsom t.ex. även verksamhet med utsökning och indrivning.
Slutligen anser vi att det ska anges att kronofogdedatalagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med annan liknande uppgift som Kronofogdemyndigheten ska utföra än de ovan uppräknade. Lydelsen liknar vad som anges i 1 kap. 1 § KFMdbL i dag. Med denna föreslagna lydelse avses ytterligare andra uppgifter som Kronofogdemyndigheten ska utföra, och som kan anses ha en nära koppling till myndighetens övriga verksamhet. I detta ingår också uppgifter med koppling till den övriga verksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i kronofogdedatalagen inte göras varje gång Kronofogdemyndigheten åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska behandlas automatiserat enligt den nya lagen. På samma sätt som ovan anges för bl.a. Skatteverkets beskattningsverksamhet blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under kronofogdedatalagen, eller om tillämpningsområdet behöver utökas (se avsnitt 7.4.5).
Exempel på annan liknande uppgift som Kronofogdemyndigheten har att utföra är att förebygga och motverka ekonomisk brottslighet (4 § första stycket förordningen med instruktion för Kronofogdemyndigheten).
94Prop. 2011/12:15, Genomförande av det nya EU-direktivet om bistånd med indrivning, s. 72.
Kronofogdemyndighetens verksamhet i övrigt
I dag anges för alla databaser, utöver skuldsaneringsdatabasen, att uppgifter i dessa får användas för information om skuldsanering och F-skuldsanering.95 Att kronofogdedatalagen även gäller vid sådan behandling kommer att framgå av tillämpningsområdet som uttryckligen anger skuldsanering och F-skuldsanering.
Slutligen anges i 2 kap. 2 § 7, 2 kap. 8 § 4, 2 kap. 14 § 4 och 2 kap. 20 § 3 KFMdbL att uppgifter får behandlas för att tillhandahålla information som behövs hos Kronofogdemyndigheten för tillsyn, kontroll, uppföljning och planering av verksamheten. I förarbetena till dessa bestämmelser uppgav regeringen bl.a. att de dåvarande kronofogdemyndigheterna måste ha möjlighet att behandla personuppgifter med syfte att följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden, varför ändamålen infördes.96 Detta gör sig fortfarande gällande i Kronofogdemyndighetens verksamhet. Av samma skäl som bl.a. ovan anförs i avsnitt 7.5.4 avseende beskattningsverksamheten anser vi att sådana åtgärder som rör Kronofogdemyndighetens egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av kronofogdedatalagens tillämpningsområde.
Vissa bestämmelser om rättelse m.m. samt överklagande ska även gälla vid behandling av uppgifter om juridiska personer
I avsnitt 7.8.3 nedan föreslår vi att det ska införas en bestämmelse i den nya kronofogdedatalagen som bl.a. reglerar att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. I samband härmed föreslår vi att avseende juridiska personer ska bestämmelsen vara tillämplig beträffande frågan om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Även den föreslagna bestämmelsen om underrättelseskyldighet föreslås vara
95 2 kap. 2 § 5, 2 kap. 8 § 3 och 2 kap. 20 § 2 KFMdbL. 96 Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 159.
tillämplig. Vi föreslår också att en bestämmelse om överklagande av beslut om rättelse m.m. ska vara tillämplig i fråga om juridiska personer.
Eftersom vi i avsnitt 7.4.2 föreslår att kronofogdedatalagen som utgångspunkt inte ska vara tillämplig på uppgifter om juridiska personer behöver undantag göras för regleringen i bestämmelsen om rättelse m.m., Kronofogdemyndighetens underrättelseskyldighet och överklagande av beslut i samband härmed. Vi föreslår därför att det i kronofogdedatalagen anges att bestämmelsen om rättelse m.m. av uppgifter som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, bestämmelsen om underrättelseskyldighet samt den tillhörande överklagandebestämmelsen även ska gälla vid behandling av uppgifter om juridiska personer.
Kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar
I 1 kap. 1 § första stycket KFMdbL anges i dag att lagen inte tillämpas vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. I samband med att bestämmelsen infördes bedömde regeringen att den generella reglering som finns i EU:s dataskyddsförordning, dataskyddslagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning som utgångspunkt var tillräcklig när det gäller behandlingen av personuppgifter. Följaktligen ansåg regeringen att de särskilda regler om personuppgiftsbehandling som fanns i kronofogdedatabaslagen inte borde tillämpas vid Kronofogdemyndighetens behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar. Särskilda bestämmelser i lag om ändamålet med behandlingen och gallring bedömdes dock motiverade att införa i lagen med kompletterande bestämmelser till 2015 års insolvensförordning.97
Det har inom ramen för utredningen inte kommit fram skäl att frångå regeringens tidigare bedömningar i denna del. Vi föreslår därför att det i den nya kronofogdedatalagen ska anges att bestämmelserna i lagen inte ska gälla vid behandling av personuppgifter i insol-
97Prop. 2018/19:48, Insolvensregister enligt 2015 års insolvensförordning, s. 28–29.
vensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning.
7.5. Lagarnas förhållande till annan reglering
7.5.1. Lagarna ska komplettera den allmänna dataskyddslagstiftningen
Vårt förslag: Det ska införas bestämmelser i beskattningsdata-
lagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att lagarna innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.
Lagarna ska även innehålla bestämmelser som föreskriver att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandlingen av personuppgifter enligt de nya lagarna, om inte annat följer av de nya lagarna eller föreskrifter som har meddelas i anslutning till dessa.
Skälen för vårt förslag
EU:s dataskyddsförordning är i alla delar bindande och direkt tillämplig i samtliga medlemsstater inom EU. Förordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Den ska alltså tillämpas av myndigheter och enskilda på samma sätt som om den vore lag antagen av Sveriges riksdag. Dataskyddsförordningen gäller alltså oavsett om det i de föreslagna lagarna införs en bestämmelse som hänvisar till den eller inte. Vi anser dock att det i de nya lagarna bör införas upplysningsbestämmelser för att tydliggöra att lagarna innehåller kompletterande bestämmelser till dataskyddsförordningen. Sådana bestämmelser tydliggör de nya lagarnas förhållande till förordningen och klargör att lagarna inte kan tillämpas fristående, utan ska tillämpas tillsammans med dataskyddsförordningen. Bestämmelserna förekommer i berörda myndigheters registerlagar även i dag och vi anser att så bör vara fallet även fortsättningsvis.
Hänvisningen till dataskyddsförordningen föreslås vara dynamisk, vilket innebär att hänvisningen avser förordningen i dess vid varje tidpunkt gällande lydelse. Denna hänvisningsteknik bedöms som den
lämpligaste, eftersom lagarna annars kan komma att behöva ändras vid varje eventuell ändring av dataskyddsförordningen. Bestämmelsen bör därför utformas på motsvarande sätt som i myndigheternas nuvarande registerlagar och som i andra sektorspecifika lagar som kompletterar dataskyddsförordningen (se t.ex. 3 domstolsdatalagen och 1 kap. 3 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).
I svensk rätt har det antagits generella kompletterande bestämmelser till dataskyddsförordningen genom dataskyddslagen. Dataskyddslagens bestämmelser är subsidiära i förhållande till annan nationell dataskyddsreglering, dvs. eventuella specialbestämmelser i andra författningar om behandling av personuppgifter ska tillämpas framför de allmänna bestämmelserna i dataskyddslagen. Detta följer direkt av lagen (se 1 kap. 6 § dataskyddslagen). Det behövs därför egentligen inte någon materiell bestämmelse för att specialbestämmelser i de nya lagarna ska ges företräde framför de generella bestämmelserna i dataskyddslagen.
För att det, liksom i dag98, ska vara tydligt hur de nya lagarna förhåller sig till dataskyddslagen föreslår vi dock att de nya lagarna ska innehålla bestämmelser som tydliggör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid myndigheternas behandling av personuppgifter, om inte annat följer av de nya lagarna eller föreskrifter som har meddelats i anslutning till dessa. Sådana tydliggörande bestämmelser är även vanligt förekommande i andra modernare registerförfattningar (se t.ex. 4 § domstolsdatalagen, 5 § vägtrafikdatalagen och 1 kap. 3 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).
7.5.2. Kronofogdedatalagens förhållande till EU:s kvarstadsförordning
Vårt förslag: Det ska införas en bestämmelse i kronofogdedata-
lagen som tydliggör att de avvikande bestämmelser om behandling av personuppgifter som finns i EU:s kvarstadsförordning gäller i stället för kronofogdedatalagen.
98 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 51–53.
Skälen för vårt förslag
I 1 kap. 3 b § KFMdbL finns i dag en bestämmelse som föreskriver att de avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur ska tillämpas i stället för kronofogdedatabaslagen.
I förarbetena till bestämmelsen, som infördes i samband med införandet av kompletterande bestämmelser i svensk rätt99, anges att uppgifter som Kronofogdemyndigheten kommer att behandla i sin verksamhet för verkställighet och informationsinhämtning enligt kvarstadsförordningen omfattas av kronofogdedatabaslagen. I förordningen, härefter benämnd kvarstadsförordningen, finns dock en särskild bestämmelse om uppgiftsskydd (se artikel 47). I den anges bl.a. att personuppgifter endast får användas för det ändamål för vilka de tas emot, behandlas eller överförs enligt förordningen. I övrigt uppställs krav på att personuppgifter som behandlas ska vara adekvata, relevanta och inte omfatta mer än vad som är nödvändigt med hänsyn till det ändamålet. Det anges också inom vilken tid personuppgifter ska gallras av den behöriga myndigheten, informationsmyndigheten eller annan enhet som ansvarar för verkställigheten. Vidare anges i förarbetena att bestämmelserna om uppgiftsskydd i kvarstadsförordningen har företräde framför svensk lagstiftning som syftar till att uppfylla Sveriges åtaganden enligt dataskyddsdirektivet, t.ex. kronofogdedatabaslagen (artikel 48 d). För att uppmärksamma detta förhållande ansåg regeringen att det borde införas en hänvisning till kvarstadsförordningen i databaslagen. Hänvisningen i databaslagen skulle enligt regeringen utformas så att det framgår att bestämmelser i kvarstadsförordningen som avviker från databaslagen har företräde.100
I dag gäller inte längre dataskyddsdirektivet som kvarstadsförordningen hänvisar till genom artikel 48 d. Vi har inte funnit att kvarstadsförordningen har ändrats sedan dataskyddsförordningen trädde i kraft. Avseende bestämmelserna i den föreslagna nya kronofogdedatalagen skiljer sig dessa från de bestämmelser som i dag finns om bl.a. ändamål och gallring i den nuvarande kronofogdedatabaslagen.
99 Se bl.a. lagen (2016:757) om kvarstad på bankmedel inom EU. 100Prop. 2015/16:148, Kvarstad på bankmedel inom EU, s. 48–49.
I den nya kronofogdedatalagen föreslår vi bl.a. att det ska finnas en bestämmelse som anger att personuppgifter även får behandlas för andra ändamål än insamlingsändamålet, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (se avsnitt 8.4.5). Vi föreslår också en bestämmelse som föreskriver att personuppgifter inte får behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen (se avsnitt 12.4.3). Som nämns ovan finns det i kvarstadsförordningen vissa särskilda bestämmelser om bl.a. uppgiftsskydd som är mer specifika än de bestämmelser som föreslås införas i kronofogdedatalagen. Kvarstadsförordningen har företräde framför nationella lagar som stiftas av EU:s medlemsstater.101 Enligt vår bedömning innebär detta att de bestämmelser om behandling av personuppgifter som regleras i kvarstadsförordningen kommer att ha företräde framför bestämmelserna i den nya kronofogdedatalagen. Detta ligger också i linje med regeringens tidigare uttalanden avseende följden av artikel 48 d i kvarstadsförordningen, även om den bestämmelsen hänvisar till det numera upphävda dataskyddsdirektivet. Mot denna bakgrund föreslår vi att det i den nya kronofogdedatalagen ska tydliggöras att de avvikande bestämmelser om behandling av personuppgifter som finns kvarstadsförordningen gäller i stället för kronofogdedatalagen. Bestämmelsen motsvarar alltså den nuvarande bestämmelsen i 1 kap. 3 b § KFMdbL.
7.6. Personuppgiftsansvar
7.6.1. Respektive myndighet ska vara personuppgiftsansvariga enligt de nya lagarna
Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndigheten
ska vara personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför enligt beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen respektive kronofogdedatalagen och enligt föreskrifter som har meddelats i anslutning till de lagarna.
101 Jfr EU-domstolens dom den 15 juli 1964 i mål nr 6/64, Flaminio Costa mot E.N.E.L.
Vår bedömning: Det behöver inte införas några särskilda be-
stämmelser om personuppgiftsbiträden i de nya lagarna.
Skälen för vårt förslag och vår bedömning
En reglering av myndigheternas personuppgiftsansvar vid behandling av personuppgifter enligt de nya lagarna
Begreppet personuppgiftsansvarig är centralt i dataskyddsförordningen. Dataskyddsförordningen förutsätter att det finns en personuppgiftsansvarig för all personuppgiftsbehandling som sker. Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig i förordningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Den som är personuppgiftsansvarig för viss personuppgiftsbehandling har en rad skyldigheter denne måste uppfylla enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Registerförfattningar innehåller ofta en reglering av vem som är personuppgiftsansvarig. En sådan bestämmelse är, såvitt gäller myndigheter, av störst vikt när det är fråga om en myndighet som är del av en större myndighetsstruktur, om det finns utrymme för tvekan kring vilken myndighet som har ansvaret för behandlingen av personuppgifter. Regleringen kan dock vara berättigad även i andra fall, för att förenkla för rättstillämparen och undvika otydligheter.102
102Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34.
I dag finns det bestämmelser om personuppgiftsansvar i registerlagarna. I 1 kap. 6 § SdbL och 1 kap. 5 § KFMdbL anges att Skatteverket respektive Kronofogdemyndigheten är personuppgiftsansvariga för den behandling av personuppgifter som verket respektive myndigheten ska utföra. I 1 kap. 6 § TDL anges att Tullverket är personuppgiftsansvarigt för behandling av personuppgifter. De olika ordalydelserna innebär enligt vår uppfattning inga sakliga skillnader utan härrör troligen från att bestämmelserna om personuppgiftsansvar ursprungligen var utformade på ett annat sätt för Skatteverkets beskattningsverksamhet och Kronofogdemyndigheten i förhållande till Tullverket på grund av att endast Tullverket vid tiden för lagarnas ikraftträdande utgjorde en enda myndighet.103 När det gäller bestämmelsen om personuppgiftsansvar i 1 kap. 5 § FdbL har en ny lydelse trätt i kraft den 1 september 2023.104 I bestämmelsen föreskrivs numera att Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt folkbokföringsdatabaslagen. Bestämmelsen i fråga om passmyndigheternas personuppgiftsansvar behandlas särskilt i avsnitt 7.6.2 nedan.
För att det ska vara tydligt vem som är personuppgiftsansvarig bedömer vi att det fortsatt ska regleras i de nya lagarna. Sådan reglering är möjlig enligt dataskyddsförordningen och gör det enkelt för den registrerade att identifiera vem som är personuppgiftsansvarig för viss behandling. Vi föreslår därför att det av lagarna ska framgå att respektive myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Detta ska gälla med undantag från passmyndigheterna som i dag är personuppgiftsansvariga enligt folkbokföringsdatabaslagen (se avsnitt 7.6.2 nedan). Sådana bestämmelser innebär även att det tydliggörs att respektive myndighet är personuppgiftsansvarig för den behandling inom myndighetens verksamhet som utförs av andra aktörer på uppdrag av myndigheten i egenskap av personuppgiftsbiträden. Det kan här nämnas att det är i rättstillämpningen som frågan om personuppgiftsansvarets fördelning slutligt avgörs.105
103 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 97. 104 Ändrad genom SFS 2022:1700. 105Prop. 2017/18:36, Ett mer effektivt informationsutbyte vid Nationellt centrum för terror-
hotbedömning, s. 19 och prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 29.
Det kan dock uppkomma situationer där myndigheterna inte har faktiska möjligheter att påverka vare sig ändamålen eller medlen för behandlingen. Det skulle exempelvis kunna förekomma att ändamålen och medlen för en viss behandling bestäms i EU-rätten på ett sätt som innebär att myndigheterna inte är personuppgiftsansvariga enligt dataskyddsförordningens definition om detta. Den nuvarande regleringen kan dock innebära att myndigheterna även är personuppgiftsansvariga för sådan behandling, om den behandling som utförs faller inom ramarna för lagarnas tillämpningsområden. Sådana situationer kan uppkomma även genom den föreslagna regleringen i de nya lagarna. Mot bakgrund av bl.a. detta föreslår vi i avsnitt 7.4.4 att lagarna som utgångspunkt inte ska vara tillämpliga vid behandling av personuppgifter i EU:s gemensamma informationssystem. Det innebär i sin tur att de föreslagna bestämmelserna om personuppgiftsansvar inte heller ska tillämpas vid sådan behandling. I de fall det uppkommer ytterligare situationer i vilka myndigheterna inte kan anses vara personuppgiftsansvariga enligt definitionen av detta begrepp, men bestämmelserna i de nya lagarna innebär att myndigheterna ändå anses vara det, får lagstiftaren göra överväganden om även sådana ytterligare situationer ska undantas från lagarnas tillämpningsområden eller på annat sätt särregleras.
Det behövs inga särskilda bestämmelser om personuppgiftsbiträden
Enligt skäl 74 till dataskyddsförordningen åläggs personuppgiftsansvariga ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar genom förordningens bestämmelser. Detta helhetsansvar innebär alltså att ansvaret för behandlingen sträcker sig till att även omfatta den personuppgiftsbehandling som utförs av ett personuppgiftsbiträde.106 Enligt artikel 4.8 i dataskyddsförordningen definieras personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Vid de berörda myndigheterna kan det förekomma att personuppgiftsbiträden anlitas. Det kan handla om att myndigheterna anlitar ett externt företag till vilket viss behandling av personuppgifter överlåts. I de fall myndigheterna anlitar ett personuppgiftsbiträde ska
106Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34.
parterna skriva ett s.k. personuppgiftsbiträdesavtal om personuppgiftsbiträdets behandling av personuppgifter för myndigheternas räkning (artikel 28.3 i dataskyddsförordningen). Enligt artikel 29 får ett personuppgiftsbiträde och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas (artikel 28.1). Utöver denna reglering finns ytterligare bestämmelser om personuppgiftsbiträden i dataskyddsförordningen.
Det kan konstateras att bestämmelserna om personuppgiftsbiträden som föreskriver vad som gäller när personuppgiftsansvariga anlitar personuppgiftsbiträden regleras på ett detaljerat sätt i dataskyddsförordningen. Vi bedömer att denna reglering är tillräcklig. Det finns därför inget behov av att införa bestämmelser om personuppgiftsbiträden i de nya lagarna.
Det kan i sammanhanget nämnas att vi är av uppfattningen att det inte bör finnas något principiellt hinder mot att två offentligrättsliga organ ingår ett personuppgiftsbiträdesavtal.107
7.6.2. Passmyndigheters personuppgiftsansvar bör inte regleras i folkbokföringsdatalagen
Vår bedömning: Det bör inte införas en reglering i den nya folk-
bokföringsdatalagen som motsvarar den nu gällande bestämmelsen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt den lagen.
107 Jfr artikel 4.8 i dataskyddsförordningen och prop. 2014/15:148, Domstolsdatalag, s. 36.
Skälen för vår bedömning
Den nya lagen om samordningsnummer och den nuvarande regleringen i folkbokföringsdatabaslagen
Den 1 september 2023 trädde lagen om samordningsnummer i kraft. Bestämmelserna i den lagen syftar till att stärka systemet med samordningsnummer och innefattar regler som innebär att Skatteverket har tagit över ansvaret för bl.a. identitetskontroller vid tilldelning av samordningsnummer.108 Ett samordningsnummer är en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige.109Enligt den nya lagen får en person som inte är eller har varit folkbokförd tilldelas ett samordningsnummer efter begäran av en sådan myndighet eller ett sådant organ som regeringen bestämmer eller efter ansökan av en enskild som har en sådan anknytning till Sverige att han eller hon kan antas behöva en identitetsbeteckning.110 Samordningsnummer kan numera tilldelas i tre nivåer beroende på vilken identitetskontroll som föregått tilldelningen.111 Det handlar om personer som har styrkt sin identitet eller gjort identiteten sannolik. I vissa fall får samordningsnummer även tilldelas den vars identitet är osäker.112
En person som ska styrka sin identitet i samband med tilldelning av samordningsnummer ska som huvudregel inställa sig personligen för identitetskontroll.113 Vid en identitetskontroll med personlig inställelse ska den som innehar ett pass, ett identitetskort eller en annan motsvarande handling på begäran överlämna handlingen. Den som har beviljats uppehållstillstånd i Sverige ska på begäran överlämna sitt uppehållstillståndskort.114 Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.115 Det kan i sammanhanget nämnas att det i folkbokföringslagen har införts
108Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 1. 109 1 kap. 1 § första stycket lagen om samordningsnummer. 110 2 kap. 1 § första stycket lagen om samordningsnummer. 111 2 kap. 1 § andra stycket samt 2 kap. 2–6 §§ lagen om samordningsnummer. 112 2 kap. 1 § andra stycket lagen om samordningsnummer. 113 2 kap. 2 § lagen om samordningsnummer. 114 2 kap. 3 § lagen om samordningsnummer. 115 2 kap. 4 § lagen om samordningsnummer.
bestämmelser med motsvarande innebörd som tillämpas av Skatteverket vid bl.a. anmälan om inflytning till Sverige.116
Ytterligare reglering av bl.a. identitetskontroll i samband med tilldelning av samordningsnummer har införts i förordningen (2023:363) om samordningsnummer. Där finns bl.a. bestämmelser om att en passmyndighet kan begära tilldelning av samordningsnummer och i ett sådant fall ska personlig inställelse för identitetskontroll ske där.117 Vidare får i vissa fall en person som inte befinner sig i Sverige inställa sig för identitetskontroll hos en beskickning eller ett karriärkonsulat som enligt 2 § passlagen (1978:302) fullgör uppgift som passmyndighet utom riket och är behörig att handlägga ärenden om vanliga pass. Beskickningen eller karriärkonsulatet ska vid inställelsen bedöma om den som ska tilldelas ett samordningsnummer har styrkt sin identitet.118
Bedömningen av om tilldelningen av ett samordningsnummer ska föregås av personlig inställelse för identitetskontroll där den enskilde styrker sin identitet görs av Skatteverket. Skatteverket ska, efter att en begäran om samordningsnummer kommit in, informera den person en begäran eller ansökan rör om att han eller hon måste inställa sig personligen hos Skatteverket eller annan myndighet för identitetskontroll och styrka sin identitet.119 Det är Skatteverket som är beslutande myndighet i ärenden om samordningsnummer vilket också innebär ansvar för identitetskontroll och identitetsbedömning för att bedöma om förutsättningarna för tilldelning eller förnyelse är uppfyllda. För att möjliggöra identitetskontroll genom personlig inställelse för personer som omfattas av en begäran om tilldelning av samordningsnummer och som befinner sig i utlandet kommer som ovan framgår vissa svenska utlandsmyndigheter komma i fråga för att utföra identitetskontroll enligt lagen om samordningsnummer.120
I en bestämmelse i folkbokföringsdatabaslagen som trädde i kraft den 1 september 2023 anges att när en kontroll enligt 26 b och 26 c §§ FOL eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras (1 kap. 7 § FdbL).
116 26 a–26 c §§ FOL. 117 11 § förordningen om samordningsnummer. 118 12 § förordningen om samordningsnummer. 119 10 § tredje stycket förordningen om samordningsnummer och prop. 2021/22:276, Stärkt
system för samordningsnummer, s. 58–59.
120Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 80–81.
I avsnitt 9.4.9 föreslår vi att denna bestämmelse om omedelbar förstöring av uppgifterna inte ska regleras i den nya folkbokföringsdatalagen, utan i 26 c § andra stycket FOL respektive 2 kap. 4 § andra stycket lagen om samordningsnummer.
Den automatiserade behandling av personuppgifter som regleringen om stärkt identitetskontroll i samband med bl.a. tilldelning av samordningsnummer innebär får ske i folkbokföringsdatabasen. Ansiktsbild, fingeravtryck och de biometriska uppgifter som tas fram ur dessa får alltså behandlas i folkbokföringsdatabasen.121 När kontrollen har genomförts ska uppgifterna som framgår ovan omedelbart förstöras.122
Den nya regleringen om samordningsnummer innebär att flera myndigheter genomför identitetskontroller i samband med bl.a. tilldelning av samordningsnummer. Det innebär i sin tur att fler myndigheter än Skatteverket behandlar personuppgifter vid identitetskontrollerna.123 Utöver bestämmelsen i 1 kap. 7 § FdbL har ytterligare bestämmelser om personuppgiftsbehandling införts med anledning av bestämmelserna om den stärkta identitetskontrollen i lagen om samordningsnummer. I 1 kap. 1 § andra stycket FdbL anges att folkbokföringsdatabaslagen också gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (se mer om detta i avsnitt 7.4.6 ovan). Som nämns i avsnitt 7.6.1 anges vidare i 1 kap. 5 § FdbL att Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt denna lag. Innan dessa ändringar angavs i bestämmelsen att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket ska utföra. Tillägget innebär alltså att passmyndighet som genomför identitetskontroll inför Skatteverkets beslut om tilldelning av samordningsnummer ska vara personuppgiftsansvarig för den personuppgiftsbehandling som sker vid myndigheten i anledning av identitetskontrollen.124
I propositionen som föregick ändringarna av 1 kap. 5 § FdbL anförde regeringen att som en allmän huvudregel kan anses gälla att den myndighet som utför och styr över en personuppgiftsbehandling
121 2 kap. 2 § och 2 kap. 3 § första stycket 21 FdbL. Se även prop. 2021/22:276, Stärkt system för
samordningsnummer, s. 68–72.
122 1 kap. 7 § FdbL. 123Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 81. 124Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 151.
också bör ansvara för behandlingen, om det inte finns skäl för något annat. Även om beslut om tilldelning eller förnyelse av samordningsnummer i och för sig tillkommer Skatteverket ensamt, har Skatteverket enligt regeringen ingen möjlighet att utöva kontroll och inflytande över övriga myndigheters personuppgiftsbehandling. Respektive myndighet borde därför enligt regeringen ansvara för den personuppgiftsbehandling som myndigheten utför. Bestämmelsen om personuppgiftsansvar i folkbokföringsdatabaslagen ändrades därför för att klargöra att varje myndighet som utgångspunkt är ansvarig för den behandling av personuppgifter som myndigheten utför.125
Passmyndigheter bör inte vara personuppgiftsansvariga enligt den föreslagna folkbokföringsdatalagen
I dag är alltså passmyndigheter personuppgiftsansvariga enligt folkbokföringsdatabaslagen för viss behandling av personuppgifter i folkbokföringsdatabasen hänförliga till identitetskontroll enligt lagen om samordningsnummer. I avsnitt 9.4.2 föreslår vi att den nuvarande databasregleringen ska upphävas och inte ersättas med bestämmelser av motsvarande innebörd i den föreslagna folkbokföringsdatalagen. Av bl.a. denna anledning föreslår vi inte heller att folkbokföringsdatalagens tillämpningsområde ska omfatta behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (se avsnitt 7.4.6). I avsnitt 9.4.9 gör vi vidare bedömningen att bestämmelsen i 1 kap. 7 § FdbL om att fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram vid en passmyndighets kontroll enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer omedelbart ska förstöras inte längre ska regleras i dataskyddssammanhang, utan i lagen om samordningsnummer.
Med beaktande av bl.a. detta anser vi att det inte finns skäl att i den föreslagna folkbokföringsdatalagen införa en bestämmelse som klargör att varje myndighet som utgångspunkt är ansvarig för den behandling av personuppgifter som myndigheten utför.126 Det bör alltså inte införas en bestämmelse i folkbokföringsdatalagen som motsvarar den nu gällande bestämmelsen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den be-
125Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 82. 126 Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 82.
handling av personuppgifter som respektive myndighet utför enligt den lagen. Som ovan framgår i avsnitt 7.6.1 innehåller EU:s dataskyddsförordning regler om bl.a. personuppgiftsansvar och vad ansvaret innebär. Kompletterande bestämmelser om myndigheters personuppgiftsbehandling finns i dataskyddslagen. Vi gör bedömningen att det för passmyndigheternas behandling av personuppgifter vid identitetskontroll enligt lagen om samordningsnummer är tillräckligt med de bestämmelser om personuppgiftsbehandling som finns i EU:s dataskyddsförordning och dataskyddslagen. Redan i dag finns viss annan typ av verksamhet som utförs vid utlandsmyndigheterna, t.ex. enligt pass-, utlännings- eller medborgarskapslagstiftningen, varvid EU:s dataskyddsförordning och den kompletterande dataskyddslagen och andra särskilda författningar gäller. Inte heller för den övriga passverksamheten finns någon särskild registerförfattning. I passärenden tillämpas EU:s dataskyddsförordning och dataskyddslagens bestämmelser om rättslig grund och undantag för när behandling av känsliga personuppgifter är tillåten.127
Enligt vår mening kommer det genom den föreslagna folkbokföringsdatalagen samt den allmänna dataskyddsregleringen i dataskyddsförordningen och dataskyddslagen sett tillsammans med de materiella reglerna om identitetskontroll enligt lagen om samordningsnummer stå tillräckligt klart vilken myndighet som är personuppgiftsansvarig för vilken personuppgiftsbehandling. Skatteverket kommer enligt vårt förslag till bestämmelse om personuppgiftsansvar i folkbokföringsdatalagen att vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt den lagen och enligt föreskrifter som har meddelats i anslutning till lagen (se avsnitt 7.6.1). Lagen föreslås omfatta sådan behandling som Skatteverket utför i verksamhet med samordningsnummer (se avsnitt 7.4.6). Det innebär att i de fall Skatteverket utför den behandling av personuppgifter som föranleds av den förstärkta identitetskontrollen i lagen om samordningsnummer, är myndigheten personuppgiftsansvarig för behandlingen. Även om det är Skatteverket som beslutar om tilldelning eller förnyelse av samordningsnummer, är vi av uppfattningen att vår reglering inte innebär att myndigheten blir personuppgiftsansvarig även för den personuppgiftsbehandling som passmyndigheter utför vid identitetskontroll i samband med ett ärende enligt lagen om samordningsnummer. Detta eftersom den personuppgiftsbehandlingen
127 Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 81.
då inte utförs av Skatteverket enligt den föreslagna folkbokföringsdatalagen. I stället avgör dataskyddsförordningens definition av personuppgiftsansvarig vilken passmyndighet som är ansvarig för den behandling som respektive myndighet utför.128
7.7. Tillgången till personuppgifter
Vårt förslag: Det ska införas bestämmelser i beskattningsdata-
lagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I de till lagarna tillhörande förordningarna ska regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Skälen för vårt förslag
En uttrycklig reglering i lag om att tillgången till personuppgifter ska begränsas och åtkomsten kontrolleras och följas upp regelbundet
Enligt artikel 29 i dataskyddsförordningen får en fysisk person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige. Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att personuppgifter inte behandlas utöver vad den personuppgiftsansvarige har gett instruktioner om (artikel 32.4 i dataskyddsförordningen). Den personuppgiftsansvarige har alltså ett ansvar för att anställda och andra uppdragstagare inte behandlar personuppgifter utöver vad den personuppgiftsansvarige har bedömt lämpligt.
128 Artikel 4.7 i dataskyddsförordningen.
Utgångspunkten är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (jfr artikel 5.1 f i dataskyddsförordningen). Vilken spridning av personuppgifter som en viss behandling innebär har av naturliga skäl stor inverkan på integritetsriskerna med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i de registrerades personliga integritet.
Att begränsa tillgången till personuppgifter är en viktig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen (jfr artikel 9.2 g i dataskyddsförordningen). Skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter följer visserligen redan av dataskyddsförordningen.129Vi anser dock att det av integritetsskäl ska finnas bestämmelser i de nya lagarna som tydliggör att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. En särskild reglering med sådan innebörd finns redan i dag i 2 kap. 26 § KFMdbL.130 Sådana bestämmelser finns även i andra, nyare, registerförfattningar (se t.ex. 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).
Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter skiljer sig åt. Det är därför svårt att på ett generellt plan närmare ange formerna för hur tillgången till personuppgifter ska begränsas vid dessa. Enligt den föreslagna bestämmelsen klargörs dock att respektive myndighet har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelserna är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid en av myndigheterna ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. Det kan exempelvis
129Prop. 2022/23:34, Utbetalningsmyndigheten, s. 136. 130 Se även prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgifts-
hantering, s. 26–27 och 35.
innebära att de medarbetare vid Skatteverket som arbetar med handläggning av vissa ärenden enligt skatteförfarandelagen inte får tillgång till de uppgifter som de som utför dataanalyser och urval har tillgång till. Det är tillräckligt att det finns ett potentiellt behov av åtkomst för att sådan ska medges. En medarbetare får alltså ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Vidare ska det införas bestämmelser i de nya lagarna som föreskriver att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Ett sådant krav i lag utgör en skyddsåtgärd i syfte att begränsa intrånget i enskildas integritet. Det är även viktigt för att myndigheterna ska kunna upptäcka och åtgärda obehörig åtkomst. Liknande regleringar finns också i andra registerförfattningar (se t.ex. 9 § studiestödsdatalagen [2009:287] och 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).
Kontroller ska genomföras systematiskt och återkommande och inte bara när myndigheterna av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det bör dock vara upp till myndigheterna själva att närmare bestämma formerna för kontrollen.
Det bör här framhävas att förekomsten av bestämmelser om tillgång till personuppgifter i de nya lagarna inte innebär att myndigheterna kan bortse från övriga krav på lämpliga säkerhetsåtgärder som föreskrivs i dataskyddsförordningen. Som ett exempel kan nämnas att det i dataskyddsförordningen ställs krav på inbyggt dataskydd och dataskydd som standard i den utsträckning det är lämpligt med hänsyn till bl.a. kostnader, behandlingens art och omfattning och de risker som behandlingen innebär (artikel 25). Ett exempel på ett sådant inbyggt dataskydd är loggning.
Det ska finnas krav på vissa rutiner i förordning
Vi anser att det i de förordningar som föreslås tillhöra de nya lagarna av integritetsskäl ska införas bestämmelser om krav på att myndigheterna ska ha vissa rutiner för tillgång till personuppgifter. Detta även om också sådana krav på de personuppgiftsansvariga myndigheterna kan anses följa redan av dataskyddsförordningens krav (jfr t.ex. artikel 32 i dataskyddsförordningen). Särskilda bestämmelser i
förordning syftar till att tydliggöra att myndigheterna har sådana skyldigheter. Vi gör bedömningen att sådana bestämmelser som nu föreslås införas i förordning omfattas av regeringens restkompetens enligt 8 kap. 7 § regeringsformen.131 Motsvarande bestämmelser finns även i t.ex. 4 och 5 §§ förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten.
Myndigheterna föreslås ansvara för att det inom myndigheterna finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Sådana rutiner kan t.ex. tas in i myndigheternas arbetsordning eller beslutas om som separata rutiner. Det är enligt vår mening viktigt att myndigheterna har sådana rutiner som här avses för att bl.a. förhindra att anställda tilldelas vidare behörighet till uppgifter än vad som behövs för utförandet av arbetsuppgifter eller att anställda som byter arbetsuppgifter har kvar vidare behörigheter än vad som behövs av hänsyn till de nya arbetsuppgifterna.
Vi anser också att det i förordning ska föreskrivas att myndigheterna ansvarar för att det inom myndigheterna finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter. Sådana rutiner kan exempelvis avse kontroll av vem som har läst, skapat, ändrat, raderat eller på annat sätt behandlat personuppgifter samt tidpunkten för åtgärden. Det är enligt vår bedömning av vikt att myndigheterna har sådana rutiner för att se till att de i lag föreslagna kraven på tillgång till personuppgifter följs. Bestämmelsen innebär dock inte att det ställs upp några uttryckliga krav på att all personuppgiftsbehandling inom lagarnas tillämpningsområden ska loggas. Rutinerna ska dock avse sådan regelbunden kontroll som ska utföras enligt de föreslagna lagbestämmelserna om tillgång till personuppgifter.
131 Jfr prop. 2021/22 :272, Statens stöd till trossamfund samt demokrativillkor vid stöd till civil-
samhället, s. 148–149.
7.8. Enskildas rättigheter
7.8.1. Rätten att göra invändningar ska inte gälla
Vårt förslag: Artikel 21.1 i EU:s dataskyddsförordning om rätten
att göra invändningar ska inte gälla vid sådan behandling som är tillåten enligt de nya lagarna eller föreskrifter som har meddelats i anslutning till lagarna.
Skälen för vårt förslag
Rätten att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i dataskyddsförordningen. Vid den behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning ska den registrerade enligt artikel 21.1 ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om inte denne kan visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Begränsningar i rätten att göra invändningar får enligt dataskyddsförordningen endast göras under de förutsättningar som anges i artikel 23, eller i vissa situationer med stöd av artikel 89.2–3.
Enligt artikel 23 i dataskyddsförordningen är det möjligt för medlemsstaterna att begränsa rätten att göra invändningar. Det krävs att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att det utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Sådana lagstiftningsåtgärder ska enligt artikeln innehålla specifika bestämmelser när så är relevant, avseende bl.a. ändamålen med behandlingen, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål.
Vid införandet av dataskyddslagen bedömde regeringen att det inte var lämpligt att inskränka rätten att göra invändningar mot myndigheters behandling av personuppgifter genom ett generellt undantag i dataskyddslagen. Sådana undantag skulle i stället övervägas på sektorsspecifik nivå.132
Många registerförfattningar innehåller begränsningar av rätten att göra invändningar (se t.ex. 2 a § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 18 b § utlänningsdatalagen och 1 kap. 4 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Ett huvudsakligt skäl till detta är att det ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter oberoende av den registrerades inställning. Vidare har bedömningen gjorts att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet.133
I nuvarande reglering avseende aktuella myndigheter finns bestämmelser som reglerar frågan om rätten att göra invändningar. Enligt bestämmelserna gäller artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte vid sådan behandling som är tillåten enligt respektive lag eller föreskrifter som har meddelats i anslutning till lagen.134 Bestämmelser med liknande innebörd har funnits sedan lagarna infördes och justerades i viss mån i samband med den översyn av lagarna som gjordes med anledning av att dataskyddsförordningen skulle börja tillämpas. Innebörden av bestämmelserna är att tillåten behandling av personuppgifter får ske även om den enskilde motsätter sig detta.
I förarbetena till de nu gällande bestämmelserna gjorde regeringen bedömningen att den behandling som myndigheterna utför i regel får antas vara av sådan karaktär att behandlingen får fortsätta enligt artikel 21.1 även om den registrerade invänder mot behandlingen. Att den registrerade har möjlighet att invända mot behandlingen bedömdes dock kunna påverka effektiviteten i myndigheternas verksamhet.135
I samma förarbeten ansågs det vara av stor betydelse att personuppgifter får behandlas oberoende av den registrerades inställning i
132Prop. 2017/18:105, Ny dataskyddslag, s. 105–106. 133Prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 45. 134 3 kap. 3 § SdbL, 3 kap. 1 § FdbL, 3 kap. 1 § TDL och 3 kap. 3 § KFMdbL. 135Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 85.
sådan verksamhet hos Skatteverket, Tullverket och Kronofogdemyndigheten som avsågs i berörda lagar. Den tillåtna behandlingen ansågs vidare vara en förutsättning för att myndigheterna skulle kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Myndigheterna ansågs också i princip undantagslöst kunna påvisa skäl för fortsatt behandling som vägde tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för de aktuella myndigheterna att behandla relevanta personuppgifter skulle den registrerade enligt regeringen inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som var tillåten enligt lagarna. Begränsningarna ansågs vidare vara en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. De integritetsskyddande bestämmelserna i lagarna ansågs också minimera risken för kränkning av den registrerades rättigheter och friheter. Regeringen bedömde med dessa utgångspunkter att de bestämmelser som innebar att behandling av personuppgifter fick utföras även om den registrerade motsätter sig behandlingen mot den bakgrunden var förenliga med dataskyddsförordningen och kunde därför vara kvar även i fortsättningen.136
Enligt vår uppfattning saknas det skäl att nu göra någon annan bedömning i dessa frågor. Även med beaktande av de förslag till förändringar av regleringarna som vi lämnar kommer myndigheternas behandling av personuppgifter fortsättningsvis att omgärdas av integritetsskyddande bestämmelser som minimerar riskerna för kränkningar av den registrerades rättigheter och friheter. Vi gör också bedömningen att de föreslagna ändamålsbestämmelserna är sådana specifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandling som avses i artikel 23.2 i dataskyddsförordningen (jfr avsnitt 8.4.2). Det har inte heller kommit fram något skäl för att göra en annan bedömning i fråga om att behandlingen är nödvändig för att myndigheterna ska kunna utföra sina uppdrag på ett korrekt, effektivt och rättssäkert sätt samt att myndigheternas skäl för fortsatt behandling väger tyngre vid den intresseavvägning som ska göras.
Med hänsyn till detta föreslår vi att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska
136Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 85–86.
införas bestämmelser som föreskriver att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte ska gälla vid sådan behandling som är tillåten enligt de nya lagarna eller föreskrifter som har meddelats i anslutning till lagarna.
7.8.2. Rätten till information m.m. i Skatteverkets beskattningsverksamhet
Vårt förslag: Det ska införas en bestämmelse i beskattningsdata-
lagen som reglerar att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska vissa bestämmelser om rätt till information och tillgång till personuppgifter i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Vår bedömning: Motsvarande reglering som i dag finns i skatte-
databaslagen om rätt till rättelse och radering av personuppgifter och begränsning av behandling samt anmälningsskyldigheten avseende rättelse eller radering av personuppgifter och begränsning av behandling enligt dataskyddsförordningen ska inte införas i den nya beskattningsdatalagen.
Skälen för vårt förslag och vår bedömning
Rätten till information och tillgång till personuppgifter
I 3 kap. 2 a § SdbL finns en bestämmelse som anger att vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15–19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Bestämmelsen infördes i samband med att dataskyddsförordningen började gälla. En bestämmelse med motsvarande lydelse infördes dock
redan i samband med genomförandet av rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EG, härefter benämnt direktivet om administrativt samarbete (som tidigare brukade kallas för handräckningsdirektivet). Direktivet genomfördes i huvudsak genom införandet av lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Bakgrunden till den tidigare lydelsen av 3 kap. 2 a § SdbL var bl.a. att det i artikel 25 i direktivet om administrativt samarbete föreskrevs att medlemsstaterna för en korrekt tillämpning av direktivet skulle begränsa tillämpningsområdet för bl.a. de skyldigheter och rättigheter som avsågs i artiklarna 10, 11.1 och 12 i 1995 års dataskyddsdirektiv i den utsträckning som behövdes för att skydda de intressen som avsågs i artikel 13.1 e i det direktivet. Artiklarna 10, 11.1 och 12 i nämnda direktiv rörde viss information till den som de insamlade uppgifterna avsåg, om behandlingen av dessa och rättelse, utplåning eller blockering av uppgifter.
Bestämmelsen i skattedatabaslagen ansågs av regeringen t.ex. kunna bli aktuell att tillämpa i en situation när uppgifter behandlades med anledning av en begäran om utbyte av upplysningar och det kunde befaras att det skulle försvåra genomförandet av utredning eller beslut i skatteärende i den andra medlemsstaten att lämna sådan information till den registrerade.137
I den dåvarande bestämmelsen i 3 kap. 2 a § SdbL angavs att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning skulle inte 23, 25, 26, 28 och 42 §§ PUL tillämpas om sådana begränsningar var nödvändiga med hänsyn till ett intresse som angavs i 8 a § f PUL.
Bestämmelserna i 23, 25, 26, 28 och 42 §§ PUL avsåg regler om information till den registrerade som skulle lämnas självmant, information som skulle lämnas efter ansökan, rättelse m.m. samt upplysningar till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten. Det intresse som avsågs genom 8 a § f PUL var ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
137 Se prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete
i fråga om beskattning, s. 70–73 och prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 73.
I dag har direktivet om administrativt samarbete anpassats till den reglering som gäller enligt EU:s dataskyddsförordning genom att artikel 25 numera hänvisar till dataskyddsförordningen och inte till det upphävda dataskyddsdirektivet. I artikel 25.1 i direktivet om administrativt samarbete anges bl.a. att medlemsstaterna ska, för en korrekt tillämpning av direktivet, begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1, och 15 i förordning (EU) 2016/679 i den utsträckning som behövs för att skydda de intressen som avses i artikel 23.1 e i den förordningen. Artiklarna 13, 14.1 och 15 i dataskyddsförordningen avser viss information till den som de insamlade uppgifterna avser samt den registrerades rätt till tillgång till personuppgifter. Artikel 23.1 e innebär att begränsningar av vissa rättigheter får göras bl.a. i syfte att säkerställa viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet.
När den nuvarande bestämmelsen i 3 kap. 2 a § SdbL infördes bedömde regeringen att den dåvarande bestämmelsen i skattedatabaslagen var förenlig med artikel 23 i dataskyddsförordningen. För att bestämmelsens sakliga innebörd skulle vara densamma som tidigare, ansåg regeringen att den då gällande hänvisningen till 8 a § f PUL inte skulle ersättas av en hänvisning till artikel 23.1 e i dataskyddsförordningen. I stället skulle lagtexten enligt regeringen utformas så att det framgick att de rättigheter som anges i artiklarna 13 och 15 i dataskyddsförordningen inte skulle tillämpas om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.138
Avseende de begränsningar som i dag gäller i 3 kap. 2 a § SdbL av rättigheterna i artiklarna 13 och 15 i dataskyddsförordningen anser vi att motsvarande reglering ska tas in i den nya beskattningsdatalagen. Om så inte görs innebär det sakliga ändringar i förhållande till de krav på genomförande som finns i direktivet om administrativt samarbete. Det har inte kommit fram skäl som gör att det finns anledning att denna reglering inte fortsatt ska gälla. Bestämmelsen bedöms vidare fortsatt uppfylla de krav som ställs på en rättighets-
138Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 73.
begränsande bestämmelse enligt artikel 23 i dataskyddsförordningen.139I likhet med vad regeringen tidigare har anfört bör det i den nya bestämmelsen inte göras någon hänvisning till artikel 23 i dataskyddsförordningen i syfte att säkerställa att bestämmelsens sakliga innebörd blir densamma som i dag.
Rättelse, radering och begränsning av behandling samt viss information som ska tillhandahållas
När det gäller de rättigheter som tidigare reglerades i 28 § PUL finns dessa i dag i artiklarna 16–19 i dataskyddsförordningen. I artiklarna regleras den registrerades rätt till rättelse, radering och begränsning av behandling samt skyldigheten för den personuppgiftsansvarige att underrätta mottagare av personuppgifter om vidtagna korrigeringsåtgärder.
Den nuvarande bestämmelsen i 3 kap. 2 a § SdbL avser inte endast, som framgår ovan, begränsningar av rätten till information och tillgång till uppgifter. Bestämmelsens begränsningar omfattar även enskildas rättigheter enligt artiklarna 16–19 i dataskyddsförordningen. Som nämns ovan infördes bestämmelsen i 3 kap. 2 a § SdbL ursprungligen för att genomföra artikel 25 i direktivet om administrativt samarbete. I samband med att den nuvarande lydelsen av bestämmelsen infördes anförde regeringen att bestämmelsen uppfyller de krav som ställs på en rättighetsbegränsande bestämmelse enligt artikel 23 i dataskyddsförordningen. Mot den bakgrunden ansåg regeringen att bestämmelsen skulle vara kvar även i den del som gäller begränsning av rätten till rättelse, radering och begränsning av behandling i artiklarna 16–18 och av anmälningsskyldigheten i artikel 19.140
Det kan konstateras att lydelsen av artikel 25 i direktivet om administrativt samarbete vid tiden för införandet och ändringen av 3 kap. 2 a § SdbL, vilken hänvisade till bl.a. artikel 12 i 1995 års dataskyddsdirektiv, omfattade krav på begränsning av rätten till rättelse m.m. I dag hänvisar dock inte artikel 25 i direktivet om administrativt samarbete till motsvarande bestämmelser om rättelse m.m. i dataskyddsförordningen. Den nuvarande lydelsen av artikel 25 i direk-
139 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 80.
140 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 80.
tivet om administrativt samarbete infördes genom rådets direktiv (EU) 2021/514 av den 22 mars 2021 om ändring av direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning. I dag föreskrivs följande i artikel 25.1 i direktivet om administrativt samarbete.
Allt utbyte av upplysningar enligt detta direktiv ska omfattas av Europaparlamentets och rådets förordning (EU) 2016/679. Medlemsstaterna ska emellertid, för en korrekt tillämpning av detta direktiv, begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1, och 15 i förordning (EU) 2016/679 i den utsträckning som behövs för att skydda de intressen som avses i artikel 23.1 e i den förordningen.
Frågan är om det mot denna bakgrund finns skäl att inte införa en bestämmelse som motsvarar den som finns i dag i 3 kap. 2 a § SdbL i fråga om enskildas rättigheter enligt artiklarna 16–19 i dataskyddsförordningen.
Inledningsvis kan konstateras att dataskyddsförordningen ställer vissa krav på en rättighetsbegränsande bestämmelse enligt artikel 23. En sådan begränsning måste ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen ska också utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning,- budget- eller skattefrågor, folkhälsa och social trygghet. I dag anges i 3 kap. 2 a § SdbL att bl.a. artiklarna 16–19 i dataskyddsförordningen inte ska tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Det är därmed tillämparen som behöver göra en bedömning av om en begränsning av aktuella rättigheter är nödvändiga av dessa skäl vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning.141 Såsom bestämmelsen är utformad i dag finns det enligt vår uppfattning inga skäl att frångå regeringens tidigare bedömning att bestämmelsen i sig uppfyller de krav som ställs på en rättighetsbegränsande bestämmelse enligt artikel 23 i dataskyddsförordningen.
141 Jfr prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete
i fråga om beskattning, s. 73.
Som framgår ovan infördes 3 kap. 2 a § i SdbL för att genomföra artikel 25 i direktivet om administrativt samarbete. I dag omfattar artikeln endast de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1 och 15 i dataskyddsförordningen. Mot denna bakgrund gör vi bedömningen att den nya bestämmelsen vi föreslår ska införas i den beskattningsdatalagen inte ska omfatta artiklarna 16–19 i dataskyddsförordningen. Förslaget innebär alltså en ändring i sak.
Som ovan framgår har regeringen i samband med införandet av den ursprungliga bestämmelsen i skattedatabaslagen som exempel på en situation då bestämmelsen ska tillämpas angett att det kan vara när personuppgifter behandlas med anledning av en begäran om utbyte av upplysningar och det kan befaras att det skulle försvåra genomförandet av utredning eller beslut i skatteärende i den andra medlemsstaten att lämna sådan information till den registrerade eller någon annan som det enligt bestämmelsen ska lämnas information till.142När det kommer till skyldigheterna och rättigheterna enligt artiklarna 16–19, dvs. rätten till rättelse och radering av personuppgifter och begränsning av behandling samt anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling, utgör dessa enligt vår uppfattning inte sådana rättigheter som t.ex. skulle försvåra utredningen eller beslut i skatteärende i en annan medlemsstat som mottar upplysningar.
Vidare kan det konstateras att 3 kap. 2 a § SdbL i dag inte omfattar artikel 14.1 i dataskyddsförordningen. Artikel 14.1 handlar om information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Av samma skäl som anförts ovan, dvs. för att uppnå syftet med bestämmelsen som är att genomföra artikel 25 i direktivet om administrativt samarbete som omfattar artikel 14.1, anser vi att den nya bestämmelsen vi föreslår i beskattningsdatalagen även ska omfatta artikel 14.1 i dataskyddsförordningen.
Sammanfattningsvis innebär våra bedömningar att det i den föreslagna beskattningsdatalagen ska införas en bestämmelse som föreskriver att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nöd-
142Prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga
om beskattning, s. 73.
vändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
I likhet med regeringens tidigare bedömning är vi av uppfattningen att en sådan bestämmelse inte i sig innebär en begränsning i allmänhetens rätt att enligt offentlighetsprincipen få del av allmänna handlingar.143 Vidare kan det framhållas att bestämmelsen inte är avsedd att innebära några förändringar i sak utöver de ändrade hänvisningarna till dataskyddsförordningen i förhållande till den bestämmelse som i dag finns i 3 kap. 2 a § SdbL.
7.8.3. Rättelse och överklagande vid Kronofogdemyndigheten
Vårt förslag: Det ska införas en bestämmelse i den nya krono-
fogdedatalagen som reglerar att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Bestämmelsen ska inte vara tillämplig på uppgifter om avlidna. Avseende juridiska personer ska bestämmelsen vara tillämplig enbart beträffande frågan om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd att rätta, blockera eller utplåna uppgifter om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse ska dock inte behöva lämnas om detta skulle innebära en oproportionerligt stor arbetsinsats. Bestämmelsen ska även vara tillämplig på juridiska personer.
Beslut om rättelse ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Bestämmelsen ska även vara tillämplig på sådana beslut som avser rättelse, blockering eller utplåning av uppgifter om juridiska personer.
143Prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga
om beskattning, s. 72.
Vår bedömning: Det behövs ingen upplysningsbestämmelse om
att det i fråga om personuppgifter finns bestämmelser om rättelse m.m. i EU:s dataskyddsförordning.
Skälen för vårt förslag och vår bedömning
Bakgrunden till den nu gällande bestämmelsen om rättelse i kronofogdedatabaslagen
I dag finns en särskild bestämmelse under rubriken rättelse i 3 kap. 3 a § KFMdbL som har följande lydelse.
Kronofogdemyndigheten ska på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som
1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller
2. är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. I fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning.
Bestämmelsens första och andra stycke infördes ursprungligen den 1 juni 2008 i 3 kap. 3 a § KFMdbL.144 Innan dess fanns i kronofogdedatabaslagen en bestämmelse i 3 kap. 3 § som föreskrev att bestämmelserna i personuppgiftslagen om rättelse och skadestånd skulle gälla vid behandling av personuppgifter enligt kronofogdedatabaslagen eller anslutande författningar. Hänvisningen till personuppgiftslagens rättelsebestämmelse gällde all behandling av uppgifter i Kronofogdemyndighetens verksamhet.145 I 28 § PUL fanns en bestämmelse som föreskrev att den personuppgiftsansvarige var skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte hade behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Para-
144Prop. 2007/08:116, bet. 2007/08:SkU30, rskr. 2007/08:165. 145Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 12.
grafen var avsedd att ha samma innebörd som artikel 12 b och c i 1995 års dataskyddsdirektiv.146
I artikel 12 b i dataskyddsdirektivet angavs att medlemsstaterna skulle säkerställa att varje registrerad hade rätt att från den registeransvarige i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa var ofullständiga eller felaktiga. I artikel 12 c föreskrevs att medlemsstaterna skulle säkerställa att varje registrerad hade rätt att från den registeransvarige få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med artikel 12 b, om detta inte visade sig vara omöjligt eller innebar en oproportionerligt stor ansträngning.
Av det förhållandet att det i bestämmelsen i 28 § PUL inte angavs vilken av de alternativa metoderna rättelse, blockering och utplånande som skulle väljas i olika situationer följde att det i princip var den som skulle göra korrigeringen, dvs. den personuppgiftsansvarige, som fick välja själv.147
Bakgrunden till den särskilda bestämmelsen om rättelse som infördes i 3 kap. 3 a § KFMdbL år 2008 är enligt förarbetena bl.a. att situationen vad gäller rättelse i Kronofogdemyndighetens databaser vid den tiden då rättelsebestämmelsen i personuppgiftslagen skulle tillämpas inte ansågs vara tillfredsställande. Då förekom att de vid den tiden olika regionala kronofogdemyndigheterna tolkade innebörden av rättelseskyldigheten enligt 28 § PUL på olika sätt, och även domstolarnas praxis i frågan syntes variera. Att förekomma med mål som registrerats i utsöknings- och indrivningsdatabasen kunde enligt regeringen, med tanke på uppgifternas spridning och användning utanför Kronofogdemyndigheten, få långtgående konsekvenser för den enskilde. Det var mot den bakgrunden enligt regeringen inte rimligt att behöva figurera med sådana uppgifter i fall där det inte behövde ha förelegat någon verklig vare sig ovilja eller oförmåga att betala.148
Vid utformningen av den särskilda rättelsebestämmelsen uttalade regeringen att det kunde diskuteras om förslaget innebar en utvidgning av skyldigheten att vidta rättelse, eller bara ett förtydligande av vad som redan då gällde. Det viktigaste var emellertid enligt reger-
146Prop. 1997/98:44, Personuppgiftslag, s. 132. 147Prop. 1997/98:44, Personuppgiftslag, s. 86. 148Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 13–14.
ingen att ändringen, tillsammans med den utbyggnad av sekretesskyddet som föreslogs, banade väg för en tillämpning som tillgodosedde såväl kraven på Kronofogdemyndighetens diarieföring som de enskildas berättigade krav på att inte behöva förekomma med uppgifter som ger ett i sak ogrundat intryck av bristande vilja eller förmåga att göra rätt för sig.149 Därmed infördes i kronofogdedatabaslagen ändrade bestämmelser som innebar att uppgifter skulle rättas bl.a. i det fallet att de är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Rättelsen var fristående från personuppgiftslagens reglering. I likhet med vad som gällde enligt 28 § PUL togs en bestämmelse om skyldighet att underrätta tredje man om rättelsen i vissa fall in i lagen. Vidare gjordes en ändring i 1 kap. 1 § kronofogdedatabaslagen för att det tydligt skulle framgå att rättelsebestämmelsen var tillämplig även på uppgifter om juridiska personer och avlidna.150 Den tidigare bestämmelsen i 3 kap. 3 § KFMdbL, som hänvisade till personuppgiftslagen, gällde enbart fysiska personer.151
I förarbetena angav regeringen vidare att utplåning normalt inte skulle komma i fråga när det gäller missvisande uppgifter, utan i stället skulle blockering vara den huvudsakliga rättelsemetoden. Att uppgifterna blockeras innebär att uppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF. När uppgifter rättas kan de få stå kvar men i rättat skick. Definitionerna härrör från den bestämmelse som tidigare fanns i 28 § PUL. Om uppgifterna var felaktiga även i ett diarieperspektiv ansågs det normalt inte finnas något hinder mot att de, i stället för att blockeras, utplånas. Regeringen konstaterade vidare att det i princip är den personuppgiftsansvarige som själv får välja metod.152 Som framgår ovan användes begreppen rättelse, utplåning och blockering även i dataskyddsdirektivet.
När bestämmelsen i 3 kap. 3 a § KFMdbL infördes 2008 framhöll regeringen vidare att den inte endast avsåg verkställighet och indrivning utan även andra verksamheter hos Kronofogdemyndigheten.153
149Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17–18. 150Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 16–19. 151Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 12. 152Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 20. 153Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 19.
EU:s dataskyddsförordning, som började tillämpas den 25 maj 2018, innehåller reglering av rätt till rättelse och radering av personuppgifter, rätt till begränsning av behandling och anmälningsskyldighet (artiklarna 16–19). I samband med att dataskyddsförordningen utfärdats behölls den tidigare utökade rätten till korrigering av vissa missvisande uppgifter i Kronofogdemyndighetens databaser, med ett nytt tredje stycke i 3 kap. 3 a § som upplyser om att i fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning. I samband härmed uttalade regeringen att det inte finns några hinder i dataskyddsförordningen mot att behålla denna utökade rätt till rättelse. Vidare ansåg regeringen att 3 kap. 3 a § andra stycket KFMdbL, innehållandes en bestämmelse om underrättelseskyldighet, kunde behållas även om bestämmelsen inte fullt ut har någon motsvarighet i dataskyddsförordningen till följd av att den innebär att underrättelse till tredje man ska ske i vissa fall då underrättelse inte behöver lämnas enligt dataskyddsförordningen. När det gäller det införda tredje stycket i bestämmelsen anförde regeringen att för fysiska personer skulle de särskilda bestämmelserna för Kronofogdemyndighetens verksamhet gälla vid sidan av de rättigheter som följer av dataskyddsförordningen. Detta skulle enligt regeringen tydliggöras genom att det i bestämmelsen upplyses om att det i fråga om personuppgifter även finns bestämmelser om rättelse m.m. i dataskyddsförordningen.154
Att den nuvarande bestämmelsen även är tillämplig på uppgifter om juridiska personer och avlidna saknar motsvarighet i dataskyddsförordningen.155
Det ska införas en särskild bestämmelse om rättelse i kronofogdedatalagen
I dag är Kronofogdemyndigheten en central förvaltningsmyndighet och inte flera regionala sådana. Förutsättningarna för en enhetlig tillämpning av rättelsebestämmelserna i den allmänna dataskyddsregleringen bör därmed ha förbättrats. Vidare innehåller dataskyddsförordningen redan i sig direkt tillämpliga bestämmelser om bl.a. rättelse och radering. Den nya kronofogdedatalagen föreslås inte heller omfatta behandling av uppgifter om juridiska personer eller avlidna.
154Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 78–80.
155Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 79.
Detta kan tala för att det, utöver regleringen om rättelse m.m. som finns i dataskyddsförordningen, inte längre behöver finnas några särskilda bestämmelser om rättelse som gäller i Kronofogdemyndighetens verksamhet.
Regeringens tidigare uttalanden om de konsekvenser för enskilda som kan uppkomma genom att ha registrerade mål hos Kronofogdemyndigheten äger dock enligt vår mening fortsatt giltighet. Det kan även efter dataskyddsförordningens utfärdande finnas uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser utan att behandlingen av uppgifterna kan anses strida mot kronofogdedatalagen eller anslutande författningar. I förarbetena till den ursprungliga bestämmelsen i 3 kap. 3 a § KFMdbL anges som exempel på uppgifter som vid den tiden i praxis inte hade ansetts som felaktiga i personuppgiftslagens mening, men som ändå skulle anses vara missvisande, uppgifter om en ansökan om verkställighet som visserligen har föregåtts av betalningsuppmaning men där denna inte har kommit adressaten till handa. Enbart ett påstående att någon betalningsuppmaning inte hade mottagits kunde enligt regeringen dock knappast anses tillräckligt för rättelse. Därutöver ansågs krävas att påståendet vann stöd av andra omständigheter, t.ex. att den som avsågs med uppgiften hade flyttat i nära anslutning till den tidpunkt när betalningsuppmaningen skickats ut.156
Exemplet är enligt vår mening fortsatt aktuellt i detta sammanhang. Att helt ta bort den särskilda bestämmelsen om rättelse hade vidare med största sannolikhet inneburit en mer inskränkt möjlighet för Kronofogdemyndigheten att korrigera, blockera eller ta bort felaktiga eller missvisande uppgifter i förhållande till de behov som finns. Dataskyddsförordningen hindrar inte heller att den utökade rätten till rättelse av vissa missvisande uppgifter i Kronofogdemyndighetens verksamhet behålls.157
Vi gör sammantaget bedömningen att det fortsatt finns skäl för en särskild reglering av rättelse m.m. för uppgifter i Kronofogdemyndighetens verksamhet. Det skulle säkerställa att det vid myndigheten inte finns uppgifter där det inte behöver ha förelegat någon verklig vare sig ovilja eller oförmåga att betala. Mot denna bakgrund föreslår vi att det bör införas en särskild bestämmelse om rättelse
156Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 29. 157Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 79.
m.m. i 18 § kronofogdedatalagen. Detta även om begreppet missvisande inte förekommer i dataskyddsförordningens bestämmelser om rättelse m.m. i artiklarna 16–19.
Utformningen av den särskilda bestämmelsen om rättelse i den nya kronofogdedatalagen
När det gäller den nya kronofogdedatalagen föreslår vi att den generellt sett inte ska omfatta behandling av uppgifter om juridiska personer eller avlidna (se avsnitten 7.4.2 och 7.4.3). Som ovan nämns gäller den nu gällande rättelsebestämmelsen i 3 kap. 3 a § KFMdbL även uppgifter om avlidna och juridiska personer. En konsekvens av våra förslag avseende tillämpningsområdet är att om rättelsebestämmelsen förs över oförändrad till den nya lagen blir den nuvarande lydelsen i 3 kap. 3 a § första stycket 1 inte möjlig att tillämpa fullt ut. Detta då det i bestämmelsen anges att Kronofogdemyndigheten på begäran av den registrerade snarast ska rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med denna lag eller anslutande författningar. Samtidigt anser vi att motsvarande bestämmelse bör införas i den nya lagen avseende fysiska personer.
När den tidigare bestämmelsen om rättelse i 3 kap. 3 § KFMdbL hänvisade till 28 § PUL omfattade den endast fysiska personer. Att den senare bestämmelsen i 3 kap. 3 a § KFMdbL även skulle tillämpas på uppgifter om juridiska personer och avlidna klargjordes genom en ändring av 1 kap. 1 § KFMdbL i samband med att den nya rättelsebestämmelsen infördes 2008. I förarbetena finns ingen närmare motivering till denna utvidgning trots att det rörde en bestämmelse om behandling av personuppgifter.158 I en hemställan från Skatteverket som föregick lagstiftningsärendet angavs dock att Skatteverket ansåg att den befintliga rättelsebestämmelsen skulle byggas ut genom att det uttryckligen skulle föreskrivas att rättelsebestämmelsen omfattar begreppet ”missvisande” och att bestämmelsen är tillämplig även på juridiska personer och avlidna.159
Vi anser att en bestämmelse motsvarande 3 kap. 3 a § första stycket 1 KFMdbL i den nya lagen inte ska omfatta juridiska personer och avlidna. Juridiska personer och avlidna omfattas inte av bestämmel-
158 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 16–19. 159Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 11.
serna i EU:s dataskyddsförordning.160 Den nya kronofogdedatalagen ska utgöra kompletterande reglering till dataskyddsförordningen (se avsnitt 7.5.1). Vår uppfattning är att den aktuella bestämmelsen syftar till att säkerställa att fysiska personers integritet inte kränks. Personlig integritet är ett begrepp som är nära knutet till skyddet för privatlivet. Juridiska personer och avlidna kan enligt vår mening inte anses få ett sämre integritetsskydd ur ett dataskyddsrättsligt perspektiv genom att den aktuella bestämmelsen inte längre omfattar dessa subjekt eftersom skyddet för den personliga integriteten i bl.a. dataskyddsförordningen inte gäller för dem. Med andra ord anser vi att det förhållandet att bestämmelsen inte längre bör omfatta juridiska personer och avlidna är en följd av att dataskyddsförordningen inte omfattar dessa subjekt, vilket i sig inte innebär att avlidna och juridiska personer får ett sämre skydd ur ett integritetsskyddsperspektiv. I de fall vissa uppgifter om juridiska personer innefattar en personuppgift, t.ex. uppgift om firmatecknare, tillgodoses skyddet genom bl.a. de regler som nu föreslås till skydd för fysiska personers personliga integritet.
Bedömningen utesluter dock inte att det kan finnas andra grunder på vilka den personuppgiftsansvarige t.ex. måste rätta en uppgift. Vid den tid då kronofogdedatabaslagen inte innehöll några särskilda bestämmelser om rättelse avseende juridiska personer har Högsta förvaltningsdomstolen slagit fast att det förhållandet inte rimligen i sig kunde innebära att en juridisk person ska kunna vägras att få en felaktig uppgift rättad (RÅ 2004 ref. 104). Vidare finns vissa bestämmelser om rättelse i 36 § FL.
Vi anser att också en bestämmelse motsvarande 3 kap. 3 a § första stycket 2 KFMdbL ska tas in i den nya kronofogdedatalagen. Enligt bestämmelsen ska Kronofogdemyndigheten på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Också denna bestämmelse är i dag tillämplig på uppgifter om juridiska personer och avlidna. Bestämmelsen får sägas vara utökad i förhållande till den allmänna dataskyddsförordningen.161 Syftet med att införa bestämmelsen var i huvudsak att tillgodose såväl kraven på Kronofogdemyndighetens diarieföring som de enskildas berättigade krav på att inte behöva före-
160 Se bl.a. skäl 14 och 27 till dataskyddsförordningen. 161 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17.
komma med uppgifter som ger ett i sak ogrundat intryck av bristande vilja eller förmåga att göra rätt för sig.162
Även sådana ogrundade intryck avseende juridiska personer kan få negativa konsekvenser på ett sätt som gör att det finns skäl att fortsatt låta bestämmelsen omfatta sådana subjekt. Det rör sig framför allt om ekonomiska konsekvenser. Det finns till skillnad från det som nu har sagts ingen motsvarande anledning att låta bestämmelsen omfatta avlidna personer. För sådana subjekt, undantaget dödsbon, uppkommer t.ex. inte några ekonomiska konsekvenser om den särskilda rättelsebestämmelsen inte omfattar dessa. De bestämmelser om rättelse m.m. som finns i EU:s dataskyddsförordning omfattar inte heller avlidna personer. Att juridiska personer omfattas av bestämmelsen i vissa delar innebär dock att dödsbon kommer att kunna begära rättelse enligt regleringen i den nya kronofogdedatalagen.
Mot denna bakgrund föreslår vi att det ska införas en särskild bestämmelse om lagens tillämpningsområde i fråga om att den aktuella bestämmelsen även gäller vid behandling av uppgifter om juridiska personer (se avsnitt 7.4.8).
Vidare anser vi att begreppet ”den registrerade” ska bytas ut mot ”en enskild”. Med enskild avses i tillämpliga fall både fysiska och juridiska personer.
När det gäller begreppet ”missvisande” anges i förarbetena till den nuvarande rättelsebestämmelsen att prövningen av om uppgifterna är missvisande eller inte ska göras med utgångspunkt från förhållandena vid tidpunkten för registreringen.163 Vi anser att detta tydligt bör komma till uttryck i bestämmelsen. I lagen ska det därför anges att Kronofogdemyndigheten på begäran av en enskild snarast ska rätta, blockera eller utplåna sådana uppgifter om den enskilde som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Någon ändring i sak är dock inte avsedd.
Vad gäller hur rekvisiten missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser ska tillämpas är vår avsikt att även tidigare förarbetsuttalanden och praxis äger fortsatt giltighet. Detsamma gäller övriga rekvisit som överförs oförändrade från 3 kap. 3 a § KFMdbL till den nya kronofogdedatalagen.
162Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17–18. 163Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 29.
När det gäller begreppen utplåning eller blockering förekommer inte dessa i dataskyddsförordningen, vilket var fallet i det tidigare dataskyddsdirektivet. I dag används i stället begreppen rättelse och radering av personuppgifter samt begränsning av behandling (artiklarna 16–19 i dataskyddsförordningen). Vi har mot denna bakgrund övervägt om det finns skäl att modernisera bestämmelsen genom att införa begrepp som bättre stämmer överens med dataskyddsförordningen. En översyn av dessa begrepp har också efterfrågats av Kronofogdemyndigheten under utredningens arbete. En sådan förändring kräver enligt vår mening relativt grundliga överväganden, bl.a. av om det skulle innebära några materiella förändringar i förhållande till vad som gäller i dag samt hur det skulle påverka bestämmelsen om sekretess för blockerade uppgifter i 34 kap. 3 § OSL. Vidare innebär våra förslag ingen ändring av den tidigare bedömningen regeringen gjort i fråga om att det bör vara blockering som är den huvudsakliga rättelsemetoden i Kronofogdemyndighetens verksamhet. Det framgår inte heller att det ansågs finnas anledning att ändra begreppen vid den översyn som gjordes med anledning av EU:s dataskyddsförordning. Det ansågs då inte finnas något hinder mot att behålla bestämmelsen med dessa begrepp.164 Mot denna bakgrund anser vi sammantaget att en eventuell förändring av de aktuella begreppen inte bör göras inom ramen för den här utredningen.
I 3 kap. 3 a § andra stycket KFMdbL finns i dag en reglering av att om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. Bestämmelsen har sitt ursprung i 28 § PUL och fördes över från denna till 3 kap. 3 a § KFMdbL 2008 i stort sett oförändrad.165 Vid översynen av kronofogdedatabaslagen med anledning av EU:s dataskyddsförordning uttalade regeringen att denna bestämmelse saknar fullt ut motsvarighet i dataskyddsförordningen, eftersom den innebär att underrättelse till tredje man ska ske i vissa fall då underrättelse inte behöver lämnas enligt dataskyddsförordningen. Regeringen uttalade vidare att det inte fanns något hinder i
164Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 79.
165 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 19.
dataskyddsförordningen mot att behålla bestämmelsen. Bestämmelsen behölls därmed.166 Sådana underrättelser det är fråga om enligt denna bestämmelse handlar ofta om underrättelser till kreditupplysningsföretag. Bestämmelsen hänger samman med att det i 8 § fjärde stycket kreditupplysningslagen (1973:1173) anges att en uppgift som har inhämtats från Kronofogdemyndigheten ska gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § kronofogdedatabaslagen.167 Vi anser att en motsvarande bestämmelse behöver införas även i den nya kronofogdedatalagen. Att vi föreslår att den nya bestämmelsen som motsvarar 3 kap. 3 a § första stycket 1 KFMdbL inte längre ska omfatta juridiska personer eller att avlidna inte längre ska omfattas av den särskilda rättelsebestämmelsen över huvud taget påverkar inte denna bedömning. Bestämmelsen om Kronofogdemyndighetens underrättelseskyldighet ska dock i tillämpliga delar även gälla för rättade, blockerade eller utplånade uppgifter om juridiska personer (jfr avsnitt 7.4.8).
Slutligen anges i dag i 3 kap. 3 a § tredje stycket KFMdbL att i fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning. Bestämmelsen, som är en upplysningsbestämmelse, infördes i samband med att dataskyddsförordningen började gälla. I förarbetena angav regeringen att för fysiska personer skulle de särskilda bestämmelserna för Kronofogdemyndighetens verksamhet gälla vid sidan av de rättigheter som följer av dataskyddsförordningen. Detta skulle enligt regeringen tydliggöras genom att det i bestämmelsen upplyses om att det i fråga om personuppgifter även finns bestämmelser om rättelse m.m. i dataskyddsförordningen. Enligt regeringen tydliggjorde detta att för fysiska personer – till skillnad från juridiska personer – skulle de särskilda bestämmelserna gälla vid sidan av de rättigheter som följer av dataskyddsförordningen.168 Med anledning av att dataskyddsförordningen är direkt tillämplig för medlemsstaterna, samt att vi föreslår att en bestämmelse motsvarande 3 kap. 3 a § första stycket 1 KFMdbL inte ska omfatta juridiska personer i den nya kronofogdedatalagen, anser vi att det inte finns något behov av att i den nya lagen ta in en bestämmelse som motsvarar 3 kap. 3 a § tredje stycket KFMdbL. Av betydelse är
166Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 79–80.
167 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 30. 168Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 80.
även att det av en bestämmelse i kronofogdedatalagen kommer att framgå att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Eftersom det endast rör sig om en upplysningsbestämmelse bedömer vi att det inte innebär någon ändring i sak i förhållande till det gällande rättsläget.
Slutligen vill vi framhålla att det förhållandet att uppgifterna inte längre kommer att finnas i det som är den juridiska konstruktionen databas enligt vår uppfattning inte bör föranleda att den särskilda bestämmelsen om rättelse m.m. ska tillämpas på något annat sätt i sak i förhållande till i dag. Om Kronofogdemyndigheten har uppgifter registrerade, oavsett i vilken form eller i vilken typ av tekniskt system uppgifterna finns registrerade, som inte har behandlats i enlighet med den nya kronofogdedatalagen eller anslutande författningar, eller uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, ska uppgifterna rättas, blockeras eller utplånas i enlighet vad som föreskrivs härom i den nya kronofogdedatalagen.
Något om sekretess för blockerade uppgifter
I dag gäller sekretess enligt 34 kap. 3 § OSL för uppgift i mål, ärende eller verksamhet som avses i 34 kap. 1 och 2 §§, dvs. inom utsökning och indrivning, och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § kronofogdedatabaslagen oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats.
Kronofogdemyndigheten har till utredningen uppgett att det finns skäl att överväga om blockerade uppgifter även i andra verksamheter än utsökning och indrivning bör omfattas av sekretess. Detta mot bakgrund av att exempelvis även ansökningar och utslag i mål om betalningsföreläggande samt beslut om skuldsanering kan leda till att betalningsanmärkningar registreras hos kreditupplysningsföretag.
Redan när bestämmelsen i 3 kap. 3 a § KFMdbL infördes berördes i förarbetena frågan om sekretess även bör gälla i andra verksamheter än i verksamhet med utsökning och indrivning. Regeringen uttalade då att även om blockering används som rättelsemetod för uppgifter i t.ex. betalningsföreläggande- och handräckningsdatabasen kommer
det inte att finnas något skydd mot att uppgifterna lämnas ut med stöd av offentlighetsprincipen. Regeringen anförde vidare att de problem med missvisande uppgifter som då uppmärksammats främst hade gällt uppgifter i utsöknings- och indrivningsdatabasen. Därmed ville regeringen inte utesluta att det kunde finnas skäl som talade för att införa sekretesskydd för vissa uppgifter även i exempelvis betalningsföreläggande- och handräckningsdatabasen. Mot bakgrund av att det då inte fanns några sekretessregler alls som rörde verksamheten med betalningsföreläggande och handräckning var det emellertid något som enligt regeringen skulle kräva ingående överväganden, bl.a. om hur en sekretessregel på det området lämpligen skulle utformas för att syftet skulle uppnås utan att åtkomsten till information begränsas i alltför hög grad. Det var därför inte aktuellt att då lägga fram något förslag till en sådan reglering.169
I dag finns en sekretessregel som gäller i ärende om skuldsanering eller F-skuldsanering för uppgift om en enskilds personliga förhållanden. Sekretessen gäller dock inte beslut i ärende (34 kap. 6 § OSL). Någon sekretess finns däremot inte heller i dag avseende Kronofogdemyndighetens verksamhet med betalningsföreläggande och handräckning.
När den nuvarande sekretessbestämmelsen som i dag finns i 34 kap. 3 § OSL infördes uttalade regeringen att för att blockering skulle bli fullt effektiv som rättelsemetod krävdes det att Kronofogdemyndigheten hade möjlighet att vägra lämna ut den blockerade uppgiften för det fall att den begärdes utlämnad på annat sätt än på elektronisk väg, och då med åberopande av offentlighetsprincipen. En ny sekretessregel skulle därför införas som enligt regeringen borde ha som utgångspunkt att Kronofogdemyndigheten hade beslutat om blockering av en uppgift.170
Motsvarande resonemang bör visserligen kunna föras för samtliga uppgifter som i dag leder till betalningsanmärkningar och som har blockerats av Kronofogdemyndigheten. Detta särskilt avseende verksamhet med skuldsanering och F-skuldsanering för vilken det numera finns en särskild sekretessregel. Kronofogdemyndigheten har dock uppgett att detta inte upplevs som ett stort problem i dag, främst mot bakgrund av den bestämmelse om gallring av blockerade uppgifter som finns i 8 § fjärde stycket kreditupplysningslagen samt
169Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 23–24. 170Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 21–22.
bestämmelsen om underrättelse till kreditupplysningsföretag i 17 § förordningen (1991:1339) om betalningsföreläggande och handräckning. Myndigheten har även uppgett att det inte är vanligt med blockering inom verksamheten med skuldsanering. En bestämmelse om underrättelseskyldighet till tredje man i vissa fall föreslås också fortsatt att finnas i anslutning till den särskilda bestämmelsen om rättelse m.m. Vidare skulle nya eller ändrade sekretessregler i fråga om uppgifter som har blockerats av Kronofogdemyndigheten även inom ramen för verksamhet med skuldsanering, F-skuldsanering och betalningsföreläggande och handräckning, i likhet med vad regeringen tidigare fört fram, kräva ingående överväganden. Detta oaktat att det i dag finns en särskild regel om sekretess avseende uppgifter inom myndighetens verksamhet med skuldsanering och F-skuldsanering. Vi anser att sådana överväganden inte lämpar sig att göra inom ramen för utredningens uppdrag. Vi stannar därför vid att konstatera att Kronofogdemyndigheten har uttryckt att det finns skäl att överväga att införa sekretess för blockerade uppgifter även inom andra verksamheter vid myndigheten.
Bestämmelser om överklagande
I 3 kap. 4 § KFMdbL anges att beslut om rättelse enligt 3 kap. 3 a § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelsen trädde i kraft under 2018. Den ersatte en tidigare bestämmelse som föreskrev att en myndighets beslut om rättelse och om information som ska lämnas enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt lagen fick inte överklagas. Den tidigare bestämmelsen omfattade, till skillnad från vad som gällde för Skatteverket och Tullverket, även sådana beslut om rättelse enligt 3 kap. 3 a § första stycket 2 KFMdbL där det är fråga om uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. I samband med lagändringen 2018 uttalade regeringen i förarbetena mot denna bakgrund att för att det tydligt ska framgå att även beslut enligt punkten 2 fick
överklagas skulle en överklagandebestämmelse finnas kvar i kronofogdedatabaslagen.171
I förarbetena uttalade regeringen även att det fortsatt skulle vara möjligt för juridiska personer att överklaga de två olika besluten om rättelse i kronofogdedatabaslagen, dvs. enligt både punkten 1 och 2 i 3 kap. 3 a §.172
Även dataskyddslagen innehåller bestämmelser om överklagande som här blir aktuella. I samband med att de nu gällande överklagandebestämmelsen infördes uttalade regeringen att fysiska personer kommer att kunna överklaga beslut om rättelse enligt 3 kap. 3 a § första stycket 1 KFMdbL med stöd av dataskyddslagen och ansågs därmed inte behöva tillämpa den särskilda överklagandebestämmelsen i sådana fall. Regeringen uttalade vidare att juridiska personer inte omfattas av dataskyddslagens tillämpningsområde och skulle i stället komma att kunna överklaga sådana beslut med stöd av den särskilda överklagandebestämmelsen. När det gällde beslut om rättelse enligt 3 kap. 3 a § första stycket 2 uttalade regeringen att såväl fysiska som juridiska personer skulle komma att ha rätt att överklaga dessa med stöd av den särskilda överklagandebestämmelsen.173 Därmed omfattar den nuvarande överklagandebestämmelsen beslut enligt både punkt 1 och punkt 2 i 3 kap. 3 a § första stycket KFMdbL.
Av motsvarande skäl som regeringen anförde enligt ovan anser vi att det ska införas en särskild överklagandebestämmelse i 19 § kronofogdedatalagen. Även om vi föreslår att bestämmelsen som motsvarar den tidigare 3 kap. 3 a § första stycket 1 inte längre ska omfatta juridiska personer anser vi att bestämmelsen om överklagande av tydlighetsskäl ska omfatta beslut om rättelse enligt både punkt 1 och 2 i den föreslagna bestämmelsen om rättelse m.m. i 18 §. Detta oaktat att dataskyddslagens regler om överklagande blir tillämpliga vid beslut om rättelse m.m. för fysiska personer. Det innebär att överklagandebestämmelsen även ska vara tillämplig på sådana beslut som avser rättelse, blockering eller utplåning av uppgifter om juridiska personer som fattats i enlighet med 18 § första stycket 2 kronofogdedatalagen (jfr avsnitt 7.4.8).
171Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 94.
172Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 94–95.
173Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 95.
Vidare föreslår vi att den nuvarande bestämmelsen i 3 kap. 4 § andra stycket KFMdbL ska överföras oförändrad till den nya kronofogdedatalagen. Det innebär att prövningstillstånd även fortsättningsvis kommer att krävas vid överklagande till kammarrätten.
8. Ändamålsbestämmelser
8.1. Inledning
Vårt övergripande uppdrag är att göra en fullständig översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar och då bl.a. bedöma om det finns utrymme för minskad detaljreglering.
Avseende nuvarande ändamålsbestämmelser omfattar vårt uppdrag att utreda om det finns ett behov av utvidgad ändamålsreglering, för att säkerställa att reglerna är anpassade efter den tekniska utvecklingen. Vi har dessutom i uppdrag att överväga en mindre detaljerad ändamålsreglering, exempelvis avseende de s.k. sekundära ändamålsbestämmelserna.
I detta kapitel redogör vi för olika aspekter av ändamål med personuppgiftsbehandling och betydelsen av ändamålet med behandlingen utifrån den allmänna dataskyddsreglertingen, främst EU:s dataskyddsförordning.1 Vi redogör även för olika aspekter av ändamålsbestämmelser i nationell rätt.
I kapitlet går vi vidare igenom de överväganden som låg till grund för den ursprungliga utformningen av befintliga ändamålsbestämmelser i myndigheternas registerförfattningar. Därutöver redogörs för regeringens överväganden i samband med att dataskyddsförordningen skulle börja tillämpas, samt ändamålsregleringen för den nya databas som sedan maj 2023 regleras i folkbokföringsdatabaslagen. Vi redogör även för befintliga ändamålsbestämmelser i registerförfattningarna för Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten.
Sedan redogör vi för våra överväganden avseende vilka behov av förändring som föreligger samt lämnar förslag på hur en ny reglering
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
av tillåtna ändamål för behandling av personuppgifter ska utformas. Vi redogör i det sammanhanget särskilt för hur ändamålsbestämmelserna i dag förhåller sig till databasregleringen och finalitetsprincipen.
Slutligen redogör vi för våra överväganden avseende en föreslagen förändring avseende beskattningsdatabasens ändamålsreglering.
De förslag som lämnas avser nya bestämmelser för Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten.
Frågor som rör ändamålsbestämmelser i Skatteverkets verksamhet med det statliga personadressregistret, SPAR, samt Skatteverkets verksamhet med äktenskapsregistret och bouppteckningar behandlas särskilt i avsnitten 16.4.4 och 17.4.4. Särskilda överväganden om ändamålsbestämmelser avseende dataanalyser och urval finns dessutom i avsnitt 14.8.
8.2. Allmänt om ändamålsbestämmelser
8.2.1. Ändamål och den personuppgiftsansvariges ansvar
Den rättsliga grunden sätter upp ramarna för ändamålen
För att behandling av personuppgifter över huvud taget ska vara laglig enligt EU:s dataskyddsförordning krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. Behandling som grundar sig på en rättslig förpliktelse som den personuppgiftsansvarige har att utföra, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 c och e) måste som utgångpunkt ha en grund i unionsrätten eller i en medlemsstats nationella rätt (artikel 6.3 första stycket). Enligt dataskyddsförordningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter.2
I lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges i vilka situationer personuppgifter får behandlas med stöd av artikel 6.1 c och e i dataskyddsförordningen.
2 Skäl 47 till dataskyddsförordningen.
Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Av 2 kap. 2 § samma lag framgår att personuppgifter får behandlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning.
Kravet på att all behandling måste ha en rättslig grund innebär att den materiella och processuella verksamhetsreglering som styr en myndighets uppgifter också styr för vilka ändamål myndigheten får behandla personuppgifter. Den rättsliga grund som myndigheterna kan basera sin personuppgiftsbehandling på, dvs den materiella och processuella verksamhetsregleringen, begränsar därmed även för vilka ändamål personuppgifter får behandlas. Det finns följaktligen en nära koppling mellan den materiella och processuella verksamhetsregleringen och de ändamål för behandling som kan bli aktuella.
Ändamålets betydelse i dataskyddsförordningen
Det måste alltid finnas minst ett ändamål med personuppgiftsbehandling. Detta uttrycks i artikel 5.1 b i dataskyddsförordningen som att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med behandlingen är avgörande för flera av de grundläggande principer för personuppgiftsbehandling som uttrycks i artikel 5 i dataskyddsförordningen.
Principen om ändamålsbegränsning (finalitetsprincipen) innebär att uppgifter inte får vidarebehandlas för ändamål som är oförenliga med insamlingsändamålet, artikel 5.1 b.
Principen om uppgiftsminimering innebär att de personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, artikel 5.1 c.
Principen om korrekthet innebär bl.a. att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga, i
förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål, artikel 5.1 d.
Principen om lagringsminimering innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas, artikel 5.1 e.
Betydelsen av ändamålet med behandling av personuppgifter är dock inte begränsad till de grundläggande principerna. Av artikel 13.1 framgår att om personuppgifter samlas in från den registrerade ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om bl.a. ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. Samma sak gäller enligt artikel 14.1 om personuppgifterna inte har erhållits från den registrerade. Enligt artikel 17.1 har en registrerad rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål raderar personuppgifter om de inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
Det ansvar som den personuppgiftsansvarige har att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen utgår enligt artikel 24.1 bl.a. från ändamålet med behandlingen. Behandlingens ändamål har också betydelse för den personuppgiftsansvariges skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter enligt artikel 32. Av artikel 35.1 framgår att om en typ av behandling, särskilt med användning av ny teknik och med beaktande av bl.a. dess sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter.
Varje personuppgiftsansvarig ska vidare föra ett register över behandling som utförts under dess ansvar och registret ska bl.a. innehålla uppgifter om ändamålen med behandlingen enligt artikel 30.1 c.
Utöver exemplen ovan har ändamålet med behandlingen betydelse för tillämpningen av flera olika bestämmelser i dataskyddsförordningen. Ändamålet med behandling av personuppgifter har därmed en central betydelse i den allmänna dataskyddsregleringen.
Den personuppgiftsansvarige bestämmer ändamålen
Av definitionen av begreppet personuppgiftsansvarig i dataskyddsförordningen framgår att det är den personuppgiftsansvarige som bestämmer ändamålen och medlen för behandlingen (artikel 4.7). Av artikel 5.2 framgår vidare att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna för behandling efterlevs (principen om ansvarsskyldighet). Som utgångspunkt är det alltså den personuppgiftsansvarige, och inte lagstiftaren eller någon annan aktör, som ansvarar för att formulera särskilda och berättigade ändamål för behandlingen av personuppgifter i det enskilda fallet.
Nationell rätt kan komplettera och begränsa den personuppgiftsansvariges möjlighet att bestämma ändamål
Dataskyddsförordningen medger nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Det gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 till förordningen framgår att detta även gäller för behandlingen av känsliga personuppgifter.
Den rättsliga grunden kan vidare enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar samt typer av behandling och förfaranden för behandling.
Under vissa förutsättningar kan de rättigheter för enskilda som följer av dataskyddsförordningen begränsas. De begränsningar av enskildas rättigheter som enligt artikel 23.1 är möjligt att införa i nationell rätt ska enligt artikel 23.2 a innehålla specifika bestämmelser av-
seende ändamålen med behandlingen eller kategorierna av behandling. Det innebär att lagstiftaren i vissa fall inte bara får utan också måste ta ställning till och ange vilka ändamål med behandling eller kategorier av behandling som kan motivera ett undantag från en eller flera rättigheter.
8.2.2. Allmänt om ändamålsbestämmelser i registerförfattningar och annan dataskyddsreglering
Ändamålsbestämmelser i registerförfattningar och annan dataskyddsreglering
Svenska registerförfattningar och annan dataskyddsreglering som innehåller sektorsspecifika bestämmelser om myndigheters personuppgiftsbehandling kompletterar EU:s dataskyddsförordning. Kompletterande dataskyddsreglering innehåller normalt också bestämmelser som anger för vilka ändamål personuppgifter får behandlas. Även lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), innehåller bestämmelser om ändamål.
Det finns dock sektorsspecifik reglering som inte innehåller ändamålsbestämmelser. Exempelvis innehåller 26 a kap. skollagen (2010:800), som reglerar behandling av personuppgifter, ingen bestämmelse som begränsar eller anger för vilka ändamål personuppgifter får behandlas. Flera myndigheter saknar dessutom helt sektorsspecifik lagstiftning på dataskyddsområdet, exempelvis gäller detta för Integritetsskyddsmyndigheten, IMY, och Skatteverkets verksamhet med evenemangsstöd.
I lagstiftningsärendet gällande dataskyddslagen tog regeringen ställning till de svenska registerförfattningarnas förenlighet med dataskyddsförordningens bestämmelser. Regeringen uttalade då i fråga om ändamålsbestämmelser att dataskyddsförordningen inte ställer något krav på att ändamål ska vara fastställda i författning men att det heller inte finns något som hindrar att detta görs, under förut-
sättning att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas.3
Högsta förvaltningsdomstolen har i rättsfallet HFD 2021 ref. 10 uttalat att det inte råder någon tvekan om att det, under förutsättning att vissa grundläggande krav upprätthålls, är tillåtet att i nationell rätt bestämma både de ändamål för vilka personuppgifter får behandlas och de ändamålsbegränsningar som lagstiftaren anser ska gälla, och att ändamålsbestämmelser i registerförfattningar inte är av unionsrättslig karaktär. Det innebar enligt domstolen att principen om unionsrättens företräde inte gjorde sig gällande i frågan om hur nationella bestämmelser om en myndighets skyldighet att lämna offentliga uppgifter till andra myndigheter förhåller sig till ändamålsbestämmelser i den utlämnande myndighetens registerförfattning (se vidare avsnitten 13.2.4 och 13.4.3).
Ändamålsbestämmelsers funktion och syfte
Olika syften
Ändamålsbestämmelser utgör i regel dataskyddsreglering som syftar till att stärka skyddet för den personliga integriteten.4 Vilken karaktär den aktuella författningen har påverkar dock vilket syfte som finns med ändamålsbestämmelserna. Registerförfattningar och annan dataskyddsreglering kan nämligen ha olika karaktär beroende på om föremålet för regleringen är en myndighets totala informationshantering inom en viss verksamhet eller enbart avser förandet av ett visst register, alternativt ett förtydligande av den materiella verksamhetsregleringen.
Mer renodlade registerförfattningar reglerar register som enligt riksdag eller regering ska föras och som ska ha ett visst obligatoriskt innehåll. Genom en sådan registerförfattning får en myndighet ansvar för att föra ett visst register, och registerföringen blir genom författningsregleringen en del i myndighetens uppdrag.5 Ändamålsbestämmelser i en författning som särskilt avser förandet av ett visst register, som exempelvis ändamålsbestämmelserna i lagen (1998:527) om det statliga personadressregistret, SPAR-lagen, har en delvis annan
3Prop. 2017/18:105, Ny dataskyddslag, s. 48, 50 och 51. 4 Jfr prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85, 99 och 100. 5 Jfr SOU 2015:39, Myndighetsdatalag, s. 97.
funktion än de som reglerar för vilka ändamål en myndighet mer övergripande får behandla personuppgifter (se avsnitt 16.4.4). När ändamålsbestämmelser anger för vilka ändamål ett register som SPAR får föras utgör de i högre utsträckning en del av den materiella regleringen av själva registret än rena dataskyddsbestämmelser.6
Om ändamålsbestämmelser finns i författningar vars övergripande funktion är att reglera personuppgiftsbehandling i stort inom en viss verksamhet eller inom en särskild myndighet avser bestämmelserna inte bara att viss registerföring ska eller får ske. I och med att tillämpningsområdet för sådana författningar normalt är vidare än att enbart reglera personuppgifter i ett särskilt register har ändamålsbestämmelserna i dessa fall en annan funktion. Utmärkande för sådana ändamålsbestämmelser är att de i huvudsak reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för författningens tillämpningsområde.7 Sådana bestämmelser har en tydlig dataskyddsrättslig karaktär.
I andra fall kan särskilda ändamålsbestämmelser anses krävas för att komplettera den rättsliga grunden för behandlingen, så att den uppfyller dataskyddsförordningens krav på tydlighet precision och förutsebarhet, se exempelvis avsnitt 14.8 om dataanalyser och urval. En lag som innehåller ändamålsbestämmelser kan också motiveras av att den materiella verksamhetsregleringen av en myndighets uppgifter annars inte anges i lag.8 Särskilda ändamålsbestämmelser kan också aktualiseras vid behandling i mycket avgränsade uppgiftssamlingar med särskilt känsliga uppgifter.9
Ändamålsbestämmelser fyller därmed olika syften beroende på inom vilken verksamhet de är avsedda att tillämpas och hur verksamheten är reglerad i övrigt. I det följande avser vi dock med ändamålsbestämmelser sådana bestämmelser som reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för en dataskyddsförfattnings tillämpningsområde, och som är av tydlig dataskyddskaraktär.
6SOU 2015:39, Myndighetsdatalag, s. 98. 7 Jfr SOU 2015:39, Myndighetsdatalag, s. 100. 8Prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, s. 21. 9 Jfr 1 § lagen (2020:422) om Rättsmedicinalverkets elimineringsdatabas.
En yttersta ram för behandling av personuppgifter?
Regeringen har i senare lagstiftningsarbete uttalat att ändamålsbestämmelser kan sägas anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling av personuppgifter.10Bestämmelser om tillåtna ändamål har också karaktäriserats av regeringen som en yttersta ram inom vilken personuppgiftsbehandling är tillåten.11 Regeringen har dock även uppmärksammat att ändamålet med behandlingen enligt den allmänna dataskyddsregleringen inte får vara så vagt eller vittomfattande att någon prövning av om de personuppgifter som behandlas är adekvata och relevanta för ändamålet inte är möjlig. Enligt regeringen innebär det att det många gånger kommer att behöva formuleras mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i en myndighets verksamhet, än de som anges i registerförfattning.12
Regeringen har även uttalat dels att ändamålsbestämmelser i många fall borde kunna ses som en del i den rättsliga grunden för personuppgiftsbehandling,13 dels att ändamålsbestämmelser kan utgöra ett
fastställande av den rättsliga grunden för en rättslig förpliktelse eller
arbetsuppgift av allmänt intresse,14 i vart fall när materiell reglering inte fastställer sagda grund.
Primära och sekundära ändamålsbestämmelser
Dataskyddsförordningens bestämmelser om rättslig grund medför, som vi redan nämnt, att en myndighet som utgångspunkt endast får behandla personuppgifter om det är nödvändigt för att fullgöra en rättslig förpliktelse, för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Enligt dataskyddsförordningen är det lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter.15 Dataskyddsförordningen förutsätter alltså att myn-
10Prop. 2022/23:34, Utbetalningsmyndigheten, s. 124. 11Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och
säkerhet – anpassningar till EU:s dataskyddsreform s. 43.
12Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 43. 13Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och
säkerhet – anpassningar till EU:s dataskyddsreform, s. 44
14Prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning
till EU:s dataskyddsförordning, s. 83.
15 Skäl 47 till dataskyddsförordningen.
digheters verksamhet som föranleder behandling av personuppgifter är rättsligt reglerad. Även enligt svensk rätt måste myndighetsutövning mot enskild alltid ha stöd i författning.16
Eftersom myndigheter som utgångspunkt inte har någon rättslig möjlighet att behandla personuppgifter för ändamål som faller utanför deras författningsreglerade uppdrag och uppgifter utgår ändamålsbestämmelser normalt från myndigheternas uppdrag i enlighet med lag eller förordning, och det därtill knutna behovet av att behandla personuppgifter.
Bestämmelser som avser ändamål för personuppgiftsbehandling som uppkommer i myndighetens verksamhet brukar benämnas primära ändamål. De primära ändamålsbestämmelserna kan se olika ut beroende på om den aktuella författningen ska tillämpas i all verksamhet som en myndighet ansvarar för, eller endast vissa delar. Här kan dock nämnas att rent administrativa göromål (exempelvis personaladministrativ verksamhet) ofta faller utanför den kompletterande dataskyddsregleringens tillämpningsområde. Om författningen är avsedd att tillämpas i all verksamhet som en myndighet bedriver behöver ändamålsbestämmelserna täcka all den behandling som är nödvändig för att myndigheten ska kunna utföra sin verksamhet, med undantag för personaladministrativ verksamhet och annan sådan verksamhet som kan medföra personuppgiftsbehandling hos myndigheter generellt.17
Sekundära ändamål avser ofta tillhandahållande av personuppgifter till externa mottagare, inte sällan andra myndigheter eller andra offentliga aktörer. På samma sätt som de primära ändamålen ofta speglar myndighetens författningsreglerade arbetsuppgifter speglar de sekundära ändamålen ofta bestämmelser som föreskriver ett mer omfattande utlämnande av uppgifter från den aktuella myndigheten.18
En uttömmande ändamålsreglering upphäver finalitetsprincipen i sammanhanget
Finalitetsprincipen innebär att personuppgifter får vidarebehandlas för tillkommande ändamål, men med begränsningen att dessa ändamål inte får vara oförenliga med de ursprungliga insamlingsändamå-
16 Se 8 kap. 2 § 2 och 3 § regeringsformen, samt 5 § förvaltningslagen (2017:900). 17 Jfr regeringens uttalanden i prop. 2022/23:34, Utbetalningsmyndigheten, s. 124. 18 Jfr t.ex. 114 kap. 8 § socialförsäkringsbalken och 13 § utlänningsdatalagen (2016:27).
len.19 Principen medför att uppgifter kan komma att behandlas för flera andra ändamål än de för vilka de från början samlades in. Finalitetsprincipen framgår som redan nämnts av artikel 5.1 b i dataskyddsförordningen och utgör en av de grundläggande principerna för behandling av personuppgifter. Högsta förvaltningsdomstolen har i avgörandet HFD 2021 ref. 10 uttalat att när finalitetsprincipen är tillämplig är det den principen som ytterst sätter gränsen för vad som kan anses vara en tillåten behandling, dvs. den som är personuppgiftsansvarig måste göra en kontroll av om en senare behandling av personuppgifter är oförenlig med de ändamål för vilka uppgifterna först samlades in.
I svenska registerförfattningar eller annan kompletterande dataskyddsreglering motsvaras finalitetsprincipen ofta av en särskild bestämmelse i anslutning till övriga ändamålsbestämmelser. Även om finalitetsprincipen inte uttryckligen anges i en kompletterande författning så gäller den som utgångspunkt ändå, som en följd av att dataskyddsförordningen ska tillämpas.
Som nämnts i avsnitt 8.2.1 är det enligt artikel 6.3 i dataskyddsförordningen tillåtet att i den nationella rätten införa ändamålsbegränsningar. Ändamålsbegränsningar kan avse för vilka ändamål en viss kategori uppgifter får behandlas, eller att personuppgifter endast får behandlas för särskilt angivna ändamål. Om en ändamålsbegränsning av det senare slaget har införts så utesluter det vidarebehandling. Ändamålsbestämmelser kan därmed i vissa fall vara uttömmande, dvs. bestämmelserna anger de enda ändamål som uppgifter får behandlas för. Om ändamålsbestämmelserna exempelvis anger att uppgifter endast, eller bara får behandlas för de angivna ändamålen är ingen vidarebehandling för andra ändamål tillåten. Det innebär att finalitetsprincipen inte gäller i det sammanhanget.20
En stor variation i utformningen av ändamålsbestämmelser
Ändamålsbestämmelser kan utformas på olika sätt och vara mer eller mindre detaljerade. I vissa fall anger ändamålsbestämmelser endast att personuppgifter får behandlas för att myndigheten ska kunna
19 Jfr prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 1. 20 Jfr prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpass-
ning till EU:s dataskyddsförordning, s. 90 och prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 21–23.
utföra sina uppgifter i den verksamhet som avses i författningens tillämpningsområde. Exempelvis är ändamålsregleringen för den nya Utbetalningsmyndigheten brett formulerad. Av den primära ändamålsbestämmelsen i 1 kap. 6 § första stycket lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten framgår följande.
Utbetalningsmyndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att
1. administrera ett system med transaktionskonto, och
2. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen.
Av 6 och 7 §§ samma lag framgår att Utbetalningsmyndigheten också får behandla personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (sekundärt ändamål), eller för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för (finalitetsprincipen). Någon ytterligare bestämmelse som reglerar för vilka ändamål myndigheten får behandla personuppgifter finns inte i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten.
Ett annat exempel på en brett formulerad ändamålsbestämmelse är den reglering som finns i 2 kap.1 och 2 §§ lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. Utöver bestämmelser om uppgiftslämnande som följer av lag eller förordning (sekundärt ändamål), samt andra ändamål som är förenliga med insamlingsändamålet (finalitetsprincipen), anges endast att Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten (primära ändamål).
I andra fall har ändamålsbestämmelserna utformats på ett mer detaljerat sätt. Exempelvis är de bestämmelser som reglerar för vilka ändamål Transportstyrelsen får behandla personuppgifter av motsatt karaktär i förhållande till exemplen ovan. Ändamålsbestämmelserna i vägtrafikdatalagen (2019:369)21 omfattar 16 paragrafer, 2 kap. 3–18 §§.
21 Det betänkande som ligger till grund för propositionen till vägtrafikdatalagen, SOU 2010:76,
Transportstyrelsens databaser på vägtrafikområdet – integritet och effektivitet, överlämnades redan
2010 och kommitteens arbete påbörjades så tidigt som 2008. Lagens grundläggande utformning kom alltså till långt innan dataskyddsförordningen började tillämpas, trots att SFS-numret kan ge sken av motsatsen.
I detta sammanhang regleras utförligt tillåtna ändamål i de olika verksamheterna som Transportstyrelsen ansvarar för. För Transportstyrelsens fordonsverksamhet anges exempelvis i 2 kap. 3 § vägtrafikdatalagen följande.
Personuppgifter får behandlas i Transportstyrelsens verksamhet som rör fordon om det är nödvändigt för att hantera frågor om
1. fordons registrering eller användning eller därmed sammanhängande frågor,
2. typgodkännande eller enskilt godkännande,
3. huruvida ett fordon och dess utrustning är tillförlitligt från säkerhetssynpunkt och i övrigt lämpligt för trafik, eller
4. skatter, avgifter, ersättningar eller premier.
Även de bestämmelser i 2 kap. 4 § vägtrafikdatalagen som anger lagens sekundära ändamål är mycket detaljerade.
Också den ändamålsreglering som gäller för Försäkringskassans och Pensionsmyndighetens personuppgiftsbehandling är mer detaljerad i sin utformning. I 114 kap. 7 § första stycket socialförsäkringsbalken anges i dag följande.22
Försäkringskassan och Pensionsmyndigheten får i sin verksamhet behandla personuppgifter om det är nödvändigt för att
1. återsöka vägledande avgöranden,
2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som avses i 2 § ska kunna bedömas eller fastställas,
3. informera om sådana förmåner och ersättningar som avses i 2 §,
4. handlägga ärenden,
5. planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller
6. framställa statistik i fråga om verksamhet enligt 4 och 5.
Regleringen av de sekundära ändamålen i 114 kap. 8 § socialförsäkringsbalken är också mycket detaljerad.23
Av exemplen ovan, som enbart utgör en bråkdel av de många registerförfattningar och annan kompletterande dataskyddsreglering
22 Jfr dock föreslagen ny lydelse i prop. 2023/24:29, En ny dataskyddsreglering på socialförsäk-
ringsområdet, s. 6.
23 Regeringen har dock föreslagit att den detaljerade regleringen av sekundära ändamål ska upphävas till förmån för en reglering som liknar den som i dag gäller för bl.a. Utbetalningsmyndigheten och Rättsmedicinalverket, se prop. 2023/24:29, En ny dataskyddsreglering på socialförsäk-
ringsområdet, s. 46–48.
som finns i dag, framgår att det finns en stor variation i hur de primära och sekundära ändamålsbestämmelserna utformas i olika myndighetssammanhang. Skillnaderna i utformning avser som framgår ovan inte enbart hur detaljerat ändamålen beskrivs utan även vilka ändamål som lagstiftaren har bedömt uttryckligen behöver regleras. Det kan exempelvis ifrågasättas i vilken utsträckning Försäkringskassan hade varit förhindrad att behandla personuppgifter vid ärendehandläggning om det inte hade angivits som ett särskilt ändamål i 114 kap. 7 § 4 SFB.
8.3. Befintliga ändamålsbestämmelser för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten
8.3.1. Bakgrund
Databaserna och finalitetsprincipen
Vid tidpunkten för de befintliga registerförfattningarnas tillkomst bedömde regeringen att enbart de frågor som var viktigast ur integritetssynpunkt skulle regleras i lag.24 Regeringen konstaterade att en grundläggande princip vid personuppgiftsbehandling var att behandling inte fick vara oförenlig med de ändamål för vilka uppgifterna hade samlats in (finalitetsprincipen). Enligt regeringen borde det därför klart anges i lagarna för vilka ändamål uppgifter skulle få behandlas. Därigenom gavs enligt regeringen en tillräcklig garanti för att den personliga integriteten hos de registrerade skulle skyddas även utan en närmare reglering av vilka uppgifter som skulle få behandlas.25
Finalitetsprincipen framgick vid den tidpunkten av 9 § d personuppgiftslagen (1998:204), PUL. Genom hänvisningar i registerförfattningarna till den bestämmelsen skulle finalitetsprincipen vara tillämplig
24 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fungera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhetsområde. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Kronofogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200,
En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av
Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m. 25Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85.
även vid behandling med stöd av respektive registerförfattning, men utan att en bestämmelse som motsvarade finalitetsprincipen fanns i författningarna.26
Enligt regeringen skulle Skatteverkets och Tullverkets registerförfattningar ges en likartad systematik, med en uppräkning av tillåtna ändamål som också reglerade för vilka ändamål uppgifter i en gemensamt tillgänglig databas fick användas. För Kronofogdemyndighetens del skulle ändamål i stället anges separat för var och en av de fyra databaser som skulle regleras i registerlagen. Inom databaserna skulle uppgifter som samlats in för något av de för databasen angivna ändamålen utgöra ”allmän egendom”.27
Beskattningsverksamheten
Avseende beskattningsverksamheten bedömde regeringen att en detaljerad ändamålsbeskrivning som innefattade någon form av uppräkning av olika skatter och avgifter skulle komma att bli svåröverskådlig. Situationen skulle bli än mer komplicerad av att beskattningsområdet var ett av samhällets mest dynamiska i fråga om lagstiftningstakt. Ändamålsbestämmelserna för beskattningsverksamheten skulle i stället utformas så att de gav en rimlig avvägning mellan behovet av en förenkling av de dittills gällande reglerna och integritetssynpunkter. Som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra när, hur och vilka uppgifter som behandlades. Vidare konstaterade regeringen att en lag om behandling av personuppgifter inte styrde skatteförvaltningens verksamhet, utan i stället bestämdes verksamhetens inriktning av den materiella och processuella lagstiftningen på området jämte de instruktioner som gällde. Enligt regeringen borde därför ändamålet med beskattningsdatabasen vara att ge information som behövdes inom skatteförvaltningen för fastställande av underlag för skatter och avgifter samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. Syftet med bestämmelsen var att all beskattningsverksamhet som bedrevs av skatteförvaltningen skulle utgöra ett primärt ändamål.28
Regeringen konstaterade dock att vissa ändamål som innefattades i beskattningsverksamheten behövde regleras särskilt. Bestämmande
26Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 92–93. 27Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 232. 28Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.
av pensionsgrundande inkomst, samt fastighetstaxering i vissa fall, utgjorde enligt regeringen inte ett led i beskattningsförfarandet. Dessa arbetsuppgifter behövde därför anges som särskilda ändamål.29
Regeringen konstaterade även att revision och annan kontroll utgjorde en stor del av verksamheten, och att innehållet i det centrala skatteregistret hade utökats med uppgifter från bl.a. länsstyrelserna och Tullverket enbart för att underlätta kontrollverksamheten och öka möjligheten att ta fram kontrollvärda objekt. Inom ramen för beskattningsverksamheten utfördes även kontroller som inte i första hand ledde till fastställande av underlag för skatter eller avgifter, utan kunde utmynna i påpekanden om en kommande bedömning. Skattemyndigheterna behövde även behandla uppgifter för kontroll eller revision av personer eller företag som inte var registrerade hos myndigheterna trots att de möjligen borde betala skatter och avgifter, s.k. nonfilers. Enligt regeringens mening borde revision och annan kontroll därför anges som ett särskilt ändamål.30
Vad gällde andra verksamheter som skattemyndigheterna ansvarade för, bl.a. avseende kontroll av lämplighet för F-skatt och viss tillsyn, ansåg regeringen att dessa hade så stark koppling till beskattningsverksamheten att det var naturligt att beskattningsdatabasen användes för denna tillsyn. För att täcka in samtliga dessa åligganden som låg lite vid sidan av den beskattningsverksamhet som utmynnade i t.ex. fastställande av skatteunderlag, borde som ett särskilt ändamål anges tillsyn och lämplighets-, tillstånds- och liknande prövning.31
Som ett annat särskilt ändamål borde enligt regeringen anges fullgörande av ett åliggande som följde av ett för Sverige bindande internationellt åtagande. Det var enligt regeringen en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. punktskatte- och mervärdesskatteområdet.32
Slutligen borde som primära ändamål anges tillsyn, kontroll, uppföljning och planering av verksamheten. Enligt regeringen behövde det finnas möjlighet att som ett led i beskattningsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs.
29Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 30Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123–124. 31Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 32Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.
följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden.33
Vad gäller sekundära ändamål bedömde regeringen de ändamål för vilka uppgifterna skulle användas hos mottagaren borde utgöra ett sekundärt ändamål för beskattningsdatabasen för att en myndighet skulle tillåtas ha direktåtkomst till uppgifter som fanns där. Även när det kunde förutses att ett regelmässigt utlämnande till andra myndigheter kunde komma att ske på annat sätt än genom direktåtkomst borde detta framgå av de sekundära ändamålen. En uppräkning av sekundära ändamål som inte avsåg utlämnande genom direktåtkomst kunde dock enligt regeringen inte bli uttömmande, eftersom det inte var möjligt att förutse samtliga de situationer då uppgifter kunde komma att lämnas ut till myndigheter eller andra för olika ändamål. De sekundära ändamålen som inte var särskilt inriktade på direktåtkomst avsåg de fall där det var möjligt att förutsäga att uppgifter kunde komma att lämnas ut i förhållandevis stor omfattning.34
Då de dåvarande skatteregistren redan fick användas i kronofogdemyndigheternas exekutiva verksamhet, och kronofogdemyndigheterna under en lång tid haft direktåtkomst till uppgifterna, ansåg regeringen att ett sekundärt ändamål även i fortsättningen vara utsökning och indrivning. Eftersom Tullverket föreslogs få tillgång till uppgifter i beskattningsdatabasen genom direktåtkomst ansåg regeringen att ett sekundärt ändamål även skulle vara att ge information som behövdes i författningsreglerad verksamhet utanför skatteförvaltningen för fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. Regeringen konstaterade vidare att utlämnande till dåvarande Riksförsäkringsverket35 och Centrala studiestödsnämnden gjordes regelmässigt och det borde därför framgå av de sekundära ändamålen. Som ett särskilt sekundärt ändamål skulle därför anges att uppgifter fick användas för att utgöra underlag för beslut och kontroll av bidrag och andra stöd. Därutöver borde även anges att uppgifter fick användas för pensionsberäkning. Eftersom de regionala fastighetsregistren redan fick användas för aktualisering och komplettering av
33Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 34Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 126. 35 Riksförsäkringsverket upphörde den 31 december 2004 då Försäkringskassan bildades, se prop. 2003/04:69, En ny statlig myndighet för socialförsäkringens administration, s. 14–17.
uppgifter om fastigheter i andra myndigheters register skulle även detta framgå av de sekundära ändamålen.36
Folkbokföringsverksamheten
För folkbokföringsverksamheten bedömde regeringen att de respektive ändamål som folkbokföringsregistret, enligt dåvarande lagen (1990:1536) om folkbokföringsregister, och aviseringsregistret, enligt dåvarande lagen (1995:743) om aviseringsregister fick användas för även skulle finnas i den nya lagen om behandling av personuppgifter i folkbokföringsverksamheten. Som ändamål skulle därför, med vissa redaktionella ändringar, anges samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av uppgifter för förvaring hos statliga arkivmyndigheter, samt aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter.37
Regeringen konstaterade vidare att kontroll av uppgifter om bl.a. identitet och bosättning och var en viktig del av folkbokföringsverksamheten som förutsatte att urvalskontroller gjordes, dvs. analyser av vilka personer som skulle granskas. Enligt regeringens bedömning borde även denna verksamhet framgå av ändamålsbestämmelserna.38
Mot bakgrund av ett primärt ändamål för folkbokförings- och aviseringsregistren närmast kunde sägas vara att bistå samhället i stort, och inte bara den egna verksamheten, med uppgifter om fysiska personer i Sverige ansåg regeringen att någon indelning i primära och sekundära ändamål inte var lämplig i sammanhanget.39
Tullverket
De ändamål som vid tidpunkten angavs i tullregisterlagen (1990:137), skulle enligt regeringens mening med vissa redaktionella ändringar även gälla för tulldatabasen. Det var fastställande, uppbörd, restitution och redovisning av tull och skatter m.m. som skulle betalas till Tullverket, fullgörande av övervakning, kontroll och revisioner inom
36Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 125–126. 37Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140. 38Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140. 39Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.
Tullverkets verksamhetsområde, planering och tillsyn av tullverksamheten samt framställning av viss statistik Liksom för beskattningsverksamheten ansåg regeringen att ett särskilt ändamål även för tulldatabasen skulle vara fullgörandet av ett åliggande som följde av ett för Sverige bindande åtagande. Slutligen borde enligt regeringen också tillsyn, kontroll, uppföljning och planering av verksamheten vara primära ändamål, eftersom Tullverket behövde ha möjlighet att som ett led i verksamheten behandla personuppgifter med syfte att kartlägga denna, dvs. följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden.40
Vad gäller de sekundära ändamålen konstaterade regeringen att uppgifter som behandlades i tullregistret ofta behövde användas av myndigheter inom skatteförvaltningen. Vid tidpunkten fick tullregistret därför användas för viss prövning och tillsyn samt revision och kontroll som ankom på skatteförvaltningen. Riksskatteverket och skattemyndigheterna hade också direktåtkomst till uppgifter i tullregistret. Enligt regeringen skulle tulldatabasen även i fortsättningen få användas för dessa ändamål. Uppgifter som rörde import och export lämnades vid tidpunkten också ut till flera andra myndigheter med stöd av dåvarande 118 § tullagen (1994:1550).41 Eftersom uppgifterna användes av dessa myndigheter huvudsakligen för kontroll och tillsyn och ansåg regeringen att även denna användning borde omfattas av de sekundära ändamålen. Regeringen konstaterade vidare att för den exekutiva verksamheten hade dåvarande kronofogdemyndigheterna ett stort behov av uppgifter från Tullverket. Kronofogdemyndigheterna föreslogs dessutom få tillgång till uppgifter i tulldatabasen genom direktåtkomst. Som ett särskilt sekundärt ändamål med tulldatabasen borde därför också anges utsökning och indrivning.42
Kronofogdemyndigheten
Till skillnad från vad som skulle gälla för Skatteverket och Tullverket skulle personuppgiftbehandlingen vid dåvarande kronofogdemyndigheterna inte regleras utifrån en databas. I stället borde enligt regeringen fyra olika databaser införas, med särskilda ändamålsbestäm-
40Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177. 41 Regleringen finns numera i 1 kap. tullagen (2016:253). 42Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177.
melser för varje databas. Uppdelningen skulle ske utifrån utsökning och indrivning, betalningsföreläggande och handräckning, samt skuldsanering och konkurstillsyn. Regeringen bedömde att skillnaderna mellan de olika verksamhetsområdena i fråga om ändamålen med och vilka uppgifter som skulle få behandlas i en databas i vissa avseenden var så stora att lagstiftningen annars hade blivit svåröverskådlig.43
Utsöknings och indrivningsdatabasen
Ett av de primära ändamålen för utsöknings- och indrivningsdatabasen skulle enligt regeringen vara verkställighet enligt utsökningsbalken eller annan författning samt indrivning av statliga fordringar m.m. Det ändamålet skulle täcka in all målhantering som kronofogdemyndigheterna ansvarade för inom det exekutiva området. Kronofogdemyndigheternas arbete med avräkning och kvittning skulle vidare utgöra ett primärt ändamål. En ytterligare uppgift som kronofogdemyndigheterna ansvarade var övervakning av näringsförbud, vilket också skulle utgöra ett primärt ändamål för behandling i utsöknings- och indrivningsdatabasen. Mot bakgrund av att Riksskatteverket hade delegerat vissa ärenden, bl.a. om företrädaransvar, till kronofogdemyndigheterna och det enligt regeringen var tveksamt om dessa omfattades av de föreslagna ändamålen ansåg regeringen att det särskilt borde anges att utsöknings- och indrivningsdatabasen fick användas för handläggningen av sådana ärenden. Det behövde enligt regeringen vidare finnas en möjlighet att behandla personuppgifter med syfte att följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden, varför tillsyn, kontroll, uppföljning och planering av verksamheten skulle utgöra ett särskilt ändamål.44
Vad gällde de sekundära ändamål som skulle gälla för utsöknings- och indrivningsdatabasen konstaterade regeringen att även andra myndigheter behövde tillgång till uppgifter om personer som var föremål för exekutiva åtgärder för att kunna genomföra avräkning och kvittning vid utbetalningar av olika slag. Avräkning vid återbetalning av skatter och avgifter samt kvittning vid utbetalning av bidrag skulle därför anges som sekundära ändamål. Inom skatteförvaltningen och hos Tullverket fanns vidare ett behov av tillgång till uppgifter om
43Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156–157. 44Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 158–159.
exekutiva åtgärder för verksamheten med uttag av skatt och tull. Regeringen ansåg därför att som sekundära ändamål skulle även anges planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering samt utredningar vid bestämmande och uppbörd av skatter, tullar och avgifter. Regeringen konstaterade vidare att det hos andra myndigheter fanns ett stort behov av information om att en person var föremål för exekutiva åtgärder vid ett flertal prövnings- och tillsynsförfaranden. Som ett särskilt sekundärt ändamål för utsöknings- och indrivningsdatabasen skulle därför anges tillsyn och lämplighets-, tillstånds- och annan liknande prövning.45
Betalningsföreläggande- och handräckningsdatabasen
Regeringen bedömde att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter i betalningsföreläggande- och handräckningsdatabasen. Det primära ändamålet var nämligen handläggning av mål om betalningsföreläggande eller handräckning (den summariska processen). Liksom i övriga verksamheter inom såväl kronofogdemyndigheterna som andra myndighetsorganisationer behövde det dessutom finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Som primära ändamål skulle därför även anges tillsyn, kontroll, uppföljning och planering av verksamheten.46
Vissa uppgifter som skulle finnas i betalningsföreläggande- och handräckningsdatabasen skulle enligt regeringen komma att användas av olika myndigheter i deras verksamhet. Som exempel kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Ett sekundärt ändamål med databasen borde därför enligt regeringen vara tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning.47
45Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 159. 46Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 163. 47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 163.
Skuldsaneringsdatabasen
Även för kronofogdemyndigheternas verksamhet med frågor om skuldsanering ansåg regeringen att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter i databasen. De primära ändamålen var nämligen just handläggning av skuldsaneringsärenden. Liksom i övriga verksamheter behövde det finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Primära ändamål skulle därför även vara tillsyn, kontroll, uppföljning och planering av verksamheten.48
Regeringen konstaterade att det fanns ett behov hos andra myndigheter av information om att en person hade ansökt om skuldsanering vid olika prövnings- och tillsynsförfaranden. Som exempel gavs kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Ett sekundärt ändamål med databasen skulle därför vara tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning.49
Konkurstillsynsdatabasen
Regeringen konstaterade att kronofogdemyndigheterna, som tillsynsmyndighet i konkurs, även hade i uppdrag att föra statens talan i vissa mål enligt lönegarantilagen. Tillsynsmyndigheten kunde även själv väcka talan mot ett beslut som den ansåg var felaktigt. Eftersom målen handlas av tillsynsmyndigheterna, var det enligt regeringens mening lämpligt att samordna den regleringen med den för behandling av personuppgifter i konkurstillsynsärenden. För kronofogdemyndigheternas verksamhet som avsåg frågor om konkurstillsyn samt vissa processer enligt lönegarantilagen ansåg regeringen att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter i databasen. Det grundläggande primära ändamålet var nämligen just handläggning av konkurstillsynsärenden och mål enligt lönegarantilagen. Liksom i övriga verksamheter behövde det även finnas möjlighet att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll
48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 167. 49Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 167.
och uppföljning. Som primära ändamål skulle därför även tillsyn, kontroll, uppföljning och planering av verksamheten anges.50
Uppgifter rörande konkurstillsyn och lönegaranti användes enligt regeringen inte av andra myndigheter för tillsyn eller lämplighets-, tillstånds- och annan liknande prövning. Inte heller användes uppgifterna av andra myndigheter för andra ändamål. Något sekundärt ändamål skulle därför inte tas in i lagen.51
8.3.2. Översyn i förhållande till EU:s dataskyddsförordning
Inför att EU:s dataskyddsförordning skulle börja tillämpas gjordes en översyn över registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. I detta sammanhang konstaterade regeringen att ändamålsbestämmelserna i registerförfattningarna angav den yttersta ram inom vilken personuppgifter fick behandlas och att ändamålsbestämmelserna i respektive lag hade utformats utifrån den berörda myndighetens verksamhet.52
Regeringen uttalade även att ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling enligt artikel 6.2 i förordningen. Detta framgick enligt regeringen även av artikel 6.3 i dataskyddsförordningen som anger att den rättsliga grunden kan innehålla särskilda bestämmelser om bl.a. ändamålsbegränsningar. Regeringen konstaterade vidare att i enlighet med artikel 23.2 a i dataskyddsförordningen skulle dessutom, åtminstone när så var relevant, lagstiftning som begränsar tillämpningsområdet för förordningens skyldigheter och rättigheter innehålla specifika ändamålsbestämmelser. Detta innebar enligt regeringen att ändamålsbestämmelserna som, tillsammans med finalitetsprincipen, gav myndigheterna ändamålsenliga möjligheter att behandla personuppgifter och samtidigt minskade risken för obefogade intrång i den personliga integriteten, kunde behållas.53
50Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 169–170. 51Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 170. 52Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 54 och 57.
53Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 56.
Enligt regeringens bedömning borde finalitetsprincipen, som tidigare reglerades genom en hänvisning till personuppgiftslagen (se avsnitt 8.3.1), även fortsättningsvis utgöra den yttersta ram inom vilken personuppgifter skulle få behandlas. Regeringen ansåg dock att det av tydlighetsskäl fanns anledning att införa en uttrycklig bestämmelse som innebar att uppgifter som behandlades enligt de primära ändamålen även skulle få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlades på ett sätt som var oförenligt med det ändamål för vilket de samlades in. En sådan bestämmelse, tillsammans med uppräkningen av tillåtna ändamål i de berörda lagarna, utgjorde enligt regeringen en ändamålsbegränsning som fick införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen.54
Regeringen ansåg vidare att det också kunde finnas skäl att göra vissa justeringar och förtydliganden i ändamålsbestämmelserna, som inte hade ett direkt samband med den nya dataskyddsregleringen. Vad avsåg de sekundära ändamålsbestämmelser fick det enligt regeringen förutsättas att, när bestämmelser som påbjöd eller tillät utlämnande hade införts, det hade gjorts en avvägning mellan intresset av att uppgiften lämnades ut och intresset av att skydda enskilda personers integritet, vid vilken man hade funnit att uppgiften skulle eller fick lämnas ut. Eftersom regleringen av de sekundära ändamålen inte var uttömmande konstaterade regeringen att utlämnande som skedde med stöd av en föreskrift som innebar att uppgifter fick lämnas ut kunde ske även utan uttryckligt stöd i registerförfattningarna. Enligt regeringen kunde det dock vara lämpligt att utforma de sekundära ändamålsbestämmelserna så att de omfattade utlämnande som skedde både med stöd av en bestämmelse om uppgiftsskyldighet och med stöd av en bestämmelse som tillät uppgiftslämnande. I registerförfattningarna borde därför anges att uppgifter fick behandlas om det behövdes för att fullgöra uppgiftslämnande som skedde i överensstämmelse med lag eller förordning.55
54Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 56–57.
55Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 57–58.
8.3.3. En ny databas för Skatteverkets folkbokföringsverksamhet
Den 1 maj 2023 trädde bestämmelser i kraft med innebörden att det i Skatteverkets folkbokföringsverksamhet skulle inrättas en ny databas; analys- och urvalsdatabasen. Databasen regleras i dag i 2 a kap. folkbokföringsdatabaslagen, se vidare om den nya databasen i avsnitt 14.3.3 om Skatteverkets arbete med dataanalyser och urval.
I likhet med regleringen av de databaser som relaterats ovan gäller särskilda ändamålsbestämmelser för den nya analys- och urvalsdatabasen. I förarbetena till ändamålsbestämmelserna för den nya databasen uttalade regeringen att det ändamål som föreskrevs i 1 kap. 4 § första stycket 1 FdbL redan tillät att uppgifter behandlades för att tillhandahålla information som behövs för kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Regeringens förslag innebar dock att behandling av personuppgifter för dataanalyser och urval skulle få ske i syfte att förebygga, förhindra och upptäcka felaktigheter i form av saknade eller oriktiga uppgifter i folkbokföringsverksamheten. Regeringen ansåg att det ändamålet klart och tydligt borde komma till uttryck i lagen. Inom ändamålet skulle folkbokföringsverksamhetens arbete med dataanalyser och urval komma att rymmas. Behandling i form av inhämtning och fortsatt behandling av uppgifter i syfte att utgöra underlag för dataanalyser och urval skulle också komma att omfattas av ändamålet. Ändamålet skulle även omfatta t.ex. uppföljning och utveckling av analys- och urvalsmodeller.56
8.3.4. Befintliga ändamål för beskattningsverksamheten
Primära ändamål
Enligt 1 kap. 4 § SdbL får uppgifter behandlas för att tillhandahålla information som behövs hos Skatteverket för
1. fastställande av underlag för samt bestämmande, redovisning, betal-
ning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
56Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 24–25.
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan lik-
nande prövning,
6. handläggning
a) enligt lagen (2007:324) om Skatteverkets hantering av vissa
borgenärsuppgifter,
b) av andra frågor om ansvar för någon annans skatter och av-
gifter,
c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar
om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244),
d) enligt lagen (2017:182) om automatiskt utbyte av land-för-
land-rapporter på skatteområdet och 33 a kap. skatteförfarandelagen,
e) enligt 33 b kap. skatteförfarandelagen,
f) enligt lagen (2013:948) om stöd vid korttidsarbete och lagen
(2020:548) om omställningsstöd samt handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och
g) enligt lagen (2022:1681) om plattformsoperatörers inhämtande
av vissa uppgifter på skatteområdet, lagen (2022:1682) om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. skatteförfarandelagen,
7. fullgörande av ett åliggande som följer av ett för Sverige bindande
internationellt åtagande,
8. hantering av underrättelser från arbetsgivare om anställning av
utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
9. hantering av uppgifter om sjuklönekostnad, och 10. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål
Enligt 1 kap. 5 § SdbL får uppgifter som behandlas enligt 1 kap. 4 § SdbL även behandlas för
1. att tillhandahålla information som behövs i författningsreglerad
verksamhet hos någon annan än Skatteverket för
a) fastställande av underlag för samt redovisning, bestämmande,
betalning och återbetalning av skatter eller avgifter,
b) utsökning, indrivning, skuldsanering och F-skuldsanering,
c) att utgöra underlag för beräkning, beslut och kontroll i fråga
om förmån, bidrag och andra stöd,
d) pensionsberäkning,
e) tillsyn och kontroll samt lämplighets- och tillståndsprövning
och annan liknande prövning, och
f) aktualisering och komplettering av uppgifter om fastigheter i
andra myndigheters register,
2. att tillhandahålla information som behövs i Skatteverkets brotts-
bekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med
lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behand-
las på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Föreslagen reglering (Cesop-uppgifter)
Regeringen har den 25 maj 2023 överlämnat proposition 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, till riksdagen. Riksdagen fattade beslut den 25 oktober 2023. I propositionen föreslås bl.a. två nya bestämmelser, 1 kap. 4 a och 5 a §§ SdbL. De föreslagna bestämmelserna omfattar särskilda ändamålsbegränsningar, avseende både primära ändamål och sekundära ändamål, för vissa uppgifter som Skatteverket ska samla in från betaltjänstleverantörer och sända vidare
till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektroniskt system, kallat Cesop. Dessa förslag behandlas närmare i avsnitt 8.4.8 nedan.
8.3.5. Befintliga ändamål för folkbokföringsverksamheten
Folkbokföringsdatabasen
Primära ändamål
Enligt 1 kap. 4 § första stycket FdbL får uppgifter behandlas för att tillhandahålla information som behövs för
1. samordnad behandling, kontroll och analys av identifieringsuppgif-
ter för fysiska personer och av andra folkbokföringsuppgifter,
2. handläggning av folkbokföringsärenden,
3. fullgörande av underrättelseskyldighet enligt lag eller förordning,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. tillsyn, kontroll, uppföljning och planering av folkbokförings-
verksamheten.
Sekundära ändamål
Enligt 1 kap. 4 § andra stycket FdbL får uppgifter även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Analys- och urvalsdatabasen
Primära ändamål
Enligt 1 kap. 4 a § FdbL får uppgifter också behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten.
Sekundära ändamål
Några sekundära ändamål som särskilt avser uppgifter som behandlas i analys- och urvalsdatabasen finns inte i folkbokföringsdatabaslagen.
8.3.6. Befintliga ändamål för Tullverket
Primära ändamål
Enligt 1 kap. 4 § TDL får uppgifter behandlas för att tillhandahålla information som behövs hos Tullverket för
1. bestämmande, redovisning, betalning och återbetalning av tull,
annan skatt och avgifter,
2. övervakning, revision och annan analys- eller kontrollverksamhet,
3. fullgörande av ett åliggande som följer av ett för Sverige bindande
internationellt åtagande, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Enligt 1 kap 4 a § TDL får uppgifter vidare behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer.
Sekundära ändamål
Enligt 1 kap. 5 § TDL får uppgifter som behandlas enligt 1 kap. 4 § TDL även behandlas för
1. att tillhandahålla information som behövs i författningsreglerad
verksamhet hos någon annan än Tullverket för
a) fastställande av underlag för samt bestämmande, redovisning,
betalning och återbetalning av skatter eller avgifter,
b) revision och annan analys- eller kontrollverksamhet,
c) tillsyn samt lämplighets- och tillståndsprövning och annan
liknande prövning, och
d) utsökning och indrivning,
2. att tillhandahålla information som behövs i Tullverkets brotts-
bekämpande verksamhet enligt 2 kap. 1 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med
lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behand-
las på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
8.3.7. Befintliga ändamål för Kronofogdemyndighetens databaser
Utsöknings- och indrivningsdatabasen
Primära ändamål
Uppgifter får enligt 2 kap. 2 § KFMdbL behandlas i utsöknings- och indrivningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för
1. verkställighet eller annan åtgärd som särskilt åligger Kronofogde-
myndigheten enligt utsökningsbalken eller annan författning,
2. indrivning av statliga fordringar m.m.,
3. avräkning vid återbetalning av skatter och avgifter,
4. ansökan om och tillsyn över näringsförbud,
5. förebyggande av överskuldsättning och information om skuldsaner-
ing och F-skuldsanering,
6. fullgörande av ett åliggande som följer av ett för Sverige bindande
internationellt åtagande, och
7. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål
Enligt 2 kap. 3 § KFMdbL får uppgifter som behandlas enligt 2 kap. 2 § samma lag även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad
verksamhet hos någon annan än Kronofogdemyndigheten för
a) avräkning vid återbetalning av skatter och avgifter,
b) kvittning vid utbetalning av bidrag,
c) planering, samordning och uppföljning av revision och annan
kontrollverksamhet vid beskattning och tulltaxering,
d) utredningar vid bestämmande och betalning av skatter, tullar
och avgifter,
e) ärenden om ansvar för någon annans skatter och avgifter, och
f) kontroll och tillsyn samt lämplighets- och tillståndsprövning
och annan liknande prövning,
2. att tillhandahålla information som behövs i Kronofogdemyndig-
hetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med
lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behand-
las på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Betalningsföreläggande- och handräckningsdatabasen
Primära ändamål
Enligt 2 kap. 8 § KFMdbL får uppgifter får behandlas i betalningsföreläggande- och handräckningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av mål om betalningsföreläggande, handräckning
eller europeiskt betalningsföreläggande,
2. tillhandahållande av utslag i mål om betalningsföreläggande och
handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande,
3. förebyggande av överskuldsättning och information om skuld-
sanering och F-skuldsanering, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål
Enligt 2 kap. 9 § KFMdbL får uppgifter som behandlas enligt 2 kap. 8 § samma lag även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad
verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att tillhandahålla information som behövs i Kronofogdemyndig-
hetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
3. att fullgöra uppgiftslämnande som sker i överensstämmelse med
lag eller förordning, och
4. andra ändamål, under förutsättning att uppgifterna inte behand-
las på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Skuldsaneringsdatabasen
Primära ändamål
Enligt 2 kap. 14 § KFMdbL får uppgifter 14 § behandlas i skuldsaneringsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggning av ärenden om skuldsanering och F- skuldsanering,
2. förebyggande av överskuldsättning,
3. att föra ett insolvensregister över skuldsaneringar och F- skuld-
saneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning, och
4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål
Enligt 2 kap. 15 § KFMdbL får uppgifter som behandlas enligt 2 kap. 14 § samma lag även behandlas i databasen för
1. att tillhandahålla information som behövs i författningsreglerad
verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
2. att fullgöra uppgiftslämnande som sker i överensstämmelse med
lag eller förordning, och
3. andra ändamål, under förutsättning att uppgifterna inte behand-
las på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Konkurstillsynsdatabasen
Primära ändamål
Enligt 2 kap. 20 § KFMdbL får uppgifter behandlas i konkurstillsynsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
1. handläggningen av konkurstillsynsärenden, ärenden om tillsyn
över rekonstruktörer och mål enligt lönegarantilagen (1992:497),
2. förebyggande av överskuldsättning och information om skuld-
sanering och F-skuldsanering, och
3. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål
Enligt 2 kap. 20 a § KFMdbL får uppgifter som behandlas enligt 2 kap. 20 § samma lag även behandlas i databasen för
1. att tillhandahålla information som behövs i Kronofogdemyndig-
hetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering,
2. att fullgöra uppgiftslämnande som sker i överensstämmelse med
lag eller förordning, och
3. andra ändamål, under förutsättning att uppgifterna inte behand-
las på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
8.3.8. Myndigheternas uppfattning om nuvarande ändamålsreglering
Skatteverket
Skatteverkets uppfattning är att befintliga ändamålsbestämmelser även kan beskrivas som en sammanfattning av de materiella regler som styr Skatteverkets verksamheter och anger vilka uppgifter Skatteverket har i dessa. Det går enligt Skatteverket att ifrågasätta om det är ändamålsenligt eller nödvändigt att särskilt reglera personuppgiftsbehandling som sker för att utföra författningsreglerade uppgifter när behandlingen är nödvändig för att följa gällande rätt.
Skatteverket anser att det finns vissa risker med att föra ett gammalt arv vidare utan närmare bedömning av vilket faktiskt behov av nationella kompletterande bestämmelser som behövs i förhållande till EU:s dataskyddsförordning och den allmänna dataskyddslagen. En av riskerna med den nuvarande regleringen är enligt Skatteverket
att principen om ändamålsbegränsning enligt artikel 5.1 b i dataskyddsförordningen inte får avsedd effekt. Om ett ändamål inte fastställs i enlighet med artikel 5.1 b kan det medföra svårigheter för myndigheterna att tillämpa övriga bestämmelser i dataskyddsförordningen. Det finns nämligen en risk att befintliga ändamålsbestämmelser ska anses motsvara sådana särskilda, uttryckligt angivna ändamål som avses enligt artikel 5.1 b. Enligt Skatteverkets bedömning behöver dock ett ändamål preciseras mer för att det ska vara möjligt att avgöra vilka uppgifter som får behandlas eller hur länge uppgifterna får behandlas.
Skatteverket anser att det är av yttersta vikt att den nationella kompletterande dataskyddsregleringen möjliggör att myndigheterna kan utföra sina uppdrag på ett effektivt sätt utan hinder av svårtolkade och obsoleta bestämmelser. Enbart med utgångspunkt i dataskyddskyddförordningen har myndigheterna å ena sidan långtgående skyldigheter och enskilda å andra sidan ett omfattande skydd. Skatteverkets uppfattning är att behovet av kompletterande nationell reglering i dag i större utsträckning ska bedömas med utgångspunkt i det nyss sagda. Skatteverkets bedömning är att en bred ändamålsbestämmelse är mer ändamålsenlig än dagens reglering, och skapar bättre förutsättningar för myndigheterna att utföra sina reglerade uppgifter.
En ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina författningsreglerade uppgifter tydliggör enligt Skatteverket att det i huvudsak är myndighetens materiella reglering som sätter de yttersta ramarna för myndighetens personuppgiftsbehandling. En sådan reglering är för alla myndigheter mer logisk med utgångspunkt i bestämmelserna om rättslig grund i kompletterande dataskyddslag som fastställer och tydliggör att det är den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Dataskyddsförordningen ställer inte ett krav på att själva behandlingen av personuppgifter måste regleras. Det som redan framgår av lag och förordning behöver därför enligt Skatteverket som utgångspunkt inte regleras ytterligare i en kompletterande registerförfattning.
En bred ändamålsbestämmelse tydliggör enligt Skatteverket att det är de materiella bestämmelserna som sätter gränserna för vilken behandling som är tillåten. En bred ändamålsbestämmelse ger heller inte myndigheterna någon utökad möjlighet att behandla person-
uppgifter i förhållande till vad som redan framgår av kompletterande dataskyddslag och befintliga materiella bestämmelser. De materiella bestämmelserna avgränsar alltså myndigheternas möjligheter att behandla personuppgifter. En bred ändamålsbestämmelse medför mot denna bakgrund ingen egentlig utvidgning av möjligheterna att behandla personuppgifter. Det är nämligen i första hand när de materiella bestämmelserna ändras på ett sådant sätt att det blir nödvändigt att behandla flera personuppgifter som det blir fråga om en utvidgning.
Med en bred ändamålsbestämmelse tydliggörs enligt Skatteverket också att Skatteverket själv behöver fastställa de närmare ändamålen med behandlingen vilket säkerställer en adekvat tillämpning av dataskyddsförordningen. En bred ändamålsbestämmelse skapar heller ingen osäkerhet för andra myndigheter i fråga om de över huvud taget får vidta vissa åtgärder som inte finns angivet som ett särskilt ändamål i deras särskilda dataskyddsreglering.
Tullverket
Tullverket har uppgett att nuvarande ändamålsbestämmelser inte utgör några problem för myndighetens verksamhet. En uppräkning av ändamål ger enligt Tullverket ramar som anger i vilka syften personuppgifter får samlas in och behandlas. Uppräkningen ger dessutom ett tydligt stöd för möjligheten att vidarebehandla personuppgifter för andra ändamål än insamlingsändamålet utan att myndigheten behöver tillämpa finalitetsprincipen. Enligt Tullverket är det ur ett effektivitetsperspektiv inte hållbart att göra en bedömning av finalitetsprincipen i varje enskilt fall och det är oklart i vilken omfattning det är möjligt för myndigheten att göra generella bedömningar i förväg.
Det unionsrättsliga tullsamarbetet kräver numera en helt digitaliserad tullhantering och informationsflödet till Tullverket är till följd av detta omfattande. Den grundläggande tanken är att enskilda endast ska behöva lämna information till Tullverket vid ett tillfälle och att uppgifterna sedan ska kunna vidarebehandlas för flera olika ändamål. Tullverket bedömer att det skulle vara mycket tidskrävande för myndigheten att i dessa sammanhang behöva tillämpa finalitetsprincipen och att ett sådant förfarande också skulle medföra stor osäkerhet och ineffektivitet. Det skulle dessutom kunna uppstå situa-
tioner där ändamålet för en vidarebehandling vid en finalitetsprövning inte skulle bedömas vara förenligt med insamlingsändamålet.
Trots det anser Tullverket att det finns nackdelar med en primär ändamålsbestämmelse som räknar upp tillåtna ändamål, eftersom ändamålen i uppräkningen inte är tillräckligt specificerade för att utgöra ändamål i dataskyddsförordningens mening. I stället speglar uppräkningen i den nuvarande reglering på ett mycket övergripande sätt Tullverkets uppdrag som det regleras i förordningen (2016:1332) om instruktion för Tullverket och materiell lagstiftning. Det innebär att myndigheten ändå måste ange särskilda, uttryckligt angivna och berättigade ändamål för den personuppgiftsbehandling som ska utföras, samt härleda behandlingen till en materiell rättslig grund. Om regeringen ger Tullverket nya uppgifter som inte ligger inom ramen för de redan angivna ändamålen krävs i många fall förändringar inte bara i den materiella lagstiftningen, utan även i den sektorspecifika dataskyddslagstiftningen. I annat fall saknas förutsättningar för myndigheten att behandla personuppgifter elektroniskt för att kunna utföra de nya uppgifterna. Tullverket anser dock att en bred primär ändamålsbestämmelse kan vara att föredra, under förutsättning att det är fortsatt tydligt att vidarebehandling av personuppgifter inom ramen för hela Tullverkets uppdrag får ske för andra ändamål än insamlingsändamålet.
En bred ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter enligt lag eller förordning är enligt Tullverket mer flexibel. Under förutsättning att lagstiften eller unionsrätten har tilldelat myndigheten en författningsreglerat uppgift får denna då utföras elektroniskt utan att det regleras särskilt. Det är enligt Tullverket möjligt att en bred ändamålsbestämmelse inte tillför något i sak utöver vad som redan gäller enligt övrig dataskyddsreglering. En bred ändamålsbestämmelse gör det dock tydligt att det är myndigheternas uppdrag och materiella reglering som utgör fundamentet för en laglig personuppgiftsbehandling och som i princip sätter de yttersta ramarna för myndighetens personuppgiftsbehandling. Tullverket anser att det också blir tydligare att det är myndigheten som måste ange det bestämda ändamålet med behandlingen. Kritik som framförts mot en bred ändamålsbestämmelse är att det ger en bristande förutsägbarhet och transparens avseende personuppgiftsbehandlingen. Tullverket konstaterar dock att myndigheternas uppgifter regleras i både myn-
dighetsinstruktioner och materiell lagstiftning. Dessutom finns i den allmänna dataskyddsförordningen en skyldighet för personuppgiftsansvariga att tillhandahålla information om den personuppgiftsbehandling som myndigheten utför. Utifrån detta bedömer Tullverket att personuppgiftsbehandlingen skulle vara såväl förutsägbar som transparent även med en bred ändamålsbestämmelse
Tullverket anser dock att det med en bred ändamålsbestämmelse inte blir lika tydligt att vidarebehandling av personuppgifter får ske för andra ändamål än insamlingsändamålet utan att en prövning enligt finalitetsprincipen först görs. Det behöver därför enligt Tullverkets uppfattning framgå på ett tydligt sätt att lagstiftaren har gjort bedömningen att sådan vidarebehandling som myndigheten behöver utföra för att kunna fullgöra sitt uppdrag är en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att myndigheten instämmer i de synpunkter som förts fram av Skatteverket.
Kronofogdemyndigheten har även påpekat att dagens ändamålsbestämmelser omfattar otydliga begrepp och att den upplevs som svår och detaljerad. Regleringen kräver nämligen komplicerade analyser som saknar betydelse för den enskildes integritet. En ordning där myndigheten måste göra kontinuerliga bedömningar av om en tilltänkt behandling ryms inom mer öppet formulerade ändamål skulle enligt Kronofogdemyndigheten vara att föredra. Framtida ändamålsbestämmelser bör enligt Kronofogdemyndigheten vara så öppna som möjligt och hänvisa till vad myndigheten behöver enligt de författningar som reglerar kärnverksamheterna. Myndigheten har även fört fram att en ny lagstiftning bör utgå från dataskyddsförordningens reglering, struktur och terminologi och bör vara fokuserad på grundläggande krav och säkerhet.
8.4. Överväganden och förslag
8.4.1. Det finns ett behov av att uppdatera befintliga ändamålsbestämmelser
Vår bedömning: Det finns ett behov av en utvidgad ändamåls-
reglering i syfte att säkerställa att reglerna är anpassade efter den tekniska och rättsliga utvecklingen.
Skälen för vår bedömning
Någon allmän översyn av de registerförfattningar som gäller i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter har inte gjorts sedan registerförfattningarna infördes. Som framgår av avsnitt 8.3.1 jämfört med avsnitten 8.3.4–8.3.7 är både ändamålsbestämmelsernas systematik och bestämmelserna i sak i stora drag oförändrade sedan tillkomsten.
Jämte de bestämmelser som reglerar vilka uppgifter myndigheterna får behandla i sina databaser, se avsnitt 9.3.2, utgör ändamålsbestämmelserna en central del i dagens registerförfattningar. Av förarbetena till bestämmelserna framgår också att bestämmelser om tillåtna ändamål för behandling vid tidpunkten ansågs ha en stor betydelse för det integritetsskydd som registerförfattningarna avsåg att åstadkomma. Frågan är då i vilken utsträckning de bestämmelser som tidigare har ansetts vara av så stor betydelse för skyddet för den personliga integriteten över huvud taget bör förändras.
När de nuvarande ändamålsbestämmelsernas generella struktur och innehåll togs fram var både de rättsliga och tekniska förutsättningarna för myndigheternas automatiserade personuppgiftsbehandling väsentligt annorlunda mot vad de är i dag. Då var manuell handläggning av enskilda ärenden det vanligaste arbetssättet. Det innebär att när dagens ändamålsbestämmelser togs fram utgjorde de en slags särreglering som avsåg för vilka ändamål uppgifter fick behandlas med en särskild teknik som utgjorde ett undantag från standardförfarandet. I dag är i stället i princip all informationshantering digitaliserad, såväl inom myndigheter som i samhället i stort. Ändamålsbestämmelserna som ursprungligen avsett en avgränsad form av informationshanter-
ing är därmed i dag tillämpliga på nästan all informationshantering som förekommer inom myndigheterna.
I dag utgör EU:s dataskyddsförordning också den primära rättsliga regleringen av myndigheternas behandling av personuppgifter. Dataskyddsförordningen innebär i många avseenden en förändring i förhållande till personuppgiftslagen och ställer högre krav på den personuppgiftsansvariga myndigheten. För att en myndighet över huvud taget ska ha rätt att behandla personuppgifter enligt dataskyddsförordningen måste ett antal villkor vara uppfylla. Vad avser ändamålsbestämmelser i kompletterande dataskyddsreglering är det främst bestämmelserna om vilka rättsliga grunder för behandling som en myndighet kan åberopa som bör uppmärksammas. Utrymmet för en myndighet att behandla personuppgifter är nämligen mer begränsat i dag än när de befintliga ändamålsbestämmelserna tillkom, vilket vi redogör för i avsnitt 5.2.2.
De befintliga bestämmelserna om tillåtna ändamål för personuppgiftsbehandling i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter utmärks dessutom av att de är utformade i syfte att omfatta samtliga arbetsuppgifter som ryms inom respektive lags materiella tillämpningsområde, jfr avsnitten 8.2.2 och 8.3.4–8.3.7. Det rör sig alltså inte om ändamålsbestämmelser för särskilda register eller avgränsade uppgiftssamlingar med särskilt känslig information som endast får behandlas för avgränsade ändamål. Ändamålsbestämmelserna avser i stället behandling i och utanför databaser där personuppgifter får behandlas för samtliga ändamål, som även motsvarar myndigheternas arbetsuppgifter på området. Den materiella och processuella regleringen av myndigheternas arbetsuppgifter framgår av ofta mycket utförliga och omfattande författningar i nationell rätt eller i unionsrätten (jfr kapitel 4).
Mot bakgrund av digitaliseringen av förvaltningen och utvecklingen inom den allmänna dataskyddsregleringen anser vi sammanfattningsvis att sektorsspecifika ändamålsbestämmelsers betydelse för integritetsskyddet, i vart fall avseende sådana bestämmelser som här är aktuellt, har minskat avsevärt sedan millennieskiftet. Det finns därför ett behov av en översyn och en utvidgning av befintliga ändamålsbestämmelser, i syfte att säkerställa att reglerna är anpassade efter den tekniska och rättsliga utvecklingen.
8.4.2. De nya lagarna bör innehålla bestämmelser om ändamål
Vår bedömning: De finns ett behov av att införa ändamåls-
bestämmelser i de nya lagarna.
Skälen för vår bedömning
EU:s dataskyddsförordnings bestämmelser om rättslig grund innebär att myndigheterna inte lagligen kan behandla personuppgifter för andra syften än att utföra de uppgifter och uppdrag som riksdagen och regeringen ger myndigheterna, eller som framgår av unionsrätten (se avsnitten 5.2.2 och 8.2.1). Utöver de begränsningar av när, hur och varför svenska myndigheter får behandla personuppgifter som framgår av den allmänna dataskyddsregleringen finns det också annan reglering som begränsar myndigheterna i detta avseende.
Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § regeringsformen, RF, som anger att den offentliga makten utövas under lagarna. Legalitetsprincipen innebär att myndigheternas maktutövning i vidsträckt mening, även i den mån den förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Regeringen har uttalat att det inte borde förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser.57 Även enligt 5 § första stycket förvaltningslagen (2017:900), FL, gäller att svenska myndigheter endast får vidta sådana åtgärder som har stöd i rättsordningen. Bestämmelsen i förvaltningslagen måste anses omfatta myndigheters personuppgiftsbehandling och innebär i det sammanhanget att endast personuppgiftsbehandling för ändamål som har stöd i rättsordningen är tillåten.
Myndigheterna har vidare enligt sina respektive instruktioner en skyldighet att utföra sina uppdrag på ett rättssäkert sätt (se avsnitten 4.1–4.3) och enligt 3 § myndighetsförordningen (2007:515) har myndighetens ledning ett ansvar för att verksamheten följer gällande rätt. Även de bestämmelserna måste anses omfatta myndigheternas personuppgiftsbehandling och bör i sammanhanget anses innebära ett skydd dels mot personuppgiftsbehandling för godtyckliga ändamål,
57Prop. 2017/18:105, Ny dataskyddslag, s. 49–50.
dels mot personuppgiftsbehandling som saknar rättslig grund i dataskyddsförordningens mening. Också offentlighets- och sekretesslagens (2009:400), OSL, bestämmelser om sekretess och tystnadsplikt begränsar myndigheters möjlighet att behandla personuppgifter genom utlämnande eller överföring till en annan myndighet eller verksamhetsgren.58
Det skulle därmed kunna argumenteras att den allmänna dataskyddsregleringen, tillsammans med övriga bestämmelser som begränsar myndigheternas möjligheter att behandla personuppgifter, på ett tillfredställande sätt redan ställer upp de begränsningar av för vilka ändamål myndigheterna får behandla personuppgifter som krävs för att uppnå ett adekvat integritetsskydd i detta avseende. Utifrån det perspektivet går det att ifrågasätta om det finns något faktiskt behov av att i ytterligare ett sammanhang, dvs. också i den kompletterande sektorsspecifika dataskyddsregleringen, reglera för vilka ändamål Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter med digitala hjälpmedel.
I avsnitt 6.2 har vi dock konstaterat att i vart fall delar av Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling omfattas av det grundlagsreglerade skyddet för den personliga integriteten i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna dataskyddsregleringen måste ges i lagform. I avsnitt 6.2 har vi även bedömt att en behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten i vissa fall är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina samhällsviktiga uppgifter. En ändamålsbestämmelse i lag innebär att ramen för behandling av personuppgifter i ett informationssystem med ett stort antal, och i vissa fall integritetskänsliga, uppgifter fastställs av riksdagen. Ändamålsbestämmelserna är alltså de bestämmelser som ger lagstöd för sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integriteten. Mot den bakgrunden framstår det som nödvändigt att införa nya bestämmelser som tillåter myndigheterna att behandla personuppgifter för vissa ändamål.
Även om dataskyddsförordningen inte ställer upp något generellt krav på att tillåtna ändamål för myndigheters personuppgiftsbehandling ska anges i en särskild författning finns det dock bestämmelser
58 2 kap. 1 § och 8 kap. 1 och 2 §§ OSL.
där viss reglering krävs. Enligt artikel 21.1 i dataskyddsförordningen har enskilda som utgångspunkt rätt att göra invändningar mot behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. I avsnitt 7.8.1 har vi dock föreslagit att enskilda inte ska kunna motsätta sig behandling enligt artikel 21.1 vid sådan behandling som är tillåten enligt de föreslagna nya datalagarna eller föreskrifter som har meddelats i anslutning till dem. Vi har i samma kapitel bedömt att begränsningen av enskildas rätt att göra invändningar är motiverad eftersom Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamhet och uppgifter motsvarar viktiga mål av generellt allmänt intresse. En sådan inskränkning är enligt artikel 23.1 tillåten i nationell rätt i vissa fall, men den lagstiftningsåtgärden bör då innehålla specifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandling. Även mot denna bakgrund framstår det som nödvändigt att i de nya datalagarna införa bestämmelser som anger för vilka ändamål personuppgifter får behandlas. I avsnitt 14.8 bedömer vi dessutom att särskilda ändamålsbestämmelser krävs för viss behandling i myndigheternas kontrollverksamhet.
Kompletterande bestämmelser om för vilka ändamål en särskild myndighet får behandla personuppgifter kan även i övrigt anses fylla en viktig funktion, trots att de på ett generellt plan inte kan anses så betydelsefulla för integritetsskyddet som innan dataskyddsförordningen började tillämpas. Som nämnts i avsnitt 8.2.2 har regeringen tidigare bedömt att ändamålsbestämmelser anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling av personuppgifter. Regeringen har också i andra lagstiftningsärenden uttalat att ändamålsbestämmelser bidrar till att behandlingen av personuppgifter sker på ett korrekt, lagligt och öppet sätt. Att ta bort ändamålsbestämmelserna skulle enligt regeringen leda till otydlighet och oförutsebarhet och inte vara till nytta för vare sig myndigheterna eller de registrerade personerna.59
Vår bedömning är sammanfattningsvis att de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten bör innehålla bestämmelser som anger för vilka ändamål uppgifter får behandlas. Sådana bestämmel-
59Prop. 2017/18: 112, Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s
dataskyddsförordning, s. 53.
ser är nödvändiga för att uppfylla regeringsformens krav på lagstöd för viss behandling och dataskyddsförordningens krav på angivna ändamål eller kategorier av behandling vid vissa begränsningar av enskildas rättigheter.
8.4.3. En brett formulerad ändamålsbestämmelse
Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndig-
heten ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområde.
Av tydlighetskäl ska den primära ändamålsbestämmelsen kompletteras av en upplysningsbestämmelse om regeringens möjlighet att med stöd av sin s.k. restkompetens meddela föreskrifter om ändamålen med behandlingen.
Skälen för vårt förslag
Befintliga ändamålsbestämmelser motsvarar inte särskilda ändamål för behandling enligt dataskyddsförordningen
Som framgår av avsnitt 8.2.1 ges ändamålet med personuppgiftsbehandling en mycket stor betydelse i flera av EU:s dataskyddsförordnings bestämmelser. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande principerna ska prövas och iakttas. Ändamålet med behandlingen avgör därmed bl.a. vilka uppgifter som får behandlas, hur länge de får behandlas och för vilka tillkommande ändamål de får vidarebehandlas.
I avsnitt 8.3.1 har vi redogjort för att regeringen redan vid tidpunkten för nuvarande författningars tillkomst uttalade att ändamålsbestämmelser skulle utformas så att de gav en rimlig avvägning mellan behovet av en förenklad reglering och integritetssynpunkter, och som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra när, hur och vilka uppgifter som behandlades. Vidare konstaterade regeringen i det sammanhanget att en lag om behandling av personuppgifter inte styrde myndighetens verksamhet, utan i stället bestämdes verksamhetens inriktning av den materiella och processuella lagstiftningen på området jämte de instruktioner som gällde.
Regeringen uttalade även att den verksamhet som bedrevs med stöd av de materiella författningarna som reglerade myndigheternas uppgifter utan inskränkning skulle omfattas av rätten att behandla personuppgifter.60
Dessa uttalanden illustrerar enligt vår mening att ändamålen som framgår av ändamålsbestämmelserna inte går att likställa med sådana särskilda, uttryckligt angivna och berättigade ändamål som dataskyddsförordningen kräver ska finnas för varje behandling. Av förarbetsuttalandena framgår även att det inte har varit bestämmelsernas syfte. Mot bakgrund av den rättsliga utvecklingen, dvs. främst dataskyddsförordningens begränsningar avseende den rättsliga grunden och krav på särskilda, uttryckligt angivna och berättigade ändamål som är så utförligt angivna att en prövning av de grundläggande principerna är möjlig att göra, bör dagens ändamålsbestämmelser närmast kunna jämställas med rambestämmelser som pekar ut gränserna för tillåten behandling. Givet hur detaljerat ändamålet måste anges i det enskilda fallet, för att kunna ligga till grund för en bedömning av en specifik behandlings förenlighet med de grundläggande principerna enligt dataskyddsförordningen, framstår det dessutom som omöjligt att i en sektorsspecifik dataskyddsreglering ange samtliga särskilda ändamål som kan komma att aktualiseras inom en myndighets verksamhet. Sådana bestämmelser skulle komma att bli mycket omfattande. För verksamhet som är baserad på regelbundna och återkommande företeelser, exempelvis beskattningsår eller momsredovisningsperioder, skulle bestämmelserna dessutom behöva ändras kontinuerligt.
Är det ändå bestämmelser om ändamål?
Ändamålsbestämmelser i dataskyddsreglering som är avsedda att omfatta en myndighets eller verksamhetsgrens samtliga arbetsuppgifter bör enligt vår mening tolkas på så sätt att de pekar ut ramarna för den behandling som regleras i lagen eller förordningen. Liknande bedömningar har som framgår ovan i avsnitt 8.2.2 gjorts i flera andra lagstiftningsärenden. Det kan mot den bakgrunden ifrågasättas i vilken utsträckning det alls är meningsfullt att tala om dessa bestämmelser som ändamålsbestämmelser, eftersom deras föremål inte kan anses
60Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 93.
vara sådana ändamål som dataskyddsförordningen förutsätter. Vi har därför övervägt om det finns skäl för att föreslå att bestämmelserna ska benämnas på ett annat sätt.
Ett skäl som talar för en förändrad terminologi är att det skulle ge en tydligare och mer rättvisande bild av bestämmelsernas föremål, dvs. att peka ut den rättsliga grunden och därmed även ramarna för behandling som regleras i den aktuella författningen. En sådan ordning kan också upplevas som mer i enlighet med den allmänna dataskyddsregleringens systematik, vilket också uppmärksammats i andra sammanhang. Informationshanteringsutredningen (Ju 2011:11) hade som huvuduppdrag att se över registerlagstiftningen och vissa därmed sammanhängande frågor. I sitt slutbetänkande gjorde Informationshanteringsutredningen bedömningen att det i många registerförfattningar och liknande reglering hade skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respektive tillåtna rättsliga grunder för behandling (jfr avsnitt 8.2.1). Enligt utredningen fanns det därför en risk för att tillämparen blandade samman ändamål med rättslig grund. Risken bestod i att tillämparen skulle godta ett i författning bestämt allmänt ändamål som ett särskilt, berättigat och tillräckligt preciserat ändamål.61
I brottsdatalagen (2018:1177) och här relevant sektorsspecifik lagstiftning inom brottsdatalagens område, dvs. lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område benämns motsvarade bestämmelser inte som ändamålsbestämmelser. I stället anges där bestämmelser som pekar ut ramarna för den behandling som kan ske med stöd av lagarna under rubriken rättsliga grunder.62 Under rubriken ändamål anges i stället bl.a. att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål.63 I förarbetena till bestämmelserna i brottsdatalagen bedömde regeringen att det fanns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det var enligt regeringen därför
61SOU 2015:39, Myndighetsdatalag, s. 277–278. 62 Se 2 kap. 1 § brottsdatalagen, 2 kap. 1 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område och 2 kap. 1 § lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. 632 kap. 3 § första stycket brottsdatalagen.
lämpligt att det gjordes tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser.64
Även inom dataskyddsreglering som kompletterar dataskyddsförordningen finns liknande reglering. Exempelvis förkommer motsvarande bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten under rubriken ”när behandling av personuppgifter är tillåten”.
Trots att vi i sak delar de huvudsakliga invändningar som framgår av Informationshanteringsutredningens slutbetänkande anser vi att det finns skäl för att benämna bestämmelserna som just ändamålsbestämmelser i de nya lagarna. Det främsta skälet är att regleringen som kompletterar den allmänna dataskyddsregleringen enligt vår mening bör vara enhetlig även över myndighetsgränserna. I det stora flertalet författningar som kompletterar dataskyddsförordningen och dataskyddslagen har bestämmelserna även efter maj 2018 fortsatt anges under rubriken ändamål. Så är exempelvis fallet i lagen (1998:621) om misstankeregister65, lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, patientdatalagen (2008:355), studiestödsdatalagen (2009:287)domstolsdatalagen (2015:728), utlänningsdatalagen (2016:27), vägtrafikdatalagen, 114 kap. socialförsäkringsbalken och lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Det innebär att bestämmelser som kompletterar dataskyddsförordningen och som pekar ut ramarna för behandling av personuppgifter vid Polismyndigheten och domstolarna (i vissa fall), Arbetsförmedlingen, aktörer inom hälso- och sjukvården, Centrala studiestödsnämnden (CSN), Migrationsverket, Transportstyrelsen, Försäkringskassan, Pensionsmyndigheten och Utbetalningsmyndigheten i dag regleras som ändamålsbestämmelser. Dessa offentliga aktörer är några av Sveriges största myndigheter och i likhet med Skatteverket, Tullverket och Kronofogdemyndigheten behandlar de i mycket hög utsträckning personuppgifter i sin verksamhet. Att ha en avvikande terminologi för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten riskerar enligt vår mening att skapa osäkerhet om bestämmelsernas innebörd både för andra myndigheter och enskilda.
64Prop. 2017/18:232, Brottsdatalag, s. 115. 65 Lagen om misstankeregister gäller utöver brottsdatalagen, vilket framgår av 1 a § Lagen om misstankeregister. Enligt 1 b § samma lag kompletterar dock lagen dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen.
Ändamålsbestämmelser är dessutom ett etablerat begrepp i förarbeten, praxis och doktrin. Att överge begreppet ändamålsbestämmelser riskerar enligt vår mening att skapa osäkerhet även i förhållande till dessa rättskällor.
Vår bedömning är i stället att det i dataskyddsammanhang är både möjligt och lämpligt att låta begreppet ändamål ha olika betydelse beroende på i vilket sammanhang begreppet förekommer. Det säger sig nästan självt att en brett formulerad ändamålsbestämmelse inte bör kunna likställas med ett sådant särskilt, uttryckligt angivet och berättigat ändamål som dataskyddsförordningen kräver och som bl.a. avgör vilka uppgifter som får behandlas och hur länge.
Ändamålsbestämmelser i sådan dataskyddsreglering som ska tilllämpas inom en viss sektor eller verksamhet bör alltså anses peka ut ramarna för den personuppgiftsbehandling som en författning reglerar. Ändamålen utgör där en slags sammanfattande beskrivning av den rättsliga grunden och därmed de särskilda ändamål som kan komma att aktualiseras inom författningens materiella tillämpningsområde. Det skulle även kunna uttryckas som att ändamålsbestämmelser av den aktuella karaktären anger de syften med behandling som kan komma i fråga för en viss myndighet. Ansvaret för att formulera särskilda, uttryckligt angivna och berättigade ändamål i det enskilda fallet vilar dock på den personuppgiftsansvariga myndigheten i enlighet med artikel 5.2 i dataskyddsförordningen.
Sammanfattningsvis anser vi att bestämmelser som anger ramarna för myndigheternas personuppgiftsbehandling även i de nya lagarna ska benämnas ändamålsbestämmelser.
En bred primär ändamålsbestämmelse
Mot bakgrund av de uttalanden som regeringen gjorde i samband med bestämmelsernas tillkomst kan dagens ändamålsbestämmelser inte anses vara utformade i syfte att begränsa behandling som sker för att utföra en eller flera författningsreglerade uppgifter som myndigheterna har inom respektive registerförfattnings materiella tillämpningsområde. Som vi nämnt ovan uttalade regeringen i sammanhanget bl.a. att den verksamhet som bedrevs med stöd av de materiella författningarna som reglerade myndigheternas uppgifter utan inskränkning skulle omfattas av rätten att behandla personuppgifter. I detta avse-
ende framstår bestämmelserna i stället främst som tillåtande. Bestämmelserna begränsar dock myndigheternas möjligheter till personuppgiftsbehandling som sker för andra ändamål än de som följer av den materiella och processuella regleringen av myndigheternas verksamhet inom det materiella tillämpningsområdet för respektive lag. Det är dock en begränsning som i dag redan ställs upp av dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 c och e.
Även ändamålsbestämmelserna i de nya lagarna behöver täcka all den behandling som är nödvändig för att respektive myndighet ska kunna utföra sin verksamhet, med undantag för personaladministrativ verksamhet och annan sådan verksamhet som kan medföra personuppgiftsbehandling hos myndigheter generellt. Vi föreslår därför att Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområde. Det kan här åter påpekas att kravet på nödvändighet i dataskyddsrättsliga sammanhang inte innebär ett krav på att behandlingsåtgärden ska vara oundgänglig.66
I de exempel på brett formulerade ändamålsbestämmelser vi redogjort för ovan, för Utbetalningsmyndigheten och Rättsmedicinalverket, anges vilken verksamhet som avses, se avsnitt 8.2.1. Det skulle därför kunna ifrågasättas om en så brett formulerad ändamålsbestämmelse som vi föreslår är lämplig, eftersom den inte ens anger vilken verksamhet som avses. I avsnitt 7.4 föreslår vi dock att de bestämmelser i de nya lagarna som anger respektive materiellt tillämpningsområde ska kompletteras av en bestämmelse som förtydligar vilken verksamhet som avses med exempelvis beskattningsverksamhet. Den beskrivning av myndigheternas verksamhet som föreslås motsvarar i centrala delar dagens ändamålsbestämmelser. Genom att förtydliga det materiella tillämpningsområdet ges dessa bestämmelser en avgränsande funktion gentemot obefogad behandling som också dagens ändamålsbestämmelser har. Eftersom förtydligandet inte föreslås finnas i den breda ändamålsbestämmelsen minskas enligt vår bedömning risken för att ändamålsbestämmelsen förväxlas med sådana särskilda och uttryckligt angivna ändamål som dataskyddsförordningen föreskriver i artikel 5.1 b.
66Prop. 2017/18:105, Ny dataskyddslag, s. 189.
Ändamålsbestämmelsens räckvidd
Den föreslagna ändamålsbestämmelsen är avsedd att omfatta samtliga de ändamål som anges i dagens ändamålsbestämmelser. Även nya arbetsuppgifter som kan komma att aktualiseras för myndigheterna, inom det materiella tillämpningsområdet, kommer som utgångspunkt rymmas inom ändamålsbestämmelsen. I dag behöver lagstiftaren överväga om behandling för ett tillkommande ändamål ska tillåtas inom databaserna eller inte, och om det tillkommande ändamålet behöver regleras särskilt eller om det redan omfattas av befintlig reglering. Även med vårt förslag kommer lagstiftaren behöva göra vissa överväganden i samband med att nya materiella bestämmelser införs. De frågor som blir aktuella att ta ställning till kommer dock vara om den tillkommande behandlingen ryms inom det materiella tillämpningsområdet eller inte, och om detta behöver utökas för att den tillkommande behandlingen ska omfattas av den kompletterande dataskyddsregleringen.
Vi anser att en brett formulerad ändamålsbestämmelse, som möjliggör för myndigheterna att behandla personuppgifter i syfte att utföra sina författningsreglerade uppgifter, men hindrar dem från sådan behandling som inte är hänförlig till utförandet av dessa uppgifter, måste anses uppfylla ett mål av allmänt intresse.67 Eftersom myndigheterna genom den föreslagna bestämmelsen inte ges möjlighet till annan behandling än den som ändå hade varit tillåten med stöd av den allmänna dataskyddsregleringen måste den även anses vara proportionell mot det legitima mål som eftersträvas, dvs. att myndigheterna ska kunna utföra de uppgifter som riksdag och regering ger dem, eller som framgår av unionsrätten. En brett formulerad ändamålsbestämmelse innebär också att lagstiftningen avseende för vilka syften myndigheterna får behandla personuppgifter är både teknikneutral och flexibel.
Den breda ändamålsbestämmelsen omfattar även tester och utveckling av digitala system
Även sådana ändamål som i dag inte uttrycks särskilt men som utgör integrerade delar av myndigheternas verksamhet inom det materiella tillämpningsområdet ryms inom den brett formulerade ändamåls-
67 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 48, 50 och 51.
bestämmelsen. Här kan exempelvis nämnas att lagrådet har uttryckt att planering, uppföljning och utvärdering av en verksamhet är en integrerad del av själva verksamheten och inte någon från denna fristående aktivitet samt att detta är så självklart att det inte behöver sägas uttryckligen.68 Också utveckling av nya digitala arbetssätt genom tester m.m. utgör i dag en integrerad del av myndigheternas verksamhet. Regeringen har tidigare i flera olika sammanhang uttalat att behandling av personuppgifter för teständamål är något som normalt inte brukar regleras i särskilda registerförfattningar, och att det måste anses vara en slags huvudprincip att testverksamhet inte behöver regleras som ett särskilt ändamål.69
I förarbetena till dataskyddslagen uppmärksammade regeringen att alla myndigheter vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Krav på myndigheterna att vidta sådana administrativa åtgärder kunde enligt regeringen framgå direkt eller indirekt av författning eller beslut. Det förekommer dock även att myndigheterna, för att fungera, behöver vidta administrativa åtgärder som varken direkt eller indirekt kan sägas följa av författning eller beslut. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion var därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter, vilka måste vara fastställda i enlighet med gällande rätt.70
Regeringen har också sedan länge haft det uttalade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter, vilket vi redogör för närmare i avsnitt 5.2.5.71 Regeringen har även uttalat att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt.72 Reger-
68 Se t.ex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 179 och prop. 2014/15:63, Åklagardatalag, s. 63. 69Prop. 2015/16:65, Utlänningsdatalag, s. 64 och prop. 2019/20:113, En mer ändamålsenlig data-
skyddsreglering för studiestödsverksamheten, s. 20. Jfr även regeringens uttalanden med inne-
börden att behandling för ändamålen uppföljning, utveckling och testning av analys- och urvalsmodeller inte regleras särskilt för Utbetalningsmyndigheten i prop. 2022/23:34, Ut-
betalningsmyndigheten, s. 205.
70Prop. 2017/18:105, Ny dataskyddslag, s. 60–61. 71 Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84. 72Prop. 2017/18:105, Ny dataskyddslag, s. 87.
ingen har vidare uttalat att det i dagsläget mer eller mindre regelmässigt bör anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.73 Enligt myndighetsförordningen ska en myndighets ledning också se till att verksamheten bedrivs effektivt att myndigheten hushållar väl med statens medel. Myndigheter har enligt myndighetsförordningen även en skyldighet att fortlöpande utveckla verksamheten.74
Att myndigheternas olika författningsreglerade uppgifter också omfattar att utveckla effektiva och säkra digitala arbetssätt är därför enligt vår mening tydligt. Tester som avser utveckling av befintlig eller ny it-infrastruktur bör därför vara en sådan administrativ och integrerad uppgift som myndigheterna behöver utföra för att kunna sköta sina respektive verksamheter. I det nyss sagda ingår även utveckling av sådana modeller som i dagligt tal kallas AI, dvs. olika former av digitala system för bl.a. maskininlärning (se avsnitt 14.3.2). Enbart under tiden sedan vi påbörjade vårt uppdrag har olika avancerade AI-program dels gjorts allmänt tillgängliga, dels utvecklats i en synnerligen hög takt. AI tillhör följaktligen en teknikfamilj under mycket snabb utveckling som kan bidra till en mängd samhälleliga vinster.
För tillfället pågår arbetet med att reglera AI-användning på EUnivå. I april 2021 föreslog kommissionen EU:s första regelverk för AI i förordningsform. Enligt förslaget ska AI-system analyseras och klassificeras utifrån den risk de utgör, och vissa särskilt riskfyllda AI-modeller kommer att vara förbjudna. De olika risknivåerna kommer i övrigt att innebära mer eller mindre reglering. När förslaget har godkänts kommer det att vara världens första lagstiftning om AI. I kommissionens förslag uttalas att tekniken kan ge bättre prognoser, optimera verksamheter och resurstilldelning och individanpassa digitala lösningar för enskilda och organisationer.75
AI, dvs. maskininlärning och liknande tekniker, har sammanfattningsvis stora möjligheter att bidra till en mer effektiv verksamhet för myndigheterna och bättre service till enskilda. AI innebär även
73Prop. 2017/18:105, Ny dataskyddslag, s. 47. 743 och 6 §§myndighetsförordningen. 75 Jfr skäl 3 i förslaget till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter, COM(2021) 206.
risker, både för enskilda och olika samhällsinstitutioner. Det går dock inte att bortse från att utvecklingen och användandet av AI sannolikt inte går att helt stoppa eller styra på ett mer övergripande plan. I stället bör ett ändamålsenligt förhållningssätt till utvecklingen vara att myndigheterna måste tillåtas förbereda sig på och kunna hantera kommande utveckling av AI. Eftersom användning av AI i dag är tillgänglig för i princip alla med en internetuppkoppling bör sådan teknik anses utgöra ett digitalt verktyg bland andra som också myndigheterna måste kunna använda sig av. Myndigheterna kommer dock behöva anpassa sin hantering av dessa tekniker efter den nya AI-förordningen när den trätt i kraft och börjar tillämpas. Myndigheterna måste även iaktta den allmänna dataskyddsregleringen vid utveckling och användande av AI, vilket bl.a. kommer kräva samråd med IMY, se bl.a. avsnitten 11.7.3 och 14.11.3 om konsekvensbedömning enligt artikel 35 i dataskyddsförordningen.
Sådan behandling som syftar till att effektivisera verksamheten och göra den mer rättssäker, även i de fall den innefattar tester och utveckling av AI-teknik, bör därmed anses ha ett sådant samband med myndigheternas verksamhet i övrigt att någon särskild ändamålsbestämmelse inte behövs för den verksamheten. Analyser, tester och utveckling av verksamheten som inte sker i kontrollsyfte för att förebygga, förhindra och upptäcka fel i verksamheterna kan därmed ske med stöd av den generella primära ändamålsbestämmelsen, jfr avsnitt 14.8. Exempelvis har Kronofogdemyndigheten uppgett att myndigheten arbetar med att utveckla sätt att genom analyser och urval försöka förutse återkallelser av ansökningar om betalningsföreläggande och handräckning mot bakgrund av att cirka 40 procent av alla ansökningar återkallas. Syftet med sådana analyser och urval är att effektivisera myndighetens arbete och rikta resurserna dit de behövs som mest då arbetet med fysisk delgivning är tids- och resurskrävande för myndigheten. Genom sådana åtgärder hoppas Kronofogdemyndigheten kunna fördela resurserna till de mål som sannolikt inte kommer att återkallas. Användningen av analyser och urval i detta sammanhang görs alltså inte direkt i syfte att förebygga, förhindra eller upptäcka fel.
Vad gäller känsliga personuppgifter i testverksamhet har vi i avsnitt 10.7 föreslagit att sådana uppgifter enbart ska får behandlas om det är nödvändigt för ändamålet med behandlingen. Denna begräns-
ning kommer även gälla vid testverksamhet bl.a. i syfte att utveckla nya digitala system.
En särskild ändamålsbestämmelse för dataanalyser och urval
Utöver den brett formulerade primära ändamålsbestämmelsen som motiverats ovan föreslår vi i avsnitt 14.8 ytterligare en primär ändamålsbestämmelse för viss behandling för dataanalyser och urval.
Den särskilda ändamålsbestämmelse som i dag avser analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet, se avsnitt 8.3.5, föreslås ersättas av den särskilda ändamålsbestämmelsen avseende dataanalyser och urval.
Överväganden och bedömningar avseende den särskilda ändamålsbestämmelsen om dataanalyser och urval framgår av avsnitt 14.8.
En upplysningsbestämmelse i lagen om att begränsning eller förtydligande av ändamålsbestämmelserna kan ske i förordning
Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (se 8 kap. 2 § första stycket 2 RF). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (se 8 kap. 7 § RF). Denna föreskriftsrätt brukar kallas för regeringens restkompetens, se avsnitt 6.2 och 6.4.
Regeringen kan i fråga om de primära ändamålsbestämmelsernas räckvidd komma att behöva ta ställning till om finalitetsprincipens tillämplighet ska begränsas avseende viss behandling, eller om behandlingen är av sådan karaktär att det är motiverat att införa andra särskilda ändamålsbegränsningar, se avsnitt 8.4.8. Vissa uppgifter som kan komma att behandlas kan vidare bedömas inte vara lämpliga för behandling vid dataanalyser och urval. Det kan även uppkomma behov av att förtydliga att de brett formulerade ändamålsbestämmelsernas räckvidd, utan att ett sådant förtydligande innebär en begränsning eller en utvidgning. Regeringen kan med stöd av sin restkompetens enligt 8 kap. 7 § RF i förordning införa begränsningar eller förtyd-
liganden som inte innebär en utvidgning avseende ändamålen för behandling av personuppgifter. Detta bör av tydlighetsskäl framgå av en bestämmelse i anslutning till de primära ändamålsbestämmelserna. Vi föreslår därför att det i lagen upplyses om att regeringen kan meddela föreskrifter om ändamålen med behandlingen.
8.4.4. Sekundära ändamålsbestämmelser
Vårt förslag: Skatteverkets beskattnings- och folkbokförings-
verksamheter, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter som behandlas enligt de primära ändamålsbestämmelserna för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Skälen för vårt förslag
Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande på annat sätt utgör behandling enligt EU:s dataskyddsförordning.76 Utlämnande av uppgifter kan därmed, liksom all annan behandling, bara ske om det finns en rättslig grund för den behandling som utlämnandet innebär. Förutom kravet på att behandlingen ska vila på en rättslig grund måste även övriga krav som framgår av den allmänna dataskyddsregleringen beaktas vid ett utlämnande, samt att utlämnandet är förenligt med eventuella bestämmelser om sekretess, se avsnitt 13.2.
Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndigheternas egen verksamhet, dels behandlas för att lämnas ut till andra. Visst utlämnande kan ske inom ramen för ett primärt ändamål, exempelvis när uppgiftslämnandet utgör en del av myndigheternas handläggning av ärenden. Att lämna ut uppgifter till personer som direkt eller indirekt berörs av ett ärende omfattas exempelvis av de befintliga primära ändamålen för beskattningsverksamheten.77 Visst utlämnande kan också ske med stöd av generella bestämmelser i tryckfrihetsförordningen samt offentlighets- och sekretesslagen, t.ex. den s.k. general-
76 Artikel 4.2 i dataskyddsförordningen. 77Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99.
klausulen i 10 kap. 27 § OSL. Mer omfattande uppgiftslämnande till andra myndigheter följer dock normalt av bestämmelser som särskilt reglerar det specifika utlämnandet.
Som framgår av avsnitt 8.3.1 motsvarade de befintliga sekundära ändamålen ursprungligen de situationer där det gick att förutse att information regelmässigt skulle komma att användas av andra myndigheter eller i annan författningsreglerad verksamhet. I samband med översynen inför att dataskyddsförordningen skulle börja tillämpas tillkom även en bestämmelse med innebörden att uppgifter även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen uttalade då att när bestämmelser som påbjuder eller tillåter utlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut.78I likhet med dagens primära ändamål pekar de befintliga sekundära ändamålen ut ramarna för myndigheternas personuppgiftsbehandling genom utlämnande.
De allra flesta registerförfattningar och annan kompletterande dataskyddsreglering innehåller i dag en uppdelning mellan primära och sekundära ändamål. Även nyare författningar, som tillkommit efter att dataskyddsförordningen började tillämpas, innehåller en liknande uppdelning av ändamål, exempelvis lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Det får anses vara en generell princip att sagda uppdelning görs i dataskyddsreglering inom dataskyddsförordningens tillämpningsområde. Vi bedömer att det inte finns skäl för att i dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten avvika från denna princip.
I likhet med primära ändamålsbestämmelser bör sekundära ändamålsbestämmelser kunna anses anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling av personuppgifter, samt bidra till att behandlingen av personuppgifter sker på ett korrekt och öppet sätt. En sådan bestämmelse gör det tydligt för de registrerade att uppgifterna kan komma att behandlas även för utlämnande till andra. Om de nya datalagarna inte skulle innehålla sekundära ändamålsbestämmelser riskerar det att leda till otydlighet och oförutsebarhet och inte vara till nytta för vare sig myndigheterna
78Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 57.
eller de registrerade personerna. Vi föreslår därför en sekundär ändamålsbestämmelse om att personuppgifter som får behandlas enligt de primära ändamålsbestämmelserna i de nya datalagarna också ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Det innebär att de föreslagna bestämmelserna också motsvarar vad som redan gäller i dag.
Begränsningen till personuppgifter som behandlas enligt de primära ändamålen innebär att det inte kan bli aktuellt för myndigheterna att samla in uppgifter i det enda syftet att senare lämna ut dem. Uppgifter som får lämnas ut med stöd av bestämmelsen måste alltså redan vara föremål för behandling enligt ett särskilt, uttryckligt angivet och berättigat ändamål som ryms inom den ram som de primära ändamålsbestämmelserna ställer upp.
Med bestämmelsen avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan såväl röra sig om en uttrycklig uppgiftsskyldighet som uppgiftslämnande sker i syfte att fullgöra skyldigheten att i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter om framgår av 8 § andra stycket FL. Ett utlämnande kan också aktualiseras av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång, enligt 6 kap. 5 § OSL.
8.4.5. Finalitetsprincipen
Vårt förslag: Skatteverkets beskattnings- och folkbokförings-
verksamheter, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter som behandlas enligt de primära ändamålsbestämmelserna även för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
Skälen för vårt förslag
En grundläggande princip inom den allmänna dataskyddsregleringen
Som nämnts i bl.a. avsnitt 8.2.2 framgår av artikel 5.1 b i EU:s dataskyddsförordning att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in (finalitetsprincipen). Finalitetsprincipen utgör en av de grundläggande principerna för personuppgiftsbehandling enligt dataskyddsförordningen och det normala är därför att den gäller för myndigheters personuppgiftsbehandling även utan det anges särskilt i kompletterande reglering.
Enligt dataskyddsförordningen kan medlemsstaterna, under vissa förutsättningar och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.79 Regeringen har tidigare bedömt att tydlighetsskäl talar för att införa en uttrycklig bestämmelse i kompletterande dataskyddsreglering om att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges, så länge som behandlingen inte är oförenlig med insamlingsändamålen.80 I regel uttrycks detta även genom en särskild bestämmelse i den aktuella författningen.81 Även i Skatteverkets, Tullverkets och Kronofogdemyndighetens befintliga registerförfattningar kommer finalitetsprincipen till uttryck genom en särskild bestämmelse, i de flesta fall som ett av de sekundära ändamålen.82
Det kan i och för sig ifrågasättas i vilken utsträckning det krävs en uttrycklig bestämmelse om finalitetsprincipen, eftersom den som utgångspunkt gäller även utan en bestämmelse i kompletterande reglering. Eftersom regeringen vid flera tillfällen bedömt att en sådan bestämmelse är påkallad av tydlighetskäl får det dock anses vara en grundprincip att finalitetsprincipen framgår av en särskild bestämmelse i sektorsspecifik kompletterande lagstiftning. Något skäl att för Skatteverkets, Tullverkets och Kronofogdemyndighetens del avvika från
79 Skäl 8 till dataskyddsförordningen. 80 Se exempelvis prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbets-
miljökunskap, s. 24 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 128.
81 Jfr bl.a. prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksam-
heten, s. 10 och 21.
82 1 kap. 5 § 4 SdbL, 1 kap. 4 § FdbL,1 kap. 5 § 4 TDL och 2 kap. 3 § 4, 2 kap. 9 § 4, 2 kap. 15 § 3 och 2 kap. 20 a § 3 KFMdbL.
den principen har inte framkommit. Bestämmelser som ger uttryck för finalitetsprincipen bör alltså finnas i de nya datalagarna. Bestämmelserna tydliggör att finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen gäller vid behandling av personuppgifter enligt respektive lag, dvs. att personuppgifter får behandlas för andra ändamål än dem för vilka de har samlats in, under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen. Behandling av personuppgifter enligt bestämmelsen förutsätter att uppgifterna har samlats in för ett primärt ändamål. Bestämmelsen ska ha samma innebörd som dataskyddsförordningens bestämmelse, och bör tolkas på samma sätt. Det innebär att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte ska anses vara oförenlig med insamlingsändamålen. Det innebär vidare att de omständigheter som anges i förordningen ska beaktas vid bedömningen av om behandlingen är förenlig med insamlingsändamålen.
Utöver de primära och sekundära ändamål som anges i en sektorsspecifik dataskyddsreglering, och som pekar ut ramarna för den behandling som är tillåten, utgör finalitetsprincipen den yttersta gränsen för tillåten behandling inom författningens tillämpningsområde. I likhet med de primära och sekundära ändamålsbestämmelser vi föreslår bör en bestämmelse som motsvarar finalitetsprincipen kunna anses anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling av personuppgifter, samt bidra till att behandlingen av personuppgifter sker på ett korrekt och öppet sätt. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för andra ändamål än de som uppgifterna samlas in för. Om de nya lagarna inte skulle innehålla en bestämmelse som motsvarar finalitetsprincipen riskerar det alltså att leda till otydlighet och oförutsebarhet.
Den föreslagna bestämmelsen har formulerats på det sätt som är gängse i kompletterande dataskyddsreglering efter att dataskyddsförordningen har trätt i kraft, se t.ex. 1 kap. 5 a § lagen (2001:183) om behandling av personuppgifter i verksamhet med val och omröstningar, 4 a § studiestödsdatalagen, 114 kap. 10 § socialförsäkringsbalken, 11 § kustbevakningsdatalag (2019:429), 7 § lagen (1996:1156) om receptregister och 9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.
Användningsbegränsningar
I internationella avtal och sektorspecifika rättsakter finns ibland bestämmelser som innebär att en svensk myndighet endast får använda uppgifter som myndigheten får enligt avtalet eller rättsakten för vissa angivna ändamål eller i viss verksamhet. Det rör sig inte alltid om uppgifter som innefattar personuppgifter, men kan göra det. Användningsbegränsningar som finns i EU-förordningar gäller direkt för svenska myndigheter utan att dess artiklar behöver genomföras i svensk rätt.
Vissa användningsbegränsningar har införts i svenska författningar, t.ex. i de fall de regleras i EU-direktiv. Exempelvis finns bestämmelser med sådant innehåll i lagen (1990:314) om ömsesidig handräckning i skatteärenden, lagen (2000:1219) om internationellt tullsamarbete, lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen samt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning.
En bestämmelse om användningsbegränsning kan vara utformad på olika sätt. I t.ex. 20 § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning anges följande.
Upplysningar som Skatteverket tar emot från en myndighet i en annan medlemsstat får användas för beskattningsändamål i fråga om de skatter som denna lag gäller för samt mervärdesskatt och andra indirekta skatter. De får också användas för fastställande och uppbörd av andra skatter och avgifter som omfattas av lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen eller för fastställande och uppbörd av socialavgifter. De får dessutom användas i samband med rättsliga och administrativa förfaranden som kan leda till påföljd och som inletts på grund av överträdelse av skattelagstiftningen. Upplysningarna får inte användas för andra ändamål än de som anges i första stycket utan att den myndighet som tillhandahåller upplysningarna tillåter det. Om upplysningarna ursprungligen härrör från en myndighet i en tredje medlemsstat, kan sådant tillstånd endast beviljas av den myndigheten. Tillstånd krävs dock inte för att upplysningar, rapporter, redogörelser och andra dokument eller vidimerade kopior av eller utdrag ur sådana ska få åberopas eller användas som bevisning. Skatteverket får använda upplysningar som det fått från en behörig myndighet i en annan medlemsstat för ändamål som den andra behöriga myndigheten har uppgett i en förteckning och meddelat att den tillåter användning för, utan att tillåtelse enligt andra stycket behövs. En svensk myndighet ska följa de villkor som gäller för användningen av upplysningarna enligt denna paragraf, oavsett vad som annars är föreskrivet i lag eller annan författning.
Regler om användningsbegränsningar är vanligen inte placerade i kompletterande dataskyddsreglering. De får dock betydelse för hur vissa uppgifter, som ibland innefattar personuppgifter, får användas av myndigheter, däribland Skatteverket, Tullverket och Kronofogdemyndigheten. De kan också få betydelse för uppgiftsutbyte mellan myndigheter.
Bestämmelser som innehåller användningsbegränsningar har i flera svenska förarbeten inte i sig ansetts påverka allmänhetens rätt att med stöd av offentlighetsprincipen ta del av allmänna handlingar. Innebörden har i stället ansetts vara att en svensk myndighet inte får utnyttja upplysningar som inhämtats från en annan medlemsstat i sin verksamhet på annat sätt än som anges i bestämmelsen. Det är vidare först när en myndighet har rätt att ta del av uppgifter för sådana ändamål som det blir aktuellt att utnyttja sekretessbrytande regler.83
I 9 kap. 2 § OSL finns en upplysningsbestämmelse som anger att bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i vissa närmare angivna lagar som räknas upp i paragrafen. Uppräkningen är inte uttömmande. Bestämmelsen innebär inte i sig att någon sekretess gäller och inte heller någon begränsning eftersom dessa följer av de särskilda lagarna som räknas upp.84
I den mån Skatteverket, Tullverket eller Kronofogdemyndigheten får eller samlar in personuppgifter i enlighet med internationella avtal eller EU-rättsakter och uppgifterna omfattas av användningsbegränsningar, får myndigheterna som ovan framgår inte utnyttja uppgifterna i sina respektive verksamheter på annat sätt än som anges i bestämmelsen. Vi bedömer att sådana användningsbegränsningar bör anses vara en del av den rättsliga grunden för behandlingen av uppgifterna, och lagstiftaren får därmed anses antingen ha tagit ställning till att finalitetsprincipen inte ska gälla fullt ut för vissa uppgiftskategorier, eller i vilka fall vidarebehandling är förenlig med finalitetsprincipen. Flera användningsbegränsningar finns vidare i direkt tillämpliga EU-rättsakter. Med andra ord ger finalitetsprincipen inte något stöd för att behandla uppgifter i strid med användningsbegränsningar som följer av internationella avtal eller sektorspecifika rättsakter.
83 Se t.ex. prop. 2011/12:15, Genomförande av det nya EU-direktivet om bistånd med indriv-
ning, s. 53–54, prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 86 och prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatteområdet, s. 83–84.
84SOU 2015:39, Myndighetsdatalag, s. 155–156 och 159.
8.4.6. Finalitetsprincipen och databasregleringen
Vår bedömning: De bedömningar som lagstiftaren tidigare gjort
avseende förenligheten mellan olika ändamål bör ha fortsatt giltighet trots att databasregleringen upphävs.
Skälen för vår bedömning
Möjligheten att göra undantag från finalitetsprincipen i nationell rätt
Regleringen av myndigheternas databaser omfattar bestämmelser som särskilt avser sådana uppgifter som får behandlas gemensamt i verksamheten, se avsnitt 9.2. Att uppgifterna behandlas gemensamt innebär att de får behandlas för samtliga ändamål som gäller för uppgifterna i databasen. I avsnitt 9.4.2 har vi föreslagit att databasregleringen ska upphävas och inte motsvaras av bestämmelser med liknande innebörd i de nya datalagarna.
EU:s dataskyddsförordning innehåller inte något krav på särskilda regler i nationell rätt för behandling av personuppgifter som ska användas gemensamt i en myndighets verksamhet. Däremot begränsar finalitetsprincipen vidareanvändning till vad som är förenligt med insamlingsändamålet. Att uppgifter samlas in för flera olika ändamål är dock inte ovanligt. En potentiell vidarebehandling som anges redan vid insamlingstillfället aktualiserar inte finalitetsprincipen. Det är följaktligen enbart om ett tillkommande ändamål inte angetts vid insamlingstillfället som finalitetsprincipen aktualiseras.
Vissa faktorer som ska beaktas vid prövning av vidarebehandlingens förenlighet med insamlingsändamålet (finalitetsprövning, också kallat förenlighetsprövning) framgår av artikel 6.4 i dataskyddsförordningen. Där anges bl.a. att kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, samt det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige ska beaktas. Som utgångspunkt är det den personuppgiftsansvariga myndigheten som har ansvaret för att genomföra en finalitetsprövning inför behandling för tillkommande ändamål (artikel 5.2).
Av artikel 13 i 1995 års dataskyddsdirektiv framgick uttryckligen att det var möjligt att göra undantag från finalitetsprincipen i natio-
nell rätt i vissa fall. Möjligheten till sådana undantag är dock inte lika tydligt uttryckt i dataskyddsförordningen. I samband med den översyn som gjordes inför att dataskyddsförordningen skulle börja tilllämpas uttalade dock regeringen följande.
Även enligt dataskyddsförordningen är det under vissa förutsättningar tillåtet med bestämmelser som medger att insamlade personuppgifter vidarebehandlas även om det nya ändamålet är oförenligt med insamlingsändamålet. Detta kan utläsas av skäl 50 där bl.a. följande anges. Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Slutsatsen får också stöd av en motsatstolkning av artikel 6.4. Där finns en särskild bestämmelse för det fall då en behandling för andra ändamål än det ändamål för vilket uppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. […] Bland de mål som anges i artikel 23.1 nämns säkerställandet av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. Det är tydligt att artikel 6.4, liksom skäl 50, utgår från att en sådan ytterligare behandling som utgör en nödvändig och proportionell åtgärd under alla omständigheter skulle vara tillåten. Regeringen bedömer mot bakgrund av det ovan anförda att dataskyddsförordningen i vart fall inte ger ett mindre utrymme än 1995 års dataskyddsdirektiv att föreskriva i nationell rätt att ytterligare behandling av personuppgifter får ske, även om den ytterligare behandlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestämmelser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga lagbestämmelser anses utgöra undantag från finalitetsprincipen. Dessa måste i så fall förutsättas vara förenliga med 1995 års dataskyddsdirektiv, och är då i enlighet med ovanstående resonemang även förenliga med dataskyddsförordningen.85
Vi anser att det i dag inte finns skäl att göra någon annan bedömning av frågan om det är möjligt att i nationell rätt göra undantag från finalitetsprincipen än den regeringen gav uttryck för 2018. Sådana
85Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 47–48.
undantag bör därmed anses vara tillåtna under vissa förutsättningar. Att undantag från finalitetsprincipen är möjliga att införa i den nationella rätten under vissa förutsättningar framgår även av EU-domstolens förhandsavgörande i mål C 268/21 den 2 mars 2023, punkterna 33–38.86
När ett undantag från finalitetsprincipen har införts i nationell rätt, exempelvis genom att vissa uppgiftsskyldigheter har införts (se avsnitt 13.2.4 om bestämmelser om utlämnande) måste den enligt vår mening innebära att den personuppgiftsansvariga myndigheten inte är skyldig att utföra en finalitetsprövning innan uppgifter vidarebehandlas med stöd av bestämmelsen. Samma sak bör gälla bestämmelser som utgör en tillämpning av finalitetsprincipen, dvs. när det i den nationella rätten har fastställts och närmare angetts för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig (jfr skäl 50 till dataskyddsförordningen).
Databasregleringen
I samband med databasregleringens tillkomst uttalade regeringen att begreppet databas skulle införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som används gemensamt inom en verksamhet och för vilka särskilda regler skulle gälla. Enligt regeringen skulle en uppgift anses gemensamt tillgänglig och därmed utgöra en del av en databas om den registrerades och lagrades i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter hade möjlighet att vid behov och i olika sammanhang – t.ex. i samband med handläggningen av ett ärende – ta del av uppgiften direkt på automatiserad väg. Att olika personalkategorier hade olika behörighet och att vissa uppgifter därför i praktiken var åtkomliga endast för ett begränsat antal personer hos olika myndigheter inom en myndighetsorganisation, förtog i sig inte uppgifternas egenskap som gemensamma.87
Uppgifter som får behandlas i databaserna får följaktligen även behandlas för samtliga övriga ändamål som gäller för respektive databas, se avsnitten 8.3.4–8.3.7, och utgör ”allmän egendom” i den verksamheten.88 I en nyligen föreslagen förändring av ändamålen för be-
86 C 268/21, Norra Stockholm Bygg, ECLI:EU:C:2023:145. 87Prop. 2000/01:33 s. Behandling av personuppgifter inom skatt, tull och exekution, s. 88–89. 88Prop. 2000/01:33 s. Behandling av personuppgifter inom skatt, tull och exekution, s. 232.
skattningsdatabasen har regeringen tydligt uttryckt att den behandling som omfattas av ändamålsbestämmelserna innebär att Skatteverket – förutsatt att det finns behov av det – kan behandla uppgifterna i sin verksamhet för samtliga ändamål i 1 kap. 4 § SdbL och lämna uppgifterna till andra med stöd av 1 kap. 5 § samma lag (se avsnitt 8.4.8 nedan om s.k. Cesop-uppgifter).89
Befintliga primära ändamålsbestämmelser i kombination med databasregleringen innebär att det finns ett rättsligt stöd för vidarebehandling inom ramen för de ändamål som gäller för databasen, utan att någon prövning enligt finalitetsprincipen behöver göras. Det innebär dock inte att myndigheterna kan använda vilka uppgifter som helst för vilka ändamål som helst. I dag liksom vid tidpunkten för författningarnas tillkomst är en grundläggande förutsättning att enbart de uppgifter som behövs för ändamålet får behandlas i det enskilda fallet, vilket tidigare framgick av 9 f § PUL och i dag framgår av artikel 5.1 c i dataskyddsförordningen. Den lagtekniska möjligheten till vidarebehandling för ett annat ändamål medför alltså inte att uppgifter kan behandlas slentrianmässigt eller urskillningslöst.
Databasregleringens betydelse
Genom den kompletterande dataskyddsreglering vi föreslår i de nya datalagarna ska myndigheterna inte ges sämre möjligheter att behandla uppgifter än vad som följer av befintlig reglering. Vi uppfattar dock att de undantag från finalitetsprincipen som är möjliga enligt dataskyddsförordningen förutsätter att vidarebehandlingen för sådana ändamål som är oförenliga med insamlingsändamålet måste ha stöd i nationell rätt. Någon vidarebehandling för icke förenliga ändamål kan därmed inte ske utan att det finns stöd för behandlingen i en författning.
En viktig fråga är därför om dagens databasreglering kan anses utgöra ett undantag från finalitetsprincipen eller en tillämpning av finalitetsprincipen. Om databasregleringen utgör ett undantag från finalitetsprincipen skulle upphävandet av bestämmelserna om databaser, dvs. det rättsliga stödet för vidarebehandling för oförenliga ändamål, också försämra myndigheternas möjlighet att behandla personuppgifter. I den situationen skulle det visserligen kunna argumenteras att
89Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 108.
om myndigheterna anser att en vidarebehandling, som i dag är tillåten med stöd av databasregleringen, inte är förenlig med insamlingsändamålen kan myndigheterna bara peka ut en ny rättslig grund för behandling och samla in uppgifterna på nytt. Det förfarandet är dock resurskrävande i alla led och skulle enligt vår mening försämra myndigheternas möjlighet att bedriva en effektiv verksamhet. Frågan om databasregleringen utgör en tillämpning av eller ett undantag från finalitetsprincipen bör därför behandlas.
Regeringen har som framgår ovan tidigare uttalat att bestämmelser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål i vissa fall kan utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga bestämmelser anses utgöra undantag från finalitetsprincipen.90 Något förtydligande av vilka undantagsbestämmelser som avsågs gavs inte i det sammanhanget. Vår bedömning är dock att uttalandet om undantag från finalitetsprincipen främst bör avse de sekundära ändamålsbestämmelserna, som i huvudsak avser utlämnande i syfte att tillgodose behov hos någon annan myndighet. Även för vidarebehandling inom en databas skulle dock databasregleringen kunna anses utgöra en sådan nationell reglering som medger vidarebehandling för ett annat ändamål än det ursprungliga, oavsett dess förenlighet med insamlingsändamålet. Det finns därför skäl att närmare granska de överväganden regeringen gjort i detta avseende.
Beskattningsdatabasen
Frågan om databasregleringen utgör en tillämpning av eller ett undantag från finalitetsprincipen blir särskilt tydlig avseende databasregleringen för beskattningsverksamheten. Regleringen tillämpas nämligen i själva verket även på viss verksamhet som Skatteverket ansvarar för men som inte utgör ett led i beskattningsförfarandet, se avsnitt 8.3.1 och 8.3.4. Sedan databasregleringens tillkomst tillåts exempelvis behandling i beskattningsdatabasen för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, vilket utgör sådan verksamhet som är skild från beskattningsverksamheten. I förarbetena
90Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 47.
uttalades att de tillsynsverksamheter som avsågs (bl.a. enligt alkohollagstiftningen) hade en så stark koppling till beskattningsverksamheten att det var naturligt att beskattningsdatabasen användes för denna tillsyn.91 I det fallet, och avseende övriga ändamål som funnits sedan bestämmelsernas tillkomst, får regeringen anses ha bedömt att behandlingen i databasen var förenlig med insamlingsändamålen.
Sedan bestämmelsernas tillkomst har dock flera primära ändamål tillkommit där det inte är lika enkelt att dra slutsatsen att bestämmelserna innebär en tillämpning av finalitetsprincipen och inte ett undantag från den.
Det kan exempelvis ifrågasättas om insamlingsändamål som rör beskattning är förenligt med ändamålet hantering av sjuklönekostnader. Sjuklönekostnaderna hanteras nämligen av Skatteverket i huvudsak för att vidarebefordras till Försäkringskassan.92 När ändamålet hantering av sjuklönekostnader infördes i databasregleringen gjordes dock ingen uttrycklig bedömning utifrån finalitetsprincipen. Däremot gjordes vissa uttalanden som tyder på att behandlingen skulle anses vara ett undantag från finalitetsprincipen, exempelvis konstaterade regeringen att förslaget i praktiken innebar att det i Skatteverkets databas i vissa fall skulle komma att registreras personuppgifter, utan att Skatteverket hade behov av dessa i den egna verksamheten.93 Regeringen gjorde dock även andra uttalanden som tyder på att behandlingen skulle anses vara förenlig med finalitetsprincipen, exempelvis rörande den övergripande kopplingen till skattekontot samt den generella skyldigheten att lämna in arbetsgivardeklarationer till Skatteverket, där även uppgift om sjuklönekostnad skulle anges.94
I samband med införandet av lagen om stöd vid korttidsarbete, som också utgör en sådan verksamhet som ligger vid sidan av beskattningsverksamheten, gjorde regeringen en uttalad finalitetsprövning. Regeringen konstaterade i det sammanhanget att vid handläggningen av ärenden om stöd vid korttidsarbete skulle Skatteverket behöva kontrollera uppgifter i ärendena mot uppgifter i beskattningsdatabasen som samlats in för andra ändamål, och att sådan behandling var förenlig med de ändamål för vilka uppgifterna samlats in.95 Motsvarande bedömning har även gjorts i förarbetena till vissa andra sådana verk-
91Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 92 Jfr 17 b och17 c §§ lagen (1991:1047) om sjuklön. 93 Budgetpropositionen för 2015, prop. 2014/15:1, s. 393. 94 Budgetpropositionen för 2015, prop. 2014/15:1, s. 392–394. 95 Budgetpropositionen för 2014, prop. 2013/14:1, s. 377.
samheter som inte utgör ett led i beskattningsförfarandet dvs. ändamålen handläggning av ärenden enligt lagen om omställningsstöd och enligt lagen om förfarande för elstöd till företag. I förarbetena avseende omställningsstöd konstaterades att det fanns ett behov av att samköra de uppgifter som lämnas i ansökan om stöd med sådana beskattningsuppgifter som Skatteverket redan hade tillgång till. I fråga om en sådan behandling kunde anses vara förenlig med finalitetsprincipen gjorde regeringen följande bedömning.
Den som lämnar uppgifter till Skatteverket för beskattningsändamål i t.ex. inkomstdeklarationen måste kunna räkna med att sådana uppgifter
sedan kan komma att användas för andra ändamål såsom för kontroll av olika förmåner och stöd [vår kursivering]. I detta fall är flera av de upp-
gifter som lämnats för beskattningsändamål relevanta för Skatteverkets kontroll och för att välja ut kontrollobjekt vid myndighetens hantering av omställningsstöd. Bedömningen görs att sådan behandling av uppgifterna i beskattningsdatabasen är förenlig med de ändamål för vilka uppgifterna samlats in.96
Även i förarbetena avseende elstöd konstaterade regeringen att flera av de uppgifter som lämnats för beskattningsändamål var relevanta för Skatteverkets kontroll och för att välja ut kontrollobjekt vid hantering av elstöd. Regeringens bedömning var att sådan behandling av uppgifterna i beskattningsdatabasen var förenlig med de ändamål för vilka uppgifterna samlats in.97
Trots de till synes svårförenliga ändamålen (beskattning och handläggning av ansökan om stöd) bedömde regeringen i dessa fall att den enskilde måste räkna med att uppgifter som lämnats i en beskattningssituation kan komma att användas för andra ändamål och även för kontroll av vederbörandes rätt till olika förmåner. Regeringen drog därför slutsatsen att sådan vidarebehandling av beskattningsuppgifterna inte strider mot finalitetsprincipen.
Vad gäller behandling i databasen för hantering av vissa borgenärsuppgifter m.m. framgår i förarbetena inte annat än att sådan bör tillåtas.98 Något uttalande om finalitetsprincipen gjordes alltså inte. Mot bakgrund av verksamhetens karaktär anser vi dock att bestämmelsen bör anses utgöra en tillämpning av finalitetsprincipen.
96Prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag,
insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 92.
97Prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 29. 98Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s. 36.
Avseende uppgifter som behövs för hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige, konstaterade regeringen att de uppgifter som Skatteverket skulle komma att tillföras genom underrättelserna från arbetsgivare inte föll in under något av de då föreskrivna ändamålen. Regeringen konstaterade också att Skatteverkets uppgift enligt föreslagen lagstiftning huvudsakligen skulle vara att registrera uppgifter som eventuellt skulle kunna behövas för handläggning av annan myndighets utredningsärenden. Enligt regeringen var det dock troligt att endast ett mindre antal av de registrerade uppgifterna skulle komma att användas av andra myndigheter. Ändamålet med Skatteverkets behandling av uppgifterna kunde därför varken sägas vara av rent primär eller sekundär karaktär. För att syftet med behandlingen av uppgifterna skulle kunna uppfyllas krävdes dock att Skatteverket kunde behandla även känsliga personuppgifter och ändamålet borde därför klassificeras som ett primärt sådant. Regeringen föreslog därför att en ny ändamålsbestämmelse skulle föras in i 1 kap. 4 § SdbL.99 Något resonemang om finalitetsprincipen fördes inte i sammanhanget.
I förarbetena till ändamålet avseende automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen, SFL, konstaterade regeringen att ändamålsbestämmelsen i 1 kap. 4 § SdbL var utformad så att i stort sett hela Skatteverkets verksamhet inom beskattningsområdet omfattades, men i klargörande syfte skulle dock ett särskilt ändamål införas.100 Någon uttalad finalitetsprövning gjordes inte, men regeringens motivering tyder enligt vår mening på att tillåtligheten av behandlingen i databasen har ansetts utgöra en tillämpning av finalitetsprincipen.
För behandling för ändamålet automatiskt utbyte av land-förland-rapporter på skatteområdet och 33 a kap. SFL konstaterades i förarbetena enbart att uppgifterna skulle lämnas in till Skatteverket, och att ändringen av ändamålsbestämmelsen var en följdändring till införandet av lagen om automatiskt utbyte av land- för land-rapporter på skatteområdet.101 Någon uttalad prövning av databasbehand-
99Prop. 2012/13:125, Genomförande av direktivet om sanktioner mot arbetsgivare, s. 36–38. 100Prop. 2015/16:29, En global standard för automatiskt utbyte av upplysningar om finansiella
konton, s. 67, 111 och 119.
101Prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på
skatteområdet, s. 62 och 83.
lingens förenlighet med finalitetsprincipen gjordes inte. Givet verksamhetens karaktär förefaller dock bestämmelsen vara ett uttryck för finalitetsprincipen och inte ett undantag från den.
Vad gäller behandling för hantering av rapporteringspliktiga arrangemang, dvs, ändamålet 33 b kap. SFL, uttalade regeringen att Skatteverket skulle behöva behandla uppgifterna i beskattningsdatabasen och för att genomföra adekvata analyser av risker i skattesystemet. Enligt regeringen var behandlingen även nödvändig för att Skatteverket skulle kunna genomföra riskbaserade urval för skatterevisioner eller andra utredningsåtgärder för kontroll. Det kunde enligt regeringen ifrågasättas om inte den behandling som var aktuell rymdes inom de då befintliga ändamålen. Ett särskilt ändamål säkerställde dock enligt regeringen tillåtligheten av behandlingen.102 Även vad gäller behandling i databasen för ändamålet som rör verksamhet enligt lagen om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. SFL gjorde regeringen motsvarande bedömning.103 Uttalandena i dessa sammanhang får anses tyda på att bestämmelserna motsvarar en tillämpning av finalitetsprincipen.
Sammanfattningsvis kan det alltså konstateras att regeringen i vissa fall har behandlat frågan om finalitetsprincipen när nya ändamål har tillförts beskattningsdatabasregleringen, men inte alltid. Trots att något uttalande om finalitetsprincipen inte alltid föregått införandet av nya ändamål anser vi att den övergripande bedömningen från regeringens sida förefaller ha varit att enbart behandling som var sinsemellan förenlig skulle tillåtas inom databasen. Regeringens uttalande avseende hantering av uppgifter från arbetsgivare om utlänningar som inte har rätt att vistas i Sverige tyder dock på att behandling i databasen främst förefaller ha varit den mest praktiska lösningen.
102Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar
som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 173–174.
103Prop. 2022/23:6, Rapportering och utbyte av upplysningar om inkomster genom digitala platt-
formar och vissa andra ändringar i EU:s direktiv om administrativt samarbete på direktskatteområdet, s. 168.
Folkbokföringsdatabasen
Till skillnad från de olika ändamål som gäller för beskattningsdatabasen är de ändamål som gäller för folkbokföringsdatabasen inte hänförliga till någon uppgift som ligger vid sidan av vad som avses med folkbokföringsverksamhet, se avsnitten 8.3.1 och 8.3.5. Sedan databasregleringen infördes har det inte heller tillkommit något nytt primärt ändamål, och de befintliga ändamålen har inte heller förändrats i sak. Den behandling som i dag får utföras för dataanalyser och urval regleras nämligen särskilt och får enbart ske i en särskild uppgiftssamling.
Mot bakgrund av regeringens uttalanden i samband med regleringens tillkomst bedömer vi att bestämmelserna om folkbokföringsdatabasen utgör en tillämpning av finalitetsprincipen, och inte ett undantag från den.
Tulldatabasen
Databasregleringen för Tullverket har likheter med den som gäller för Skatteverkets folkbokföringsverksamhet. Några ändamål som ligger vid sidan av Tullverkets generella verksamhet finns inte och de primära ändamål som gäller för tulldatabasen har inte förändrats sedan bestämmelserna infördes, se avsnitten 8.3.1 och 8.3.6.
Mot bakgrund av regeringens uttalanden i samband med regleringens tillkomst bedömer vi att bestämmelserna om tulldatabasen utgör en tillämpning av finalitetsprincipen, och inte ett undantag från den.
Regeringens bedömningar bör ha fortsatt giltighet
I avsnitten ovan har vi kunnat konstatera att dagens databasreglering för Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverket snarare förefaller utgöra en tillämpning av finalitetsprincipen än ett undantag från den. Inget av de primära ändamålen avser exempelvis behandling enbart för någon annan myndighets arbetsuppgifter, eller för uppgifter som en annan självständig verksamhetsgren ansvarar för. Även de ändamål inom beskattningsverksamheten som anger att Skatteverket får samla in vissa uppgifter, trots att en annan myndighet senare ska eller kan komma att använda dessa, av-
ser arbetsuppgifter i form av insamling m.m. som Skatteverket ansvarar för och som får anses ligga nära beskattningsverksamheten.
Vår bedömning att databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets verksamhet förefaller utgöra en tillämpning av finalitetsprincipen baseras delvis på de förarbetsuttalanden som gjordes i samband med författningarnas tillkomst och sådana förarbetsuttalanden som gjorts i samband med att ändamålsregleringen utökats. Vid bedömningen har vi dock även tagit i beaktande att tillåtligheten av behandling inom respektive databas aldrig varit en förutsättning för att behandling för nya författningsreglerade uppgifter över huvud taget ska vara tillåten. För det fall myndigheterna inte skulle tillåtas behandla uppgifterna i respektive databas skulle behandlingen kunna ske med stöd av allmänna bestämmelser dvs. personuppgiftslagen eller dataskyddsförordningen och dataskyddslagen.
Att databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets verksamhet inte utgör ett undantag från finalitetsprincipen innebär att upphävandet av databasregleringen som vi föreslår i avsnitt 9.4.2 inte medför att det enda stödet för vidarebehandling också upphävs. Vidarebehandlingen kan nämligen fortsatt ske med stöd av finalitetsprincipen. Det kan här åter påpekas att myndigheterna redan vid insamlingstillfället har möjlighet att ange flera ändamål med insamlingen av uppgifter. Om den tilltänkta vidarebehandlingen anges redan vid insamlingstillfället aktualiseras inte behovet av någon finalitetsprövning.
Vi anser dock att myndigheterna bör kunna utgå från att regeringens överväganden om vidarebehandlingens förenlighet, som den nuvarande lagstiftningen ger uttryck för, är giltiga även i framtiden. Att databasregleringen upphävs innebär ju inte i sig att de befintliga ändamålen blir sinsemellan oförenliga. Eftersom de befintliga ändamålsbestämmelserna inte går att likställa med sådana särskilda ändamål som en eventuell vidarebehandling ska prövas mot bör dock regeringens tidigare bedömning av olika ändamåls förenlighet anses utgöra en generell utgångspunkt. Dagens ändamålsbestämmelser motsvaras i stora drag av de bestämmelser vi föreslår ska komplettera bestämmelsen som anger det materiella tillämpningsområdet, se avsnitt 7.4. Det får enligt vår mening till följd att bestämmelser i de nya datalagarna som kompletterar det materiella tillämpningsområdet också bör anses ge uttryck för mellan vilka uppgifter och verksam-
heter vidareanvändning typiskt sett kan komma i fråga, utan att behandlingen ska anses vara oförenlig med insamlingsändamålet. Det innebär också att möjligheten till vidarebehandling av uppgifter inom Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets verksamhet inte försämras av våra förslag.
Kronofogdemyndighetens databaser
Kronofogdemyndighetens personuppgiftsbehandling reglas i dag i fyra olika databaser. På samma sätt som för Tullverket och Skatteverkets folkbokföringsverksamhet är de ursprungliga ändamålen för respektive databas i stora delar de samma i dag som vid tidpunkten för regleringens tillkomst. Databasregleringen förefaller därmed vara ett uttryck för finalitetsprincipen inom respektive databas, se avsnitten 8.3.1 och 8.3.7. Vissa förändringar har dock skett.
De primära ändamålsbestämmelserna för var och en av de fyra databaserna har kompletterats på så sätt att uppgifter får behandlas för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för förebyggande av överskuldsättning. Med undantag för ändamålsregleringen för skuldsaneringsdatabasen har det ändamålet senare kompletterats med och information om skuldsanering
och F-skuldsanering.
I förarbetena uttalade regeringen att den förebyggande verksamheten inte var någon självständig verksamhet i förhållande till de andra verksamhetsområdena, utan snarare en kompletterande och integrerad del av dessa. För att kunna bedriva ett effektivt arbete inom området behövde denna förebyggande verksamhet ha möjlighet att använda uppgifter som behandlades i de olika databaserna. Enligt regeringen borde det också finnas möjlighet att dokumentera och samla in uppgifter endast för den förebyggande verksamheten. Trots att den förebyggande verksamheten enligt regeringen var en integrerad del av de andra verksamhetsområdena ansågs inte de befintliga ändamålen täcka den på ett tillräckligt tydligt sätt, och en komplettering var därför nödvändig. Regeringen uttalade även att det inte kunde anses vara ändamålsenligt att låta den aktuella behandlingen av uppgifter ligga utanför den reglering som redan fanns i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet.104
104Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.
Uttalanden om den förebyggande verksamheten som en integrerad del av de övriga verksamheterna får enligt vår mening anses innebära att regeringen har bedömt att en vidareanvändning för ändamålet att förebygga överskuldsättning är förenligt med samtliga primära ändamål som gäller för databaserna i dag.
Tillägget avseende information om skuldsanering kom till i samband med den övergripande reformering av skuldsaneringsinstitutet som regeringen föreslog 2016. Då infördes även ett nytt sekundärt ändamål för alla databaser förutom skuldsaneringsdatabasen; att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering. Kronofogdemyndigheten fick i detta sammanhang även i uppgift att lämna upplysningar om skuldsanering till skuldsatta som fanns i myndighetens register. Regeringen konstaterade i förarbetena att genom sin roll som verkställande myndighet hade Kronofogdemyndigheten redan kunskap om den ekonomiska situationen för gäldenärer som fanns i dess register, t.ex. med anledning av att den skuldsatte hade varit föremål för utsökning. För att Kronofogdemyndigheten skulle kunna fullgöra sin upplysningsskyldighet krävdes dock tillgång till relevanta register. Uppgifter i utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen och konkurstillsynsdatabasen skulle därför få behandlas för information om och handläggning av ärenden om skuldsanering.105Vad gäller Kronofogdemyndighetens arbete med ärenden om skuldsanering och F-skuldsanering betonade regeringen vikten av att Kronofogdemyndigheten hade tillgång till ett korrekt underlag för sin bedömning. Enligt regeringen var det därför nödvändigt att myndigheten skulle få behandla personuppgifter för handläggningen av ärenden om skuldsanering och F-skuldsanering i sina databaser.106
I samband med förändringarna som nyss redogjorts för gjorde regeringen inga direkta uttalanden i fråga om finalitetsprincipen. Däremot lyfte regeringen det nära samband som förelåg mellan skuldsaneringen och övriga verksamheter inom Kronofogdemyndigheten. Vi bedömer därför att regeringens uttalanden bör tolkas som att behandling för skuldsaneringsändamål har bedömts vara förenligt med samtliga övriga ändamål som gäller för databaserna.
105Prop.2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 55 och 57. 106Prop.2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 65 och 116.
Vad gäller skuldsaneringsdatabasen har, utöver justeringen som föranleddes av införandet av F-skuldsanering, ett primärt ändamål tillkommit i sak sedan millennieskiftet. Enligt Europaparlamentets och rådets förordning (EU) 2015/848 om insolvensförfaranden, 2015 års insolvensförordning, ska medlemsstaterna upprätta nationella insolvensregister där vissa uppgifter om insolvensförfaranden ska offentliggöras. Kronofogdemyndigheten är registreringsmyndighet för insolvensregistret och uppgifter i skuldsaneringsdatabasen får därför sedan 2019 användas för registrering i insolvensregistret över skuldsaneringar och F-skuldsaneringar. I förarbetena till ändringen uttalade regeringen enbart att Kronofogdemyndigheten bör kunna använda uppgifter i skuldsaneringsdatabasen för att föra insolvensregistret över skuldsaneringar och F-skuldsaneringar.107 Någon uttrycklig bedömning avseende finalitetsprincipen gjordes inte. Däremot bör det tillkommande ändamålets karaktär utesluta någon annan slutsats än att bestämmelsen utgör en tillämpning av finalitetsprincipen.
Sammanfattningsvis förefaller förebyggandeändamål och skuldsaneringsändamål ha ansetts vara förenliga med samtliga övriga ändamål som gäller för Kronofogdemyndigheternas databaser. Frågan blir då om de särreglerade databasernas olika primära ändamål i övrigt kan anses vara sinsemellan förenliga, på samma sätt som redogjorts för rörande Skatteverkets olika verksamheter i beskattningsdatabasen.
I förarbetena till den ursprungliga regleringen uttalade regeringen i och för sig att vissa av verksamheterna till stor del hade anknytning till varandra, och att personer som förekom i ett ärende om skuldsanering i många fall även var föremål för utsökningsåtgärder. Regeringen ansåg dock att det fanns anledning att i vissa delar reglera de olika verksamhetsområdena för sig. I fråga om ändamålen med och vilka uppgifter som får behandlas i en databas var skillnaderna i vissa avseenden så stora att lagstiftningen annars hade blivit svåröverskådlig.108
Några år efter nuvarande reglerings tillkomst föreslog Kronofogdemyndigheten att de sekundära ändamålsbestämmelserna för utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen och skuldsaneringsdatabasen skulle kompletteras på så sätt att uppgifter också skulle få behandlas för tillhandahållande av information som behövdes i annan författningsreglerad verksamhet vid Kronofogdemyndigheten. Förslaget syftade till att
107Prop. 2018/19:48, Insolvensregister enligt 2015 års insolvensförordning, s.29. 108Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156 f.
möjliggöra ett utökat samutnyttjande av insamlade uppgifter i myndighetens verksamheter. Regeringen valde då att inte genomföra föreslagna ändringar på den grunden att förslaget inte var tillräckligt väl underbyggt.109 Någon ledning i frågan om de olika ändamålens förenlighet i övrigt finns alltså inte i förarbeten.
Förenlighet mellan olika ändamål i Kronofogdemyndighetens verksamhet
Vad gäller Kronofogdemyndighetens databaser har vi nyss bedömt att regeringens uttalanden tyder på att i vart fall vidarebehandling inom dagens databaser samt för ändamål kopplade till förebyggande av överskuldsättning samt till skuldsanering och F-skuldsanering är förenligt med samtliga övriga ändamål som gäller för respektive databas. Regleringen bör därmed anses utgöra en tillämpning av finalitetsprincipen i dessa avseenden. Vad gäller förenligheten mellan övriga ändamål går det inte att dra någon slutsats utifrån tidigare förarbeten.
Enligt vår mening finns det dock vissa omständigheter som talar för att vidarebehandling för övriga befintliga ändamål som gäller för databaserna också kan anses vara förenligt med finalitetsprincipen, enligt den prövning som anges i artikel 6.4 i dataskyddsförordningen. En aspekt av finalitetsprövningen är förekomsten av lämpliga skyddsåtgärder. I detta avseende har vi föreslagit att den nya kronofogdedatalagen ska innehålla sökbegränsningar avseende känsliga personuppgifter, krav på rutiner, samt att tillgången till personuppgifter ska begränsas till vad var och en behöver för sina arbetsuppgifter. Inom stora delar av verksamheten vid Kronofogdemyndigheten finns vidare sekretessregler till skydd för enskildas integritet. Det bör därför anses finnas lämpliga skyddsåtgärder.
Kronofogdemyndighetens verksamhet är dessutom relativt avgränsad. Kopplingen mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med en möjlig ytterligare behandling får därmed anses vara förhållandevis stark. Utsökning och indrivning, olika former av skuldsanering, olika former av betalningsföreläggande och handräckning samt tillsyn i konkurs m.m. utgör områden som dels handläggs inom och en och samma myndighet som primärt sysslar med dessa frågor, dels i stor utsträckning rör frågor om in-
109Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 30.
solvens, obligationsrätt, sakrätt och avtalsrätt. De olika verksamheterna inom Kronofogdemyndigheten får med andra ord anses ligga rättsligt nära varandra.
Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige är också betydelsefullt. Även här gör sig samma överväganden gällande; Kronofogdemyndighetens verksamhet är avgränsad till specifika rättsområden där olika rättsliga anspråk avseende egendom prövas. Vi anser att en enskild som lämnar en uppgift till Kronofogdemyndigheten typiskt sett bör kunna förutse att den uppgiften även kan komma att behandlas inom myndigheten i ett annat sammanhang.
Vid bedömningen ska även personuppgifternas art beaktas, särskilt om känsliga personuppgifter eller uppgifter om fällande domar i brottmål och överträdelser behandlas. Denna aspekt av finalitetsprövningen medför dock inte ett absolut förbud eller hinder mot vidarebehandling av sådana uppgifter. I Kronofogdemyndighetens befintliga databaser behandlas känsliga personuppgifter. Även uppgifter om olika lagöverträdelser behandlas. I den mån sådana uppgifter behandlas för ett ändamål knutet till en databas, men är relevanta, adekvata och inte för omfattande i förhållande till ett ändamål knutet till en annan databas, får uppgifternas karaktär i detta sammanhang anses ha en något mindre betydelse.
Slutligen ska också eventuella konsekvenser för den enskilde tas i beaktande. En vidarebehandling inom Kronofogdemyndigheten kan resultera i olika konsekvenser för den enskilde, beroende på omständigheterna i det enskilda fallet. Att en vidarebehandling kan medföra en negativ konsekvens för den registrerade medför dock inte undantagslöst att vidarebehandlingen därmed framstår som oförenlig. Regeringens ovan angivna uttalanden rörande beskattningsuppgifter och olika stödåtgärder illustrerar det nyss sagda.110 Givet Kronofogdemyndighetens särskilda ställning, samt den förhållandevis avgränsade verksamheten, bör den registrerade kunna räkna med att uppgifter kan komma att användas även i andra sammanhang inom myndigheten och även i sådana som kan vara till nackdel för honom eller henne.
110Prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag,
insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 92.
Sammanfattningsvis bör även vidarebehandling inom tillämpningsområdet för den nya kronofogdedatalagen som huvudregel vara möjlig med stöd av finalitetsprincipen. Liksom anges ovan bör den bestämmelse i den nya kronofogdedatalagen som tydliggör lagens materiella tillämpningsområde därför i viss mån kunna tjäna som en utgångpunkt för vilken vidarebehandling som är förenlig med finalitetsprincipen.
Eftersom det i dag inte finns någon gemensam databas och följaktligen inte heller några bedömningar i förarbeten som avser förenligheten mellan samtliga ändamål går det dock inte att dra någon annan slutsats än att Kronofogdemyndigheten i enlighet med artikel 5.2 i dataskyddsförordningen ansvarar för att göra en ny prövning enligt artikel 6.4 av om en vidarebehandling för ett ändamål utanför dagens respektive databasregleringar, eller för andra ändamål än förebyggande av överskuldsättning eller skuldsanering eller F-skuldsanering, är tilllåten. Här kan dock åter påpekas att myndigheten har möjlighet att ange ett flertal ändamål vid insamlingstillfället.
8.4.7. Reglering av vidarebehandling?
Vår bedömning: Någon ytterligare bestämmelse om tillåten vid-
arebehandling bör inte införas i de nya datalagarna.
Skälen för vår bedömning
Som vi redogjort för tidigare är det enligt skäl 50 i dataskyddsförordningen möjligt att i nationell rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Vi har därför övervägt om det är lämpligt att i de nya lagarna införa en bestämmelse som tydliggör att vidarebehandling för ett annat ändamål inom det materiella tillämpningsområdet som utgångspunkt är tillåten. En sådan bestämmelse skulle motsvara dagens databasreglering, se avsnitt 8.4.6, och säkerställa att myndigheterna inte ges sämre möjligheter till en effektiv informationshantering än i dag.
Som vi redogjort för ovan förefaller dock de befintliga primära ändamålen inte vara sinsemellan oförenliga. De uttalanden som regeringen tidigare gjort avseende befintliga ändamål bör dessutom kunna
ligga till grund för en bedömning av liknande vidarebehandlings förenlighet även i framtiden. Myndigheterna har dessutom redan i dag möjlighet att samla in uppgifter för fler än ett ändamål, och uppgifterna får då användas för samtliga dessa ändamål, utan att en finalitetsprövning aktualiseras. Insamlingsändamålen behöver dessutom inte vara sinsemellan förenliga. Vi anser därför att det inte finns något behov av bestämmelser som tillåter sådan vidarebehandling som både ryms inom finalitetsprincipen och som sker för ett ändamål som är nödvändigt för att myndigheten ska kunna utföra en arbetsuppgift som följer av den lagstiftning som faller inom respektive datalags materiella tillämpningsområde.
Det kan dock tillkomma ändamål för vilka regeringen eller riksdagen anser finalitetsprincipen inte ska vara tillämplig, se exempelvis avsnitt 8.4.8 nedan. I dessa situationer kan det därför behöva göras undantag från tillämpligheten av finalitetsprincipen genom en bestämmelse i förordning med stöd av 8 kap. 7 § RF. I avsnitt 8.4.3 har vi därför föreslagit att en upplysningsbestämmelse ska komplettera de primära ändamålen.
Enligt artikel 5.1 a i dataskyddsförordningen ska behandling ske öppet i förhållande till den registrerade, vilket skulle kunna anses utgöra ett skäl för att vidarebehandling inom ramen för respektive författning också fortsättningsvis ska uttryckas i lag. Kravet på öppenhet bör dock anses huvudsakligen rikta sig till den personuppgiftsansvarige och inte till lagstiftaren, artikel 5.2 i dataskyddsförordningen. Redan genom den föreslagna bestämmelsen som motsvarar finalitetsprincipen tydliggörs dessutom för enskilda att behandling för andra ändamål än insamlingsändamålen kan komma att aktualiseras.
8.4.8. Uppgifter som lämnas av betaltjänstleverantörer till Skatteverket ska inte omfattas av någon särskild ändamålsbegränsning
Vår bedömning: De uppgifter som betaltjänstleverantörer ska
lämna för att Skatteverket ska föra över dem till det centrala elektroniska systemet inom EU kallat Cesop bör inte omfattas av särskilda bestämmelser i nya beskattningsdatalagen eller beskattningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna.
Skälen för vår bedömning
Bakgrund
Den 25 maj 2023 beslutade regeringen om en proposition benämnd Nya krav på betaltjänstleverantörer att lämna uppgifter (prop. 2022/23:121). Propositionen har föranletts av att det den 18 februari 2020 beslutades ett nytt direktiv inom mervärdesskatteområdet.111, Sammanfattningsvis innebär det att en ny skyldighet införs för betaltjänstleverantörer att redovisa uppgifter om vissa gränsöverskridande betalningstransaktioner som de genomför till Skatteverket. Skatteverket ska sända uppgifterna vidare till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektroniskt system, kallat Cesop. I Cesop ska uppgifterna från betaltjänstleverantörerna lagras, sammanställas och analyseras tillsammans med vissa andra uppgifter. Medlemsstaterna får under vissa förutsättningar åtkomst till uppgifterna i Cesop för att bekämpa mervärdesskattebedrägerier. Uppgifterna kan användas av medlemsstaterna så länge de inte strider mot användningsbegränsningarna i förordningen, jfr avsnitt 8.4.5.112 Bestämmelserna träder i kraft den 1 januari 2024.113
I 33 c kap. SFL ska anges vilken typ av uppgifter som ska lämnas av betaltjänstleverantörerna. Det handlar bl.a. om uppgifter om betaltjänstleverantörens företagsidentifieringskod samt betalningsmottagarens namn eller företagsnamn, adress, registreringsnummer för mervärdesskatt eller annat nationellt skattenummer och IBANnummer eller, om IBAN-nummer inte är tillgängligt, en annan identifieringskod för betalningsmottagaren. Vidare omfattas uppgifter om bl.a. datum, tidpunkt, belopp och valuta för betalningarna och för eventuella återbetalningar som är relaterade till dessa betalningar.114
Av förordningen om administrativt samarbete följer att de uppgifter som inhämtas med stöd av förordningen från Cesop endast får användas för vissa angivna syften, bl.a. för att fastställa beskattningsunderlaget för mervärdesskatt eller för uppbörden av mervärdesskatt (artikel 55.1). Uppgifter som Skatteverket hämtar från Cesop får
111 Rådets direktiv (EU) 2020/284 om ändring av direktiv 2006/112/EG vad gäller införandet av vissa krav för betaltjänstleverantörer, samt en kompletterande förordning, rådets förordning (EU) 2020/283 om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri (förordningen om administrativt samarbete). 112Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 1 och 27. 113 Riksdagsskrivelse 2023/24:12. 114Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 52–53.
användas av Skatteverket och andra myndigheter för de ändamål som framgår av förordningen.115
Regeringens bedömning av att det bör införas särskilda ändamålsbegränsningar för uppgifter som samlas in från betaltjänstleverantörer
Uppgifterna som samlas in från betaltjänstleverantörer ska behandlas beskattningsdatabasen.116 Utgångspunkten för databasregleringen är att uppgifter i databasen får behandlas för andra ändamål än insamlingsändamålet, dvs. vara gemensamt tillgängliga (se avsnitt 9.2). Skatteverket har i lagstiftningsarbetet med Cesop uppgett att uppgifter som samlas in från betaltjänstleverantörer kan vara till nytta för kontroll av mervärdesskatt, inkomskatt och spelskatt samt vid myndighetens omvärlds- och riskanalyser. Enligt Skatteverket skulle möjligheten att behandla de från betaltjänstleverantörerna insamlade uppgifterna för dessa syften leda till en mer effektiv skattekontroll, vilket i sin tur kan antas leda till ökade skatteinkomster.117
I förarbetena till den nya regleringen avseende Cesop bedömde regeringen att den EU-rättsliga regleringen i och för sig inte hindrar att de insamlade uppgifterna används för andra ändamål än informationsöverföring till Cesop.118 Enligt regeringen krävdes dock en särskild proportionalitetsbedömning för att bedöma om det var lämpligt att Skatteverket och andra myndigheter skulle få behandla uppgifter som lämnats av betaltjänstleverantörerna för andra ändamål än överföring till Cesop.119 Regeringen uttalade i det sammanhanget att de flesta uppgifter som ska lämnas sannolikt kommer att avse betalningar som har ett kommersiellt syfte och som sker till företag som är juridiska personer. Det kunde dock inte uteslutas att även betalningar till någon som inte är en kommersiell aktör kommer att omfattas. Uppgifterna kunde därför enligt regeringen komma att innehålla information om såväl enskilda näringsidkare som privatpersoner och om betalningar som inte har ett kommersiellt syfte. Vidare konstaterade regeringen att de personuppgifter som kommer att behandlas är inte sådana känsliga uppgifter som avses i artikel 9.1 i
115Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 83–88. 116Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 106. 117SOU 2022:25, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 183. 118Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 88–90. 119Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 92.
EU:s dataskyddsförordning. Regeringen ansåg dock att det kunde vara fråga om delvis integritetskänsliga uppgifter om främst enskildas ekonomiska förhållanden. Regeringen beaktade även att de insamlade uppgifterna kommer från betaltjänstleverantörerna, dvs. tredje man, och inte från de företag som ska granskas. Enligt regeringen kommer uppgifterna när de samlas in inte ha något direkt samband med beskattningen och kommer endast till mycket liten del komma att få någon betydelse vid skattekontroll.120
Regeringens bedömning var därför att de aktuella uppgifterna inte ska få användas av Skatteverket för kontroll av mervärdesskatt, inkomstskatt eller spelskatt. Uppgifterna ska dock få användas i den utsträckning det behövs för att Skatteverket ska kunna fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, t.ex. enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet eller om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda enligt 10 kap. 27 § OSL. Det ansågs alltså inte ha kommit fram tillräckliga skäl för att vid den tidpunkten låta Skatteverket använda dessa uppgifter för fler ändamål än informationsöverföring till Cesop och för uppgiftslämnande som redan i dag sker med stöd av lag eller förordning. Sammanfattningsvis ansåg regeringen att Skatteverkets behov av att använda de insamlade uppgifterna i flera fall inte uppvägde intrånget i enskildas personliga integritet.
Med anledning av detta kommer en ny ändamålsbestämmelse i 1 kap. 4 a § SdbL införas som begränsar för vilka ändamål uppgifter som betaltjänstleverantörer har lämnat till Skatteverket får behandlas.121 Skatteverkets möjligheter att använda uppgifterna som samlas in från betaltjänstleverantörer kommer därmed begränsas i svensk rätt i förhållande till vad som följer av den EU-rättsliga regleringen. Begränsningen omfattar dock inte de uppgifter som Skatteverket inhämtar från Cesop i enlighet med artikel 24b i rådets förordning (EU) nr 904/2010.122
120Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 93–94. 121Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 90 och 106–111. 122Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 108.
Bör det införas särskilda bestämmelser i beskattningsdatalagen eller beskattningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna?
Vårt förslag till ny beskattningsdatalag med tillhörande förordning innebär en genomgripande förändring i förhållande till den nuvarande regleringen. Ett grundläggande syfte med våra förslag är att dataskyddsförordningens regler om personuppgiftsbehandling ska få större genomslag i den kompletterande dataskyddsregleringen Vidare gäller vår föreslagna reglering enbart behandling av uppgifter om fysiska personer och inte om juridiska personer (se avsnitt 7.4.2), varför behandling av uppgifter om juridiska personer inte kommer att vara aktuell att på något sätt reglera i den föreslagna nya beskattningsdatalagen. Våra bedömningar avser med andra ord enbart uppgifter om fysiska personer.
Till skillnad från regeringens tidigare ställningstagande gör vi bedömningen att de uppgifter som betaltjänstleverantörer ska lämna till Skatteverket enligt den nya EU-rättsliga regleringen inte bör omfattas av särskilda bestämmelser i beskattningsdatalagen eller beskattningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna. Någon begränsning av finalitetsprincipen bör därmed inte göras för dessa uppgifter. Som framgår ovan har regeringen bedömt att EU-rätten inte innehåller några hinder mot att de insamlade uppgifterna från betaltjänstleverantörerna används för fler ändamål än informationsöverföring till Cesop. Vi har inte funnit någon anledning att frångå denna bedömning. Det kan därmed konstateras att det inte finns någon anledning att mot bakgrund av den aktuella EU-rättsliga regleringen införa specifika ändamålsbegränsningar i nationell sektorspecifik dataskyddsrättslig reglering. Vi anser att detta är ett tungt vägande skäl till att inte heller göra det i den föreslagna beskattningsdatalagen eller beskattningsdataförordningen.
De användningsbegränsningar som finns i EU-rätten gäller endast för uppgifter som inhämtas från Cesop, där de dessförinnan har bearbetats tillsammans med andra uppgifter från andra medlemsstater. Att Skatteverket får behandla de uppgifter som hämtas in från betaltjänstleverantörerna för andra ändamål än för att vidarebefordra dem till Cesop bör därför inte medföra att ändamålen inte längre blir begränsade i den utsträckning som föreskrivs för uppgifterna i
Cesop.123 Vidare finns bestämmelser i de aktuella EU-rättsakterna som syftar till att begränsa integritetsintrånget, såsom regler om vilka uppgifter som ska lämnas till Skatteverket, vilka aktörer som är skyldiga att lämna uppgifter samt hur länge betaltjänstleverantörerna ska lagra uppgifterna. Att Skatteverket ges möjlighet att behandla uppgifterna även för andra ändamål än för att lämna över uppgifterna till Cesop förtar enligt vår mening inte effekten av de nu nämnda integritetshöjande åtgärderna. Skatteverket måste även, inför en eventuell vidarebehandling, göra en bedömning av den tillkommande behandlingens förenlighet med insamlingsändamålet.
Regeringen har som ovan framgått konstaterat att de uppgifter som samlas in från betaltjänstleverantörer avser en stor mängd betalningsinformation och delvis integritetskänsliga uppgifter. Utifrån regeringens beskrivning av de uppgifter det handlar om, dvs. de flesta uppgifter avser betalningar som har ett kommersiellt syfte och som sker till företag som är juridiska personer samt att det inte rör sig om känsliga personuppgifter, gör vi bedömningen att det inte rör sig om en så stor andel integritetskänsliga personuppgifter, även om mängden uppgifter är omfattande. Vi anser mot denna bakgrund att varken uppgifternas art eller omfattning talar för att det rör sig om uppgifter som behöver omfattas av särskilda ändamålsbegränsningar eller en begränsning av finalitetsprincipens giltighet i den kompletterande dataskyddsregleringen för att ett adekvat integritetsskydd ska upprätthållas. Till detta bör läggas att Skatteverkets uppgivna behov, dvs. generellt en mer effektiv skattekontroll och i sin tur ökade skatteinkomster, är berättigade behov för behandling av de aktuella uppgifterna, under förutsättning att den tillkommande behandlingen är förenlig med insamlingsändamålet.
Vidare kommer uppgifter som inhämtas från Cesop under vissa förutsättningar att vara tillåtna för Skatteverket att använda för t.ex. kontroll av inkomstskatt, så länge uppgifterna har inhämtats för rätt syfte.124 Det kan vara fråga om samma uppgifter som Skatteverket har överfört till Cesop, som eventuellt har bearbetats tillsammans från uppgifter överförda av andra medlemsstater. Att detta är tillåtet följer av den EU-rättsliga regleringen.125 Sådana uppgifter bör, till följd av den bearbetning som sker i Cesop, enligt vår mening kunna
123 Jfr prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 92. 124Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 96. 125 Artikel 55 i förordningen om administrativt samarbete.
antas vara mer integritetskänsliga än de som Skatteverket får direkt från betaltjänstleverantörerna, där endast en mindre del avser personuppgifter. Att EU-rätten innehåller användningsbegränsningar för uppgifter som inhämtas från Cesop men inte från betaltjänstleverantörer tyder även på att så är fallet. Även dessa omständigheter menar vi utgör skäl för att anse att det bör vara möjligt för Skatteverket att använda uppgifter som samlas in från betaltjänstleverantörer även andra ändamål.
Vidare bör det enligt vår mening rent principiellt inte anses vara mer integritetskänsligt att Skatteverket får vidarebehandla uppgifterna för att utföra sina författningsreglerade uppgifter, än för att fullgöra uppgiftslämnande enligt lag eller förordning, oaktat att proportionalitetsbedömningar har gjorts i de senare lagstiftningsärendena. I samband med införandet av redan befintliga uppgiftsskyldigheter från Skatteverket till andra myndigheter har det nämligen inte gjorts några specifika överväganden avseende just de uppgifter som betaltjänstleverantörer lämnar till Skatteverket.
Det skulle i och för sig kunna hävdas att behandlingen av uppgifterna i sin helhet som kan komma att ske inom Skatteverket skiljer sig från en behandling i form av utlämnande. Efter att uppgifterna lämnats ut till mottagaren kan de dock komma att behandlas för helt andra ändamål än de som aktualiseras inom Skatteverkets beskattningsverksamhet. Efter utlämnandet är det nämligen mottagarens insamlingsändamål som blir avgörande för vilken ytterligare behandling som är möjlig. Utlämnandet kan dessutom komma att avse en stor mängd uppgifter, beroende på vilka behov av uppgifterna som finns hos mottagaren. Mot denna bakgrund anser vi sammantaget att det är proportionerligt att Skatteverket ges en rättslig möjlighet att behandla de insamlade uppgifterna från betaltjänstleverantörer även för andra ändamål, under förutsättning att en prövning enligt finalitetsprincipen medger en sådan vidarebehandling. Det har alltså inte kommit fram tillräckliga skäl för att reglera sådana uppgifter på ett annat sätt än övriga uppgifter. Eftersom särskilda ändamålsbegränsningar i beskattningsdatalagen eller beskattningsdataförordningen inte kan anses vara behövliga för att uppnå ett adekvat integritetsskydd bör sådana bestämmelser enligt vår bedömning inte införas.
Om regeringen trots vad som anges ovan anser att det i den nya föreslagna kompletterande dataskyddsregleringen för Skatteverket bör införas särskilda ändamålsbegränsningar avseende uppgifter om
fysiska personer, bör sådana enligt vår mening föras in i den föreslagna beskattningsdataförordningen. En sådan bestämmelse skulle kunna ha en lydelse som motsvarar de föreslagna bestämmelserna i 1 kap. 4 a § och 1 kap. 5 a § SdbL, alternativt en begränsning av bestämmelsen som motsvarar finalitetsprincipen.126
Då vår föreslagna reglering endast avser personuppgifter, dvs. uppgifter om fysiska juridiska personer, gör vi inget särskilt ställningstagande avseende uppgifter om juridiska personer i detta sammanhang. Vi ser dock generellt sett inte att det skulle finnas någon anledning att se annorlunda på sådana uppgifter.
I avsnitt 14.9.4 finns särskilda överväganden om att Skatteverket bör få använda uppgifterna för att göra mer övergripande dataanalyser och urval.
8.4.9. Skyddet för den personliga integriteten
Vår bedömning: De föreslagna ändamålsbestämmelserna utgör
ett adekvat skydd för den personliga integriteten.
Skälen för vår bedömning
För att uppfylla kraven i EU:s dataskyddsförordning behöver den nationella och unionsrättsliga reglering som utgör den rättsliga grunden för myndigheternas personuppgiftsbehandling uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 dataskyddsförordningen). Regleringen ska dessutom vara tydlig, precis och förutsägbar för personer som omfattas av den (skäl 41 till dataskyddförordningen). Den behandling av personuppgifter som är nödvändig för att utföra myndigheternas respektive verksamheter förutsätter, särskilt för Skatteverkets verksamheter, tillgång till uppgifter som rör stora delar av befolkningen. Kraven på tydlighet och förutsebarhet vid utformningen av den materiella och processuella regleringen av myndigheternas verksamhet är därför höga.
De nya ändamålsbestämmelserna behöver i likhet med de nu gällande täcka all den behandling som är nödvändig för att respektive
126 Se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 7–8.
myndighet ska kunna utföra sin verksamhet inom respektive datalags materiella tillämpningsområde. Mot bakgrund av att dataskyddsförordningen ska tillämpas av myndigheterna som vore det en svensk författning bör ändamålsbestämmelserna enligt vår mening inte utformas på ett sätt som riskerar att ge intryck av att de har en självständig betydelse, utgör sådana särskilda ändamål som avses i artikel 5.1 b i dataskyddsförordningen eller innebär en avvikelse från den allmänna dataskyddsregleringen. De villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig framgår nämligen av dataskyddsförordningen. Jämfört med dagens reglering innebär våra förslag att mindre detaljerade ändamålsbestämmelser ska sätta ramarna för i vilka syften personuppgifter får behandlas. Frågan är då om en brett formulerad ändamålsbestämmelse på ett mer generellt plan än vad som behandlats i avsnitten ovan kan sägas vara förenligt med ett adekvat integritetsskydd.
Vi har ovan konstaterat att dagens ändamålsbestämmelser inte kan likställas med sådana särskilda, uttryckligt angivna och berättigade ändamål som ska finnas för varje behandling enligt dataskyddsförordningen. Det innebär att de personuppgiftsansvariga myndigheterna även i dag, i enlighet med principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen, behöver formulera de särskilda ändamålen med varje personuppgiftsbehandling och utifrån detta vidta de åtgärder som krävs avseende bl.a. säkerhet och uppgifts- och lagringsminimering. Någon förändring i detta avseende uppkommer inte med anledning av den breda primära ändamålsbestämmelse vi föreslår.
Våra förslag innebär vidare inte att myndigheterna ges några nya uppdrag eller uppgifter i sina respektive verksamheter. Den materiella verksamhetsregleringen inom respektive ny datalags tillämpningsområde påverkas inte av våra förslag. Annorlunda uttryckt medför våra förslag inte att några nya rättsliga grunder för personuppgiftsbehandling införs i svensk rätt. Myndigheterna kommer alltså inte behöva behandla personuppgifter för att utföra andra uppgifter eller bedriva annan verksamhet än i dag med anledning av förslagen.
Vad förslagen innebär är att ramarna för tillåten personuppgiftsbehandling inom respektive datalags materiella tillämpningsområde uttrycks på ett mindre detaljerat sätt än i dag. Dagens ändamålsbestämmelser begränsar myndigheternas möjligheter till personuppgiftsbehandling som sker för andra ändamål än de som följer av
den materiella och processuella regleringen av myndigheternas uppgifter. Det är dock en begränsning som redan ställs upp av dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 c och e. Vidare är det den rättsliga grunden för behandlingen som måste uppfylla dataskyddsförordningens krav på bl.a. tydlighet precision och förutsebarhet. Att ramarna för den personuppgiftsbehandling som är tillåten enligt de nya datalagarna uttrycks på ett mindre detaljerat sätt än i dag bör därmed inte medföra att dataskyddsförordningens krav inte är uppfyllda.
Att de brett formulerade ändamålsbestämmelsernas räckvidd även omfattar exempelvis utvecklingen av nya och befintliga it-system genom bl.a. testning kan dock komma att innebära att personuppgifter behandlas i andra situationer än i dag. Den eventuella tillkommande behandlingen är dock ett resultat av den tekniska utvecklingen, och inte utformningen av de kompletterande primära ändamålsbestämmelserna. Redan i dag bör nämligen utveckling och testning av itsystem vara möjlig med stöd av de befintliga ändamålsbestämmelserna och finalitetsprincipen. Testning och utveckling av digitala arbetssätt är dessutom ett naturligt led i den effektivisering av verksamheterna, med bibehållet integritetsskydd, som myndigheterna måste eftersträva för att följa gällande rätt. Som tidigare har påpekats har regeringen i andra sammanhang uttalat att behandling av personuppgifter för teständamål är något som normalt inte brukar regleras i särskilda registerförfattningar, och att det måste anses vara en slags huvudprincip att testverksamhet inte behöver regleras som ett särskilt ändamål.127
Mot det eventuella integritetsintrång en mindre detaljerad kompletterande ändamålsreglering medför, exempelvis vid testning och utveckling av digitala arbetssätt, bör ställas myndigheternas behov av att kunna bedriva en ändamålsenlig verksamhet. Vi anser att Skatteverket, Tullverket och Kronofogdemyndigheten måste ges rättsliga förutsättningar att utnyttja de möjligheter som digitaliseringen ger för att utföra sin verksamhet, fatta materiellt korrekta beslut och i övrigt säkerställa att gällande rätt följs inom verksamheterna. Väl utvecklade system för informationshantering inom den offentliga sek-
127Prop. 2015/16:65, Utlänningsdatalag, s. 64 och prop. 2019/20:113, En mer ändamålsenlig
dataskyddsreglering för studiestödsverksamheten, s. 20. Jfr även regeringens uttalanden med inne-
börden att behandling för ändamålen uppföljning, utveckling och testning av analys- och urvalsmodeller inte regleras särskilt för Utbetalningsmyndigheten i prop. 2022/23:34, Utbetal-
ningsmyndigheten, s. 205.
torn är enligt vår mening en förutsättning för att myndigheterna både på kort och lång sikt ska kunna utföra sina verksamheter och möta de utmaningar som globaliseringen och den digitala utvecklingen i samhället i övrigt medför. Utvecklingen av olika AI-system är i dag oerhört snabb och sannolikt inte något som går att hejda eller begränsa på nationell nivå. AI kan förväntas bidra till att avancerade upplägg för exempelvis skatteundandragande eller andra felaktigheter blir tillgängliga för fler aktörer och i högre utsträckning än i dag. Myndigheterna bör därför ges möjligheter att förbereda sig på och hantera de utmaningar AI kan komma att innebära för den offentliga sektorn. Myndigheterna måste också ges rättsliga förutsättningar för att vid behov utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten vid kontakt med fysiska personer och bolagssektorn. En sådan utveckling riskerar dock att hindras eller försenas av en kompletterande dataskyddsreglering som går utöver vad som är påkallat i syfte att säkerställa ett adekvat integritetsskydd.
De registrerades skydd för den personliga integriteten tillgodoses dessutom genom flera olika skyddsåtgärder. Den kompletterande dataskyddsregleringen föreslås innehålla begränsningar av möjligheterna att behandla känsliga personuppgifter, begränsningar av tillgången till personuppgifter, begränsningar av den längsta tid uppgifter får behandlas och krav på olika rutiner (se avsnitten 7.7, 10.7, 10.9, 11.7.6 och 12.4.3). Tillsammans med det dataskyddsrättsliga regelverket i övrigt samt sekretesslagstiftningen och den allmänna förvaltningsrättsliga regleringen medför de föreslagna primära ändamålsbestämmelserna i de nya datalagarna enligt vår mening ett adekvat skydd för den personliga integriteten.
Sammantaget bedömer vi att förslaget om brett formulerade primära ändamålsbestämmelser tillgodoser behoven av personuppgiftsbehandling vid myndigheterna samtidigt som hänsyn tas till behovet av ett adekvat integritetsskydd. Det innebär att ändamålsbestämmelserna i den kompletterande dataskyddsregleringen inte möjliggör annan personuppgiftsbehandling än sådan som kan antas leda till att myndigheterna kan utföra sin verksamhet enligt tillämplig lagstiftning. En brett formulerad ändamålsbestämmelse möjliggör inte heller sådan personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin respektive verksamhet, och inte heller sådan behandling som inte står i ett rimligt
förhållande till det intrång i den personliga integriteten som behandlingen innebär. Den föreslagna regleringen bör mot bakgrund av detta anses vara proportionerligt.
Förenligheten mellan ett adekvat integritetsskydd och den föreslagna ändamålsbestämmelsen om dataanalyser och urval i Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten behandlas särskilt i avsnitt 14.12.
9. Databasregleringen
9.1. Inledning
Vårt övergripande uppdrag är att göra en fullständig översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag, t.ex. när det gäller vilka uppgifter som får behandlas i de olika databaserna. En översyn av de nuvarande registerförfattningarnas struktur och terminologi ingår även i uppdraget. Vi ska beakta bl.a. förslagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen (SOU 2020:35). Förslagen i det betänkandet har numera resulterat bl.a. i prop. 2022/23:34, Utbetalningsmyndigheten, med förslag till lagstiftning med anledning av inrättandet av en ny myndighet, Utbetalningsmyndigheten, samt ny lagstiftning om bl.a. Utbetalningsmyndighetens behandling av personuppgifter.
I detta kapitel redogör vi för olika aspekter av dagens databasreglering. Vi beskriver först översiktligt historiska aspekter av den generella regleringen av myndigheters informationssamlingar. Sedan redogör vi för relevanta bestämmelser i EU:s dataskyddsförordning1samt ger exempel på lagstiftning som införts efter dataskyddsförordningen började tillämpas. Därefter redogör vi särskilt för regeringens överväganden i samband med att databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten infördes. Därutöver redogörs för regeringens överväganden i samband med att dataskyddsförordningen skulle börja tillämpas, samt den befintliga regleringen av databaser i register-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
författningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
Slutligen redogör vi för våra överväganden avseende vilka behov av förändring som föreligger samt lämnar förslag på hur dessa behov ska tillgodoses. Vår bedömning är att databasregleringen ska upphävas och inte motsvaras av bestämmelser med liknande innebörd i de nya författningarna. Mot bakgrund av vissa lagtekniska aspekter av den nuvarande regleringen av folkbokföringsdatabasen lämnas dock vissa särskilda förslag för folkbokföringsverksamheten.
Våra överväganden i detta kapitel avser myndigheternas verksamheter som anges ovan. Myndigheternas verksamhet med dataanalyser och urval behandlas dock särskilt i kapitel 14. Frågor som rör Skatteverkets verksamhet med det statliga personadressregistret, SPAR, samt Skatteverkets verksamhet med äktenskapsregistret och bouppteckningar behandlas särskilt i kapitel 16 och kapitel 17.
9.2. Databasreglering och dataskydd
9.2.1. Databasbegreppets bakgrund
Olika betydelse beroende på sammanhang
Enligt Svensk Ordbok (2021) är ordet databas belagt sedan 1960-talet och betyder en större samling uppgifter som finns lagrade på systematiskt sätt i datamaskin så att enskilda uppgifter snabbt kan hittas, t.ex. genom sökning per kategori.
I 1 kap. 2 § yttrandefrihetsgrundlagen, YGL, definieras databas som en samling av information lagrad för automatiserad behandling. I det sammanhanget betyder databas dock i princip detsamma som ordet webbplats. Det ställs inte upp några krav på att en databas behöver innehålla kvalificerad eller väl strukturerad information för att omfattas av definitionen, och information som finns på internet träffas normalt av begreppet.2
I rent tekniska sammanhang avser databasbegreppet i dag oftast s.k. relationsdatabaser som består av ett antal tabeller som har en inbördes relation till varandra. Informationen sparas som poster i
2 Axberger, Yttrandefrihetsgrundlagen (1991:1469), 1 kap. 2 §, Karnov (JUNO) [hämtad 2023-08-31].
rader inuti tabellerna och för att söka fram information eller ändra i informationen används s.k. SQL, Structured Query Language.3
Ordet databas kan därmed ha olika betydelse beroende på i vilket sammanhang det förekommer, men avser i regel någon slags digitaliserad informationshantering.
I registerförfattningar och annan dataskyddsreglering avser begreppet databas, eller liknande begrepp som uppgiftssamling eller gemensamt tillgängliga uppgifter, ofta en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i en verksamhet. En dataskyddsrättslig reglering av en databas behöver alltså inte avse en uppgiftssamling som är avgränsad tekniskt.4 I dessa sammanhang är databas i stället ofta ett rent juridiskt begrepp.
I viss dataskyddsreglering förekommer bestämmelser som avser sådana mer regelrätta register som har karaktären av en teknisk databas. Dessa bestämmelser föreskriver ofta att ett register ska föras för vissa avgränsade ändamål. Regleringen av det statliga personadressregistret, SPAR, är ett sådant exempel (se avsnitt 16.4.1). Redogörelsen i avsnitten nedan avser inte sådana register som fyller en särskild och avgränsad funktion, likt SPAR, utan avser myndigheters interna uppgiftssamlingar.
Personregister och datalagen
I datalagen (1973:289) användes begreppet personregister som utgångspunkt för regleringen. Med personregister avsågs enligt 1 § datalagen register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll personuppgift som kunde hänföras till den som avsågs med uppgiften. Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs under datalagen innebära att ett personregister hade inrättats.5
I förarbetena till datalagen konstaterades att med ADB-teknik, dvs. automatisk databehandlingsteknik, var det i princip möjligt att utföra alla tänkbara åtgärder för hantering av uppgifter. Departements-
3 Luleå tekniska universitet, webbsida, Vad är en databas? Tillgänglig: https://www.ltu.se/centres/2.39556/Vad-ar-en-databas-1.43398 [hämtad 2023-08-31]. 4Prop. 2022/23:43, Utbetalningsmyndigheten, s. 138. 5 Jfr Ds 2001:67, Behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, s. 17.
chefen bedömde att ADB-tekniken hade medfört en radikal omvandling av informationsbehandlingen och kommit att få en sådan betydelse att den inte längre kunde undvaras.6 Frågan om ADB-teknikens inverkan på enskilda människors privatliv hade dock väckt en livlig debatt. Det hade bl.a. förts fram att riskerna för en otillbörlig inblandning i enskildas privatliv hade ökat väsentligt genom ADBteknikens utveckling, vilket departementschefen instämde i. Departementschefen uttalade dock att den enskildes rätt att bli lämnad i fred aldrig kunde vara absolut och i ett utvecklat samhälle kunde man inte undvara personinformationssystem som gav underlag för beslut inom bl.a. förvaltningen. Det behövdes dock vissa spärrar som garanterade att den enskildes privatliv inte skadades på ett otillbörligt sätt. Regler om tillståndsprövning och tillsyn samt andra bestämmelser om dataregistrering skulle därför tas in i en särskild lag, datalagen. Departementschefen betonade att varje reglering som infördes på datahanteringsområdet behövde ses som ett provisorium. Det var fråga om lagstiftning på ett helt nytt område och om erfarenheten visade att regleringen i något avseende blev onödigt betungande eller hämmande för utvecklingen behövde ändringar och kompletteringar kunna genomföras.7
Utgångspunkten i datalagen var att bara den som anmält sig till Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) och fått licens för det skulle få inrätta och föra personregister.8 I samband med att ett sådant tillstånd lämnades skulle Datainspektionen också meddela föreskrift om ändamålet med registret, och om särskilda skäl förelåg fick tillståndet begränsas till viss tid.9 För att få inrätta och föra känsliga register krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes i regel för att inrätta och föra register med uppgifter om brott och brottsmisstankar, uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register.10
6Prop.1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen,
m.m., s. 68.
7Prop.1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen,
m.m., s. 89 och 92.
82 § datalagen. 95 § datalagen. 104 § datalagen.
Om ett personregister beslutats av riksdagen eller regeringen krävdes dock inget tillstånd.11
Datainspektionen skulle enligt datalagen, i den mån det behövdes för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrifter för tillståndsgivna register. Föreskrifterna skulle i dessa fall avse bl.a. inhämtande av uppgifter för personregistret, vilka personuppgifter som fick ingå i personregistret, utförandet av den automatiska databehandlingen, den tekniska utrustningen, de bearbetningar av personuppgifterna i registret som fick göras med automatisk databehandling och de personuppgifter som fick göras tillgängliga.12
Registerlagar
Under datalagens giltighetstid reglerades ofta myndigheters personregister i särskilda lagar och dessa personregister krävde inte särskilt tillstånd från Datainspektionen. Lagstiftaren tog då ofta över Datainspektionens roll genom att detaljerat ange bl.a. vilka uppgifter som fick finnas i registret.
För skatteförvaltningen fanns bl.a. skatteregisterlagen (1980:343). I 1 § skatteregisterlagen föreskrevs att det för vissa angivna ändamål, bl.a. revision och annan kontrollverksamhet samt redovisning, bestämmande och betalning av skatt, med hjälp av automatisk databehandling skulle föras ett centralt skatteregister för hela riket och ett regionalt skatteregister för varje region.
För Tullverkets del var informationshanteringen länge helt manuell.13 Under år 1990 utfärdades dock tullregisterlagen (1990:137) som föreskrev att Tullverket fick föra ett tullregister med hjälp av automatisk databehandling som bl.a. fick användas för fastställande, uppbörd, och redovisning av tull, annan skatt och avgifter som skulle betalas till Tullverket och fullgörande av övervaknings-, kontroll- och revisionsuppgifter inom Tullverkets område, 1 och 2 §§tullregisterlagen.
För informationshantering inom exekutionsväsendet för bl.a. verkställighet enligt utsökningsbalken skulle det enligt 1 § utsökningsregisterlagen (1986:617) med hjälp av automatisk databehandling föras
112 a § datalagen. 126 § datalagen. 13Prop. 1989/90:40, om tullregisterlag m.m., s. 10.
dels ett för hela landet gemensamt utsökningsregister (det centrala utsökningsregistret), dels ett regionalt utsökningsregister för varje region.
Genom personuppgiftslagen (1998:204), PUL, upphävdes datalagen. I förarbetena uttalade regeringen att utvecklingen inom informationstekniken hade gått rasande fort och inget talade för att den skulle komma att hejdas eller mattas inom den närmaste framtiden. Den nya teknikens möjligheter kunde enligt regeringen lätt användas på sätt som inte borde tolereras i ett demokratiskt samhälle, och individen kunde därför kräva ett skydd mot integritetskränkningar av samhället. Enligt regeringen behövde dock också beaktas de helt legitima behov av att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det dåvarande. I varje välfärdssamhälle med sociala ambitioner var det enligt regeringen nödvändigt att i viss utsträckning använda personanknuten information.14
I betänkandet Integritet Offentlighet Informationsteknik (SOU 1997:39) hade Datalagskommittén redogjort för två olika sätt att reglera dataskyddsfrågor. Regleringen kunde antingen ske genom en missbruksmodell, dvs. reglering av sådant utnyttjande av personuppgifter som kunde karaktäriseras som ett missbruk, eller en hanteringsmodell, dvs, reglering av själva hanteringen av personuppgifter.15Enligt kommittén syntes dock vid tidpunkten en sträng hanteringsmodell dömd att misslyckas. Risken var enligt kommittén uppenbar att till och med myndigheter skulle komma att bortse från delar av regleringen.16 Mot bakgrund bl.a. av vad som krävdes enligt 1995 års dataskyddsdirektiv17 var dock kommittén av den åsikten att hanteringsmodellen var att föredra.18
Även regeringen ansåg att det inte var möjligt att uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell. Enligt regeringen framstod emel-
14Prop. 1997/98:44, Personuppgiftslag, s. 30. 15SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 179. 16SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 183. 17 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 18SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 189–191.
lertid en sådan lagstiftning som inte särskilt modern. Regeringen uttalade också att mycket av den användning av personuppgifter som den alltmer genomgripande datoriseringen har medfört borde betraktas som harmlös. Enligt regeringen fanns det därför starka skäl för att verka för att det skulle bli möjligt att gå ifrån en lagstiftning av hanteringsmodell, och Sveriges inflytande i EU skulle utnyttjas för att påverka i denna riktning.19
Utgångspunkten i personuppgiftslagen var att behandling av personuppgifter skulle vara tillåten i de fall och på de villkor lagen angav.20 Det tidigare licens- och tillståndsförfarandet avseende personregister avskaffades därmed också och myndigheter kunde därför behandla personuppgifter direkt med stöd av personuppgiftslagen.
I personuppgiftslagen användes inte begreppet register över huvud taget för olika samlingar av uppgifter. Däremot uttalade regeringen i lagens förarbeten att det inom den offentliga sektorn ofta förekom stora mängder känsliga uppgifter och uppgifter som hade hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför var det särskilt viktigt med ett starkt integritetsskydd när det gällde uppgifter inom all offentlig verksamhet. Myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skulle därför som utgångspunkt regleras särskilt i lag, liksom tidigare.21
9.2.2. Databaser och uppgiftssamlingar
En modernare form av registerlag
När datalagen ersattes av personuppgiftslagen kom också vissa äldre registerlagar, som hade införts när datalagen gällde, att ersättas av en modernare variant av registerlag. Även de äldre registerlagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten kom att ersättas av en modernare form av registerlag, se avsnitt 9.3.1 nedan.
Trots att det inte längre fanns ett krav på tillstånd och licens från Datainspektionen, eller beslut av riksdag eller regering, för att en myndighet skulle få behandla personuppgifter automatiserat ansågs det i flera fall ändå finnas ett behov av att särskilt reglera myndig-
19Prop. 1997/98:44, Personuppgiftslag, s. 36. 20Prop. 1997/98:44, Personuppgiftslag, s. 64. 21Prop. 1997/98:44, Personuppgiftslag, s. 41.
heters uppgiftssamlingar, och begreppet databas började då användas. Som framgår ovan hade regeringen i samband med personuppgiftslagens införande också uttalat att myndigheters register borde regleras särskilt i lag även efter personuppgiftslagens ikraftträdande. Att en myndighets databas eller motsvarande skulle eller fick finnas reglerades därför ofta i lagform. Vilka uppgifter som fick ingå i databaser, uppgiftssamlingar eller register reglerades dock normalt i förordning och inte i lag.22
I samband med att förslaget om en ny lag om behandling av personuppgifter inom socialförsäkringens administration, som skulle ersätta socialförsäkringsregisterlagen (1997:934), uttalade regeringen exempelvis att särskilda författningar som reglerar särskilt känsliga behandlingar av personuppgifter innebar bättre förutsättningar för en ändamålsenlig utformning av integritetsskyddet.23 Regeringen ansåg även att det fanns ett behov av att särskilt kunna reglera sådan automatiserad behandling av personuppgifter som innebar att fler än ett fåtal personer hade sådan tillgång till uppgifterna att de förutom att ta del av dem även kunde bearbeta dem eller förfoga över dem på annat sätt. Sådan behandling av personuppgifter var enligt regeringen typiskt sett mer integritetskänslig än när endast en enstaka person förfogade över uppgifterna. Begreppet databas skulle användas som centralt begrepp, och det avgörande för om en uppgift användes gemensamt i en verksamhet, och därmed utgjorde en beståndsdel i en databas, skulle vara om den behandlades på ett sätt som medförde att den utgjorde ”allmän egendom” i verksamheten.24
Även inom den arbetsmarknadspolitiska verksamheten infördes under 2002 begreppet databas som en juridisk beteckning för vissa fastställda automatiserade uppgiftssamlingar. Databasregleringen ersatte lagen (1994:459) om arbetsförmedlingsregister. Databasbegreppet avsåg enligt regeringen sådana uppgiftssamlingar som skulle användas gemensamt inom verksamheten och för vilka särskilda regler skulle gälla beträffande känsliga och ömtåliga personuppgifter.25 Reger-
22 Jfr exempelvis 4 § i den numera upphävda förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, 2 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration och 3–5 §§ förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. 23Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 39. 24Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 47–48. 25Ds 2001:67, Ny lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksam-
heten, s. 34.
ingen uttalade att av integritetsskäl borde stora uppgiftssamlingar som hanterades av myndigheter, och som gav möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler. Särskilda bestämmelser skulle därför gälla för behandling av uppgifter i databaser i den arbetsmarknadspolitiska verksamheten, exempelvis avseende vilka uppgifter som skulle få behandlas i databasen, vilken åtkomst bl.a. myndigheter skulle ha till uppgifterna samt vad som gällde vid bevarande och gallring.26
9.2.3. Dataskyddsförordningen och reglering av myndigheters uppgiftssamlingar efter 2018
EU:s dataskyddsförordning
Den primära rättskällan för dataskydd
EU:s dataskyddsförordning är sedan den började tillämpas den 25 maj 2018 den primära generella rättskällan avseende dataskydd inom EU. Dataskyddsförordningen innehåller inga bestämmelser som särskilt avser myndigheters uppgiftssamlingar, register eller databaser. Däremot innehåller den fler bestämmelser, som dessutom i många fall ställer högre krav på personuppgiftsansvariga, än 1995 års dataskyddsdirektiv och personuppgiftslagen gjorde, se avsnitt 5.2.2.
Rättslig grund för behandling
För att behandling av personuppgifter över huvud taget ska vara laglig krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. De villkor som oftast blir aktuella för offentliga aktörer är de som framgår av artikel 6.1 c och e, dvs. behandling som är nödvändig på grund av en rättslig förpliktelse eller på grund av en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandling som grundar sig på en rättslig förpliktelse som den personuppgiftsansvarige har att utföra, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, måste som utgångpunkt ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Enligt dataskyddsförord-
26Ds 2001:67, Ny lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksam-
heten, s. 42.
ningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter.27 Unionsrätten eller den nationella rätten måste enligt dataskyddsförordningen även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.28
I 2 kap. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges i vilka situationer personuppgifter får behandlas av svenska myndigheter med stöd av artikel 6.1 c och e i dataskyddsförordningen. Såvitt här är aktuellt är det sammanfattningsvis endast om behandlingen är nödvändig för att utföra de uppgifter som myndigheten har och som framgår av lag eller annan författning, eller av beslut som har meddelats med stöd av lag eller annan författning.
Uppgiftsminimering
En av dataskyddsförordningen grundläggande principer för behandling är principen om uppgiftsminimering, artikel 5.1 c, som innebär att de uppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt skäl 39 till dataskyddsförordningen måste varje behandling av personuppgifter dessutom bl.a. vara rättvis, begränsad till vad som är nödvändigt för de ändamål som uppgifterna behandlas för och endast utföras om syftet med behandlingen inte rimligen kan uppnås genom andra medel.
Prövningen av vilka uppgifter som enligt principen om uppgiftsminimering får behandlas är knuten till ändamålen med behandlingen. Kravet på att all behandling måste ha en rättslig grund innebär att den materiella och processuella regleringen som styr en myndighets verksamhet också styr för vilka ändamål myndigheten får behandla personuppgifter (jfr avsnitt 8.2.1). Eftersom de uppgifter som får behandlas måste vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen, som i sin tur begränsas av den materiella och processuella verksamhetsregleringen, finns det följaktligen en nära koppling mellan den rättsliga grunden och de personuppgif-
27 Skäl 47 till dataskyddsförordningen. 28 Artikel 6.3 i dataskyddsförordningen.
ter som en myndighet får behandla. Annorlunda uttryckt får en myndighet enligt dataskyddsförordningen inte behandla fler eller andra personuppgifter än vad som behövs för att utföra sin författningsreglerade verksamhet. Dataskyddsförordningens bestämmelser tillåter inte att en myndighet samlar in personuppgifter för obestämda framtida behov, för att uppgifterna kan komma till nytta i framtiden eller för att skaffa fram information om förhållanden som saknar betydelse för, eller är överflödiga i förhållande till, myndighetens behov av att kunna utföra sin författningsreglerade verksamhet.
Dataskyddsförordningen innehåller även ett krav på att integritetsskydd byggs in i de tekniska system som används för behandling av personuppgifter, uttryckt genom kravet på inbyggt dataskydd och dataskydd som standard (artikel 25). Kraven enligt artikel 25 innebär bl.a. att personuppgiftsansvariga myndigheter är skyldiga att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska åtgärderna säkerställa att personuppgifter inte görs tillgängliga för ett obegränsat antal fysiska personer (artikel 25.2).
För att kunna visa att dataskyddsförordningens bestämmelser följs bör en personuppgiftsansvarig enligt skäl 78 till dataskyddsförordningen anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bl.a. bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras och att den personuppgiftsansvarige vidtar åtgärder för att kunna skapa och förbättra säkerhetsanordningar. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.
I avsnitt 11.5.3 lämnas en utförligare redogörelse för de krav som artikel 25 ställer upp på den personuppgiftsansvariga.
Övriga bestämmelser som är relevanta för myndigheters databaser
Enligt artikel 24 har den personuppgiftsansvariga ett ansvar att, med beaktande av bl.a. behandlingens art och omfattning samt riskerna för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningens bestämmelser. Det innebär att en myndighet måste vidta tekniska och organisatoriska åtgärder med hänsyn bl.a. till vilka och hur många uppgifter som behandlas.
För att visa att datskyddsförordningens bestämmelser följs ska personuppgiftsansvariga också föra register över behandling som sker under deras ansvar (skäl 82 till förordningen). Av artikel 30.1 framgår att registret ska innehålla bl.a. en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
Av artikel 30.4 framgår att den personuppgiftsansvariga ska göra registret tillgängligt för tillsynsmyndigheten.
Personuppgiftsansvariga ska enligt artikel 32.1 också vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna med behandlingen för fysiska personers rättigheter och friheter, bl.a. utifrån behandlingens art, omfattning, sammanhang och ändamål. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, särskilt till risken för bl.a. obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas, artikel 32.2. Enligt artikel 32.4 ska personuppgiftsansvariga som utgångspunkt också vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges överinseende endast behandlar personuppgifter på instruktion från den personuppgiftsansvariga. Det innebär att myndigheterna har en skyldighet att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig bl.a. utifrån vilka och hur många uppgifter som behandlas samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna, samt se till att medarbetare inte behandlar personuppgifter på ett sätt som är omotiverat utifrån deras arbetsuppgifter.
Enligt artikel 35.1 ska den personuppgiftsansvariga också göra en konsekvensbedömning om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter och friheter. Vid denna bedömning ska personuppgiftsansvariga bl.a. göra en bedömning av
behovet av och proportionaliteten hos behandlingen i förhållande till syftena med den, och de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att bl.a. kunna visa att dataskyddsförordningens bestämmelser efterlevs (artikel 35.7 b och d). I avsnitt 11.7.3 redogörs närmare för förfarandet vid konsekvensbedömningar och kravet på samråd med IMY enligt artikel 36 i dataskyddsförordningen.
Särskild reglering av uppgiftssamlingar även efter 2018
Även efter att dataskyddsförordningen och dataskyddslagen började tillämpas har automatiserade uppgiftssamlingar i den offentliga sektorn ansetts behöva regleras särskilt. Exempelvis uttalade regeringen i förarbetena till bestämmelserna om det s.k. transaktionskontoregistret i lagen (2023:457) om personuppgiftsbehandling vid Utbetalningsmyndigheten att en reglering av formen för behandlingen vid myndighetens fullgörande av uppgiften att administrera systemet med transaktionskonto var lämplig. Motiveringen var bl.a. att myndigheten på ett ordnat sätt skulle kunna organisera och få en överblick över de utbetalningar som myndigheten administrerar. Enligt regeringen framstod begreppet register som lämpligt för uppgiftssamlingen. Däremot ansåg regeringen att det inte fanns skäl att i lag ange närmare vilka slags uppgifter som registret skulle få innehålla, då det varken var nödvändigt utifrån ett integritetsperspektiv eller var möjligt att göra.29
Också för dataanalyser och urval skulle Utbetalningsmyndigheten enligt regeringen föra en uppgiftssamling, benämnd uppgiftssamlingen för dataanalyser och urval. Regeringen konstaterade att ett stort antal och även känsliga uppgifter behövde behandlas för dataanalyser och urval, och att uppgifterna skulle hämtas in från andra myndigheter och aktörer samt från transaktionskontoregistret. Regeringen bedömde därför att det med hänsyn till omfattningen och uppgifternas karaktär fanns ett behov av en strukturerad samling av uppgifter som satte upp gränser för vilka uppgifter som fick användas.30Regeringen ansåg även att särskilda skyddsåtgärder borde införas för den aktuella behandlingen.31 Av 3 kap. 2 § lagen om personuppgifts-
29Prop. 2022/23:34, Utbetalningsmyndigheten, s. 138–139. 30Prop. 2022/23:34, Utbetalningsmyndigheten, s. 143. 31Prop. 2022/23:34, Utbetalningsmyndigheten, s. 146.
behandling vid Utbetalningsmyndigheten framgår att endast de personuppgifter som behövs för att göra dataanalyser och urval får behandlas i uppgiftssamlingen, och att personuppgifterna som behandlas för att göra dataanalyser och urval inte får behandlas någon annanstans än i uppgiftssamlingen. Regeringen har även bedömt att närmare reglering av vilka uppgifter som får behandlas i uppgiftssamlingen är motiverad. Sådan reglering har införts i 8 § förordningen om (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten.
Även för Myndigheten för arbetsmiljökunskap ansåg regeringen att det fanns skäl att särskilt reglera de uppgiftssamlingar som skulle förekomma inom myndigheten. Regeringen konstaterade i förarbetena till lagen (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap att samlingar av stora mängder personuppgifter som bevaras över en längre tid oundvikligen var förenade med risker för intrång i den personliga integriteten. Därför borde samlingarna vara omgärdade av särskilda säkerhetsåtgärder.32
Att myndigheters uppgiftssamlingar regleras särskilt är dock inte utan undantag, även när det gäller mycket omfattande behandling som också omfattar känsliga personuppgifter. Exempelvis finns inte någon särskilt reglering av uppgiftssamlingar i utlänningsdatalagen (2016:27) eller domstolsdatalagen (2015:728). I sammanhanget kan även nämnas att Försäkringskassan och Pensionsmyndigheten hemställt om att särregleringen av socialförsäkringsdatabasen, dvs. den databas som i dag regleras särskilt i 114 kap. socialförsäkringsbalken, ska upphävas. Förslaget har remitterats och nyligen lagts fram i en proposition.33Det kan också nämnas att lagrådet har lämnat förslaget utan erinran.34
32Prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, s. 34. 33Prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 27. 34 Lagrådet, utdrag ur protokoll vid sammanträde 2023-09-27, tillgängligt: https://www.lagradet.se/wp-content/uploads/2023/09/En-modern-dataskyddsreglering-pasocialforsakringsomradet-1.pdf [hämtad 2023-09-30].
9.3. Befintlig databasreglering för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten
9.3.1. Bakgrund
Databaser ersatte personregister
Reformbehovet
Som framgått av avsnitt 9.2.1 reglerades personuppgiftsbehandling inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och nuvarande Kronofogdemyndigheten före 2001 i ett flertal olika registerlagar.
Regeringen konstaterade i förarbetena till nuvarande reglering att de äldre registerlagarna innehöll detaljerade bestämmelser om bl.a. vilka uppgifter som fick finnas i registren.35 Ett exempel var skatteregisterlagen som på grund av den höga graden av detaljreglering hade ändrats vid ett femtiotal tillfällen sedan 1980. Enligt regeringen var lagen vid tidpunkten såväl svåröverskådlig som svårtillämpad. Den lagstiftning som skulle reglera användandet av datorstöd i framtiden behövde enligt regeringen i stället vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågick. En reglering av t.ex. det närmare innehållet skulle bli mycket detaljerad och ändringar i den materiella lagstiftningen kunde enligt regeringen ofta få konsekvenser för vilka uppgifter som skulle registreras.36
Att helt undvika reglering av vilka uppgifter som fick behandlas kunde dock leda till oklarheter och svårigheter för de tillämpande myndigheterna. I lagarna borde därför anges de yttre ramarna för vad registret fick innehålla. I vissa fall, t.ex. i fråga om folkbokförings-
35 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fungera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhetsområde. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Kronofogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200,
En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av
Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m. 36Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84.
verksamheten, kunde det dock vara motiverat att uttömmande reglera innehållet i lag.37
Regeringen konstaterade dock att det traditionella registerbegreppet vid flera tillfällen hade kritiserats och ansåg att det inte längre var ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Begreppet register var inte heller så väl lämpat att användas som beteckning för det samlade datasystemet hos myndigheter som tillämpade elektronisk ärendehantering. I ett sådant system lagrades inkomna handlingar i ett ärende i en elektronisk akt efter att ha lästs av genom s.k. skanning eller sänts in av den enskilde i elektronisk form. Handlingar som upprättades i ärendet framställdes genom automatiserad behandling och lagrades även huvudsakligen i elektronisk form. Begreppet register borde enligt regeringen på detta område förbehållas sådana automatiserade uppgiftssamlingar som faktiskt utgjorde register i strikt betydelse, nämligen när uppgifter var organiserade på ett systematiskt sätt enligt fastställda kriterier. Databas hade enligt regeringen rent språkligt en mer naturlig anknytning till automatiserade sammanställningar i allmänhet och hade den fördelen att det inte tekniskt avgränsade hur en samling uppgifter var uppbyggd eller organiserad.38
Begreppet databas skulle införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som skulle användas gemensamt inom en verksamhet och för vilka särskilda regler skulle gälla. Definitionen hade enligt regeringen även den fördelen att den inte tekniskt avgränsade hur en samling uppgifter var uppbyggd eller organiserad. Det innebar att om flera register – i egentlig bemärkelse – var sammanlänkande och samtliga uppgifter i de olika registren på ett gemensamt sätt var tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så utgjorde dessa register en databas. En databas kunde alltså innehålla flera mindre databaser, varav en del kunde vara regelrätta register. Från integritetssynpunkt var det dock enligt regeringen viktigt att stora uppgiftssamlingar som hanterades av myndigheter och som gav möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdades av särskilda skyddsregler. För behandling av uppgifter i
37Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85. 38Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 88–91.
databaser skulle därför särskilda bestämmelser gälla på en rad punkter, bl.a. i fråga om vilka uppgifter som fick behandlas.39
Även vad gällde elektroniska handlingar skulle särskilda bestämmelser gälla.40 När det gällde behandlingen av känsliga uppgifter behövde det enligt regeringen göras en åtskillnad mellan behandling av uppgifter i elektroniska handlingar i ärendehanteringssystem och annan behandling. Vid registrering av mer traditionell karaktär, dvs. när uppgifter registrerades för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften hos en myndighet, skulle känsliga personuppgifter och uppgifter om lagöverträdelser m.m. få behandlas i en databas endast om det var särskilt angivet i den lag som reglerade behandlingen av personuppgifter.41
Skatteverkets beskattningsverksamhet
Uppgiftskategorierna för beskattningen borde enligt regeringen ange vad som fick behandlas i den informationsbaserade delen av databasen, dvs. uppgifter som då fanns i det centrala skatteregistret eller register som fördes med tillstånd av Datainspektionen. Regeringen eller den myndighet regeringen bestämde skulle kunna ge de närmare föreskrifter om innehållet som behövdes. Enligt regeringen skulle de primära ändamålen vara styrande och uppgifter som inte behövdes för de primära ändamålen skulle inte få finnas i databasen. En grundläggande förutsättning för att en uppgift över huvud taget skulle få behandlas i databasen var därmed att den behövdes för beskattningsverksamheten.42
De uppgifter som skulle få finnas i beskattningsdatabasen var samtliga uppgifter som då fanns i olika författningsreglerade eller tillståndspliktiga register inom skatteförvaltningens beskattningsverksamhet samt sådana ytterligare uppgifter som kunde bli nödvändiga att registrera i framtiden. Samtliga uppgifter som skattemyndigheterna
39Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 88. 40 Enligt regeringen avsågs med elektroniska handlingar beslut och andra handlingar som upprättats i elektronisk form av skattemyndigheterna, de deklarationer som lämnats in i elektronisk form till myndigheterna samt de inkomna pappersbaserade handlingar som bildfångats, dvs. avbildats elektroniskt, se prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull
och exekution, s. 63. Elektroniska handlingar ska alltså i sammanhanget inte förstås som syno-
nymt med upptagningar för automatiserad behandling i enlighet med 2 kap. 3 § tryckfrihetsförordningen, vilket är Riksarkivets definition, se 2 kap. 1 § RA-FS 2009:1. 41Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101. 42Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 128. De ändamål som regeringen föreslog framgår av avsnitt 8.3.1.
behövde för att vid ärendehantering få tillgång till nödvändig information eller för att beslut om debitering eller återbetalning av skatter och avgifter m.m. skulle kunna fattas skulle få behandlas i databasen. Utöver det skulle även beslut få registreras i databasen med angivande av skälen för beslutet, liksom yrkande och grunder i ett ärende. När uppgifter om yrkanden, grunder och beslut m.m. fördes in i databasen på annat sätt än i elektroniska handlingar, skulle de emellertid inte få omfatta känsliga personuppgifter. Behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelsen i den informationsbaserade delen av databasen borde enligt regeringen regleras i lag i detalj och motsvara vad som redan gällde vid tidpunkten.43
För att täcka in uppgifter som behandlades av andra skäl än beskattning på grund av att Sverige gentemot exempelvis EU var förpliktigat att hantera viss information, skulle behandling i databasen få ske av uppgifter som behövdes för fullgörande av ett åliggande som följde av ett för Sverige bindande internationellt åtagande.44
Skatteverkets folkbokföringsverksamhet
Regeringen konstaterade att inom folkbokföringsverksamheten var förändringstakten förhållandevis låg i fråga om vilka uppgifter om fysiska personer som behövde behandlas på automatiserad väg i den informationsbaserade delen av databasen. Den uppräkning av uppgifter som då fanns i lagen (1990:1536) om folkbokföringsregister var dessutom både begränsad till sin omfattning och av central betydelse i folkbokföringsverksamheten. Regeringen ansåg därför att de uppgifter som fick behandlas på samma sätt som tidigare skulle anges direkt i lag. Bestämmelserna om vilka uppgifter databasen fick innehålla borde i stort sett oförändrade föras över från de befintliga bestämmelserna. I folkbokföringsdatabasen skulle också uppgifter om yrkande, grunder och beslut i ett ärende samt andra uppgifter som behövdes för handläggningen av ett ärende få behandlas. Motsvarande uppgifter registrerades då i stor utsträckning i de handläggningsregister som fördes enligt förordningen (1991:750) om folkbokföringsregister.45
43Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129. 44Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 130. 45Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141.
När sådana uppgifter behandlades på annat sätt än i elektroniska handlingar skulle dock begränsningar i fråga om vilka känsliga personuppgifter m.m. som fick behandlas gälla. De uppgifter som registrerades i det särskilda handläggningsregistret enligt förordningen om folkbokföringsregister m.m. skulle även fortsättningsvis få behandlas, eftersom det var uppgifter som behövdes för handläggning av ärenden. Vilka övriga uppgifter som skulle få behandlas för handläggningen av ärenden borde regleras i förordning, framför allt uppgifter om personer som aldrig varit folkbokförda.46
Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skulle i princip endast få behandlas i elektroniska handlingar i ärendehanteringssystem. Känsliga personuppgifter m.m. som i andra fall skulle få behandlas i databasen borde enligt regeringen regleras uttryckligt i lag. För folkbokföringsdatabasens del saknades dock enligt regeringen anledning att behandla andra sådana uppgifter än de som ingick i den från lagen om folkbokföringsregister överflyttade uppräkningen av uppgifter som fick behandlas i databasen.47
Tullverket
Regeringen konstaterade att i tullregisterlagen angavs endast ramarna för vilka uppgifter som fick finnas i registret, vilket överensstämde med vad som föreslogs i fråga om skatteförvaltningens och kronofogdemyndigheternas verksamhet. Då gällande bestämmelser borde mot den bakgrunden överföras till den nya lagen. För att täcka in vissa uppgifter som behandlades av andra skäl än de som omfattades av Tullverkets ordinarie verksamhet på grund av att Sverige gentemot exempelvis EU var förpliktigat att hantera viss information skulle även anges att behandling fick ske i databasen av uppgifter som behövdes för fullgörande av ett åliggande som följde av ett för Sverige bindande internationellt åtagande. Eftersom det inte kunde uteslutas att känsliga personuppgifter kunde förekomma i en handling som gavs in av en enskild borde även sådana uppgifter få behandlas i databasen, om de fanns i en handling som hade kommit in till eller upprättats av Tullverket.48
46Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141–142. 47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 142. 48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 178.
Kronofogdemyndighetens databaser
För den särskilda behandlingen i databaser inom Kronofogdemyndigheten ansåg regeringen att det fanns anledning att reglera de olika verksamhetsområdena för sig. I fråga om ändamålen med och vilka uppgifter som skulle få behandlas i en databas var skillnaderna i vissa avseenden så stora att lagstiftningen annars hade blivit svåröverskådlig. Regeringen ansåg därför att behandlingen av personuppgifter i kronofogdemyndigheternas verksamhet skulle delas in i olika databaser för utsökning och indrivning, betalningsföreläggande och handräckning, skuldsanering och konkurstillsyn.49
Utsöknings- och indrivningsdatabasen
Uppgiftskategorierna som skulle anges i lag avsåg det som fick behandlas i den informationsbaserade delen av databasen, dvs. uppgifter som redan registrerades i det s.k. centrala utsökningsregistret. En grundläggande förutsättning för att en uppgift över huvud taget skulle få behandlas var att den behövdes för de primära ändamålen med databasen.50
Grundläggande uppgifter om enskilda som behövdes för att den exekutiva verksamheten skulle fungera behövde få registreras, bl.a. uppgifter om personnummer, namn, adress samt uppgifter om civilstånd och hemmaboende barn. Även information om en svarandes och eventuella familjemedlemmars ekonomi var enligt regeringen av avgörande betydelse. I vissa fall krävdes att även andra uppgifter om egendom behandlades, exempelvis uppgifter om namn m.m. på panträttshavare och hyresgäster. Yrkande och grunder samt beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende skulle också få registreras i databasen. De uppgifterna skulle i stor omfattning komma att återfinnas i elektroniska handlingar i ärendehanteringssystemen, men uppgifter om beslut m.m. behövde enligt regeringen kunna återfinnas i databasen utan att en handläggare hade tillgång till den elektroniska akten i det aktuella ärendet. När uppgifter om yrkanden, grunder och beslut m.m. fördes in i databasen på annat sätt än i elektroniska handlingar, fick de dock inte omfatta känsliga person-
49Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 157–158. 50Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 160. De ändamål som regeringen föreslog skulle gälla för nuvarande Kronofogdemyndighetens respektive databaser framgår av avsnitt 8.3.1.
uppgifter m.m. När det var nödvändigt att få tillgång till ett beslut som innehöll känsliga uppgifter och övriga handlingar i ett ärende, borde detta enligt regeringen tas fram genom ärendehanteringssystemet. Möjligheten att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. borde dock enligt regeringen uttömmande regleras i lag. I den exekutiva verksamheten fanns behov av att behandla främst uppgifter om böter eller skadestånd på grund av brott i de fall dessa utgjorde grunden för en begäran om verkställighet. Även uppgifter om att det hos åklagare hade anmälts misstanke om brott behövde behandlas. I lagen skulle det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar.51
Betalningsföreläggande-och handräckningsdatabasen
Regeringen konstaterade att de dåvarande betalningsföreläggande- och handräckningsregistren i första hand var avsedda som hjälpmedel vid målhanteringen och att innehållet i dem var anpassat efter det. I registren fick finnas identifieringsuppgifter gällande parterna samt övriga förhållanden som var av betydelse för delgivningsförfarandet. Registren fick även innehålla uppgifter som var direkt knutna till målhanteringen, bl.a. målnummer, inkomstdag, saken, yrkanden och grunder, handlingar som kommit in eller skickats ut i målen, delgivning, frister, beslut i målet samt annat som tillförts målet och som var av betydelse för handläggningen. I likhet med vad som föreslogs i fråga om utsöknings- och indrivningsdatabasen borde det enligt regeringen i lag endast anges vilka kategorier av uppgifter som skulle få behandlas i den informationsbaserade databasen. Databasens innehåll borde enligt regeringen i huvudsak motsvara vad som då gällde enligt lagen (1991:876) om register för betalningsföreläggande och handräckning. Grundläggande identitets- och andra basuppgifter för fysiska och juridiska personer skulle få behandlas. Detsamma gällde yrkanden och grunder samt beslut och övriga åtgärder i ett mål. Enligt regeringen borde behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. även här regleras uttömmande i lag. Inom den verksamhet som rörde den summariska processen fanns behov av att behandla främst uppgifter om skadestånd på grund av
51Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 160–161.
brott i de fall dessa utgjorde grund för en begäran om utslag. I lagen borde det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar.52
Skuldsaneringsdatabasen
I likhet med vad som föreslogs i fråga om utsöknings- och indrivningsdatabasen borde det enligt regeringen i lag endast anges vilka kategorier av uppgifter som fick behandlas i den informationsbaserade databasen. Innehållet i databasen borde enligt regeringen i huvudsak motsvara vad som då gällde enligt förordningen (1994:348) om register för skuldsaneringsärenden. De uppgifter som skulle få behandlas i databasen var vanliga identifikationsuppgifter och handlingar som kommit in eller skickats ut samt beslut i ärendet. Detsamma gällde yrkanden och grunder och övriga åtgärder i ett mål. Slutligen borde även vissa uppgifter om skulderna och om en enskilds ekonomiska förhållanden få behandlas. Regeringen konstaterade vidare att information om en sökandes och eventuella familjemedlemmars ekonomi var av avgörande betydelse i ett ärende om skuldsanering. Med ekonomiska förhållanden avsågs bl.a. uppgifter om inkomster, skuldbelopp, när skulder förföll till betalning, borgensåtaganden samt anstånd med betalning. Behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. borde uttömmande regleras i lag. Inom den verksamhet som rörde skuldsanering fanns enligt regeringen behov av att behandla främst uppgifter om böter eller skadestånd på grund av brott i de fall dessa utgjorde grund för en fordran i ett ärende. I lagen skulle det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar.53
Konkurstillsynsdatabasen
I likhet med vad som föreslogs i fråga om utsöknings- och indrivningsdatabasen borde enligt regeringen i lag endast anges vilka kategorier av uppgifter som fick behandlas i databasen. Regeringen konstaterade att det dåvarande konkurstillsynsregistret innehöll uppgifter om konkursförvaltare, ställföreträdare och konkursgäldenärer. Registret
52Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 164. 53Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 168.
fick i fråga om dessa personer innehålla uppgifter om bl.a. namn, adress, person- eller organisationsnummer, tingsrättens beslutsdatum, förvaltararvoden och lönegaranti. De uppgifter som fick registreras skulle enligt regeringens mening även få behandlas i konkurstillsynsdatabasen. Eftersom ett konkursbo var föremålet för behandlingen av uppgifter i databasen ansåg regeringen att det uttryckligen borde framgå att uppgifter om ett konkursbo skulle få behandlas. Därutöver borde yrkanden och grunder samt beslut med angivande av skälen för beslutet och övriga åtgärder i ett ärende få behandlas. Uppgifter om enskildas ekonomiska förhållanden behövde också få behandlas i ett ärende om konkurstillsyn. Detsamma gällde uppgifter om konkursbeslut och andra domstols- eller myndighetsbeslut som behövdes i ett ärende. Vid prövning av lönegarantifrågor var enligt regeringen även uppgifter om arbetstagarens eventuella andel i företaget av betydelse och sådana uppgifter skulle därför få behandlas i databasen. Regeringen konstaterade dock att de dåvarande konkurstillsynsregistren inte fick innehålla uppgifter om brott eller misstanke om brott, uppgifter om näringsförbud eller uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade. Enligt regeringens mening fanns det inte heller något behov av att behandla sådana uppgifter i verksamheten med konkurstillsyn eller vid handläggningen av mål enligt lönegarantilagen. När det gällde känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skulle dock behandling av sådana uppgifter få ske om uppgifterna förekom i en handling som kommit in eller upprättats i ett ärende.54
En ny databas i folkbokföringsverksamheten
En databas för analys och urval
I samband med att Skatteverket nyligen gavs utökade möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten bedömde regeringen att behandlingen var sådan att formerna för densamma borde regleras och att det fanns behov av en reglering som satte gränser för vilka uppgifter som skulle få användas. Regeringen konstaterade i sammanhanget åter att behandling som innebar att fler än ett fåtal personer hade såväl tillgång till som möjlighet att bearbeta eller förfoga över uppgifter på annat sätt, typiskt sett ansågs mer integri-
54Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 171–172.
tetskänslig än vad som var fallet när endast någon enstaka person förfogade över uppgifterna. Regeringen ansåg att databasbegreppet skulle användes för den uppgiftssamling som skulle regleras och som skulle kunna användas gemensamt i verksamheten.55
Innehållet i analys- och urvalsdatabasen
I den nya databasen får i huvudsak de uppgifter som redan får behandlas i folkbokföringsdatabasen behandlas. Kravet på att Skatteverket skulle ha korrekta uppgifter i folkbokföringsdatabasen var dock enligt regeringen svårt att upprätthålla när myndigheten inte kan nyttja uppgifter från andra aktörer. Regeringen ansåg därför att Skatteverket borde ges möjligheter till effektivisering i folkbokföringsverksamheten genom att i den nya databasen också få använda uppgifter från andra verksamheter inom Skatteverket liksom från andra myndigheter.56
9.3.2. Databaserna i dag
Beskattningsdatabasen
En samling uppgifter
Beskattningsdatabasen regleras i 2 kap. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL). Av 2 kap. 1 § SdbL framgår att det i beskattningsverksamheten ska finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges 1 kap. 4 och 5 §§ samma lag.57
55Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 22.
56Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 25.
57 Se avsnitt 8.3.4 om primära och sekundära ändamål i Skatteverkets beskattningsverksamhet.
Personkrets
Av 2 kap. 2 § SdbL jämfört med 1 kap. 4 § 1–9 samma lag framgår att i databasen får uppgifter behandlas om personer som omfattas av Skatteverkets verksamhet med
1. fastställande av underlag för samt bestämmande, redovisning, betal-
ning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys- eller kontrollverksamhet,
5. tillsyn samt lämplighets- och tillståndsprövning och annan lik-
nande prövning,
6. handläggning
a) enligt lagen (2007:324) om Skatteverkets hantering av vissa
borgenärsuppgifter,
b) av andra frågor om ansvar för någon annans skatter och av-
gifter,
c) enligt lagen (2015:912) om automatiskt utbyte av upplys-
ningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244),
d) enligt lagen (2017:182) om automatiskt utbyte av land-för-
land-rapporter på skatteområdet och 33 a kap. skatteförfarandelagen,
e) enligt 33 b kap. skatteförfarandelagen,
f) enligt lagen (2013:948) om stöd vid korttidsarbete och lagen
(2020:548) om omställningsstöd samt handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och
g) enligt lagen (2022:1681) om plattformsoperatörers inhäm-
tande av vissa uppgifter på skatteområdet, lagen (2022:1682) om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. skatteförfarandelagen,
7. fullgörande av ett åliggande som följer av ett för Sverige bindande
internationellt åtagande,
8. hantering av underrättelser från arbetsgivare om anställning av
utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige, och
9. hantering av uppgifter om sjuklönekostnad.
Uppgifter om andra personer får enligt 2 kap. 2 § SdbL behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas
I 2 kap. 3 § SdbL anges att följande uppgifter får behandlas i beskattningsdatabasen för de primära ändamålen som anges i 1 kap. 4 § samma lag:
1. en fysisk persons identitet, medborgarskap, bosättning och familje-
förhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt firma-
tecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter,
6. underlag för fastighetstaxering,
7. revision och annan kontroll av skatter och avgifter,
8. uppgifter som behövs för handläggning enligt lagen (2007:324)
om Skatteverkets hantering av vissa borgenärsuppgifter,
9. avgiftsskyldighet till ett registrerat trossamfund och medlemskap
i fackförening, 10. yrkanden och grunder i ett ärende, 11. beslut, betalning, redovisning och övriga åtgärder i ett ärende, 12. uppgifter som behövs vid hantering av underrättelser från arbets-
givare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
13. uppgifter som behövs för handläggning enligt lagen (2013:948) om
stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och 14. uppgifter om sjuklönekostnad.
Av 2 kap. 3 § SdbL framgår också att även andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande får behandlas i databasen.
Av 2 kap. 4 a § SdbL framgår att även uppgifter och handlingar som ingår i det datoriserade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor får behandlas i databasen.
I 2 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF), anges närmare vilka uppgifter som får behandlas i beskattningsdatabasen beträffande personer som avses i 2 kap. 2 § SdbL. Listan på uppgifter är mycket omfattande och avser bl.a. uppgifter som behövs vid Skatteverkets handläggning av ärenden som görs med stöd av olika särskilt angivna lagar och andra författningar med bestämmelser om skatter och socialavgifter, samt för planerad, beslutad, pågående eller avslutad revision och annan kontroll av skatter, avgifter och stöd. I 2 § SdbF anges dock även ett flertal andra uppgiftskategorier, exempelvis uppgifter från aktiebolagsregistret och från vägtrafikregistret.
Känsliga personuppgifter
Av 2 kap. 4 § SdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Folkbokföringsdatabasen
En samling uppgifter
Folkbokföringsdatabasen regleras i andra kapitlet i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL). Av 2 kap. 1 § FdbL framgår att det i folkbokföringsverksamheten ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära ändamålen som anges 1 kap. 4 § samma lag.58
Personkrets
Av 2 kap. 2 § FdbL framgår att i databasen får uppgifter behandlas om personer som har tilldelats personnummer eller samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas
Av 2 kap. 3 § FdbL framgår att för de ändamål som anges i 1 kap. 4 § samma lag får följande uppgifter behandlas i databasen
1. person- eller samordningsnummer,
2. namn,
3. födelsetid,
4. födelsehemort,
5. födelseort,
6. 6. adress,
7. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, di-
strikt och folkbokföring under särskild rubrik,
8. medborgarskap,
9. civilstånd,
58 Se avsnitt 8.3.5 om ändamål i Skatteverkets folkbokföringsverksamhet.
10. make, barn, föräldrar, vårdnadshavare och annan person som den
registrerade har samband med inom folkbokföringen, 11. samband enligt 10 som är grundat på adoption, 12. inflyttning från utlandet, 13. avregistrering enligt 19–22 §§folkbokföringslagen (1991:481), 14. anmälan enligt 5 kap. 2 § vallagen (2005:837), 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, 17. uppehållsrätt för en person som är folkbokförd, 18. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap.
2 § 1 lagen (2022:1697) om samordningsnummer, 19. vilandeförklaring enligt 3 kap. 2 § lagen om samordningsnummer
med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 20. tidpunkt för när en person med samordningsnummer eller en
person med personnummer som inte är eller har varit folkbokförd har avlidit, och 21. fingeravtryck, ansiktsbilder och biometriska uppgifter som tas
fram ur dessa.
Av 2 kap. 3 § andra stycket FdbL framgår dessutom att i databasen får även uppgifter behandlas som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495), oavsett om uppgifterna är sådana som avses i 1 kap. 6 § FdbL, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
Av tredje stycket i samma paragraf framgår även att i ärenden om tilldelning av personnummer enligt 18 b § folkbokföringslagen eller samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. I ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker.
I 2 kap. 4 § första stycket FdbL anges att i databasen får uppgifter behandlas om yrkanden, grunder och beslut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende.
Av 4 § första stycket förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF), framgår att för handläggning av ärenden får i databasen behandlas uppgifter som avses i 5 kap. 2 § offentlighets- och sekretesslagen (2009:400) och andra ärendeuppgifter om den person som ärendet rör. Av 4 § andra stycket i samma förordning framgår att för handläggning av sådana ärenden som avses i 1 § andra stycket folkbokföringslagen (1991:481) får behandlas uppgifter om personer som inte är eller har varit folkbokförda. I 4 § tredje stycket samma förordning anges att Skatteverket meddelar närmare föreskrifter om vilka uppgifter som får behandlas enligt första och andra styckena.
Känsliga personuppgifter
Enligt 2 kap. 5 § FdbL får en handling som har kommit in i ett ärende behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Analys- och urvalsdatabasen i folkbokföringsverksamheten
En samling uppgifter
Analys- och urvalsdatabasen i folkbokföringsverksamheten regleras i 2 a kapitlet i folkbokföringsdatabaslagen. Av 2 a kap. 1 § FdbL framgår att i folkbokföringsverksamheten ska det finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som anges i 1 kap. 4 a § samma lag.59
59 Se 8.3.5 om ändamål i Skatteverkets folkbokföringsverksamhet för den särskilda databasen.
Personkrets
Av 2 a kap. 1 § FdbL jämfört med 2 kap. 2 § samma lag framgår att i analys- och urvalsdatabasen får uppgifter om personer som har tilldelats personnummer eller samordningsnummer, och om andra personer om det behövs för handläggningen av ett ärende, behandlas.
Uppgifter som får behandlas
Av 2 a kap. 3 § FdbL jämfört med 2 kap. 3 och 4 §§ samma lag framgår att i databasen får följande uppgifter behandlas:
1. person- eller samordningsnummer,
2. namn,
3. födelsetid,
4. födelsehemort,
5. födelseort,
6. adress,
7. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort,
distrikt och folkbokföring under särskild rubrik,
8. medborgarskap,
9. civilstånd, 10. make, barn, föräldrar, vårdnadshavare och annan person som den
registrerade har samband med inom folkbokföringen, 11. samband enligt 10 som är grundat på adoption, 12. inflyttning från utlandet, 13. avregistrering enligt 19–22 §§folkbokföringslagen (1991:481), 14. anmälan enligt 5 kap. 2 § vallagen (2005:837), 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt
land, 17. uppehållsrätt för en person som är folkbokförd,
18. tidpunkt för när vilandeförklaring kan komma att ske enligt
3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 19. vilandeförklaring enligt 3 kap. 2 § lagen om samordningsnummer
med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 20. tidpunkt för när en person med samordningsnummer eller en
person med personnummer som inte är eller har varit folkbokförd har avlidit, och 21. fingeravtryck, ansiktsbilder och biometriska uppgifter som tas
fram ur dessa.
Av 2 kap. 3 § andra stycket FdbL framgår dessutom att i databasen får även uppgifter behandlas som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495), oavsett om uppgifterna är sådana som avses i 1 kap. 6 §.
Av tredje stycket i samma paragraf framgår att i ärenden om tilldelning av personnummer enligt 18 b § folkbokföringslagen eller samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. I ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker.
I 2 kap. 4 § första stycket FdbL anges att i databasen får även uppgifter behandlas om yrkanden, grunder och beslut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende.
Av 5 c § FdbF framgår att även sådana uppgifter som ska lämnas av andra myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten får behandlas i databasen. Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.
Känsliga personuppgifter
Någon särskild bestämmelse som endast avser behandling av känsliga personuppgifter i analys- och urvalsdatabasen finns inte. Känsliga personuppgifter som får behandlas i folkbokföringsdatabasen med stöd av 2 kap. 5 § FdbL får inte behandlas i analys- och urvalsdatabasen.
Tulldatabasen
En samling uppgifter
Tulldatabasen regleras i andra kapitlet i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL). Av 2 kap. 1 § TDL framgår att i Tullverkets verksamhet ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamålen som framgår av 1 kap. 4 och 5 §§ samma lag.60
Personkrets
Av 2 kap. 2 § jämfört med 1 kap. 4 § 1–3 TDL framgår att i databasen får uppgifter behandlas om personer som omfattas av Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, övervakning, revision och annan analys- eller kontrollverksamhet, samt fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas
I 2 kap. 3 § TDL anges att följande uppgifter får behandlas i tulldatabasen för de primära ändamålen som anges i 1kap. 4 § samma lag:
1. en fysisk persons identitet och bosättning,
2. en juridisk persons identitet, säte, firmatecknare och andra före-
trädare,
3. identitetsbeteckningar för transportmedel, containrar och tankar,
4. tulltaxor,
5. registrering för skatter och avgifter,
6. underlag för tull, annan skatt och avgifter,
7. bestämmande av tull, annan skatt och avgifter,
60 Se avsnitt 8.3.6 om primära och sekundära ändamål i Tullverkets verksamhet.
8. revision och annan kontroll av tull, annan skatt och avgifter,
9. tillstånd och licenser som krävs för import eller export av varor, 10. yrkanden och grunder i ett ärende, och 11. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Av samma bestämmelse framgår att även andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande får behandlas i databasen.
I 2 § förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF), bemyndigas Tullverket får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen. Några sådana föreskrifter har dock inte meddelats.
Känsliga personuppgifter
Av 2 kap. 4 § TDL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Utsöknings- och indrivningsdatabasen
En samling uppgifter
Utsöknings- och indrivningsdatabasen regleras liksom övriga databaser i Kronofogdemyndighetens verksamhet i andra kapitlet i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL). Av 2 kap. 1 § KFMdbL framgår att i verksamheten med utsökning och indrivning ska det finnas en samling uppgifter som med hjälp av automatiserad
behandling används gemensamt i verksamheten för de primära och sekundära ändamålen som framgår av i 2 kap. 2 och 3 §§ KFMdbL.61
Personkrets
Av 2 kap. 4 § jämfört med 2 kap. 2 § 1–5 KFMdbL framgår att i utsöknings- och indrivningsdatabasen får uppgifter behandlas om personer som omfattas av Kronofogdemyndighetens och Skatteverkets verksamhet med
1. verkställighet eller annan åtgärd som särskilt åligger Kronofogde-
myndigheten enligt utsökningsbalken eller annan författning,
2. indrivning av statliga fordringar m.m.,
3. avräkning vid återbetalning av skatter och avgifter,
4. ansökan om och tillsyn över näringsförbud, och
5. förebyggande av överskuldsättning och information om skuld-
sanering och F-skuldsanering.
Av 2 kap. 4 § KFMdbL framgår även att uppgifter om andra personer får behandlas i databasen om det behövs för handläggningen av ett mål.
Uppgifter som får behandlas
I 2 kap. 5 § KFMdbL anges att följande uppgifter får behandlas i utsöknings- och indrivningsdatabasen för de primära ändamålen som anges i 2 kap. 2 § samma lag:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, firmatecknare och andra före-
trädare,
3. en enskilds ekonomiska förhållanden,
4. näringsförbud,
5. egendom som berörs i ett mål,
6. yrkanden och grunder i ett mål eller ärende,
61 Se avsnitt 8.3.7 om primära och sekundära ändamål i Kronofogdemyndighetens verksamhet.
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller
ärende, och
8. Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål.
Av 2 kap. 5 § andra stycket KFMdbL framgår också att i databasen får även andra uppgifter behandlas som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande.
I 2 § förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), anges närmare bestämmelser om uppgifter som får behandlas i databasen. I 6 § KFMdbF anges även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Betalningsföreläggande- och handräckningsdatabasen
En samling uppgifter
Av 2 kap. 7 § KFMdbL framgår att i verksamheten med betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 8 och 9 §§ samma lag.
Personkrets
Av 2 kap. 10 § jämfört med 2 kap. 8 § 1–3 KFMdbL framgår att i betalningsföreläggande- och handräckningsdatabasen får uppgifter behandlas om personer som omfattas av verksamhet med
1. handläggningen av mål om betalningsföreläggande, handräckning
eller europeiskt betalningsföreläggande,
2. tillhandahållande av utslag i mål om betalningsföreläggande och
handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande,
3. förebyggande av överskuldsättning och information om skuld-
sanering och F-skuldsanering.
Uppgifter om andra personer får enligt 2 kap. 10 § KFMdbL behandlas om det behövs för handläggningen av ett mål.
Uppgifter som får behandlas
Av 2 kap. 11 § KFMdbL framgår att för de primära ändamål som anges i 2 kap. 8 § samma lag får följande uppgifter behandlas i databasen:
1. en fysisk persons identitet, bosättning och anställning,
2. en juridisk persons identitet, säte, firmatecknare och andra före-
trädare,
3. yrkanden och grunder i ett mål,
4. övriga förhållanden, om uppgifterna tillförs ett mål och är av be-
tydelse för handläggningen,
5. beslut och övriga åtgärder i ett mål, och
6. lagöverträdelser som innefattar brott eller domar i brottmål, om
uppgifterna utgör grund för en begäran om utslag.
I 3 § KFMdbF anges närmare bestämmelser om uppgifter som får behandlas i databasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Skuldsaneringsdatabasen
En samling uppgifter
Av 2 kap. 13 § KFMdbL framgår att i verksamheten med skuldsanering och F-skuldsanering ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 14 och 15 §§ KFMdbL.
Personkrets
Enligt 2 kap. 16 § jämfört med 2 kap. 14 § 1 och 2 KFMdbL får uppgifter behandlas i databasen om personer som omfattas av verksamhet med handläggning av ärenden om skuldsanering och F-skuldsanering eller förebyggande av överskuldsättning. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas
Av 2 kap. 17 § KMdbL framgår att för de primära ändamål som anges i 2 kap. 14 § samma lag får följande uppgifter behandlas i databasen:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte och företrädare,
3. en enskilds ekonomiska förhållanden,
4. yrkanden och grunder i ett ärende,
5. beslut och övriga åtgärder i ett ärende,
6. lagöverträdelser som innefattar brott eller domar i brottmål, om
uppgifterna utgör grund för en fordran i ett ärende, och
7. beslut, betalning, redovisning och övriga åtgärder som rör gälde-
närens betalningar enligt skuldsaneringslagen (2016:675) och lagen (2016:676) om skuldsanering för företagare.
I 4 § KFMdbF anges närmare bestämmelser om uppgifter som får behandlas i skuldsaneringsdatabasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Konkurstillsynsdatabasen
En samling uppgifter
Av 2 kap. 19 § KFMdbL framgår att i verksamheten med tillsyn i konkurs ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 20 och 20 a §§ KFMdbL.
Personkrets
Av 2 kap. 21 § jämfört med 2 kap. 20 § 1 och 2 KFMdbL framgår att i konkurstillsynsdatabasen får uppgifter behandlas om personer som omfattas av verksamhet med handläggning av konkurstillsynsären-
den, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497), samt förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering. Uppgifter om andra personer får enligt 2 kap. 21 § KFMdbL behandlas om det behövs för handläggningen av ett mål eller ärende.
Uppgifter som får behandlas
Enligt 2 kap. 22 § KFMdbL får, för de primära ändamål som anges i 2 kap. 20 § samma lag, följande uppgifter behandlas i databasen:
1. ett konkursbos identitet,
2. en fysisk persons identitet och bosättning,
3. en juridisk persons identitet, säte, firmatecknare och andra före-
trädare,
4. en enskilds ekonomiska förhållanden,
5. domstols eller myndighets beslut,
6. yrkanden och grunder i ett mål eller ärende, och
7. beslut och övriga åtgärder i ett mål eller ärende.
Av 5 § KFMdbF framgår närmare bestämmelser om uppgifter som får behandlas i konkurstillsynsdatabasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
9.3.3. Myndigheternas uppfattning om nuvarande databasreglering
Allmänt om databasregleringen
Skatteverket, Tullverket och Kronofogdemyndigheten har samtliga uppgett att befintlig reglering av databaser inte speglar deras verksamhet i dag. Att de olika databaserna är särskilt reglerade kan enligt myndigheterna ge intryck av att uppgiftssamlingarna inom en myndighet utgör separata it-system. Dagens it-miljöer består dock av komplexa verksamhetsstöd där informationen behandlas i olika it-komponenter och tekniska databaser. It-lösningarna och dess komponenter har komplexa samband med varandra och kan vara verksamhetsöverskridande. Juridisk avgränsning i form av reglering för särskilda databaser skapar därför vissa tolknings- och tillämpningsproblem vid utvecklingen av verksamheternas it-stöd.
Enligt myndigheterna framstår termen databas dessutom som missvisande och omodern. Normalt talas i stället om vilka uppgifter som är gemensamt tillgängliga för en verksamhet och om logisk separation i en gemensam digital infrastruktur. Logisk separation innebär att de olika verksamheterna har egna digitala sfärer. Tekniska åtgärder gör att åtkomst och sammanblandning av uppgifter mellan de olika sfärerna som utgångspunkt inte är möjlig och en verksamhet kan följaktligen bara få tillgång till uppgifter i sin egen sfär. Logisk separation fungerar därmed som ett slags digitalt inre skalskydd och säkerställer regelefterlevnad. Verksamhetssystemen inom en sfär har sedan bara tillgång till de uppgifter som behövs för respektive system och en handläggare får genom behörighetsstyrd åtkomst bara tillgång till de uppgifter som han eller hon behöver utifrån sina arbetsuppgifter.
Skatteverket
Skatteverket anser att databasregleringen regelmässigt utgör en begränsning och innebär att uppgifter endast får användas gemensamt i en verksamhet när det särskilt föreskrivs i lag eller förordning. Denna dubbelreglering anses vara onödig eftersom myndigheten enligt de allmänna dataskyddsbestämmelserna inte får behandla fler uppgifter än de som behövs för att genomföra sitt uppdrag enligt rättsordningen. Skatteverket anser därför att de grundläggande principerna i artikel 5
i EU:s dataskyddsförordning (särskilt principen om laglighet och uppgiftsminimering) tillsammans med de materiella bestämmelser som reglerar beskattnings- och folkbokföringsverksamheterna ska styra vilka uppgifter myndigheten ska få behandla gemensamt.
Nuvarande reglering av vilka uppgifter som får behandlas i Skatteverkets databaser är dessutom inte enhetlig. Innehållsregleringen av uppgifter som får användas gemensamt i folkbokföringsverksamheten är på en detaljnivå som motsvarar regleringen av ett register och utgår inte från det behov som finns att behandla uppgifter gemensamt i verksamheten. Detaljnivån medför också ett behov av att ändra innehållet i lag vid varje tillfälle verksamheten måste behandla enstaka personuppgifter gemensamt, vilket har resulterat i en svårbegriplig detaljreglering av uppgifter. Motsvarande detaljnivå föreligger inte för beskattningsverksamheten som i regel utgår från uppgifter som behövs för att handlägga olika typer av ärenden. I vissa andra fall kan regleringen vara mycket omfångsrik och tillåta att personuppgifter behandlas gemensamt i en verksamhet för informationsutbyte och annan handräckning enligt internationella åtaganden.
En principiell utgångspunkt för reglerna om databasernas innehåll är enligt Skatteverket vidare att de utgår från uppgifter som behövs vid handläggningen av olika typer av ärenden. Verksamheternas behov av att behandla personuppgifter finns även vid s.k. faktiskt handlande (exempelvis vid analys och urval). En reglering som endast tillåter behandling av personuppgifter vid handläggning eller vid ärendehantering tillgodoser inte myndighetens behov att kunna behandla personuppgifter.
Vid dataanalyser och urval för kontrolländamål behandlas personuppgifter i dag i relativt stor utsträckning även utanför beskattningsdatabasen. Det sker när alla relevanta uppgifter för ett urval inte får behandlas i databasen under en urvalsprocess. Det ställer särskilda krav på behandlingen eftersom uppgifterna helt eller delvis inte får behandlas på ett sådant sätt att de är att betrakta som gemensamt tillgängliga. Detta utgör en begränsning som försvårar hanteringen då det i regel kräver att uppgifterna hanteras i en särskild it-miljö och dessutom gäller andra bestämmelser för behandlingen. I dessa fall är det i princip först när en faktisk kontrollåtgärd övervägs som uppgifterna återigen får hanteras gemensamt i verksamheten.
Databasregleringen medför också vissa svårlösta tillämpningsfrågor inom ramen för EU-samarbetet när uppgifter i EU-gemensamma in-
formationssystem görs gemensamt tillgängliga för Skatteverkets anställda. Vidare är begreppet databas svårtolkat eftersom det i regel förstås som en tekniskt avgränsad databas och inte primärt som en juridisk definition av gemensamt tillgängliga uppgifter i en verksamhet.
Tullverket
Tullverket anser att begreppet tulldatabasen ska tas bort i den nya lagstiftningen. Nästan samtliga personuppgifter som behandlas i Tullverkets verksamhet behandlas i tulldatabasen och det saknas behov av att skilja på hur personuppgifter behandlas. Det är enligt Tullverket svårt att se mervärdet av särreglering mellan dessa uppgifter och de som behandlas utanför tulldatabasen. Med ett och samma regelverk för all behandling av personuppgifter inom tillämpningsområdet skulle skyddsnivån för all personuppgiftsbehandling bli enhetlig och det skulle inte längre behövas en tidskrävande bedömning av om uppgifter är gemensamt tillgängliga eller inte. Uppdelningen skapar i dag merarbete utan uppenbara integritetsvinster.
Personuppgifter som behandlas i tulldatabasen omfattas av ett särskilt kapitel med extra skyddsregler. Då skyddsreglerna i nuvarande reglering skiljer sig åt beroende av om personuppgifterna ska anses behandlas i tulldatabasen eller inte behöver Tullverket kontinuerligt göra överväganden kring om uppgifter behandlas i tulldatabasen eller inte. Det är då främst frågan om i vilka situationer en uppgift ska anses behandlas gemensamt i verksamheten som skapar tolkningsproblem.
Tulldatabasen har enligt Tullverket förlorat i betydelse som en avgränsad uppgiftssamling, dels eftersom nästan alla uppgifter inom lagens tillämpningsområde får anses behandlas gemensamt, dels eftersom uppräkningen av uppgiftskategorier inte längre ger en tydlig bild av de uppgifter som behandlas i databasen.
De tekniska möjligheterna och kraven på Tullverket att behandla och dela data elektroniskt har dessutom ökat. Den utökade elektroniska behandlingen, främst i olika informationssystem, medför att personuppgifter i större utsträckning kan göras tillgängliga för fler och därmed betraktas som gemensamt tillgängliga.
Inte heller dagens uppräkning av uppgiftskategorier som får behandlas i databasen ger enligt Tullverket en tydlig avgränsning av
tulldatabasen. Det är EU-lagstiftning som till stor del styr vilka uppgifter som Tullverket ska eller får behandla. Ett flertal uppgifter faller inte in under de uppräknade uppgiftskategorierna, utan får behandlas med stöd av det undantag som anger att det i databasen även får behandlas andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Tullverkets bedömning är att ju fler uppgifter som behandlas med stöd av undantaget desto sämre återspeglar uppräkningen vilka uppgifter som behandlas i tulldatabasen. Uppräkningen av uppgiftskategorier fyller då enligt Tullverket inte någon egentlig funktion.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att databasregleringen, detaljnivån till trots, uppfattas som oprecis till sin utformning. De olika kategorierna av uppgifter som uttömmande räknas upp ger nämligen utrymme för en förhållandevis vid tolkning. I vissa fall kan emellertid en nödvändig uppgift falla utanför regleringen, vilket leder till praktiska svårigheter.
Till skillnad från Skatteverkets och Tullverkets reglering är Kronofogdemyndighetens ändamålsreglering helt kopplad till databaserna, vilket enligt Kronofogdemyndigheten medför omotiverat skarpa gränsdragningar. Det är också så att när Kronofogdemyndigheten får en ny uppgift i den materiella verksamhetsregleringen måste denna hänföras till någon av de fyra databaserna för att myndigheten ska ha rättsliga förutsättningar för att kunna utföra uppdraget. Ett exempel är tillsyn av näringsförbud, som egentligen inte har något samband med Kronofogdemyndighetens verksamhet med utsökning och indrivning, men som regleras inom ändamålen för den databasen. Regleringen utifrån databas är stämmer emellertid inte alltid överens med hur Kronofogdemyndigheten organisatoriskt hanterar arbetsuppgiften och det är inte heller givet att samma verksamhetssystem används. Kronofogdemyndigheten har dessutom uppdrag som involverar flera verksamheter, såsom delgivning och förebyggande av överskuldsättning och även då är regleringen utifrån databas problematisk. Databasbegreppet har enligt Kronofogdemyndigheten spelat ut sin roll och det uppfattas snarast försvåra tillämpningen av dataskyddsreglerna.
Kronofogdemyndigheten menar att integritetsskyddsfrågan i första hand bör lösas genom grundläggande dataskyddskrav och säkerhetsbestämmelser, och inte genom reglering av särskilda uppgiftssamlingar och uppräkning av olika kategorier av uppgifter som får behandlas. Myndighetens inställning är att det saknas skäl att reglera databaser och deras innehåll i ett dataskyddssammanhang.
9.4. Överväganden och förslag
9.4.1. Strukturen i den kompletterande dataskyddsregleringen behöver anpassas efter den rättsliga och tekniska utvecklingen
Vår bedömning: Det finns ett behov av att anpassa den kom-
pletterande dataskyddsregleringen till de rättsliga och tekniska förutsättningar för myndigheters personuppgiftsbehandling som föreligger i dag.
Skälen för vår bedömning
Databasregleringen har i dag två funktioner
Databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten utgör en samling bestämmelser som enbart gäller för uppgifter som används gemensamt i respektive verksamhet och som hanteras digitalt. De särskilda regler som gäller för gemensamt tillgängliga uppgifter avser bl.a. gallring, elektroniskt utlämnande och vilka sökbegrepp som får användas. En central kategori bestämmelser är de som avser vilka uppgifter som får behandlas i databaserna, se avsnitt 9.3.2 ovan.
Som framgår av avsnitt 9.3.1 gjorde regeringen i förarbetena till dagens reglering en åtskillnad mellan uppgifter som hanterades i ärendehanteringssystemen och uppgifter som skulle få finnas i de informationsbaserade delarna av databaserna. Bestämmelserna om vilka uppgifter som skulle få behandlas i databaserna kom till i syfte att begränsa vilka uppgifter som fler än ett fåtal personer skulle få ha tillgång till, dvs. vilka uppgifter som skulle vara gemensamt tillgängliga med hjälp av automatiserad behandling. Någon begränsning av
vilka uppgifter som får behandlas utanför databaserna finns inte i dagens reglering.
Den informationstekniska utvecklingen har dock lett till förändringar av myndigheternas arbetsmetoder, vilket gör att det ställs ökade krav på ett teknikneutralt regelverk. Genom den nästan fullständiga digitaliseringen av myndigheternas verksamhet har bestämmelserna om vilka uppgifter databaserna får innehålla också kommit att utgöra en begränsning av vilka uppgifter myndigheterna över huvud taget kan behandla för att utföra sina författningsreglerade uppgifter, om det inte är möjligt att behandla uppgifter helt avskilt från övriga system, vilket vi utvecklar nedan.
Frågan om det finns skäl för att införa särskilda regler för sådan behandling som innebär att fler än ett fåtal personer har tillgång till uppgifterna bör enligt vår mening hållas skild från frågan om det finns skäl för att särskilt reglera vilka personuppgifter en myndighet får behandla för att utföra sina uppgifter. Databasbegreppet har dessutom en stark koppling till finalitetsprincipen, som utvecklats i avsnitt 8.4.6. Finalitetsprincipen framgår av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter efter insamlingstillfället inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.
Syftet med dagens databasreglering var inte att begränsa annat än vilka uppgifter som skulle få göras gemensamt tillgängliga inom myndigheterna. Trots det anser vi att det, mot bakgrund av den funktion regleringen har kommit att få, även finns skäl att i sammanhanget beröra frågan om det bör införas begränsningar av vilka uppgifter myndigheterna får behandla för att utföra sina författningsreglerade uppgifter.
Den rättsliga utvecklingen
Sedan datorer och annan digital teknik började användas inom den offentliga sektorn har det i lagstiftningsarbete genomgående lagts stor vikt vid att i integritetsskyddande syfte begränsa myndigheters möjlighet att använda den nya tekniken (se avsnitten 9.2.1–9.2.3). De risker som har ansetts vara förknippade med automatiserad informationshantering inom offentlig verksamhet motiverade datalagens krav på tillstånd och licens, eller beslut av riksdag eller regering, för att en myn-
dighet över huvud taget skulle få behandla personuppgifter automatiserat. De risker som har förknippats med digitaliseringen av myndigheternas verksamhet har även motiverat detaljerad sektorsspecifik reglering bl.a. av vilka uppgifter som skulle få behandlas automatiserat i personregister. Särskild reglering av vilka uppgifter som flera personer inom en myndighet skulle få ha tillgång till har också ansetts motiverad av integritetsskäl.
I efterhand har dock regleringen av myndigheters användning av digital teknik ofta framstått som omotiverat restriktiv, trots att den tekniska utvecklingen hela tiden medfört utökade möjligheter i detta avseende. Vid skatteregisterlagens tillkomst hade exempelvis flera remissinstanser varit mycket kritiska. Kritiken rörde bl.a. att man genom den föreslagna regleringen inte hade avgränsat registerföringen tillräckligt i författning, att integritetsriskerna som var förknippade med ADB-registrering inte skulle komma att kunna bemästras genom lagen, att effektivitetskravet drivits för långt på bekostnad av integritetsintresset och att sekretesskyddade uppgifter från bl.a. självdeklarationer endast i yttersta undantagsfall borde få tas in i digitala register.62 Vid tidpunkten för den nuvarande databasregleringens tillkomst var det enligt regeringen i stället skatteregisterlagen som framstod som både svåröverskådlig och svårtillämpad och det konstaterades att den hade behövt genomgå ett stort antal ändringar (se avsnitt 9.3.1). Samma reglering som i slutet av 1970-talet av många uppfattades som obalanserad till nackdel för integritetsskyddet, uppfattades alltså i slutet av 1990-talet som obalanserad till nackdel för en effektiv informationshantering inom beskattningsverksamheten. I dag är det i stället databasregleringen som kan framstå som onödigt hindrande och komplex (se avsnitt 9.3.3).
Vid tidpunkten för databasregleringens tillkomst utgjordes den allmänna dataskyddsregleringen av 1995 års dataskyddsdirektiv och personuppgiftslagen, genom vilken direktivet genomfördes. Den allmänna dataskyddsregleringen vid den tidpunkten innebar större möjligheter för myndigheter att behandla personuppgifter än i dag. Då kunde även myndigheter behandla personuppgifter på den rättsliga grunden berättigat intresse (vilken i dag motsvaras av artikel 6.1 f i dataskyddsförordningen), och det fanns inget krav på att en uppgift av allmänt intresse skulle vara fastställd i nationell rätt (artikel 6.3 i dataskyddsförordningen), se avsnitt 5.2.2.
62Prop. 1979/80:146, med förslag till skatteregisterlag, s. 19.
I dataskyddsförordningen saknas i och för sig bestämmelser som särskilt reglerar vilket skydd enskilda ska ges när uppgifter om dem behandlas i uppgiftssamlingar inom en myndighet. I avsnitt 9.2.3 har vi dock redogjort för kopplingen mellan den rättsliga grunden, ändamålen för behandlingen och principen om uppgiftsminimering enligt dataskyddsförordningen. Skyddet för enskilda i förhållande till myndigheters personuppgiftsbehandling utgörs främst av bestämmelserna om rättslig grund för behandlingen, kraven på särskilda, uttryckligt angivna och berättigade ändamål för behandling och principerna om uppgiftsminimering och lagringsminimering, som är kopplade till ändamålen. Sammanfattningsvis har myndigheterna enligt den allmänna dataskyddsregleringen i dag en skyldighet att endast behandla personuppgifter som är nödvändiga för att utföra sina författningsreglerade uppgifter. Det innebär att det inte är tillåtet för en myndighet att samla in personuppgifter för obestämda framtida behov, för att de kan komma att behövas eller för att skaffa information om förhållanden som saknar betydelse för eller är överflödiga i förhållande till myndighetens behov av att utföra sina författningsreglerade uppgifter. I sammanhanget bör nämnas att också förvaltningslagen (2017:900), FL, ställer krav på myndigheterna i detta avseende. Enligt 5 § FL får en myndighet endast vidta åtgärder som har stöd i rättsordningen, och i sin verksamhet ska myndigheten vara saklig och opartisk. En myndighet får enligt samma bestämmelse ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får vidare aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (jfr bl.a. avsnitten 5.2.6, 5.2.7 och 8.4.2).
Skyddet för enskilda enligt dataskyddsförordningen består även i de krav på säkerhetsåtgärder och tekniska åtgärder som ska säkerställa att principen om uppgiftminimering efterlevs och inte minst de krav på vissa förfaranden som innebär att myndigheterna också måste kunna visa att så sker. Myndigheterna måste även göra konsekvensbedömningar i vissa fall, där behovet av och proportionaliteten hos behandlingen i förhållande till syftena med den ska prövas, och samråda med IMY om behandlingen bedöms kunna vara riskfylld. I sista hand finns även möjligheten för IMY att förbjuda viss särskilt riskfylld behandling (jfr avsnitt 11.7.3).
Dataskyddsförordningens bestämmelser, samt den komplettering och det förtydligande av dessa som framgår av dataskyddslagen, innebär att det i dag finns ett starkare skydd än vid databasregleringens tillkomst för enskildas integritet i fråga om hur och vilka uppgifter en myndighet lagligen kan behandla i sin verksamhet. Den befintliga regleringen av databaser är därmed utformad utifrån andra rättsliga förutsättningar för myndigheters personuppgiftsbehandling än de som gäller i dag.
Mot bakgrund av de stora förändringar som skett inom den allmänna dataskyddsregleringen finns det enligt vår mening grund för bedömningen att databasregleringen inte är anpassad efter den rättsliga utvecklingen, och att det finns ett behov av att anpassa den till dagens förhållanden. Det nyss sagda gäller särskilt med beaktande av att databasregleringen genom digitalisering har fått en annan funktion än den avsedda, dvs. att den ofta begränsar vilken information Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten över huvud taget kan behandla.
Den tekniska utvecklingen
Under datalagens giltighetstid utgjorde digital hantering av information ett undantag från övrig verksamhet inom myndigheterna och som krävde tillstånd och licens eller beslut av regering eller riksdag för att få utföras. Även vid tidpunkten för databasregleringens tillkomst var hanteringen av information inom myndigheterna till största delen manuell. Det innebär att när dagens juridiska struktur, dvs. med särreglerade databaser och reglering av vilka uppgifter databaserna får innehålla, infördes så var den en slags särreglering för användandet av en teknik som utgjorde ett undantag från standardförfarandet. I förarbetena framgår att regeringen utgick från att det var möjligt att göra en åtskillnad mellan ärendehanteringssystemen och en informationsbaserad databas, se avsnitten 9.3.1 och 9.3.3.
I dag är förhållandena i stället de motsatta. I princip all informationshantering är nu digitaliserad, såväl inom myndigheter som i samhället i stort. Databasregleringen som ursprungligen avsett en avgränsad form av informationshantering är alltså i dag tillämplig vid nästan all informationshantering som förekommer inom myndigheterna. Det innebär att databasregleringen i dag har vissa likheter
med den ordning som gällde under datalagen. Om en uppgift inte ingår i någon av de kategorier som enligt lag eller förordning får förekomma i databasen får den inte förekomma där, och om det inte finns möjlighet att behandla uppgiften avskilt så får uppgiften inte behandlas alls, oavsett behovet i övrigt. På grund av detta har exempelvis regleringen av beskattningsdatabasen behövt ändras vid ett flertal tillfället för att möjliggöra behandling som krävts av ny materiell reglering, se avsnitt 8.4.6.
Även om regeringens avsikt med databasregleringen var att införa databaser som ett rent juridiskt begrepp som skulle vara teknikoberoende och flexibelt, avgränsas det rent tekniskt såväl i förarbetena och som i bestämmelsernas utformning. Som vi redan har nämnt förutsätter dagens reglering bl.a. en uppdelning mellan en informationsbaserad del av myndigheternas it-system, som i flera fall förefaller ha överförts i det närmaste oförändrat i sak från de gamla registerlagarna, och ärendehanteringssystem (se avsnitt 9.3.1). Dagens reglering förutsätter även en särbehandling av elektroniska handlingar. Redan vid databasregleringens tillkomst ifrågasattes från myndighetshåll om inte databasbegreppet utgjorde en inadekvat beteckning för myndigheternas informationshanteringssystem. Även regeringen bedömde att det inte var möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skulle anses ske i en databas och därmed omfattas av det särskilda regelverket för denna. Enligt regeringen berodde detta inte minst på att det inte var möjligt att förutse den tekniska utvecklingen inom dataområdet och de möjligheter som kunde öppna sig i fråga om informationsöverföring.63 Mot bakgrund av den tekniska utvecklingen de senaste 20 åren förefaller den gränsdragningen i dag vara ännu svårare. I dag är it-systemen inom myndigheterna inte längre avgränsade på så sätt att det går att göra en tydlig åtskillnad mellan ärendehanteringssystem och andra former av digital hantering av uppgifter (se avsnitt 9.3.3). Det som rent faktiskt motsvarar den juridiska definitionen av myndigheternas databaser består i dag av flera olika uppgiftssamlingar och informationshanteringssystem som kommunicerar i komplexa samband. Tillämpningen av databasregleringen förutsätter dock prövningar av om uppgifter ska anses vara gemensamt tillgängliga eller inte, vilket kräver överväganden som baseras på hur de tekniska systemen är uppbyggda och hur de kommunicerar med varandra. Begreppet databas framstår därför i dag som missvisande
63Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 90–91.
om syftet är att beteckna myndigheternas tekniska infrastruktur för informationsbehandling.
Databasregleringen är sammanfattningsvis utformad efter väsentligt andra tekniska förutsättningar för informationshantering än de som råder i dag, vilket bl.a. fått till följd att regleringen både är svårtillämpad och har fått en annan tillämpning än vad som var avsett. I avsnittet ovan har vi gjort bedömningen att de stora förändringar som skett inom den allmänna dataskyddsregleringen medför att databasregleringen inte kan anses vara anpassad efter den rättsliga utvecklingen. Utifrån de stora skillnaderna mellan den allmänna dataskyddsregleringen vid tidpunkten för bestämmelsernas införande och i dag har vi bedömt att det finns ett behov av att anpassa databasregleringen till dagens förhållanden. Också de förändringar som skett på det tekniska området innebär enligt vår mening att databasregleringen inte kan anses vara anpassad efter aktuella förutsättningar för personuppgiftsbehandling. Det finns därmed ett behov av att anpassa regleringen till dagens förhållanden även utifrån tekniska aspekter.
9.4.2. Att fler än ett fåtal personer har tillgång till vissa uppgifter kräver inte särskild reglering
Vår bedömning: Det saknas behov av att för Skatteverkets be-
skattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten införa särskilda regler för sådan behandling av personuppgifter som innebär att fler än ett fåtal personer har tillgång till uppgifterna.
Skälen för vår bedömning
Dataskyddsförordningens systematik för riskhantering
Som påpekats tidigare finns det inte några bestämmelser i EU:s dataskyddsförordning som särskilt avser sådana uppgiftssamlingar inom en myndighet som fler än ett fåtal personer inom myndigheten har tillgång till. I stället innehåller dataskyddsförordningen flera olika bestämmelser med innebörden att den personuppgiftsansvariga måste anpassa de åtgärder som vidtas, för att säkerställa att förordningens bestämmelser följs, efter de risker som är förknippade med behand-
lingen, se avsnitt 9.2.3. Det innebär att myndigheterna är skyldiga att alltid anpassa dataskyddet efter de särskilda integritetsrisker som behandlingen innebär. För uppgifter som görs gemensamt tillgängliga, och där det alltså finns en högre risk för de registrerade än om bara ett fåtal medarbetare har tillgång till uppgifterna, måste myndigheterna vidta särskilda tekniska och organisatoriska åtgärder som är adekvata i förhållande till bl.a. vilka och hur många uppgifter som behandlas, samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna. Myndigheterna måste också kunna visa att inte fler uppgifter än som behövs för ändamålet behandlas, samt vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig bl.a. utifrån vilka och hur många uppgifter som behandlas samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna. Myndigheterna måste även se till att medarbetare inte behandlar personuppgifter på ett sätt som är omotiverat utifrån dennas arbetsuppgifter. De organisatoriska åtgärder som en myndighet vidtar ska dessutom redan från början vara utformade så att endast den minsta mängd personuppgifter som krävs för de särskilda åtgärderna behandlas, särskilt när personal med olika arbetsuppgifter och olika behov får åtkomst till uppgifter. Myndigheterna bör dessutom begränsa vilka som kan få tillgång till personuppgifter (och vilken typ av tillgång) grundat på en bedömning av tillgångens nödvändighet.64
Dataskyddsförordningen innehåller alltså flera bestämmelser som får betydelse för integritetsskyddet i myndigheters uppgiftssamlingar. Betydelsen för integritetsskyddet av särskilda regler för myndigheternas uppgiftssamlingar får mot den bakgrunden anses ha minskat väsentligt sedan 2018. Dataskyddsförordningens bestämmelser är dessutom mer utförliga och ställer i vissa avseende högre krav på myndigheterna än dagens databasreglering gör. Redan av den anledningen finns det enligt vår mening skäl för att inte införa en särreglering avseende uppgifter som är gemensamt tillgängliga inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
64 Jfr redogörelsen i avsnitt 11.5.3 för Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer
4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard, Version 2.0.
Samma kompletterande regler bör gälla för all behandling inom tillämpningsområdet
En central aspekt av dagens databasreglering är att den innebär en skillnad i skyddsnivå mellan å ena sidan uppgifter som behandlas inom en verksamhet på så sätt att de är tillgängliga för fler än ett fåtal personer, och å andra sidan en sådan personuppgiftsbehandling som sker avgränsat, där endast ett mindre antal personer har tillgång till uppgifterna. Även om en mer omfattande tillgång till personuppgifter inom en myndighet medför att riskerna för de registrerades personliga integritet ökar går det enligt vår mening att ifrågasätta om en sådan skillnad i integritetsskydd i dag är motiverad.
Av avsnitt 9.2.3 framgår att den uppgiftssamling för dataanalyser och urval hos Utbetalningsmyndigheten som regleras i lagen om personuppgiftsbehandling vid Utbetalningsmyndigheten inte utgör en databasreglering liknande den som gäller för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Det finns exempelvis ingen bestämmelse som gäller för uppgiftssamlingen vid Utbetalningsmyndigheten som föranleder ett behov hos myndigheten att bedöma om en uppgift är gemensamt tillgänglig eller inte, och inga särskilda regler som avser när handlingar i uppgiftssamlingen ska gallras eller särskilda bestämmelser om elektroniskt utlämnande. I stället utgörs regleringen av uppgiftssamlingen vid Utbetalningsmyndigheten huvudsakligen av bestämmelser som anger vilka uppgifter som får behandlas i uppgiftssamlingen, att de enbart får behandlas där, samt krav på viss dokumentation och uppföljning. Regleringen av uppgiftssamlingen för Utbetalningsmyndighetens dataanalyser och urval förefaller alltså i huvudsak reglera vilka särskilda dataskyddsregler som ska gälla vid myndighetens verksamhet med dataanalyser och urval.65 Den avgränsar också myndighetens uppdrag att genomföra dataanalyser och urval till de uppgifter som anges. Att regleringen avser en uppgiftssamling förefaller därmed inte ha motiverats av att uppgifter som flera personer inom myndigheten har tillgång till behöver omgärdas av särskilda regler.
De befintliga databaserna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten omfattar i och för sig merparten av all den personuppgiftsbehandling som sker vid myndigheterna inom det materiella tillämpningsområ-
65 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 165–166.
det. Hos myndigheterna sker dock fortfarande även viss annan behandling av personuppgifter, t.ex. behandling som utförs av en enskild medarbetare eller av en begränsad grupp medarbetare (se avsnitt 9.3.3). Så var fallet redan vid den befintliga regleringens tillkomst och det kan i dag liksom tidigare bl.a. handla om dataanalyser som sker avgränsat från övrig verksamhet utan möjlighet till åtkomst för andra medarbetare.66
För behandling utanför databaserna gäller inte de särskilda skyddsåtgärder som föreskrivs för uppgifter som behandlas i databaserna, frånsett vissa bestämmelser om gallring, trots att även den avgränsade behandlingen kan omfatta stora mängder personuppgifter. I registerförfattningarna finns inte heller några begränsningar av vilka uppgifter som får behandlas utanför databaserna för de ändamål som anges i respektive lag, förutom det som i registerlagarna anges om känsliga personuppgifter.
Även om databasbegreppet inte utgår från någon särskild teknisk avgränsning eller utformning så rör det sig ändå om en i grunden teknisk fråga, dvs. om åtkomst som på ett rent tekniskt plan är begränsad eller gemensam. Som utgångspunkt bör dock skyddet för fysiska personer vara teknikneutralt och inte beroende av den teknik som används hos respektive myndighet, vilket framgår av skäl 15 till dataskyddsförordningen. Det går enligt vår mening att ifrågasätta om lagstiftning som enbart låter vissa uppgifter omfattas av ett högre integritetsskydd, utifrån en bedömning som utgår från hur den tekniska åtkomsten till uppgifterna är utformad, fullt ut är förenlig med kravet på ett teknikneutralt integritetsskydd.
Dataskyddsförordningens krav på säkerhet utgår dessutom från behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Vid behandling av känsliga personuppgifter gäller krav på skyddsåtgärder oavsett om myndigheter behandlar uppgifterna i gemensamma verksamhetssystem eller i ett begränsat utrymme, se avsnitt 10.7. Som vi redan konstaterat är risken för bl.a. obehörig spridning av personuppgifterna självfallet större i ett gemensamt system där personuppgifterna görs tillgängliga för fler personer än när uppgifterna finns i ett system med begränsad åtkomst. Det är dock inte bara tillgängligheten som avgör vilka åtgärder som måste vidtas för att behandlingen ska anses vara förenlig med dataskyddsförordningens bestämmelser. Också mäng-
66 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 67–68.
den uppgifter och framför allt uppgifternas karaktär är viktiga faktorer vid bedömningen av om behandlingen bör omgärdas av särskilda skyddsåtgärder. Skyddsnivån för sådana uppgifter som behandlas vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten bör därför vara lika hög oavsett tillgänglighet i de tekniska systemen.
Sammanfattningsvis finns det enligt vår mening inte längre några skäl för att skilja på behandling av personuppgifter i myndigheternas databaser och behandling utanför databaserna. Samma skyddsåtgärder bör i stället gälla för all behandling av personuppgifter som sker inom det materiella tillämpningsområdet för respektive ny föreslagen datalag. Någon särreglering för databaser eller andra uppgiftssamlingar enbart utifrån om de används gemensamt i verksamheterna bör därför inte finnas i den nya dataskyddsregleringen.
9.4.3. Vilka uppgifter som får behandlas bör som utgångspunkt inte regleras särskilt
Vår bedömning: Det saknas skäl att i de nya lagarna införa be-
stämmelser om vilka uppgifter myndigheterna får behandla för att utföra sina uppgifter inom respektive lags materiella tillämpningsområde.
Skälen för vår bedömning
Reglering av vilka uppgifter som får behandlas och den rättsliga grunden för behandlingen
De rättsliga grunder för personuppgiftsbehandling som en myndighet kan stödja behandlingen på måste enligt EU:s dataskyddsförordning vara fastställda i unionsrätten eller i nationell rätt (artikel 6.3). I förarbetena till dataskyddslagen klargjorde regeringen att det inte krävs en reglering av den personuppgiftsbehandling som ska ske med stöd av de rättsliga grunder som kan aktualiseras för myndigheter. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att ut-
öva myndighet.67 Det finns alltså inte något generellt krav inom den allmänna dataskyddsregleringen på att i författning ange vilka uppgifter en myndighet får behandla. Redan vid tidpunkten för de befintliga registerlagarnas tillkomst uttalade regeringen dessutom att som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra vilka uppgifter som behandlades. Vidare konstaterade regeringen i det sammanhanget att en lag om behandling av personuppgifter inte styrde myndighetens verksamhet, utan i stället bestämdes verksamhetens inriktning av den materiella och processuella lagstiftningen på området jämte de instruktioner som gällde.68
Dataskyddsförordningen ställer dock upp vissa krav på den rättsliga grunden som kan medföra att en reglering av vilka uppgifter som får behandlas ändå framstår som nödvändig. Av artikel 6.3 framgår nämligen att unionsrätten och den nationella rätten måste vara proportionell mot det legitima mål som eftersträvas och enligt skäl 41 bör den rättsliga grunden vara tydlig och precis och dess tillämpning vara förutsägbar för personer som omfattas av den. I dataskyddslagens förarbeten uttalade regeringen att skäl 41 är ett uttryck för legalitetsprincipen och därför inte utgör någon nyhet inom den svenska offentliga förvaltningen. Regeringen uttalade även att vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån verksamhetens karaktär.69
Ett exempel på när reglering av vilka uppgifter som får behandlas har ansetts nödvändig är bestämmelserna om uppgiftssamlingen för Utbetalningsmyndighetens dataanalyser och urval (se avsnitt 9.2.3).
Enligt 1 § förordningen (2023:461) med instruktion för Utbetalningsmyndigheten ska myndigheten förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Enligt 2 § samma förordning ska myndigheten
1. göra dataanalyser och urval,
2. genomföra inledande och fördjupade granskningar enligt lagen
(2023:455) om Utbetalningsmyndighetens granskning av utbetalningar, och
67Prop. 2017/18:105, Ny dataskyddslag, s. 49. 68Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 69Prop. 2017/18:105, Ny dataskyddslag, s. 51.
3. administrera ett system med transaktionskonto enligt lagen
(2023:454) om transaktionskonto vid Utbetalningsmyndigheten.
Utbetalningsmyndighetens uppgift att utföra dataanalyser och urval regleras inte i någon särskild författning, utan endast i en bestämmelse i myndighetens instruktion.70 Även i övrigt är regleringen av Utbetalningsmyndighetens uppgifter förhållandevis knapphändig och motsvaras av instruktionen och de lagar som anges i 2 § 2–3 ovan med tillhörande förordningar. Mot den bakgrunden kan en reglering av vilka uppgifter som får behandlas vid myndighetens dataanalyser och urval uppfattas som nödvändig för att uppfylla kravet på tydlighet, förutsebarhet och proportionalitet.71
Till skillnad från regleringen av Utbetalningsmyndighetens verksamhet med dataanalyser och urval är den nationella och unionsrättsliga lagstiftning som styr Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten mycket omfattande, se kapitel 4 och avsnitten 14.2.1–14.2.3. Den är också i många fall mycket detaljerad avseende vilka förhållanden och uppgifter som har betydelse för en prövning eller som krävs för tillämpningen av en viss rättsregel. Något annat än enstaka exempel är inte möjligt att ge här, men det sagda illustreras bl.a. av följande bestämmelser.
Av 3 kap. 7 § inkomstskattelagen (1999:1229) framgår att i syfte att avgöra om en person som tidigare har varit bosatt i Sverige har väsentlig anknytning hit ska följande beaktas: – om han är svensk medborgare, – hur länge han var bosatt här, – om han inte varaktigt är bosatt på en viss utländsk ort, – om han vistas utomlands för studier eller av hälsoskäl, – om han har en bostad här som är inrättad för åretruntbruk, – om han har sin familj här, – om han bedriver näringsverksamhet här,
70 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 114–115. 71 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 165–166.
– om han är ekonomiskt engagerad här genom att inneha tillgångar
som, direkt eller indirekt, ger honom ett väsentligt inflytande i näringsverksamhet här, – om han har en fastighet här, och – liknande förhållanden.
Vår bedömning är att det inte kan anses vara otydligt eller svårt att förutse vilka slags uppgifter Skatteverket kan komma att behöva behandla med stöd av den rättsliga grund som 3 kap. 7 § inkomstskattelagen utgör.
Av 15 § första stycket folkbokföringslagen framgår att en vistelse för service och omvårdnad eller för stöd, hjälp och annan lättåtkomlig service i en sådan bostad för äldre människor som avses i 5 kap. 5 § andra och tredje styckena socialtjänstlagen (2001:453) i en annan kommun än den där personen var eller borde ha varit folkbokförd när han eller hon flyttade till den aktuella bostaden, inte ska anses leda till ändrad bosättning om vistelsen har beslutats av den kommun där han eller hon var eller borde ha varit folkbokförd. Om personen inte längre disponerar en bostad på den fastighet där han eller hon förut var eller borde ha varit folkbokförd, anses personen bosatt endast i kommunen eller, om ändrade förhållanden föranleder det, på en annan fastighet.
Även om bestämmelsen i 15 § första stycket folkbokföringslagen inte uttryckligen anger de olika uppgifter som ska beaktas vid tilllämpningen, framgår tydligt vilka förhållanden som ges betydelse för var personen i fråga ska vara folkbokförd. Dessa förhållanden, bl.a. om den registrerade vid prövningstidpunkten disponerar en bostad på den fastighet där han eller hon förut var folkbokförd, är i sin tur också styrande för vilka uppgifter Skatteverket måste behandla vid tillämpningen av bestämmelsen. Det kan därför inte anses vara otydligt eller svårt att förutse vilka slags uppgifter Skatteverket kan komma att behöva behandla med stöd av den rättsliga grund som 15 § första stycket folkbokföringslagen utgör.
Av artikel 47.2 i tullkodex72 framgår att inom ramen för riskhantering och tullkontroller och om det är nödvändigt för att minimera risker och bekämpa bedrägerier, får tullmyndigheterna och andra
72 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen.
behöriga myndigheter med varandra och med kommissionen utbyta uppgifter som mottas om införsel, utförsel, transitering, befordran, lagring och slutanvändning, inbegripet posttrafik, som befordras mellan unionens tullområde och länder eller territorier utanför unionens tullområde, om förekomst och befordran inom unionens tullområde av icke-unionsvaror och varor som omfattas av förfarandet för slutanvändning samt om resultaten av eventuella kontroller. Tullmyndigheterna och kommissionen får också utbyta sådana uppgifter med varandra i syfte att säkerställa en enhetlig tillämpning av tullagstiftningen.
Vilka uppgifter som får behandlas av Tullverket med stöd av den rättsliga grund som artikel 47.2 i tullkodex utgör är inte lika tydligt som avseende de två andra exemplen ovan, enbart utifrån bestämmelsens utformning. Läst tillsammans med andra bestämmelser, exempelvis de som avser vilka uppgifter som ska lämnas vid införsel och utförsel av varor, framstår det dock inte som oklart eller svårt att förutse vilka uppgifter som kan komma att behöva behandlas av Tullverket.
Av 7 § skuldsaneringslagen (2016:675) framgår att skuldsanering får beviljas om gäldenären är insolvent och så skuldsatt att han eller hon med hänsyn till samtliga omständigheter inte kan antas ha förmåga att betala sina skulder inom överskådlig tid.
Vilka uppgifter Kronofogdemyndigheten kan komma att behandla med stöd av den rättsliga grund som 7 § skuldsaneringslagen utgör är svårt att förutse, eftersom det avser samtliga omständigheter som kan vara relevanta i det enskilda fallet. I förarbetena till bestämmelsen anges att i beräkningen måste samtliga kända omständigheter beaktas. Exempel som tas upp är bl.a. gäldenärens ålder, hälsa, inkomst, arbetsförmåga, utbildning och möjlighet att vid arbetslöshet erhålla arbete och förväntade inkomster. Andra förhållanden som kan beaktas är t.ex. gäldenärens familjeförhållanden och förhållandena på arbetsmarknaden både på bostadsorten och i allmänhet.73 Kravet på att omständigheterna ska ha betydelse för gäldenärens förmåga att betala medför enligt vår mening att det ändå är tydligt vilken sort uppgifter som avses, dvs. sådana som kan påverka en skuldsatt människas möjligheter att betala sina skulder. Att någon annan begränsning inte görs av vilka uppgifter som får tillmätas betydelse vid Krono-
73 Prop. 2015/16:125 , Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på
nytt, s. 207.
fogdemyndighetens prövning innebär enligt vår mening inte att den rättsliga grunden för behandlingen framstår som oprecis, oförutsebar eller oproportionell mot det legitima mål som eftersträvas.
Den rättsliga grunden för behandling av personuppgifter vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten kan sammanfattningsvis inte sägas vara vagt formulerad eller knapphändig. Något behov av att i författning ange vilka personuppgifter myndigheterna får behandla för att utföra sina författningsreglerade uppgifter kan därför inte anses föreligga av det skälet.
Det skulle dock kunna argumenteras att en begränsning i författning av vilka uppgifter en myndighet får behandla för att utföra sina uppgifter är påkallad för att den rättsliga grunden ska vara proportionerlig, särskilt om det rör omfattande behandling och sådan behandling som enskilda inte har rätt att motsätta sig. En sådan reglering borde även kunna motiveras av karaktären på uppgifterna och vad de ska användas till, exempelvis personuppgifter som är mycket integritetskänsliga eller skyddsvärda.
Som vi påpekat ovan är dock regleringen av myndigheternas respektive verksamheter mycket omfattande. I regel anges, direkt eller indirekt, vilka förhållanden och uppgifter som ska ha betydelse för tillämpningen av respektive bestämmelse. I de fall där det redan av den materiella verksamhetsregleringen framgår vilka uppgifter den ansvariga myndigheten får eller måste behandla för att utföra sin verksamhet, eller vilka förhållanden som påverkar utfallet av en viss prövning, bör inte kravet på proportionalitet anses kräva att dessa uppgiftskategorier också anges i den kompletterande dataskyddsregleringen. Principen om uppgiftsminimering kräver dessutom redan att de personuppgiftsansvariga myndigheterna begränsar den mängd uppgifter som behandlas för ett visst ändamål till vad som är nödvändigt för att uppnå ändamålen med behandlingen. Det avser både om vilka personer uppgifter behandlas (de som träffas av den materiella verksamhetsregleringen) som vilka uppgifter om personerna som behandlas (de uppgifter som enligt den materiella verksamhetsregleringen tillmäts betydelse). Dessutom ska en längsta tid för behandlingen bestämmas utifrån ändamålet med behandlingen (principen om lagringsminimering). Redan av bestämmelserna i dataskyddsförordningen följer att Skatteverket, Tullverket och Kronofogdemyndigheten inte får samla in och senare behandla fler personuppgifter än vad som är
nödvändigt för att utföra sin verksamhet enligt nationell rätt eller unionsrätten.
Databasregleringen tillkom dessutom inte i syfte att sätta upp begränsningar för vilka uppgifter myndigheterna över huvud taget skulle få behandla, utan i syfte att reglera vilka uppgifter som skulle få vara gemensamma i en verksamhet. Vidare ger regleringen stöd för att använda de gemensamma uppgifterna för samtliga reglerade ändamål. Dagens uppräkning av vilka uppgifter som får finnas i databaserna (se avsnitt 9.3.2) kan alltså främst ses som en del av den rättsliga grunden avseende behandling som innebär att uppgifterna används gemensamt, och att uppgifterna därmed även kan användas för andra ändamål än insamlingsändamålet, se avsnitt 8.4.6 om finalitetsprincipen och databasregleringen. Frågan om vidarebehandling är dock en fråga som är skild från frågan om vilka uppgiftskategorier som får behandlas i syfte att utföra de uppgifter som myndigheterna enligt lag och förordning, eller unionsrätten, är skyldiga att utföra. Att bestämmelserna ändå har fått en begränsande funktion har att göra med att de fått ett vidare tillämpningsområde genom digitaliseringen av myndigheternas verksamhet.
Det skulle kunna argumenteras att en reglering som motsvarar databasregleringen behövs även i en helt digitaliserad verksamhet, eftersom behovet av att särreglera gemensamt tillgängliga uppgifter också kan uppkomma utifrån ett proportionalitetskrav. Frågan om vilka uppgifter som får användas gemensamt i en verksamhet, dvs. även för andra ändamål än insamlingsändamålet, avgörs genom den prövning som ska göras enligt finalitetsprincipen (finalitetsprövning, också kallat förenlighetsprövning). I den mån en kategori uppgifter inte bör användas gemensamt, eller annorlunda uttryckt vidarebehandlas, inom en myndighet förefaller dock en lämpligare lösning vara att särskilda bestämmelser införs som tar sikte på att finalitetsprincipen inte ska vara tillämplig för den uppgiftskategorin, eller att uppgifterna enbart får användas för vissa ändamål, se avsnitt 8.4.6 om finalitetsprincipen och databasregleringen. I den mån en sådan begränsning införs bör det också innebära att den rättsliga grunden för behandling av den specifika kategorin uppgifter har justerats för att göra den rättsliga grunden proportionell i förhållandet till det eftersträvade målet. I avsnitten 8.4.7 och 8.4.8 gör vi dock bedömningen att någon sådan reglering inte framstår som motiverad i dag.
Sammanfattningsvis är vår bedömning att en reglering av vilka uppgifter Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska få behandla inte är nödvändig för att den rättsliga grunden ska anses vara proportionell mot det legitima mål som eftersträvas. Det kan dock inte uteslutas att ett sådant behov uppkommer i framtiden avseende vissa särskilt skyddsvärda uppgiftskategorier. Först i en sådan situation bör det enligt vår bedömning uppkomma skäl för en reglering som går utöver vad som redan följer av principen om uppgiftsminimering och finalitetsprincipen, som utgör grundläggande principer för behandling enligt dataskyddsförordningen.
Är reglering av vilka uppgifter som får behandlas nödvändig med hänsyn till grundlagsskyddet mot intrång i den personliga integriteten?
Skyddet mot betydande intrång i den personliga integriteten regleras i 2 kap. 6 § andra stycket RF. I de fall myndigheters personuppgiftsbehandling utgör en begränsning av detta integritetsskydd har regeringen tidigare bedömt att ramarna för myndighetens personuppgiftsbehandling måste slås fast i lag, liksom att de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Mer detaljerade bestämmelser som kompletterar lagregleringen kan finnas i förordning och får inte utgöra ett betydande intrång i den personliga integriteten.74
I avsnitt 6.2 har vi bedömt att en behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten i vissa fall är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive samhällsviktiga verksamheter.
Vi har i avsnitt 8.4.3 om ändamålsbestämmelser bedömt att grundlagsskyddets krav på lagform tillgodoses genom den där föreslagna ändamålsbestämmelsen. I avsnitt 14.8 har vi även föreslagit en särskild lagreglerad ändamålsbestämmelse för dataanalyser och urval. En ändamålsbestämmelse i lag innebär att ramen för behandling av personuppgifter i ett informationssystem med ett stort antal, och i vissa fall integritetskänsliga, uppgifter fastställs av riksdagen. Ändamålsbestämmelserna är därmed de bestämmelser som ger lagstöd för
74 Se t.ex. prop. 2014/15:148, Domstolsdatalag, s. 23.
sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integriteten. Mot den bakgrunden har vi bedömt att det är nödvändigt att införa nya bestämmelser som tillåter myndigheterna att behandla personuppgifter för vissa ändamål.
Enligt vår bedömning kan dock inte grundlagsskyddet också anses kräva en reglering av vilka kategorier av personuppgifter som får behandlas inom myndigheterna.
9.4.4. Folkbokföringsdatabasen och definitionen av folkbokföring
Vår bedömning: Legaldefinitionen av folkbokföring bör inte hän-
visa till dataskyddsregleringen.
Skälen för vår bedömning
Från kyrkan till staten
Under flera hundra år var det kyrkan som, genom prästernas ansvar att föra husförhörslängder, registrerade uppgifter om befolkningen. Uppgifterna bevarades bl.a. i olika kyrkoböcker.75 Det rörde sig om anteckningar om dop och andra religiösa händelser, men även födelsetid och bosättning.76 Uppgifterna i kyrkobokföringen användes tidigt även som underlag för s.k. mantalsskrivning vars huvuduppgift var att ligga till grund för beskattningen.77
Genom 1946 års folkbokföringsreform fastslogs att folkbokföringens huvudsakliga syfte var att hålla register över medborgarna för samhällets behov.78 1987 fattade riksdagen beslut om en ny organisation för folkbokföringen med innebörden att ansvaret för den löpande folkbokföringen skulle föras över från kyrkan till de lokala skattemyndigheterna. I samband med den nya organiseringen av folkbokföringen konstaterade regeringen att den grundläggande betydelse
75 Skatteverkets webbsida, Folkbokföringens historia, tillgänglig: https://skatteverket.se/privat/folkbokforing/attvarafolkbokford/folkbokforingenshistoria.4. 18e1b10334ebe8bc80003006.html [hämtad 2023-09-14]. 76Prop. 1986/87:158, om ny organisation för folkbokföring, s. 28. 77Prop. 1986/87:158, om ny organisation för folkbokföring, s. 2–3. 78 Skatteverkets webbsida, Folkbokföringens historia, tillgänglig: https://skatteverket.se/privat/folkbokforing/attvarafolkbokford/folkbokforingenshistoria.4. 18e1b10334ebe8bc80003006.html [hämtad 2023-09-14].
som folkbokföringen hade för samhället förutsatte en mer rationell hantering av folkbokföringen än tidigare. Det lämpligaste var därför att skatteförvaltningen skulle ha ansvaret för den löpande folkbokföringen.79
Folkbokföringsregister
Vid 1987 års folkbokföringsreform uttalade regeringen att de manuella register som fanns inom folkbokföringen skulle ersättas av ADBförda register, dvs. datoriserade register. Regeringen konstaterade att datalagens bestämmelser skulle komma att bli tillämpliga på registren, men ansåg att folkbokföringsverksamhetens registerfrågor skulle regleras i en särskild lag i syfte att stärka skyddet för de registrerades personliga integritet. I lagen skulle bl.a. registerinnehållet regleras.80Vilka uppgifter det rörde sig om följde enligt regeringen av särskilda bestämmelser som främst återfanns i dåvarande folkbokföringslagen (1967:198) och folkbokföringskungörelsen (1967:495). Regeringen konstaterade att även många andra författningar, bl.a. namnlagen (1982:670) och föräldrabalken, innehöll bestämmelser om uppgiftsskyldighet till folkbokföringsmyndigheten.81
I registerlagen skulle slås fast dels för vilka personer som uppgifter fick föras in, dels vilka uppgifter som registreringen fick avse. Beskrivning av innehållet skulle i allt väsentligt vara heltäckande. Endast de uppgifter som behövdes för folkbokföringsverksamheten skulle finnas i registret, vilket i princip var fråga om de uppgifter som skulle finnas antecknade enligt bestämmelser i framför allt folkbokföringsförfattningarna, men också i andra författningar, t.ex. namnlagen.82
Registerlagarna och den materiella regleringen
I förarbetena till den nuvarande folkbokföringslagen, FOL, uttalade regeringen att det sedan länge hade rått enighet om att den dåvarande folkbokföringen hade brister och behövde rationaliseras och förbättras.83 Som ett led i rationaliseringen och förbättringen skulle folkbok-
79Prop. 1986/87:158, om ny organisation för folkbokföring, s. 21, 22, 24 och 32. 80Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 15. 81Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 16–17. 82Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 23. 83Prop. 1990/91:153, om ny folkbokföringslag m.m., s. 81.
föringsregistren börja föras med hjälp av automatisk databehandling hos skattemyndigheterna. Ett lokalt register skulle finnas för varje lokalt skattekontors verksamhetsområde och ett centralt referensregister skulle finnas för hela landet.84 Ursprungligen hade 1 § FOL därmed följande lydelse.
Folkbokföring sker fortlöpande i register som skattemyndigheten för enligt särskilda bestämmelser.
Från och med 1995 hade bestämmelsen i 1 § följande lydelse.
Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (1990:1536) om folkbokföringsregister får förekomma i sådant register.85
I förarbetena till den nya lydelsen konstaterade regeringen att regleringen i lagen i huvudsak gick ut på att fastställa var en person skulle anses vara bosatt. Folkbokföring innefattade dock också beslut om att registrera olika personuppgifter, bl.a. civilstånd, vilket inte klart framgick av bestämmelsens tidigare lydelse. Frågan om vad som utgjorde ärende enligt folkbokföringslagen hade därför gett upphov till olika tolkningar. Bestämmelsen borde därför ändras så att det klargjordes att folkbokföring även innefattade registrering av personuppgifter.86
I dag hänvisas inte längre till lagen om folkbokföringsregister i 1 § första stycket FOL, utan till folkbokföringsdatabaslagen. Lydelsen i denna del kom till i samband med att databasregleringen infördes. Bestämmelsens förändrade lydelse var dock enligt regeringen enbart en följd av införandet av folkbokföringsdatabaslagen.87
Legaldefinitionen av folkbokföring bör inte längre hänvisa till dataskyddsregleringen
Databasregleringens syfte är att reglera vilka uppgifter som får behandlas gemensamt inom folkbokföringsverksamheten för vissa ändamål. Mot bakgrund av de tekniska och rättsliga förutsättningarna för personuppgiftsbehandling som råder i dag framstår en särskild regler-
84Prop. 1990/91:153, om ny folkbokföringslag m.m., s. 133. 85 SFS (1994:1975). 86Prop. 1994/95:94, Ändringar i folkbokföringslagen m.m., s. 14. 87Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 227.
ing av vilka uppgifter som får göras gemensamt tillgängliga inom en myndighet som obehövlig, se avsnitt 9.4.2. Den legala definitionen av vad folkbokföring utgör är dock knuten till databasregleringen, dvs. regleringen av vilka uppgifter som får behandlas gemensamt i verksamheten. Databasregleringen borde därför också anses utgöra en oundgänglig del av den rättsliga grunden för behandling av personuppgifter inom folkbokföringsverksamheten. Det skulle kunna anses utgöra ett skäl för att även i den nya folkbokföringsdatalagen föreslå en särskilt reglerad uppgiftssamling där enbart vissa uppgifter får behandlas. En av våra utgångspunkter för att åstadkomma en ändamålsenlig och modern lagstiftning är dock att dataskyddsreglering och materiell reglering bör hållas åtskilda, se avsnitt 5.2.6. Utifrån den synvinkeln bör dagens systematik i stället förändras.
Den absoluta merparten av alla människor som kan antas komma att vistas i Sverige under minst ett år ska folkbokföras. Den rättsliga grunden för en så omfattande och därtill obligatorisk registrering bör enligt vår mening vara särskilt tydlig och förutsebar.88 Även mot bakgrund av den stora betydelse folkbokföringsuppgifter kan ha i olika situationer bör höga krav kunna ställas på den rättsliga grunden för behandlingen. Som exempel kan registrering av civilstånd eller relation till barn ha betydelse i frågor om enskildas rätt till olika förmåner.
En registrering i folkbokföringsdatabasen får dessutom en presumtionsverkan, vilket ytterligare tydliggör betydelsen av att den rättsliga grunden för folkbokföring är tydlig och förutsebar. Högsta förvaltningsdomstolen har uttalat att stabiliteten när det gäller registrerade identitetsuppgifter är av så central betydelse att beviskravet för att ändra sådana uppgifter måste vara högt. För att få bifall till en begäran om ändring av registrerade identitetsuppgifter, måste den enskilde presentera bevisning som innebär att det klart framgår att de nya uppgifterna är riktiga. Vid bevisvärderingen ska beaktas om den enskilde på ett tillfredsställande sätt kan förklara varför de tidigare uppgifterna har lämnats samt i vilka avseenden eventuella handlingar och annan bevisning som har åberopats till stöd för dem är felaktiga.89
Ytterligare ett förhållande som talar för att de bestämmelser som reglerar vad folkbokföring innebär bör vara tydliga och förutsebara
88 Jfr skäl 41 till EU:s dataskyddsförordning. 89 Jfr Högsta förvaltningsdomstolens avgörande HFD 2019 ref. 9 i fråga om bevisbörda och beviskrav vid ändring av identitetsuppgifter i folkbokföringen.
är att den som lämnar en oriktig uppgift till grund för beslut om folkbokföring kan dömas för folkbokföringsbrott till böter eller fängelse.90
En ordning där legaldefinitionen av folkbokföring knyts till en särreglerad uppgiftssamling i dataskyddsregleringen måste dock anses vara både omotiverat komplicerad och svårtillgänglig, särskilt för enskilda registrerade. Det nyss sagda förstärks av att samtliga uppgiftskategorier som anges i databasregleringen inte motsvarar sådana uppgifter om en person som registreras i samband med folkbokföring. Syftet med databasen är att reglera vilka uppgifter som får vara gemensamt tillgängliga inom verksamheten, inte att ange vilka uppgifter om en person som registreras i samband med folkbokföring. Ett exempel på att samtliga uppgifter som får behandlas i folkbokföringsdatabasen inte utgör personuppgifter som registreras i samband med folkbokföring är de uppgifter som får behandlas i databasen men som avser uppgifter med anknytning till systemet med samordningsnummer, enligt 2 kap. 3 § första stycket 18–20 FdbL. Samordningsnummer tilldelas dock enbart personer som inte är eller har varit folkbokförda.91
Ett annat exempel på att samtliga uppgifter som i dag får behandlas i databasen inte utgör sådan personinformation som registreras vid folkbokföring är de uppgifter som enligt 2 kap. 3 § andra stycket FdbL får behandlas i databasen. I bestämmelsen anges uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen. I förarbetena konstaterade regeringen att uppgifterna som fanns registrerade enligt detta stycke oftast avsåg vilket lagrum en registrering grundade sig på, t.ex. enligt vilken bestämmelse i namnlagen som ett namnbyte hade skett. Med stöd av bestämmelsen kunde även upplysningar om att en uppgift var obestyrkt finnas antecknade. Regeringen påpekade i sammanhanget att några nya uppgifter inte skulle komma att antecknas i folkbokföringsregistren enligt bestämmelsen. Det rörde sig enligt regeringen endast om att i det då nya folkbokföringsregistret föra in de uppgifter som den 30 juni 1991 fanns antecknade i personakter. Motsvarande nya uppgifter skulle därefter enligt regeringen föras in i diarierna och bestämmelsen hade därför karaktären av en övergångsbestämmelse.92 De uppgifter som enligt 2 kap.
90 42 § FOL. 91 2 kap. 1 § lagen om samordningsnummer. 92Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 41.
3 § andra stycket FdbL får behandlas i databasen avser alltså inte någon specifik uppgift om en person som registreras i samband med att han eller hon folkbokförs.
I dag framgår som redan nämnts av 1 § FOL att folkbokföring innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får förekomma i folkbokföringsdatabasen. I folkbokföringsdatabasen får dock flera uppgiftskategorier behandlas som inte motsvarar uppgifter om en person som registreras vid folkbokföring. Det kan därför upplevas som otydligt vilka uppgifter som får, när det är relevant, registreras om en person när han eller hon folkbokförs.
Vilka uppgifter som får registreras om en person vid folkbokföring bör dock vara tydligt. Vår bedömning är att det inte är ändamålsenligt att vad folkbokföring innebär i fråga om registrering av uppgifter utgår från vilka uppgifter som får behandlas i en särskilt reglerad uppgiftssamling i den kompletterande dataskyddsregleringen. Legaldefinitionen av folkbokföring bör alltså inte hänvisa till den kompletterande dataskyddsregleringen.
9.4.5. Vad folkbokföring innebär ska framgå av folkbokföringslagen
Vårt förslag: Folkbokföring enligt folkbokföringslagen ska inne-
bära fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt lagen.
Skatteverket ska få registrera följande uppgifter om en person:
1. personnummer,
2. samordningsnummer,
3. namn,
4. födelsetid,
5. födelsehemort,
6. födelseort och födelseland,
7. adress,
8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort,
folkbokföring under särskild rubrik och distrikt,
9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan vuxen person
än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt
land, och 17. uppehållsrätt.
Skälen för vårt förslag
Definitionen av folkbokföring bör framgå av folkbokföringslagen
Som vi konstaterat i avsnittet ovan innebär dagens systematik, där legaldefinitionen av folkbokföring hänvisar till en särskilt reglerad uppgiftssamling i den kompletterande dataskyddsregleringen, att det kan upplevas som otydligt vilka uppgifter som registreras om en person när han eller hon folkbokförs. I fortsättningen bör det enligt vår mening finnas en större tydlighet kring vilka uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs. Vi har inte kunnat se att dagens systematik har motiverats av att den ansetts vara särskilt flexibel eller ändamålsenlig eller tillgodosett något annat faktiskt behov. Något annat skäl för att behålla dagens systematik har vi inte heller funnit. Vi bedömer därför att behovet av tydlighet kan bli tillgodosett genom att vad folkbokföring innebär i fråga om registrering av uppgifter anges i folkbokföringslagen. Det nyss sagda innebär att lydelsen av 1 § FOL bör ändras till att avse sådana uppgifter som får registreras enligt lagen. Vi föreslår därför att folkbokföring enligt folkbokföringslagen ska innebära fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt lagen.
En ny bestämmelse som i relevanta delar motsvarar regleringen av databasens innehåll
Vilka uppgifter som får registreras i samband med folkbokföring bör framgå av en ny paragraf i folkbokföringslagen. Som vi nämnt ovan utgör dock inte alla uppgifter som i dag får behandlas i folkbokföringsdatabasen enligt 2 kap. 3 § FdbL sådana uppgifter som ska registreras vid folkbokföring. Enbart de uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs ska anges i den nya bestämmelsen.
Skatteverket har ett ansvar för att vissa uppgifter registreras i samband med folkbokföring. Syftet med den nya bestämmelsen är att tydliggöra vilka uppgifter om en person som Skatteverket får registrera om en person i samband med att han eller hon folkbokförs. Den syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla i verksamheten med folkbokföring. Som vi påpekat i avsnitt 9.4.3 ovan är det den materiella verksamhetsregleringen som styr vilka uppgifter Skatteverket får behandla för att utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i den nya bestämmelsen innebär alltså inte att Skatteverket är förhindrat att behandla sådana uppgifter, utan enbart att det inte är en sådan uppgift om en person som, om det är relevant, registreras i samband med folkbokföring.
Grundläggande folkbokföringsuppgifter
Att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden är inte bara en förutsättning för Skatteverkets fastställande av skatter utan även för att andra samhällsfunktioner ska ha ett korrekt underlag för beslut och åtgärder. Uppgifter i folkbokföringen kan ligga till grund för bl.a. ersättningar och bidrag men även samhällsplanering och forskning.93 Vissa uppgifter som i dag får behandlas i folkbokföringsdatabasen är tydligt kopplade till folkbokföringens syfte och dessa uppgifter bör även anges i den nya bestämmelsen i folkbokföringslagen. Det rör sig bl.a. om uppgifter om personnummer, namn, födelsetid, adress, folkbokföringsfastighet, medborgarskap, civilstånd, vissa familjeförhållanden
93Prop. 2020/21:160, Säkrare samordningsnummer och bättre förutsättningar för korrekta upp-
gifter i folkbokföringen, s. 23.
och inflyttning från utlandet. Dessa uppgifter som får behandlas i folkbokföringsdatabasen och som även bör anges i den nya bestämmelsen i folkbokföringslagen framgår av 2 kap. 3 § första stycket 1– 13 och 15–17 FdbL. Nedan bedömer vi dock att vissa justeringar bör göras i förhållande till den reglering som i dag finns i FdbL. Vi förslår därför att uppgifter som anges i 2 kap. 3 § första stycket 1–13 och 15–17 FdbL anges i den nya bestämmelsen i folkbokföringslagen, med vissa justeringar.
Registrering av uppgift om födelseland
Enligt 2 kap. 3 § första stycket 4 och 5 FdbL får uppgift om födelsehemort och födelseort behandlas i folkbokföringsdatabasen. Innan databasregleringen infördes fanns motsvarande bestämmelse i lagen om folkbokföringsregister. När databasregleringen tillkom fördes bestämmelser om vilka uppgifter det tidigare folkbokföringsregistret fick innehålla i stort sett oförändrade till regleringen av vilka uppgifter databasen fick innehålla, och därmed göras gemensamt tillgängliga.94
I förarbetena till bestämmelserna i lagen om folkbokföringsregister konstaterade regeringen att med födelsehemort avsågs normalt den församling i vilken personens moder var folkbokförd när personen i fråga föddes. Med födelseort menades enligt regeringen både födelseort och land för en person som var född i utlandet.95 Skatteverket har uppgett till utredningen att uppgift om födelseland alltid behandlas i databasen för personer som är födda utomlands, med stöd av bestämmelserna i folkbokföringsdatabaslagen och de nyss nämnda förarbetsuttalandena.
Som vi konstaterat ovan bör den nya regleringen vara tydlig avseende vilka uppgifter som registreras i samband med att en person folkbokförs. Mot bakgrund av nämnda förarbetsuttalanden får det med födelseort, enligt vår bedömning, även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl bör detta uttryckligen framgå av den nya bestämmelsen i folkbokföringslagen. Detta förtydligande innebär dock ingen ändring i sak eller utvidgning av vad folkbokföring innebär.
94Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141. 95Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.
Annan person som den registrerade har samband med inom folkbokföringen
I dag får enligt 2 kap. 3 § första stycket 10 FdbL uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen behandlas i folkbokföringsdatabasen. Vad som avses med annan person som den registrerade har samband med inom folkbokföringen framgår dock inte av den bestämmelsen. Däremot framgår av 5 § FdbF att detta begrepp avser annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt.
Det är enligt vår mening svårt att hitta ett skäl till att vad som avses ska regleras skilt från bestämmelsen i sig. Eftersom uttrycket dessutom redan har en avgränsad betydelse bör denna av tydlighetsskäl framgå direkt av den nya bestämmelsen i folkbokföringslagen. Vi föreslår därför att uppgifter om make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt ska få registreras vid folkbokföring. Även om bestämmelsen därmed får en ändrad lydelse i förhållande till i dag bör det inte utgöra någon ändring i sak eller utvidgning av vad folkbokföring innebär.
Anmälan enligt 5 kap. 2 § vallagen
Enligt 2 kap. 3 § första stycket FdbL får anmälan enligt 5 kap. 2 § vallagen behandlas i folkbokföringsdatabasen. Av bestämmelsen i vallagen framgår att svenska medborgare som inte längre är folkbokförda i landet ska tas upp i röstlängd under tio år från den dag folkbokföringen upphörde. Därefter ska de, för tio år i sänder, tas med i röstlängden endast om de skriftligen har anmält sin adress hos Skatteverket. Bestämmelsen avser alltså adressanmälningar från personer som sedan mer än tio år tillbaka inte är folkbokförda i Sverige.
När bestämmelsen i folkbokföringsdatabaslagen infördes skulle ett helt nytt röstlängdsystem införas. Utlandssvenskar skulle då tas upp i röstlängd automatiskt mot bakgrund av de uppgifter som fanns i folkbokföringssystemet i tio år efter utflyttningen. I övergångsbestämmelserna till den nya regleringen angavs att vid bl.a. val till riksdagen skulle de som inte varit folkbokförda i landet någon gång efter den 1 juli 1991 bara tas upp i röstlängd om de hade anmält att
de ville finnas i den. I den då gällande särskilda röstlängden kunde det enligt regeringen finnas ett antal svenskar som inte varit folkbokförda i landet efter den 1 juli 1991, som genom att ansöka om att bli upptagna i särskild röstlängd deklarerat sitt intresse att delta i val i Sverige. För att säkerställa denna grupps möjlighet att rösta i kommande val föreslog regeringen att uppgifter om namn och adress över dessa väljare skulle få föras över till de lokala folkbokföringsregistren.96
Enligt 5 kap. 1 § andra stycket vallagen ska röstlängder i dag bl.a. grundas på de uppgifter som 30 dagar före valdagen finns i folkbokföringsdatabasen. Uppgifterna om anmälan enligt 5 kap. 2 § vallagen fyller därmed en viktig funktion mot bakgrund av hur röstlängderna framställs. Det rör dock uppgifter om personer som sedan mer än tio år tillbaka inte är folkbokförda i Sverige. Mot den bakgrunden går det enligt vår mening att ifrågasätta i vilken utsträckning sådana uppgifter kan anses avse uppgifter som registreras om en person när han eller hon folkbokförs. Uppgifterna kan i och för sig sägas vara en konsekvens av att en person vid något tillfälle varit folkbokförd i Sverige, vilket skulle kunna tala för att de även ska anges i den nya bestämmelsen i folkbokföringslagen. Mot bakgrund av den långa tid som måste ha förflutit sedan personen senast var folkbokförd för att en anmälan enligt 5 kap. 2 § vallagen ska aktualiseras är dock vår bedömning att uppgifterna inte kan anses avse sådana uppgifter som registreras om en person i samband med folkbokföring. I den nya bestämmelsen i folkbokföringslagen bör sådana uppgifter därför inte anges.
Det innebär inte att Skatteverket kommer att vara förhindrat att behandla uppgifter om anmälningar enligt 5 kap. 2 § vallagen inom folkbokföringsverksamheten. Som framgår ovan följer av den bestämmelsen att Skatteverket ska ta emot anmälningar om adress från svenska medborgare som sedan mer än tio år tillbaka inte är folkbokförda i landet. Det finns följaktligen en rättslig grund för Skatteverkets behandling av sådana uppgifter även om det inte särskilt anges i folkbokföringslagen. Vi har dessutom i avsnitt 9.4.2 ovan föreslagit att folkbokföringsdatabasregleringen upphävs. Bestämmelsen i 5 kap. 1 § andra stycket vallagen om vilka uppgifter röstlängder ska grundas på måste alltså under alla förhållanden ändras, se avsnitt 6.3 om följdändringar.
96Prop. 1996/97:70, Ny vallag, s. 22, 69, 139 och 250.
Registrering av uppgift om uppehållsrätt
I 2 kap. 3 § första stycket 17 FdbL anges att uppgift om uppehållsrätt för en person som är folkbokförd får behandlas i folkbokföringsdatabasen. Eftersom vi föreslår att dessa uppgifter i stället ska anges direkt i folkbokföringslagen framstår tillägget om att uppgiften om uppehållsrätt enbart ska registreras för den som är folkbokförd som överflödigt. Vi anser därför att det saknas skäl att ange detta i den nya bestämmelsen i folkbokföringslagen. Förslaget utgör ingen ändring i sak och innebär inte heller i övrigt någon förändring av vad folkbokföring innebär.
Uppgifter med särskild koppling till systemet för samordningsnummer
Att enbart de uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs ska anges i den nya bestämmelsen innebär att uppgifter som i dag anges i 2 kap. 3 § första stycket FdbL, men som enbart är relevanta i systemet för samordningsnummer, inte ska anges i bestämmelsen. De uppgifter som i dag anges i 2 kap. 3 § första stycket 18–20 FdbL och som avser verksamhet enligt lagen om samordningsnummer ska därför inte anges i den nya bestämmelsen.
I dag anges i 2 kap. 3 § 1 första stycket FdbL att person- eller samordningsnummer får behandlas i folkbokföringsdatabasen. Personnummer är särskilt knutet till folkbokföring, vilket framgår av 18 § FOL. Den bestämmelsen anger att det för varje folkbokförd person fastställs ett personnummer som identitetsbeteckning. Det förekommer dock att en person blir folkbokförd efter att först ha tilldelats ett samordningsnummer. Enligt 28 § FOL ska en anmälan enligt 25 eller 26 § samma lag innehålla uppgift om person- eller samordningsnummer. Skatteverket har uppgett till utredningen att när en person med samordningsnummer folkbokförs så diarieförs folkbokföringsärendet på samordningsnumret. I samband med att personen folkbokförs och personnummer fastställs sker en hänvisning mellan personnumret och personens tidigare samordningsnummer (som blir vilandeförklarat).97
Mot bakgrund av att uppgift om samordningsnummer behandlas i ett folkbokföringsärende när en person med samordningsnummer
97 Jfr 1 kap. 1 § och 3 kap. 2 § 2 lagen om samordningsnummer.
folkbokförs bedömer vi att samordningsnummer, i likhet med nuvarande reglering i folkbokföringsdatabaslagen, bör anges i den nya bestämmelsen om vilka uppgifter om en person som får registreras vid folkbokföring.
Fingeravtryck, ansiktsbilder och biometriska uppgifter
Av 2 kap. 3 § första stycket 21 FdbL framgår att fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa får behandlas i folkbokföringsdatabasen. Dessa uppgifter får dock enbart behandlas i samband med viss identitetskontroll enligt 26 b och 26 c §§ FOL eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer. Efter kontrollen är utförd ska dock uppgifterna omedelbart förstöras, vilket i dag framgår av 1 kap. 7 § FdbL. De kan därmed inte anses utgöra sådana uppgifter om en person som ska registreras i samband med folkbokföring. Vi föreslår därför att dessa uppgifter inte ska anges i den nya bestämmelsen.
Vad gäller registrering av sådana uppgifter i ärenden om samordningsnummer återkommer vi till nedan.
Registrering av uppgifter som var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen
Som vi redogjort för i avsnitt 9.4.4 får vissa uppgifter som inte avser någon specifik uppgift om en person behandlas i databasen med stöd av 2 kap. 3 § andra stycket FdbL. Av bestämmelsen framgår att uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen får behandlas i databasen. Som vi redogjort för i avsnitt 9.4.4 uttalade regeringen i bestämmelsens förarbeten att de uppgifter som avsågs, exempelvis enligt vilken bestämmelse i namnlagen som ett namnbyte hade skett, i fortsättningen skulle registreras i diarierna och att några nya uppgifter inte skulle komma att antecknas enligt bestämmelsen. Det rörde sig enligt regeringen endast om att i det då nya folkbokföringsregistret föra in de uppgifter som den 30 juni 1991 fanns antecknade i personakter. Enligt regeringen hade bestämmelsen därför karaktären av en övergångsbestämmelse.98
98Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 41.
Mot bakgrund av bestämmelsens karaktär, och då några särskilda uppgifter om en person inte framgår av bestämmelsen, bedömer vi att bestämmelsen inte bör ha någon motsvarighet i folkbokföringslagen. Det innebär inte att Skatteverket kommer att vara förhindrat att i framtiden behandla dessa uppgifter i sin verksamhet. Som vi redogör för i avsnitt 9.4.3 ovan är det den materiella regleringen av verksamheten som är avgörande för vilka uppgifter som får behandlas. I den mån uppgifterna är nödvändiga att behandla för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning finns det därmed inget hinder mot att uppgifterna behandlas även i fortsättningen.
Registrering av uppgift om kön?
Av 18 § FOL framgår att det för varje folkbokförd person fastställs ett personnummer som identitetsbeteckning. Personnumret innehåller födelsetid, födelsenummer och kontrollsiffra. Födelsenumret består av tre siffror och är udda för män och jämnt för kvinnor. Uppgift om kön framgår därmed alltid i samband med folkbokföring, eftersom det för alla som folkbokförs ska fastställas ett personnummer och det inte är möjligt att fastställa ett personnummer utan att också vederbörandes kön indirekt framgår av numret. Att personnummer ingår i de uppgifter om en person som registreras vid folkbokföring framgår i dag av 2 kap. 3 § första stycket 1 FdbL.
Av 2 kap. 4 § första stycket FdbL framgår att utöver de uppgifter som anges i 2 kap. 3 § samma lag får även uppgifter som behövs för handläggning av ett ärende behandlas i databasen. Skatteverket har uppgett till utredningen att för att ett personnummer ska genereras behöver handläggaren i ärendet ange om det är fråga om en man eller en kvinna. Skatteverket behandlar alltså uppgift om en persons kön i folkbokföringsdatabasen i samband med handläggning av ett folkbokföringsärende.
Av 2 kap. 8 § FdbL framgår sammanfattningsvis att en myndighet, om det inte är olämpligt ur integritetssynpunkt, får ha direktåtkomst till samtliga uppgifter i folkbokföringsdatabasen om myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem, med undantag för sådana uppgifter som avses i 2 kap. 3 § andra stycket
FdbL.99 Utöver det undantaget begränsas inte myndigheters tillgång till uppgifter i folkbokföringsdatabasen till de uppgifter som anges i 2 kap. 3 § första stycket.100
Trots att kön inte är en uppgiftskategori som i dag anges i 2 kap. 3 § första stycket FdbL är det en uppgift som inte enbart indirekt behandlas i folkbokföringsdatabasen genom personnumret, utan som behandlas i databasen med stöd av 2 kap. 4 § första stycket samma lag, för att ett personnummer ska kunna genereras. Vi har därför övervägt om det i den nya bestämmelsen i folkbokföringslagen även bör anges kön som en av de uppgiftskategorier om en person som får registreras i samband med folkbokföring. Ett sådant tillägg skulle kunna anses bidra till ökad tydlighet och förutsebarhet för de registrerade.
Vår bedömning är dock att ett förslag med den innebörden skulle utgöra en sådan förändring i förhållande till befintlig reglering som går utanför ramen för vårt uppdrag att föreslå. Vi lämnar därför inte något sådant förslag.
9.4.6. Övriga ändringar inom folkbokföringen till följd av databasregleringens upphörande
Vårt förslag: I folkbokföringslagen ska Skatteverket ges ett ut-
tryckligt ansvar för registrering enligt lagen.
Att fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa omedelbart ska förstöras efter kontroll ska framgå av folkbokföringslagen.
I folkbokföringslagens bestämmelser om vilka uppgifter en anmälan om flyttning eller anmälan om inflyttning från utlandet ska innehålla, samt Skatteverkets rätt att förelägga en person att lämna uppgifter för kontroll, ska hänvisas till den föreslagna nya bestämmelsen om vilka uppgifter som får registreras.
Vad som är avgörande för vilket distrikt som i samband med folkbokföring ska anges för en person ska framgå av folkbokföringsförordningen.
99 Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (HFD 2015 ref. 61). 100 Jfr prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 46.
Skälen för vårt förslag
Dataskyddsreglering bör även i övrigt skiljas från materiell reglering
Utöver den betydelse databasregleringen har för legaldefinitionen av folkbokföring finns det också andra bestämmelser i den kompletterande dataskyddsregleringen för folkbokföringsverksamheten som har materiell betydelse för Skatteverkets uppgifter enligt folkbokföringslagen. Nya bestämmelser bör därför införas när databasregleringen upphävs. Mot bakgrund av vår utgångspunkt att materiell verksamhetsreglering bör skiljas från dataskyddsregleringen i så hög utsträckning som möjligt bör de nya motsvarande bestämmelserna placeras den materiella regleringen av folkbokföring.
Skatteverkets ansvar för registrering
Att Skatteverket har en skyldighet att registrera vissa uppgifter i samband med folkbokföring, och att registrera ändring av dessa uppgifter, framgår i dag av 2 § FdbF som har följande lydelse.
När en person folkbokförs eller när ändring görs av någon uppgift som får behandlas enligt 2 kap. 3 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska uppgift om detta registreras i folkbokföringsdatabasen.
Mot bakgrund av vikten av tydlighet inom folkbokföringen har vi övervägt om bestämmelsen bör ges en motsvarighet i folkbokföringslagen. Det framgår dock redan av 1 § tredje stycket FOL att folkbokföring sker genom Skatteverkets försorg. Uppgifterna i folkbokföringen ska dessutom spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder, vilket framgår av 2 § förordningen (2017:154) med instruktion för Skatteverket. Skatteverkets skyldighet att registrera vissa uppgifter och att hålla uppgifterna uppdaterade framgår därmed redan av folkbokföringslagen och myndighetens instruktion. Av artikel 5.1 d i EU:s dataskyddsförordning framgår vidare att personuppgifter ska vara riktiga och om nödvändigt uppdaterade, och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
Det är dock viktigt att det inte råder några tvivel om att Skatteverket ansvarar för att registrera de uppgifter som anges i den föreslagna nya bestämmelsen. För att det inte ska råda några tvivel om Skatteverkets ansvar i detta avseende bör det framgå tydligare än i dag av 1 § FOL, som anger att folkbokföring sker genom Skatteverkets försorg. 1 § tredje stycket FOL bör i stället ange att Skatteverket ansvarar för folkbokföring. Mot den bakgrunden bedömer vi att 2 § FdbF inte behöver motsvaras av en ny bestämmelse i folkbokföringslagen.
Uppgifter som omedelbart ska förstöras
I syfte att stärka identitetskontrollen i samband med bl.a. inflyttning har det nyligen införts möjligheter för Skatteverket att kontrollera biometriska uppgifter som finns lagrade i vissa identitetshandlingar.101Den utökade identitetskontrollen innebär en skyldighet för enskilda att vid inflyttning från utlandet inställa sig personligen hos Skatteverket för identitetskontroll, och på begäran överlämna eventuellt pass, identitetskort eller annan motsvarande handling eller uppehållstillståndskort. Om en sådan handling har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran också låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar de som finns i handlingen. Detta förfarande regleras i dag i 26 b och 26 c §§ FOL. I samband med detta infördes även en ny bestämmelse i folkbokföringsdatabaslagen, 1 kap. 7 §, med innebörden att när kontrollen har genomförts ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.102 Bestämmelsen infördes samtidigt som en ändring i regleringen av vilka uppgifter som får behandlas i databasen (2 kap. 3 § första stycket 21 FdbL).
En bestämmelse som motsvarar den som anges i 1 kap. 7 § FdbL bör därför föras in i folkbokföringslagen. Eftersom denna del av identitetskontrollen regleras i 26 c § FOL är det lämpligt att en sådan bestämmelse fogas till den paragrafen som ett nytt andra stycke.
101 Jfr prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 44–48. 102 SFS 2022:1281 och prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 53–55.
Uppgifter som ska lämnas vid anmälan om flyttning och inflyttning från utlandet samt vid föreläggande för kontroll av uppgifter
I folkbokföringslagens bestämmelser om vilka uppgifter en anmälan om flyttning eller inflyttning från utlandet ska innehålla (28 § FOL) hänvisas i dag till uppgifter som får föras in i folkbokföringsdatabasen. Även i bestämmelsen som reglerar Skatteverkets möjlighet att förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av eller komplettering av uppgifter (31 § FOL) hänvisas till de uppgifter som får föras in i folkbokföringsdatabasen.
Som en följd av våra förslag ovan bör dessa hänvisningar i stället avse registrering som är tillåten enligt den föreslagna nya bestämmelsen i 1 a § FOL.
Uppgift om distrikt
En av de uppgifter som ska registreras vid folkbokföring är distrikt. Hur distrikt ska bestämmas framgår i dag av 5 a § FdbF, som har följande lydelse.
Vilket distrikt som enligt 2 kap. 3 § 7 lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska anges för en person avgörs av den personens belägenhetsadress på den fastighet där personen är folkbokförd med stöd av 6 § folkbokföringslagen (1991:481). Med distrikt avses här detsamma som i 2 § förordningen (2015:493) om distrikt.
Bestämmelsen i 5 a § FdbF utgör ett förtydligande av vad som avses med begreppet distrikt i folkbokföringen, och hur det ska bestämmas. Vår bedömning är därför att bestämmelsen bör finnas kvar, men anpassas efter våra förlag i övrigt. Mot bakgrund av bestämmelsens förtydligande karaktär bedömer vi att bestämmelsen bör föras in i folkbokföringsförordningen (1991:749), FOF.
Att uppgift om distrikt får registreras vid folkbokföring framgår i dag av 2 kap. 3 § första stycket 7 FdbL. De övriga uppgifter som anges i den bestämmelsen är folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, och folkbokföring under särskild rubrik. I 4 § FOF finns i dag en bestämmelse av liknande karaktär som nuvarande 5 a § FdbF, som dessutom avser en annan uppgift som anges i 2 kap. 3 § första stycket 7 FdbL, nämligen folkbokföring under särskild rubrik. Det framstår därför som mest lämpligt att föra in en be-
stämmelse motsvarande 5 a § FdbF i folkbokföringsförordningen, i anslutning till 4 §.
9.4.7. Folkbokföringsdatabasen och regleringen av samordningsnummer
Vår bedömning: Det finns ett behov av att förtydliga att även
ärenden om samordningsnummer innebär registrering av vissa uppgifter.
Skälen för vår bedömning
Även ärenden om samordningsnummer kräver viss registrering
I Sverige finns två identitetsbeteckningar för fysiska personer. För personer som folkbokförs enligt bestämmelserna i folkbokföringslagen fastställs ett personnummer som identitetsbeteckning. Personer som inte är eller har varit folkbokförda får i stället på begäran eller efter ansökan tilldelas ett samordningsnummer enligt de bestämmelser som finns i lagen om samordningsnummer och den kompletterande förordningen (2023:363) om samordningsnummer.
Innan systemet med samordningsnummer infördes år 2000 kunde Skatteverket tilldela personnummer till vissa personkategorier som inte skulle folkbokföras, s.k. TP-nummer.103 Lagen om samordningsnummer innehåller även bestämmelser om sådana personnummer som tilldelats utan samband med folkbokföring.104
Varken person- eller samordningsnummer medför i sig några rättigheter eller skyldigheter men har stor betydelse för ett praktiskt fungerande liv i Sverige. Numrens huvudsakliga syfte är att undvika personförväxling och underlätta informationsutbyte om personer. Liksom folkbokföringsuppgifter aviseras uppgifter om personer som har tilldelats samordningsnummer till myndigheter genom Navet, Skatteverkets system för distribution av uppgifter från folkbokföringsverksamheten. För att ett person- eller samordningsnummer ska kunna motverka personförväxling och möjliggöra en säker överför-
103Prop. 1997/98:9, Skydd för förföljda personer, samordningsnummer, m.m., s. 74–76. 104 1 kap. 1 § andra stycket lagen om samordningsnummer.
ing av tillförlitliga personuppgifter mellan olika användare måste tilldelning av nummer ske efter en fullgod identitetskontroll.105
Som framgår av avsnitt 9.3.2 får enligt 2 kap. 2 § FdbL uppgifter om personer som har tilldelats samordningsnummer behandlas i folkbokföringsdatabasen. Av 1 kap. 2 § lagen om samordningsnummer framgår också att uppgifter om personer som har tilldelats samordningsnummer får registreras i folkbokföringsdatabasen enligt folkbokföringsdatabaslagen. Vilka uppgifter som registreras vid handläggning av ärenden om samordningsnummer avviker till viss del från vilka uppgifter som registreras vid folkbokföring.
Det finns ett behov av att tydliggöra att ärenden om samordningsnummer innebär registrering av vissa uppgifter
Samordningsnummer tilldelas efter begäran av en myndighet eller ett sådant annat organ som regeringen bestämmer, eller efter ansökan av en enskild.106 Samordningsnummer kan förnyas efter ansökan av en myndighet eller ett sådant annat organ, liksom av den enskilde, samt förklaras vilande under visa förutsättningar.107 Vad gäller s.k. TP-nummer kan dessa med stöd av lagen om samordningsnummer under vissa förutsättningar förklaras vilande eller förnyas.108
Tilldelningen av samordningsnummer medför registrering av många personer och uppgifterna som registreras är viktiga för såväl de enskilda som för myndigheter och andra som behöver uppgifterna. Som redan nämnts aviseras uppgifter om personer som har tilldelats ett samordningsnummer ut till andra myndigheter via Navet. Uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort sin identitet sannolik lämnas också ut till enskilda genom det statliga personadressregistret, SPAR.109 Att ändra en identitetsuppgift i efterhand om den som har tilldelats ett samordningsnummer kräver att de nya uppgifterna kontrolleras med samma krav på säkerhet som vid tilldelningen av samordningsnummer efter styrkt identitet.110
105 Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 21. 106 2 kap. 1 § lagen om samordningsnummer. 107 3 kap. 1–3 §§ lagen om samordningsnummer. 108 3 kap. 4 § lagen om samordningsnummer. 1094 § lagen (1998:527) om det statliga personadressregistret. 110 2 kap. 7 § lagen om samordningsnummer, jfr prop. 2021/22:276, Stärkt system för samord-
ningsnummer, s. 141.
Det är alltså viktigt att den rättsliga grunden för behandling av personuppgifter är tydlig och förutsebar även avseende samordningsnummer, särskilt eftersom de uppgifter som registreras används för att förse andra aktörer med information om den registrerade. Att Skatteverket har en registreringsskyldighet i sammanhanget följer dock av bl.a. folkbokföringsdatabasregleringen. Eftersom databasregleringen föreslås upphävas finns det ett behov av att i den materiella regleringen av samordningsnummer tydliggöra att även ärenden om samordningsnummer innefattar viss registrering av personuppgifter.
9.4.8. Ärenden om samordningsnummer kräver viss registrering
Vårt förslag: Av lagen om samordningsnummer ska det framgå
att Skatteverket får registrera vissa uppgifter om en person som har tilldelats samordningsnummer.
Följande uppgifter får registreras om en person som har tilldelats samordningsnummer:
1. samordningsnummer,
2. personnummer,
3. namn,
4. födelsetid,
5. medborgarskap,
6. födelseort och födelseland,
7. kontaktadress,
8. om personens identitet är styrkt, sannolik eller osäker,
9. tidpunkt för när vilandeförklaring kan komma att ske, 10. vilandeförklaring med angivande av med vilket stöd förklar-
ingen skett, och 11. tidpunkt för när en person har avlidit.
Skälen för vårt förslag
Skatteverkets skyldighet att registrera uppgifter
Av 2 § FdbF framgår att när en person folkbokförs eller när ändring görs av någon uppgift som får behandlas enligt 2 kap. 3 § FdbL ska uppgift om detta registreras i folkbokföringsdatabasen. Skatteverkets skyldighet att enligt den bestämmelsen registrera uppgifter avser alltså folkbokföring samt ändring av uppgifter oavsett i vilket sammanhang de registrerats. Till skillnad från vad som gäller avseende folkbokföring finns det inte någon bestämmelse i förordningen med instruktion för Skatteverket som tydliggör att Skatteverket har ett ansvar för systemet med samordningsnummer.
Av 1 kap. 2 § lagen om samordningsnummer framgår dock att Skatteverket beslutar i ärenden enligt lagen och att uppgifter om personer som har tilldelats samordningsnummer registreras i folkbokföringsdatabasen. Att Skatteverket har en skyldighet att registrera uppgifter om en person vid handläggning av ärenden om samordningsnummer framgår därmed av lagen om samordningsnummer.
Uppgifter som får registreras
Regleringen i 2 kap. FdbL över vilka uppgifter som får förekomma i folkbokföringsdatabasen är i dag bestämmande för den registrering som sker vid handläggning av ärenden om tilldelning av samordningsnummer och andra ärenden enligt lagen om samordningsnummer. Då samordningsnummer endast tilldelas personer som inte är eller har varit folkbokförda är det inte samtliga uppgifter som anges i 2 kap. 3 § FdbL som ska registreras vid tilldelning av ett samordningsnummer. Som framgår av avsnitt 9.4.4 kan vissa uppgifter som i dag får registreras i folkbokföringsdatabasen dessutom inte anses vara hänförliga vare sig till den registrering som sker vid folkbokföring eller till den registrering som sker vid tilldelning av samordningsnummer eller handläggning av andra ärenden enligt lagen om samordningsnummer. Det är exempelvis uppgifter om anmälan enligt 5 kap. 2 § vallagen eller sådana uppgifter som omedelbart ska förstöras efter en identitetskontroll.
För att det ska vara tydligt vilka uppgifter som Skatteverket får registrera om en person som har tilldelats samordningsnummer bör
en ny bestämmelse införas i lagen om samordningsnummer. Syftet med den nya bestämmelsen är att tydliggöra vilka uppgifter om en person som Skatteverket får registrera i samband med att han eller hon tilldelas ett samordningsnummer. Det är alltså fråga om de uppgifter som aviseras ut till andra myndigheter via Navet och som i viss utsträckning också är tillgängliga för enskilda och myndigheter genom SPAR. I den nya bestämmelsen bör därför enbart de uppgifter anges som får registreras av Skatteverket med anledning av att en person tilldelas samordningsnummer eller i samband med handläggning av andra ärenden om samordningsnummer enligt lagen.
Den nya bestämmelsen syftar dock inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla för att utföra verksamhet enligt lagen om samordningsnummer. Som vi påpekat i avsnitt 9.4.3 ovan är det den materiella regleringen som styr vilka uppgifter Skatteverket får behandla för att utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i den nya bestämmelsen innebär därmed inte att Skatteverket är förhindrat att behandla sådana uppgifter, utan enbart att det inte är en sådan uppgift om en person som registreras i samband med att han eller hon tilldelas ett samordningsnummer eller i samband med handläggningen av andra ärenden enligt lagen om samordningsnummer.
Grunduppgifter om en person
I den nya bestämmelsen bör för det första uppgift om samordningsnummer anges. En person som tidigare har tilldelats ett TP-nummer har inte varit folkbokförd och kan också tilldelas ett samordningsnummer. Även personnummer bör därför anges i den nya bestämmelsen.
Av 6 § första stycket och 7 § förordningen om samordningsnummer framgår att en begäran om tilldelning av samordningsnummer bl.a. ska innehålla uppgifter om den enskildes namn, födelsetid, medborgarskap, kön, födelseort och kontaktadress. Av 8 § samma förordning framgår att dessa uppgifter även ska anges i en ansökan om tilldelning av samordningsnummer. I 2 kap. 3 § första stycket 2, 3, 5, 6 och 8 FdbL anges i dag att ett flertal grunduppgifter om en person får behandlas i folkbokföringsdatabasen som i stort motsvarar de uppgifter som en begäran eller ansökan om tilldelning av samordnings-
nummer ska innehålla. Det är uppgift om namn, födelsetid, medborgarskap, födelseort och adress.
Vi föreslår därför att de uppgifter som anges i 2 kap. 3 § första stycket 1–3, 5, 6 och 8 FdbL ska anges i den nya bestämmelsen i lagen om samordningsnummer. Mot bakgrund av att det i en begäran eller ansökan om samordningsnummer ska anges en s.k. kontaktadress bör dock det begreppet användas i stället för adress.
Registrering av uppgift om födelseland
Även om samordningsnummer kan tilldelas personer som är födda i Sverige bör det vara mycket vanligt att samordningsnummer tilldelas personer som är födda i ett annat land.
Av 2 kap. 3 § första stycket 5 FdbL framgår att uppgift om födelseort får behandlas i folkbokföringsdatabasen. Som framgår av avsnitt 9.4.5 ovan avses enligt förarbetena till bestämmelsen inte enbart ort för den som är född utanför Sverige, utan även land.111 Mot bakgrund av nämnda förarbetsuttalanden får det med födelseort, enligt vår bedömning, även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl bör detta uttryckligen framgå av den nya bestämmelsen i lagen om samordningsnummer. Detta förtydligande innebär dock ingen ändring i sak eller utvidgning av vilka uppgifter om en person som registreras i samband med tilldelning av samordningsnummer eller vid handläggning av andra ärenden enligt lagen.
Uppgifter med särskild koppling till systemet med samordningsnummer
Av 2 kap. 3 § första stycket 18–20 FdbL framgår att vissa uppgifter med särskild koppling till systemet med samordningsnummer och övriga ärenden enligt lagen om samordningsnummer får behandlas i folkbokföringsdatabasen. Det är uppgifter om tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen om samordningsnummer, vilandeförklaring enligt 3 kap. 2 § samma lag, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, samt tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit.
111Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.
Vad gäller uppgifter om när en person med personnummer som inte är eller har varit folkbokförd har avlidit avser detta personer med s.k. TP-nummer och personer som tilldelats personnummer med stöd av 18 b § FOL. TP-numren har tidigare tilldelats i situationer där det enligt senare regler i stället skulle ha tilldelats samordningsnummer. Mot den bakgrunden har regeringen bedömt det vara rimligt att TP-numren omfattas av samma regler om vilandeförklaring och förnyelse som gäller för samordningsnummer.112 Syftet med den föreslagna nya bestämmelsen i lagen om samordningsnummer är dock att tydliggöra vilka uppgifter som Skatteverket får registrera om en person som har tilldelats samordningsnummer, dvs, de uppgifter om personen som kan komma att aviseras genom Navet eller lämnas ut via SPAR.
Som redan nämnts innebär inte det förhållande att en uppgift inte anges i uppräkningen att Skatteverket är förhindrat att behandla uppgiften om det är nödvändigt för att utföra uppgifter som framgår av lag eller förordning. TP-nummer förklaras vidare vilande på samma sätt som samordningsnummer, (3 kap. 4 § lagen om samordningsnummer), vilket innebär att Skatteverket har en rättslig grund för att behandla uppgifter om att en person med s.k. TP-nummer har avlidit. Uppgift om att en person med personnummer som inte är eller har varit folkbokförd har avlidit bör sammanfattningsvis inte anges i den nya bestämmelsen i lagen om samordningsnummer.
Samma uppgifter som anges i 2 kap. 3 § första stycket 18–20 FdbL, med undantag för uppgift om när en person med personnummer som inte är eller har varit folkbokförd har avlidit, bör därför anges även i den nya bestämmelsen i lagen om samordningsnummer.
Av 2 kap. 3 § tredje stycket FdbL framgår, såvitt här är aktuellt, att i ärenden om tilldelning av samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. Av samma bestämmelse framgår att i ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker. Regeringen har uttalat att information om personens identitet har styrkts, gjorts sannolik eller är osäker alltid bör aviseras tillsammans med ett samordningsnummer.113 Uppgifter om den enskildes identitet är styrkt, sannolik
112Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 94. 113Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 89.
eller osäker bör därför också anges i den nya bestämmelsen i lagen om samordningsnummer.
Vad gäller grunden för tilldelning av samordningsnummer och de handlingar som legat till grund för identifiering gör vi dock en annan bedömning. Bestämmelsen har funnits i folkbokföringsdatabaslagen sedan dess tillkomst och motsvarar 7 § tredje stycket lagen om folkbokföringsregister.114 I förarbetena till den bestämmelsen uttalade regeringen sig inte särskilt om behovet av att behandla uppgifter om grunden för tilldelningen och de handlingar som legat till grund för identifiering i folkbokföringsregistret. Uppgiftsregistreringen vid tilldelning av samordningsnummer borde dock enligt regeringen främst styras av kravet på en säker nummertilldelning. Den myndighet som begärde samordningsnummer borde därför ange tillgängliga uppgifter om personens namn, födelsetid, kön, födelseort och medborgarskap. De uppgifter som lämnades skulle enligt regeringens mening också få registreras.115
Bestämmelsen avser i denna del ingen specifik uppgift om en person utan utgör i stället ett stöd för att angivna uppgifter ska få behandlas i folkbokföringsdatabasen, dvs. göras gemensamt tillgängliga i verksamheten. Databasregleringen föreslås nu upphöra, se avsnitt 9.4.2. Eftersom det inte är fråga om en eller flera specifika uppgifter om en person bör uppgifter om grunden för tilldelning av samordningsnummer och de handlingar som legat till grund för identifiering inte anges i den nya bestämmelsen i lagen om samordningsnummer.
Att Skatteverket får behandla uppgifter om grunden för tilldelningen följer av den materiella regleringen av systemet med samordningsnummer, jfr 2 kap. 1 § och 3 kap. 1 § lagen om samordningsnummer. Något hinder mot att Skatteverket behandlar uppgifter om de handlingar som legat till grund för identifieringen finns inte heller. Det framgår i stället av den materiella regleringen av systemet med samordningsnummer att sådan behandling är nödvändig för att Skatteverket ska kunna utföra sina uppgifter enligt lagen. Av 6 § andra stycket förordningen om samordningsnummer framgår exempelvis att tillsammans med en begäran om samordningsnummer ska det ges in en kopia av de handlingar som Skatteverket ska lägga till grund för identifiering. I de fall begärande myndighet ska ansvara för identitets-
114Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 206. 115Prop. 1997/98:9, Skydd för förföljda personer, samordningsnummer, m.m., s. 83–84.
kontrollen ska i stället en kopia av de handlingar som legat till grund för identifieringen ges in.
Registrering av uppgift om kön?
Av 2 kap. 8 § första stycket lagen om samordningsnummer framgår att samordningsnumret ska utgå från den enskildes födelsetid. Numret ska anges med sex siffror, två för året, två för månaden och två för dagen i nu nämnd ordning. Siffrorna för dag ska adderas med 60. Därefter anges ett tresiffrigt individnummer, som är udda för män och jämnt för kvinnor, samt en kontrollsiffra. I likhet med fastställande av personnummer inom folkbokföringen innebär tilldelning av ett samordningsnummer undantagslöst att även uppgifter om kön framgår av det tilldelade numret. En begäran eller ansökan om tilldelning av samordningsnummer ska dessutom innehålla uppgift om den enskildes kön (6–8 §§ förordningen om samordningsnummer).
Vi har därför övervägt om det i den nya bestämmelsen i lagen om samordningsnummer även bör anges kön som en av de uppgiftskategorier om en person som får registreras i samband med tilldelning av samordningsnummer eller handläggning av andra ärenden enligt lagen. Ett sådant tillägg skulle kunna anses bidra till ökad tydlighet och förutsebarhet för de registrerade. Vår bedömning är dock att det skulle utgöra en sådan förändring i förhållande till befintlig reglering som går utanför ramen för vårt uppdrag att föreslå. Vi lämnar därför inte något förslag med den innebörden.
9.4.9. Övriga ändringar rörande samordningsnummer till följd av databasregleringens upphävande
Vårt förslag: Att fingeravtryck, ansiktsbilder och biometriska upp-
gifter som tas fram ur dessa omedelbart ska förstöras efter kontroll ska framgå av lagen om samordningsnummer.
Bestämmelsen i lagen om samordningsnummer om myndigheters underrättelseskyldighet om det kan antas att en uppgift är felaktig eller ofullständig ska hänvisa till de uppgifter som får registreras enligt lagen.
Bestämmelsen om att en person med samordningsnummer ska anmäla ändring av kontaktadress ska inte hänvisa till någon särskild registrering.
Skälen för vårt förslag
Uppgifter som omedelbart ska förstöras efter kontroll
Samordningsnummer kan tilldelas i tre nivåer beroende på vilken identitetskontroll som föregått tilldelningen, det är antingen med styrkt, sannolik eller osäker identitet, 2 kap. 2–6 §§ lagen om samordningsnummer. För att en persons identitet ska anses vara styrkt krävs som utgångspunkt personlig inställelse hos Skatteverket för identitetskontroll, och att personen på begäran överlämnar eventuellt pass, identitetskort eller annan motsvarande handling eller uppehållstillståndskort. Om en sådan handling har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran också låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar de som finns i handlingen. Detta förfarande regleras i dag i 2 kap. 3 och 4 §§ lagen om samordningsnummer. När kontrollen har genomförts ska, enligt 1 kap. 7 § folkbokföringsdatabaslagen, fingeravtryck och ansiktsbild samt de biometriska uppgifter som har tagits fram omedelbart förstöras (se även avsnitt 9.4.6). En bestämmelse som motsvarar den som anges i 1 kap. 7 § FdbL bör därför föras in i lagen om samordningsnummer. Eftersom denna del av identitetskontrollen regleras i 2 kap. 4 § i den lagen är det lämpligt att en sådan bestämmelse fogas till den paragrafen som ett nytt andra stycke.
Myndigheters underrättelseskyldighet och ändring av kontaktadress
Av 4 kap. 1 § första stycket lagen om samordningsnummer framgår att en myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringsdatabasen om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. Eftersom databasregleringen föreslås upphöra bör hänvisningen i stället göras till uppgifter som får registreras enligt lagen. Någon förändring i sak är dock inte avsedd.
En ansökan eller begäran om ett samordningsnummer ska normalt innehålla uppgift om den enskildes kontaktadress, se 6–8 §§ förordningen om samordningsnummer. Även den bestämmelse i 4 kap. 2 § första stycket lagen om samordningsnummer som anger att personer med samordningsnummer som har en kontakadress registrerad har en skyldighet att anmäla ändringar hänvisar i dag till folkbokföringsdatabasen. Som en följd av att databasregleringen föreslås upphöra bör även denna hänvisning utgå.
10. Känsliga personuppgifter, uppgifter om lagöverträdelser samt person- och samordningsnummer
10.1. Inledning
I detta kapitel redogör vi för regleringen av behandling av känsliga personuppgifter, uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott samt person- och samordningsnummer. Kapitlet omfattar Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet. Frågor om behandling av sådana särskilda kategorier av uppgifter samt tillåtna sökningar i det statliga personadressregistret (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas separat i avsnitten 16.4.9, 17.4.5 och 17.4.6.
Vi gör i kapitlet bedömningen att det till följd av den generella dataskyddsregleringen, dvs. EU:s dataskyddsförordning1 och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, finns utrymme för en mindre detaljerad reglering av behandling av sådana särskilda kategorier av uppgifter. Vi föreslår att det ska införas nya sektorspecifika bestämmelser i lag om tillåtligheten av myndigheternas behandling av känsliga personuppgifter. Vi gör vidare bedömningen att det inte längre finns skäl att begränsa eller på annat sätt särreglera myndigheternas behandling av uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott.
Vi föreslår också att befintliga bestämmelser om sökbegrepp ska ersättas av nya, mer ändamålsenliga, bestämmelser om sökbegräns-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
ningar. Bestämmelserna bör som huvudregel förbjuda sökningar som görs i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Mot bakgrund av myndigheternas behov av att i vissa fall göra sökningar för att få fram ett urval av personer grundat på sådana uppgifter ska dock vissa sektorspecifika undantag finnas. Vidare föreslår vi att sökbegränsningarna inte heller ska omfatta sökningar i en viss handling eller i ett visst ärende.
För folkbokföringsverksamheten bedömer vi att den nuvarande särskilda bestämmelsen om sökbegrepp som avser vissa relationssamband med en registrerad som är grundat på adoption bör finnas kvar.
När det gäller den särskilda bestämmelsen om sökbegrepp i fråga om uppgifter om utslag vid Kronofogdemyndigheten bör det inte införas någon motsvarande bestämmelse i kronofogdedatalagen.
Slutligen gör vi bedömningen att det inte behöver finnas särskilda bestämmelser om behandling av personnummer och samordningsnummer i de nya lagarna.
10.2. Den generella dataskyddsrättsliga regleringen
10.2.1. Känsliga personuppgifter
EU:s dataskyddsförordning
Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter
Enligt artikel 9.1 i dataskyddsförordningen är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.2
2 Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga, se artikel 4.13. Med biometriska uppgifter avses personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter, se artikel 4.14. Med uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus, se artikel 4.15.
Dessa typer av personuppgifter benämns i svensk rätt som känsliga personuppgifter.3 De kategorier av personuppgifter som avses i artikel 9.1 är till sin natur särskilt känsliga och ges därför ett särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna.4 Bestämmelsen i artikel 9.1 är direkt tillämplig och kräver inga åtgärder av medlemsstaterna.5
Dataskyddsförordningens förbud ska enligt artikel 9.2 inte tillämpas om någon av de situationer som beskrivs i punkterna a–j föreligger. Det finns inte något utrymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet. Det är dock tillåtet att behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c och e, även när det gäller känsliga personuppgifter (artikel 6.2 och skäl 10). Några undantag i artikel 9.2 har också uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt. Det gäller bl.a. bestämmelsen i artikel 9.2 g som rör behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse.
Tröskeln för att en personuppgiftsansvarig ska få behandla känsliga personuppgifter är alltså högre än den som gäller för behandling av andra personuppgifter i samma situation. Det innebär dock inte att undantagen måste genomföras i svensk rätt för att vara tillämpliga.6
Behandling för att fastställa, göra gällande eller försvara rättsliga anspråk
Ett undantag från förbudet i artikel 9.1 i dataskyddsförordningen är om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet (artikel 9.2 f). Denna bestämmelse föranledde inte några nationella författningsåtgärder.7
Dataskyddsförordningen innehåller inte någon definition av begreppet rättsligt anspråk. Av skälen framgår dock att det är tillåtet med behandling av känsliga personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta
3Prop. 2017/18:105, Ny dataskyddslag, s. 74–75. 4 Skäl 51 till dataskyddsförordningen. 5Prop. 2017/18:105, Ny dataskyddslag, s. 74–75. 6Prop. 2017/18:105, Ny dataskyddslag, s. 75. 7Prop. 2017/18:105, Ny dataskyddslag, s. 76.
sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande.8 Begreppet har mot denna bakgrund tolkats så att det omfattar anspråk om vilka man kan föra talan i domstol eller ett domstolsliknande organ och som kan utkrävas av eller med hjälp av statsmakterna, t.ex. Kronofogdemyndigheten.9 Exempel på rättsliga anspråk som i svensk rätt har ansetts omfattas av begreppet är anspråk på offentliga förmåner såsom ekonomiskt bistånd eller skatteavdrag och trossamfundens anspråk på medlemsavgifter via den statliga avgiftshjälpen.10 Själva behandlingen av de känsliga personuppgifterna behöver inte gå ut på att fastställa, göra gällande eller försvara det rättsliga anspråket. Det räcker att behandlingen av de känsliga personuppgifterna är nödvändig för att någon, t.ex. den personuppgiftsansvarige, ska kunna fastställa, göra gällande eller försvara det rättsliga anspråket.11
Behandling av hänsyn till ett viktigt allmänt intresse
Enligt artikel 9.2 g i dataskyddsförordningen gäller ett undantag från förbudet i artikel 9.1 om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Detta undantag tillämpas huvudsakligen inom myndigheters verksamhet.12 Viktiga allmänna intressen är enligt dataskyddsförordningen exempelvis unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsan och social trygghet.13 Andra exempel är internationella utbyten av uppgifter mellan t.ex. skatte- och tullmyndigheter.14
Det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse.15 Verksamhet som innefattar myndighetsutövning anses dock vara ett viktigt allmänt intresse. När det gäller myndigheters behandling anses det också utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför
8 Skäl 52 till dataskyddsförordningen. 9 Se Öman, Dataskyddsförordningen (GDPR) m.m. (2022, version 2A, JUNO), kommentaren till artikel 9.2 f. 10 Jfr SOU 1997:39, Integritet – Offentlighet – Informationsteknik, s. 378 och prop. 2017/18:127,
Återinförande av skattereduktion för fackföreningsavgift, s. 25.
11Prop. 2017/18:113, Anpassning av domstolsdatalagen till EU:s dataskyddsförordning, s. 27. 12 Jfr skäl 19 till dataskyddsförordningen. 13 Jfr artikel 23.1 e i dataskyddsförordningen. 14 Skäl 112 till dataskyddsförordningen. 15Prop. 2017/18:105, Ny dataskyddslag, s. 83. Jfr artiklarna 6.1 e och 9.2 g i dataskyddsförordningen.
området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt.16 Vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse krävs även enligt artikel 9.2 g att uppgifterna behandlas på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Regeringen konstaterade vid införandet av dataskyddslagen17 att detta innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen. Det ställs sedan särskilda krav på det rättsliga stödet för att behandling av känsliga personuppgifter ska få ske. Detta måste också vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Regeringen har vidare bedömt att det kan ifrågasättas om tillägget i artikel 9.2 g innehåller ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse. Däremot tillkommer enligt artikel 9.2 g ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen, vilket gällde redan innan dataskyddsförordningen trädde i kraft. Enligt regeringen innebär dock inte kravet att undantaget i sig måste införas i svensk rätt för att vara tillämpligt.18
Dataskyddslagen
Allmänt om regleringen i 3 kap. 3 § dataskyddslagen
Enligt 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs
16Prop. 2017/18:105, Ny dataskyddslag, s. 83. 17Prop. 2017/18:105, Ny dataskyddslag, s. 84. 18Prop. 2017/18:105, Ny dataskyddslag, s. 84.
enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker enbart med stöd av de nu nämnda grunderna är det enligt 3 kap. 3 § andra stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Bestämmelsen i dataskyddslagen kompletterar artikel 9.2 g i dataskyddsförordningen.19 När bestämmelsen infördes i dataskyddslagen konstaterade regeringen att det inte kan tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas. Regeringen bedömde därför att det behövdes särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla myndigheter och som uppfyller kraven i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i 3 kap. 3 § dataskyddslagen är avsedd att gälla för offentlig verksamhet där sektorspecifik reglering avseende behandling av känsliga personuppgifter saknas. Den ersätter dock inte artikel 6 eller artikel 9.2 g i dataskyddsförordningen. Den rättsliga grunden för behandlingen måste sökas någon annanstans än i dataskyddslagen. Vidare kan de krav på lämpliga och särskilda åtgärder som ställs i artikel 9.2 g vara uppfyllda även genom andra bestämmelser. Behandling av känsliga personuppgifter kan alltså ske med stöd av artikel 9.2 g även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts.20
Behandling som krävs enligt lag
Enligt 3 kap. 3 § första stycket 1 dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheterna och behandlingen krävs enligt lag. I förarbetena uttalas att viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av kraven i exempelvis offentlighets- och sekretesslagen (2009:400), OSL, och förvaltningslagen (2017:900), FL. Det rör sig om bl.a. krav på diarieföring och skyldighet att ta emot e-post. Enligt regeringen är den grundlagsfästa rätten att ta del
19 1 kap. 1 § första stycket dataskyddslagen. 20Prop. 2017/18:105, Ny dataskyddslag, s. 85 och 91.
av allmänna handlingar ett viktigt allmänt intresse. Den nödvändiga behandling av personuppgifter som sker vid hanteringen av allmänna handlingar har rättslig grund i svensk rätt, framför allt i offentlighets- och sekretesslagen, arkivlagstiftningen och förvaltningslagen. Denna lagstiftning innehåller enligt regeringen lämpliga och särskilda åtgärder som skyddar enskildas integritet, t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring. Enligt regeringens bedömning kan därmed även känsliga personuppgifter behandlas då det är nödvändigt i dessa sammanhang, med stöd av artikel 9.2 g i dataskyddsförordningen. För att det inte skulle råda något tvivel om att denna nödvändiga behandling var tillåten också efter ikraftträdandet av dataskyddsförordningen ansåg regeringen att dataskyddslagen skulle innehålla en uttrycklig bestämmelse som tydliggör detta.21
Behandling som är nödvändig för handläggningen av ett ärende
Enligt 3 kap. 3 § första stycket 2 dataskyddslagen får myndigheter också behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Enligt regeringen är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt och behandling av personuppgifter kan därmed ske på denna rättsliga grund. Det står enligt regeringens bedömning klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt.22 Att behandlingen måste vara nödvändig för handläggningen av ärendet innebär bl.a. att bara sådana uppgifter som behövs i ärendet får behandlas. Behandlingsåtgärden behöver dock inte vara oundgänglig.23
Behandling som inte innebär ett otillbörligt intrång
Enligt 3 kap. 3 § första stycket 3 dataskyddslagen får myndigheter behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
21Prop. 2017/18:105, Ny dataskyddslag, s. 86. 22Prop. 2017/18:105, Ny dataskyddslag, s. 87. 23Prop. 2017/18:105, Ny dataskyddslag, s. 194.
Av förarbetena till bestämmelsen framgår att även inom ramen för myndigheters faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden, är behandling av känsliga personuppgifter ofta nödvändig med hänsyn till viktiga allmänna intressen. Det kan t.ex. röra sig om att myndigheten besvarar en fråga från en medborgare som via e-post uppgett känsliga personuppgifter. Mot bakgrund av vikten av att samhällets funktioner upprätthålls uttalade regeringen att dataskyddslagen på ett likartat sätt som personuppgiftslagen (1998:204), PUL, dittills hade gjort skulle ge myndigheterna ett visst utrymme för behandling av känsliga personuppgifter även i den faktiska verksamheten. Utformningen av bestämmelsen i 3 kap. 3 § första stycket 3 är anpassad för att överensstämma med artikel 9.2 g i dataskyddsförordningen. Bestämmelsen tar sikte på sådan behandling som inte omfattas av övriga bestämmelser i dataskyddslagen om behandling av känsliga personuppgifter för viktiga allmänna intressen.24
Vidare är bestämmelsen i dataskyddslagen utformad på ett sätt som säkerställer att det alltid finns lämpliga och särskilda åtgärder för den registrerade, på det sätt som krävs för att nödvändig behandling av känsliga personuppgifter ska vara tillåten enligt artikel 9.2 g. Regeringen konstaterade i förarbetena att det i svensk rätt redan finns en omfattande sekretessreglering, till skydd för enskildas ekonomiska och personliga förhållanden, som i många fall utgör en tillräcklig skyddsåtgärd. Dessutom infördes en särskild sökbegränsning (se 3 kap. 3 § andra stycket dataskyddslagen). Regeringen bedömde dock att en särskild bestämmelse som reglerar möjligheten att behandla känsliga personuppgifter i myndigheternas faktiska verksamhet borde innehålla ytterligare särskilda skyddsåtgärder. Bestämmelsen innehåller därför ett krav på att behandlingen inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet. Detta krav motverkar enligt regeringen att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten, utan att annat författningsstöd finns. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Detta innebär inte att den personuppgiftsansvarige måste göra en bedömning i förhål-
24Prop. 2017/18:105, Ny dataskyddslag, s. 88–89.
lande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla uppgifterna är, desto större är dock sannolikheten för att de registrerades intresse typiskt sett väger tyngre och att intrånget därför bör betraktas som otillbörligt. Bestämmelsen kan t.ex. inte läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.25
Sökbegränsning
Av 3 kap. 3 § andra stycket dataskyddslagen framgår att vid behandling som sker enbart med stöd av bestämmelsens första stycke är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
I förarbetena uttalas att en sökning som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med en sökbegränsning uppnås därmed ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna. Den befintliga bestämmelsen utformades mot bakgrund av en bestämmelse om sökbegränsning som föreslogs gälla enligt brottsdatalagen. Det är därmed förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det innebär att det inte är tillåtet göra sökningar för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning.26
10.2.2. Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott
I artikel 10 i dataskyddsförordningen anges att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 (härefter benämnda uppgifter om lagöverträdelser) endast får utföras under kontroll av en myndighet eller då behand-
25Prop. 2017/18:105, Ny dataskyddslag, s. 89–90 och 194–195. 26Prop. 2017/18:105, Ny dataskyddslag, s. 90–91 och 195.
ling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.27
Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig. Det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Det finns dock ett visst utrymme för att i nationell rätt förtydliga innebörden av artikel 10 (skäl 8 till dataskyddsförordningen). Regeringen har därför ansett att det uttryckligen bör framgå av dataskyddslagen att personuppgifter som rör lagöverträdelser får behandlas av myndigheter.28 Av 3 kap. 8 § första stycket dataskyddslagen framgår följaktligen att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter.
Det finns inte något sökförbud i dataskyddslagen som omfattar sådana uppgifter som avses i artikel 10 i dataskyddsförordningen. Vidare anses uppgifter om lagöverträdelser vara av integritetskänslig karaktär varför de ofta är omgärdade av sekretess i det allmännas verksamhet.29
10.2.3. Personnummer och samordningsnummer
Ett identifikationsnummer, t.ex. personnummer eller samordningsnummer, är alltid en personuppgift enligt dataskyddsförordningen.30Enligt artikel 87 får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska
27 Begreppet säkerhetsåtgärder i artikel 10 har av regeringen bedömts som likvärdigt med straffprocessuella tvångsmedel, dvs. t.ex. häktning och anhållande enligt 24 kap. rättegångsbalken, se prop. 2017/18:105, Ny dataskyddslag, s. 98. Integritetsskyddsmyndigheten har i ett rättsligt ställningstagande bedömt att information om ett rättsligt förfarande som inletts mot en fysisk person utgör personuppgifter som rör lagöverträdelser som innefattar brott, att friande domar i brottmål omfattas av begreppet brottsuppgifter samt att uppgifter om att en fysisk person har eller kan ha begått ett visst brott (brottsmisstankar) kan utgöra brottsuppgifter, även om något rättsligt förfarande inte har inletts, om uppgifterna har en viss konkretionsgrad, se Rättsligt ställningstagande IMYRS 2021:1 – innebörden av begreppet ”person-
uppgifter som rör lagöverträdelser som innefattar brott”, s. 2.
28Prop. 2017/18:105, Ny dataskyddslag, s. 99. 29Prop. 2021/22:59, Ett ändamålsenligt skydd för tryck- och yttrandefriheten, s. 41. 30 Artikel 4.1 i dataskyddsförordningen.
i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen.
Personnummer och samordningsnummer är inte känsliga personuppgifter i dataskyddsförordningens mening men har getts en särställning genom artikel 87.31 Dataskyddsförordningen kräver dock inte att medlemsstaterna inför en särskild reglering av behandling av sådana uppgifter. Detta är en skillnad i förhållande till vad som tidigare gällde enligt 1995 års dataskyddsdirektiv32, vilket ställde krav på att medlemsländerna skulle reglera användningen av personnummer i lag.33 Det har i svensk rätt införts en särskild bestämmelse om behandling av personnummer och samordningsnummer som har sin grund i artikel 87 i dataskyddsförordningen. Enligt 3 kap. 10 § dataskyddslagen34 får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras.35 I 3 kap. 11 § dataskyddslagen finns en bestämmelse som innebär att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Några sådana ytterligare föreskrifter har ännu inte meddelats.
10.3. Den nuvarande regleringen för Skatteverket, Tullverket och Kronofogdemyndigheten
Av 1 kap. 7 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), framgår att känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om upp-
31Prop. 2017/18:105, Ny dataskyddslag, s. 101. 32 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 33 Se artikel 8.7 i dataskyddsdirektivet samt SOU 2015:73, Personuppgiftsbehandling på utlän-
nings- och medborgarskapsområdet, s. 105.
34 Bestämmelsen motsvarar den tidigare gällande regleringen i 22 § PUL, se prop. 2017/18:105,
Ny dataskyddslag, s. 199.
35Prop. 2017/18:105, Ny dataskyddslag, s. 199.
gifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen reglerar när behandling av sådana uppgifter får göras i ett ärende i det fall behandlingen inte sker i en databas utan t.ex. i en föredragningspromemoria, tjänsteanteckning eller liknande.36 Dessa uppgifter får i annat fall behandlas endast om det är särskilt angivet i 2 kap.
Av 2 kap. 4 § SdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 §. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Av 2 kap. 10 § SdbL framgår att vid sökning efter handlingar som avses i 4 § får endast uppgift om namn, person- eller samordningsnummer, beteckning för fastighet samt uppgifter som avses i 5 kap. 2 § OSL användas som sökbegrepp.37 Det innebär att datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning handlingen fått vid registreringen, i förekommande fall uppgifter om handlingens avsändare eller mottagare och kort vad handlingen rör får användas som sökbegrepp. I bestämmelsens andra stycke anges att uppgifter som avses i 1 kap. 7 § SdbL inte får användas som sökbegrepp.
Motsvarande reglering finns även i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL).
Regleringen i skattedatabaslagen innebär att Skatteverket i dag saknar möjlighet att behandla uppgifter om t.ex. anmälningar om misstankar om brott i beskattningsdatabasen.38 När det gäller känsliga personuppgifter finns särskilda regler om att uppgifter om avgifts-
36Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199. 37 Sökbegrepp har i andra sammanhang ansetts avse bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funktion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd, se prop. 2007/08:126, Patientdatalag m.m., s. 68. Om t.ex. namnet på en viss sjukdom används för att söka fram eller sammanställa alla handlingar som innehåller detta ord är namnet på sjukdomen ett sökbegrepp, se SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet
och integritet, s. 281–282.
38 Enligt bl.a. 17 § skattebrottslagen (1971:69) har Skatteverket en skyldighet göra en anmälan till åklagaren så snart det finns anledning att anta att brott enligt den lagen har begåtts. Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129.
skyldighet till trossamfund och medlemskap i fackförening får behandlas i databasen och därmed gemensamt i verksamheten.39 I övrigt får Skatteverket inte registrera känsliga personuppgifter i beskattningsdatabasen om de inte ingår i en elektronisk handling.40
När det gäller Skatteverkets folkbokföringsverksamhet framgår sedan den 1 september 2023 av 2 kap. 3 § första stycket 21 FdbL att uppgifter i form av fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa får behandlas i folkbokföringsdatabasen. Enligt 2 kap. 3 § andra stycket får vidare uppgifter behandlas i databasen som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495), oavsett om uppgifterna är sådana som avses i 1 kap. 6 §, dvs. känsliga personuppgifter m.m. Utöver detta finns för folkbokföringsverksamheten vissa särskilda begränsningar av vilka sökbegrepp som får användas vid sökningar i folkbokföringsdatabasen. Enligt 2 kap. 10 § första stycket FdbL får uppgifter om födelseort samt make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen41 i de fall de är grundat på adoption inte användas som sökbegrepp. Detsamma gäller uppgifter om inflyttning från utlandet eller uppehållsrätt för en person som är folkbokförd. Vidare får uppgifter om medborgarskap användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
I folkbokföringsdatabaslagen finns även vissa bestämmelser som uttryckligen reglerar behandling av personnummer och samordningsnummer. Till exempel anges i 2 kap. 3 § första stycket 1 att för de ändamål som anges i 1 kap. 4 § får person- eller samordningsnummer behandlas i databasen. I övriga aktuella registerförfattningar finns i stället bl.a. bestämmelser om att myndigheterna får behandla uppgifter om en fysisk persons identitet inom databaserna.42
39 Se 2 kap. 3 § första stycket 9 SdbL. 40 Se 2 kap. 4 § SdbL och prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och
exekution, s. 129.
41 Med annan person som den registrerade har samband med inom folkbokföringen enligt 2 kap. 3 § 10 FdbL avses annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, se 5 § förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF). 42 Se bl.a. 2 kap. 3 § första stycket 1 SdbL, 2 kap. 3 § första stycket 1 TDL och 2 kap. 5 § första stycket 1 KFMdbL.
Sedan den 1 maj 2023 finns ett nytt 2 a kap. i folkbokföringsdatabaslagen. Kapitlet innehåller bestämmelser om den s.k. analys- och urvalsdatabasen. Enligt 2 a kap. 3 § får för de ändamål som anges i 1 kap. 4 a § de uppgifter som avses i 2 kap. 3 och 4 §§ behandlas. Bestämmelsen innebär att uppgifter om fingeravtryck, ansiktsbilder och biometriska uppgifter samt andra känsliga personuppgifter om de den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen får behandlas i databasen. Uppgifter om fingeravtryck, ansiktsbilder och biometriska uppgifter får dock endast tillfälligt behandlas i folkbokföringsdatabasen för att kontrollera handlingars äkthet och innehavarens identitet. Därefter ska uppgifterna i folkbokföringsdatabasen omedelbart förstöras.43 I praktiken bör det därför inte bli aktuellt att behandla sådana uppgifter i analys- och urvalsdatabasen.
I övrigt får uppgifter om känsliga personuppgifter eller uppgifter om lagöverträdelser inte behandlas i folkbokföringsverksamhetens analys- och urvalsdatabas.44
Vidare finns i 2 a kap. 4 § FdbL en bestämmelse om sökbegrepp som anger att vid sökning i analys- och urvalsdatabasen gäller det som i 2 kap. 10 § sägs om sökbegrepp vid sökning i folkbokföringsdatabasen.
I kronofogdedatabaslagen finns vissa ytterligare bestämmelser om behandling av uppgifter om lagöverträdelser. I uppräkningarna av vilka uppgifter som får behandlas i utsöknings- och indrivningsdatabasen för ett i 2 kap. 2 § angivet ändamål ingår Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål.45 I betalningsföreläggande- och handräckningsdatabasen får för de ändamål som anges i 2 kap. 8 § uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål behandlas, om uppgifterna utgör grund för en begäran om utslag.46 Slutligen får i skuldsaneringsdatabasen för ett i 2 kap. 14 § angivet ändamål uppgifter om lagöverträdelser som innefattar
43 1 kap. 7 § FdbL. Se även prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 71. 44 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 29.
45 2 kap. 5 § första stycket 8 KFMdbL. 46 2 kap. 11 § första stycket 6 KFMdbL.
brott eller domar i brottmål behandlas, om uppgifterna utgör grund för en fordran i ett ärende.47
För Kronofogdemyndigheten finns också särskild reglering om sökbegrepp. I 2 kap. 29 § KFMdbL anges att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräckningsdatabasen i fråga om uppgifter om utslag i målet.
10.4. Annan lagstiftning på området
I andra myndighetsspecifika registerförfattningar finns olika typer av reglering av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, varav vissa inskränker möjligheten att behandla sådana uppgifter i förhållande till dataskyddsförordningen och dataskyddslagen. Det är relativt vanligt förekommande att regleringen är utformad på ett sådant sätt att den uttryckligen tillåter en viss myndighet att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. inom vissa angivna ramar. Det finns dock även bestämmelser som i stället anger vad som inte är tillåtet avseende behandling av sådana kategorier av uppgifter.
Utöver detta förekommer lagstiftning som begränsar användningen av vissa sökbegrepp. Flera av de registerförfattningar som innehåller bestämmelser om behandling av de särskilda kategorier av uppgifter som här är aktuella har sitt ursprung i bestämmelser som tillkom under den tid 1995 års dataskyddsdirektiv och personuppgiftslagen gällde. Sådana bestämmelser kan i sig även ha sitt ursprung från den tid då den tidigare datalagen (1973:289) gällde. Sedan dataskyddsförordningen trädde i kraft har bestämmelserna setts över för att anpassas till denna. I många fall har det dock inte skett någon genomgripande materiell översyn av reglerna annat än att lagstiftaren sett till att de inte strider mot dataskyddsförordningen.
I vissa registerförfattningar anges att känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas för vissa i lagen angivna ändamål.48 I andra anges att endast vissa uttryckligt angivna kategorier av känsliga personuppgifter får behandlas i vissa databaser.49 Det
47 2 kap. 17 § första stycket 6 KFMdbL. 48 Se t.ex. 6 § studiestödsdatalagen (2009:287) och 114 kap.11–12 §§socialförsäkringsbalken. 499 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen.
finns också bestämmelser som anger att känsliga personuppgifter endast får behandlas för vissa i lag särskilt angivna ändamål under förutsättning att uppgifterna är absolut nödvändiga för syftet med behandlingen eller att sådan behandling får utföras i löpande text för vissa i lag angivna ändamål om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i viss verksamhet.50 Det förekommer vidare bestämmelser där det mer allmänt anges att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.51 Ytterligare en typ av bestämmelse som förekommer anger att känsliga personuppgifter får behandlas endast om det är absolut nödvändigt för syftet med behandlingen.52
Annan reglering som kan återfinnas i registerförfattningar är en bestämmelse om att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personen utifrån sådana känsliga uppgifter som avses i artikel 9.1 i dataskyddsförordningen.53 I ytterligare annan, mer modern, registerförfattning finns det ingen särreglering som uttryckligen tillåter behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, men däremot regler som innehåller särskilda sökförbud.54 I den lag (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten som träder i kraft den 1 januari 2024 anges i 9 § att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. I ett par nu pågående lagstiftningsärenden finns liknande förslag till reglering, som dock även föreslås innehålla en uttrycklig hänvisning till bl.a. artikel 9.2 g i dataskyddsförordningen.55
När det gäller sektorspecifik reglering av sökbegrepp innehåller vissa registerförfattningar bestämmelser om att det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter om lagöverträdelser eller liknande formuleringar.56 Ofta finns då sådana bestämmelser tillsammans med undantag för när sökbegrepp
5014 § utlänningsdatalagen (2016:27). 517 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. 525 § kriminalvårdsdatalagen (2018:1235). 5313 § domstolsdatalagen (2015:728). 542 kap.3–4 §§ lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. 55Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 59–71 samt Ds 2023:13,
En registerlag för Inspektionen för socialförsäkringen, s. 61–72.
56 Se t.ex. 14 § domstolsdatalagen och 14 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.
som avslöjar sådana uppgifter får användas57, alternativt formulerat som situationer när sökförbudet inte gäller.58 Det finns också viss reglering som i stället uttömmande anger vilka sökbegrepp som får användas vid sökning efter uppgifter eller i samband med sammanställningar vilket därmed utesluter användning av känsliga personuppgifter som sökbegrepp.59 Utöver detta förekommer sökbegränsningar i registerförfattning som anger att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Till förbudet kan då även undantag finnas.60 I nyare lagstiftning eller pågående lagstiftningsärenden förekommer ofta olika former av sökförbud som utgår från syftet med en viss sökning snarare än att myndigheter förbjuds att använda vissa sökbegrepp.61
10.5. Myndigheternas behov
Myndigheternas uppfattningar om den nuvarande regleringen
Skatteverket och Tullverket anser att den nuvarande regleringen av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser är problematisk. Skatteverket är av uppfattningen att regleringen är mycket begränsande då all behandling av känsliga personuppgifter i princip måste vara knuten till ett ärende. Detta gäller såväl behandling i som utanför de reglerade uppgiftssamlingarna. Enligt Skatteverkets uppfattning är det mest ändamålsenligt att inte särreglera behandlingen av känsliga personuppgifter. Det är också viktigt att känsliga personuppgifter kan hanteras vid utveckling av verksamheten, t.ex. för utvecklings- och teständamål, när så behövs. Avseende regleringen om sökbegrepp anser Skatteverket att den, om den ska finnas kvar, bör ändras till sökbegränsningar och i stället utgöra ett förbud mot att utföra sökningar för att få fram ett urval av personer grundat på känsliga personuppgifter.
57 Se t.ex. 8 § studiestödsdatalagen. 58 Se t.ex. 15 § domstolsdatalagen och 14 § lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. 5915 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. 60 Se t.ex. 17 § utlänningsdatalagen och 6 § kriminalvårdsdatalagen. 61 Se t.ex. 3 § lagen om Rättsmedicinalverkets behandling av personuppgifter, 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten samt Ds 2023:10, En registerlag
för Myndigheten för vård- och omsorgsanalys, s. 73–77.
Tullverket har särskilt poängterat att regleringen av uppgifter om lagöverträdelser är mycket mer begränsande i tulldatabaslagen än vad som är motiverat av dataskyddsförordningens reglering. Bestämmelserna om rättslig grund och uppgiftsminimering i dataskyddsförordningen bör enligt Tullverket vara en tillräcklig reglering såvitt avser behandlingen av dessa uppgifter. Under alla förhållanden bör regleringen vara vidare än i dag och tillåta behandling om det är motiverat utifrån ändamålen med behandlingen.
Det kan enligt Tullverket också noteras att all behandling av personuppgifter vid myndigheten inte sker inom ramen för handläggning av ärenden och att det därför finns skäl att inte koppla regleringen till just handläggningen av ett ärende. För Tullverkets del avser detta enligt myndigheten exempelvis behandling vid utförandet av riskanalyser och urval, men också uppföljning och utvärdering av den egna verksamheten.
Tullverket har också uppgett att syftet med den nuvarande regleringen är svårtolkat. Enligt myndigheten är det otydligt om begränsningen av tillåtna sökbegrepp avser sökningar efter inkomna och upprättade handlingar generellt eller endast sökningar efter handlingar som innehåller känsliga personuppgifter och uppgifter om lagöverträdelser. Om begränsningen avser sökningar generellt medför regleringen enligt Tullverket direkta hinder i verksamheten. Regleringen kan då också medföra att onödiga juridiska bedömningar behöver göras i situationer där inga eller begränsade integritetsintressen gör sig gällande. Det är enligt Tullverket också otydligt om sökförbudet endast gäller för att hitta ärenden och handlingar eller om det är sökning bland uppgifter generellt som är otillåtet på det sätt som anges i regleringen.
Enligt Tullverkets uppfattning bör en framtida reglering inte vara mer långtgående än vad som är nödvändigt för att tillvarata viktiga integritetsintressen. Det finns enligt Tullverket också skäl att skilja på vad som ska gälla för känsliga personuppgifter och uppgifter om lagöverträdelser. Tullverket ser inte något behov av att reglera sökförbud kopplat till uppgifter om lagöverträdelser.
Om regleringen även fortsättningsvis ska likna den som gäller i dag behöver det enligt Tullverket finnas undantag som möjliggör utförandet av riskanalyser och urval samt uppföljning och utvärdering av ärenden, arbetsmetoder och metoder för riskanalyser och urval.
Kronofogdemyndigheten har påpekat att den nuvarande regleringen är föråldrad och att det finns behov av en tydligare reglering
som är bättre anpassad till moderna ärendehanteringssystem där all handläggning sker digitalt. Även om dagens bestämmelser inte hindrar att uppgifter som behandlas i ett ärende förs över till andra ärenden, om de är nödvändiga för handläggningen av dem, är särregleringen vad gäller databaser problematisk. Vidare kan enligt Kronofogdemyndigheten formuleringarna av bestämmelsen om sökbegrepp vara begränsande. Regleringen är enligt myndigheten svårtolkad och inte utformad för digital ärendehandläggning. I stället för reglering av sökbegrepp vore det enligt Kronofogdemyndigheten bättre att reglera sökbegränsningar som en skyddsåtgärd. Myndigheten anser också att det saknas skäl att alls reglera sökningar som rör uppgifter om lagöverträdelser. Sökbegränsningen om utslag är därtill utformad på så sätt att motsvarande uppgifter kan sökas fram på annat sätt. Regleringen har därför enligt myndigheten spelat ut sin roll.
Myndigheterna behöver behandla känsliga personuppgifter och uppgifter om lagöverträdelser
Skilda behov som är svåra att kartlägga på ett uttömmande sätt
Skatteverket, Tullverket och Kronofogdemyndigheten behandlar alla i någon mån känsliga personuppgifter. Omfattningen av behovet av behandling av sådana uppgifter skiljer sig dock åt. Den behandling av känsliga personuppgifter som faktiskt äger rum är emellertid i stor utsträckning nödvändig för att myndigheterna ska kunna utföra sina uppgifter. Det är svårt att uppskatta omfattningen av respektive myndighets behandling av känsliga personuppgifter. I förarbetena till de nu gällande registerförfattningarna angavs att det sällan torde komma i fråga för dessa myndigheter att behandla känsliga personuppgifter.62Mot bakgrund av detta och med hänsyn till myndigheternas uppdrag och uppgifter kan slutsatsen dras att det inte heller i dag är fråga om en stor del av de personuppgifter som myndigheterna behandlar.
Det är också svårt att mer detaljerat ange alla kategorier av känsliga personuppgifter som myndigheterna behandlar. Myndigheterna kan exempelvis inte styra över vilka känsliga personuppgifter som kommer in till myndigheterna från enskilda i ärenden eller i andra fall då enskilda kontaktar myndigheterna. Sådana uppgifter behöver bl.a. kunna behandlas under hela ärendehandläggningen till dess att
62Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101.
ett beslut har fattats. Vilka kategorier av känsliga personuppgifter som behöver kunna behandlas kan också relativt snabbt förändras till följd av ändringar i den materiella verksamhetsregleringen, som t.ex. inkomstskattelagen (1999:1229), IL, eller den unionsrättsliga tullkodexen med kompletterande lagstiftningsakter.63 Det är också ett skäl till att det är svårt att uttömmande kartlägga vilka typer av känsliga personuppgifter som myndigheterna behöver stöd för att kunna behandla.64
Skatteverket, Tullverket och Kronofogdemyndigheten har vidare i vissa fall behov av att kunna behandla uppgifter om lagöverträdelser. Liksom vad gäller känsliga personuppgifter är det svårt att uppskatta omfattningen och kategorier av uppgifter om lagöverträdelser som myndigheterna behandlar.
Även om det är svårt att på ett mer exakt sätt uppskatta och kartlägga omfattningen och kategorierna av känsliga personuppgifter och uppgifter om lagöverträdelser som behandlas och kan komma att behöva behandlas inom myndigheternas verksamheter ges några exempel i följande avsnitt.
Gemensamma behov
Myndigheterna behöver fortsatt kunna behandla känsliga personuppgifter och uppgifter om lagöverträdelser som inkommer till myndigheterna i bl.a. elektroniska handlingar, såsom e-postmeddelanden, från enskilda vars innehåll myndigheterna själva inte kan styra över.65Så kan vara fallet både inom och utom ett enskilt ärende. Sådana uppgifter kan också vara i den enskildes intresse att myndigheterna behandlar och beaktar inom ramen för exempelvis ett ärende.66 Vidare behöver myndigheterna fortsatt kunna behandla känsliga personuppgifter och uppgifter om lagöverträdelser i handlingar som upprättas av myndigheten. Det kan röra sig om ett behov av att använda sådana uppgifter i en skriftlig motivering till ett beslut, för att skriva ner vad en enskild framför i ett telefonsamtal i en tjänsteanteckning som elek-
63 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen. 64 Ett exempel på att den materiella verksamhetsregleringen kan förändras snabbt är att det tidigare gavs möjlighet till skattereduktion för fackföreningsavgift, men regleringen av denna skattereduktion togs bort den 1 april 2019 efter att enbart kort dessförinnan ha återinförts från och med den 1 juli 2018, se SFS 2018:626 och SFS 2019:128 samt prop. 2017/18:127, Åter-
införande av skattereduktion för fackföreningsavgift.
65 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101–102. 66 Jfr prop. 2015/16:65, Utlänningsdatalag, s. 80.
troniskt tillförs ett ärende eller för att upprätta en föredragningspromemoria som förberedelse inför föredragning av ett beslut. Även själva besluten i ärendehandläggningen kan behöva innehålla känsliga personuppgifter eller uppgifter om lagöverträdelser eftersom det i vissa fall kan vara avgörande för t.ex. utgången i det enskilda målet eller ärendet.
Utöver behandling av känsliga personuppgifter och uppgifter om lagöverträdelser som är kopplade till ärendehandläggning finns ytterligare situationer när myndigheterna behöver kunna behandla sådana uppgifter, nämligen i s.k. faktisk verksamhet. Berörda myndigheter har uppgett att det även finns ett behov av att kunna behandla uppgifterna för att t.ex. utföra tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Enligt vår mening är det viktigt att myndigheterna kan bevaka och utvärdera effektiviteten och kvaliteten i den egna verksamheten. Så har även regeringen tidigare bedömt vara fallet för t.ex. Migrationsverket och andra myndigheter som omfattas av utlänningsdatalagen.67 Behovet kan t.ex. uppkomma genom att myndigheterna av regeringen åläggs att ta fram viss statistik som bygger på känsliga personuppgifter, exempelvis hur många som under en viss period har medgetts befrielse från förseningsavgifter av hälsoskäl. Sådana behov kan även finnas internt hos myndigheterna för att kunna planera och fördela resurser till rätt områden inom verksamheterna. Myndigheterna har också ett behov av att kunna behandla känsliga personuppgifter och uppgifter om lagöverträdelser för att göra dataanalyser och urval. Närmare redogörelser för och överväganden av denna fråga finns i avsnitt 14.9.2.
Vid utlämnande eller inhämtande av uppgifter till eller från andra myndigheter kan myndigheterna komma att ta del av uppgifter om lagöverträdelser.68 Vidare kan det förekomma situationer när myndigheterna gör en anmälan om misstankar om brott till Polismyndigheten eller åklagare. Sådana uppgifter måste enligt vår mening kunna behandlas av myndigheterna, liksom uppgifter om anmälan t.ex. lett till åtal och en efterföljande fällande dom.69
67Prop. 2015/16:65, Utlänningsdatalagen, s. 82. 68 Se t.ex. lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet med tillhörande förordning. 69 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 366.
Skatteverkets beskattningsverksamhet
Skatteverket behöver inom ramen för beskattningsverksamheten t.ex. kunna behandla uppgifter om människors religiösa övertygelse för att hantera kyrkoavgiften70 samt avgifter till annat registrerat trossamfund än Svenska kyrkan i inkomstdeklarationer.71 Vidare har avgift till fackförening fram till den 1 april 2019 medfört rätt till avdrag varför sådana uppgifter fortfarande behandlas vid Skatteverket.72 Det finns också ett behov av att kunna hantera uppgifter om fysiska personers hälsa i form av bl.a. sjukdomar som kan åberopas som skäl för anstånd med betalning av skatter eller avgifter. Det kan även röra sig om fall där Skatteverket kan besluta om hel eller delvis befrielse från en särskild avgift om det är oskäligt att avgiften tas ut med fullt belopp, varvid det särskilt ska beaktas om den felaktighet eller passivitet som har lett till avgiften kan antas ha bl.a. berott på hälsa eller liknande förhållande.73 Uppgifter om hälsa behöver också kunna behandlas till följd av de individuppgifter i arbetsgivardeklarationer som lämnas in till Skatteverket vilka t.ex. kan avse uppgifter om sjukpenning och rehabiliteringspenning.74 Vidare finns regler om att skattereduktion ska göras för bl.a. sjukersättning och aktivitetsersättning.75 Känsliga personuppgifter om enskilda behöver i vissa fall även behandlas vid tilldelning av organisationsnummer för bl.a. juridiska personer enligt lagen (1974:174) om identitetsbeteckning för juridiska personer m.fl., samt vid namn- eller adressändring för juridiska personer. Det kan nämligen av inskickat underlag framgå att vissa utpekade fysiska personer är företrädare för föreningar eller andra sammanslutningar som t.ex. avser politiska partier eller religiösa samfund.
Vidare har Skatteverket ett behov av att behandla uppgifter om lagöverträdelser för att utföra vissa av sina uppdrag. Exempelvis finns en skyldighet för myndigheten att göra anmälan till åklagare så snart det finns anledning att anta att brott enligt skattebrottslagen (1971:69)
707 och 8 §§ lagen (1998:1591) om Svenska kyrkan, 16 § lagen (1998:1593) om trossamfund och 56 kap. 8 § skatteförfarandelagen (2011:1244), SFL. 71 Se bl.a. 1 och 5 §§ lagen (1999:291) om avgift till registrerat trossamfund, 16 § lagen om trossamfund och 56 kap. 8 § SFL. 72 Se 67 kap. 2 § IL i sin lydelse enligt SFS 2018:626 då skattereduktion skulle göras för bl.a. fackföreningsavgift. Bestämmelsen upphävdes dock att gälla i denna del genom SFS 2019:128, se prop. 2018/19:45, Avskaffad skattereduktion för fackföreningsavgift. 73 Se 51 kap. 1 § SFL. Se även prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull
och exekution, s. 101.
74 Jfr bl.a. 2 kap. 15 § socialavgiftslagen (2000:980). 7567 kap. 2 § IL.
har begåtts76 eller så snart det finns anledning att anta att någon har gjort sig skyldig till bokföringsbrott eller grovt bokföringsbrott enligt 11 kap. 5 § brottsbalken.77 Det finns också ett behov av att behandla uppgifter om lagöverträdelser för att kunna tillämpa regleringen som rör förbudet mot dubbla förfaranden i beskattningsverksamheten.78 Ett annat exempel är att Skatteverket behöver ha möjlighet att behandla brottmålsdomar i utredningar om företrädaransvar. I sådana domar kan även känsliga personuppgifter förekomma. Vidare behöver myndigheten behandla uppgifter om lagöverträdelser inför godkännande av deklarationsombud, varvid omständigheten att ombudet har dömts för brott i näringsverksamhet eller för annan ekonomisk brottslighet har betydelse för lämplighetsbedömningen.79
Skatteverkets folkbokföringsverksamhet
I Skatteverkets folkbokföringsverksamhet finns sedan den 1 september 2023 ett behov av att kunna behandla biometriska uppgifter i form av fingeravtryck och ansiktsbild till följd av en ändring i folkbokföringslagen (1991:481), FOL, och lagen (2022:1697) om samordningsnummer.80
Vidare kan uppgifter om att en person vistas på sjukhus eller i fängelse vara relevant i bosättningsutredningar, vilket indirekt i vissa fall bör kunna ses som uppgifter om hälsa samt lagöverträdelser.81 Ett annat exempel är ärenden om skyddad folkbokföring82 i vilka Skatteverket kan behöva behandla känsliga personuppgifter om bl.a. hälsa, religiös övertygelse, politiska åsikter eller sexuell läggning. Sådana kategorier av uppgifter förekommer i t.ex. handlingar från den enskilde samt yttranden från psykolog eller socialtjänst. I ärenden om skyddad folkbokföring är det även vanligt att det förekommer uppgifter
7617 § skattebrottslagen. 77 18 § första stycket 4 skatteförfarandeförordningen (2011:1261), SFF. 78 Se bl.a. 49 kap. 10 a och 10 b §§ SFL. 796 kap. 6 § SFL. 80 Se 26 b § och 26 c § FOL samt 2 kap. 3 och 4 §§ lagen om samordningsnummer. I den nuvarande folkbokföringsdatabaslagen anges i 2 kap. 3 § första stycket 21 att Skatteverket får behandla sådana uppgifter i folkbokföringsdatabasen för de ändamål som anges i 1 kap. 4 § samma lag. 81 Se 9 § FOL. 82 Se bl.a. 16 § första stycket FOL i vilken det anges att en person som av särskilda skäl kan antas bli utsatt för brott, förföljelser eller allvarliga trakasserier på annat sätt, får efter egen ansökan medges att vara folkbokförd på en annan folkbokföringsort än där personen är bosatt (skyddad folkbokföring) om åtgärden med hänsyn till den enskildes förmåga och övriga förutsättningar kan antas tillgodose behovet av skydd.
om lagöverträdelser i t.ex. brottmålsdomar och yttranden från Polismyndigheten.
Vidare kan uppgifter om medborgarskap eller inflyttning från utlandet i förekommande fall innehålla uppgifter som avslöjar etniskt ursprung. Sådana uppgifter faller visserligen som regel utanför förbudet mot att behandla uppgifter om etniskt ursprung, men om uppgiften i det enskilda fallet avslöjar etniskt ursprung utgör den känsliga personuppgifter.83 Uppgifterna måste dock kunna registreras av Skatteverket för att uppfylla kraven i bl.a. folkbokföringslagen.
Skatteverket har även inom folkbokföringsverksamheten en skyldighet att göra en anmälan till Polismyndigheten eller till åklagare så snart det finns anledning att anta att någon har gjort sig skyldig till vissa i folkbokföringsförordningen (1991:749) respektive förordningen (2023:363) om samordningsnummer särskilt uppräknade brott.84
Tullverket
Tullverket behöver t.ex. ha stöd för att behandla uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Det behövs bl.a. vid hantering av deklarationer för in- och utförsel av varor samt vid riskhantering i syfte att hindra in- eller utförsel av varor som kan skada människors liv eller hälsa. I sådana fall kan typen av vara, t.ex. läkemedel eller böcker samt tidskrifter, tillsammans med uppgifter om avsändare och mottagare, avslöja känsliga personuppgifter om en fysisk person.85 Det kan t.ex. avslöja vilken sjukdom en enskild person har mot bakgrund av vilket läkemedel som importeras. Vidare kan sådana uppgifter också behöva behandlas för att säkerställa efterlevnaden av produktsäkerhetskrav, t.ex. då det finns risk för läkemedelsförfalskning. Ett annat konkret exempel är in- eller utförsel av varor som adresserats till politiska, religiösa, kulturella eller fackliga organisationer vilka indirekt kan avslöja uppgifter om enskilda personers etnicitet, politiska åsikter, reli-
83Prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 325 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 363.
8411 § folkbokföringsförordningen och 20 § förordningen om samordningsnummer. 85 Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178 där regeringen uttalar att smugglingsmetoder eller föremål som smugglas kan avslöja religiös övertygelse eller politiska åsikter.
giösa övertygelse eller medlemskap i fackförening. Inom sitt uppdrag med säkerhet och skydd behöver Tullverket även övervaka import av varor till vissa individer. Det rör sig bl.a. om individer som har bedömts förekomma i ett sammanhang där de skulle kunna ha en roll i anskaffningsförsök av varor som kan komma att användas i terroristrelaterad verksamhet.
Ett annat exempel är att Tullverket vid bedömningen av om det finns förutsättningar för hel eller delvis befrielse från tulltillägg eller förseningsavgift särskilt ska beakta om den felaktighet eller passivitet som lett till avgiften kan antas ha berott på bl.a. hälsa varför sådana typer av känsliga personuppgifter behöver kunna behandlas.86
Tullverket har också behov av att kunna behandla uppgifter om lagöverträdelser. Exempelvis anges i tullkodexen att kriterierna för att bevilja status som ”godkänd ekonomisk aktör”87 innefattar bl.a. frånvaro av alla former av allvarliga överträdelser eller upprepade överträdelser av tullagstiftningen och skattereglerna, inbegripet att den sökande inte får vara dömd för allvarliga brott som rör hans eller hennes ekonomiska verksamhet.88 Vidare har Tullverket till följd av EUgemensamma riskkriterier en skyldighet att beakta tidigare brottslighet vid riskanalyser som leder till urval för kontroll.89 Ett annat exempel är att en tullkontroll kan resultera i ett beslag varför sådana uppgifter behöver kunna behandlas. Det är också nödvändigt att Tullverket kan följa upp resultat och effektiviteten i myndighetens metoder för tullkontroll.90
Kronofogdemyndigheten
Även Kronofogdemyndigheten behöver behandla känsliga personuppgifter för att utföra vissa uppgifter. Exempelvis kan grunden för ett krav inom verksamheten med betalningsföreläggande vara utebliven betalning av avgift till fackförening. Vidare kan uppgifter om hälsa behöva behandlas i ärenden om skuldsanering och verkställig-
86 Se 5 kap. 17 § första stycket 1 tullagen (2016:253). 87 Se bl.a. artiklarna 38 och 39 i tullkodexen. 88 Artikel 39 a i tullkodexen. 89 Att det finns EU-gemensamma riskkriterier för tullmyndigheterna inom arbetet med säkerhet och skydd framgår bl.a. av artikel 46.3 i tullkodexen. Riskkriterierna anges i en genomförandeakt som antagits av EU-kommissionen genom artikel 50.1 i tullkodexen och är inte offentliga. Se för vidare information Europeiska kommissionens hemsida, https://taxationcustoms.ec.europa.eu/measures-customs-risk-management-framework_en [hämtad 2023-03-27]. 90 Jfr t.ex. Riksrevisionen (2019), Tullverkets kontroll – en träffsäker verksamhet?, rapport 2019:12.
het. Exempelvis är enligt 7 § skuldsaneringslagen (2016:675) ett av kriterierna för skuldsanering att gäldenären inte kan antas ha förmåga att betala sina skulder inom överskådlig tid. Om gäldenären exempelvis påstår bristande arbetsförmåga som ett skäl för skuldsanering kan detta behöva underbyggas genom att han eller hon ger in ett läkarintyg till Kronofogdemyndigheten. Gäldenären kan också behöva ge in t.ex. ett läkarintyg i ett omprövningsärende av en redan beviljad skuldsanering om denne ansöker om att på grund av sjukdom få betala mindre.
Kronofogdemyndigheten har också ett behov av att kunna behandla uppgifter om beslut om olika ekonomiska ersättningar, t.ex. sjukpenning, från Försäkringskassan vilka kan utgöra känsliga personuppgifter.91 Redan uppgiften om att någon har beviljats en socialförsäkringsförmån har nämligen ansetts kunna utgöra en känslig personuppgift om hälsa.92
Kronofogdemyndigheten behöver vidare kunna behandla uppgifter om lagöverträdelser. Så är fallet avseende exempelvis skadestånd i brottmål då det kan ligga till grund för en fordran inom verksamheten med betalningsföreläggande och verkställighet eller som är en del av de skulder som omfattas av en ansökan om skuldsanering.93 Förekomsten av en skuld på grund av skadestånd för brott kan också påverka skälighetsbedömningen enligt 9 § skuldsaneringslagen på det sättet att omständigheten måste beaktas i beslut. Kronofogdemyndigheten kan också behöva behandla uppgifter om lagöverträdelser för att kontakta målsäganden efter dom i brottmål.94 Utöver detta behöver sådana uppgifter bl.a. behandlas vid tillsyn över näringsförbud95 och vid tillsyn över konkursförvaltare då uppgift om brott kan ha betydelse för bedömning av lämpligheten och frågan om entledigande.96 Inom verksamheten med verkställighet kan vidare uppgifter om fällande domar i brottmål behöva behandlas som ett led i myndighetens säkerhetsbedömning inför förrättning.
91 Se 3 § förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter. 92Prop. 2022/23:34, Utbetalningsmyndighetens, s. 134 och SOU 2020:35, Kontroll för ökad
tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 363.
9312 § skuldsaneringslagen. 942 kap. 3 § andra stycket utsökningsförordningen (1981:981). 9541 § lagen (2014:836) om näringsförbud. 967 kap.1 och 5 §§konkurslagen (1987:672).
10.6. Den nuvarande regleringen bör ses över och uppdateras
Vår bedömning: De nu gällande bestämmelserna om Skatte-
verkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bör ses över och uppdateras.
Skälen för vår bedömning
Känsliga personuppgifter
När de nuvarande bestämmelserna utformades och trädde i kraft gällde 1995 års dataskyddsdirektiv och den numera upphävda personuppgiftslagen med tillhörande förordning. Personuppgiftslagen byggde på dataskyddsdirektivet som krävde införlivning i svensk rätt. Personuppgiftslagen innehöll inte några särskilda undantag från det då gällande förbudet97 mot behandling av känsliga personuppgifter som var tillämpliga i de aktuella verksamheterna.98 Den generella regleringen innebar därmed att det behövde finnas uttryckliga bestämmelser som tillät behandling av känsliga personuppgifter för att täcka nödvändig behandling.99 När personuppgiftslagen gällde var det vidare vanligt att sektorspecifika registerförfattningar innehöll särskild reglering av myndigheters behandling av känsliga personuppgifter.100 Det kan till viss del bero på att artikel 8.4 i dataskyddsdirektivet föreskrev att under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse fick medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag för behandling av känsliga personuppgifter än de som nämndes i artikel 8.2.
Till skillnad från dataskyddsdirektivet och personuppgiftslagen innebär dataskyddsförordningen att de föreskrivna undantagen från förbudet mot behandling av känsliga personuppgifter är direkt tillämpliga för de nationella myndigheterna, även om vissa undantag i sig kräver
9713 § PUL. 98Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101. 99 Jfr SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 291. 100SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 291.
kompletterande nationell lagstiftning.101 Myndigheterna kan därmed stödja viss behandling av känsliga personuppgifter redan på grundval av dataskyddsförordningens bestämmelser under de förutsättningar som där anges.
Berörda myndigheter har uttryckt att den nuvarande utformningen av lagstiftningen i olika avseenden är problematisk.102 Det kan konstateras att de nuvarande registerförfattningarna är mer detaljerade och långtgående än dataskyddsförordningen och dataskyddslagen. Berörda myndigheters reglering skiljer sig något åt till följd av de olika behoven i verksamheterna. Det kan dock konstateras att de befintliga registerförfattningarna huvudsakligen tillåter behandling av känsliga personuppgifter och uppgifter om lagöverträdelser103 i följande situationer.104
- Behandling utanför databaserna får ske under förutsättning att uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I ett sådant fall görs ingen skillnad mellan uppgifter i och utom elektroniska handlingar.
- Behandling inom databaserna får ske i form av uppgifter som registreras för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften endast om det är särskilt angivet i den lag som reglerar behandlingen av personuppgifter.
- Behandling inom databaserna får även ske om uppgifterna finns i en elektronisk handling som har kommit in i ett ärende.
- Behandling inom databaserna får slutligen ske om uppgifterna finns i en elektronisk handling som har upprättats i ett ärende om de är nödvändiga för ärendets handläggning.
I dataskyddsförordningen och dataskyddslagen görs inte någon uppdelning mellan uppgifter som förekommer i elektroniska handlingar eller som enskilda sökbara uppgifter. Det kan visserligen finnas verksamheter inom vilka det är motiverat att upprätthålla en mer avgränsad
101 T.ex. kräver undantaget i artikel 9.2 g att det viktiga allmänna intresset ska grunda sig på unionsrätten eller nationell rätt vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 102 Se avsnitt 10.5. 103 Samma regler gäller generellt sett för såväl känsliga personuppgifter som uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. 104 Se avsnitt 10.3 för en utförligare redogörelse av gällande rätt.
reglering.105 Skatteverket, Tullverket och Kronofogdemyndigheten kan dock genom de nuvarande bestämmelserna hindras att utföra vissa av de författningsreglerade uppgifter som åligger dem. Exempelvis har myndigheterna begränsade möjligheter att behandla känsliga personuppgifter i s.k. faktisk verksamhet som inte utgör ärendehandläggning. Sådan behandling kan dock behöva utföras för att myndigheterna t.ex. ska kunna delta i olika nationella eller EU-rättsliga samverkansprojekt på det sätt som olika författningar eller regeringsbeslut kräver.
Den nuvarande regleringen kan också utgöra en begränsning av möjligheterna att behandla känsliga personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering av verksamheterna, samt framställning av statistik eller testverksamhet. Det hindrar också myndigheternas möjligheter att göra vissa urval av bl.a. ärenden eller personer för ytterligare kontroll. Dessa begränsningar kan ifrågasättas eftersom sådan verksamhet är en förutsättning för att myndigheterna fortlöpande ska kunna bevaka effektiviteten och kvaliteten i verksamheten. Det är bl.a. av vikt för att upprätthålla en väl fungerande ärendehandläggning, vilket i sin tur gagnar enskilda registrerade. Vi anser att det finns goda möjligheter att säkerställa ett tillräckligt integritetsskydd på andra sätt än att helt undanta vissa möjligheter för myndigheterna att över huvud taget behandla sådana uppgifter, t.ex. genom att reglera särskilda sökbegränsningar och tillgången till uppgifterna (se bl.a. avsnitten 7.7 och 10.9).
Vidare innebär dagens reglering att inkommande elektroniska handlingar som innehåller känsliga personuppgifter som inte hör till ett ärende inte får behandlas inom databaserna.106 Det kan t.ex. röra sig om e-postmeddelanden från enskilda med allmänna frågor som myndigheten måste besvara till följd av den allmänna serviceskyldigheten.107Dessa regler kan i sig påverka hur myndigheterna rent tekniskt behöver utforma sina verksamhetsstöd. Vi bedömer att ett fullgott integritetsskydd även i sådana situationer kan uppnås genom andra
105Prop. 2017/18:105, Ny dataskyddslag, s. 91. 106 När det gäller behandling av känsliga personuppgifter i handlingar som inkommer till eller upprättas av myndigheterna kan det nämnas att oaktat om behandlingen kan anses vara nödvändig, t.ex. för att handlägga ett ärende, kan den behöva bevaras för att uppfylla tryckfrihetsförordningens krav på utlämnande av allmänna handlingar samt arkivlagens krav på bevarande av allmänna handlingar. Sådan fortsatt behandling är dock tillåten även enligt dataskyddsförordningen med stöd av artikel 5.1 b alternativt på den grunden att tryckfrihetsförordningens regler har företräde framför dataskyddsförordningen och dataskyddslagen, se 1 kap. 7 § dataskyddslagen samt artikel 85 i dataskyddsförordningen. 107 6 § andra stycket FL.
medel än en reglering som innebär att en viss typ av behandling inte är tillåten nationellt för de berörda myndigheterna.
Utöver detta bedömer vi att den nuvarande regleringen kan vara svår att tillämpa vid en helt digitaliserad ärendehandläggning. Som framgått ovan gäller i dag, med vissa undantag för Kronofogdemyndigheten och Skatteverket, att vid handläggning av ärenden inom respektive databas får känsliga personuppgifter framför allt behandlas i handlingar som kommit in till eller upprättats av myndigheterna. I annat fall behöver behandlingen ske utanför databaserna samt avse uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det (se t.ex. 1 kap. 7 § SdbL). Huvuddelen av myndigheternas ärendehandläggning sker dock i dag inom databaserna vilket innebär att de uppgifter som behövs för ärendehandläggning vanligen är gemensamt tillgängliga i olika verksamhetssystem. Det finns visserligen vissa skillnader mellan myndigheterna i detta avseende. Kronofogdemyndigheten ser det som att i princip all ärendehandläggning vid myndigheten i dag sker inom databaserna vilket innebär att bestämmelsen i 1 kap. 6 § KFMdbL, som reglerar behandling utanför databaserna och som är vidare än bestämmelserna i 2 kap., sällan blir aktuell att tillämpa. Inom Skatteverkets beskattningsverksamhet sker dock viss ärendehandläggning utanför databaserna, vilket innebär att bestämmelsen om behandling av känsliga personuppgifter utanför beskattningsdatabasen tillämpas i vissa fall.
Oaktat de skillnader som kan finnas mellan myndigheterna kan det ifrågasättas om det mot bakgrund av den nuvarande, närmast fullständigt, digitaliserade ärendehandläggningen fortsatt finns skäl att upprätthålla den nuvarande regleringen. Då bestämmelserna skiljer på uppgifter som behandlas inom eller utanför databaserna kan regleringen leda till att myndigheterna anpassar ärendehandläggningen till registerförfattningarna i stället för att utveckla det mest effektiva arbetssättet. Vidare behöver myndigheterna i vissa fall lägga tid och resurser på att avgöra vad som är en (elektronisk) handling trots att någon sådan uppdelning inte finns i dataskyddsförordningen eller dataskyddslagen. Den nuvarande regleringen riskerar dessutom att hindra myndigheternas arbete med att digitalisera ärendehandläggningen. Eftersom känsliga personuppgifter i dag enbart får behandlas i handlingar i verksamhetssystem som används gemensamt av fler än ett fåtal tjänstemän försvåras utvecklingen av nya system som ska användas gemensamt genom vilka enskilda kan lämna in uppgifter som inte
ingår i en elektronisk handling.108 Det kan här nämnas att regeringen i samband med införandet av dataskyddslagen anförde att nödvändig behandling av känsliga personuppgifter, bl.a. i elektroniska ärendehanteringssystem, bör vara tillåten vid handläggningen av ett ärende oavsett om uppgifterna förekommer i löpande text eller inte. Enligt regeringen skulle befintliga skyddsåtgärder t.ex. i fråga om sekretessbestämmelser i stället kompletteras med en sökbegränsning, dvs. nuvarande 3 kap. 3 § andra stycket dataskyddslagen.109
Även det förhållandet att vi föreslår att det inte längre ska finnas någon reglering av databaser (se avsnitt 9.4.2) föranleder nya överväganden och en uppdatering av den aktuella regleringen. Vi anser att det inte längre bör göras någon skillnad på behandling av känsliga personuppgifter som kan anses vara gemensamt tillgängliga eller inte. Dataskyddsförordningens särskilda reglering avseende känsliga personuppgifter gäller oaktat om en enskild medarbetare behandlar sådana personuppgifter i ett ordbehandlingsprogram på sin dator eller om uppgifterna finns i ett verksamhetssystem som är tillgängligt för en större mängd medarbetare vid myndigheten. Så bör enligt vår mening även vara fallet vid sådan behandling som sker vid Skatteverket, Tullverket och Kronofogdemyndigheten.
Sammantaget anser vi att de nu gällande bestämmelserna om känsliga personuppgifter behöver ses över och uppdateras. Integritetsskäl kräver dock noggranna överväganden av en förändrad reglering som innebär att myndigheterna ges en utökad möjlighet att behandla känsliga personuppgifter m.m. i förhållande till vad som gäller i dag.110
Uppgifter om lagöverträdelser
Enligt den nuvarande ordningen gäller i huvudsak samma regler för berörda myndigheters behandling av uppgifter om lagöverträdelser som vid behandling av känsliga personuppgifter.111 Det innebär att myndigheterna får behandla uppgifter om lagöverträdelser i mindre utsträckning än vad som gäller enligt dataskyddsförordningen och dataskyddslagen. Vid tidpunkten för införandet av de nu gällande be-
108 Jfr SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 444. 109Prop. 2017/18:105, Ny dataskyddslag, s. 88. 110 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till
EU:s dataskyddsförordning, s. 63 och prop. 2017/18:105, Ny dataskyddslag, s. 91.
111 Se avsnitt 10.3 för närmare redogörelser av den nuvarande sektorspecifika regleringen.
stämmelserna angavs i artikel 8.5 i dataskyddsdirektivet bl.a. att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder endast fick utföras under kontroll av en myndighet. Vidare angavs att medlemsstaterna fick föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet. I den numera upphävda 21 § PUL angavs bl.a. att det var förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.
När Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar anpassades till dataskyddsförordningen konstaterade regeringen att sådana bestämmelser om behandling av uppgifter om lagöverträdelser som fanns i registerförfattningarna inte krävs med anledning av artikel 10 i dataskyddsförordningen eller dataskyddslagen. Regeringen konstaterade därefter att begränsningarna i berörda myndigheters registerförfattningar har införts i syfte att skydda den personliga integriteten. Då det inte hade framkommit några skäl att upphäva dessa bestämmelser bedömde regeringen att de skulle finnas kvar.112
Av de skäl som anförts ovan avseende känsliga personuppgifter anser vi dock att det inte längre är ändamålsenligt att upprätthålla den nuvarande regleringen, vilken bl.a. gör skillnad på uppgifter i handlingar och uppgifter i eller utom databaserna samt särreglerar behandling som sker vid ärendehandläggning. När det gäller behandling av uppgifter om lagöverträdelser finns det dessutom inte lika begränsande reglering för myndigheter i fråga om sådan behandling i artikel 10 i dataskyddsförordningen till skillnad från vad som gäller för behandling av känsliga personuppgifter. Detsamma gäller i fråga om dataskyddslagens bestämmelser (3 kap. 8 §). Vidare har dataskyddsförordningens ikraftträdande inneburit vissa materiella skillnader i förhållande till vad som tidigare gällde enligt dataskyddsdirektivet. Exempelvis omfattas inte längre uppgifter om friande domar i brottmål eller administrativa frihetsberövanden av ordalydelsen i den generella EU-rättsliga dataskyddsregleringen.113
112Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 66.
113Prop. 2017/18:105, Ny dataskyddslag, s. 98.
Mot denna bakgrund anser vi att det även finns skäl att se över och uppdatera de nu gällande bestämmelserna om behandling av uppgifter om lagöverträdelser.
10.7. En ny reglering av behandling av känsliga personuppgifter
Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndig-
heten ska få behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Skälen för vårt förslag
Behandling av känsliga personuppgifter för ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen
För att Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla känsliga personuppgifter vid utförandet av sina respektive uppdrag krävs att behandlingen är tillåten. Som vi redogör för i avsnitt 10.2.1 är behandling av känsliga personuppgifter som huvudregel förbjuden enligt dataskyddsförordningen (artikel 9.1). Det finns dock ett antal undantag som innebär att förbudet inte ska tillämpas (artikel 9.2). Det undantag som framför allt kommer att komma i fråga för berörda myndigheter att tillämpa är artikel 9.2 g. Enligt den artikeln är det tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Regeringen har uttalat att det anses utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt.114 För
114Prop. 2017/18:105, Ny dataskyddslag, s. 83.
myndigheters del innefattar detta bl.a. den behandling av känsliga personuppgifter som är nödvändig för att de ska kunna utföra sina uppdrag enligt materiell verksamhetslagstiftning och respektive myndighets instruktion. I skäl 112 till dataskyddsförordningen anges internationella utbyten av uppgifter mellan bl.a. skatte- eller tullmyndigheter som exempel på viktiga allmänintressen.
Syftet med Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter är exempelvis att fastställa och ta ut skatter, tullar, socialavgifter och andra avgifter för att säkerställa en riktig uppbörd115, ge olika samhällsfunktioner ett korrekt underlag för beslut och åtgärder genom folkbokföringsuppgifterna116, övervaka och kontrollera trafiken till och från Sverige117 eller driva in skulder i samhället.118 Myndigheternas arbetsuppgifter är bl.a. av betydelse för att en rad olika samhällsfunktioner ska fungera och i förlängningen för att upprätthålla samhällets tilltro till välfärdssystemen. När myndigheterna behandlar känsliga personuppgifter som är nödvändiga för att myndigheterna ska kunna utföra sina uppgifter är det alltså fråga om sådan behandling som avses i artikel 9.2 g i dataskyddsförordningen, dvs. en behandling som är av viktigt allmänt intresse.
När det gäller myndigheternas materiella verksamhetsreglering som fastställts i svensk rätt bör utgångspunkten vara att denna uppfyller kraven på proportionalitet i artikel 6.1 c och e i dataskyddsförordningen.119 Som ovan nämnts ställer artikel 9.2 g krav på att behandlingen av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Regeringen har tidigare uttalat att detta innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen på det sätt som regeringen ansett är fallet avseende de rättsliga grunderna i artikel 6.1.120 Artikel 9.2 g bör alltså tolkas så att det är den materiella verksamhetsregleringen vilken reglerar myndig-
115 Jfr 1 § förordningen (2017:154) med instruktion för Skatteverket och 1 § förordningen (2016:1332) med instruktion för Tullverket. 116 Jfr 2 § förordningen med instruktion för Skatteverket. 117 Jfr 2 § förordningen med instruktion för Tullverket. 118 Jfr 1 § förordningen (2016:1333) med instruktion för Kronofogdemyndigheten. 119Prop. 2017/18:105, Ny dataskyddslag, s. 50. 120Prop. 2017/18:105, Ny dataskyddslag, s. 84.
heternas uppgifter, och därmed det viktiga allmänna intresset, som ska ligga till grund för behandlingen och vara proportionerlig, vilket den som utgångspunkt kan anses vara i svensk rätt.
Vidare ställer dataskyddsförordningen särskilda krav på det rättsliga stödet, vilket måste vara förenligt med det väsentliga innehållet i rätten till dataskydd. I förarbetena till dataskyddslagen uttalar regeringen att det är svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd. Om grunden för behandlingen inte är förenlig med det väsentliga innehållet i rätten till dataskydd, torde den enligt regeringen inte utgöra en godtagbar rättslig grund för behandling av personuppgifter över huvud taget. Det kan enligt regeringen därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse.121 Under förutsättning att berörda myndigheter, vid behandling av personuppgifter för ett allmänt intresse, har rättslig grund för den behandling som är nödvändig att utföra, bör alltså kravet på förenlighet med det väsentliga innehållet i rätten till dataskydd kunna ses som uppfyllt.
Utöver detta tillkommer enligt artikel 9.2 g ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. I de föreslagna lagarna kommer det att finnas bestämmelser som kompletterar dataskyddsförordningens bestämmelser om när behandling av personuppgifter kan tillåtas. Lagarna kommer också att innehålla olika former av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som myndigheterna utför. Det handlar t.ex. om bestämmelser om personuppgiftsansvar, tillgång till personuppgifter, sökbegränsningar och längsta tid för behandling. Därutöver finns och föreslås finnas sekretessbestämmelser som är tillämpliga inom respektive myndighets verksamhet (se avsnitten 3.3.4–3.3.6 och 15.2–15.5).
Sammantaget innebär detta enligt vår bedömning att den behandling av känsliga personuppgifter som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra uppfyller kraven i artikel 9.2 g om att den nationella rätten ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till data-
121Prop. 2017/18:105, Ny dataskyddslag, s. 84.
skydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Behandlingen bör regleras i de nya lagarna
När Skatteverket, Tullverket och Kronofogdemyndigheten behandlar känsliga personuppgifter görs det i dag i enlighet med de sektorspecifika registerförfattningarna. Dessa författningar är begränsande i förhållande till dataskyddsförordningen och dataskyddslagen. Frågan är om det fortfarande kan anses vara nödvändigt med sektorspecifik reglering av behandling av känsliga personuppgifter. Om så är fallet blir nästa fråga hur en sådan reglering bör se ut.
Skatteverkets, Tullverkets och Kronofogdemyndighetens behov av att behandla känsliga personuppgifter har beskrivits i avsnitt 10.5. Vi konstaterar ovan att samtliga krav som ställs upp i artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas med hänsyn till ett viktigt allmänt intresse är uppfyllda för den personuppgiftsbehandling som sker vid Skatteverket, Tullverket och Kronofogdemyndigheten inom ramen för de nya lagarna. Den behandling som är nödvändig för myndigheterna att utföra för att verksamheterna ska kunna bedrivas på ett korrekt och effektivt sätt är därmed enligt vår mening redan tillåten enligt dataskyddsförordningen. Artikel 9.2 g i dataskyddsförordningen är direkt tillämplig i myndigheternas verksamheter. Det är dock möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser avseende känsliga personuppgifter (artikel 6.2 och 6.3 samt skäl 10).122
Som framgår av avsnitt 10.2.1 finns i 3 kap. 3 § dataskyddslagen en generell bestämmelse som ger myndigheter stöd för behandling av känsliga personuppgifter för ett viktigt allmänt intresse. Enligt denna bestämmelse får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1), om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2), eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt
122 Se även bl.a. prop. 2017/18:105, Ny dataskyddslag, s. 75 och prop. 2017/18:95, Anpassningar
av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 61.
intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3).
Bestämmelsen i 3 kap. 3 § dataskyddslagen är enligt förarbetena avsedd att gälla för offentlig verksamhet där sektorspecifik reglering avseende behandling av känsliga personuppgifter saknas. I samma förarbeten anges att det kan finnas anledning att för vissa sektorer närmare precisera och avgränsa möjligheterna att behandla känsliga personuppgifter ytterligare och det kan finnas ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dessa bestämmelser medger.123
Skatteverket, Tullverket och Kronofogdemyndigheten kommer enligt vår bedömning att kunna behandla personuppgifter enligt 3 kap. 3 § första stycket 1 dataskyddslagen i t.ex. de fall behandlingen krävs i myndigheternas verksamhet som en direkt följd av framför allt offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras.124 En relativt omfattande del av berörda myndigheters verksamheter består vidare av ärendehandläggning i förvaltningslagens mening. Regleringen i 3 kap. 3 § första stycket 2 dataskyddslagen bedöms därför vara tillräcklig för att myndigheterna ska kunna behandla känsliga personuppgifter som behövs i ett ärende.125 Det är dock inte lika tydligt att myndigheterna kommer att ha det stöd som krävs för att behandla känsliga personuppgifter i annat fall, nämligen i faktisk verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden. Enligt 3 kap. 3 § första stycket 3 dataskyddslagen får som ovan nämnts sådan annan behandling ske, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Även sådan behandling sker löpande i berörda myndigheters verksamheter. Det kan i vissa fall röra sig om ett behov av att behandla relativt stora mängder känsliga personuppgifter, t.ex. vid hantering av inkommande handlingar som inte hör till ärenden eller vid utförande av dataanalyser och urval.
Av den allmänna motiveringen till 3 kap. 3 § första stycket 3 dataskyddslagen framkommer bl.a. att bestämmelsen har getts ett snävt tillämpningsområde för att markera att den är avsedd att användas restriktivt. Vidare framgår av motiven att kravet på att behandlingen
123Prop. 2017/18:105, Ny dataskyddslag, s. 91. 124 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194. 125 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.
inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet, motverkar att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten utan att annat författningsstöd finns. I förarbetenas författningskommentar anges att bestämmelsen inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten.126
Det kan göras gällande att dessa förarbetsuttalanden innebär att behandling av personuppgifter inom myndigheternas kärnverksamhet inte kan ske med stöd av 3 kap. 3 § första stycket 3 dataskyddslagen.127Enligt vår mening bör dock inte det förhållandet att bestämmelsen inte kan tillämpas slentrianmässigt anses innebära att behandling av känsliga personuppgifter i en myndighets löpande verksamhet aldrig kan stödja sig på denna grund. Snarare bör tillämpningssvårigheter i vissa myndigheters verksamheter kunna uppkomma till följd av att bestämmelsen ska användas restriktivt samt att personuppgiftsansvariga myndigheter vid tillämpning av bestämmelsen, i det enskilda fallet, måste göra en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning.128 Just sådana tillämpningssvårigheter kan enligt vår bedömning uppkomma om Skatteverket, Tullverket och Kronofogdemyndigheten behöver stödja viss personuppgiftsbehandling på 3 kap. 3 § första stycket 3 dataskyddslagen. Detta mot bakgrund av den omfattande och löpande behandling av känsliga personuppgifter i faktisk verksamhet som myndigheterna har ett behov av att kunna utföra.129 Det kan därför ifrågasättas om berörda myndigheter vid varje tillfälle kommer att ha det stöd som krävs för sådan behandling i den löpande verksamheten. I förarbetena till bestämmelsen anges vidare att den inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter.130 Sådana sammanställningar kommer dock i särskilda fall kunna aktualiseras, bl.a. till följd av de möjligheter till att göra dataanalyser och urval som myndigheterna får genom våra förslag.
126Prop. 2017/18:105, Ny dataskyddslag, s. 88–89 och 194. 127 Jfr Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 69 och Ds 2023:13, En registerlag för Inspektionen för socialförsäkringen, s. 67–68 samt SOU 2023:21,
Informationsförsörjning på skolområdet – Skolverkets ansvar, s. 262.
128Prop. 2017/18:105, Ny dataskyddslag, s. 194. 129 Se avsnitt 10.5 avseende myndigheternas olika behov av att kunna behandla känsliga personuppgifter i bl.a. faktisk verksamhet. 130Prop. 2017/18:105, Ny dataskyddslag, s. 195.
Vi gör sammantaget bedömningen att dataskyddslagens bestämmelser om behandling av känsliga personuppgifter för ett viktigt allmänt intresse inte säkerställer att myndigheterna i tillräcklig utsträckning har det rättsliga stöd som krävs för nödvändig behandling i den löpande faktiska verksamheten.
Enligt förarbetena till dataskyddslagen kan dock de krav på lämpliga och särskilda åtgärder som ställs i artikel 9.2 g i dataskyddsförordningen vara uppfyllda även genom andra bestämmelser än de som finns i 3 kap. 3 § dataskyddslagen. Av samma förarbeten framgår att behandling av känsliga personuppgifter alltså kan ske med stöd av artikel 9.2 g även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts.131 Vi har ovan bedömt att det kommer att finnas lämpliga och särskilda skyddsåtgärder som ska tillämpas vid myndigheternas behandling av personuppgifter, bl.a. genom de föreslagna sökförbuden nedan (se avsnitt 10.9). Även övriga krav i artikel 9.2 g bedöms vara uppfyllda. Trots att det inte står helt klart att 3 kap. 3 § första stycket 3 kommer att kunna ge det stöd som krävs för myndigheternas behandling av känsliga personuppgifter i faktisk verksamhet bör myndigheterna alltså redan med stöd av artikel 9.2 g i dataskyddsförordningen kunna behandla känsliga personuppgifter i den utsträckning som är nödvändig. Regleringen i 3 kap. 3 § dataskyddslagen infördes även för att det inte kan tas för givet att det för all offentlig verksamhet redan finns lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g för att känsliga personuppgifter ska få behandlas.132 Detta talar sammantaget för att några särskilda nationella bestämmelser som ger berörda myndigheter rätt att behandla känsliga personuppgifter inom de föreslagna lagarnas tillämpningsområden inte behövs. Vi har mot denna bakgrund övervägt att inte särreglera tillåtligheten av myndigheternas behandling av känsliga personuppgifter. Det skulle innebära att dataskyddsförordningens och dataskyddslagens bestämmelser i stället skulle vara tillämpliga, med undantag för de sökbegränsningar som föreslås nedan (se avsnitt 10.9).
Även om Skatteverket, Tullverket och Kronofogdemyndigheten troligen kommer att kunna behandla känsliga personuppgifter i den utsträckning som är nödvändig på grundval av den allmänna dataskyddsregleringen anser vi att det för berörda myndigheter finns skäl att införa en ny särskild reglering avseende sådan behandling i de
131Prop. 2017/18:105, Ny dataskyddslag, s. 91. 132Prop. 2017/18:105, Ny dataskyddslag, s. 85.
föreslagna lagarna. Det skulle göra det tydligt att myndigheterna har stöd för all den behandling av känsliga personuppgifter som är nödvändig i myndigheternas verksamheter. Det finns dock inte skäl att genom särskilda bestämmelser ytterligare begränsa möjligheterna att behandla känsliga personuppgifter i förhållande till vad som gäller enligt den generella dataskyddsregleringen. En sådan begränsning skulle riskera att hindra Skatteverket, Tullverket och Kronofogdemyndigheten från att kunna utföra sina författningsreglerade uppgifter på ett ändamålsenligt sätt. Det är, som redan konstaterats, mycket svårt att förutse alla de situationer då myndigheterna kan komma att ha ett legitimt behov av att behandla känsliga personuppgifter. I avsnitt 10.6 har vi redogjort för vår bedömning att de nu gällande bestämmelserna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bör ses över och uppdateras. Mot bakgrund av dessa slutsatser anser vi inte heller att de begränsningar som nuvarande reglering innefattar bör föras över till de nya lagarna.
Vi anser i stället att det i de nya lagarna bör införas bestämmelser om att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Det rör sig om sådana specifika bestämmelser som det är tillåtet att införa i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Sådana särskilda bestämmelser i de föreslagna lagarna innebär att regleringen kommer att gälla före bestämmelsen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse i 3 kap. 3 § första stycket dataskyddslagen.133 De ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen.134
Som tidigare nämnts utför berörda myndigheter omfattande personuppgiftsbehandling som rör en stor del av Sveriges befolkning. Det svårt att överblicka och på något mer precist sätt beskriva all den behandling av känsliga personuppgifter som myndigheterna behöver kunna utföra till följd av sina författningsreglerade uppgifter. Det förhållandet att myndigheternas författningsreglerade uppgifter förändras över tid, vilket även kan ske snabbt, ställer krav på att regleringen av myndigheternas personuppgiftsbehandling är tillräckligt flexibel samtidigt som den personliga integriteten värnas. En tillåtande
133 Se 1 kap. 6 § dataskyddslagen. 134 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 91.
reglering som den nu föreslagna skulle enligt vår mening uppfylla dessa krav. Vidare ger det myndigheterna förutsättningar att utföra sina respektive uppdrag utan att rättslig osäkerhet begränsar det arbete som måste utföras. Det bidrar också till en ökad transparens i förhållande till bl.a. de registrerade och tillsynsmyndigheten. Syftet med en sådan bestämmelse skulle vidare vara att det så långt som möjligt ska stå klart för myndigheterna att det finns lagstöd för den behandling av känsliga personuppgifter som behöver utföras inom respektive verksamhet. Detta är även av vikt då myndigheternas personuppgiftsbehandling i vissa fall innebär betydande intrång i enskildas personliga integritet. När det gäller behandling som innebär betydande intrång i den personliga integriteten och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs även särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF.135
Bestämmelserna om behandling av känsliga personuppgifter bör av tydlighetsskäl hänvisa till att de avser uppgifter som anges i artikel 9.1 i dataskyddsförordningen. Samtliga kategorier av känsliga personuppgifter kommer alltså att få behandlas inom lagarnas tillämpningsområden. Ett skäl till detta är att det är svårt att förutse alla de kategorier av känsliga personuppgifter som berörda myndigheter har behov av att kunna behandla, bl.a. mot bakgrund av att myndigheterna inte kan styra över vilka uppgifter som vid varje given tidpunkt kommer in till dem. Det kan därför inte uteslutas att samtliga kategorier av känsliga personuppgifter är nödvändiga att behandla nu eller i framtiden. Hänvisningen till artikel 9.1 innebär vidare att bestämmelsen avser förordningen i den vid varje tidpunkt gällande lydelsen. I likhet med regeringens bedömning i andra lagstiftningsärenden bedömer vi att någon uttrycklig hänvisning till artikel 9.2 g inte behövs, eftersom en förutsättning för regleringen är att behandlingen är nödvändig för ett viktigt allmänt intresse.136
Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.137 Det behöver alltså inte vara omöjligt för myndigheterna att utföra sina författningsreglerade uppgifter om inte känsliga personuppgifter behandlas. Behandlingen måste dock alltid vara motiverad utifrån de författningsreglerade uppgifterna och behövas för att myndigheterna ska kunna bedriva respek-
135Prop. 2017/18:105, Ny dataskyddslag, s. 90. 136 Se t.ex. prop. 2018/19 :118, Reglering av mikrosimuleringsmodellen Fasit, s. 33 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 132. 137 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.
tive verksamhet på ett korrekt, rättssäkert och effektivt sätt.138 Om det finns andra sätt genom vilka ändamålet med behandlingen kan uppnås, bör dessa emellertid användas i stället. Det kan t.ex. handla om att uppgifterna anonymiseras eller att andra typer av uppgifter behandlas. Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av känsliga personuppgifter som har samband med bestämmande av skatt eller tull, för att avgöra om någon har rätt till skuldsanering eller för att avgöra om någon ska medges skyddad folkbokföring i enlighet med i författning fastställda bestämmelser får dock typiskt sett anses vara exempel på situationer då behandlingen av känsliga personuppgifter är nödvändig av hänsyn till ett viktigt allmänt intresse.139 Vid myndigheternas bedömning av vad som utgör nödvändig behandling av hänsyn till ett viktigt allmänt intresse behöver dataskyddsförordningens grundläggande principer om bl.a. uppgiftsminimering (artikel 5.1 c) och lagringsminimering (artikel 5.1 e) alltid beaktas.
Sammanfattningsvis föreslår vi alltså att de nya lagarna ska innehålla en bestämmelse som anger att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Myndigheterna kan även komma att tillämpa andra undantag i artikel 9.2 i EU:s dataskyddsförordning
Vi har ovan bedömt att Skatteverket, Tullverket och Kronofogdemyndigheten kan behandla känsliga personuppgifter med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s dataskyddsförordning. Beroende på omständigheterna i det enskilda fallet kan dock myndigheterna komma att behöva behandla känsliga personuppgifter även på grundval av andra direkt tillämpliga undantag som föreskrivs i dataskyddsförordningen. Det finns inte heller någonting i dataskyddsförordningen som hindrar att flera undantag som tillåter behandling av känsliga personuppgifter är tillämpliga samtidigt.
138 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83. 139 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83.
Inom myndigheternas kärnverksamheter kan det exempelvis bli aktuellt att tillämpa undantaget i artikel 9.2 f.140 Enligt den bestämmelsen är behandling av känsliga personuppgifter tillåten om den är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. En tillämpning av detta undantag kan t.ex. bli aktuellt vid Skatteverkets fastställande av skatteavdrag eller vid bestämmande av hur mycket en registrerad fysisk person som är medlem i Svenska kyrkan ska betala in till Skatteverket. Undantaget kan även tänkas träffa t.ex. Tullverkets arbete med att fastställa tullar, skatter och avgifter eller Kronofogdemyndighetens uppgift att meddela utslag i enlighet med en ansökan i ett mål om betalningsföreläggande eller handräckning. I motsats till artikel 9.2 g ställer artikel 9.2 f inte upp några särskilda krav på innehållet i unionsrätten eller den nationella rätten.141
Ytterligare ett exempel är att det kan bli aktuellt för berörda myndigheter att tillämpa undantaget i artikel 9.2 j i dataskyddsförordningen, framför allt vid behandling som behövs för att följa regler om arkivering. Enligt den artikeln är behandling av känsliga personuppgifter tillåten om den är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I detta fall ställs alltså särskilda krav på unionsrätten eller nationell rätt för att behandling ska kunna ske med stöd av undantaget.142 Ytterligare bestämmelser om behandling med stöd av artikel 9.2 j i dataskyddsförordningen finns därför i 3 kap. 6 och 7 §§ dataskyddslagen.
140 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till
EU:s dataskyddsförordning, s. 61.
141 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 75. 142Prop. 2017/18:105, Ny dataskyddslag, s. 75.
En utvidgning av möjligheten att behandla känsliga personuppgifter är proportionerlig
Genom att förändra regleringen avseende behandling av känsliga personuppgifter på det sätt som vi föreslår i detta avsnitt kommer myndigheterna att ges större möjligheter att behandla känsliga personuppgifter jämfört med i dag. En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden.
Det kommer genom våra förslag t.ex. inte längre göras någon skillnad på vilka regler som gäller beroende på om känsliga personuppgifter behandlas i elektroniska handlingar eller som registrerade uppgifter i olika verksamhetssystem. Om övriga krav för behandlingen av känsliga personuppgifter är uppfyllda kommer myndigheterna alltså tillåtas föra över känsliga personuppgifter från handlingar till t.ex. ett fritextfält. Det kommer vidare inte längre finnas någon mer avgränsad reglering för behandling av uppgifter som kan anses vara gemensamt tillgängliga än vad som kommer gälla för sådan behandling som utförs av t.ex. en enskild medarbetare vid dennes lokala dator i ett ordbehandlingsprogram eller i en föredragningspromemoria. Myndigheterna kommer också kunna behandla känsliga personuppgifter i högre utsträckning i s.k. faktisk verksamhet eftersom föreslagen reglering inte kommer vara kopplad till ärendehandläggning. Det betyder också att känsliga personuppgifter kommer att kunna behandlas för t.ex. tillsyn, kontroll, uppföljning, planering av en verksamhet, framställning av statistik eller testverksamhet och liknande interna behov så länge dataskyddsförordningens krav är uppfyllda.143
Det kommer inte heller att finnas någon sektorspecifik lagreglering som närmare avgränsar på vilket sätt eller i vilken verksamhet behandling av känsliga personuppgifter får ske. Med andra ord kommer alla typer av känsliga personuppgifter att få behandlas av myndigheterna, med undantag för vad som nedan anges om sökförbud, så länge det finns rättsligt stöd genom ett tillämpligt undantag för behandlingen och förutsättningarna för sådan behandling i övrigt är uppfyllda.
143 Det kan här nämnas att regeringen avseende andra myndigheters personuppgiftsbehandling tidigare har bedömt att det inte behövs någon särskild ändamålsbestämmelse för att känsliga personuppgifter ska få behandlas för tillsyn, kontroll, uppföljning eller planering av en verksamhet, se prop. 2015/16:65, Utlänningsdatalag, s. 82.
De nuvarande reglerna infördes bl.a. i syfte att skydda den personliga integriteten.144 Våra bedömningar kan visserligen sägas innebära att enskildas integritetsskydd blir mindre starkt i förhållande till vad som gäller vid berörda myndigheters behandling i dag då känsliga personuppgifter m.m. kommer tillåtas att behandlas i fler situationer. Det kommer också att ställas högre krav på den personuppgiftsansvariga myndigheten att avgöra vad som är tillåten behandling i t.ex. faktisk verksamhet.
Våra bedömningar innebär dock inte att myndigheterna ges möjlighet att behandla känsliga personuppgifter utan att det finns en legitim grund för att göra det. Mot bakgrund av att en del av dataskyddsförordningens syfte är att varken begränsa eller förbjuda det fria flödet av personuppgifter inom unionen145 anser vi att det är ändamålsenligt och i linje med EU-rätten att låta motsvarande reglering om tillåten behandling av känsliga personuppgifter få större genomslag i berörda myndigheters verksamheter, tillsammans med de föreslagna kompletterande bestämmelserna som ger stöd för behandlingen. Mot bakgrund av den betydelse berörda myndigheter har i att upprätthålla ett väl fungerande välfärdssystem som enskilda har förtroende för, anser vi att det är av stor vikt att de inte hindras i arbetet med att bidra till ett väl fungerande samhälle eller bedriva sin respektive verksamhet på ett korrekt, effektivt och rättssäkert sätt.
Vidare anser vi att våra bedömningar inte medför ett otillräckligt integritetsskydd för enskilda registrerade. Det är i grunden är en direkt tillämplig EU-förordning samt en nationell lag avsedd att komplettera denna på det sätt som EU-förordningen kräver som kommer att avgöra vilken behandling som är tillåten. En stor del av integritetsskyddet bör därutöver anses ligga i andra reglerade skyddsåtgärder, såsom bestämmelser om sekretess, sökbegränsningar och tillgången till uppgifter.146 I dag är även personuppgiftsansvaret samt de skyldigheter som följer av detta tydligt reglerade i dataskyddsförordningen, och det finns bestämmelser om sanktionsavgifter som kan bli tilllämpliga vid felaktig behandling.147 Det är även vår uppfattning att en dataskyddsreglering inte bör riskera att inskränka myndigheternas möjlighet att utföra de uppdrag som bl.a. riksdag och regering har
144Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104. 145 Artikel 1.3 i dataskyddsförordningen. 146 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 88. 147 Se bl.a. artikel 4.7, artikel 24 samt artikel 83 i dataskyddsförordningen. Se även bl.a. 2 kap. 2–7 §§ dataskyddslagen.
gett dem. Som framkommit i avsnitt 10.5 har de berörda myndigheterna också ett enligt vår bedömning legitimt behov av att i sina verksamheter behandla känsliga personuppgifter på det sätt som är tillåtet enligt den generella dataskyddsregleringen.
Vid tidpunkten då de nu gällande lagarna om personuppgiftsbehandling vid berörda myndigheter justerades med anledning av dataskyddsförordningens ikraftträdande uttalade regeringen att det i lagarna fanns särskilda bestämmelser som var ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det och regler om förbud mot att söka på känsliga personuppgifter i databaser. Regeringen uttalade vidare att denna reglering uppfyller dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, varför den ansågs möjlig att behålla.148 Vi menar att oavsett det förhållandet att våra förslag innebär att denna begränsande reglering inte längre kommer att finnas kvar, kommer regleringen att innehålla sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen. Detta genom de nya lagarnas särskilda skyddsåtgärder samt befintliga och föreslagna sekretessbestämmelser.
Redan när dataskyddsförordningen skulle börja tillämpas övervägde regeringen även alternativet att låta dataskyddslagens bestämmelser om behandling av känsliga personuppgifter gälla vid behandling enligt berörda myndigheters registerlagar. Enligt regeringen hade det dock inneburit en utvidgning av möjligheterna att behandla känsliga personuppgifter på ett sätt som det då inte hade framkommit ett behov av. Bestämmelserna i berörda lagar behölls därför.149 Vi har ovan bedömt att det inte heller nu är lämpligt att låta den generella dataskyddsregleringens bestämmelser om känsliga personuppgifter gälla vid myndigheternas behandling av känsliga personuppgifter. Som framkommit i avsnitt 10.6 anser vi dock att det i dag finns skäl att uppdatera och utvidga den nuvarande regleringen mot bakgrund av den generella dataskyddsregleringens utformning och myndigheternas behov.
148Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 62–63.
149Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 63.
Behandling av känsliga personuppgifter bör dock naturligtvis aldrig ske slentrianmässigt.150 Känsliga personuppgifter bör tvärtom behandlas restriktivt och myndigheterna behöver göra en bedömning av om kraven för sådan behandling är uppfyllda i det enskilda fallet.151Dataskyddsförordningen ställer höga krav för sådan behandling. Det måste alltid finnas en rättslig grund för behandlingen och de grundläggande principerna för behandling samt de särskilda krav som gäller för behandling av känsliga personuppgifter måste följas. Behandling av ovidkommande uppgifter i myndigheternas verksamheter är därmed inte tillåten. Till exempel kan Skatteverket, liksom i dag, inte behandla uppgifter om enskildas sexuella läggning vid bestämmande av skatt. Därutöver måste myndigheterna hålla en hög skyddsnivå för sådana typer av uppgifter genom att se till att det finns tillräckliga tekniska och organisatoriska säkerhetsåtgärder på plats.152 Våra övriga förslag som syftar till att stärka dataskyddet innebär också att ytterligare skyddsåtgärder måste vidtas. Samtliga skyddsåtgärder kommer vidare att gälla all behandling, oavsett vilken typ av uppgifter det rör.
Som vi konstaterat ovan anser vi att den behandling myndigheterna behöver utföra står i proportion till det eftersträvade syftet och att behandlingen uppfyller kraven i bl.a. artikel 9.2 g i dataskyddsförordningen. Enligt vår bedömning finns det tillräckliga skäl att inte begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter i förhållande till dataskyddsförordningen på det sätt som gäller i dag, trots den utvidgning som den föreslagna regleringen innebär. Mot bakgrund av vad som nu har anförts får en särskild bestämmelse som tillåter nödvändig behandling anses stå i proportion till det intrång i de registrerades personliga integritet sådan behandling kan medföra.
Sammantaget anser vi att den nuvarande regleringen av behandling av känsliga personuppgifter kan utmönstras och ersättas av den föreslagna utan att det påverkar regleringens proportionalitet.
150 Jfr prop. 2000/01:80, Ny socialtjänstlag m.m., s. 144. 151 Jfr SOU 2017:29, Brottsdatalag, s. 270. 152 Se artiklarna 24, 25 och 32 i dataskyddsförordningen. T.ex. anges i artikel 25.1 om inbyggt dataskydd och dataskydd som standard att behandlingens art samt risker för fysiska personers rättigheter och friheter ska beaktas vid genomförandet av tekniska och organisatoriska säkerhetsåtgärder så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas.
10.8. Behandling av personuppgifter om lagöverträdelser bör inte längre begränsas eller på annat sätt regleras särskilt
Vår bedömning: Den behandling av personuppgifter om fällande
domar i brottmål och lagöverträdelser som innefattar brott som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra bör inte längre begränsas eller på annat sätt särregleras i de nya lagarna.
Skälen för vår bedömning
Behandlingen bör inte längre begränsas eller på annat sätt särregleras i lag eller förordning
Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Regeringen har i propositionen som föregick dataskyddslagen uttalat att den del av artikel 10 som rör behandling av uppgifter under kontroll av en myndighet är direkt tillämplig och i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet.153 Innebörden av artikel 10 har förtydligats i svensk rätt genom bestämmelsen i 3 kap. 8 § dataskyddslagen i vilken det anges att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter.
Behandling av uppgifter om lagöverträdelser kan anses vara särskilt riskfylld och är därför särskilt reglerad i dataskyddsförordningen, om än inte på ett lika begränsande sätt för myndigheter som t.ex. regleringen avseende känsliga personuppgifter i artikel 9. Särskild reglering avseende behandling av uppgifter om lagöverträdelser finns
153Prop. 2017/18:105, Ny dataskyddslag, s. 99.
även ofta i registerförfattningar för myndigheter. I Skatteverkets, Tullverkets och Kronofogdemyndighetens nuvarande registerlagar154har regleringen av behandling av uppgifter om lagöverträdelser en vidare innebörd än i artikel 10 i dataskyddsförordningen.155 I de lagarna regleras som ovan nämnts behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Så såg även regleringen ut i den numera upphävda 21 § PUL, som hade sin grund i 1995 års dataskyddsdirektiv. De nuvarande bestämmelserna om behandling av personuppgifter om lagöverträdelser i berörda myndigheters sektorspecifika registerförfattningar utgör alltså en begränsning av den generella dataskyddsregleringen i dataskyddsförordningen och dataskyddslagen.
De närmare behov av att behandla personuppgifter om lagöverträdelser som Skatteverket, Tullverket och Kronofogdemyndigheten har framgår i avsnitt 10.5. De utgör dock inte en så stor del av den sammanlagda behandlingen av personuppgifter som någon av de berörda myndigheterna utför. Behoven ser vidare olika ut beroende på i vilken verksamhet sådan behandling sker. Gemensamt är dock att det inte är möjligt att förutse eller i författning avgränsa all den behandling som myndigheterna behöver kunna göra för skilda ändamål som ett led i utförandet av respektive myndighets författningsreglerade uppdrag. Myndigheterna kan exempelvis inte styra vilka uppgifter som enskilda inkommer med i elektroniska handlingar men som till följd av den allmänna förvaltningsrättsliga samt verksamhetsspecifika regleringen behöver behandlas i myndigheternas verksamheter. Att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter om lagöverträdelser följer redan av dataskyddsförordningen och dataskyddslagen. Några sektorspecifika bestämmelser avseende myndigheters behandling av personuppgifter om lagöverträdelser krävs alltså inte med anledning av artikel 10 i dataskyddsförordningen eller 3 kap. 8 § dataskyddslagen för att sådan behandling ska vara tillåten. På motsvarande sätt krävs inte heller några bestämmelser som begränsar sådan behandling.156 Vi bedömer att den generella regleringen i sig är tillräcklig för att myndigheterna ska tillåtas utföra den behandling som är nödvändig.
154 Se 1 kap. 7 § SdbL, 1 kap. 6 § FdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbL. 155 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 98. 156 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till
EU:s dataskyddsförordning, s. 66.
Frågan är då om det trots allt finns skäl att i de föreslagna lagarna ytterligare begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter till sådan behandling eller i övrigt förtydliga tillåtligheten av här avsedd behandling.
I förarbetena till de nuvarande registerförfattningarna nämns behandling av uppgifter om lagöverträdelser endast som behandling av känsliga personuppgifter m.m.157 Motiven innehåller inte tydliga skäl till varför sådana uppgifter ansågs behöva begränsas även i förhållande till dataskyddsdirektivet och personuppgiftslagen som då gällde. De skäl som anförs för den nuvarande regleringen synes i stället vara de samma avseende känsliga personuppgifter och uppgifter om lagöverträdelser, dvs. av integritetsskäl, trots att det för de senare kategorierna av uppgifter inte heller då fanns några särskilda krav för att myndigheter skulle få behandla sådana uppgifter.158 I samband med att dataskyddsförordningen skulle börja tillämpas uttalade regeringen att de nuvarande begränsningarna i dessa registerförfattningar infördes i syfte att skydda den personliga integriteten och att det inte fanns några skäl att upphäva de då gällande bestämmelserna med anledning av dataskyddsförordningens införande. Bestämmelserna kvarstod därmed med vissa redaktionella ändringar.159 Dataskyddsförordningen hindrar alltså i och för sig inte nationell lagstiftning som begränsar myndigheters behandling av uppgifter om lagöverträdelser.
Vi är dock av uppfattningen att den nationella regleringen i aktuellt hänseende bör utgå från dataskyddsförordningens bestämmelser då det utgör en för Sverige bindande och direkt tillämplig EU-förordning. För det fall begränsningar av något skäl kan anses behövas, är det dessa som enligt vår mening bör kräva motivering. En motsatt utgångspunkt skulle riskera att hindra det fria flödet av personuppgifter inom EU160, bl.a. genom att försvåra det samarbete Skatteverket, Tullverket och Kronofogdemyndigheten har, och i vissa fall är skyldiga att ha, med andra svenska myndigheter eller motsvarande myndigheter i andra medlemsstater inom EU. I bl.a. skäl 9 till dataskyddsförordningen anges att skillnader i nivån på skyddet av fysiska personer rättigheter och friheter, särskilt rätten till skydd för personuppgifter, vid behandling av personuppgifter i olika medlems-
157Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104. 158 Se artikel 8 i dataskyddsdirektivet samt 21 § PUL. 159Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 66.
160 Se artikel 1.1 i dataskyddsförordningen.
stater kan förhindra det fria flödet av personuppgifter över hela unionen. Vidare anges att dessa skillnader därför bl.a. kan hindra myndigheterna att fullgöra skyldigheter inom unionsrätten.
Vi anser att de behov av behandling av personuppgifter om lagöverträdelser som vi redogjort för i avsnitt 10.5 talar för att det inte bör införas några ytterligare begränsningar i förhållande till dataskyddsförordningen i de föreslagna lagarna. Behandlingen krävs för att myndigheterna på ett korrekt, effektivt och ändamålsenligt sätt ska kunna utföra sina uppdrag som tilldelats dem genom lag eller förordning efter beslut av riksdagen eller regeringen, eller genom unionsrättslig reglering. Begränsningar av möjligheten att behandla uppgifter om lagöverträdelser skulle i vissa fall riskera att utgöra hinder mot sådan behandling som krävs enligt andra författningar. Vidare talar varken arten eller omfattningen av den aktuella personuppgiftsbehandlingen vid någon av de berörda myndigheterna för att särskilda begränsningar av integritetsskäl bör införas. Det kommer även att säkerställas ett starkt skydd för sådana uppgifter genom den allmänna dataskyddsregleringen, de föreslagna lagarna samt befintlig och föreslagen sekretessreglering. I de fall myndigheterna har ett behov av att för egen del samla in och behandla personuppgifter om lagöverträdelser, till skillnad från när sådana uppgifter inkommer till myndigheterna från t.ex. enskilda, är det som ovan beskrivits hänförligt till myndigheternas respektive uppdrag där sådana typer av uppgifter i vissa fall behövs. Det står då redan klart för vilka ändamål och på vilket sätt sådana uppgifter får behandlas. I övriga fall är det inte möjligt för myndigheterna att formulera något ändamål för vilket uppgifterna får behandlas. De grundläggande krav på behandlingen som anges i de nya lagarna är därmed tillräckliga begränsningar för myndigheternas möjlighet att behandla uppgifter om lagöverträdelser.161
Vi anser sammantaget att det inte längre finns tillräckliga skäl för att begränsa eller på annat sätt särreglera berörda myndigheters behandling av personuppgifter om lagöverträdelser. Därmed behöver det inte längre finnas sektorspecifik reglering i dessa avseenden.
161 Jfr det resonemang som fördes avseende förslaget att inte införa en generell begränsning av myndigheters möjligheter till behandling av uppgifter om lagöverträdelser m.m. i förhållande till den generella dataskyddsregleringen i SOU 2015:39, Myndighetsdatalag, s. 312–313.
Särskilt om vissa administrativa sanktioner
Skatteverket, Tullverket och Kronofogdemyndigheten behandlar samtliga information som innehåller uppgifter om olika former av s.k. administrativa sanktioner som påminner om straffrättsliga påföljder. Exempelvis behandlar Skatteverket uppgifter om skattetillägg, Tullverket uppgifter om tulltillägg och Kronofogdemyndigheten uppgifter om näringsförbud. Sådana uppgifter kan ofta kopplas till en viss identifierbar fysisk person.162 En fråga som har uppkommit är hur vår bedömning avseende att det inte krävs någon särskild reglering utöver den generella dataskyddsregleringen när det gäller uppgifter om lagöverträdelser, förhåller sig till myndigheternas behandling av uppgifter om administrativa sanktioner som påminner om eller som i vissa fall kan anses utgöra en straffrättslig påföljd.
Viss ledning för frågan om artikel 10 i dataskyddsförordningen alls omfattar information som innehåller personuppgifter som rör administrativa sanktioner finns i praxis från EU-domstolen. I en dom har EU-domstolen uttalat att lagöverträdelser som innefattar brott i artikel 10 uteslutande avser just brott. Det framgår enligt EUdomstolen bl.a. av förberedelsearbetet inför antagandet av dataskyddsförordningen då Europaparlamentets förslag att låta begreppet administrativa sanktioner uttryckligen ingå i bestämmelsen inte antogs. Mot denna bakgrund har EU-domstolen ansett att unionslagstiftaren, genom att avsiktligt avstå från att ta med adjektivet administrativ i artikel 10 i dataskyddsförordningen, avsåg att låta det utökade skydd som föreskrivs i denna bestämmelse vara begränsat till det straffrättsliga området. Ordalydelsen ska dock i regel ges en självständig och enhetlig tolkning inom hela EU.163
Utöver detta har regeringen i propositionen Utbetalningsmyndigheten bedömt att en hänvisning till artikel 10 i en bestämmelse om sökförbud som utgår från syftet med en sökning inte begränsar myndighetens möjligheter att behandla uppgifter om administrativa sanktioner som kan anses utgöra en straffrättslig påföljd, t.ex. skattetillägg.164
162 Jfr artikel 4.1 i dataskyddsförordningen. 163 EU-domstolens dom den 22 juni 2021 i mål C-439/19, B mot Latvijas Republikas Saeima, punkterna 77–78 och 81. 164Prop. 2022/23:34, Utbetalningsmyndigheten, s. 134. Jfr även prop. 2017/18:105, Ny data-
skyddslag, s. 98–99.
Det ovan anförda tyder enligt vår mening på att det nuvarande rättsläget är sådant att artikel 10 i dataskyddsförordningen ska tolkas så att bestämmelsen inte anses omfatta information som innefattar personuppgifter som rör administrativa sanktioner. Mot denna bakgrund gör vi bedömningen att en avsaknad av sektorspecifik reglering avseende tillåten behandling av personuppgifter som rör lagöverträdelser inte kommer att begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att behandla uppgifter om sådana administrativa sanktioner.
Inte heller i det fall rättsläget skulle tolkas på ett annat sätt, eller att ytterligare tydliggörande praxis i frågan kommer från EU-domstolen, anser vi att det kommer att finnas några hinder mot att myndigheterna får behandla sådana uppgifter. Detta mot bakgrund av att artikel 10 i dataskyddsförordningen samt 3 kap. 8 § dataskyddslagen innebär att det under alla förhållanden är tillåtet för myndigheter att behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen.
En utvidgning av möjligheten att behandla uppgifter om lagöverträdelser är proportionerlig
Vår bedömning innebär en utvidgning av berörda myndigheters möjligheter att behandla uppgifter om lagöverträdelser i förhållande till vad som gäller i dag. Det kommer bl.a. inte göras någon skillnad på om sådana uppgifter behandlas i elektroniska handlingar eller som registrerade uppgifter i olika verksamhetssystem. De ändringar som skedde i den EU-rättsliga generella dataskyddsregleringen i fråga om vilka uppgifter artikel 10 i dataskyddsförordningen omfattar kommer även få genomslag på berörda myndigheters behandling. All behandling som omfattas av artikel 10 i dataskyddsförordningen och 3 kap. 8 § dataskyddslagen kommer alltså att vara tillåten så länge övriga krav för behandling av personuppgifter är uppfyllda, oavsett på vilket sätt de behandlas och oavsett om uppgifterna förekommer i ett ärende eller inte. Myndigheterna kommer också i högre utsträckning att få behandla uppgifter om lagöverträdelser i s.k. faktisk verksamhet. I likhet med vad som anförts i avsnitt 10.7 om känsliga personuppgifter kommer uppgifter om lagöverträdelser därmed även att kunna behandlas för t.ex. tillsyn, kontroll, uppföljning, planering av en verksamhet, framställning av statistik eller testverksamhet och
andra liknande interna behov så länge förutsättningarna för detta enligt t.ex. artiklarna 5 och 6 i dataskyddsförordningen är uppfyllda. Detsamma gäller myndigheternas möjligheter att behandla sådana uppgifter när urval görs av bl.a. ärenden för ytterligare kontroll.
Som nämnts ovan infördes den nuvarande regleringen bl.a. i syfte att skydda den personliga integriteten.165 En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden. Våra bedömningar innebär dock inte att myndigheterna ges möjlighet att behandla uppgifter om lagöverträdelser utan att det finns en legitim grund för att göra det. Det har framkommit att berörda myndigheter i flera fall har ett utökat behov av att kunna utföra behandling av uppgifter om lagöverträdelser i förhållande till den nuvarande regleringen. Det beror bl.a. på att myndigheterna sedan lagarnas tillkomst har tilldelats nya uppdrag och skyldigheter som medför detta utökade behov. Möjligheterna att behandla personuppgifter om lagöverträdelser kommer dock att vara begränsade till situationer vad myndigheternas respektive uppdrag kräver. Mot bakgrund av de uppdrag som Skatteverket, Tullverket och Kronofogdemyndigheten har i de delar som omfattas av denna översyn kommer det inte att röra sig om omfattande behandling.
Vi anser att den behandling myndigheterna ges möjlighet att utföra genom våra bedömningar är proportionerlig. Det är angeläget att myndigheterna kan utföra sina uppdrag på ett korrekt, effektivt och rättssäkert sätt. Behandlingen är nödvändig för att myndigheterna ska kunna utföra sina författningsreglerade uppdrag, vilka är uppgifter som utgör allmänintresse. Om de nuvarande bestämmelserna behålls kommer det fortsatt försvåra tillämpningen och innebära att myndigheterna behöver lägga resurser på att bedöma om en viss uppgift t.ex. kan anses finnas i en elektronisk handling eller inte. En sådan reglering är inte heller teknikneutral eller flexibel. Det kan även på ett obefogat sätt hindra myndigheterna från att utföra vissa befintliga eller nya arbetsuppgifter som de tilldelas genom t.ex. uppdrag från regeringen eller i syfte att lämna information till andra myndigheter i enlighet med lag eller förordning. Behandlingen kommer vidare att omgärdas av flera säkerhetsåtgärder i de sektorspecifika föreslagna lagarna, dataskyddslagen samt dataskyddsförordningen. Därtill finns tillämpliga sekretessregler. Vi anser att sådana åtgärder säkerställer
165 Se prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104.
ett fullgott integritetsskydd. Något skäl att av den anledningen förbjuda behandling som annars hade varit tillåten enligt den generella dataskyddsregleringen finns därför inte. Artikel 10 i dataskyddsförordningen kräver därtill ingen ytterligare nationell reglering av myndigheters behandling av uppgifter om lagöverträdelser.
Mot denna bakgrund och med beaktande av myndigheternas behov anser vi att det i förhållande till den personliga integriteten är proportionerligt och motiverat att låta den generella dataskyddsregleringen gälla för Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av uppgifter om lagöverträdelser. Med andra ord bedömer vi att den nuvarande regleringen av behandling av uppgifter om lagöverträdelser kan utmönstras utan att det påverkar behandlingens proportionalitet.
10.9. Sökbegränsningar som särskilda skydds- och säkerhetsåtgärder
10.9.1. Vissa sökbegränsningar ska regleras i de nya lagarna
Vårt förslag: Det ska som huvudregel vara förbjudet att utföra
sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på vissa kategorier av känsliga personuppgifter, om sökningen är nödvändig för att myndigheterna ska kunna utföra en uppgift i verksamhet som omfattas av respektive föreslagen lag. Vilka sökningar som ska undantas från sökförbudet ska anpassas efter respektive myndighets behov.
Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende.
Skälen för vårt förslag
Det ska fortsatt finnas särskilda sökbegränsningar…
Sökning är en form av behandling i dataskyddsförordningens mening i de fall en sökning innefattar personuppgifter.166 Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och ett sökförbud kan vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker.167 En vanligt förekommande skyddsåtgärd i registerförfattningar är sökbegränsningar. Sådana bestämmelser finns i dag även i Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar. Genom bestämmelser som föreskriver vissa sökförbud har lagstiftaren ”på förhand” klargjort att vissa sammanställningar inte ska få ske hos myndigheten.168
Dataskyddsförordningen innehåller inte något krav på att det i nationell rätt ska föreskrivas förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser vid sökning. Om behandlingen grundar sig på artikel 9.2 g, dvs. den är nödvändig av hänsyn till ett viktigt allmänt intresse, krävs dock att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det finns inte heller någon begränsning i dataskyddsförordningen av vilka typer eller former av sökbegränsningar som kan införas i nationell rätt.169 Ett sökförbud kan utgöra en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som föreskrivs i artikel 9.2 g i dataskyddsförordningen.170Bestämmelser om sökbegränsningar fyller därmed en viktig funktion genom att de bidrar till att säkerställa att myndigheterna ges möjlighet att tillämpa undantaget i artikel 9.2 g i dataskyddsförordningen. Vidare gäller dataskyddslagens sökförbud endast vid behandling som sker med stöd av 3 kap. 3 § första stycket samma lag (se 3 kap. 3 § andra stycket dataskyddslagen).
De nu gällande bestämmelserna om sökbegrepp i Skatteverkets, Tullverkets och Kronofogdemyndighetens registerlagar har av regeringen bedömts uppfylla dataskyddsförordningens krav på lämpliga
166 Artikel 4.2 i dataskyddsförordningen. 167Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48. 168SOU 2015:39, Myndighetsdatalag, s. 211. 169Prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 37. 170 Jfr prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48.
och särskilda åtgärder.171 Dessa tre myndigheter har omfattande verksamheter och inom ramen för dessa behandlas känsliga personuppgifter och uppgifter om lagöverträdelser, även om dessa uppgifter inte utgör en stor andel av den totala behandlingen. Behovet av att använda sådana typer av personuppgifter vid sökningar bör mot denna bakgrund kunna anses vara relativt begränsat och endast hänföra sig till situationer då detta är relevanta omständigheter vid fullgörande av en arbetsuppgift. Så kan exempelvis vara fallet för att söka efter tidigare beslut, identifiera öppna ärenden som innehåller liknande frågeställningar så att handläggningen kan samordnas eller använda sökningar för att kartlägga, strukturera och analysera ärendestrukturen vid myndigheterna.172
Sökning på känsliga personuppgifter kan möjliggöra t.ex. kartläggning av personer på grundval av deras etnicitet, politiska ståndpunkt eller religiösa uppfattning.173 Att begränsa hur känsliga personuppgifter får behandlas, t.ex. i fråga om sökningar efter uppgifter, bedöms mot denna bakgrund sammantaget kunna få en stor effekt för Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter och stärker skyddet för enskildas personliga integritet. Vi anser därför att det även fortsättningsvis bör finnas regleringar i lag som innehåller särskilda bestämmelser om sökbegränsningar i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. Det ska därför införas bestämmelser med sådan innebörd i de föreslagna lagarna. Sådana bestämmelser är skyddsåtgärder, som är tillåtna att införa i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.
… men den nuvarande regleringen om sökbegrepp bör uppdateras
Skatteverket, Tullverket och Kronofogdemyndigheten har pekat på att det finns skäl att se över utformningen av den nuvarande regleringen om sökbegrepp.174 Det kan konstateras att de sökbegränsningar som finns i dag gäller generellt sett endast vid sökningar efter
171Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 62–63. Se även Ds 2017:41, En omarbetad domstolsdatalag – Anpassning till EU:s dataskyddsförordning, s. 210, där det anförs att sökbegränsningar utgör en skydds-
åtgärd i dataskyddsförordningens mening. 172 Jfr prop. 2014/15:148, Domstolsdatalag, s. 59–60. 173Prop. 2017/18:105, Ny dataskyddslag, s. 90 och prop. 2017/18:232, Brottsdatalag, s. 155. 174 Se avsnitt 10.5.
handlingar i databaserna.175 Så är dock inte enbart fallet i folkbokföringsdatabaslagen, vilken också innehåller bestämmelser om sökbegrepp vid annan sökning i databasen än efter handlingar.176 Vidare innehåller kronofogdedatabaslagen en särskild begränsningsregel avseende sökningar i betalningsföreläggande- och handräckningsdatabasen.177 Bestämmelserna reglerar i övrigt inte vilka sökbegrepp som får användas utanför en databas eller vid sökning efter t.ex. registrerade enskilda uppgifter. För sådana sökningar finns i dag inga särskilda begränsningar. Det bör dock ses i ljuset av att myndigheterna inte heller får registrera känsliga personuppgifter eller uppgifter om lagöverträdelser i de informationsbaserade delarna av databaserna annat än då det särskilt anges. Få sådana bestämmelser finns i dag.
De nu gällande bestämmelserna om sökbegrepp har det gemensamt att de går längre än vad som krävs enligt dataskyddsförordningen och vad som anges i dataskyddslagen. Så är också fallet i förhållande till viss nyare reglering på området avseende andra myndighetsspecifika författningar om personuppgiftsbehandling.178 Den generella dataskyddsregleringen gör heller inte skillnad på om sökningar görs för att hitta handlingar eller uppgifter som registrerats direkt i t.ex. ett fritextfält då samtliga sökningar faller under dataskyddsförordningens definition av behandling.179
Vidare kan bestämmelsernas nuvarande ordalydelser, vilka utgår från sökbegrepp, bidra till tolkningssvårigheter i vissa situationer. En striktare ordalydelsetolkning kan leda till att det är förbjudet att använda vissa begrepp som, utöver att vara en känslig personuppgift, även kan utgöra benämningen på något som inte bör vara förbjudet att använda som sökbegrepp. Det kan t.ex. leda till att orden islam eller kristen, vilka avslöjar religiös övertygelse samtidigt som det är personnamn, inte får användas som sökbegrepp. Ett annat exempel är att sökning på ett visst läkemedel för att kontrollera uppgifter i tulldeklarationer kan avslöja uppgifter om deklarantens hälsa.180
175 Se 2 kap. 10 § SdbL, 2 kap. 11 § FdbL, 2 kap. 29 § KFMdbL och 2 kap. 9 § TDL samt prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 102–103. 176 Se 2 kap. 10 § FdbL samt prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull
och exekution, s. 208.
177 Se 2 kap. 29 § andra stycket KFMdbL. 178 Se avsnitt 10.4. 179 Se artikel 4.2 i dataskyddsförordningen avseende definitionen av behandling. 180 Jfr prop. 2017/18:232, Brottsdatalag, s. 155 och SOU 2017:29, Brottsdatalag, s. 272–273.
Bland annat mot denna bakgrund utgår vissa nyare bestämmelser om sökbegränsningar i stället från syftet med en viss sökning.181
Det kan även i vissa fall vara befogat att myndigheter använder känsliga personuppgifter eller uppgifter om lagöverträdelser vid sökningar som ett led i utförandet av sina uppgifter. Därför finns sådana möjligheter för t.ex. domstolarna, Kriminalvården och Migrationsverket.182 Även Skatteverket, Tullverket och Kronofogdemyndigheten har vissa sådana behov. Berörda myndigheter har även redogjort för de tillämpningsproblem som nuvarande bestämmelser kan ge upphov till (se avsnitt 10.5). Bland annat har Tullverket uppgett att bestämmelsen om sökbegrepp hindrar analyser och uppföljning av verksamheten samt föranleder onödiga juridiska bedömningar i situationer där inga eller begränsade integritetsintressen gör sig gällande.
För att åstadkomma en mer enhetlig, modern och ändamålsenlig reglering anser vi att det finns skäl att se över och uppdatera den nuvarande regleringen. Att vi föreslår nya bestämmelser avseende myndigheternas behandling av känsliga personuppgifter är ytterligare ett skäl att se över och anpassa regleringen till våra övriga förslag. Detsamma gäller i fråga om vår bedömning att någon särskild reglering avseende behandling av personuppgifter om lagöverträdelser inte längre behövs.
Nya sökförbud för känsliga personuppgifter med vissa undantag hänförliga till myndigheternas behov
Vi anser att det ska införas bestämmelser om sökförbud för känsliga personuppgifter även i de nya föreslagna lagarna avseende Skatteverket, Tullverket och Kronofogdemyndigheten. Bestämmelserna bör dock moderniseras och uppdateras i förhållande till den reglering som gäller enligt registerlagarna i dag.
Sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen gäller som ovan nämnts enbart vid behandling av känsliga personuppgifter som sker med stöd av bestämmelsens första stycke. Bestämmelsen i 3 kap. 3 § är avsedd att gälla för offentlig verksamhet där sektorspecifik reglering avseende behandling av känsliga personuppgifter saknas.183 Som
181 Se t.ex. 3 kap. 3 § andra stycket dataskyddslagen, 2 kap. 14 § brottsdatalagen och 6 § kriminalvårdsdatalagen. 18215 § domstolsdatalagen, 6 § andra stycket kriminalvårdsdatalagen och 17 § andra stycket utlänningsdatalagen. 183Prop. 2017/18:105, Ny dataskyddslag, s. 91.
framgår av avsnitt 10.7 gör vi bedömningen att det bör införas särskilda bestämmelser i lag som ger myndigheterna stöd för behandling av känsliga personuppgifter för viktiga allmänintressen. De nya bestämmelserna om sökbegränsningar för Skatteverket, Tullverket och Kronofogdemyndigheten bör enligt vår mening ges en mer generell utformning till skillnad från det sökförbud som regleras i dataskyddslagen. Dataskyddslagens sökförbud är vidare inte anpassat till berörda myndigheters behov av att kunna utföra vissa sökningar. Att det är möjligt att införa sektorspecifika sökförbud som går längre eller som är mer tillåtande än dataskyddslagens sökförbud, framgår av motiven till dataskyddslagen.184
I nyare lagstiftningsärenden på dataskyddsområdet har det införts eller föreslagits bestämmelser om sökförbud som utgår från syftet med en sökning.185 Vi anser att motsvarande bestämmelser bör införas även i de föreslagna lagarna. En sådan typ av sökbegränsning innebär att det som utgångspunkt är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med sökningen inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen.186 Genom en sådan bestämmelse är det dock som huvudregel inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av uppgifter om t.ex. etnicitet.187 En sådan utformning innebär alltså inte större möjligheter att använda känsliga personuppgifter som sökbegrepp vid sådana sökningar som de tidigare sökförbuden varit avsedda att hindra, såsom kartläggning av personer på grundval av känsliga personuppgifter.188 Den underlättar dock för myndigheterna att kunna behandla personuppgifter på ett för verksamheterna ändamålsenligt sätt.
En sökbegränsning som utgår från syftet med en sökning omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.189 Det innebär bl.a. att sökförbudet kan träffa sökningar som myndigheterna gör vid utför-
184 Se prop. 2017/18:105, Ny dataskyddslag, s. 91. 185 Se t.ex. 3 kap. 3 § dataskyddslagen, 2 kap. 14 § brottsdatalagen och 17 § utlänningsdatalagen samt 1 kap. 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 186 Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178. 187 Se t.ex. prop. 2017/18:105, Ny dataskyddslag, s. 91. 188 Jfr prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 38. 189 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195.
andet av dataanalyser och urval för att få fram urvalsträffar. Myndigheterna kan då inte använda känsliga personuppgifter som urvalsgrund, genom t.ex. tillämpning av en riskindikator som baseras på sådana uppgifter, vid framtagandet av urvalsträffar eftersom det kan innebära att sökningar utförs för att få fram ett urval av personer grundat på känsliga personuppgifter. En sådan möjlighet kan visserligen effektivisera myndigheternas arbete med dataanalyser och urval ytterligare. Det finns dock även en risk att sådan behandling inte skulle kunna anses stå i proportion till integritetsintrånget det kan medföra.
Avseende de berörda myndigheterna finns det enligt vår bedömning i vissa fall befogad anledning att göra sådana sökningar mot bakgrund av befintlig materiell verksamhetsreglering. Exempelvis kan Skatteverket behöva ta fram ett urval av personer som har begärt avdrag för resor med egen bil på grund av sjukdom för att välja ut ärenden som ska kontrolleras ytterligare. I ett sådant fall kan Skatteverket behöva kunna göra sökningar baserade på vissa uppgifter om hälsa. Liknande behov av att kunna utföra vissa sådana typer av sökningar finns även för Tullverket och Kronofogdemyndigheten. Det bör därför av bl.a. detta skäl finnas vissa undantag från bestämmelsen om sökförbud, vilka föreslås i avsnitt 10.9.2.
Det ska vidare förtydligas att bestämmelser om sökbegränsningar som utgår från syftet med en sökning inte hindrar sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård.190 Vad begreppet tillsyn avser i detta sammanhang har inte definierats i lag eller i förarbetena till annan lagstiftning där detta slagits fast. Vi anser att med tillsyn i detta sammanhang bör avses myndigheternas interna tillsyn över den löpande verksamheten, i motsats till annan extern tillsyn.191 Det innebär enligt vår mening att myndigheterna trots de föreslagna sökförbuden kommer att kunna göra sökningar för att t.ex. se till att verksamheterna bedrivs som de ska eller att en framtagen och tillämpad urvalsmodell inte ger ett resultat som indirekt grundar sig på känsliga personuppgifter på ett sätt som inte
190 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195 och prop. 2017/18:254, Anpassning av ut-
länningsdatalagen till EU:s dataskyddsförordning, s. 62–63.
191 Jfr t.ex. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124–125.
är tillåtet, eller för att se till att resultatet av en sådan urvalsmodell inte blir eller har blivit diskriminerande.192
En sådan lagteknisk utformning av sökbegränsningar som nu föreslås är enligt vår mening mer flexibel, modern och ändamålsenlig i berörda myndigheters verksamheter än de bestämmelser om sökbegrepp som i dag finns.
Det kan konstateras att våra förslag till nya regleringar också innehåller bestämmelser som anger de yttre ramarna för all behandling av personuppgifter som sker i myndigheternas verksamheter. Därtill föreslår vi också bl.a. regler om tillgång till personuppgifter (se avsnitt 7.7). Dataskyddsförordningen innehåller vidare bestämmelser om bl.a. inbyggt dataskydd och dataskydd som standard (artikel 25) samt om säkerhet i samband med behandlingen (artikel 32) som är direkt tillämpliga i myndigheternas verksamheter. Det finns också bestämmelser om sekretess i offentlighets- och sekretesslagen, som är tillämpliga i myndigheternas respektive verksamheter, samt som föreslås gälla i dessa verksamheter (se avsnitten 3.3 och 15.2–15.5). Tillsammans med en reglering om sökförbud är det vår uppfattning att regleringen sammantaget uppfyller dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.193 Vidare får myndigheterna, trots de nedan föreslagna undantagen från sökförbuden, aldrig utföra sökningar om det inte finns rättslig grund för det, och dataskyddsförordningens principer för personuppgiftsbehandling måste alltid följas, t.ex. vad avser uppgiftsminimering.194
Det finns även anledning att närmare beröra hur de föreslagna sökbegränsningarna förhåller sig till myndigheternas möjligheter att söka efter och därefter lämna ut allmänna handlingar. I vissa fall har den som begär en allmän handling inte specifika uppgifter som direkt pekar ut en efterfrågad handling. Myndigheterna kan i en sådan situation behöva göra sökningar för att efterkomma begäran. De föreslagna sökbegränsningarna innebär att syftet med en sökning avgör vad som är tillåtet, snarare än vilket sökbegrepp som används. Sökbegränsningarna kommer även att gälla i fler situationer än vad som
192 Om t.ex. AI används i samband med att en urvalsmodell tränas kan resultatet bli felaktigt eller diskriminerande om den data som används ger en snedvriden bild av verkligheten, s.k. ”bias”, eller om den data som används inte är relevant för vad modellen ska uppnå, jfr Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 16. 193 Artikel 9.2 g i dataskyddsförordningen. 194 Artikel 5.1 c i dataskyddsförordningen.
är fallet i dag. Förslaget är dock inte avsett att begränsa myndigheternas möjligheter att eftersöka och lämna ut allmänna handlingar i förhållande till den nu gällande regleringen. När en myndighet lämnar ut en allmän handling på begäran av en enskild har tryckfrihetsförordningens bestämmelser företräde framför dataskyddsregelverket.195 Berörda myndigheter har att i varje enskilt fall bedöma om den sammanställning av uppgifter som efterfrågas är en allmän handling. Om sammanställningen är en allmän handling ska den lämnas ut, om inte uppgifterna i den omfattas av sekretess. Det gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning.196
Sammanfattningsvis föreslår vi alltså att det som utgångspunkt ska vara förbjudet för Skatteverket, Tullverket och Kronofogdemyndigheten att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordningen. Genom att de föreslagna lagarna i en generell bestämmelse om behandling av känsliga personuppgifter kommer att innehålla en hänvisning till artikel 9.1 i dataskyddsförordningen hålls regleringen dynamisk och behöver inte ändras om den artikeln i dataskyddsförordningen ändras.
Sökförbuden i de nya lagarna bör, till skillnad från dataskyddslagens sökförbud, kompletteras med de undantag som är nödvändiga för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna behandla personuppgifter på ett ändamålsenligt sätt i sina respektive verksamheter. På detta sätt tillvaratas den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt, samtidigt som myndigheternas behov av att behandla personuppgifter för att fullgöra sina respektive uppdrag på ett korrekt, rättssäkert och effektivt sätt tillgodoses. Vilka slags sökningar som bör undantas från sökförbuden varierar beroende på Skatteverkets, Tullverkets och Kronofogdemyndighetens skilda verksamhetsbehov. Vilka undantag vi anser bör införas i de föreslagna lagarna och motiven till dessa redogörs för nedan i avsnitt 10.9.2.
195 1 kap. 7 § första stycket dataskyddslagen. Se även artikel 86 i dataskyddsförordningen, prop. 2017/18:105, Ny dataskyddslag, s. 40–43 och prop. 2017/18:248, Kriminalvårdsdatalag –
en ny lag med anpassning till EU:s dataskyddsförordning, s. 27. Se även prop. 1997/98:44, Personuppgiftslag, s. 51–52.
196Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskydds-
förordning, s. 27.
Det kan här nämnas att det inte föreslås några undantag för Skatteverkets folkbokföringsverksamhet.
De undantag som föreslås bör formuleras så att vissa sökningar inte omfattas av förbudet om sökningen är nödvändig för att myndigheterna ska kunna utföra sina uppgifter inom respektive verksamhet som omfattas av de nya lagarna.
I dag omfattar de befintliga bestämmelserna om sökbegrepp inte sökningar i handlingar när de väl har identifierats.197 Vi anser att de sökförbud vi nu föreslår inte heller bör omfatta sökningar i en viss handling eller i ett visst ärende. I likhet med vad som anfördes i förarbetena till de nu gällande bestämmelserna anser vi att det bl.a. av effektivitetsskäl inte framstår som befogat att förbjuda sökmöjligheter i t.ex. ordbehandlingsprogram för att finna ett speciellt textavsnitt i ett enskilt textdokument eller för att på ett enklare sätt kunna handlägga ett mer omfattande ärende.198 Vi kan inte heller i dag finna att det finns integritetsskäl som skulle motivera ett sådant förbud. Regeringen har även i andra lagstiftningsärenden konstaterat att sökningar bland en begränsad mängd uppgifter innebär mindre integritetsrisker än sökningar i större uppgiftsmängder.199 Vi föreslår mot denna bakgrund att sökförbudet inte heller ska omfatta sökningar i en viss handling eller i ett visst ärende.
Det finns slutligen anledning att konstatera att en sökning bland personuppgifter i sig utgör en behandling som måste uppfylla samtliga gällande krav för behandling av personuppgifter.
Sökbegränsningarna bör inte omfatta uppgifter om lagöverträdelser
I dag får Skatteverket, Tullverket eller Kronofogdemyndigheten inte använda uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som sökbegrepp.200 Myndigheterna har dock vissa behov av att kunna utföra sökningar på grundval av uppgifter om lagöverträdelser. Det är svårt att uttömmande redogöra för i vilka situationer sådana sökningar behöver kunna utföras. Generellt sett behöver
197Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 103. 198 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 103. 199 Se prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 50 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 134. 200 Se 2 kap. 10 § andra stycket SdbL, 2 kap. 11 § FdbL, 2 kap. 9 § TDL och 2 kap. 29 § första stycket KFMdbL.
myndigheterna ha möjlighet att utföra sökningar grundade på sådana uppgifter som kan vara relevanta omständigheter vid ärendehandläggningen. Det innebär att de behov av behandling av uppgifter om lagöverträdelser som har beskrivits i avsnitt 10.5 i stort även avspeglar det behov som finns i fråga om att behandla sådana uppgifter vid sökningar för att t.ex. kunna handlägga ärenden, sammanställa uppgifter vid vissa analyser eller för att ta fram urvalsträffar. Vissa konkreta exempel kan även ges avseende respektive myndighets behov av att göra sökningar utifrån uppgifter om lagöverträdelser.
När det gäller Skatteverkets beskattningsverksamhet finns ett mycket nära samband mellan viss typ av brottslighet, såsom skattebrott och bokföringsbrott, och korrekt uppbörd. Skatteverket behöver t.ex. kunna söka fram ett urval av personer grundat på uppgifter om lagöverträdelser för att kunna se i vilka fall skattetillägg har utgått i beslut av domstol eller åklagare. Det hänger samman med det s.k. dubbelprövningsförbudet, vilket innebär att en person inte kan få skattetillägg och ådömas ansvar för skattebrott för samma förseelse såvida det inte sker inom samma domstolsprocess.201
Inom Skatteverkets folkbokföringsverksamhet finns behov av att t.ex. kunna söka fram ett urval av personer grundat på uppgifter om lagöverträdelser för att kontrollera att personer som är intagna inom kriminalvårdsanstalt är korrekt folkbokförda.202
Till följd av unionsrätten, bl.a. tullkodexen, har Tullverket en skyldighet att beakta uppgifter om tidigare brottslighet för att göra urval för kontroll. Det kan t.ex. röra sig om historik av ekonomisk brottslighet vilket kan utgöra en riskindikator för fel. För att fullgöra skyldigheterna i enlighet med EU-rätten har Tullverket därmed ett behov av att genom olika typer av sökningar sammanställa uppgifter om lagöverträdelser.
Även Kronofogdemyndigheten har behov av att kunna utföra sökningar grundade på uppgifter om lagöverträdelser. Exempelvis kan redan själva uppgiften om en fordran eller av sökanden angivna uppgifter i en ansökan om betalningsföreläggande innehålla en uppgift om lagöverträdelse i de fall den grundar sig på skadestånd med anledning av brott. Kronofogdemyndigheten behöver i sin verksamhet göra sökningar baserade på vissa sådana fordringar, b.la. i ärendehandlägg-
201 Se bl.a. lag (2015:632) om talan om skattetillägg i vissa fall. 202 En vistelse anses dock inte leda till ändrad bosättning om den föranleds enbart av bl.a. kriminalvård, se 9 § 1 FOL.
ningen och för att kunna ta fram urvalsträffar. Det kan handla om uppgifter som framgår redan av t.ex. en verkställbar dom, ett beslut eller i ett utslag. Det kan också vara en uppgift som ligger till grund för att bevilja någon skuldsanering. Utöver detta behöver Kronofogdemyndigheten i vissa fall kunna söka och göra sammanställningar över konkursförvaltares samtliga konkurser vilka kan innehålla indirekta uppgifter om fysiska personers lagöverträdelser som innefattar brott. Det gäller situationer då konkursförvaltare underrättat allmän åklagare om att en gäldenär kan misstänkas för något brott som avses i 11 kap. brottsbalken eller om gäldenären har drivit näringsverksamhet och det under konkursförvaltningen kommer fram att gäldenären kan misstänkas för något annat brott av inte ringa beskaffenhet som har samband med verksamheten.203 Kronofogdemyndigheten behöver främst göra sådana sökningar och sammanställningar som en del i tillsynsuppdraget.204 Vidare finns ett behov av att söka fram och sammanställa en lista med gäldenärer som har obetalda böter som härrör från brott i syfte att inleda ärenden om förvandling av böter.205
Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott får enligt såväl dataskyddsförordningen (artikel 10) som dataskyddslagen (3 kap. 8 § första stycket) behandlas av myndigheter. Vi föreslår inte någon generell begränsning av Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av sådana uppgifter (se avsnitt 10.8). Vi anser att inte heller sökförbuden bör omfatta uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott. Något sökförbud för uppgifter om lagöverträdelser finns inte heller i dataskyddslagen. Behovet av att göra sökningar i fråga om sådana uppgifter bedöms vara relativt begränsat mot bakgrund av Skatteverkets, Tullverkets och Kronofogdemyndighetens uppdrag inom dataskyddsförordningens tillämpningsområde.
2037 kap. 16 § konkurslagen. 204 Se 1 § förordningen med instruktion för Kronofogdemyndigheten. En sammanställning över underrättelser som gjorts i enlighet med 7 kap. 16 § konkurslagen kan också behöva göras för att identifiera vilka konkurser en viss ställföreträdare förekommer i som en del i prövningen av om en föreslagen konkursförvaltare är lämplig, se 7 kap. 3 § konkurslagen. 205 I 15 § bötesverkställighetslagen (1979:189) anges bl.a. att om böter inte har kunnat drivas in och det beror på trots från den bötfällde, ska böterna på talan av åklagare förvandlas till fängelse. Bötesförvandling ska också ske om det av särskilda skäl är motiverat från allmän synpunkt. Enligt 17 § bötesverkställighetsförordningen (1979:197) ska Kronofogdemyndigheten, om indrivning av böter har avbrutits utan att böterna har blivit fullt betalda och om det enligt Kronofogdemyndighetens bedömning finns anledning att anta att böterna ska förvandlas, skyndsamt sända en redogörelse för förhållandet till åklagare som är behörig att föra talan om böternas förvandling.
Som nyligen framgått kommer det dock att finnas situationer då myndigheterna behöver göra sökningar utifrån sådana uppgifter till följd av de materiella verksamhetsregleringarna. Det är enligt vår bedömning motiverat att myndigheterna kan utföra sådana sökningar när det behövs för utförandet av respektive myndighets uppdrag. Det är dock inte möjligt att i lag föreskriva alla de situationer då uppgifter som avses i artikel 10 i dataskyddsförordningen behöver kunna användas av myndigheterna vid sökningar. Det bör alltså inte heller finnas några sökbegränsningar eller bestämmelser om vilka sökningar som är tillåtna i fråga om uppgifter om lagöverträdelser i de föreslagna lagarna.
Även sökningar eller urval grundat på personuppgifter om lagöverträdelser kan dock vara integritetskänsliga. Myndigheternas behov av att kunna bedriva en effektiv och rättssäker verksamhet överväger dock enligt vår bedömning de integritetsrisker som ett förbud vid de aktuella myndigheterna skulle vara avsett att minska. Ett sökförbud som omfattar uppgifter om lagöverträdelser skulle riskera att hindra myndigheterna att fullgöra sina skyldigheter enligt nationell rätt eller unionsrätten och försvåra det fria flödet av personuppgifter.206 I avsnitt 10.8 anges också skäl för att möjligheterna att behandla uppgifter som rör lagöverträdelser inte bör begränsas. Samma skäl talar även för att det inte bör införas några sökbegränsningar i fråga om sådan personuppgiftsbehandling. Trots att några sökbegränsningar inte föreslås för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i de nya lagarna.
Att inte reglera några sökbegränsningar i fråga om uppgifter om lagöverträdelser kan innebära att urvalsträffar tas fram utifrån tidigare brottslighet. Sådan behandling skulle i vissa fall möjligen inte kunna anses stå i proportion till det integritetsintrång som behandlingen kan medföra. Som nyligen redogjorts för finns det dock för aktuella myndigheter materiell verksamhetsreglering där omständigheten att någon är dömd för brott kan vara relevant. Även om myndigheterna har tillgång till sådana uppgifter, och de föreslås få behandlas vid dataanalyser och urval vid framtagandet av urvalsträffar207, måste behandlingen uppfylla de grundläggande kraven på bl.a. rätts-
206 Jfr artikel 1 i dataskyddsförordningen och skäl 9 till dataskyddsförordningen. 207 Se avsnitt 14.9.2.
lig grund samt de grundläggande principerna för behandling av personuppgifter. Om sådana uppgifter t.ex. inte är nödvändiga för att berörda myndigheter ska kunna utföra uppgifter av allmänt intresse eller inte är relevanta i förhållande till de ändamål för vilka de behandlas kan uppgifterna inte ligga till grund för att ta fram urvalsträffar. Det kommer med andra ord inte, trots avsaknad av ett sådant sökförbud, att vara möjligt för myndigheterna att använda uppgifter om att någon tidigare dömts för brott som urvalsgrund för att det i ett visst fall framstår som ”bra att ha” vid framtagandet av urvalsträffar. Den reglering vi föreslår avseende dataanalyser och urval innefattar vidare krav på myndigheterna att bl.a. löpande dokumentera, följa upp och utvärdera på vilka grunder urval görs, se avsnitt 14.11.3. Detta för att säkerställa att resultaten inte blir skeva utifrån myndigheternas uppdrag, eller diskriminerande på något sätt.
Sammanfattningsvis gör vi bedömningen att det inte bör införas några sökförbud för uppgifter om lagöverträdelser i de nya lagarna.
Något om de föreslagna sökförbudens förhållande till offentlighetsprincipen
I vilken utsträckning det är möjligt att effektivt begränsa användningen av integritetskänsliga sökbegrepp påverkas av offentlighetsprincipen.208 Handlingsoffentligheten enligt tryckfrihetsförordningens reglering om detta omfattar fysiska handlingar och elektroniskt lagrade uppgifter som ingår i s.k. färdiga elektroniska handlingar, dvs. uppgiftssammanställningar som redan har ett fixerat innehåll och därför inte förutsätter någon sökning för att återskapas. Det kan t.ex. vara e-postmeddelanden och handlingar i fasta filformat (pdf, docx m.m.), som beslut i elektronisk form och handlingar inskickade av enskilda. Offentlighetsprincipen omfattar dock också uppgifter som ännu inte har sammanställts men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder, t.ex. en sökning (2 kap. 6 § andra stycket TF). Sådana sammanställningar kallas potentiella handlingar.209
Enligt den s.k. begränsningsregeln i 2 kap. 7 § TF anses en potentiell handling inte förvarad hos myndigheten om sammanställningen
208Prop. 2014/15:148, Domstolsdatalag, s. 52. Offentlighetsprincipen innebär i huvudsak att allmänheten har rätt att ta del av offentliga allmänna handlingar hos en myndighet. 209Prop. 2014/15:148, Domstolsdatalag, s. 52.
innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses i bestämmelsen all slags information som direkt eller indirekt kan hänföras till en fysisk person. Syftet med begränsningsregeln i 2 kap. 7 § TF är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksamhet.210 Begränsningsregeln kan därmed ses som ett uttryck för likställighetsprincipen.211 Att en handling inte anses förvarad hos en myndighet, t.ex. på grund av att kraven i begränsningsregeln är uppfylld, innebär att den inte är en allmän handling (2 kap. 4 § TF). Det innebär i sin tur att handlingen inte omfattas av allmänhetens rätt att ta del av densamma enligt offentlighetsprincipen (2 kap. 1 § TF).
Sektorspecifika dataskyddsbestämmelser i lag eller förordning som avser förbud mot att utföra vissa sökningar kan alltså till följd av begränsningsregeln få betydelse för i vilken omfattning potentiella handlingar, såsom t.ex. sammanställningar som görs genom sökningar grundade på känsliga personuppgifter, utgör allmänna handlingar vid en myndighet. Frågan är hur begränsningsregeln förhåller sig till en sådan form av sökbegränsning som vi föreslår, dvs. som utgår från syftet med en viss sökning och som reglerar vissa uttryckliga undantag baserade på myndigheternas behov av att utföra vissa sökningar.
Det får enligt gällande rätt anses klarlagt att bestämmelser i registerförfattningar om för vilka ändamål en myndighet får behandla uppgifterna (s.k. ändamålsbegränsningar), inte anses inskränka myndighetens skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter.212 När det gäller frågan om i vilken mån reglerade sökbegränsningar innebär att begränsningsregeln i 2 kap. 7 § TF blir aktuell att tillämpa har regeringen i en proposition avseende domstolars behandling av personuppgifter bedömt att sökbegränsningar som tillåter sökning under särskilt angivna förutsättningar inte inskränker myndighetens skyldighet att sammanställa personuppgifter. En sökbegränsning som är absolut formulerad och som under inga omständigheter
210Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23. 211SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 145. 212 Se t.ex. prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 69, prop. 2009/10:85,
Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 154, prop. 2014/15 :148, Domstolsdatalag, s. 53 och SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 148.
tillåter användningen av ett visst sökbegrepp har dock av regeringen bedömts få genomslag enligt begränsningsregeln.213 Det har i en annan, nyare, proposition förekommit ett uttalande som till viss del möjligen kan anses ge uttryck för en annan hållning avseende ett föreslaget sökförbud i 114 kap. socialförsäkringsbalken som utgår från syftet med en sökning. I denna proposition uttalar regeringen, med hänvisning till att begränsningsregeln ger uttryck för likställighetsprincipen, att en sammanställning som innehåller personuppgifter bör ses som en allmän handling endast om myndigheten, med beaktande av sökbegränsningen, får ta fram den för ett internt syfte i sin egen verksamhet.214
Det är enligt vår mening inte helt klart hur de föreslagna sökförbuden skulle anses förhålla sig till begränsningsregeln i rättstillämpningen. I andra lagstiftningsärenden i vilka liknande sökbegränsningar har föreslagits har frågan inte heller diskuterats på något mer omfattande sätt. Det kan i vart fall konstateras att berörda myndigheter i varje enskilt fall har att bedöma om den sammanställning av uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Om sammanställningen utgör en allmän handling ska den lämnas ut, såvida inte uppgifterna i den omfattas av sekretess. Detta gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning.215 Oaktat hur rättstillämparen skulle se på frågan i förhållande till ett visst specifikt sökförbud kan det konstateras att det i de fall en sammanställning anses förvarad hos en myndighet, och därmed utgör en allmän handling, kan alltså sekretess hindra att uppgifterna i sammanställningen blir offentliga.
För uppgifter som behandlas hos Skatteverket, Tullverket och Kronofogdemyndigheten råder olika former av sekretess. Även styrkan på sekretessen varierar. Exempelvis gäller absolut sekretess i en stor del av Skatteverkets verksamhet genom skattesekretessen216, medan det tvärtom finns en presumtion för offentlighet avseende uppgifter som förekommer i folkbokföringsverksamheten.217 I Tullverkets
213Prop. 2014/15:148, Domstolsdatalag, s. 53. Liknande hållning har framförts i doktrin, se Heuman, Tryckfrihetsförordningen (1949:105) 2 kap. 7 §, Karnov (JUNO) [hämtad 2023-06-02] där det anges att sökbegränsningar som inte är absoluta, utan tillåter sökning under särskilt angivna förutsättningar, anses sakna betydelse för frågan huruvida sammanställningen utgör en allmän handling. 214Prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69. 215Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskydds-
förordning, s. 27.
216 Se t.ex. 27 kap. 1 § OSL. 21722 kap. 1 § OSL.
verksamhet gäller ofta ett omvänt skaderekvisit, dvs. en presumtion för sekretess.218 Inom Kronofogdemyndigheten gäller sekretess i verksamhet med indrivning och utsökning med ett omvänt skaderekvisit.219 Sekretess finns vidare i bl.a. verksamhet med skuldsanering220 och tillsyn i konkurs.221 Vid sidan av de verksamhetsspecifika sekretessbestämmelserna finns även vissa allmänna bestämmelser om sekretess som kan bli tillämpliga oavsett i vilken verksamhet uppgifterna förekommer, t.ex. 21 kap. 5 och 7 §§ OSL.
Skillnaden i sekretessnivå och räckvidd av sekretessen mellan de olika verksamheterna innebär, beroende på hur en tillämpning av begränsningsregeln faller ut i förhållande till föreslagna sökförbud, att fler sammanställningar grundade på känsliga personuppgifter kan komma att bli offentliga i vissa verksamheter. Det gäller framför allt Skatteverkets folkbokföringsverksamhet222 och Kronofogdemyndighetens verksamhet med betalningsföreläggande och handräckning.223
Ett alternativ för att säkerställa att sammanställningar av känsliga personuppgifter inte blir offentliga, av hänsyn till skyddet för den personliga integriteten, är att föreslå en ny sekretessbestämmelse. Detta för att ett absolut sökförbud enligt vår mening är onödigt begränsande vid myndigheternas fullgörande av sina uppgifter. En sådan sekretessbestämmelse skulle förslagsvis innebära att sekretess gäller till skydd för enskild hos Skatteverket, Tullverket och Kronofogdemyndigheten för uppgift i en sammanställning av känsliga personuppgifter, dvs. att absolut sekretess skulle gälla för en sådan uppgift.224 Ett annat alternativ är att införa en sekretessregel med ett omvänt skaderekvisit i stället för absolut sekretess. Det skulle dock innebära att myndigheterna i vissa fall behöver göra resurskrävande sekretessprövningar då sammanställningar kan innehålla uppgifter om många personer. En ny sekretessbestämmelse skulle sammanfattningsvis kunna utformas så att våra förslag om ändrade sökförbud inte innebär några sakliga ändringar i praktiken vid begäran om utlämnande
218 Se t.ex. 27 kap. 3 § jämförd med 27 kap. 1 § OSL. 219 Se bl.a. 34 kap. 1 § OSL. 22034 kap. 6 § OSL. 22134 kap. 7 § OSL. 222 Enligt 22 kap. 1 § OSL gäller ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifterna är offentliga. 223 Inom detta verksamhetsområde vid Kronofogdemyndigheten finns ingen särskild sekretessregel, utan det är de generella sekretessreglerna som är tillämpliga inom samtliga myndigheter, t.ex. 21 kap. OSL, som kan tillämpas. 224 Jfr SOU 2017:29, Brottsdatalag, s. 643.
av vissa sammanställningar grundade på känsliga personuppgifter och uppgifter om lagöverträdelser.
Vikten av att säkerställa enskildas personliga integritet är givetvis stor när det gäller frågan om offentliggörande av sammanställningar grundade på känsliga personuppgifter och uppgifter om lagöverträdelser. Mot detta står intresset av insyn och öppenhet vilket är viktigt för att offentlighetsprincipen ska kunna upprätthållas, och som är mycket starkt i myndigheters verksamhet som innefattar myndighetsutövning. Aktuella typer av sammanställningar kommer att omgärdas av omfattande dataskyddsregler. Redan i dag finns, som ovan nämnts, även sekretessreglering som är anpassad efter respektive verksamhet på det sätt att det redan gjorts en avvägning mellan enskilda och allmänna intressen i aktuella verksamheter. Enligt 21 kap. 7 § OSL gäller vidare sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. I 21 kap. OSL finns ytterligare sekretessbestämmelser som är tillämpliga oaktat i vilken verksamhet uppgifterna förekommer.
Vi bedömer sammantaget att den sekretessreglering som redan gäller ger ett väl avvägt skydd för både enskilda och allmänna intressen i nu aktuellt avseende. En regel om sekretess för sammanställningar grundade på känsliga personuppgifter behövs därför inte. Som redan nämnts gäller att om en enskild framställer en begäran som innebär att myndigheterna behöver ta fram vissa uppgifter för ett utlämnande har myndigheten att pröva om de uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Utgör uppgifterna en allmän handling ska de lämnas ut såvida de inte omfattas av sekretess. Det finns redan sekretessregler som aktualiseras vid sådana begäran i myndigheternas respektive verksamhet.225 Enligt vår uppfattning behövs det alltså inte någon förändring av befintlig sekretessreglering till följd av att de absoluta sökförbuden inte ges någon motsvarighet i de nya lagarna. Se dock våra särskilda bedömningar avseende det nuvarande sökförbudet i 2 kap. 10 § FdbL i avsnitt 10.9.3 nedan.
225 Jfr prop. 2017/18:232, Brottsdatalag, s. 417.
Särskilt om behandling i EU:s gemensamma informationssystem
Bestämmelserna om sökbegränsningar kommer att vara tillämpliga inom de verksamheter som omfattas av respektive ny lag. I avsnitt 7.4.4 föreslås att beskattningsdatalagen, tulldatalagen och kronofogdedatalagen inte ska gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Tullverket har anfört att detta innebär att det generella sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen kommer att bli tillämpligt när myndigheten behandlar känsliga personuppgifter i EU:s gemensamma informationssystem.226 Det skulle enligt Tullverket kunna utgöra ett hinder vid fullgörandet av myndighetens uppgifter som följer av EU-rättslig lagstiftning, bl.a. då bestämmelsen inte innefattar verksamhetsspecifika undantag.
Enligt vår bedömning innebär förslagen dock inte att det sökförbud som finns i 3 kap. 3 § andra stycket dataskyddslagen vid varje tillfälle blir tillämpligt vid sådan behandling. Dataskyddslagens sökförbud gäller endast vid behandling av känsliga personuppgifter som sker enbart med stöd av 3 kap. 3 § första stycket dataskyddslagen. I den mån berörda myndigheter behöver kunna behandla känsliga personuppgifter i EU-gemensamma system, bör det i princip vid varje tillfälle ske på grundval av unionsrätten. Enligt artikel 9.2 g i dataskyddsförordningen ska förbudet mot behandling av känsliga personuppgifter inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I den mån behandlingen sker på grundval av unionsrätten följer det enligt vår mening av ordalydelsen att det är denna som ska uppfylla övriga krav i artikel 9.2 g, samt den eventuella kompletterande nationella specifika rätt som i förekommande fall krävs. Det bör därför i de flesta fall inte bli aktuellt för myndigheterna att tillämpa det generella sökförbudet i 3 kap. 3 § dataskyddslagen enbart i syfte att uppfylla dataskyddsförordningens särskilda krav på det rättsliga stödet vid behandling av känsliga personuppgifter för
226 Jfr 1 kap. 5 § första stycket dataskyddslagen.
ett viktigt allmänintresse när uppgifter i EU-gemensamma system behandlas.
Undantaget från tillämpningsområdet i de nya lagarna avseende behandling i EU-gemensamma system innebär inte heller per automatik att berörda myndigheter vid sådan behandling måste tillämpa bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen för att över huvud taget kunna behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen.227 Kraven på skyddsåtgärder kan nämligen anses vara tillgodosedda genom annan typ av reglering, t.ex. bestämmelser om sekretess, och så bör även vara fallet genom unionsrätten med eventuell kompletterande specifik nationell rätt när behandling sker på grundval av denna. I den mån myndigheterna gör bedömningen att det i ett visst fall trots allt inte finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g för att behandling av känsliga personuppgifter ska få ske men behandlingen, t.ex. en sökning, krävs för att utföra uppgifter som regleras i EUrättslig lagstiftning bör principen om EU-rättens företräde i stället kunna tillmätas avgörande betydelse i de allra flesta sådana fall.
10.9.2. Verksamhetsspecifika undantag från sökbegränsningarna
Vårt förslag: Skatteverket ska i beskattningsverksamheten tillåtas
utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna beskattningsdatalagen.
Tullverket ska tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldatalagen.
227 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 84, där det framgår att den generella regleringen i 3 kap. 3 § dataskyddslagen tillkom bl.a. mot bakgrund av att det inte ansågs kunna tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas.
Kronofogdemyndigheten ska tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna kronofogdedatalagen.
Vår bedömning: Det krävs inte något undantag från sökförbudet
för Skatteverkets folkbokföringsverksamhet.
Skälen för vårt förslag och vår bedömning
Skatteverkets beskattningsverksamhet
Skatteverket behöver i beskattningsverksamheten i vissa fall kunna göra sökningar för att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa. Som beskrivs i avsnitt 10.5 finns flera situationer där behandling av sådana uppgifter är nödvändig för att Skatteverket ska kunna fullgöra sina uppdrag.
Skatteverket administrerar stora mängder individorienterade ärenden i sin handläggande verksamhet, vilket bl.a. för med sig ett behov av att kunna söka och göra ett urval av personer och ärenden baserat på vissa uppgifter som kan utgöra känsliga personuppgifter. Behovet finns även för att ta fram urvalsträffar för kontroll i den mån sådana uppgifter är relevanta omständigheter för det som ska kontrolleras. Det kan t.ex. vara fråga om personuppgifter om hälsa som förekommer vid ansökningar om avdrag för faktiska kostnader för resor till och från arbetet på grund av sjukdom228, då enskilda begärt befrielse från förseningsavgift på grund av sjukdom229 eller vid skattereduktion för sjukersättning.230 Det kan också handla om personuppgifter om religiös övertygelse som är av betydelse för avgifter till Svenska kyrkan och andra trossamfund samt uppgifter om medlemskap i fackförening som fram till nyligen var en avdragsgill kostnad.
Uppgifter om hälsa, religiös övertygelse samt medlemskap i fackförening är känsliga personuppgifter på det sätt som avses i artikel 9.1 i dataskyddsförordningen, och bör mot bakgrund av Skatteverkets behov undantas från det föreslagna sökförbudet. Undantaget bör ut-
228 Se 12 kap. 30 § IL. 229 Se 51 kap. 1 § SFL. 230 Se 67 kap. 2 § IL.
formas så att Skatteverket i beskattningsverksamheten tillåts utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna beskattningsdatalagen.
Vi har i övrigt inte identifierat något behov att i beskattningsverksamheten göra sammanställningar på grundval av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, filosofisk övertygelse, genetiska eller biometriska uppgifter eller uppgifter om en fysisk persons sexualliv eller sexuella hälsa. Några undantag hänförliga till sådana uppgifter föreslås därför inte.
Genom att undantagen från sökförbudet enbart omfattar sådana uppgifter som Skatteverket har ett behov av att kunna göra sökningar och sorteringar utifrån, upprätthålls enligt vår mening integritetsskyddet på en rimlig nivå samtidigt som myndigheten inte hindras i utövandet av sin verksamhet.
Skatteverkets folkbokföringsverksamhet
Skatteverket har avseende folkbokföringsverksamheten fört fram att myndigheten t.ex. behöver ha möjlighet att söka på civilstånd, vilket kan avslöja uppgifter om någons sexuella läggning231, och på medborgarskap, eventuellt i kombination med ytterligare utökade sökbegrepp, vilket skulle kunna avslöja uppgifter om etnicitet. Det föreslagna sökförbudet hindrar inte sådana sökningar under förutsättning att sökningen inte görs i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Skatteverket kan alltså utan hinder av sökförbudet göra sökningar för att t.ex. kontrollera att uppgifter registreras på ett enhetligt sätt avseende enskilda personer inom en familj.232 Detta eftersom utformningen av sökförbudet innebär att det kommer att vara tillåtet att göra sökningar som avser en enda person, eftersom sökresultatet då inte kommer att utvisa något urval av personer. Vad gäller uppgifter om medborgarskap utgör detta som utgångspunkt inte uppgifter som i sig anses vara känsliga personuppgifter. Ytterligare resonemang kring detta samt vad som bör gälla vid just Skatteverkets möjligheter att inom folkbokföringsverksam-
231 Se EU-domstolens dom den 1 augusti 2022 i mål C-184/20, OT mot Vyriausioji tarnybinės etikos komisija. 232 Jfr prop. 1990/91:53, om lag om folkbokföringsregister m.m., s. 35.
heten använda uppgifter om medborgarskap vid sökningar görs särskilda bedömningar i avsnitt 10.9.3 nedan.
Vidare har Skatteverket fört fram att det kan finnas behov av att göra urval av personer som är folkbokförda på behandlingshem av olika slag för kvalitetsuppföljning. Ett sådant urval skulle enligt Skatteverket sannolikt baseras på typ av fastighet där någon är bosatt. Att det finns en vårdinrättning eller annan typ av institution för vård på fastigheten skulle enligt myndigheten indirekt kunna var att betrakta som en uppgift om hälsa. Bakgrunden till Skatteverkets behov av sådana urval är bl.a. att det i 9 § första stycket 3 FOL framgår att en vistelse inte anses leda till ändrad bosättning om den föranleds enbart av vård vid en institution för sjukvård, vård av unga, kriminalvård eller vård av missbrukare. Enligt vår uppfattning hindrar dock inte den föreslagna regleringen att Skatteverket gör sökningar eller urval på vissa fastigheter i syfte att kontrollera att ingen felaktigt är folkbokförd där. Sådana sökningar får nämligen inte anses göras i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa. Det kan även framhållas att sökförbudet syftar till att hindra möjligheten att göra sammanställningar och kartlägga enskilda grundat på uppgifter om t.ex. hälsa, dvs. för att exempelvis få fram vilka personer som lider av sjukdom. Att Skatteverket gör sökningar på vissa adresser för att kontrollera att lagstiftningen följs bör inte anses göras i detta syfte, oaktat att adressen i sig går till t.ex. ett sjukhus. Vi anser därför att det inte finns skäl att införa ett särskilt undantag från sökförbudet i folkbokföringsverksamheten för uppgifter om hälsa till följd av vad Skatteverket har fört fram avseende myndighetens behov i denna del.
I övrigt har det inte kommit fram att Skatteverket inom folkbokföringsverksamheten har något behov av att kunna utföra sökningar som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Det gäller även användningen av sådana uppgifter som riskindikatorer för att ta fram urvalsträffar. En annan sak är att det kan förekomma känsliga personuppgifter i bl.a. sådan data som en urvalsmodell tränas på.
Vi bedömer mot denna bakgrund att det inte bör införas några särskilda undantag från sökförbudet för Skatteverkets folkbokföringsverksamhet.
Tullverket
I jämförelse med Skatteverket och Kronofogdemyndigheten har Tullverket ett relativt stort behov av att kunna göra sökningar som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Tullverket behöver t.ex. kunna identifiera urval av personer i arbetet med riskanalyser och tullkontroller för att fullgöra bl.a. den del av uppdraget som avser säkerhet och skydd.233 En del i detta uppdrag är att hitta och förhindra att varor som kan orsaka skada når personer under hot. Hotbilden kan grunda sig på uppgifter som avslöjar t.ex. etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, facklig tillhörighet eller sexuell läggning. Det kan i sådana fall vara nödvändigt för Tullverket att identifiera ett urval av personer som berörs av det aktuella hotet.
Vidare behöver Tullverket kunna ta fram riskprofiler, t.ex. av produktsäkerhetsskäl, för att göra urval av personer som importerar eller exporterar varor vilket kan grunda sig på känsliga personuppgifter. Exempelvis kan ett visst läkemedel i en deklaration för införsel av varor innehålla en känslig personuppgift om hälsa sett tillsammans med uppgiften om den som vill föra in läkemedlet i landet. Utöver detta behöver Tullverket kunna göra sökningar baserade på vissa känsliga personuppgifter för att ta fram urvalsträffar i arbetet med att säkerställa en riktig uppbörd. Det handlar om uppgifter som är av betydelse för att t.ex. kontrollera att korrekt tull betalas in vid import av varor. I likhet med vad som nämns ovan kan typen av varor tillsammans med avsändare eller mottagare innebära att ett visst urval baseras på känsliga personuppgifter, t.ex. uppgifter om hälsa vid import av läkemedel eller sexualliv vid import av sexhjälpmedel.
Det kan alltså konstateras att det behöver göras vissa undantag från sökförbudet till följd av Tullverkets arbetsuppgifter.234 Undantaget bör mot bakgrund av vad som anförts ovan utformas så att förbudet inte omfattar sökningar i syfte att få fram ett urval grundat på uppgifter om etniskt ursprung, politiska åsikter, religiös eller filo-
233 Se bl.a. artikel 128 tullkodexen. 234 Det kan nämnas att vissa undantag från sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) görs i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Exempelvis anges i 2 kap. 6 § samma lag att sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) inte hindrar sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.
sofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldatalagen.
När det gäller personuppgifter som avslöjar uppgifter om ras gör vi ingen annan bedömning än den regeringen har gjort i andra lagstiftningsärenden avseende personuppgifter, nämligen att det inte kan finnas något behov av att göra sammanställningar grundade på ras eftersom det inte finns någon vetenskaplig grund för att dela in människor i skilda raser.235
Vi har inte identifierat att Tullverket har behov av att kunna utföra sökningar för att få fram ett urval av personer grundat på genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Möjligheten att utföra sådana sökningar bör därför inte undantas från förbudet.
Kronofogdemyndigheten
Vi har identifierat att Kronofogdemyndigheten har behov av att kunna göra sökningar för att få fram ett urval av personer grundat på uppgifter om hälsa. Behovet är framför allt hänförligt till myndighetens verksamhet inom verkställighet och skuldsanering. Uppgifter om hälsa, såsom olika förmåner eller stöd hänförliga till sjukdom samt uppgifter i läkarintyg, är relevanta vid bedömning av bl.a. betalningsförmåga. Sådana uppgifter kan även ligga till grund för verkställighet av olika fordringar, t.ex. underhåll i form av utgifter för barns sjukdom. Vidare kan utmätning ske av t.ex. sjukpenning eller annan ersättning som lämnas på grund av sjukdom.236 Det finns även undantag från utmätning där hänsyn ska tas till om gäldenären eller någon som tillhör dennes familj lider av lyte eller allvarlig sjukdom.237 Kronofogdemyndigheten behöver mot denna bakgrund kunna sammanställa, sortera, välja ut och analysera ärenden där uppgifter om hälsa är av materiell betydelse för handläggningen.
Det bör mot denna bakgrund göras undantag från sökförbudet avseende Kronofogdemyndigheten som innebär att det inte omfat-
235Prop. 2017/18:232, Brottsdatalag, s. 151 och prop. 2017/18:269, Brottsdatalag – kompletter-
ande lagstiftning, s. 179.
236 Se 7 kap. UB. 2375 kap. 2 § UB.
tar sökningar i syfte att få fram ett urval grundat på uppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna kronofogdedatalagen.
Vi gör bedömningen att ett undantag från sökförbudet för uppgifter om hälsa inte påverkar de säkerhetsbestämmelser som finns i kreditupplysningslagen (1973:1173). Bestämmelsen i 6 § kreditupplysningslagen innebär nämligen att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) inte får behandlas i kreditupplysningsverksamhet.
Kronofogdemyndigheten har även uttryckt ett behov av att inom verksamheten med att motverka överskuldsättning kunna utföra sökningar för att få fram ett urval av personer grundat på uppgifter om födelseland och medborgarskap. Detta har av myndigheten motiverats med att sådana faktorer kan ha betydelse för sannolikheten att bli överskuldsatt. Som anges i avsnitt 10.9.3 nedan utgör sådana uppgifter i normalfallet inte känsliga personuppgifter i den mening som avses i dataskyddsförordningen. Vi bedömer därför att något ytterligare undantag inte behöver regleras med anledning av detta.
10.9.3. Det ska fortsatt finnas en särskild bestämmelse om vissa sökbegrepp inom Skatteverkets folkbokföringsverksamhet
Vårt förslag: Det ska vara förbjudet att som sökbegrepp inom
folkbokföringsverksamheten använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption.
Vår bedömning: Nuvarande bestämmelser i folkbokföringsdata-
baslagen som förbjuder Skatteverket från att använda uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd samt vissa uppgifter om medborgarskap som sökbegrepp bör inte ha någon motsvarighet i den föreslagna folkbokföringsdatalagen.
Skälen för vårt förslag och vår bedömning
De nuvarande bestämmelserna om förbud mot att använda vissa sökbegrepp inom folkbokföringsverksamheten
I 2 kap. 10 § FdbL anges i dag att vid sökning i databasen får uppgifter som avses i 3 § första stycket 5, 11, 12 och 17 inte användas som sökbegrepp. Vidare anges att uppgifter som avses i 3 § första stycket 8 får användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
Genom hänvisningen till 2 kap. 3 § första stycket 5, 11, 12 och 17 framgår att de uppgifter som avses är uppgifter om födelseort, samband enligt 10 som är grundat på adoption, dvs. make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen, inflyttning från utlandet samt uppehållsrätt för en person som är folkbokförd. Enligt 5 § FdbF avses med annan person som den registrerade har samband med inom folkbokföringen enligt 2 kap. 3 § 10 FdbL annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Med uppgifter som avses i 3 § första stycket 8 menas uppgifter om medborgarskap.
De nu gällande bestämmelserna härrör från den tidigare lagen (1990:1536) om folkbokföringsregister.238 Lagen innehöll bl.a. en bestämmelse i 6 § som på ett detaljerat sätt i en lista angav vilka uppgifter om personer som är eller har varit folkbokförda som fick finnas i ett lokalt folkbokföringsregister. I 12 § fanns en bestämmelse som uttömmande angav vilka sökbegrepp som var tillåtna att använda i ett lokalt folkbokföringsregister eller centralt referensregister. Detta gjordes genom hänvisningar till specifika uppgifter i 6 §. Vid tidpunkten för lagens upphävande239 gällde enligt 12 § att i ett lokalt folkbokföringsregister fick som sökbegrepp användas uppgifter om födelsetid och personnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning, folkbokföringsort och folkbokföring under särskild rubrik, civilstånd samt make, barn, föräldrar och vårdnadshavare eller annan person som den registrerade hade samband med inom folk-
238 Vid införandet av lagen gällde datalagen (1973:289) i fråga om s.k. personregister. Dataskyddsdirektivet hade ännu inte trätt i kraft, utan gjorde så först den 24 oktober 1995. 239 Lagen upphävdes 2001-10-01 genom SFS 2001:182.
bokföringen med undantag för uppgift om adoption. I det centrala referensregistret fick som sökbegrepp användas uppgift om personnummer, samordningsnummer, födelsetid, namn och avregistrering. Som sökbegrepp i ett register enligt lagen fick också, enligt de närmare föreskrifter som kunde meddelas av regeringen eller den myndighet som regeringen bestämde, användas uppgifter om make, barn, föräldrar och vårdnadshavare eller annan person som den registrerade har samband med inom folkbokföringen och om sambandet är grundat på adoption. Uppgifter om bl.a. födelseort, födelsehemort, medborgarskap eller inflyttning från utlandet fick alltså inte användas som sökbegrepp i registren.240
Frågan om vilka sökmöjligheter som skulle finnas i ett personregister ansågs vid denna tid vara av stor betydelse inte minst från integritetssynpunkt. I förarbetena anfördes även att man måste beakta att det av offentlighetsprincipen följer att en myndighet måste använda alla tillåtna sökbegrepp och tekniska möjligheter som står myndigheten till buds för att ur dess register ta fram uppgifter som någon begär. Regeringen anförde att om det tillåts att i ett personregister använda alla eller många typer av registeruppgifter som sökbegrepp fanns således risk för att oönskade och oförutsedda konsekvenser uppkommer. Vidare anförde regeringen att vid utformandet av de sökmöjligheter som då skulle byggas in främst i de lokala registren skulle självfallet hänsyn också tas till kravet på en effektivt och rationellt bedriven folkbokföringsverksamhet. Av förarbetena framgår även att det var ett begränsat antal sökmöjligheter som var nödvändiga för verksamheten, varför dessa kunde anges uttömmande. De sökbegrepp som väl infördes motiverades bl.a. med att de var nödvändiga för handläggningen av folkbokföringsärenden, eller för att kunna göra olika kontroller av uppgifterna i syfte att kunna garantera en god datakvalitet i de då nya registren.241 De begränsningar som fanns avseende vilka uppgifter som skulle få användas gjordes av integritetsskäl, dvs. i fråga om uppgifter om bl.a. födelseort, medborgarskap, inflyttning från utlandet eller relationsbegrepp som urskiljer adoptivförhållanden från biologiska relationer.
Införandet av den nu gällande folkbokföringsdatabaslagen innebar att de tidigare registren folkbokföringsregistret (reglerad i lagen
240 Regeringen föreslog dock att uppgifter om medborgarskap skulle få användas som sökbegrepp, vilket alltså inte blev fallet, se prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35–36. 241Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 34–35.
om folkbokföringsregister) och aviseringsregistret (reglerad i lagen [1995:743] om aviseringsregister) slogs samman till en databas. I förarbetena till 2 kap. 10 § FdbL anförde regeringen att förutom de begränsningar vid sökning som allmänt skulle gälla för behandling av uppgifter i elektroniska handlingar borde av integritetsskäl de då gällande begränsningarna i sökmöjligheter enligt lagen om folkbokföringsregister i huvudsak tillämpas även i framtiden.242 Regeringen anförde dock bl.a. att det inte fanns några integritetsskäl för att uppgift om födelsehemort, dvs. den ort i Sverige där modern var folkbokförd när personen föddes, inte skulle få användas som sökbegrepp varför detta tilläts. Uppgift om födelseort, vilket angavs för personer födda utomlands, skulle dock fortsatt omfattas av särskilda sökbegränsningar. Vidare möjliggjordes sökning på uppgifter om medborgarskap i de nordiska länderna eller om någon är medborgare i ett land inom EU eller inte, bl.a. då de ansågs behövas för framställning av röstlängder och för avisering till vissa myndigheter.243 Sammantaget blev det genom bestämmelsen förbjudet för Skatteverket att som sökbegrepp vid sökning i databasen använda uppgifter om födelseort, vissa relationssamband grundat på adoption, inflyttning från utlandet och uppgifter om medborgarskap med undantag från medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen.
År 2014 blev det även förbjudet att använda uppgifter om uppehållsrätt för en person som är folkbokförd som sökbegrepp.244 Ändringen gjordes i samband med att uppehållsrätt infördes som ett uttryckligt villkor för folkbokföring, vid sidan av uppehållstillstånd. I samband därmed tilläts Skatteverket att registrera en uppgift om uppehållsrätt i folkbokföringsdatabasen när uppgiften ligger till grund för ett beslut om folkbokföring. Regeringen anförde att det i lagen redan fanns bestämmelser som av integritetsskäl begränsar möjligheterna att använda uppgifter med anknytning till utlänningar och
242Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146. Utredningen som låg till grund för lagstiftningen anförde att uppgifter om födelseort, familjesamband som grundas på adoption, inflyttning från utlandet och gravsättning på olika sätt är känsliga, och att det inte heller fanns något direkt behov av att använda uppgifterna som sökbegrepp, se SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 318. 243Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146. 244 Ändringen infördes genom SFS 2013:382, se prop. 2012/13:120, bet. 2012/13:SkU25, rskr. 2012/13:254.
invandrare som sökbegrepp. En sådan begränsning borde enligt regeringen mot denna bakgrund även gälla för uppgift om uppehållsrätt.245
Skatteverkets behov
Skatteverket får i dag registrera uppgifter om födelseort, medborgarskap, inflyttning från utlandet och uppehållsrätt för en person som är folkbokförd i folkbokföringsdatabasen. Vidare får uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen som är grundat på adoption registreras.246
När det gäller uppgifter om inflyttning från utlandet registreras uppgift om datum och från vilket land personen i anmälan har uppgett att han eller hon har flyttat från. Då en person kan flytta till och från Sverige vid flera tillfällen kan en person ha flera ärenden om flytt till Sverige i vilka olika inflyttningsländer kan ha registrerats. I fråga om uppgifter om uppehållsrätt för en person som är folkbokförd registreras det förhållandet att en person har uppehållsrätt, men inte på vilken grund. Omständigheterna som ligger till grund för personens uppehållsrätt finns dock i ärendet genom bl.a. beslutet om folkbokföring.
Skatteverket har fört fram att det inte finns något utökat behov av att kunna använda uppgifter om vissa relationssamband grundade på adoption som sökbegrepp inom folkbokföringsverksamheten. Däremot har myndigheten till utredningen anfört att det finns behov av att kunna använda övriga uppgifter som i dag räknas upp i 2 kap. 10 § FdbL som sökbegrepp. En grundförutsättning för att Skatteverket ska kunna utnyttja de utökade möjligheterna att behandla personuppgifter vid dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringen är enligt myndigheten att verksamheten kan använda nu aktuella uppgifter som sökbegrepp. Dessa uppgifter har associerats med risker för felaktiga uppgifter i folkbokföringen. Om det inte är möjligt att använda de riskindikatorer som krävs blir urvalet enligt myndigheten inte användbart. Inom verksamhetsområdet ”Flytta till Sverige” avslutades exempelvis drygt 109 000 ärenden under 2022.247 Om Skatteverket inte ges möj-
245Prop. 2012/13:120, Folkbokföringen i framtiden, s. 40–41 och 48–49. 246 Se 2 kap. 3 § första stycket 5, 8, 11, 12 och 17 FdbL. 247 Skatteverkets årsredovisning 2022, s. 64.
lighet att söka på sådana uppgifter kommer det enligt myndigheten att bli svårt att få fram något urval inom detta verksamhetsområde över huvud taget.
Som redogörs för i det följande har Skatteverket till utredningen även fört fram ett flertal andra exempel på varför myndigheten anser att den har behov av att göra sökningar grundade på de aktuella uppgifterna kopplade till en persons nationalitet eller härkomst.
I ärenden där bosättning utreds behöver Skatteverket enligt myndigheten kunna använda inflyttning från utlandet som sökbegrepp. Skatteverket ser även ett behov av att använda uppehållsrätt som sökbegrepp för att t.ex. göra urval av inkommande ärenden och kvalitetsuppföljning med anledning av ärendenas komplicerade natur. Möjligheten att söka fram urval av personer som är medborgare inom EES och som har uppehållsrätt som arbetstagare i Sverige skulle vidare enligt Skatteverket ge myndigheten bättre möjligheter att förebygga och förhindra felaktig folkbokföring för dessa personer. Skatteverket lägger stora resurser på uppföljning av ärenden om personer som hör till denna grupp men kan i dag inte basera ett urval på uppgift om uppehållsrätt. Det är även relevant att använda detta som sökbegrepp vid urval för förebyggande arbete.
Det förekommer vidare falska pass från vissa EU-länder i ärenden om att flytta till Sverige. Att kunna göra urval grundade på uppgifter om bl.a. medborgarskap tillsammans med andra typer av urvalsparametrar skulle enligt Skatteverket innebära bättre förutsättningar för myndigheten att kunna identifiera falska och oriktiga handlingar.
En ny särskild bestämmelse om sökbegrepp i den föreslagna folkbokföringsdatalagen
Vårt förslag till nytt sökförbud i avsnitt 10.9.1 innebär att det blir förbjudet för Skatteverket att inom folkbokföringsverksamheten göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Därigenom kommer personuppgifter som avslöjar ras eller etniskt ursprung att omfattas av sökförbudet.
Vissa av de kategorier av uppgifter som den nuvarande bestämmelsen om sökbegrepp i 2 kap. 10 § FdbL omfattar kan tänkas innebära behandling som avslöjar känsliga personuppgifter, om de t.ex. kombineras med andra uppgifter eller beroende på i vilket sammanhang de
förekommer. Det rör sig om uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som i vissa fall tänkas avslöja en persons ras248 eller etniska ursprung. Uppgifter om relationsbegrepp som urskiljer adoptivförhållanden från biologiska relationer är till skillnad från detta inte en kategori av uppgifter som enligt vår mening kan avslöja sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen.
Regeringen har dock tidigare bedömt att olika typer av uppgifter som avslöjar en persons nationalitet normalt inte utgör känsliga personuppgifter. I propositionen till lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten har regeringen uppgett att en isolerad uppgift om medborgarskap varken avslöjar ras eller etniskt ursprung.249 I en annan proposition har regeringen i linje med detta bedömt att uppgifter om att en viss person är t.ex. spansk medborgare, född i Spanien eller inrest från Spanien inte omfattas av ett sökförbud i polisens verksamhet som avsåg uppgifter om bl.a. en persons ras eller etniska ursprung. Regeringen anförde dock att skulle en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ursprung faller den in under ett sådant förbud.250
I den mån uppgifter om nationell anknytning i ett enskilt fall utgör känsliga personuppgifter, kommer det sökförbud vi föreslår i avsnitt 10.9.1 att vara tillämpligt. Normalt är dock inte isolerade uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap sådana uppgifter som avslöjar känsliga personuppgifter.
Frågan är om det i dag finns skäl att införa en bestämmelse i den nya folkbokföringsdatalagen som motsvarar den nuvarande 2 kap. 10 § FdbL.
När det gäller uppgifter om personer som har samband till registrerade som är adopterade har de nuvarande sökbegränsningarna som ovan framgått införts av integritetsskäl. Även om uppgifterna inte utgör känsliga personuppgifter i dataskyddsförordningens mening anser
248 Enligt riksdagen och regeringen är det inte önskvärt att använda ordet ras om människor i författningar. Eftersom det inte finns någon vetenskaplig grund för att dela in människor i olika raser, finns det ur biologisk synpunkt inte någon grund för att använda ordet ras om människor, se prop. 2017/18:59, Ett utvidgat straffrättsligt skydd för transpersoner, s. 32–33. 249Prop. 2001/02:144, Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verk-
samheten, s. 41.
250Prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 325. Jfr även SOU 2015:39, Myndighetsdatalag, s. 328–329.
vi att det fortsatt finns vissa särskilda integritetsrisker för enskilda registrerade om t.ex. sammanställningar baserade på sådana uppgifter tillåts göras genom sökningar, beroende på hur mottagaren avser att använda dem.251 Sådana sammanställningar kan visserligen skyddas av sekretess i vissa fall genom bestämmelserna i 21 kap. 7 § eller 22 kap. 1 § OSL. Enligt båda dessa bestämmelser gäller dock en presumtion för offentlighet. Vidare har det inte heller kommit fram att Skatteverket i dag har något utökat behov av att kunna utföra sökningar genom att använda sådana uppgifter som sökbegrepp. Mot denna bakgrund föreslår vi att det ska införas en bestämmelse i folkbokföringsdatalagen som innebär att det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption. Det motsvarar den typ av absoluta sökbegränsning som i dag finns i 2 kap. 10 § FdbL avseende sådana uppgifter. Bestämmelsen är enligt vår mening möjlig att införa genom artikel 6.2 och 6.3 i dataskyddsförordningen.
I fråga om uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som i dag omfattas av det särskilda sökförbudet anser vi till skillnad från vad som nu sagts att det inte bör införas en motsvarande bestämmelse i den nya lagen. Uppgifterna utgör i normalfallet inte sådana känsliga personuppgifter som avses i dataskyddsförordningen. Det har vidare kommit fram att möjligheten att söka på uppgifterna är av stor betydelse för att Skatteverket ska kunna utföra sitt uppdrag inom folkbokföringsverksamheten på ett så effektivt, korrekt och rättssäkert sätt som möjligt, dvs. att se till att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder.252 De utökade möjligheter att göra data-
251 Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35. 252 Se 2 § andra stycket förordningen (2017:154) med instruktion för Skatteverket. Det kan här nämnas att det i Skatteverkets regleringsbrev för bl.a. 2023 anges att uppgifterna i folkbokföringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska vidare bedöma folkbokföringsfelets storlek och redovisa vilka åtgärder som har vidtagits för att öka kvaliteten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedömningar prioritera arbetet med att minska felen, se Regeringsbeslut 2022-12-22, Regleringsbrev för budgetåret 2023 avseende Skatteverket, Fi2022/03445 (delvis), s. 2.
analyser och urval som Skatteverket har fått och föreslås få genom våra förslag riskerar även att få mindre genomslagskraft om sökbegränsningarna i 2 kap. 10 § FdbL oförändrade förs över till den nya lagen. Eftersom de uppgifter som finns registrerade i folkbokföringen är av stor betydelse för bl.a. andra myndigheters verksamhet, t.ex. vid bedömningen av om en enskild har rätt till bosättningsbaserade förmåner från välfärdssystemet, anser vi att Skatteverkets verksamhetsbehov väger tungt vid bedömningen av om aktuella sökbegränsningar bör ha någon motsvarighet i den nya lagen. Det finns enligt vår mening starka skäl för att Skatteverket ska tillåtas använda uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som sökbegrepp inom folkbokföringsverksamheten.
Även om uppgifterna i normalfallet inte utgör känsliga personuppgifter i dataskyddsförordningens mening kan de anses vara särskilt integritetskänsliga i vissa situationer. Exempelvis har det, förutom i folkbokföringsverksamheten, införts en särskild sökbegränsning avseende uppgifter om nationell anknytning i 14 § första stycket domstolsdatalagen. Inom folkbokföringsverksamheten behandlar Skatteverket vidare en stor mängd uppgifter som avslöjar nationell anknytning. Möjligheten att ta fram och därigenom kunna lämna ut sammanställningar av personer på grundval av uppgifter om i vilket land de är medborgare, födelseort eller varifrån de flyttat kan t.ex. utnyttjas för att kartlägga och förfölja vissa grupper av personer av utländsk härkomst.253
Möjligheterna för allmänheten att ta del av sådana sammanställningar begränsas dock i vissa fall av sekretess. Enligt 21 kap. 5 § OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen är inte begränsad till någon viss verksamhet och ska alltså tillämpas även av Skatteverkets folkbokföringsverksamhet då det är aktuellt. Vidare gäller sekretess enligt 22 kap. 1 § OSL för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföringen. Utöver detta finns
253 Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35.
vissa möjligheter att sekretessbelägga personuppgifter enligt 21 kap. 7 § första stycket 1 OSL, om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning, t.ex. vid en begäran om massuttag av uppgifter.
Samtliga dessa sekretessbestämmelser innefattar raka skaderekvisit, vilket innebär att det föreligger en presumtion för att uppgifterna är offentliga. Om sökbegränsningen i 2 kap. 10 § FdbL avseende uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap inte skulle ges någon motsvarighet i den nya lagen finns det risk för att integritetskänsliga sammanställningar blir offentliga.254 Som tidigare konstaterats kommer vidare det föreslagna sökförbudet inte heller att omfatta sådana sökningar i de flesta fall. Trots detta anser vi att Skatteverkets behov av att kunna använda uppgifterna vid sökningar inom folkbokföringsverksamheten innebär att det särskilda sökförbudet avseende dessa inte bör ha någon motsvarighet i den nya lagen. Det krävs inte heller enligt den generella dataskyddsregleringen. Däremot anser vi att sammanställningar baserade på sådana uppgifter fortsatt bör ha ett starkt skydd inom folkbokföringsverksamheten. Vi föreslår därför att det i stället för ett absolut sökförbud, ska införas en särskild sekretessbestämmelse till skydd för uppgifterna i Skatteverkets folkbokföringsverksamhet, se avsnitt 15.2. På detta sätt säkerställs att Skatteverket kan bedriva en effektiv och rättssäker verksamhet så att myndigheten kan fullgöra sitt uppdrag på ett adekvat sätt, samtidigt som enskildas personliga integritet värnas på det sätt vi anser behövs. I praktiken är förslaget avsett att ge samma effekt som det absoluta sökförbudet innebär i dag, dvs. att hindra offentliggörande av särskilt integritetskänsliga sammanställningar. Vi bedömer dock att det bidrar till en mer ändamålsenlig reglering att i ett fall som detta låta uppgifterna omfattas av sekretess för att skydda enskildas personliga integritet, vilket inte hindrar Skatteverket i utförandet av sitt uppdrag.
Mot bakgrund av att det nuvarande sökförbudet i 2 kap. 10 § FdbL även gäller vid sökning i den befintliga analys- och urvalsdatabasen255, finns särskilda överväganden avseende sådana sökningar vid dataanalyser och urval i avsnitt 14.11.6.
254 Jfr 2 kap. 7 § TF. 255 2 a kap 4 § FdbL.
10.9.4. Den särskilda bestämmelsen om sökbegrepp i fråga om uppgifter om utslag vid Kronofogdemyndigheten bör inte längre finnas kvar
Vår bedömning: Nuvarande bestämmelse i kronofogdedatabas-
lagen om sökbegrepp som föreskriver att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräckningsdatabasen i fråga om uppgifter om utslag i målet bör inte ha någon motsvarighet i den föreslagna kronofogdedatalagen.
Skälen för vår bedömning
I 2 kap. 29 § andra stycket KFMdbL finns en särskild bestämmelse om sökbegrepp. Bestämmelsen föreskriver att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräckningsdatabasen i fråga om uppgifter om utslag i målet.
Bakgrunden till bestämmelsen är att vid införandet förlängdes den gallringsfrist som skulle gälla för uppgifter om utslag i mål om betalningsföreläggande från tre år till tio år (se 2 kap. 12 § KFMdbL). Skälet för den förlängda gallringsfristen var att myndigheten ansågs ha behov av att få tillgång till utslagen så länge de kan ligga till grund för verkställighet, vilket kunde vara under längre tid än tre år. Av hänsyn till skyddet för den enskildes personliga integritet infördes samtidigt regler som begränsar möjligheten att söka fram utslagen efter tre år.256 Frågan är om det finns skäl att i den föreslagna kronofogdedatalagen särskilt skydda uppgifter om utslag i mål genom att begränsa möjligheterna att söka efter dem.
Kronofogdemyndigheten har uppgett att den nuvarande sökbegränsningen avseende utslag är utformad på så sätt att motsvarande uppgifter kan sökas fram på annat sätt. Den nuvarande regleringen har därför i praktiken inte haft avsedd effekt. Vi föreslår i avsnitt 12.4.3 att det ska införas regler om längsta tid för behandling i stället för gallring. En följd av principen om lagringsminimering är att uppgifter som inte längre behövs i verksamheten inte ska behandlas där. Uppgifter som inte längre är aktuella som grund för verkställighet
256Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 165–166.
bör därför efter en viss tid i många fall enbart kunna behandlas för arkivändamål. När uppgifterna enbart behandlas för arkivändamål saknas som utgångspunkt möjlighet för en enskild handläggare att söka efter dem. Utöver detta är uppgifter om utslag inte sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Uppgifterna är vidare som regel offentliga då de inte omfattas av någon särskild sekretessbestämmelse. De uppgifter som den nuvarande sökbegränsningen har avsett att skydda har alltså inte bedömts vara särskilt skyddsvärda inom sekretesslagstiftningen eller i den allmänna dataskyddsregleringen.
Vår bedömning är sammantaget att det saknas skäl att fortsatt begränsa Kronofogdemyndighetens möjligheter att söka efter utslag i mål till enbart utslagets nummer efter att en viss tid har förflutit. Vi bedömer därför att det inte bör finnas någon bestämmelse motsvarande den nuvarande 2 kap. 29 § andra stycket KFMdbL i den föreslagna kronofogdedatalagen.
10.9.5. De förändrade sökbegränsningarna innebär att behandlingen fortsatt är proportionerlig
Som redan konstaterats är de nu gällande bestämmelserna om sökbegränsningar i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter mer långtgående än de föreslagna sökbegränsningarna som utgår från syftet med en sökning. Våra förslag kan därför i vissa fall leda till utvidgade möjligheter för myndigheterna att behandla känsliga personuppgifter och uppgifter om lagöverträdelser. Sökbegränsningarna kommer exempelvis inte att avse ett förbud mot att i varje situation använda vissa sökbegrepp vid sökning efter handlingar. Formuleringen innebär även att det inte kommer att finnas några hinder mot sökningar som görs för andra ändamål än att identifiera ett urval av personer.257 Det kommer också att vara tillåtet att göra sökningar som avser en enda person, eftersom sökresultatet då inte kommer att utvisa något urval av personer.258
De sökningar som kommer att vara tillåtna för Skatteverket, Tullverket och Kronofogdemyndigheten att utföra genom en huvudregel som utgår från syftet med en sökning bedöms dock inte medföra några väsentligen större integritetsrisker i förhållande till de risker
257 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 56. 258 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69.
som även de nuvarande sökbegränsningarna avser att förhindra. De föreslagna sökbegränsningarna är, liksom andra typer av sökbegränsningar, nämligen avsedda att förhindra sammanställningar av integritetskänsliga sökresultat, vilka skulle möjliggöra kartläggning av personer på grundval av t.ex. etnicitet eller politiska åsikter.259
De föreslagna verksamhetsspecifika undantagen från sökbegränsningarna kan dock komma att innebära vissa integritetsrisker genom att Skatteverket, Tullverket och Kronofogdemyndigheten i vissa fall tillåts göra urval av personer grundat på känsliga personuppgifter. Vid en avvägning mellan å ena sidan myndigheternas behov av att på ett effektivt och rättssäkert sätt kunna fullgöra sina verksamheter, och å andra sidan de integritetsrisker som vidare sökmöjligheter kan innebära, bedömer vi dock att det är rimligt att Skatteverket, Tullverket och Kronofogdemyndigheten tillåts att i vissa fall, som är tydligt kopplade till verksamhetsbehoven, utföra sökningar för att få fram ett urval av personer grundat på vissa specifika kategorier av känsliga personuppgifter. Detsamma bör gälla sökningar på sådana uppgifter i enskilda handlingar och ärenden. Bestämmelsernas utformning bedöms sammantaget stå i proportion till det eftersträvade syftet, dvs. att myndigheterna ska kunna fullgöra sina författningsreglerade uppgifter på ett effektivt och rättssäkert sätt. Även övriga skyddsåtgärder som föreslås i lagarna kommer att gälla vid sökningar och det finns sekretessreglering som kan tillämpas på uppgifterna i respektive verksamhet. Vid dataanalyser och urval föreslås därtill att absolut sekretess ska gälla för enskildas personliga eller ekonomiska förhållanden (se avsnitt 15.3). Det kommer därmed att finnas bestämmelser om lämpliga och särskilda åtgärder i den nationella rätten (artikel 9.2 g i dataskyddsförordningen). I fråga om uppgifter om lagöverträdelser bedöms sådan behandling vara proportionerlig utan särskilda begränsningar (jfr avsnitt 10.8). Utöver detta krävs som vid all behandling, att det finns en tillämplig rättslig grund och att de grundläggande principerna för behandling av personuppgifter följs.
Genom bestämmelsernas verksamhetsspecifika undantag, som är mer tillåtande än dataskyddslagens bestämmelser, kan även regeringsformens skydd mot betydande intrång i den personliga integriteten aktualiseras i de fall en sådan åtgärd som tillåts innebär kartläggning av den enskildes förhållanden (2 kap. 6 § andra stycket RF).260 Be-
259 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 89. 260 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 90.
gränsningar av skyddet mot betydande intrång i den personliga integriteten får endast göras genom lag för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig heller gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett dem och inte heller sträcka sig så långt att de utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 20 och 21 §§ RF). De föreslagna undantagen från sökbegränsningarna kommer att finnas i lag och är, som framgår ovan, enligt vår bedömning utformade för legitima syften och på ett sätt som är proportionerligt.
Vi bedömer sammantaget att de nya bestämmelserna om sökbegränsningar är utformade på ett sätt som innebär att myndigheternas behandling av personuppgifter är proportionerlig. Bestämmelserna bedöms vidare vara förenliga med både dataskyddsförordningens och regeringsformens bestämmelser.
10.10. Behandling av personnummer och samordningsnummer behöver inte regleras särskilt
Vår bedömning: Det behöver inte finnas särskilda bestämmelser
om behandling av personnummer och samordningsnummer i de nya lagarna.
Skälen för vår bedömning
I dag regleras myndigheternas möjligheter att behandla person- och samordningsnummer inom databaserna i registerlagarna. Det innebär att behandling av sådana uppgifter som är gemensamt tillgängliga regleras i de sektorspecifika lagarna medan övrig behandling som sker utan samtycke regleras av dataskyddslagens bestämmelser.261
Det är av vikt att Skatteverket, Tullverket och Kronofogdemyndigheten fortsättningsvis får behandla person- och samordningsnummer inom ramen för de nya föreslagna lagarnas tillämpningsområden eftersom det bl.a. utgör ett medel för säker identifiering. Den absoluta huvuddelen av den behandling av sådana uppgifter som utförs sker utan samtycke från de registrerade. Vi bedömer att den generella
261 1 kap. 6 § dataskyddslagen.
regleringen av behandling av personnummer och samordningsnummer i 3 kap. 10 § dataskyddslagen är tillräcklig ur integritetssynpunkt. Det behöver därför inte finnas några särskilda villkor eller skyddsåtgärder för sådan behandling i de nya lagarna. Mot bakgrund av myndigheternas behov bedömer vi att det inte heller bör införas några inskränkningar i rätten att behandla sådana uppgifter i förhållande till dataskyddslagens bestämmelse.
11. Elektroniskt utlämnande av personuppgifter
11.1. Inledning
I våra direktiv anges att ett vanligt sätt att skilja på olika former av elektroniskt utlämnande är att skilja mellan utlämnande på medium för automatiserad behandling, t.ex. genom e-post, och utlämnande genom s.k. direktåtkomst. Vidare anges att digitaliseringen medför att det ställs ökade krav på att myndigheter ska ha möjlighet att lämna uppgifter elektroniskt till framför allt enskilda, och att det kan finnas ett behov av en mer flexibel reglering av möjligheten till elektroniskt utlämnande på annat sätt än genom direktåtkomst.
En fråga som enligt direktiven behöver utredas är om nuvarande regler om direktåtkomst är ändamålsenliga. Enligt direktiven bör elektroniskt utlämnande på annat sätt än genom direktåtkomst i vissa fall, genom tillämpning av adekvat teknik, kunna tillgodose samma behov som direktåtkomst. I direktiven anges även att frågan behandlas i eSamverkansprogrammets (eSam) publikation Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016).
Ytterligare en fråga som enligt våra direktiv bör utredas är om dagens regler om elektroniskt utlämnande till utländska myndigheter, som gäller vid elektroniskt informationsutbyte inom ramen för det internationella samarbetet, är utformade på ett ändamålsenligt sätt. Det är enligt direktiven viktigt att regleringen inte skapar omotiverade hinder för detta samarbete.
Vårt uppdrag består i att ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt.
I kapitlet går vi igenom olika aspekter av elektroniskt utlämnande och särskilt frågor om direktåtkomst. Vi redogör för befintliga be-
stämmelser i registerförfattningarna samt regeringens överväganden i samband med att regleringen tillkom.
Informationshanteringsutredningen hade som huvuduppdrag att se över registerlagstiftningen och vissa därmed sammanhängande frågor. I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisades utredningens bedömningar bl.a. i frågan om det finns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande. I slutbetänkandet Myndighetsdatalag (SOU 2015:39) redovisades ytterligare överväganden kring direktåtkomst som är relevanta för vårt uppdrag. Vi redogör därför särskilt för Informationshanteringsutredningens ställningstaganden i frågan om vilka särskilda effekter och risker som direktåtkomst medför, och som motiverat den utredningens bedömning att direktåtkomst inte bör likställas med övrigt elektroniskt utlämnande.
I kapitlet redogör vi även för det i sammanhanget centrala s.k. LEFI Online-avgörandet från Högsta förvaltningsdomstolen (HFD 2015 ref. 61), samt vägledningen från eSam, och en senare publikation från samma organisation. Vi redogör även för relevanta bestämmelser i EU:s dataskyddsförordning1, den svenska generella dataskyddsregleringen, samt Europeiska dataskyddstyrelsens vägledning om inbyggt dataskydd och dataskydd som standard. Vi redovisar även myndigheternas uppfattningar om nuvarande reglering. Slutligen lämnar vi förslag på ny reglering och redogör för de bedömningar som ligger till grund för våra förslag.
11.2. Olika former av elektroniskt utlämnande
11.2.1. Allmänt om elektroniskt utlämnande
Informationsutbyte i elektronisk form är i dag en integrerad del i myndigheternas verksamhet. Skatteverket, Tullverket och Kronofogdemyndigheten har ett dagligt elektroniskt utbyte av information med andra myndigheter och enskilda. Det finns även ett omfattande digitalt informationsutbyte mellan myndigheterna i EU:s medlems-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
stater. Elektroniskt uppgiftslämnande kan ske på flera olika sätt, exempelvis genom e-post eller direkt överföring mellan olika it-system.
Utlämnande av personuppgifter utgör behandling av personuppgifter enligt EU:s dataskyddsförordning.2 För att behandling i form av utlämnande ska vara tillåten krävs följaktligen att de grundläggande förutsättningarna för behandling är uppfyllda. Det innebär bl.a. att det måste finnas en rättslig grund enligt artikel 6.1 för utlämnandet, exempelvis en tvingande bestämmelse om uppgiftsskyldighet eller underrättelseskyldighet som bryter eventuell sekretess.
I avsnitt 8.4.4 har vi föreslagit att det i de nya datalagarna ska finnas en bestämmelse om att personuppgifter som behandlas inom verksamheten också får behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Den föreslagna bestämmelsen utgör inte en rättslig grund för uppgiftslämnande i dataskyddsförordningens mening. Bestämmelsen är i stället snarast en upplysningsbestämmelse som tydliggör att uppgifter kan komma att behandlas även för behov som ligger utanför den verksamhet som omfattas av respektive lags tillämpningsområde. Den rättsliga grunden för behandling genom utlämnande utgörs i stället av de bestämmelser som tillåter eller kräver att uppgifter lämnas ut.
Uppgifter som behandlas av en myndighet skyddas ofta av bestämmelser som anger att sekretess alltid eller under vissa förutsättningar råder för uppgifterna utanför det sammanhang där de behandlas. Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400), OSL. Om en sekretessbestämmelse är tillämplig för en viss uppgift gäller sekretessen såväl i förhållande till enskilda som i förhållande till andra offentliga aktörer (och andra självständiga verksamhetsgrenar inom myndigheten).3
I avsnitten 3.3.4–3.3.6 har vi redogjort för de sekretessbestämmelser som gäller i Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive verksamheter. Sammanfattningsvis råder som utgångspunkt absolut sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden i Skatteverkets beskattningsverksamhet och för uppgifter som behandlas i beskattningsdatabasen.4För uppgift om en enskilds personliga förhållanden i Skatteverkets
2 Av artikel 4.2 i dataskyddsförordningen framgår att med behandling avses bl.a. utlämning genom överföring, spridning eller tillhandahållande på annat sätt. 3 8 kap. 1–2 §§ OSL. 4 27 kap. 1 och 2 §§ OSL.
folkbokföringsverksamhet finns en presumtion för offentlighet.5För vissa särskilt angivna uppgifter eller ärenden gäller dock absolut sekretess eller en presumtion för detsamma.6 I Tullverkets verksamhet och för uppgifter som behandlas i tulldatabasen råder en presumtion för sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden.7 I Kronofogdemyndighetens verksamhet och för uppgifter som behandlas i de olika databaserna råder dock enbart i vissa fall en presumtion för sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden. I många fall råder i stället en presumtion för offentlighet. Endast i undantagsfall, dvs. när Kronofogdemyndigheten har blockerat en uppgift, råder absolut sekretess.8
En uppgiftsskyldighet i lag eller förordning bryter sekretess i förhållande till andra myndigheter, vilket framgår av 10 kap. 28 § OSL. För att sekretessbelagda uppgifter ska kunna lämnas ut från en myndighet till en annan måste det alltså föreligga en skyldighet i lag eller förordning att lämna ut uppgifterna, om utlämnandet inte kan ske med stöd av någon generellt sekretessbrytande bestämmelse. För att sekretessbelagda uppgifter ska kunna lämnas ut till enskilda krävs att det framgår av offentlighets- och sekretesslagen att så får ske, eller att det anges i lag eller förordning som offentlighets- och sekretesslagen hänvisar till.9 I kapitel 13 redogör vi närmare för olika aspekter av informationsutbyte mellan myndigheter samt Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive skyldigheter att lämna ut uppgifter i vissa fall. Vi redogör därför inte närmare för de generella förutsättningarna för uppgiftslämnande i detta sammanhang. I det följande behandlas i stället sådan reglering som begränsar eller tillåter att en myndighet lämnar ut uppgifter elektroniskt.
Enligt 2 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte ska en myndighet i sin verksamhet främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen. I dag finns det inte någon generell reglering av vilka särskilda former myndigheters elektroniska informationsutbyte ska ha, eller vilka tekniska lösningar som får användas. Däremot finns bestämmelser om formerna för myndigheters kommunikation med andra aktörer avseende beslut. Ett beslut som
522 kap. 1 § första stycket OSL. 622 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL. 7 27 kap. 1–3 §§ OSL. 834 kap. OSL. 98 kap. 1 § OSL.
ska tillhandahållas bör skickas med post, om inte något annat har begärts. Om det är lämpligt får en handling skickas med telefax eller elektronisk post eller på annat sätt tillhandahållas i elektronisk form.10Bestämmelser som begränsar en myndighets möjlighet att lämna ut uppgifter elektroniskt både till enskilda och andra myndigheter finns dock ofta i sektorsspecifik kompletterande dataskyddsreglering.
Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas verksamhet. Principen kommer bl.a. till uttryck genom rätten att ta del av allmänna handlingar, som regleras i 2 kap. tryckfrihetsförordningen,TF. Genom offentlighetsprincipen ges enskilda rätt att ta del av allmänna handlingar hos Skatteverket, Tullverket och Kronofogdemyndigheten. Såvitt avser utlämnande av allmänna handlingar från myndigheter till enskilda finns det en generell reglering av formen för utlämnande i tryckfrihetsförordningen. Enskilda har genom 2 kap. 15 § TF rätt att ta del av allmänna handlingar hos den myndighet som förvarar dem, på ett sådant sätt att den kan läsas eller avlyssnas eller uppfattas på annat sätt. Den som önskar det har även rätt att mot en fastställd avgift få en avskrift eller kopia av en allmän handling, till den del handlingen får lämnas ut, vilket framgår av 2 kap. 16 § TF.
En myndighet är dock enligt 2 kap. 16 § TF inte i större utsträckning än vad som följer av lag skyldig att lämna ut en upptagning för automatiserad behandling (dvs. digitalt) i annan form än genom utskrift. Bestämmelsen kallas utskriftsundantaget. Av förarbetena till tryckfrihetsförordningen framgår att det var framför allt register- och databashantering som avsågs med upptagning för automatiserad behandling. Ett utlämnande av sådana handlingar i form av kopia ansågs kunna riskera att uppgifter behandlades automatiserat på ett sätt som kunde medföra otillbörliga integritetsintrång. Det var mot den bakgrunden som utskriftsundantaget infördes. Med ”utskrift” avses att en teknisk upptagning överförs till skrift. Bestämmelsen innebär dock inte något förbud mot att handlingar lämnas ut i elektronisk form.11
109–10 §§ förordningen (2003:234) om tiden för tillhandahållande av domar och beslut, m.m. Förordningens bestämmelser är dock enligt 1 § andra stycket subsidiära i förhållande till avvikande bestämmelser i annan författning. 11Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen,
m.m., s. 80–82, 86 och 113, och prop. 1975/76:160, om nya grundlagsbestämmelser angående allmänna handlingars offentlighet s. 82–83 och 189.
Sedan den 1 augusti 2022 gäller en ny lag om den offentliga sektorns tillgängliggörande av data. Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, öppna datalagen, gäller när en myndighet tillgängliggör data för vidareutnyttjande och innehåller bl.a. krav på i vilka format olika slags data ska göras tillgängliga. När data lämnas mellan myndigheter är dock lagen inte tillämplig.12 Lagen påverkar inte tillämpningen av bestämmelser i någon annan författning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt. Lagen påverkar inte heller tillämpningen av bestämmelser i någon författning om skyddet av personuppgifter.13
11.2.2. Utlämnande genom direktåtkomst
En särskild form av elektroniskt utlämnande
Som redan nämnts kan ett elektroniskt informationsutbyte ske på olika sätt. Direktåtkomst är en form av elektronisk informationsöverföring som sammanfattningsvis innebär att den utlämnande myndigheten ger mottagaren möjlighet att hämta information direkt från den utlämnande myndighetens it-system. Det skiljer sig alltså från sådant elektroniskt utlämnande som föregås av en manuell eller automatiserad kontroll eller annan prövning av om utlämnandet ska ske.
Det som i dag kallas direktåtkomst benämndes tidigare terminalåtkomst. Utlämnande genom det som i dag benämns som direktåtkomst kännetecknades ursprungligen av en tillgång via terminal eller liknande till en ”dataanläggning.”14 I de tidiga systemen för terminalåtkomst ansågs det saknas teknisk möjlighet att begränsa den enskilde medarbetarens åtkomst till enbart sådana uppgifter som han eller hon behövde för sitt arbete.15 Att en uppgift var tillgänglig ”via terminal” ansågs därför öka risken för att någon obehörigen tog del av den, vilket i sin tur försvagade sekretesskyddet.16
Ett vanligt sätt att beskriva direktåtkomst har tidigare varit att ett sådant utlämnande innebär att mottagaren på egen hand kan söka i den utlämnande myndighetens informationssamling, men utan att
12 1 kap. 8 § andra stycket lagen om den offentliga sektorns tillgängliggörande av data. 13 1 kap. 2 § lagen om den offentliga sektorns tillgängliggörande av data. 14 Jfr beskrivningen i prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryck-
frihetsförordningen m.m., s. 77.
15Prop. 1979/80:146, med förslag till skatteregisterlag, s. 21. 16Prop. 1979/80:146, med förslag till skatteregisterlag, s. 31.
kunna påverka innehållet. I begreppet direktåtkomst ligger också att den utlämnande myndigheten saknar kontroll över vilka faktiska uppgifter, av de som åtkomst har medgetts till, som den externa parten vid ett visst tillfälle tar del av.17 Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar därmed inte något beslut om utlämnande av uppgifter i varje enskilt fall som den mottagande myndigheten tar del av uppgifterna. I stället måste den utlämnande myndigheten göra en förhandsprövning av förutsättningarna för utlämnande i samband med att åtkomsten rent tekniskt upprättas. En sådan prövning innefattar alla uppgifter som mottagaren har möjlighet att ta del av genom direktåtkomsten. Beroende på vad direktåtkomsten avser kan prövningen behöva omfatta en stor informationsmängd, exempelvis typer eller kategorier av uppgifter avseende en fördefinierad grupp av personer.
Sedan direktåtkomst började användas vid informationsutbyte mellan myndigheter har den tekniska utvecklingen ökat möjligheterna att avgränsa mottagarens möjlighet att ta del av uppgifter hos den mottagande myndigheten. I dag utmärks direktåtkomst av att den mottagande myndigheten har en digital och direkt tillgång till viss information som finns hos den utlämnande myndigheten, som ofta finns på en särskild och avgränsad yta. Med dagens teknik kan åtkomsten även begränsas hos den mottagande myndigheten till att endast avse uppgifter som behövs för de arbetsuppgifter den enskilda medarbetaren har.
Lagstiftaren har ofta bedömt att direktåtkomst är en så integritetskänslig form av personuppgiftsbehandling att den i princip endast är tillåten om det finns stöd för den i lag.18 Det har dock även förekommit oreglerat uppgiftslämnande genom direktåtkomst.19 Bestämmelser som förbjuder direktåtkomst, eller som anger i vilka fall direktåtkomst får förekomma, finns i regel i sektorsspecifik dataskyddsreglering. Bestämmelser som tillåter direktåtkomst är ofta utformade på så sätt att en myndighet under vissa förutsättningar får ha direktåtkomst till vissa uppgifter hos en annan myndighet. Sådana bestämmelser innebär dock endast att lagstiftaren eller regeringen ger den utlämnande
17 Jfr tex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 83, prop. 2005/06:52Elektronisk informationsöverföring hos arbetslöshetskassorna och inom
Arbetsmarknadsverket, s. 8 och prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 127.
18 Jfr bl.a. redogörelsen i SOU 2010:4, Allmänna handlingar i elektronisk-form – offentlighet och
integritet, s. 133–134 och 365.
19SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 121.
myndigheten rätt att bevilja den mottagande myndigheten direktåtkomst till de angivna uppgifterna. Om bestämmelser om direktåtkomst inte är tvingande är det därför den utlämnande myndigheten som ansvarar för att bedöma om utlämnande genom direktåtkomst kan ske på ett säkert sätt från integritetssynpunkt.20 Dessa överväganden måste i dag göras utifrån de krav som ställs upp i EU:s dataskyddsförordning, se avsnitt 11.7.3.
Direktåtkomst och sekretess
Bestämmelser om sekretess
En bestämmelse som tillåter en myndighet att lämna ut uppgifter genom direktåtkomst är inte sekretessbrytande om den inte är tvingande för den utlämnande myndigheten.21 Om sekretess gäller hos den utlämnande myndigheten för de uppgifter som ska lämnas ut krävs därför att det också finns en sekretessbrytande bestämmelse som är tillämplig och som inte kräver bedömningar som behöver göras av en människa i varje enskilt fall.22 Möjligheten att över huvud taget utnyttja direktåtkomst för informationsöverföring mellan två myndigheter kan alltså vara begränsad redan på grund av utformningen av de sekretessbrytande bestämmelserna (jfr avsnitt 13.4.4).
I bestämmelser som tillåter direktåtkomst anges ofta att den mottagande myndigheten får ha direktåtkomst till vissa uppgifter hos den utlämnande myndigheten, men enbart avseende personer som är aktuella i ett ärende hos den mottagande myndigheten. Den mottagande myndigheten får då endast söka efter uppgifter efter att en person har blivit aktuell i ett ärende hos den mottagande myndigheten. Rent tekniskt kan den mottagande myndigheten emellertid behöva ha möjlighet att ta del av uppgifter om alla personer som förekommer med relevanta uppgifter hos den utlämnande myndigheten. Det beror på att den mottagande myndigheten inte i förväg kan veta vilka personer som kan komma att bli aktuella i ärenden och ett närmare urval kan vara tekniskt omöjligt. Uppgifter som en mottagande myndighet har direktåtkomst till är därför i normalfallet att anse som ut-
20 Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radio-
anstalt s. 105.
21 Se t.ex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 83 och prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 151. 22 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 73.
lämnade dit i och med att direktåtkomsten upprättats och är aktiv (se avsnitt om överskottsinformation nedan). Det spelar i det sammanhanget ingen roll om den mottagande myndigheten faktiskt tar del av en viss uppgift eller inte.23 Eventuella sekretessbrytande bestämmelser måste därför omfatta även sådan information som den utlämnande myndigheten rent tekniskt gör tillgänglig för den mottagande myndigheten i samband med att direktåtkomsten upprättas. De sekretessbrytande bestämmelserna som krävs för att direktåtkomst ska vara möjlig måste alltså ha ett relativt stort tillämpningsområde och avse alla uppgifter som den mottagande myndigheten kan antas komma att ha ett behov av.24
När en sekretessreglerad uppgift lämnas från en myndighet till en annan är huvudregeln att sekretessen inte följer med uppgiften. Det finns dock bestämmelser om överföring av sekretess inom vissa områden, bl.a. vid direktåtkomst. Om en myndighet har elektronisk tillgång hos en annan myndighet till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir enligt 11 kap. 4 första stycket OSL sekretessbestämmelsen tillämplig även hos mottagaren. Bestämmelsen ska dock inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten, vilket framgår av 11 kap. 4 § andra stycket OSL. Det innebär att vid direktåtkomst ska sekretesskyddet hos den utlämnande myndigheten gälla även hos den mottagande myndigheten, så länge uppgiften som utlämnats genom direktåtkomst inte ingår i ett beslut hos den mottagande myndigheten. Det gäller dock enligt 11 kap. 8 § OSL enbart om det inte hos den mottagande myndigheten finns en sekretessbestämmelse till skydd för samma intresse som redan är tillämplig på uppgifterna hos den mottagande myndigheten. Om det finns en sekretessbestämmelse som är primärt tillämplig hos den mottagande myndigheten är det därmed den bestämmelsen som ska tillämpas i stället för den överförda sekretessen. Det gäller oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen.25
23Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 73. 24 Kommittédirektiv 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 11–12. 25 Se Hollunger Wågnert, Offentlighets- och sekretesslag (2009:400) 11 kap. 4 §, Karnov (JUNO) [hämtad 2023-04-21]. Med uttrycket primär sekretess avses en sekretessbestämmelse som är direkt tillämplig hos en viss myndighet. Med uttrycket sekundär sekretess avses en sekretessbestämmelse som normalt inte ska tillämpas av en viss myndighet, men som kan komma att bli tillämplig där genom bestämmelser om överföring av den sekretessbestämmelsen från den myndighet där den är primär.
Databassekretess hos Skatteverket, Tullverket och Kronofogdemyndigheten
I kapitel 9 har vi redogjort för den databasreglering som finns i de befintliga registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Databasregleringen utgörs sammanfattningsvis av bestämmelser som endast gäller för uppgifter som behandlas gemensamt i den aktuella verksamheten.
I offentlighets- och sekretesslagen finns särskilda sekretessbestämmelser för uppgifter i myndigheternas databaser, den s.k. databassekretessen. Databassekretessen är även tillämplig hos en mottagande myndighet som har direktåtkomst till uppgifter i databasen.26 Databassekretessen utgör en primär sekretessbestämmelse, inte bara hos den utlämnande myndigheten utan även hos andra myndigheter som har direktåtkomst till uppgifter i respektive databas. Sekretessbestämmelsens utformning gör att den är tillämplig hos de genom direktåtkomst anslutna myndigheterna så länge som uppgifterna inte har tagits ut ur databasen. Databassekretessen är därmed tillämplig när uppgifterna endast är tekniskt tillgängliga hos den mottagande myndigheten.
Databassekretessen upphör dock att vara tillämplig hos den mottagande myndigheten när en uppgift ur databasen används i den mottagande myndighetens verksamhet.27 Databassekretessen innebär alltså att samma sekretesskydd som gäller vid myndigheternas behandling av uppgifter också gäller hos mottagaren, fram till dess uppgifterna ingår i ett ärende där.
I avsnitt 9.4.2 föreslår vi att den särskilda databasregleringen ska upphöra. I avsnitt 15.5.3 föreslår vi nya sekretessbestämmelser med innebörden att sekretess motsvarande databassekretessen även i fortsättningen ska gälla vid direktåtkomst.
26 27 kap. 1 § andra stycket 1 OSL avseende Skatteverket, 27 kap. 3 § andra stycket OSL avseende Tullverket och 34 kap. 1 § och 2 § första stycket OSL avseende Kronofogdemyndigheten. 27Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 184 och prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 12.
Överskottsinformation vid direktåtkomst
Handlingsoffentligheten och direktåtkomst
Redan för cirka 15 år sedan konstaterade regeringen att teknikutvecklingen hade lett till att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande blivit så liten att det ibland kunde vara svårt att dra en gräns mellan de olika formerna för elektronisk informationsöverföring.28 Liknande bedömningar har gjorts i flera andra sammanhang sedan dess. Användarupplevelsen blir exempelvis densamma i en s.k. fråga-svar-tjänst (se avsnitt 11.4.2 om LEFI Onlineavgörandet) som vid direktåtkomst. I båda fallen lämnas uppgifter ut momentant, utan någon mänsklig inblandning.29 Vid direktåtkomst uppkommer dock vissa rättsliga konsekvenser som innebär att det finns rättsliga skillnader mellan direktåtkomst och andra former för elektroniskt utlämnande.
I 2 kap. TF finns bestämmelser om den s.k. handlingsoffentligheten. Handlingsoffentligheten, som innebär att var och en ha rätt att ta del av allmänna handlingar, slås fast i 2 kap. 1 § TF. Rätten att ta del av allmänna handlingar begränsas dock av offentlighets- och sekretesslagens bestämmelser.
Med handling avses enligt 2 kap. 3 § TF bl.a. en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Det innebär att även digitalt hanterade uppgifter omfattas av handlingsoffentligheten. Det krävs dock att uppgiften är fixerad på något sätt.30
En handling är vidare allmän bara om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet, 2 kap. 4 § TF. En upptagning anses enligt 2 kap. 6 § TF första stycket31 förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas
28Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 58. 29 Jfr SOU 2021:46, Snabbare lagföring – ett snabbförfarande i brottmål, s. 416 och Skatteverkets remissvar 2020-04-20, Promemorian, De brottsbekämpande myndigheternas direktåtkomst till
beskattningsdatabasen, Ju2020/00320/L4, s. 4.
30 Prop. 1973/33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 75. 31 Regleringen fanns tidigare i 2 kap. 3 § TF. Ändringarna, som infördes den 1 januari 2019, är endast språkliga och redaktionella, se prop. 2017/18:49, Ändrade mediegrundlagar, s. 192.
eller uppfattas på annat sätt.32 En handling anses enligt 2 kap. 9 § första stycket TF ha kommit in till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om en upptagning som avses i 2kap. 3 § TF gäller i stället att den anses ha kommit in till myndigheten när någon annan har gjort den tillgänglig för myndigheten på det sätt som anges i 2 kap. 6 § TF.
All elektroniskt lagrad information hos en annan myndighet som en myndighet har möjlighet att överföra till läsbar, hörbar eller annan uppfattbar form, med hjälp av utrustning som mottagarmyndigheten förfogar över, utgör alltså allmän handling hos mottagarmyndigheten om inget undantag är tillämpligt. Detta gäller redan i och med att överföringsmöjligheten uppstår, exempelvis genom upprättandet av en direktåtkomst till vissa uppgifter.33
Så kallade potentiella handlingar, dvs. sammanställningar av uppgifter ur en upptagning för automatiserad behandling, anses dock enligt 2 kap. 6 § andra stycket TF förvarade hos den mottagande myndigheten bara om sammanställningen kan göras tillgänglig där med rutinbetonade åtgärder. Om den myndighet som tar emot uppgifter via direktåtkomst måste använda sig av mer än rutinbetonade åtgärder för att få fram sammanställningen är den därmed inte allmän hos den mottagande myndigheten. Av praxis följer att en arbetsinsats på 4–6 timmar för att göra en sammanställning överstiger vad som kan ses som rutinbetonade åtgärder (HFD 2015 ref. 25). Potentiella handlingar är inte heller allmänna hos den myndighet som tar emot uppgifter via direktåtkomst om den myndigheten, enligt lag eller förordning, saknar befogenhet att göra sammanställningen tillgänglig (2 kap. 7 § TF, den s.k. begränsningsregeln). Det innebär att om det i den mottagande myndighetens verksamhet finns ett förbud mot att göra vissa sökningar, exempelvis ett förbud mot att använda känsliga personuppgifter som sökbegrepp, gäller det förbudet även för de uppgifter som direktåtkomsten omfattar (se även avsnitt 10.9 om sökbegränsningar).
I 2 kap. 14 § första stycket TF anges ytterligare undantag från när en handling är att betrakta som allmän, bl.a. om den ingår i ett biblio-
32 Enligt Informationshanteringsutredningen borde direktåtkomst avgränsas på så sätt att den endast skulle anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i nuvarande 2 kap. 6 § andra stycket TF, se avsnitt 11.4.1 nedan. Högsta förvaltningsdomstolen använde i LEFI Online-avgörandet en motsvarande definition av direktåtkomst, se avsnitt 11.4.2 nedan. 33 Jfr SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 113.
tek (den s.k. biblioteksregeln). Biblioteksregeln innebär att information på öppna webbplatser som en myndighet har åtkomst till inte är att anse som allmänna handlingar.34
Uppgifter som inte behövs
Om de uppgifter som lämnas ut genom direktåtkomst är sekretessbelagda hos den utlämnande myndigheten krävs, som vi redan nämnt, att det finns en sekretessbrytande bestämmelse som avser samtliga uppgifter som direktåtkomsten omfattar. En direktåtkomst omfattar dock i regel enbart sådana uppgifter som den utlämnande myndigheten på förhand och i samråd med den mottagande myndigheten bedömer att den mottagande myndigheten har rätt att, och kan komma att behöva, ta del av. Som en generell utgångspunkt kan dock förutsättas att en mottagande myndighet inte kommer att faktiskt ta del av samtliga uppgifter som lämnas ut genom direktåtkomst. Det är först när det uppkommer ett sakligt behov av uppgifterna som den mottagande myndigheten får ta del av dem. Den mottagande myndigheten saknar alltså i normalfallet rättslig grund i dataskyddsförordningens mening för att behandla samtliga uppgifter som lämnas ut genom direktåtkomst (se avsnitt 3.2.5). Exempelvis måste den mottagande myndigheten normalt anses sakna rättslig grund för behandling av uppgifter om person som inte förkommer i den egna verksamheten, men som är aktuell hos den utlämnande myndigheten i ett sådant sammanhang att uppgifter om personen omfattas av direktåtkomsten. Den information som den mottagande myndigheten har teknisk tillgång till genom direktåtkomsten, men som myndigheten inte har skäl att faktiskt ta del av utgör överskottsinformation. I Informationshanteringsutredningens delbetänkande definierades överskottsinformation enligt följande.
Med överskottsinformation avses externt tillgänglig […] information som en mottagande myndighet (mottagarmyndighet) vid direktåtkomst eller liknande elektronisk tillgång till en annan myndighets (värdmyndighet) elektroniska informationssamling tekniskt sett har tillgång till men som mottagarmyndigheten, av hänsyn till värnandet om enskilda registrerades personliga integritet, inte får använda i ett enskilt fall eller ta del av utan att t.ex. vissa förutsättningar är uppfyllda. Med överskottsinformation avses också information som mottagarmyndigheten visser-
34SOU 2015:39, Myndighetsdatalag, s. 391.
ligen får men ännu inte har använt i sin verksamhet. […] En mottagarmyndighet kan alltså ofta ha direktåtkomst till uppgifter om personer som visar sig aldrig bli aktuella i mottagarmyndighetens verksamhet.35
I rättslig mening är dock samtliga upptagningar som direktåtkomsten omfattar inkomna till den mottagande myndigheten. Uppgifter i upptagningar som direktåtkomsten omfattar är därmed som utgångspunkt allmänna handlingar hos mottagaren, om inget undantag är tillämpligt. Det gäller oavsett om den mottagande myndigheten har tagit del av dem eller inte.
Direktåtkomst får dock inte medges till uppgifter som det på förhand går att konstatera att den mottagande myndigheten inte har rätt att ta del av. Den faktiska begränsningen av direktåtkomst görs i dag med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet. Direktåtkomst utformas i dag ofta på så sätt att den information som omfattas av de eventuella sekretessbrytande bestämmelserna läggs över på en särskild digital yta i den utlämnande myndighetens system. En mottagande myndighet har då enbart tillgång till denna avgränsade yta. Överskottsinformationen utgörs därmed inte av den totala uppgiftsmängden hos den utlämnande myndigheten. I dag finns det följaktligen inte någon faktisk möjlighet för den mottagande myndigheten att vid direktåtkomst fritt söka i den utlämnande myndighetens totala uppgiftsmängd.
11.2.3. Utlämnande av uppgifter på medium för automatiserad behandling
Många olika former av elektroniskt utlämnande
Till skillnad från direktåtkomst avser utlämnande på medium för automatiserad behandling inte någon särskild form av elektronisk informationsöverföring. Det finns inte heller någon legaldefinition av begreppet. Vad som avses har dessutom varierat beroende på vilken informationsteknik som varit tillgänglig för tillfället. Utlämnande på medium för automatiserad behandling karaktäriseras dock av att det inte utgör direktåtkomst. Ursprungligen avsågs en fysisk bärare av information som krävde någon form av automatiserad teknik för att
35SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 12
avläsas eller avlyssnas. Vid millennieskiftet angavs utlämnande på magnetband eller diskett som exempel, tekniker som är helt utdaterade i dag.36 Ännu tidigare exempel är s.k. hålkort och hålremsor.37
I takt med att tekniken för digital informationshantering har utvecklats har också begreppet utlämnande på medium för automatiserad behandling fått en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags fysiskt medium för lagring eller överföring. Med dagens teknik kan utlämnande av information ske exempelvis genom e-post eller genom direkt överföring från ett digitalt informationshanteringssystem till ett annat. Vid ett mer omfattande informationsutbyte mellan myndigheter är det oftast den senare metoden som används. Utlämnande på medium för automatiserad behandling innebär som regel att information lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan vidarebearbeta informationen. Detta innebär effektivitetsvinster för mottagaren, samtidigt som det kan innebära risker för den personliga integriteten.
Så kallade batch-körningar utgör en form av utlämnande på medium för automatiserad behandling som ofta används mellan myndigheter. Stora informationsmängder, batcher, lämnas då över till den mottagande myndigheten med viss fördröjning. Ett annat sätt att beskriva förfarandet är att de uppgifter som ett reglerat uppgiftslämnande omfattar lämnas över i bulk, utan en prövning av behovet i det enskilda fallet hos den mottagande myndigheten. Den fördröjning som är inbyggd i systemet, jämfört med om utlämnandet hade skett genom direktåtkomst, anses innebära en möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. Den faktiska sekretessprövningen sker dock i praktiken i samband med att den tekniska förbindelsen som möjliggör körningen upprättas mellan myndigheterna.38Någon ytterligare prövning av uppgifterna i samband med det faktiska utlämnandet sker alltså inte vid batch-körningar, även om det är teoretiskt möjligt.
Ytterligare en modern variant av utlämnande på medium för automatiserad behandling är helt automatiserade fråga-svar-tjänster. En sådan tjänst karaktäriseras av att uppgiftslämnandet från en myndighet till en annan sker momentant. Liksom batch-körningar bygger en fråga-svar-tjänst på en i förväg genomförd sekretessprövning och
36 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 234. 37Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen
m.m., s. 75.
38 Jfr SOU 2015:39, Myndighetsdatalag, s. 128.
automatiserade kontroller (se avsnitt 11.4.2 om LEFI Online-avgörandet nedan).
Vad som ska lämnas ut avgörs av den utlämnande myndigheten
Vid utlämnande på medium för automatiserad behandling, är det den utlämnande myndigheten som rättsligt förfogar över prövningen av om och i så fall vilka uppgifter som ska lämnas ut till mottagaren. Utmärkande för sådant elektroniskt utlämnande är att mottagaren frågar efter uppgiften och utlämnaren prövar om utlämnandet får och ska genomföras. Den utlämnande myndighetens prövning sker bl.a. med beaktande av eventuella regler om sekretess och rättsliga begränsningar av möjligheten att lämna ut uppgifter elektroniskt. Vid utlämnande på medium för automatiserad behandling finns det som utgångspunkt en möjlighet för den utlämnande parten att neka eller stoppa utlämnandet i det enskilda fallet. Som påpekats ovan är denna möjlighet i dag i många fall enbart teoretisk, eftersom informationsutbytet i dag är helt automatiserat och prövningarna har skett på förhand.
En annan form av överskottsinformation
Normalt tillåter sekretessbrytande bestämmelser utlämnande i vissa typsituationer. Särskilt vid uppgiftsutbyte mellan myndigheter kan dessa typsituationer vara mycket brett formulerade, se exempelvis avsnitt 13.3 om vissa befintliga bestämmelser om utlämnande från Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Ett exempel från det nyss nämnda avsnittet är att Tullverket har rätt att ta del av vissa uppgifter om skatter och avgifter som behandlas i Skatteverkets beskattningsverksamhet, avseende en person som är eller kan antas vara gäldenär enligt tullagstiftningen. Vid ett utlämnande på medium för automatisk behandling är de uppgifter som inte lämnas ut, men som typiskt sett skulle kunna lämnas ut om förutsättningarna varit uppfyllda, inte tillgängliga för den mottagande parten innan den utlämnande myndigheten reagerat på en begäran om utlämnande och faktiskt medgett densamma. I exemplet ovan innebär det att Tullverket inte har teknisk möjlighet att ta del av uppgifter om skatter och avgifter i fråga om andra personer än den som begäran i det enskilda fallet avser.
Detta gäller alltså oavsett om prövningen och utlämnandet hos den utlämnande myndigheten är helt automatiserat och sker momentant, eller om det kräver manuell hantering eller sker med viss fördröjning. Till skillnad från direktåtkomst blir inte någon annan information än den som faktiskt lämnas över till den mottagande myndigheten allmän handling hos den mottagande myndigheten. Någon sådan överskottsinformation som vid direktåtkomst uppstår därför inte.
Däremot innefattar även vissa varianter av överlämnande på medium för automatiserad behandling av information som är överflödig i förhållande till den mottagande myndighetens behov. Ett omfattande informationsutbyte myndigheter emellan kan dessutom sägas alltid kräva viss överflödig personuppgiftsbehandling, oavsett om den sker elektroniskt eller inte. Den mottagande myndigheten kan exempelvis behöva skicka en fråga till den utlämnande myndigheten med angivande av personnummer för personer som är aktuella hos den mottagande myndigheten i ett sådant sammanhang att de eventuella sekretessbrytande bestämmelserna aktualiseras. I den situationen kan det förutsättas att samtliga personnummer behöver behandlas hos den myndighet som har en skyldighet att lämna ut uppgifter, i syfte att kontrollera om de förekommer hos den myndigheten eller inte. Behandlingen av alla de personnummer som inte är aktuella hos den utlämnande myndigheten kan då sägas vara överflödig i förhållande till skyldigheten att lämna ut uppgifter som den utlämnande myndigheten förfogar över. Att de behandlas i förfrågan avslöjar samtidigt att personerna är aktuella hos den mottagande myndigheten. Till skillnad från vid direktåtkomst krävs i dessa situationer en faktisk behandling av uppgifter som inte behövs, men den överflödiga behandlingen sker vid den utlämnande myndigheten.
Några exempel
Skatteverket har exempelvis påpekat att viss överskottsinformation uppstår i Skatteverkets folkbokföringsverksamhet, i den del som avser avisering till andra myndigheter via Navet (se 16.4.11 om det statliga personadressregistret, SPAR, och Navet). I de fall Skatteverket själv inte har möjligheten att göra urvalet vid en s.k. ändringsavisering (alla poster som ändrats i en viss population) så skickar den frågeställande myndigheten, exempelvis Arbetsförmedlingen, en s.k. in-fil
till Skatteverket. In-filen utgör en sammanställning av alla de personer som förfrågan avser, exempelvis alla som är inskrivna vid myndigheten. Skatteverket använder sig då av in-filen vid sin sökning och gör en sammanställning avseende de personer vars folkbokföringsuppgifter m.m. har ändrats och skickar resultatet till Arbetsförmedlingen. I den situationen måste Skatteverket hantera ett överskott av information i förhållande till de uppgifter som får lämnas ut, eftersom Arbetsförmedlingen skickar över uppgifter om alla personer som är inskrivna vid myndigheten. I normalfallet har dock enbart en mindre del av en given population ändrade folkbokföringsuppgifter m.m. under en viss period.
Ytterligare ett exempel på när en annan slags överskottsinformation uppkommer är vid Tullverkets utlämnande till Skatteverket för att Skatteverket ska kunna utföra sitt uppdrag som beskattningsmyndighet för mervärdesskatt vid import. Det är dock Tullverket som ansvarar för att bl.a. fastställa tullvärdet som ligger till grund för beskattningsunderlaget och den informationen behövs hos Skatteverket. Det grundläggande urvalet av vilka uppgifter som ska lämnas ut baseras på uppgift om deklaranten är registrerad för mervärdesskatt i Sverige. När det gäller övriga uppgifter som lämnas från Tullverket har bedömningen skett utifrån ett antagande om vilka uppgifter som Skatteverket i normalfallet behöver för att kunna fatta ett korrekt beslut och uppfylla sitt utredningsansvar. I vilken utsträckning varje uppgift i varje enskilt fall alltid behövs av Skatteverket är dock svårt att avgöra på förhand. Behovet av uppgifter kan exempelvis variera från ärende till ärende. En generell utgångspunkt vid utformningen av utlämnandet har dock varit att en helhetsbild av införseln medför bättre möjlighet att utreda och förstå de omständigheter som är relevanta för frågan om beskattning. Det är dock inte alltid givet att all information som får lämnas ut och som också lämnas ut behövs och kommer att användas av Skatteverket. Det kan därför vara svårt att bedöma vilka uppgifter som i sammanhanget kan betraktas som överskottsinformation.
Även Kronofogdemyndigheten har påpekat att det förekommer motsvarande överskottsinformation också vid andra former av elektroniskt utlämnande än direktåtkomst. Exempelvis får Kronofogdemyndigheten information från Skatteverket om bl.a. rot- och rut-ersättningar samt information från Jordbruksverket rörande utbetalningar av olika EU-stöd, inför utredning om utmätning. Informationsflödet
är automatiserat och en viss mängd information skickas mellan myndigheterna vid regelbundna tider. Eftersom Kronofogdemyndigheten enbart behöver uppgift om de personer som är gäldenärer hos Kronofogdemyndigheten så överlämnar myndigheten varje gång uppdaterad information om samtliga gäldenärers personnummer. Detta innebär att Skatteverket respektive Jordbruksverket får uppgifter även om de personer som inte är aktuella hos dessa myndigheter, vilket utgör en slags överskottsinformation. Det tillvägagångssättet har dock ansetts vara mindre integritetspåverkande än alternativet. Alternativet är nämligen att Skatteverket respektive Jordbruksverket hade lämnat information till Kronofogdemyndigheten om samtliga personer med aktuella utbetalningar, dvs. även de som inte är gäldenärer hos Kronofogdemyndigheten. Enligt Kronofogdemyndigheten är det, trots att myndigheterna arbetar löpande med att minimera förekomsten, omöjligt att vid uppgiftsutbyte helt eliminera hantering av överflödig information, oavsett vilken form av utlämnande som väljs. Kronofogdemyndigheten har i sammanhanget påpekat att även en manuell process hade lett till samma mängd överskottsinformation, men på ett mindre effektivt sätt.
Behandling i strid med dataskyddsregleringen
Om en uppgift inte omfattas av någon specifik sekretessbestämmelse (eller om en sekretessbrytande bestämmelse är tillämplig) och den utlämnande myndigheten har rättsliga möjligheter att lämna ut uppgiften på medium för automatiserad behandling, kan ett sådant utlämnande som utgångspunkt genomföras. Det finns dock en särskild generell skyddsbestämmelse i 21 kap. 7 § OSL som kan medföra att ett utlämnande ändå inte är tillåtet. Om det kan antas att personuppgiften efter utlämnandet kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, gäller nämligen sekretess för uppgiften. Undersökningar om behandlingen efter utlämnandet får dock endast göras om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. massuttag eller selekterade uttag. Finns det inga sådana
indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras.39
11.3. Befintlig reglering i registerförfattningarna
11.3.1. Bakgrund
Utlämnandeformerna har reglerats sedan tillkomsten
Sedan tillkomsten har registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten omfattat bestämmelser som reglerat formerna för och tillåtligheten av elektroniskt uppgiftslämnande från myndigheterna.40 Utlämnande på papper har dock inte reglerats särskilt. Trots att författningarna av naturliga skäl genomgått en mängd förändringar sedan de infördes, på grund av tillkommande uppdrag och ny materiell reglering, finns den ursprungliga uppdelningen mellan olika former av elektroniskt utlämnande kvar i dag.41
I förarbetena till nu gällande reglering angav regeringen att de viktiga ramarna för behandling av personuppgifter skulle anges i lag. I vilka fall direktåtkomst skulle vara tillåten var ett av de förhållanden som enligt regeringen krävde lagreglering.42 Regeringen konstaterade även att det normalt gjordes åtskillnad mellan direktåtkomst och övriga former för utlämnande på ADB-medium.43 Med direktåtkomst avsågs
39Prop. 2017/18:105, Ny dataskyddslag, s. 135–136. 40 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fungera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhetsområde. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Kronofogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200,
En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av
Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m. 41 Bland annat kan nämnas att fler myndigheter i dag får ha tillgång till vissa uppgifter i beskattningsdatabasen genom direktåtkomst. Sedan 2019 får exempelvis Försäkringskassan, Migrationsverket och Arbetsförmedlingen för vissa ändamål medges direktåtkomst till beskattningsdatabasen i fråga om vissa uppgifter på individnivå i arbetsgivardeklarationen. Syftet med den regleringen var bl.a. att förbättra myndigheternas kontrollmöjligheter och effektivisera deras arbete, se prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen. 42Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84. 43 ADB är en förkortning för automatisk databehandling.
att den som använde registret44 på egen hand kunde söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet. Regeringen konstaterade i och för sig att det i vissa fall kunde vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande, och att skillnaderna mellan direktåtkomst och annat utlämnande på automatiserad väg kunde bli försumbara på grund av den tekniska utvecklingen. När det gällde frågan om att närmare definiera vad som avsågs med direktåtkomst och annat utlämnande i elektronisk form ansåg dock regeringen att det inte fanns skäl att använda begreppen på annat sätt än tidigare. Enligt regeringens mening fanns det inte heller skäl att i sammanhanget frångå den princip som då gällde. Direktåtkomst innebar alltså enligt regeringen att uppgifter lämnades ut utan att den ansvariga myndigheten i det enskilda fallet hade kontroll över vilka uppgifter som lämnades ut. Regeringen konstaterade också att ett sådant utlämnande behövde vara förenligt med sekretessregleringen, och att de uppgifter som avsågs måste få lämnas ut till mottagaren, där det skulle finnas ett godtagbart sekretesskydd. Regeringen bedömde därför att det behövdes särskilda regler för i vilken utsträckning direktåtkomst skulle få finnas.45
Utlämnande på medium för automatiserad behandling
Utlämnande till myndigheter
Regeringen bedömde att myndigheter borde få tillgång till uppgifter som myndigheter fick ta del av enligt bestämmelser i sekretesslagen46eller andra författningar, på medium för automatiserad behandling.47Det kunde enligt regeringen innebära stora effektivitetsvinster för myndigheter att uppgifter som skulle behandlas på automatiserad väg hämtades in genom automatiserade förfaranden. En utgångspunkt borde därför vara att myndigheter skulle kunna utnyttja automatiserade förfaranden i sin ärendehantering i största möjliga omfattning, dock under förutsättning att behandlingen av personuppgifter inte medförde risk för otillbörligt intrång i enskildas personliga integritet.
44 Med register avsågs vid tidpunkten en myndighets digitala informationshantering, se 1 § datalagen (1973:289). 45Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110–111. 46Sekretesslagen (1980:100) upphävdes i juni 2009 när OSL trädde i kraft. 47Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110.
Regeringen konstaterade i sammanhanget att det för myndigheter vanligtvis fanns särskilda författningar som reglerade på vilket sätt personuppgifter fick behandlas. I dessa författningar reglerades även ändamålen med behandlingen. Regeringen uttalade att det inte borde finnas någon risk för att mottagande myndigheter skulle behandla personuppgifter som hämtats in på medium för automatiserad behandling på ett sätt som inte var avsett. Under förutsättning att den utlämnande myndigheten hade möjlighet att avgöra vilka uppgifter som skulle lämnas ut saknades det därför anledning att reglera när uppgifter fick lämnas ut på medium för automatiserad behandling. Enligt regeringen fanns det inte några bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som gjordes på papper och utlämnande som skedde elektroniskt. Om en myndighet fick eller skulle lämna ut uppgifter till annan myndighet, t.ex. med stöd av sekretesslagen eller andra författningar, borde det vara upp till myndigheterna att avgöra på vilket sätt det skulle göras. Någon reglering av möjligheterna för myndigheterna att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling behövdes därför inte.48
Utlämnande till enskilda
Regeringen ansåg att uppgifter endast skulle få lämnas ut på medium för automatiserad behandling till andra än myndigheter om regeringen hade medgett det.49 Regeringen konstaterade att utlämnande av uppgifter på medium för automatiserad behandling till bl.a. företag kunde förväntas öka. I dessa fall saknades normalt särskilda bestämmelser om hur personuppgifter fick behandlas hos mottagaren. För mottagaren var det därför vanligtvis personuppgiftslagens50 bestämmelser som var tillämpliga på behandlingen av de mottagna uppgifterna. Med hänsyn till de integritetsrisker som kunde följa med utlämnande av personuppgifter på medium för automatiserad behandling till företag och privatpersoner ansåg regeringen att sådant utlämnande endast borde vara tillåtet när det efter särskild prövning ansågs lämp-
48Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 111–112. I dag finns dock viss reglering av utlämnandet av uppgifter på medium för automatiserad behandling till andra myndigheter i Tullverkets och Kronofogdemyndighetens registerförfattningar, se avsnitt 11.3.2 nedan. 49Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110. 50Personuppgiftslagen (1998:204) upphävdes den 25 maj 2018 då dataskyddslagen trädde i kraft.
ligt. Uppgifter borde därför få lämnas ut till enskilda på medium för automatiserad behandling endast om det var särskilt föreskrivet. Regeringen ansåg emellertid att det inte var möjligt att i lag reglera i vilka fall uppgifter skulle få lämnas ut. Det borde i stället åligga regeringen att göra dessa bedömningar.51
Utlämnande genom direktåtkomst
Utlämnande till myndigheter
Vid bedömningen av vilka myndigheter som skulle ges direktåtkomst till en viss databas borde enligt regeringen en gränsdragning göras mellan myndigheter inom en myndighetsorganisation och myndigheter utanför.52 Regeringen ansåg därför att dåvarande Riksskatteverket och skattemyndigheterna borde ha fullständig tillgång till de uppgifter som skulle finnas i beskattningsdatabasen. Regeringen framhöll att en obegränsad direktåtkomst till en databas inom en myndighetsorganisation inte innebar att samtliga anställda har tillgång till uppgifterna. Tvärtom medförde personuppgiftslagens allmänna bestämmelser om grundläggande krav på och säkerhet vid behandling m.m. att olika åtgärder behövde vidtas som förhindrade missbruk. Det kunde enligt regeringen t.ex. innebära att åtkomst till olika uppgifter inom en myndighet var starkt begränsad till olika behörighetsnivåer, vilket i sin tur innebar att det i slutändan var ett högst begränsat antal personer som hade tillgång till samtliga uppgifter. Att dessa personer organisatoriskt befann sig på olika myndigheter kunde enligt regeringens mening inte anses så allvarligt från integritetssynpunkt att det borde hindra utvecklingen av effektiva datasystem. Detta ställde dock krav på att den i fråga om säkerhetsåtgärder personuppgiftsansvariga myndigheten satte upp klara och tydliga gränsdragningar i fråga om vilka personer som skulle ha tillgång till vilka uppgifter. Under sådana förutsättningar blev riskerna för oacceptabla integritetsintrång små och borde enligt regeringen inte förhindra möjlig-
51Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 112–113. 52 Övervägandena avseende direktåtkomst till uppgifter i beskattningsdatabasen refererades av regeringen i övriga avsnitt som behandlade direktåtkomst till uppgifter i andra databaser, se prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, avsnitten 12.14 och 13.3. Av utrymmesskäl refereras här därför enbart de överväganden som gjordes avseende beskattningsdatabasen och folkbokföringsdatabasen.
heterna att bedriva en effektiv myndighetsverksamhet med utnyttjande av de fördelar som ny teknik gav.
Avseende myndigheter utanför skatteförvaltningen fanns det dock enligt regeringen starka integritetsskäl för att möjligheterna till direktåtkomst var kraftigt begränsade. Hänsyn behövde enligt regeringen också tas till att det rådde absolut sekretess för uppgifter i beskattningsverksamhet samt till att de uppgifter som behandlades ofta hade lämnats av enskilda enligt tvingande bestämmelser i skattelagstiftningen. Det fanns därför starka skäl för att vara återhållsam med att tillåta direktåtkomst för andra än de personuppgiftsansvariga myndigheterna. I första hand borde enligt regeringen i stället andra metoder för en effektiv informationshantering övervägas.53
Regeringen konstaterade att kronofogdemyndigheternas tillgång till uppgifter i skatteregistret genom direktåtkomst hade motiverats med den nära kopplingen mellan beskattningsverksamhet och indrivningsverksamhet.54 Det fanns enligt regeringens mening inte anledning att av integritetsskäl inskränka den möjlighet som kronofogdemyndigheterna hade att på ett snabbt och effektivt sätt få tillgång till uppgifter som behandlas inom skatteförvaltningen, utan kronofogdemyndigheter skulle även fortsatt få ha direktåtkomst till uppgifter i beskattningsdatabasen. Det skulle dock finnas uppgifter i beskattningsdatabasen vilka kronofogdemyndigheterna inte skulle ha något eller mycket litet behov att få del av. Enligt regeringens mening borde myndigheterna inte ha direktåtkomst till sådana uppgifter, eftersom direktåtkomst endast borde förekomma när det fanns starka effektivitetsskäl som talade för det.
Regeringen konstaterade att det även mellan Tullverket och skatteförvaltningen i många fall förekom ett nära samarbete. Regeringen ansåg därför att Tullverket borde ges möjlighet till direktåtkomst till beskattningsdatabasen, dock inte till de elektroniska handlingarna. Tullverkets åtkomst skulle vidare begränsas till att endast avse uppgifter som det bedömdes vara av stor betydelse att Tullverket snabbt fick tillgång till i olika situationer. Uppgifterna skulle vidare endast avse den som var eller kunde antas vara gäldenär enligt tullagstiftningen eller skyldig att betala skatt för vara vid import. I likhet med kronofogdemyndigheterna skulle Tullverkets åtkomst regleras i lag.
53Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 131–132. 54 Skatteregistret föregick beskattningsdatabasen, se avsnitt 9.3.1.
Utöver Tullverket och kronofogdemyndigheterna fanns det enligt regeringen flera myndigheter som regelmässigt behövde tillgång till olika uppgifter i beskattningsdatabasen. Regeringen uttalade att i de flesta fall borde dessa behov kunna tillfredsställas genom ett effektivt utlämnande av uppgifter på medium för automatiserad behandling. I vissa fall kunde det dock efter en avvägning mellan effektivitets- och integritetsskäl finnas anledning att medge vissa myndigheter direktåtkomst till en begränsad mängd uppgifter. Någon allmän direktåtkomst till uppgifter i beskattningsdatabasen skulle dock inte medges. Mot bakgrund av att den utlämnande myndigheten vid direktåtkomst inte hade möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna skulle lämnas ut ansåg regeringen att det borde ankomma på riksdagen att ta ställning till i vilka fall direktåtkomst borde medges.55
Enligt regeringen skulle en myndighet få ha direktåtkomst till vissa uppgifter i folkbokföringsdatabasen utan vidare krav. Direktåtkomst till andra uppgifter skulle medges en annan myndighet om myndigheten enligt lag eller förordning fick behandla uppgifterna. Mot bakgrund av den dåvarande tillgången till personuppgifter via aviseringsregistret56 och då uppgifterna inte skyddades av någon starkare sekretess ansåg regeringen att det ur integritetsskyddssynpunkt inte kunde anses innebära någon skillnad om en myndighet hämtade in uppgifter genom direktåtkomst eller på något annat sätt med hjälp av automatiserad behandling. Regeringen föreslog därför att en myndighet skulle få ha direktåtkomst till de uppgifter som myndigheten själv fick registrera. Regeringen framhöll att de föreslagna bestämmelserna om direktåtkomst inte medförde att eventuell sekretess för uppgifterna bröts. Det skulle därför ankomma på dåvarande Riksskatteverket att bedöma om uppgifterna kunde lämnas ut genom direktåtkomst.57
55Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132–134. 56 Aviseringsregistret fördes med stöd av lagen (1995:743) om aviseringsregister och föregick Skatteverkets utlämnande av uppgifter till myndigheter via Navet, se avsnitt 16.4.11. 57Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 143–144.
Utlämnande till enskilda
En fysisk eller juridisk person skulle enligt regeringen få ha direktåtkomst till uppgifter om sig själv i databasen, men endast om regeringen medgett det. Regeringen eller den myndighet som regeringen bestämde skulle meddela närmare föreskrifter om vilka uppgifter som fick omfattas av sådan direktåtkomst.58
I och med att allt fler personer hade fått tillgång till internet uppkom enligt regeringen frågor om hur de möjligheter till informationsbehandling som därigenom gavs skulle kunna användas av myndigheter. Ett användningsområde för internet, som enligt regeringen låg nära till hands, var möjligheten för enskilda att lämna uppgifter till myndigheter. I många fall skulle en effektiv hantering dock kräva att enskilda inte endast kunde lämna uppgifter, utan även ha möjlighet att ta del av myndighetens uppgifter om sig själva. Under förutsättning att säkerheten var tillräcklig ansåg regeringen att det inte fanns några integritetsskäl som talade mot att enskilda kunde ta del av uppgifter om sig själva via internet. Tvärtom kunde det enligt regeringen, om än i begränsad omfattning, ge enskilda möjlighet att kontrollera att de uppgifter om dem som behandlades hos myndigheter var korrekta. Det förelåg enligt regeringen inte heller någon fara från integritetssynpunkt att lämna ut uppgifterna. En förutsättning för att enskilda skulle ges direktåtkomst var att det fanns tillräckligt säkra tekniska lösningar som gjorde att enskilda inte fick tillgång till uppgifter om andra personer. Det borde ankomma på myndigheterna att se till att den tekniska lösning som valdes garanterade att tillräcklig säkerhet uppnåddes. De integritetsrisker som fanns vid utlämnande på medium för automatiserad behandling fanns dock enligt regeringen även vid ett utlämnande genom direktåtkomst. Enligt regeringens mening borde enskildas möjligheter till direktåtkomst vara särskilt reglerat i lag.59
58Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 113. 59Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 113–115.
11.3.2. Bestämmelser i registerförfattningarna som reglerar formen för utlämnande
Allmänt
I registerförfattningarna för Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten finns bestämmelser som reglerar vilka uppgifter respektive myndigheten får lämna ut, på vilket sätt de får lämnas ut och till vem. Sekretessbrytande bestämmelser som reglerar myndigheternas skyldighet att lämna ut uppgifter finns dock även i andra författningar, och kan vara generella eller specifika. Uppgiftsskyldigheterna kan även finnas i internationella rättsakter och avtal, och kräva gränsöverskridande utlämnanden. Uppgiftslämnandet som regleras i registerförfattningarna behandlas närmare i avsnitten 13.3.2-13.3.3.
Nedan redogörs för de bestämmelser i registerförfattningarna som avser formen för elektroniskt uppgiftslämnande, och som alltså reglerar en annan fråga än om uppgifter ska eller får lämnas ut.
Skatteverkets beskattningsverksamhet
Bestämmelser om formerna för utlämnande av uppgifter finns både i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), och förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF).
Skatteverket har ett omfattande uppdrag att försörja flera andra myndigheter med information, både utom och inom Sveriges gränser. Någon särskild reglering av Skatteverkets elektroniska utlämnande på medium för automatiserad behandling till myndigheter finns inte. Utlämnande genom direktåtkomst till myndigheter regleras dock särskilt i registerförfattningarna. Skattedatabasförordningen innehåller även bestämmelser om Skatteverkets skyldighet att lämna vissa uppgifter till Europeiska kommissionen. På vilket sätt uppgifterna ska lämnas regleras dock genom föreskrifter meddelade av Myndigheten för tillväxtpolitiska utvärderingar och analyser.60
60 15 § SdbF.
Utlämnande på medium för automatiserad behandling
För utlämnande på medium för automatiserad behandling till enskilda, dit även arbetslöshetskassor räknas, gäller enligt skattedatabaslagen att sådant utlämnande enbart är tillåtet om regeringen har meddelat föreskrifter om det.61 I förordningen finns bestämmelser om i vilka fall sådant utlämnande är tillåtet, dock under förutsättning att det inte finns hinder mot det enligt någon författning.62
Vissa uppgifter om en arbetstagares eller uppdragstagare (namn, personnummer och viss information om skatt som personen ska betala) får lämnas ut till arbetsgivare eller uppdragsgivare.63 Ytterligare uppgifter av liknande karaktär (bl.a. registrering för mervärdesskatt eller som arbetsgivare) får lämnas ut till uppdragsgivare på samma sätt, för kontroll i samband med upphandling och under avtalstiden.64
Uppgifter i beskattningsdatabasen får lämnas ut till viss kreditupplysningsverksamhet, dock inte uppgifter som grundar sig på brott.65
Om en enskild behöver uppgifter om vissa typer av godkännande och befrielse från skatt i sin verksamhet, och för att säkerställa en korrekt beskattning, får uppgifterna lämnas ut till denna.66
Till registrerat trossamfund får uppgifter som utgör underlag för beräkning av avgift till trossamfundet lämnas ut.67
Till arbetslöshetskassorna får vissa uppgifter på individnivå i arbetsgivardeklarationen lämnas ut om de behövs för beräkning eller kontroll av arbetslöshetsersättning. Även andra uppgifter får lämnas ut om det föreligger en underrättelseskyldighet rörande felaktiga utbetalningar från välfärdssystemen.68
Uppgifter om den enskilde själv får lämnas ut till denna.69 Även uppgifter om bl.a. köpare, säljare och köpeskilling beträffande fastighetsöverlåtelser som legat till grund för fastställande av riktvärden i ett värdeområde där den enskildes fastighet är belägen får lämnas ut till denna. Dessutom får generella uppgifter om en fastighet, bl.a. indelning i typ av taxeringsenhet, lämnas ut till enskilda.70
61 2 kap. 6 § SdbL. 62 9 § SdbF. 63 10 § SdbF. 64 10 a § SdbF. 65 11 § SdbF. 66 11 a § SdbF. 67 12 § SdbF. 68 12 a § SdbF. 69 13 § SdbF. 70 14 § SdbF.
Utlämnande genom direktåtkomst
En registrerad får enligt skattedatabaslagen ha direktåtkomst till sådana uppgifter om sig själv i databasen som får lämnas ut till den registrerade, om regeringen har meddelat föreskrifter om det.71 Enligt skattedatabasförordningen ska den registrerades identitet kontrolleras genom en säker metod för identifiering vid sådan direktåtkomst.72
En behörig myndighet i annat land inom EU får ha direktåtkomst till uppgifter om mervärdesskatt.73
Av de många svenska myndigheter som Skatteverket har en uppgiftsskyldighet till är det enbart ett fåtal som får medges direktåtkomst. För de myndigheter som får ha direktåtkomst gäller dessutom att det även finns sekretessbrytande bestämmelser som avser uppgiftslämnande på begäran av den mottagande myndigheten, dvs. genom andra former av informationsutbyte än direktåtkomst, i nästan samtliga fall omfattar fler uppgifter än de som den mottagande myndigheten får medges direktåtkomst till, se avsnitten 13.3.2-13.3.3.74
Bestämmelser som anger omfattningen av tillåten direktåtkomst finns både i skattedatabaslagen och skattedatabasförordningen. I skattedatabaslagen anges att Skatteverkets brottsbekämpande verksamhet, Tullverket, Kronofogdemyndigheten, Försäkringskassan, Arbetsförmedlingen, Migrationsverket och socialnämnder har rätt att under vissa förutsättningar ta del av vissa uppgifter genom direktåtkomst.75I skattedatabasförordningen finns en sekretessbrytande uppgiftsskyldighet som anger att dessa myndigheter har rätt att ta del av uppgifter vid direktåtkomst enligt bestämmelserna i lagen. I vissa fall innehåller dessa bestämmelser ytterligare begränsningar av direktåtkomsten.
Skatteverkets brottsbekämpande verksamhet får enligt skattedatabaslagen ha direktåtkomst till uppgifter i beskattningsdatabasen om bl.a. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, olika uppgifter som avser skatter och avgifter, uppgifter om revision och vissa angivna uppgifter i ett ärende.76 I skattedatabasförordningens sekretessbrytande bestämmelse föreskrivs ingen
71 2 kap. 9 § första stycket SdbL. 72 16 § SdbF. 73 Jfr 17 § SdbF och där angiven EU-förordning. 74 Jfr 4–8 j §§ SdbF. 75 2 kap. 7–8 d §§ SdbL. 76 2 kap. 7 § SdbL.
begränsning av den direktåtkomst som får medges enligt 2 kap. 7 § skattedatabaslagen.77
Tullverket får enligt bestämmelsen i skattedatabasförordningen ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Skatteverkets brottsbekämpande verksamhet, med undantag för uppgifter om revision och annan kontroll av skatter och avgifter, och enbart avseende den som är eller kan antas vara gäldenär enligt tullagstiftningen, skyldig att betala skatt för vara vid import eller föremål för Tullverkets punktskattekontrollverksamhet. Tullverket får även ha direktåtkomst till uppgifter och handlingar som ingår i det EU-rättsliga datoriserade systemet om uppgifter om förflyttningar och kontroller av punktskattepliktiga varor.78 I skattedatabasförordningens sekretessbrytande bestämmelse begränsas direktåtkomsten enligt till att avse uppgifter om enskilda.79
Kronofogdemyndigheten får enligt skattedatabaslagen ha direktåtkomst till samma uppgifter som Tullverket, och sådana uppgifter som behövs för Skatteverkets hantering av vissa borgenärsuppgifter. Direktåtkomsten får dock enbart avse den som har ansökt om skuldsanering eller F-skuldsanering, är registrerad som gäldenär hos Kronofogdemyndigheten, samt make eller likställd med make till dessa.80I skattedatabasförordningens sekretessbrytande bestämmelser begränsas inte lagens bestämmelser.81
Försäkringskassan får enligt skattedatabaslagen ha direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om betalningsskyldighet för en bidragsskyldig förälder, bestämmande av sjukpenninggrundande inkomst eller beräkning av bostadsbidrag. Direktåtkomsten får endast omfatta uppgifter per betalningsmottagare i arbetsgivardeklaration eller förenklad arbetsgivardeklaration, identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och uppgift om den redovisningsperiod som deklarationen avser.82 I skattedatabasförordningens sekretessbrytande bestämmelse upprepas bestämmelsen i lagen avseende vilka uppgifter i beskattningsdatabasen som får lämnas ut genom direktåtkomst.83
77 5 b § SdbF. 78 2 kap. 8 § andra och tredje styckena SdbL. 79 5 § andra stycket och 5 a § Sdbf. 80 2 kap. 8 § SdbL. 81 4 § andra stycket SdbF. 82 2 kap. 8 c § SdbL. 83 7 § tredje stycket SdbF.
Arbetsförmedlingen får enligt bestämmelsen i skattedatabaslagen ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Försäkringskassan, om uppgifterna behövs i ett ärende om stöd till arbetsgivare för anställning av en enskild person.84 I skattedatabasförordningens sekretessbrytande bestämmelse begränsas direktåtkomsten till att avse endast vissa ärenden om stöd till arbetsgivare.85
Under förutsättning att uppgifterna behövs i ett ärende om dagersättning åt asylsökande får även Migrationsverket ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Försäkringskassan och Arbetsförmedlingen enligt bestämmelsen i skattedatabaslagen.86I skattedatabasförordningens sekretessbrytande bestämmelse anges att uppgifterna får lämnas ut från beskattningsdatabasen genom direktåtkomst i den utsträckning det behövs för beräkning eller kontroll av dagersättning.87
En socialnämnd får enligt skattedatabaslagen ha direktåtkomst till uppgifter om en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, samt vissa uppgifter om skatter och avgifter, om uppgifterna behövs i ärende om ekonomiskt bistånd.88Regleringen skiljer sig dock från lagens övriga bestämmelser om direktåtkomst på så sätt att direktåtkomst får medges först sedan Skatteverket har försäkrat sig om att handläggare hos socialnämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Särregleringen för socialnämnderna tillkom efter att dåvarande Datainspektionen hade gett uttryck för att direktåtkomst för socialnämnderna var förenlig med kraven på skydd för den personliga integriteten endast under förutsättning att åtkomst till personuppgifter skulle begränsas till att motsvara aktuella ärenden genom olika tekniska åtgärder. Regeringen konstaterade att det gick att utforma system som innebär att det vid direktåtkomst var möjligt att söka på uppgifter om en viss person hos utlämnande myndighet enbart om den mottagande myndigheten hade ett ärende avseende denna person.89 Till skillnad för vad som gäller andra aktörer som medges direktåtkomst finns det inga ytterligare bestämmelser om direkt-
84 2 kap. 8 d § SdbL. 85 8 c § SdbF. 86 2 kap. 8 b § SdbL. 87 8 b § SdbF. 88 2 kap. 8 a § SdbL. 89Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 146–149.
åtkomst för socialnämnder i skattedatabasförordningen. De sekretessbrytande bestämmelserna finns i stället i andra författningar.90
Skatteverkets folkbokföringsverksamhet
Bestämmelser om utlämnande finns både i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), och i förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF). Regleringen skiljer sig från den för beskattningsverksamheten främst genom att utgångspunkten för folkbokföringsverksamheten är att andra myndigheter får medges direktåtkomst till uppgifter i folkbokföringsdatabasen (se avsnitt 16.4.11).
Utlämnande på medium för automatiserad behandling
Uppgifter i databasen får enligt folkbokföringsdatabaslagen lämnas ut på medium för automatiserad behandling till en enskild endast om regeringen har meddelat föreskrifter om det.91 I folkbokföringsdatabasförordningen anges vilka uppgifter som får lämnas ut på detta sätt, bl.a. till Svenska kyrkan, central registreringsmyndighet för folkbokföring i annat nordiskt land, och till arbetslöshetskassorna.92
Till en enskild får uppgifter om den enskilde själv lämnas ut på medium för automatiserad behandling. Uppgifter om en annan person än den enskilde själv får lämnas ut om uppgiften ingår i en handling i ett ärende som avser den enskilde, eller ett personbevis eller motsvarande utdrag som avser den enskilde eller ett barn under 18 år som den enskilde är vårdnadshavare för. Enstaka uppgifter om annan person får även i övrigt lämnas ut till en enskild. Ett utlämnande får dock inte göras om det är olämpligt ur integritetssynpunkt.93
9011 kap. 11 b § socialtjänstlagen (2001:453) och 6 § förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453). 91 2 kap. 6 § FdbL. 92 13–14 a §§ FdbF. 93 15 § FdbF.
Utlämnande genom direktåtkomst
Liksom vid utlämnande på medium för automatiserad behandling får en enskild ha direktåtkomst till uppgifter i databasen endast om regeringen har meddelat föreskrifter om det.94 Åtkomst till uppgifter om annan person än den enskilde själv får dock enligt folkbokföringsdatabaslagen medges endast till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen, samt till uppgifter om samband inom folkbokföringen med den enskilde eller med barn under 18 år som den enskilde är vårdnadshavare för.95
En enskild får enligt folkbokföringsdatabasförordningens bestämmelser ha direktåtkomst till person- och ärendeuppgifter om sig själv. Vid en sådan direktåtkomst får den enskilde även medges direktåtkomst till uppgifter som anges ovan avseende make, barn, förälder eller vårdnadshavare som den enskilde har samband med inom folkbokföringen samt uppgift om dessa personers samband med den enskilde.96
I folkbokföringsdatabasförordningen finns bestämmelser som medger att Svenska kyrkan har direktåtkomst till uppgifter om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen.97
Vårdnadshavare får även ha direktåtkomst till uppgifter om ett barn under 18 år, samt då även uppgifter om förälder eller vårdnadshavare som barnet har samband med samt uppgift om dessa personers samband med barnet.98
Skatteverket är genom en bestämmelse i folkbokföringsdatabasförordningen bemyndigat att meddela närmare föreskrifter om vilka uppgifter som får omfattas av direktåtkomst enligt styckena ovan.99
94 2 kap. 6 § och 9 § första stycket FdbL. 95 2 kap. 9 § andra stycket FdbL. 96 17 § första stycket FdbF. 97 16 § FdbF, dvs. uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen. 98 17 § andra stycket FdbF. 99 2 kap. 9 § andra stycket FdbL och 17 § tredje stycket FdbF.
Skatteverket har meddelat sådana föreskrifter, vari bl.a. ställs krav på enskilda att i vissa fall legitimera sig genom e-legitimation.100
För utlämnande till andra myndigheter gäller som redan påpekats att direktåtkomst som utgångspunkt får medges. En myndighet får enligt folkbokföringsdatabasförordningen ha direktåtkomst till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen.101 En myndighet får även ha direktåtkomst till andra uppgifter i folkbokföringsdatabasen om myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem. Uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den numera upphävda folkbokföringskungörelsen (1967:495) får dock inte lämnas ut genom direktåtkomst (se avsnitt 9.4.4). Direktåtkomst får inte heller medges om det är olämpligt ur integritetssynpunkt.102 Det finns dock inga bestämmelser i folkbokföringsdatabasförordningen som närmare begränsar möjligheten att medge myndigheter direktåtkomst till nämnda uppgifter.
Tullverket
Bestämmelser om formerna för utlämnande av uppgifter finns både i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF). Tullverket har ett omfattande uppdrag att försörja flera andra myndigheter med information, både inom och utom Sveriges gränser, se avsnitt 13.3.5. För utlämnande till andra myndigheter regleras dock enbart utlämnande genom direktåtkomst särskilt i registerförfattningarna.
100 Skatteverkets föreskrifter om vilka uppgifter i folkbokföringsdatabasen som får omfattas av enskilds direktåtkomst; SKVFS 2004:31. 101 2 kap. 8 § första stycket FdbL. 102 2 kap. 8 § andra stycket FdbL.
Utlämnande på medium för automatiserad behandling
Enligt tulldatabaslagen får, utöver vad som följer av tullagstiftningen, uppgifter i databasen lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.103
Uppgifter i tulldatabasen om den enskilde själv får enligt tulldatabasförordningen lämnas ut till den enskilde eller dennes ombud, om det inte finns hinder mot det enligt någon författning.104
Enligt tulldatabasförordningen får uppgifter lämnas ut på medium för automatiserad behandling till behörig myndighet i ett annat land om det följer av en internationell överenskommelse eller en författning.105
Som nämnts finns det i registerförfattningarna inga begränsningar av Tullverkets möjlighet att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling. I tulldatabasförordningen finns dock en bestämmelse som anger att vissa uppgifter om kontroller av kontanta medel ska lämnas ut till Polismyndigheten. Bestämmelsen finns under rubriken Utlämnande av uppgifter på medium för automatiserad behandling, vilket får tolkas som att den endast avser att reglera formen för utlämnandet.106
Utlämnande genom direktåtkomst
En enskild får ha direktåtkomst till sådana uppgifter i databasen som får lämnas ut till den enskilde om regeringen har meddelat föreskrifter om det.107
Enligt tulldatabasförordningen får en enskild eller dennes ombud får medges direktåtkomst till uppgifter om den enskilde själv i tulldatabasen. Ett tullombud får dessutom medges direktåtkomst till sådana uppgifter i tulldatabasen som tullombudet behöver för sin huvudmans räkning vid sina kontakter med Tullverket i samband med de åtgärder och formaliteter som krävs enligt tullagstiftningen. Även vissa ekonomiska aktörer får enligt tulldatabasförordningen medges direkt-
103 2 kap. 5 § TDL. 104 5 § TDF. 105 6 § TDF. 106 6 a § TDF. 107 2 kap. 8 § första stycket TDL.
åtkomst till sådana uppgifter i tulldatabasen som aktören behöver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen.108
I tulldatabasförordningen bemyndigas Tullverket att meddela närmare föreskrifter om vilka uppgifter som får omfattas av enskildas direktåtkomst.109 Tullverket har meddelat sådana föreskrifter, med innebörden att en enskild, eller annan för dennes räkning, under vissa förutsättningar får ha direktåtkomst till samtliga de uppgifter som enligt tulldatabaslagen får behandlas i tulldatabasen och som rör den enskilde själv.110 I registerförfattningarna finns ingen bestämmelse om utländska myndigheters direktåtkomst.
Av de svenska myndigheter som Tullverket har en uppgiftsskyldighet gentemot är det enbart Skatteverket och Kronofogdemyndigheten som enligt tulldatabaslagen får medges direktåtkomst till vissa uppgifter.
Skatteverket får ha direktåtkomst till uppgifter i databasen i fråga om personer som är eller kan antas vara skattskyldiga eller förekommer i ett punktskattekontrollärende, dock inte vissa identitetsbeteckningar för transportmedel m.m., tulltaxor, revision och annan kontroll av tull, annan skatt och avgifter, eller tillstånd och licenser som krävs för import eller export av varor.111
Kronofogdemyndigheten får ha direktåtkomst till samma uppgifter i databasen som Skatteverket, men enbart i fråga om den som är registrerad som gäldenär hos Kronofogdemyndigheten eller make till gäldenären eller någon annan som likställs med make.112
Det finns inga sekretessbrytande bestämmelser i förordningen som särskilt avser direktåtkomst för myndigheter.
Kronofogdemyndigheten
Bestämmelser om elektroniskt utlämnande finns både i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), och i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF). Krono-
108 7 § första till tredje styckena TDF. 109 7 § fjärde stycket TDF. 110 6 § Tullverkets föreskrifter om Tullverkets e-tjänster och enskilds direktåtkomst till uppgifter i tulldatabasen, TFS 2016:21. 111 2 kap. 7 § första stycket TDL. 112 2 kap. 7 § andra stycket TDL.
fogdemyndigheten har en uppgiftsskyldighet till flera myndigheter, se avsnitt 13.3.6.
För utlämnande till myndigheter regleras enbart utlämnande genom direktåtkomst särskilt i registerförfattningarna.
Utlämnande på medium för automatiserad behandling
Uppgifter i Kronofogdemyndighetens databaser får enligt kronofogdedatabaslagen lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.113
Enligt en bestämmelse i kronofogdedatabasförordningen får utlämnande av uppgifter på medium för automatiserad behandling ske enligt bestämmelserna i förordningen om det inte finns hinder mot det enligt någon författning.114
Uppgifter i utsöknings- och indrivningsdatabasen får lämnas ut till den som har tillstånd bedriva kreditupplysningsverksamhet.115
För inkassoändamål får vissa uppgifter ur utsöknings- och indrivningsdatabasen även lämnas ut till den som har tillstånd av Integritetsskyddsmyndigheten att bedriva inkassoverksamhet eller som bedriver inkassoverksamhet och står under Finansinspektionens tillsyn, Trafikförsäkringsföreningen, och arbetslöshetskassor som har registrerats hos Inspektionen för arbetslöshetsförsäkring, dock endast avseende personer som vid tidpunkten för begäran är aktuella för inkassoåtgärd hos den som begär ut uppgifterna. Uppgifterna får dock endast avse bl.a. exekutionstitel, skuldbelopp, skuldsanering och F-skuldsanering, och redovisning av verkställighetsuppdraget.116 Uppgifter i utsöknings- och indrivningsdatabasen som grundar sig på brott får inte lämnas ut på medium för automatiserad behandling.117
Uppgifter i utsöknings- och indrivningsdatabasen om en fysisk eller juridisk persons identitet och totalt fordringsbelopp som är föremål för verkställighet får lämnas ut för inhämtande av uppgifter från tredje man om eventuell utmätningsbar egendom samt för meddelande om vissa förbud och underrättelser.118
113 2 kap. 25 § KFMdbL. 114 11 § KFMdbF. 115 12 § första stycket KFMdbF. 116 12 andra och tredje styckena KFMdbF. 117 12 § fjärde stycket KFMdbF. 118 12 a § KFMdbF.
Uppgifter ur utsöknings- och indrivningsdatabasen får lämnas ut till den som får i uppdrag av Kronofogdemyndigheten att sälja egendomen.119
Vissa uppgifter i utsöknings- och indrivningsdatabasen om en uppdragstagare, bl.a. exekutionstitel, skuldbelopp och dag när skulden fastställdes, får lämnas ut till uppdragsgivare för kontroll i samband med upphandling och under avtalstiden.120 Uppgifter ur utsöknings- och indrivningsdatabasen får även lämnas ut för utbetalning av influtna medel och för annan redovisning.121
Uppgifter ur betalningsföreläggande- och handräckningsdatabasen får lämnas ut för redovisning till sökanden i målet och till den som har tillstånd att bedriva kreditupplysningsverksamhet.122
Uppgifter ur skuldsaneringsdatabasen får lämnas ut till gäldenären, borgenärerna och andra enskilda som berörs av och kan bidra till utredningen i ärendet, om det inte är olämpligt.123
Uppgifter ur skuldsaneringsdatabasen får även lämnas ut för utbetalning av inbetalda medel och för annan redovisning.124
Beslut om utmätning enligt 7 kap. utsökningsbalken får lämnas ut till gäldenärens arbetsgivare när det behövs för verkställighet av beslut om indrivning.125
Uppgifter i databaserna om den enskilde själv får lämnas ut till denna.126
Uppgifter i databaserna får lämnas ut till arbetslöshetskassorna när det föreligger en underrättelseskyldighet avseende felaktiga utbetalningar från välfärdssystemen.127
För kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning får vissa uppgifter ur utsöknings- och indrivningsdatabasen lämnas ut på medium för automatiserad behandling till vissa prövnings- och tillståndsmyndigheter inom vägtrafikområdet. De uppgifter som får lämnas ut är bl.a. uppgifter om en fysisk persons identitet, bosättning och familjeförhållanden, och om skuldens storlek för fordringar som drivs in i ett allmänt mål. I samma
119 12 b § KFMdbF. 120 12 c § KFMdbF. 121 13 § KFMdbF. 122 14 § KFMdbF. 123 14 a § KFMdbF. 124 14 b § KFMdbF. 125 15 § KFMdbF. 126 16 § KFMdbF. 127 17 a § KFMdbF.
bestämmelse ges även anvisningar om hur de uppgifter som får lämnas ut på medium för automatiserad behandling får sambearbetas med andra uppgifter i vägtrafikregistret.128
Utlämnande genom direktåtkomst
Enligt kronofogdedatabaslagen får en enskild ha direktåtkomst till sådana uppgifter om sig själv i databasen som får lämnas ut till denna om regeringen har meddelat föreskrifter om det.129 I kronofogdedatabasförordningen bemyndigas Kronofogdemyndigheten att meddela närmare föreskrifter om vilka uppgifter som får omfattas av enskildas direktåtkomst.130 Kronofogdemyndigheten har dock inte meddelat några sådana.
I kronofogdedatabaslagen anges vidare att den som är sökande i ett mål eller ett ärende får ha direktåtkomst till uppgifter om målet eller ärendet, om regeringen har medgett det, dock inte till elektroniska handlingar i databaserna som innehåller känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.131 Enligt kronofogdedatabasförordningen får en sökande eller dennas ombud ha direktåtkomst till vissa uppgifter i utsöknings- och indrivningsdatabasen om mål eller ärenden som sökanden har gett in.132
Tullverket och Säkerhetspolisen får enligt kronofogdedatabaslagen ha direktåtkomst till flertalet uppgifter som får finnas i utsöknings- och indrivningsdatabasen. De uppgifter som direktåtkomst får medges avseende är bl.a. en fysisk persons identitet, bosättning och familjeförhållanden, en enskilds ekonomiska förhållanden, egendom som berörs i ett mål samt beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende. Detsamma gäller Skatteverket i beskattningsverksamheten och i Skatteverkets handläggning vid hantering av vissa borgenärsuppgifter.133 Några sekretessbrytande bestäm-
128 17 § KFMdbF. 129 9 § första stycket KFMdbF och 2 kap. 28 § första stycket KFMdbL. 130 9 § andra stycket KFMdbF. 131 2 kap. 28 § andra stycket KFMdbL som hänvisar till 2 kap. 24 § KFMdbL som i sin tur hänvisar till 1 kap. 6 § KFMdbL. 132 10 § KFMdbF, direktåtkomsten får endast omfatta uppgifter som avses i 34 kap. 1 § andrafemte styckena offentlighets- och sekretesslagen (2009:400). De angivna styckena anger när sekretess enligt 34 kap. 1 § första stycket OSL inte gäller. 133 2 kap. 26 § KFMdbL.
melser som särskilt avser direktåtkomst finns dock inte i kronofogdedatabasförordningen.
11.4. Frågan om direktåtkomst i vissa andra sammanhang
11.4.1. Informationshanteringsutredningen
Uppdraget
I Informationshanteringsutredningens direktiv angavs att den tekniska utvecklingen hade medfört att det uppfattades som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling skulle tillämpas på modernare metoder för informationsutbyte. Mot den bakgrunden skulle utredningen bl.a. ta ställning till om det fanns skäl att i registerförfattningar upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande.134
Direktåtkomst kräver förberedande åtgärder
Enligt utredningen karaktäriserades direktåtkomst av att den utlämnande myndigheten bildligt talat öppnade sina dörrar för den mottagande myndigheten. Den mottagande myndigheten tilläts genom åtkomsten träda in innanför dörrarna och, i den omfattning som medgetts, söka fritt i den utlämnande myndighetens informationssamlingar. Från ett principiellt perspektiv var den omständigheten att åtkomsten var direkt det mest betydelsefulla, eftersom det innebar att den utlämnande myndigheten redan vid den tidpunkt då åtkomsten etablerades hade lämnat ut berörda uppgifter till den mottagande myndigheten. Direktåtkomst bedömdes därför vara en betydligt mer vittomfattande form av elektroniskt utlämnande än andra former.135Direktåtkomst krävde enligt utredningen flera ställningstaganden.
Det behövde bedömas om det fanns ett tillfredsställande sekretesskydd för uppgifterna hos den mottagande myndigheten eller om ett sådant skydd behövde införas. Det behövde också bedömas om
134 Kommittédirektiv 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 18–20. 135SOU 2015:39, Myndighetsdatalag, s. 136.
det fanns en sekretessbrytande regel som möjliggjorde att de sekretessreglerade uppgifterna lämnades ut till den mottagande myndigheten genom direktåtkomst. Om inte, behövde även en föreskrift som omfattade direktåtkomsten i hela dess vidd införas i form av lag eller förordning. I underlaget för bedömningen av vilken omfattning en sekretessbrytande regel skulle ha behövde det i de flesta fall även finnas med en analys av hur direktåtkomsten kunde ordnas rent tekniskt.
Förberedande tekniska åtgärder behövde vidtas för att direktåtkomsten endast skulle komma att omfatta de personuppgifter som åtkomsten fick omfatta. Det skulle även behöva göras säkerhetsanalyser och eventuella åtgärder behövde därefter vara vidtagna för att motverka de risker som kunde uppstå på grund av att myndigheternas tekniska system, och därmed verksamheter, i viss mån skulle komma att kopplas ihop.
Andra förberedande åtgärder hos den mottagande myndigheten var att vidta tekniska och andra åtgärder, t.ex. fördelning av behörighet och åtkomstbegränsningar, samt mekanismer som möjliggjorde kontroller och uppföljning av hur åtkomsten användes.
Både den utlämnande och mottagande myndigheten skulle komma att i olika delar och på olika nivåer vara personuppgiftsansvariga för behandlingen. Direktåtkomst krävde därmed att vissa ställningstaganden och behövliga åtgärder hade vidtagits i förväg på myndighetsnivå. Ur den enskilde registrerades perspektiv var det enligt utredningen av stor vikt att det alltid skulle vara tydligt vem som var personuppgiftsansvarig för en viss behandling.136
En fråga som också behövde analyseras i förväg var om det behövdes regler som begränsade användningen av sökbegrepp hos mottagaren för att uppnå ett tillfredsställande skydd för personuppgifter även hos den mottagande myndigheten.137
Behovet av fortsatt åtskillnad mellan olika former av elektroniskt utlämnande
I sitt slutbetänkande bedömde Informationshanteringsutredningen att principiella och rättsliga skäl, samt krav på förberedande analyser och åtgärder medförde ett behov av en fortsatt åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. Att myn-
136SOU 2015:39, Myndighetsdatalag, s. 138–140. 137SOU 2015:39, Myndighetsdatalag, s. 140–141.
digheternas gränser i rättslig mening upprätthölls uttalades vara ett starkt rättssäkerhetskrav. Det kravet ansågs i sin tur ställa höga krav på myndigheterna på båda sidor utlämnandet att agera i förväg och vidta nödvändiga åtgärder innan en direktåtkomst faktiskt medgavs, bl.a. för att säkerställa att en sådan åtkomst var förenlig med bestämmelser om sekretess. Samtliga dessa frågor behövde enligt Informationshanteringsutredningen vara lösta innan den mottagande myndigheten ”släpptes in” hos den utlämnande myndigheten.138
Det som enligt utredningen kunde innebära risker för den enskildes integritet i samband med direktåtkomst var att man inte beaktade de särskilda frågor och krav på skydd som den gav upphov till samt att man inte ägnade uppmärksamhet åt frågor som hängde samman med att myndigheternas gränser öppnades upp och att inblandade myndigheters ansvar för både verksamhet, säkerhet och personuppgifter därmed behövde klargöras. Om man inte behöll en rättslig åtskillnad mellan begreppen direktåtkomst och annat elektroniskt utlämnande fanns det enligt utredningen en risk för att dessa frågor inte fick den uppmärksamhet som krävdes. Utan en distinktion mellan olika former av utlämnande riskerade, enligt utredningen, myndigheternas respektive ansvar i olika hänseenden att bli otydligt.139
Förslag på generell reglering av direktåtkomst
Utredningen föreslog att direktåtkomst till sekretessreglerade personuppgifter som utgångspunkt skulle behöva ha stöd i lag eller förordning.140 En utlämnande myndighet skulle dessutom också behöva göra en risk- och sårbarhetsanalys innan myndigheten medgav en annan myndighet eller enskild aktör direktåtkomst till personuppgifter. Den särskilda risk- och sårbarhetsanalysen skulle vara inriktad på att ge det underlag som behövdes för att sedan kunna bedöma om och hur det var möjligt att åstadkomma en lämplig säkerhetsnivå genom adekvata tekniska och organisatoriska säkerhetsåtgärder. Myndigheten skulle också behöva komma överens med mottagaren om hur behövligt skydd för personuppgifterna skulle säkerställas. Av överenskom-
138SOU 2015:39, Myndighetsdatalag, s. 135 och 141. 139SOU 2015:39, Myndighetsdatalag, s. 150–151. 140SOU 2015:39, Myndighetsdatalag, s. 397.
melsen skulle framgå hur utövandet av de skyldigheter som personansvaret innefattar skulle ske.141
11.4.2. HFD 2015 ref. 61 (LEFI Online)
Som vi nämnt tidigare har det i olika sammanhang och under en lång tid uttryckts att den tekniska utvecklingen har medfört att det är svårt att särskilja direktåtkomst från annat elektroniskt utlämnande.142Även i Informationshanteringsutredningens slutbetänkande påpekades att det fanns en rättslig gråzon mellan direktåtkomst och annat elektroniskt utlämnande där exempelvis s.k. batch-körningar och olika former av fråga-svar-tjänster befann sig.143
Ett visst klargörande beträffande gränsdragningen mellan direktåtkomst och annat elektroniskt utlämnande har dock skett genom Högsta förvaltningsdomstolens avgörande HFD 2015 ref. 61 (det s.k. LEFI Online-avgörandet) där fråga var om socialnämnderna kunde anses ha direktåtkomst till Försäkringskassans socialförsäkringsdatabas.
LEFI Online är ett helt automatiserat fråga-svar-system för informationsutbyte.144 Informationsutbytet beskrivs på följande sätt i den dom från kammarrätten som överklagades till Högsta förvaltningsdomstolen.
Kommunen begär att få information om en person i socialförsäkringsdatabasen genom att ställa en elektronisk fråga till Försäkringskassan. Vid begäran legitimerar sig kommunen med sitt organisationsnummer via ett elektroniskt certifikat. Efter att behörighetskontrollen är gjord kontrollerar Försäkringskassans it-system att det i begäran endast efterfrågas sådan information som kommunen med hänsyn till sekretessregler är behörig att få ut. Utifrån kommunens begäran hämtar Försäkringskassans it-system sedan in informationen från olika interna källor. Försäkringskassans it-system sammanställer sedan
141SOU 2015:39, Myndighetsdatalag, s. 39–40 och 387–388. 142 Jfr bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110–111, SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 199 och Kommittédirektiv 2023:11, Tilläggsdirektiv till Utredningen om förbättrade möjligheter att utbyta information
med brottsbekämpande myndigheter (Ju 2022:03), s. 3.
143SOU 2015:39, Myndighetsdatalag, s. 146. LEFI Online-avgörandet meddelades samma år som Informationshanteringsutredningen hade lämnat sitt slutbetänkande, men efter att det skett. 144 En utförlig teknisk beskrivning av systemet finns på Försäkringskassans hemsida, tillgänglig: https://www.forsakringskassan.se/myndigheter-och-samarbetspartner/e-tjanster-formyndigheter-och-samarbetspartner/lefi-online/beskrivning-av-tjansten-lefi-online [hämtad 2023-04-22].
svaret och en ytterligare (automatisk) kontroll görs så att uppgifter som omfattas av sekretess inte lämnas till kommunen (utifrån det krav på behörighet som är uppsatt för tjänsten). Under förutsättning att den ytterligare kontrollen visar att de efterfrågade uppgifterna kan lämnas ut fattas ett automatiskt beslut och uppgifterna lämnas ut/expedieras till kommunen.
Enligt 114 kap. 22 § socialförsäkringsbalken får en socialnämnd ha direktåtkomst till socialförsäkringsdatabasen först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Dåvarande Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) hade gjort gällande att socialnämndernas tillgång till uppgifter genom LEFI Online innebar att nämnderna hade direktåtkomst till uppgifterna. Eftersom Försäkringskassan inte vidtar någon reell prövning i det enskilda fallet ansåg Datainspektionen att förutsättningarna för att medge direktåtkomst inte var uppfyllda. Det fick enligt Datainspektionen till följd att det integritetsskydd som lagstiftaren avsett att ge enskilda genom införandet av 114 kap. 22 § socialförsäkringsbalken sattes ur spel.
Försäkringskassan hade å sin sida anfört att LEFI Online inte utgjorde direktåtkomst.
Högsta förvaltningsdomstolen konstaterade att beskrivningar av begreppen direktåtkomst och utlämnande på medium för automatiserad behandling inte gav inte några tydliga hållpunkter för hur begreppen ska förstås när det gäller helt automatiserade system för utbyte av uppgifter mellan myndigheter. Domstolen konstaterade dock att de allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos den mottagande myndigheten. Domstolen anförde vidare att den avgränsning som på detta sätt görs av begreppet direktåtkomst, genom tillämpning av TF:s bestämmelser om allmänna handlingars offentlighet, kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 § socialförsäkringsbalken. I det aktuella fallet var därmed frågan om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. Domstolen konstaterade därefter att socialnämnderna inte på egen hand kunde söka information i socialförsäkringsdatabasen, utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs
därmed förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i nuvarande 2 kap. 6 § första stycket TF ansågs socialnämnderna inte ha, vilket innebar att LEFI Online inte var att betrakta som direktåtkomst enligt socialförsäkringsbalken.
Bedömningarna i LEFI Online-avgörandet har senare gjorts generellt tillämpliga genom notisavgörandet HFD 2020 not. 16. Det innebär att de inte enbart är tillämpliga vid bedömning enligt socialförsäkringsbalken.
11.4.3 eSam
Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form
Som nämnts i avsnitt 11.1 hänvisas i våra direktiv till eSamverkansprogrammets (eSam) publikation Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016).145
Med hänvisning till Informationshanteringsutredningens slutbetänkande, och med hänsyn till de risker för integritetsintrång och annan spridning av känsliga uppgifter som överskottsinformation medför, anförde eSam i vägledningen att nya tjänster för utlämnande inte borde utformas för direktåtkomst.
Enligt eSam:s vägledning skulle Högsta förvaltningsdomstolens bedömning av systemet LEFI Online bli avgörande även för andra tjänster, när de är av samma slag och den prövning som kan krävas av den utlämnande myndigheten endast är av formell art. eSam förde även fram att Högsta förvaltningsdomstolen grundat bedömningen av om ett förfarande utgör direktåtkomst endast på sättet för utlämnande. Frågan om det utgör direktåtkomst eller annat elektroniskt utlämnande hade alltså enligt eSam frikopplats från vilken nivå av persondataskydd som en tjänst av samma slag som LEFI Online ger.
145 E-delegationen (dir. 2009:19) hade sedan 2009 i uppdrag att samordna myndigheternas it-baserade utvecklingsprojekt och skapa goda möjligheter för myndighetsövergripande samordning. Delegationen fick 2010 ett tilläggsdirektiv (dir. 2010:32) med uppdrag om vidareutnyttjande av offentlig information och riktlinjer för myndigheters användning av sociala medier. eSamverkansprogrammet, eSam, bildades 2015 när E-delegationen slutfört sitt regeringsuppdrag. Generaldirektörerna för myndigheterna som ingick i E-delegationen beslöt att på frivillig grund fortsätta samarbetet kring digital utveckling. I dag ingår 36 medlemsorganisationer.
En modern registerförfattning 2022
eSam har i juni 2022 publicerat promemorian En modern registerförfattning, där frågan om direktåtkomst åter berörs.146 De slutsatser som förs fram i promemorian skiljer sig från de som redogjorts för ovan. I promemorian anför eSam i stället att såväl direktåtkomst som utlämnande på medium för automatiserad behandling ställer krav på autentisering och auktorisering. Båda formerna av utlämnande kräver att överenskommelser mellan myndigheter görs, och ofta även att loggning av trafik sker hos den utlämnande myndigheten. Oavsett form behöver samtliga av dessa krav vara uppfyllda. I promemorian hänvisar eSam till artiklarna 25 och 32 i EU:s dataskyddsförordning (se avsnitt 11.5.1) och uttalar att samtliga de kriterier som kan ingå i en lämplighetsbedömning vid elektroniskt utlämnande är sådana som tillgodoses genom reglering i dataskyddsförordningen och offentlighets- och sekretesslagen.
eSam lyfter i promemorian även fram att eftersom den tekniska utvecklingen har lett till att samma effektivitetsvinster som vid direktåtkomst kan uppnås med en fråga-svar-funktion, så väljer myndigheter ofta en sådan lösning. Personuppgiftsbehandling som möjliggör nedladdning i bulk, urval och bearbetningar kan dock enligt eSam medföra att det uppstår ökade integritetsrisker jämfört med om informationen görs tillgänglig via direktåtkomst. För att minska sådana risker kan direktåtkomst utformas som sök- och visningstjänster och då ligger informationen kvar hos den registerhållande myndigheten. En sådan direktåtkomst innebär ökad kontroll över informationen. Enligt eSam bör den personuppgiftsansvariga myndigheten själv ha möjlighet att bedöma vilken form för utlämnande som är lämplig, med beaktande av tekniska och organisatoriska skyddsåtgärder. Regleringen i registerförfattningar bör enligt eSam som utgångspunkt vara teknikneutral.
146 ES2022-06.
11.5. Den allmänna dataskyddsregleringen
11.5.1. EU:s dataskyddsförordning
För att behandling av personuppgifter över huvud taget ska vara laglig enligt EU:s dataskyddsförordning krävs att något av de villkor som anges i artikel 6.1 i förordningen är uppfyllda. I den artikeln anges på vilka rättsliga grunder personuppgifter får behandlas. Det måste därmed finnas en rättslig grund för all behandling, se avsnitt 3.2.5. Av artikel 6.3 framgår att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Det bör därför vara tillåtet att i den nationella rätten begränsa myndigheters möjlighet att lämna ut personuppgifter elektroniskt.
I dataskyddsförordningen finns dock inga särskilda bestämmelser som särskilt reglerar olika former eller tekniker för utlämnande av personuppgifter. Det finns inte heller någon bestämmelse som särskilt hanterar frågan om överskottsinformation vid direktåtkomst.147Däremot finns det bestämmelser som har betydelse för de frågor som uppkommer i relation till elektrosnikt utlämnande både genom direktåtkomst och genom andra tekniska lösningar, särskilt avseende frågor om teknisk och organisatorisk säkerhet vid behandlingen och om inbyggt dataskydd och dataskydd som standard. Nedan följer en redogörelse för några av de bestämmelser i dataskyddsförordningen som myndigheter behöver iaktta i samband med att ett elektroniskt utlämnande av personuppgifter övervägs.
Enligt artikel 5.1 c ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering).
147 Av skäl 31 andra stycket till dataskyddsförordningen framgår visserligen att varje begäran från en offentlig myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman. Stycket kan, läst för sig, tolkas som ett förbud mot informationsöverföring som är att jämställa med direktåtkomst. Direktåtkomst innebär ju nämligen, i vart fall i viss mån, att register kopplas samman. Vi anser dock att andra stycket i skäl 31 bör läsas tillsammans med vad som anges i första stycket. I första stycket pekas en särskild situation, vari offentliga myndigheter inte bör betraktas som mottagare i dataskyddsförordningens mening; dvs. om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse. Skäl 31 bör alltså enligt vår mening inte tolkas som ett förbud mot direktåtkomst.
De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet).
Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 24.1 genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov.
Med beaktande av bl.a. den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 25.1, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas.
Enligt artikel 25.2 ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
Enligt artikel 32.1 ska den personuppgiftsansvarige vid behandling av personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som behandlingen medför. Det kan röra sig om att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna, eller att regelbundet testa, undersöka och utvärdera effektiviteten hos de
tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
Av artikel 32.2 framgår att vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet bl.a. till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, enligt artikel 35.1, före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Bedömningen ska enligt artikel 35.7 åtminstone innehålla bl.a. en systematisk beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena, en bedömning av risker och de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att dataskyddsförordningen efterlevs.
Av artikel 85.1 framgår att medlemsstaterna i lag ska förena rätten till integritet i enlighet med dataskyddsförordningen med yttrande- och informationsfriheten.
Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras bl.a. av en myndighet eller ett offentligt organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.
11.5.2. Dataskyddslagen
Liksom EU:s dataskyddsförordning saknar dataskyddslagen bestämmelser som direkt reglerar uppgiftslämnande från en myndighet till en extern part. Det finns heller inga bestämmelser om de olika formerna för sådant utlämnande.
Av 1 kap. 7 § första stycket dataskyddslagen framgår dock att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Enligt regeringens bedömning gav regleringen i dataskyddsförordningen (bl.a. artiklarna 85.1 och 86) ett tydligt stöd för att den EU-rättsliga dataskyddsregleringen inte inkräktar på den grundlagsreglerade offentlighetsprincipen. Den nödvändiga sammanjämkning som avses i dataskyddsförordningen kommer enligt regeringen i svensk rätt till uttryck bl.a. genom bestämmelserna i offentlighets- och sekretesslagen, som är resultatet av noggranna avvägningar mellan allmänhetens intresse av insyn i det allmännas verksamhet och den enskildes behov av skydd för sin personliga integritet.148
11.5.3. Europeiska dataskyddstyrelsens riktlinjer om inbyggt dataskydd och dataskydd som standard
Europeiska dataskyddsstyrelsen (EDPB)149 har antagit riktlinjer om inbyggt dataskydd och dataskydd som standard, som konkretiserar vad principerna innebär för de personuppgiftsansvariga.150 Riktlinjerna syftar bl.a. till att utreda och ge vägledning avseende kraven på inbyggt dataskydd i artikel 25.1 i dataskyddsförordningen, respektive dataskydd som standard i artikel 25.2 i dataskyddsförordningen. I riktlinjerna ges även exempel på hur inbyggt dataskydd och dataskydd som standard kan omsättas i praktiken genom en förteckning över centrala komponenter i inbyggt dataskydd och dataskydd som standard för var och en av de grundläggande principerna för dataskydd (se avsnitt 3.5.2). Av riktlinjerna framgår bl.a. följande avseende artikel 25.1 och 25.2 i dataskyddsförordningen.
148Prop. 2017/18:105, Ny dataskyddslag, s. 41–43. 149 Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsreglerna inom hela EU/EES och främjar samarbetet mellan dataskyddsmyndigheterna. EDPB kan ge allmän vägledning för att klargöra begrepp inom europeisk dataskyddslagstiftning och därmed ge en enhetlig tolkning av de rättigheter och skyldigheter som följer av regelverket. Genom dataskyddsförordningen har EDPB även befogenhet att fatta bindande beslut gentemot nationella tillsynsmyndigheter för att säkerställa en enhetlig tillämpning. EDPB består av medlemsstaternas tillsynsmyndigheter samt Europeiska datatillsynsmannen (EDPS). IMY deltar aktivt i arbetet i samtliga undergrupper som utför EDPB:s arbetsuppgifter. Se IMY:s webbsida, EDPB, tillgänglig: https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/edbp/ [hämtad 2023-04-11]. 150 Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard, Version 2.0, s. 5.
Artikel 25.1
Tekniska och organisatoriska åtgärder och nödvändiga skyddsåtgärder ska tolkas i vid mening, som samtliga metoder eller medel som en personuppgiftsansvarig kan använda vid behandlingen. En teknisk eller organisatorisk åtgärd och en skyddsåtgärd kan vara allt från användning av avancerade tekniska lösningar till grundläggande utbildning av personalen. Beroende på sammanhanget och de risker som är förbundna med den aktuella behandlingen kan exempel vara tillhandahållande av information om lagringen av personuppgifter, inrättande av system för hantering av integritet och informationssäkerhet etc. Vid genomförandet av lämpliga tekniska och organisatoriska åtgärder bör åtgärderna och skyddsåtgärderna vara utformade så att var och en av principerna för dataskydd och det efterföljande skyddet av rättigheter kan genomföras på ett effektivt sätt. De valda åtgärderna och skyddsåtgärderna bör utformas för genomförandet av principerna för dataskydd i just den aktuella behandlingen. Frågan om åtgärder är effektiva beror därför på omständigheterna i samband med behandlingen i det enskilda fallet och på en bedömning av vissa omständigheter som bör beaktas vid fastställandet av medlen för behandlingen. Den personuppgiftsansvariga bör kunna dokumentera de tekniska och organisatoriska åtgärder som genomförts.
Hänvisningen till den senaste utvecklingen innebär en skyldighet för personuppgiftsansvariga att beakta de aktuella framsteg på teknikområdet som är tillgängliga på marknaden vid fastställandet av lämpliga tekniska och organisatoriska åtgärder. Kravet är att personuppgiftsansvariga ska ha kunskap om och hålla sig uppdaterade om tekniska framsteg, om hur teknik kan medföra datasäkerhetsrisker eller möjligheter för behandlingen och om hur de åtgärder och skyddsåtgärder som säkerställer ett effektivt genomförande av principerna och de registrerades rättigheter ska genomföras och uppdateras.
Personuppgiftsansvariga måste ta hänsyn till behandlingens art, omfattning, sammanhang och ändamål när de fastställer nödvändiga åtgärder. Dessa faktorer bör tolkas i överensstämmelse med deras roll i andra bestämmelser i dataskyddsförordningen, i syfte att låta principerna för dataskydd bli en del av behandlingen. Begreppet art kan kortfattat uttryckt förstås som behandlingens inneboende egenskaper, exempelvis särskilda kategorier av personuppgifter, automatiskt beslutsfattande, skeva maktförhållanden, oförutsägbar behandling osv.
Omfattningen avser behandlingens storlek och räckvidd. Sammanhanget hänför sig till omständigheterna vid behandlingen, vilka kan påverka den registrerades förväntningar, medan ändamålet avser behandlingens syfte.
Vid genomförandet av den riskanalys som krävs för efterlevnad av artikel 25 måste den personuppgiftsansvarige identifiera de risker för de registrerades rättigheter som en överträdelse av principerna innebär, och fastställa deras sannolikhet och allvar så att han eller hon kan vidta åtgärder för att effektivt minska de identifierade riskerna. Vägledning om hur dataskyddsrisker ska bedömas och om hur en bedömning av dataskyddsrisker ska genomföras tillhandahålls i EDPB:s riktlinjer om konsekvensbedömning avseende dataskydd.151
Det är under arbetet med att fatta beslut om hur behandlingen ska utföras och på vilket sätt behandlingen ska ske och vilka mekanismer som ska användas för att utföra behandlingen som den personuppgiftsansvarige är skyldig att bedöma de lämpliga åtgärderna och skyddsåtgärderna för att principerna och de registrerades rättigheter ska genomföras på ett effektivt sätt i behandlingen. Att redan i ett tidigt skede överväga inbyggt dataskydd och dataskydd som standard är avgörande för ett framgångsrikt genomförande av principerna och skyddet av de registrerades rättigheter.
När behandlingen har inletts är den personuppgiftsansvarige fortsatt skyldig att upprätthålla inbyggt dataskydd och dataskydd som standard, dvs. fortsätta att på ett effektivt sätt genomföra principerna för att skydda rättigheterna, hålla sig à jour med den senaste tekniken, ompröva risknivån osv. Behandlingarnas art, omfattning och sammanhang samt risken kan förändras under behandlingens gång, vilket innebär att den personuppgiftsansvarige kontinuerligt måste utvärdera sin behandling genom regelbundna översyner och bedömningar av effektiviteten hos de åtgärder och skyddsåtgärder som valts.
Artikel 25.2
Den personuppgiftsansvarige bör välja och vara ansvarig för att införa standardinställningar och alternativ på ett sådant sätt att endast sådan behandling som är absolut nödvändig för att uppnå det fast-
151 Riktlinjerna antogs ursprungligen av dåvarande Artikel 29-arbetsgruppen för skydd av personuppgifter och under sitt första plenarsammanträde godkände Europeiska dataskyddsstyrelsen Artikel 29-gruppens olika vägledningar avseende dataskyddsförordningen.
ställda, lagliga ändamålet utförs som standard. Här bör de personuppgiftsansvariga utgå från sin bedömning att behandlingen är nödvändig sett till de rättsliga grunderna i artikel 6.1. Grundkravet är att dataskyddet ska vara inbyggt i den behandling som utförs som standard. Åtgärderna ska som standard vara lämpliga för att säkerställa att endast personuppgifter som är nödvändiga för varje särskilt ändamål med behandlingen behandlas. De organisatoriska åtgärder som stöder behandlingen ska, redan från början, vara utformade så att endast den minsta mängd personuppgifter som krävs för de särskilda åtgärderna behandlas. Detta ska särskilt beaktas när personal med olika arbetsuppgifter och olika behov får åtkomst till uppgifter.
Den personuppgiftsansvarige bör begränsa vilka som kan få tillgång till personuppgifter (och vilken typ av tillgång) grundat på en bedömning av tillgångens nödvändighet, och även se till att personuppgifterna faktiskt är tillgängliga för dem som vid behov behöver dem, t.ex. i kritiska situationer. Åtkomstkontroller bör iakttas för hela dataflödet under behandlingen.
11.6. Myndigheternas uppfattningar om nuvarande reglering av elektroniskt utlämnande
Skatteverket
Skatteverket anser att det inte ska regleras i vilken form uppgifter får lämnas ut, och att det väsentliga är att utlämnandet sker på ett säkert sätt och i övrigt enligt den allmänna dataskyddsregleringen. Den enskilde får ett tillräckligt skydd genom artikel 32 i EU:s dataskyddsförordning, den allmänna regleringen i övrigt och sekretessregleringen. De sekretessbrytande bestämmelserna bör enligt Skatteverket därför också vara teknikneutrala och endast ange vilka uppgifter som får lämnas ut för att bryta sekretessen och inte ange i vilken form utlämnande ska ske.
Skatteverket är vidare av uppfattningen att myndigheten har förmåga att själv bedöma om det är fråga om direktåtkomst när det gäller tillämpning av allmänna bestämmelser som reglerar detta. Skatteverkets uppfattning är även att ett effektivt informationsutbyte i dag inte förutsätter direktåtkomst, utan det kan i regel uppnås på annat sätt. I vissa fall kan dock direktåtkomst vara mest ändamålsenligt, exempelvis när det rör informationshantering i ett system som an-
vänds gemensamt av flera myndigheter, eller om det rör uppgiftsutbyte mellan olika verksamhetsgrenar inom en och samma myndighet.
Skatteverket anser även att den nuvarande regleringen utgör ett hinder för sådant elektroniskt utlämnande som är nödvändigt för handläggningen av vissa ärenden och har tidigare lyft frågan i olika sammanhang. Exempelvis har Skatteverk i december 2022 föreslagit regeländringar som möjliggör elektroniskt utlämnande i de fall där det finns ett behov av att lämna uppgift om en enskild i en kontakt med tredje man, som vid exempelvis tredjemansförelägganden.152 Skatteverket har även i remissvar påpekat sina behov i detta avseende.153
Hur uppgifter lämnas ut är enligt Skatteverket en fråga om en avvägning mellan effektivitet och restriktivitet. Det effektivaste är att den mottagande myndigheten alltid får tillgång till all information som den kan komma att behöva och därefter själv avgör vilken information som ytterst behövs i ett ärende, vid kontroll eller för annan åtgärd.154 Ett mer restriktivt förhållningssätt är enligt Skatteverket att enbart de uppgifter som myndigheten på förhand kan avgöra att det finns ett behov av lämnas ut. Det medför att ett eventuellt överskott blir minimalt. Så snart ett nytt behov uppstår behöver dock en uppdatering göras av leveransen av uppgifter vilket kräver fler åtgärder och ett närmre samarbete mellan den utlämnande och mottagande myndigheten. En avvägning måste därför göras mellan dessa två utgångspunkter.
Tullverket
Enligt Tullverkets uppfattning skapar uppdelningen i utlämnande på medium för automatiserad behandling och direktåtkomst stora problem för myndigheten, särskilt inom ramen för samarbetet inom EU. I det samarbetet görs inte någon rättslig åtskillnad mellan olika former av elektroniskt informationsutbyte.
152 Skatteverkets promemoria, Rättslig möjlighet för Skatteverket att skicka uppgifter om enskilda
digitalt till tredje man, dnr 8-2059717.
153 Skatteverkets remissvar, Promemorian Genomförande av EU:s direktiv om finansiell infor-
mation (Ds 2021:5), dnr 8-763633.
154 Det sker i princip alltid en teknisk bearbetning av den information som mottas för att den ska få ett kompatibelt format och kunna användas med stöd av de arbetsverktyg som verksamheten använder och överflödiga uppgifter kan avskiljas även i detta steg, utifrån vad som närmare behövs i den mottagande myndighetens verksamhet.
Tullverket har särskilt påpekat att av artikel 6.1 och 6.2 i tullkodexen155 framgår att utbyte och lagring av uppgifter mellan tullmyndigheterna, samt mellan ekonomiska aktörer och tullmyndigheterna, ska ske med hjälp av elektronisk databehandlingsteknik. Tullverket har även påpekat att enligt artikel 16.1 i tullkodexen ska medlemsstaterna samarbeta med kommissionen för att utveckla, underhålla och använda elektroniska system för utbyte av uppgifter mellan olika tullmyndigheter och med kommissionen i enlighet med kodexen. Tullverket har vidare lyft att i artikel 17.1 i tullkodexen anges att kommissionen genom genomförandeakter ska specificera de tekniska arrangemangen för utveckling, underhåll och användning av de elektroniska system som avses i artikel 16.1. Detta är gjort med kommissionens genomförandeförordning156 som innehåller reglering av hur uppbyggnaden och informationsutbytet ska ske i systemen. I genomförandeförordningen finns det inte någon uppdelning i direktåtkomst eller annat elektroniskt utlämnande.
Tullverket har vidare påpekat att dagens reglering kräver analyser som både är tidskrävande och inte nödvändigtvis bidrar till ett ökat integritetsskydd. Utöver att säkerställa att ett utlämnande är förenligt med bl.a. offentlighets- och sekretesslagen, uppfyller kraven i dataskyddsförordningen och interna säkerhetskrav kopplade till informationssäkerhet m.m. är det också nödvändigt för Tullverket att analysera utformningen av den tekniska lösningen för utlämnandet för att säkerställa att lösningen faller inom den kategori av utlämnande som registerförfattningarna medger i det aktuella fallet. Enligt Tullverkets bedömning kräver digitaliseringen andra överväganden för att säkerställa skyddet av skyddsvärds uppgifter. Tullverkets uppfattning är att formen för utlämnande inte bör regleras särskilt. Reglering av tillåtna tekniska lösningar kommer enligt Tullverket att bli omodern, förlora relevans och bli onödigt kostsam. I stället borde det vara en fråga för parterna att avgöra vad som i det enskilda fallet är mest lämpligt utifrån säkerhet, integritet och kostnadseffektivitet m.m.
Enligt Tullverket är de faktiska skillnaderna mellan olika former av elektroniskt utlämnande i dag små, såväl ur integritetssynpunkt som rent tekniskt. Det bör därför vara tillräckligt med den reglering
155 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen. 156 Kommissionens genomförandeförordning (EU) nr 2023/1070 av den 1 juni 2023 om tekniska arrangemang för utveckling, underhåll och användning av elektroniska system för utbyte och lagring av information enligt Europaparlamentets och rådets förordning (EU) nr 952/2013.
som finns i dataskyddsförordningen, offentlighets- och sekretesslagen och övrig befintlig informationssäkerhetsreglering. De överväganden som nuvarande registerförfattningar kräver framstår mot den bakgrunden enligt Tullverket som överflödiga och riskerar att hämma den tekniska utvecklingen. Om hänsyn inte längre behöver tas till krav som inte förstärker integritetsskyddet kan det sparas tid och resurser till utveckling av den för ändamålet bästa metoden för utlämnande.
Kronofogdemyndigheten
Kronofogdemyndigheten är av uppfattningen att frågan om utlämnandeform är en säkerhetsfråga. Vid elektroniskt utlämnande måste det enligt Kronofogdemyndigheten säkerställas att rätt mottagare får del av uppgifterna, att mottagaren är behörig att ta del av uppgifterna, att ingen obehörig får tillgång till uppgifterna och att uppgifterna inte får omotiverad exponering. Dessa frågor är dock desamma oavsett om uppgifterna lämnas ut digitalt eller i pappersform.
Enligt Kronofogdemyndigheten innebär den nuvarande regleringen stora problem för myndigheten, vilket föranlett en hemställan om ändring i myndighetens registerförfattningar.157 Bestämmelserna begränsar möjligheterna till utlämnande i stor utsträckning och detta gäller även offentliga uppgifter. Regleringen bygger enligt Kronofogdemyndigheten på antagandet att digitalt utlämnande alltid är känsligt ur integritetssynpunkt. Med hänsyn till den tekniska utvecklingen är detta inte längre ett aktuellt antagande. Det finns många säkra sätt att elektroniskt lämna ut uppgifter, exempelvis inom en e-tjänst med autentiseringskrav eller via Mina meddelanden.158 Begreppet ”medium för automatiserad behandling” som används i myndighetens registerförfattningar är dessutom inaktuellt.
Enligt Kronofogdemyndigheten medför den befintliga regleringen av elektroniskt utlämnande att myndigheten har svårt att på ett ändamålsenligt sätt tillhandahålla information till enskilda. Den begränsar också Kronofogdemyndighetens möjligheter att utforma e-tjänster.
157 Kronofogdemyndighetens promemoria Bättre och snabbare service i Kronofogdemyndighetens
verksamhet, KFM 22992–2020.
158 Enskilda kan få digital post från de myndigheter, kommuner och regioner som är anslutna som avsändare till tjänsten Mina meddelanden. Det är namnet på den myndighetsgemensamma infrastrukturen för säker digital post.
Dataskyddsförordningens säkerhetsbestämmelser ger enligt Kronofogdemyndigheten ett starkt integritetsskydd för de registrerade och den befintliga regleringen i den kompletterande dataskyddslagstiftningen framstår därför som omotiverad. Den detaljerade regleringen ställer också krav på återkommande ändringar i kronofogdedatabasförordningen, allt eftersom fler privata subjekt framställer behov av elektronisk tillgång till skuldinformation. Enligt Kronofogdemyndigheten kompliceras tillämpningen också av att regleringen av elektroniskt utlämnande skiljer på direktåtkomst och annat utlämnande. Enligt Kronofogdemyndighetens uppfattning bör formerna för utlämnande inte regleras över huvud taget.
11.7. Överväganden och förslag
11.7.1. Nuvarande reglering av elektroniskt utlämnande är inte ändamålsenlig
Vår bedömning: Nuvarande bestämmelser om elektroniskt
utlämnande är inte ändamålsenliga.
Skälen för vår bedömning
Målet för digitaliseringspolitiken
Målet för digitaliseringspolitiken är sedan flera år att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.159 Regeringen har 2018 uttalat att målet för digitaliseringen av den offentliga förvaltningen bl.a. är en enklare vardag för medborgare och högre kvalitet och effektivitet i verksamheten. Vidare har regeringen gjort bedömningen att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatpersoner och företag, samtidigt som säkerheten och skyddet för den personliga integriteten ska säkerställas.160 I budgetpropositionen för 2023 har regeringen uttalat att det behövs en ambitionshöjning för att nå sagda mål. Regeringen har i sammanhanget påpekat att det faktum att flera andra länder lyckas bättre än Sverige trots sämre förutsättningar, visar på att
159 Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84. 160 Budgetpropositionen för 2019, prop. 2018/19:1 utg. omr. 2, s. 53.
Sverige ännu inte lyckats använda digitaliseringens möjligheter fullt ut.161
Användningen av digitala kommunikationssätt har ökat markant bland enskilda under de senaste 20 åren, vilket framgår av Statistiska centralbyråns, SCB, statistik över befolkningens internetanvändning. År 2003 använde 31 procent av befolkningen i åldern 16–74 år internet aldrig eller bara sällan.162 Det kan ställas mot att 85 procent av befolkningen i åldern 16–85 år hade legitimerat sig vid användning av internet genom Mobilt Bank-ID eller Bank-ID med kortläsare under en undersökt period år 2020. Endast 3 procent hade under samma period inte använt någon form av digital legitimering. Under 2021 hade 86 procent av befolkningen i åldern 16–85 år använt internet i stort sett varje dag. Över 60 procent av befolkningen i åldern 16–85 år hade under år 2022 fått myndighetspost via ett konto (t.ex. Mina meddelanden). En lika stor andel av befolkningen hade hämtat information på en myndighets hemsida, respektive fått tillgång till information som lagras om personen t.ex. om pension eller hälsa genom en myndighets hemsida.163 Att digital informationshantering ökar på bekostnad av den analoga motsvarigheten illustreras också av att antalet skickade brev sedan millennieskiftet har minskat med ungefär hälften, vilket fått till följd att vanlig post numera delas ut varannan dag.164
I flera sammanhang har på olika sätt påpekats att sektorsspecifik dataskyddsreglering ofta utgör ett hinder för myndigheter att använda digitaliseringens möjligheter, genom bestämmelser som i vissa fall kräver pappershantering och i praktiken innebär ett förbud mot elektroniskt utlämnande genom exempelvis e-post.165 Även Skatteverket och Kronofogdemyndigheten behöver i viss utsträckning kommunicera med enskilda i pappersform, som ett resultat av bestämmelser i den kompletterande dataskyddsregleringen, se avsnitt 11.3.2 och 11.6 ovan. Med hänsyn till hur stor del av Sveriges befolkning
161 Budgetpropositionen för 2023, prop. 2022/23:1, utg. omr. 22, s. 105. 162 SCB, Privatpersoners användning av datorer och Internet 2009, s. 13. 163 SCB, Befolkningens it-användning, tillgänglig på SCB:s webbsida, https://www.scb.se/le0108 [hämtad 2023-04-14]. 164 Postnords pressmeddelande Så fungerar varannandagsutdelning, tillgängligt på Postnords webbsida, https://www.postnord.se/om-oss/pressmeddelanden/framtidens-post/safungerar-varannandagsutdelning [hämtad 2023-04-14]. 165 Jfr bl.a. SOU 2015:39, Myndighetsdatalag, s. 148, SOU 2018:25. Juridik som stöd för för-
valtningens digitalisering, s. 71 och Ds 2022:13, Utökat informationsutbyte s. 59.
som i dag kommunicerar digitalt kan det te sig främmande att kommunikation med en myndighet sker via pappersbrev.
Den befintliga regleringen av elektroniskt utlämnande är inte ändamålsenlig
Redan mot bakgrund av att en stor del av befolkningen i dag regelbundet använder sig av digitala informationskanaler och legitimeringssätt framstår det enligt vår bedömning inte som motiverat att på ett generellt plan begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att lämna ut information till enskilda elektroniskt. Även samhällets generella övergång till digital informationshantering talar för detta och en manuell informationshantering kan i dag inte sägas vara ett realistiskt alternativ för vare sig myndigheter eller företag.166 Vi anser därför att nuvarande bestämmelser som i praktiken i vissa fall kräver kommunicering i pappersform inte är ändamålsenliga. Sådan reglering avviker dessutom från regeringens uttalade målsättning att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakt med enskilda. Utgångspunkten bör i stället vara att det i dag är nödvändigt för myndigheterna att använda tekniska hjälpmedel både vid handläggning av ärenden och vid informationsutbyte med andra myndigheter och enskilda. Det är därför viktigt att det finns goda rättsliga möjligheter för elektroniskt informationsutbyte från, och mellan, myndigheter.
Vad gäller direktåtkomst är regleringen i dag mycket begränsande även i förhållande till andra myndigheter. Sådant utlämnande tillåts enbart om det finns stöd för det i nuvarande registerlagar. Som framgår av avsnitt 11.3.1 var dock skillnaden mellan direktåtkomst och utlämnande i annan elektronisk form ifrågasatt redan vid tidpunkten för den nuvarande regleringens tillkomst. Bland annat i ljuset av Högsta förvaltningsdomstolens avgörande HFD 2015 ref. 61 (LEFI Onlineavgörandet) framstår frågan som än mer aktuell i dag. Som framgår av avsnitt 11.4.3 kan det hävdas att de omedelbara integritetsskyddsfrågorna genom LEFI Online-avgörandet har kopplats bort från frågan om direktåtkomst föreligger eller inte. Både vid direktåtkomst och vid uppgiftslämnande genom en fråga-svar-tjänst har mottagaren näm-
166 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 47.
ligen en momentan tillgång till information från den utlämnande myndigheten och eventuella sekretessprövningar är gjorda på förhand. Också IMY har nyligen uttalat att det kan finnas skäl att i ljuset av rättsutvecklingen och den tekniska utvecklingen på området utreda frågan om direktåtkomst fortsättningsvis bör särregleras i förhållande till annat utlämnande.167
Vi anser att frågan om det finns skäl att i fortsättningen upprätthålla en särreglering av utlämnande genom direktåtkomst behöver analyseras förutsättningslöst. Tidigare ställningstaganden, som utgår från väsentligt andra rättsliga och tekniska förutsättningar än idag, bör inte längre vara avgörande för bedömningen. Analysen bör i stället utgå från de faktiska rättsliga och tekniska förhållanden som råder, där den snabba tekniska utvecklingen är en viktig aspekt. Som vi redogör för nedan är vår bedömning att det med hänsyn till EU:s dataskyddsförordning och den rättsliga utvecklingen i övrigt i dag saknas skäl att upprätthålla en åtskillnad mellan olika former av elektroniskt utlämnande.
Sammanfattningsvis finns det enligt vår bedömning i dag flera omotiverade begränsningar eller hinder för myndigheterna att lämna ut personuppgifter elektroniskt. Dagens reglering av Skatteverkets, Tullverkets respektive Kronofogdemyndighetens möjligheter att lämna ut uppgifter elektroniskt kan därför inte anses vara väl avvägd i förhållande till den tekniska och rättsliga utvecklingen, och kan inte sägas vara utformad på ett ändamålsenligt sätt.
11.7.2. Teknikneutralitet och dataskydd
Vår bedömning: Det kan ifrågasättas om en särreglering av olika
former av elektroniskt utlämnande är förenligt med målsättningen om ett teknikneutralt skydd för den personliga integriteten.
167 IMY:s yttrande, eSam:s promemoria En modern registerförfattning (ES 2022:6), IMY-2022-1665, s. 9.
Skälen för vår bedömning
Teknikneutralitet som utgångspunkt
I kapitel 5 har vi redogjort för våra utgångspunkter vad gäller en modern och ändamålsenlig kompletterande dataskyddsreglering. En av utgångspunkterna är att den kompletterande dataskyddsregleringen bör vara teknikneutral, vilket kräver överväganden om vilka frågor som över huvud taget ska regleras (se avsnitt 5.2.5). Vi gör där även bedömningen att teknikneutralitet dels följer av EU:s dataskyddsförordning (skäl 15 till förordningen), dels är en förutsättning för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna hålla jämna steg med den tekniska utvecklingen i samhället i övrigt och kunna effektivisera verksamheten till nytta för både myndigheter och enskilda.
Regeringen har i andra sammanhang konstaterat att även om det inte finns något generellt hinder mot elektroniskt utlämnande i dataskyddsförordningen finns det enligt artikel 6.3 möjlighet att i nationell rätt införa regler som preciserar förutsättningarna för sådant utlämnande.168 Mot den bakgrunden har bestämmelser i kompletterande lagstiftning som i praktiken begränsar en myndighets möjligheter att använda vissa tekniska lösningar vid uppgiftslämnande ansetts vara förenliga med den generella dataskyddsregleringen.169 Vi anser dock att även om dataskyddsförordningen inte ställer upp något hinder mot sådana begränsningar är regeringens tidigare förhållningssätt svårförenligt med målsättningen om ett teknikneutralt skydd för den personliga integriteten.
Risken för inlåsningseffekter
I tidigare lagstiftningsärenden där formerna för utlämnande varit i fråga har regeringen konstaterat att både i Sverige och inom EU uppmuntras myndigheter att i så stor utsträckning som möjligt dra nytta av de effektivitetsvinster som modern teknik kan ge.170 Enligt
168 Av artikel 6.3 andra stycket framgår att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. avseende förfaranden för behandling, se avsnitt 11.5.1 ovan. 169 Jfr bl.a. prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 54–55 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 140. 170 Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets
radioanstalt s. 104.
dataskyddsförordningen har personuppgiftsansvariga dessutom en skyldighet att beakta de aktuella framsteg på teknikområdet som är tillgängliga vid fastställandet av lämpliga tekniska och organisatoriska åtgärder för personuppgiftsbehandling. Som framgår av avsnitt 11.5.3 finns det ett krav på att de personuppgiftsansvariga ska ha kunskap om och hålla sig uppdaterade om tekniska framsteg, om hur teknik kan medföra datasäkerhetsrisker eller möjligheter för behandlingen och om hur de åtgärder och skyddsåtgärder som säkerställer ett effektivt genomförande bl.a. av de grundläggande principerna för behandling ska genomföras och uppdateras.
Reglering av under vilka förutsättningar en viss teknisk lösning får förekomma kräver dock, likt annan normgivning, att bedömningar görs i förväg. I dag är den tekniska utvecklingen mycket snabb och den rättsliga utvecklingen i frågor om dataskydd är ständigt pågående. Ändring av gällande författningar är i jämförelse med den tekniska utvecklingen en långsam process som kräver både resurser och politisk vilja. Begränsningar av tillåtligheten av en viss teknisk lösning vid utlämnande medför därmed att det kan uppstå omotiverade inlåsningseffekter som hindrar myndigheterna från att dra nytta både av de effektivitetsvinster och det utökade integritetsskydd som modern teknik skulle kunna ge. Av dataskyddsförordningen framgår dessutom att kravet på teknikneutralitet i integritetsskyddshänseende är motiverat av att bestämmelser som syftar till att skydda enskildas personliga integritet inte ska kunna kringgås (skäl 15 till förordningen). Det bör enligt vår mening förstås på så sätt att integritetsskyddet som dataskyddsförordningen syftar till att åstadkomma ska gälla oaktat vilken teknisk lösning som används vid uppgiftslämnande. Detta framgår inte minst genom bestämmelser som utgår från risken med en viss behandling. Personuppgiftsansvariga förväntas identifiera riskerna och vidta de åtgärder som krävs för att göra dessa hanterbara oavsett behandlingens tekniska format, se avsnitt 11.7.3 nedan.
Annat elektroniskt utlämnande än direktåtkomst
Av avsnitt 11.3.2 framgår att aktuella begränsningar av myndigheternas möjlighet till elektroniskt utlämnande på annat sätt än genom direktåtkomst i princip uteslutande avser utlämnande till enskilda. Begränsningarna motiverades ursprungligen av de högre integritetsrisker
som ansågs kunna följa med utlämnande av uppgifter på medium för automatiserad behandling, och utlämnande av uppgifter på ett sådant sätt skulle därför endast få ske om det var särskilt föreskrivet (se avsnitt 11.3.1). I de fall uppgifter ska lämnas ut till någon annan än den enskilde själv är därför Skatteverket och Kronofogdemyndigheten i regel rättsligt förhindrade att lämna ut även offentliga uppgifter via exempelvis e-post.
Som framgår av avsnitt 11.2.3 har begreppet utlämnande på medium för automatiserad behandling, i takt med att tekniken utvecklats, fått en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags fysiskt medium för lagring eller överföring, som en diskett eller ett usb-minne. I dag kan elektroniskt utlämnande av uppgifter exempelvis ske genom säker e-post eller kräva identifiering av mottagaren via en av myndigheten godkänd e-legitimation. Användande av säker e-post kan exempelvis innebära olika former av kryptering, eller att informationen inte skickas direkt till mottagaren utan i stället lagras på en säker server. Mottagaren får i stället ett aviseringsmeddelande med en länk för att få tillgång till meddelandet. Meddelandet öppnas inte i ett vanligt e-postprogram utan kan enbart läsas från den säkra servern, vilket innebär att utomstående inte kan få tillgång till informationen på väg till mottagaren. Säker e-post kan också kräva att mottagaren anger en kod som sänts till denna via ett annat medium, exempelvis sms, för att få tillgång till informationen. Pappershandlingar riskerar däremot att komma på avvägar såväl inom posthanteringen som på andra sätt. Dagens teknik tillåter dessutom att pappershandlingar mycket enkelt omvandlas till digitala handlingar, exempelvis pdf-format, genom allmänt tillgängliga applikationer för mobiltelefoner. Därefter kan dessa hanteras på samma sätt som annan digital information.
Det går inte att ifrågasätta att automatiserad behandling av stora mängder personuppgifter kan medföra förhöjda risker ur integritetssynpunkt. Vi anser dock att det inte längre är riktigt att utgå från att integritetsriskerna alltid är lägre vid ett analogt utlämnande än vid ett elektroniskt utlämnande. Användandet av funktioner som säker e-post kan i stället innebära en högre grad av skydd för personuppgifter än om ett pappersbrev hade skickats. Under förutsättning att utlämnandet sker med tillämpning av tillgängliga tekniker för säker informationsöverföring kan elektroniskt utlämnande alltså innebära ett starkare integritetsskydd än vid analog hantering. Det bör mot
den bakgrunden kunna ifrågasättas om en reglering som i praktiken innebär att elektroniskt utlämnande i vissa fall inte är tillåtet är förenlig med målsättningen att skyddet för fysiska personer ska vara teknikneutralt och inte beroende av den teknik som används.
Direktåtkomst
När direktåtkomst ska upprättas ställs det höga krav på myndigheterna på båda sidor av utlämnandet (se avsnitten 11.4.1 och 11.7.3 nedan). Ett utlämnande genom en fråga-svar-tjänst likt LEFI Online fyller dock i många situationer samma behov som tidigare motiverat inrättandet av system för direktåtkomst, dvs. effektivitet och aktualitet. Det framstår därför som osannolikt att direktåtkomst i dag skulle vara förstahandsvalet i en situation där formerna för ett i övrigt tillåtet utlämnande övervägs. Även fortsättningsvis kommer det dock med stor sannolikhet finnas system för informationsöverföring som rättsligt sett är att betrakta som direktåtkomst, utifrån den gränsdragning som gäller i dag. Utöver befintliga anslutningar för direktåtkomst kan frågan om upprättandet av ett nytt system för direktåtkomst komma att aktualiseras i situationer som omfattar ett informationsförsörjningsuppdrag, när uppgifterna är offentliga eller vid informationsöverföring mellan olika självständiga verksamhetsgrenar inom en myndighet. Även i situationer där två eller flera myndigheter är gemensamt ansvariga för att utföra en viss uppgift kan direktåtkomst komma att framstå som det mest ändamålsenliga sättet för utlämnande.
Även om direktåtkomst är ett juridiskt begrepp utgår det, enligt Högsta förvaltningsdomstolens LEFI Online-avgörande, från en bedömning av det tekniska förfarandet vid överföring. Om ett automatiserat system för informationsöverföring inte kräver en reaktion av den utlämnande myndigheten föreligger direktåtkomst. Om systemet däremot kräver en (helt automatiserad) reaktion från den utlämnande myndigheten, och ger användaren samma momentana svar som vid direktåtkomst, föreligger inte direktåtkomst. Frågan om det finns skäl att upprätthålla en åtskillnad mellan direktåtkomst och andra former av elektroniskt informationsutbyte blir därmed även en fråga om att särreglera vissa tekniska lösningar. Därmed bör det kunna ifrågasättas om en begränsande reglering av utlämnande genom direktåtkomst är förenlig med målsättningen om att skyddet
för fysiska personer ska vara teknikneutralt och inte beroende av den teknik som används, för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås.
Kraven på inbyggt dataskydd och dataskydd som standard (se avsnitt 11.5.3) är vidare något som alla personuppgiftsansvariga i dag måste uppfylla, oavsett hur omfattande eller komplicerad behandlingen är.171 Det bör enligt vår mening tolkas som att kraven på inbyggt dataskydd och dataskydd som standard är desamma oavsett vilken teknisk lösning som används. Med utgångspunkt i ansvarsprincipen (artiklarna 5.2 och 24.1 i dataskyddsförordningen) måste utlämnande och mottagande myndigheter i samverkan utarbeta tekniker för informationsutbyte som är säkra och ändamålsenliga oberoende av vilken teknik som bedöms vara mest lämplig i det enskilda fallet och hur den klassificeras rättsligt i den nationella rätten. Här bör även nämnas att befintliga system för utlämnande omfattas av samma krav på inbyggt dataskydd och dataskydd som standard som nya system. Om ett äldre system inte redan uppfyller kraven på inbyggt dataskydd och dataskydd som standard, och ändringar inte kan göras för att uppfylla kraven, uppfyller det inte kraven i dataskyddsförordningen. Det får då inte användas för att behandla personuppgifter genom utlämnande, oaktat hur systemet skulle klassificeras rättsligt.172
Det förhållandet att den utlämnande myndigheten inte har kontroll över vilka uppgifter mottagarmyndigheten vid varje enskilt tillfälle tar del av har tidigare angetts som grund för att direktåtkomst till personuppgifter från integritetssynpunkt är en särskilt känslig form av elektronisk utlämnande som bör särregleras i den kompletterande dataskyddsregleringen (se t.ex. avsnitten 11.3.1 och 11.4.1). Elektronisk informationsöverföring mellan myndigheter som inte utgör direktåtkomst kan dock i dag innebära att information utbyts nattetid och att begärd information skickas från den utlämnande myndigheten till en brevlåda hos mottagaren, exempelvis genom s.k. batchkörningar där uppgifter lämnas i bulk. Batcher används ofta när det är stora uppgiftsmängder som behöver levereras för uppdatering m.m. Det kan även röra sig om fråga-svar-system som likt LEFI Online lämnar information momentant. Tidigare har det gjorts gällande att den utlämnande myndigheten i dessa situationer har möjlighet att
171 Jfr Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt data-
skydd och dataskydd som standard, Version 2.0, s. 5.
172 Jfr Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt data-
skydd och dataskydd som standard, Version 2.0, s. 32.
stoppa överföringen i det enskilda fallet. Den fördröjning eller automatiserade kontroll som är inbyggd i tekniken vid sådant uppgiftslämnandet innebär dock normalt endast en teoretisk möjlighet för den utlämnande myndigheten att kontrollera vilken information som ska lämnas ut. Sekretessprövningen, eller prövningen av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas ut utan någon sekretessprövning, sker i stället i samband med att den tekniska förbindelsen upprättas. Detta gäller alltså både vid direktåtkomst och vid annat elektroniskt utlämnande. Någon manuell prövning i samband med utlämnandet sker inte vare sig vid överföringar i moderna system som inte klassas som direktåtkomst, eller vid direktåtkomst.
Även om det finns en teoretisk möjlighet att stoppa en överföring vid annat elektroniskt utlämnande än direktåtkomst borde det normalt vara först efter att en eventuell felaktighet upptäckts som åtgärder vidtas. Vid direktåtkomst har den utlämnande myndigheten en liknande möjlighet att hindra vidare utlämnande genom att stänga förbindelsen, vilket exempelvis bör kunna bli aktuellt om det framkommer tecken på att hanteringen hos mottagaren inte uppfyller de krav på säkerhet och skydd som avtalats, eller om uppgifterna inte behandlas för legitima ändamål hos den mottagande myndigheten.173En rättslig möjlighet att medge en annan myndighet direktåtkomst medför nämligen inget krav på att sådan åtkomst alltid måste medges. Den tekniska utvecklingen har följaktligen medfört att skillnaderna mellan direktåtkomst och annat elektroniskt utlämnande blivit begränsade i detta avseende.
Även Informationsutredningen konstaterade att begreppet direktåtkomst var svårt att avgränsa sakligt i förhållande till annat ”näraliggande” elektroniskt utlämnande. Enligt utredningen kunde det tänkas förekomma ett författningsreglerat informationsutbyte som visserligen benämndes som direktåtkomst men där systemen för informationsutbytet var så pass finmaskigt kalibrerade att det inte uppstod någon överskottsinformation som mottagaren enligt någon absolut eller villkorad sökbegränsning inte fick ta del av, utan där mottagarens åtkomst faktiskt hade begränsats till enbart uppgifter som konkret behövdes (eller skulle komma att behövas) i verksamheten. Det kunde enligt utredningen även tänkas att system som klas-
173 Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radio-
anstalt s. 105.
sificerades som ett annat elektroniskt utlämnande vid närmare granskning kunde visa sig medföra överskottsinformation.174
Det är vidare inte otänkbart att ett system för direktåtkomst med användandet av nya tekniker skulle kunna medföra ett starkare inbyggt dataskydd än andra former av elektroniskt utlämnande. Eftersom myndigheter är rättsligt begränsade till att enbart behandla sådana uppgifter som är nödvändiga för deras verksamhet (se t.ex. avsnitten 3.5.2 och 9.2.3) bör den mottagande myndigheten ha funktioner för loggning och sökning, samt rutiner för uppföljning, som hindrar att medarbetare söker information som omfattas av direktåtkomsten men som inte behövs i verksamheten. Detta i syfte att kunna visa att den myndigheten inte behandlar personuppgifter på ett otillåtet sätt.
Med framtida teknik kan sådana säkerhetsåtgärder förväntas bli mer effektiva och exakta. Som framgår av avsnitt 11.5.3 förutsätter dataskyddsförordningens krav på inbyggt dataskydd och dataskydd som standard att den personuppgiftsansvariga vidtar åtgärder i det tekniska systemet som säkerställer att de grundläggande principerna för personuppgiftsbehandling efterlevs. Exempelvis kan en direktåtkomst utformas som en sök-och-visa-tjänst med inbyggda tekniska begränsningar som innebär att uppgifter inte kan hämtas till den mottagande myndigheten eller på annat sätt vidarebearbetas där. Möjligheten att kopiera eller hämta information som visas på en sida kan alltså rent tekniskt begränsas, liksom möjligheten att ta en s.k. skärmbild. Sådana funktioner är redan i dag vanliga i exempelvis applikationer för hantering av digitala betalningssätt eller bankärenden. Med framtida teknik kan sådana begränsningar förväntas bli än mer effektiva. Vid ett utlämnande genom direktåtkomst, med tillämpning av sådana tekniker, behåller den utlämnande myndigheten kontrollen över informationen på ett annat sätt än vid annat elektroniskt utlämnande.
Det är också sannolikt att framtida tekniska lösningar som motsvarar direktåtkomst kan kalibreras så att överskottsinformation kan begränsas till ett absolut minimum. Åtkomsten skulle exempelvis kunna utformas på så sätt att systemet på mottagarsidan utan undantag tillåter uppkoppling till systemet först i samband med att ett ärende registreras hos den mottagande myndigheten, och endast kan användas för att hämta information som faktiskt behövs i ärendet. Systemet på mottagarsidan kan också komma att kunna utformas på så sätt att någon åtkomst till överskottsinformation inte är möjlig ens
174SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 119.
för den mottagande myndighetens it-tekniker. Även om sådana säkerhetsåtgärder sannolikt inte helt kan upphäva integritetsrisker i form av bl.a. otillåten spridning så kan de medverka till att direktåtkomst i detta avseende innebär liknande eller mindre risker som andra former av elektroniskt utlämnande. Vid direktåtkomst gäller dessutom ofta den s.k. databassekretessen (se avsnitt 15.5). Om utlämnande genom direktåtkomst däremot fortsätter vara förbjudet i de fall det inte är uttryckligen tillåtet saknar myndigheterna möjlighet att välja en utlämnandeform som skulle komma att klassificeras som direktåtkomst oavsett att denna hade erbjudit ett förhöjt integritetsskydd.
Som vi konstaterat ovan minskar risken för inlåsningseffekter, till följd av oförutsedd teknikutveckling och till nackdel för skyddet för den personliga integriteten, om tekniken som används inte regleras i sak. Mycket förefaller därmed kunna vinnas på att göra begreppsbildningen kring elektroniskt utlämnande enklare, och att skapa en mer enhetlig struktur och systematik på området.
Vi anser sammanfattningsvis att det framstår som svårförenligt med målsättningen om teknikneutralitet att vid utformningen av den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten dra en skarp juridisk gräns mellan direktåtkomst och annat elektroniskt utlämnande. En reglering som inte gör en rättslig åtskillnad mellan direktåtkomst och annat utlämnande stämmer enligt vår bedömning bättre överens med dataskyddsförordningen.
11.7.3. Direktåtkomst i ljuset av EU:s dataskyddsförordning
Vår bedömning: EU:s dataskyddsförordning tillgodoser de behov
av insyn, enhetlighet, ansvarsfördelning och integritetsskydd som aktualiseras vid direktåtkomst.
Skälen för vår bedömning
En väl analyserad och förberedd direktåtkomst
Vår bedömning är att en väl analyserad och förberedd direktåtkomst, där de inblandade myndigheterna övervägt och löst frågor som rör sekretesskydd på ömse håll, vidtagit behövliga säkerhetsåtgärder, be-
gränsat eventuell överskottsinformation samt övervägt frågan om eventuella begränsningar i den mottagande myndighetens möjlighet att använda sig av de uppgifter som blir åtkomliga, inte behöver innebära större risker för den enskildes integritet än vid en annan form av elektroniskt utlämnande av personuppgifter. Detta var även Informationshanteringsutredningens bedömning (se avsnitt 11.4.1).175Genom Högsta förvaltningsdomstolens LEFI Online-avgörande bör den bedömningen dessutom anses ha fått ytterligare styrka, eftersom mer generella frågor om integritetsskydd därigenom kan sägas ha kopplats bort från frågan om direktåtkomst föreligger eller inte. Avgörandet rörde i och för sig begreppet direktåtkomst enligt socialförsäkringsbalken, men domstolen har senare gett det generell tilllämplighet (HFD 2020 not 16). Som framgår av avsnitt 11.4.2 utgår bedömningen i dag från om den utlämnande myndigheten reagerar på en begäran om utlämnande eller inte. Såvitt framgår av LEFI Online-avgörandet förefaller det inte tillmätas någon betydelse hur den reaktionen är utformad.
Vi bedömer att de integritetsrisker som direktåtkomst kan medföra är att de inblandade myndigheterna inte beaktar de särskilda frågor och krav på skydd för enskilda som en sådan åtkomst ger upphov till, eller att det inte ägnas uppmärksamhet åt frågor som är förknippade med att myndigheternas gränser på ett sätt kan sägas öppnas upp. Att respektive myndighets ansvar för både verksamhet, säkerhet och personuppgifter inte klargörs inför inrättandet av en direktåtkomst utgör också en risk. Om någon rättslig åtskillnad mellan olika former av utlämnande inte upprätthålls skulle det kunna hävdas att dessa frågor riskerar att inte få den uppmärksamhet som behövs för att på ett tillfredsställande sätt skydda den enskildes integritet. Ett annat skäl för att upprätthålla en åtskillnad mellan olika former av elektroniskt utlämnande skulle kunna vara att det anses finnas ett behov av överblick över rättsområdet och ett intresse av att verka för enhetlighet vid avvägningar mellan effektivitet och integritet, och i fråga om på vilken nivå kraven på t.ex. informationssäkerhet bör ligga.
Frågan är då om dessa risker, mot bakgrund av den rättsliga utvecklingen och särskilt antagandet av EU:s dataskyddsförordning, utgör skäl för att anse att direktåtkomst även fortsättningsvis bör regleras särskilt för att vara tillåten.
175SOU 2015:39, Myndighetsdatalag, s. 151.
Dataskyddsförordningens övergripande syfte
I dag är dataskyddsförordningen den primära rättskällan i dataskyddsfrågor, vilket även gäller för Skatteverket, Tullverket och Kronofogdemyndigheten. Dataskyddsförordningen ska tillämpas av myndigheterna på precis samma sätt som om den vore en svensk författning. Som redan framgått reglerar inte dataskyddsförordningen hur behandling av personuppgifter rent tekniskt ska gå till, vare sig vid utlämnande eller vid behandling för andra ändamål. Däremot anger den inledande artikeln syftet med förordningen; att fastställa bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter, skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter och att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.176 Av skäl 10 till dataskyddsförordningen framgår även att för att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen.
Enligt dataskyddsförordningen är det tillåtet, och krävs i vissa fall, att i nationell rätt införa eller behålla regler som närmare reglerar myndigheters personuppgiftsbehandling. Det övergripande syftet förefaller dock vara att skapa ett enhetligt och likvärdigt skydd för personuppgifter i hela unionen. De grundläggande krav som ställs upp är exempelvis generellt tillämpliga på alla former av behandling (se avsnitt 3.5.2). I andra sammanhang har vi bedömt att kompletterande dataskyddsreglering enbart bör införas om det är nödvändigt för att uppfylla dataskyddsförordningens krav, eller om allmänna dataskyddsbestämmelser inte utgör en tillfredsställande reglering (se exempelvis avsnitt 5.2.3 och avsnitt 14.7 om rättslig grund för dataanalyser och urval). Vi anser att även i frågan om utlämnandeformer bör utgångspunkten vara att eventuell kompletterande dataskyddsreglering bör
176 Artikel 1.1–3 i dataskyddsförordningen.
utgå från identifierade risker som inte får en tillfredsställande reglering genom de generella bestämmelserna.
I dataskyddsförordningens kapitel VI och VII finns vissa bestämmelser som är särskilt viktiga avseende hur en enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter ska säkerställas. Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av dataskyddsförordningen, vilket i Sverige är IMY. Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning i hela unionen och ska samarbeta såväl sinsemellan som med kommissionen.177 Samarbetet ska ske genom en särskild mekanism för enhetlighet.178
Som tidigare nämnts ska den personuppgiftsansvarige enligt artikel 35.1 göra en konsekvensbedömning om en ny behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter och friheter. Vid denna bedömning ska den personuppgiftsansvarige bl.a. göra en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena med behandlingen. Av dataskyddsförordningen framgår vidare att det ibland kan vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- eller behandlingsplattform.179
Av artikel 35.4 följer att IMY ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd. Den ovan nämnda mekanismen för enhetlighet föreskriver att EDPB ska avge ett yttrande över en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4.180 Av den förteckning IMY upprättat framgår att en konsekvensbedömning avseende dataskydd ska göras om den planerade behandlingen uppfyller minst två av bl.a. följande kriterier:181
177 Artikel 51.1 och 51.2 i dataskyddsförordningen och 2a § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten. 178 Artikel 63 och kapitel VII i dataskyddsförordningen. 179 Skäl 92 till dataskyddsförordningen. 180 Artikel 64.1 a i dataskyddsförordningen. Europeiska dataskyddsstyrelsen består av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare, se artikel 68 i dataskyddsförordningen. 181 IMY, Förteckning enligt artikel 35.4 i Dataskyddsförordningen, DI-2018-13200, s. 3.
- Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade.
- Behandlar känsliga personuppgifter enligt artikel 9 eller uppgifter som är av mycket personlig karaktär.
- Behandlar personuppgifter i stor omfattning.
- Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig, till exempel när man samkör register.
- Använder ny teknik eller nya organisatoriska lösningar.
Beroende på de rättsliga förutsättningarna för ett planerat uppgiftslämnande, exempelvis avseende sekretessbestämmelser, regler för personuppgiftsbehandling vid den mottagande myndigheten, uppgifternas karaktär, syftet med och omfattningen av utlämnandet kan personuppgiftsansvariga myndigheter som överväger att upprätta en direktåtkomst enligt dataskyddsförordningen vara skyldiga att upprätta en konsekvensbedömning. I situationer där det är osäkert om en konsekvensbedömning är nödvändig bör en sådan ändå utföras, eftersom det är ett användbart verktyg för att hjälpa personuppgiftsansvariga att iaktta dataskyddslagstiftningen.182
Om det av en konsekvensbedömning framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och säkerhetsmekanismer kommer att innebära en hög risk, och den personuppgiftsansvariga anser att risken inte kan begränsas genom rimliga åtgärder, så bör samråd hållas med IMY innan behandlingen inleds.183 Om IMY efter ett sådant förhandssamråd anser att den planerade behandlingen skulle strida mot dataskyddsförordningen, särskilt om den personuppgiftsansvariga myndigheten inte i tillräcklig utsträckning har fastställt eller reducerat risken, har IMY möjlighet att införa en tillfällig begränsning av eller ett förbud mot behandlingen.184
182 Artikel 29-arbetsgruppen för skydd av personuppgifter, Riktlinjer om konsekvensbedömning
avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 17/SV WP 248 rev. 01, s. 9. Här kan också näm-
nas att personuppgiftsansvariga även på ett generellt plan är skyldiga att ha dokumentation som visar att behandling utförs i enlighet med dataskyddsförordningen, vilket framgår av artikel 5.2 och artikel 24.1. 183 Skäl 94 till dataskyddsförordningen. 184 Artiklarna 36.2 och 58.2 f i dataskyddsförordningen.
I dataskyddsförordningen finns det alltså inte enbart generella principer och krav som de personuppgiftsansvariga måste tillgodose, utan även en tydlig ordning för hur utvärdering, bedömning och prövning av en särskilt riskfylld behandling av personuppgifter ska genomföras. Mot bakgrund av dataskyddsförordningens övergripande syfte, och särskilt hur det manifesteras i tillsynsmyndigheternas befogenheter och skyldigheter avseende en enhetlig tillämpning, är vår bedömning att det behov av enhetlighet som skulle kunna utgöra ett skäl för en fortsatt rättslig åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande tillgodoses av dataskyddsförordningen. Vi anser därför inte att det finns skäl att nationellt göra en rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande utifrån behovet av enhetlighet.
Dataskyddsförordningens grundläggande principer för behandling, krav på säkerhet och bestämmelser om registrerades rättigheter
I avsnitt 3.2.5 har vi redogjort för de grundläggande principer som enligt dataskyddsförordningen ska tillämpas vid all behandling av personuppgifter. Begreppen personuppgiftsansvarig och gemensamt personuppgiftsansvariga spelar en viktig roll vid tillämpningen eftersom de fastställer vem som ska ansvara för efterlevnaden av olika dataskyddsbestämmelser och hur registrerade personer kan utöva sina rättigheter i praktiken.185 Personuppgiftsansvarig är den myndighet som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Enligt den s.k. ansvarsprincipen är det den myndighet som, enligt författning eller efter en analys av de faktiska förhållandena i det enskilda fallet, är personuppgiftsansvarig som också åläggs ansvaret för all behandling av personuppgifter som den utför eller som utförs på myndighetens vägnar. Personuppgiftsansvarig myndighet är skyldig att vidta åtgärder och att kunna visa att behandlingen som myndigheten utför är förenlig med dataskyddsförordningen.186
Gemensamt personuppgiftsansvar kan uppstå när mer än en aktör är involverad i behandlingen. I dataskyddsförordningen finns särskilda
185 EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgifts-
biträde i GDPR, Version 2.0, s. 3.
186 Jfr artikel 24.1 och skäl 74 till dataskyddsförordningen samt EDPB, Guidelines 07/2020 on
the concepts of controller and processor in the GDPR, Version 2.1, s. 3.
regler för gemensamt personuppgiftsansvariga som ger ett ramverk för att styra relationen mellan parterna. Gemensamt personuppgiftsansvariga ska bl.a. under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter, särskilt avseende skyldigheterna att tillhandahålla information, om inte dessa skyldigheter framgår av unionsrätten eller nationell rätt. Det krävs dock att behandlingen inte skulle vara möjlig utan båda parternas deltagande i betydelsen att behandlingen från varje part är oskiljbar. Det gemensamma deltagandet måste inkludera fastställandet av behandlingsändamålet å ena sidan och fastställandet av behandlingssättet å andra sidan.187
Utöver de grundläggande principerna för behandling (bl.a. uppgiftsminimering, ändamålbegränsning och lagringsminimering) innehåller dataskyddsförordningen även flera instruktioner, eller förfarandebestämmelser, som styr hur den personuppgiftsansvariga är skyldig att agera för att skyddet för den personliga integriteten ska upprätthållas i det enskilda fallet. Begreppet ”risk” är centralt i dessa sammanhang och det som avses är risker för fysiska personers rättigheter och friheter. Främst avses integritetsrisker men det kan också vara andra grundläggande rättigheter, exempelvis yttrandefrihet, rätten att inte bli utsatt för diskriminering och rätten till religionsfrihet.188Någon definition av vad begreppet risk rent konkret innebär finns dock inte i dataskyddsförordningen. Däremot anges exempel på när risker typiskt sett kan uppkomma. Det är bl.a. vid behandling av känsliga personuppgifter eller vid personuppgiftsbehandling som skulle kunna medföra immateriella skador, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, hinder mot registrerades möjlighet att utöva kontroll över sina personuppgifter, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.189Hur sannolik och allvarlig risken är ska fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken ska vidare utvärderas genom en objektiv bedömning som fastställer om behandlingen medför en risk eller en hög risk.190
187 Artikel 26 i dataskyddsförordningen och EDPB, Riktlinjer 07/2020 angående begreppen
personuppgiftsansvarig och personuppgiftsbiträde i GDPR, Version 2.0, s. 3.
188 Jfr Artikel 29-arbetsgruppen för skydd av personuppgifter, Statement on the role of a risk-
based approach in data protection legal frameworks, 14/EN WP 218 s. 4.
189 Skäl 75 till dataskyddsförordningen. 190 Skäl 76 till dataskyddsförordningen.
Regleringen är ofta utformad på så sätt att den personuppgiftsansvariga åläggs en mer eller mindre specifik skyldighet att agera med utgångspunkt i de risker som en viss behandling bedöms föra med sig.191 Exempelvis har vi i avsnittet ovan redogjort för den personuppgiftsansvarigas skyldighet att göra en konsekvensbedömning, och eventuellt även samråda med IMY, om en ny behandling sannolikt bedöms leda till en hög risk. Personuppgifter ska dessutom enligt artikel 32.1 alltid behandlas på ett sätt som med användning av tekniska och organisatoriska åtgärder säkerställer lämplig säkerhet för personuppgifterna i förhållande till risken, bl.a. avseende förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen. Dataskyddet ska vidare enligt artikel 25.1 byggas in i de tekniska systemen för informationshantering och utformas bl.a. med hänsyn till de risker behandlingen för med sig (se avsnitt 11.5.3).
Utöver bestämmelser som ålägger personuppgiftsansvariga myndigheter en skyldighet att agera för att på ett effektivt sätt minimera riskerna vid behandling av personuppgifter, och särskilda förfaranderegler vid särskilt hög risk och vid gemensamt personuppgiftsansvar, finns även flera bestämmelser som ålägger personuppgiftsansvariga skyldigheter direkt i förhållande till de personer om vilka uppgifter behandlas. Personuppgiftsansvariga har exempelvis som utgångspunkt en långtgående informationsskyldighet gentemot de registrerade, enligt den s.k. öppenhetsprincipen.192 Öppenhetsprincipen kräver bl.a. att all information och kommunikation i samband med behandlingen är lättillgänglig och lättbegriplig och att ett klart och tydligt språk används. Det gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen. De registrerade ska dock även få information om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen.193
Vid gemensamt personuppgiftsansvar ska även arrangemanget mellan de personuppgiftsansvariga göras tillgängligt för den registre-
191 Artikel 29-arbetsgruppen för skydd av personuppgifter har dock understrukit att de registrerades rättigheter, som garanteras av unionsrätten, alltid ska respekteras oberoende av risknivå, se Statement on the role of a risk-based approach in data protection legal frameworks, 14/EN WP 218 s. 3. 192 Se artiklarna 13–15 i dataskyddsförordningen. 193 Skäl 39 till dataskyddsförordningen.
rade, vilket innebär att det måste det vara fullständigt klart för den registrerade vilken personuppgiftsansvarig som han eller hon kan kontakta om han eller hon avser att utöva en eller flera av sina rättigheter enligt dataskyddsförordningen.194 I situationer där erhållande eller utlämnande av personuppgifter föreskrivs genom EU-rätten eller nationell rätt görs undantag från vissa krav på personuppgiftsansvariga att tillhandahålla information till de registrerade. Detta undantag kräver dock att det finns lämpliga åtgärder för att skydda den registrerades berättigade intressen.195 Även i dessa situationer bör personuppgiftsansvariga myndigheter dessutom som utgångspunkt klargöra för de registrerade att personuppgifter erhålls och utlämnas i enlighet med bestämmelsen i fråga.196
Som nämnts inledningsvis kan risken för att frågor om dataskydd och ansvar för verksamhet, säkerhet och personuppgifter inte får den uppmärksamhet som krävs för att skydda den enskildes integritet utgöra ett argument för upprätthålla en rättslig åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande. Även frågan om information till den enskilde får anses vara en viktig aspekt i sammanhanget. Genom dataskyddsförordningens ansvarsprincip ställs dock i dag ett flertal krav på personuppgiftsansvariga (myndigheten eller myndigheterna) att vidta åtgärder baserat på den risk en potentiell behandling innebär. Det bör i relation till utlämnande genom direktåtkomst tolkas som ett krav från den utlämnande myndighetens sida på exempelvis robusta behörighetskontroller, loggning och begränsningar av åtkomst till personuppgifter hos den mottagande myndigheten. Vidare bör dataskyddsförordningen i sammanhanget anses ställa krav på lösenordskyddade nätverk och enheter, kryptering vid överföringen, utbildning i dataskyddsfrågor, i själva anslutningen inbyggda begränsningar av den mottagande myndighetens åtkomst och sökmöjligheter, samt andra tekniska avgränsningar av tillgänglig information, och särskilt avseende överskottsinformation. Förordningen bör även anses ställa krav på den utlämnande myndigheten att, både innan en direktåtkomst upprättas och under tiden den är aktiv, granska och bedöma risker även avseende den behandling som kan komma att utföras hos den mottagande myndigheten samt bedöma
194 Artikel 29-arbetsgruppen för uppgiftsskydd [sic!], Riktlinjer om öppenhet enligt förordning
(EU) 2016/679, 17/SV WP260rev.01, s. 24 samt artikel 26.2 i dataskyddsförordningen.
195 Artikel 14.5 c i dataskyddsförordningen. 196 Artikel 29-arbetsgruppen för uppgiftsskydd [sic!], Riktlinjer om öppenhet enligt förordning (EU) 2016/679, 17/SV WP260rev.01, s. 33.
om de skyddsåtgärder den mottagande myndigheten inför är effektiva, samt vid tecken på ökade risker för de registrerade stänga eller ytterligare begränsa åtkomsten.197 Dataskyddsförordningen innehåller också bestämmelser som tydliggör vad som ska gälla vid delat personuppgiftsansvar, och om hur personuppgiftsansvariga ska informera de registrerade om den behandling som sker.
Vår sammantagna bedömning är därför att behovet av att ge frågor om dataskydd och respektive myndighets ansvar för verksamhet, säkerhet och personuppgifter den uppmärksamhet som krävs för att skydda den enskildes integritet, i dag tillgodoses av dataskyddsförordningens bestämmelser. Vi anser därför att det inte finns skäl för att göra en rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande utifrån det behovet.
11.7.4. Proportionalitetskravet enligt artikel 6.3 i dataskyddsförordningen
Vår bedömning: Att inte göra en rättslig åtskillnad mellan direkt-
åtkomst och andra former av elektroniskt utlämnande är avseende utlämnande från Skatteverket, Tullverket och Kronofogdemyndigheten förenligt med kravet på att den rättsliga grunden ska vara proportionerlig mot det legitima mål som eftersträvas.
Skälen för vår bedömning
En högre risk?
Vid alla former av utlämnande från en myndighet till en annan finns det en risk för att uppgifterna behandlas på ett annat sätt än som ursprungligen varit avsikten, eller i ett sammanhang där de inte behövs. Det gäller oavsett om utlämnande sker med digitala hjälpmedel eller analogt. Regeringen har dessutom nyligen, i ett lagstiftningsärende avseende i vilken form uppgifter ska lämnas mellan olika aktörer inom vården, uttalat att det inte [längre] är en stor skillnad mellan
197 I avsnitt 11.3.2 har vi redogjort för att det i den nuvarande regleringen för Skatteverkets beskattningsverksamhet finns exempel på bestämmelser som anger att direktåtkomst får medges först sedan innan Skatteverket har försäkrat sig om att behörighetsfrågorna hos mottagaren är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt. Mot bakgrund av de krav dataskyddsförordningen ställer upp bör det i dag anses vara en form av dubbelreglering.
direktåtkomst och en elektronisk fråga-svar-funktion vad gäller risken för integritetsintrång.198 Om en direktåtkomst inte är väl förberedd och de informationssäkerhetsfrågor den ger upphov till inte har hanterats kan det dock vara en utlämnandeform som kan medföra en högre risk för de registrerade än andra former av elektronisk informationsöverföring.
Ett utlämnande av uppgifter genom direktåtkomst kan också innebära att en större mängd uppgifter än vid annan informationsöverföring kan komma att behandlas i ett annat sammanhang än som ursprungligen avsetts. Som framgår av avsnitt 11.2.2 medför direktåtkomst nämligen att samtliga uppgifter som åtkomsten omfattar anses utlämnande till, och även förvarade hos, den mottagande myndigheten i samma stund anslutningen upprättas och är aktiv. Enligt offentlighetsprincipen kan den mottagande myndigheten därmed ha en skyldighet att söka fram och behandla personuppgifter ur överskottsinformation som ett led i att handlägga en begäran om utlämnande av allmän handling, trots att den myndigheten för egen del inte har något behov av eller rätt att ta del av handlingarna.199
Det har tidigare gjorts såväl grundlagsändringar som ändringar i vanlig lag i syfte att handlingsoffentligheten i fråga om elektronisk information inte ska få proportioner som bedömts som orimliga eller olämpliga. Ändringar i sekretessregleringen har även gjorts, vilket i dag kan medföra att uppgifterna får ett starkare skydd hos den mottagande myndigheten vid direktåtkomst än vid andra former av utlämnande (se avsnitt 11.2.2 och avsnitt 15.5). I övrigt har det främst varit genom införande av eller ändringar i kompletterande dataskyddsreglering som integritetsskydd har skapats för att minska handlingsoffentlighetens faktiska räckvidd i fråga om myndigheters behandling av personuppgifter.200
Som redan nämnts har lagstiftaren tidigare bedömt att direktåtkomst är en så integritetskänslig form av personuppgiftsbehandling att den i princip endast är tillåten om det finns stöd för den i lag.201Det innebär att riksdagen har tagit ställning om uppgiftslämnande på detta sätt varit proportionerligt, och vägt frågan om integritetsskydd mot behovet av ett effektivt informationsutbyte.
198Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79. 199 Jfr SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 136. 200 Se redogörelsen i SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 134. 201 Jfr bl.a. redogörelsen i SOU 2010:4, Allmänna handlingar i elektronisk-form – offentlighet
och integritet, s. 133–134 och 365.
Måste direktåtkomst regleras särskilt för att vara proportionerlig?
Om någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande inte görs i den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten blir det i stället upp till respektive myndighet att utvärdera och bedöma behovet, tillämpliga sekretessbrytande regler och integritetsriskerna, och därefter ta ställning till vilken teknisk lösning som ska användas vid ett utlämnande. Myndigheterna kan då komma att, efter ett eventuellt samråd med IMY (se avsnitt 11.7.3), upprätta system för direktåtkomst, utan att lagstiftaren tagit ställning till om de konsekvenser som direktåtkomsten medför i det enskilda fallet är proportionerliga i förhållande till syftet med det aktuella informationsutbytet.
Utan begränsningar av när direktåtkomst är tillåten skulle det därmed kunna ifrågasättas om kravet enligt artikel 6.3 sista stycket i EU:s dataskyddsförordning är uppfyllt, avseende att den rättsliga grunden för behandlingen ska vara proportionerlig mot det legitima mål som eftersträvas.202 Dataskyddsförordningen ställer nämligen krav på att det i den nationella rätten ska finnas lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i vissa situationer (se exempelvis artiklarna 9.2 g och 14.5 c). En begränsning av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst skulle kunna anses vara en sådan åtgärd.
I frågan om proportionaliteten av den rättsliga grunden för myndigheternas personuppgiftsbehandling vid elektroniskt utlämnande anser vi dock att de rättigheter för enskilda och skyldigheter för myndigheter som finns i den allmänna dataskyddsregleringen, det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr myndigheternas verksamhet också måste beaktas. Dataskyddsförordningen ska tillämpas av myndigheterna som vore det en svensk författning. Som vi konstaterat ovan bör det inte vara möjligt för en myndighet att iaktta dataskyddsförordningens bestämmelser utan
202 Ett system för informationsöverföring mellan myndigheter som på ett tekniskt plan motsvarar direktåtkomst, i det avseendet att den utlämnande myndigheten inte reagerar på en begäran från den mottagande myndigheten, är såvitt vi kunnat utröna inte prövat av EU-domstolen i fråga om en rättslig grund som tillåter sådant kan anses proportionerlig, eller i överensstämmelse med dataskyddsförordningens övriga bestämmelser. Något avgörande som dessutom behandlar de särskilda konsekvenser offentlighetensprincipen för med sig vid utlämnande genom direktåtkomst finns såvitt vi kunnat se inte heller.
att ägna tillräcklig uppmärksamhet åt frågor om informationssäkerhet vid utlämnande genom direktåtkomst. En mottagande myndighet kan vidare inte följa dataskyddsförordningens bestämmelser utan att begränsa medarbetarnas möjlighet att behandla personuppgifter, vilket självfallet även gäller för sådana uppgifter som utgör överskottsinformation. Överskottsinformation är per definition sådan information som den mottagande myndigheten saknar legitim grund för att behandla i sin verksamhet.
En självklar utgångspunkt bör dessutom vara att svenska myndigheter iakttar gällande rätt i övrigt, även i situationer där formen för ett föreskrivet uppgiftslämnande övervägs. I gällande rätt finns i många fall redan ett skydd för den personliga integriteten, också avseende uppgifter som utgör överskottsinformation. Det rör sig om sekretessregler i nationell rätt (eller unionsrätten), förvaltningslagens (2017:900) bestämmelser – med bl.a. krav på legalitet, objektivitet och proportionalitet – liksom myndighetsförordningens (2007:515) krav på myndigheter att följa gällande rätt (jfr avsnitt 5.2.6 och 8.4.2). Utöver skyldigheten att lämna uppgifter har personuppgiftsansvariga myndigheter även att iaktta dessa bestämmelser i samband med informationsöverföringen.
Trots det nyss sagda kan det hävdas att frånvaron av särskild reglering av när direktåtkomst är tillåten ändå kan medföra en oacceptabelt hög risk för enskilda vars uppgifter behandlas, vilket av det skälet talar för en reglering. I avsnitt 11.7.3 har vi beskrivit förfarandet med konsekvensbedömningar och samråd med tillsynsmyndighet vid behandlingar som sannolikt medför en hög risk för fysiska personers rättigheter och friheter. Enligt artikel 35.10 behöver dock ingen konsekvensbedömning genomföras om behandlingen enligt artikel 6.1 c eller e har en rättslig grund i nationell rätt, och den grunden reglerar den specifika behandlingsåtgärden och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av den rättsliga grunden. I dataskyddsförordningen uppmärksammas att medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning i samband med antagandet av den nationella rätten som ligger till grund för utförandet av myndighetens uppgifter och som reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder.203 Sådana överväganden som hittills föregått bestämmelser som tillåter direkt-
203 Skäl 93 till dataskyddsförordningen.
åtkomst förefaller motsvara i vart fall vissa beståndsdelar i en konsekvensbedömning enligt dataskyddsförordningen (dvs. de risker som har identifierats och övervägts har bedömts som godtagbara).
Dataskyddsförordningen ställer dock inte upp något krav på att lagstiftaren ska ha genomfört en konsekvensbedömning i samband med införandet av den rättsliga grund som den särskilt riskfyllda behandlingen vilar på. Det enda som anges avseende denna fråga är att om så inte har skett behöver den personuppgiftsansvarige själv genomföra en sådan, och då eventuellt även samråda med den nationella tillsynsmyndigheten som har möjlighet att förbjuda behandlingen. Dataskyddsförordningen ställer därmed inte upp något krav på att en särskilt riskfylld behandling måste regleras särskilt. Att en rättslig grund enligt artikel 6.1 c eller e inte särskilt reglerar ett visst förfarande för behandling som kan innebära en hög integritetsrisk – om förordningens övriga bestämmelser inte iakttas – bör alltså inte i sig anses medföra att den rättsliga grunden framstår som oproportionerlig enligt artikel 6.3 i dataskyddsförordningen. Behandlingen måste dock alltid uppfylla de grundläggande principerna för behandling och uppgifter måste behandlas på ett lagligt sätt.204
Som vi tidigare påpekat kan direktåtkomst dessutom vara att föredra i vissa situationer, exempelvis om den utlämnande myndigheten av integritetsskäl vill förhindra att uppgifterna hämtas till och bearbetas hos den mottagande myndigheten. Den utlämnande myndigheten kan då bygga in säkerhetsfunktioner som innebär att den mottagande myndigheten enbart kan läsa uppgifterna, men inte kopiera eller i övrigt bearbeta dem. Direktåtkomst kan även vara att föredra om syftet med behandlingen hos den utlämnande myndigheten är informationsförsörjning. Vid direktåtkomst förekommer inte heller den särskilda formen av överskottsinformation som kan bli resultatet av andra former av utlämnande (jfr avsnitt 11.2.3).
Att de överväganden som krävs inför upprättandet av en direktåtkomst görs på myndighetsnivå bör enligt vår bedömning inte i sig medföra att den rättsliga grunden framstår som oproportionerlig. Behovsbedömningar och prövningar av detta slag får i stället anses vara en naturlig del i myndigheters verksamhet där utlämnandefrågor aktualiseras, oavsett formen för utlämnandet.
204 Artikel 5 och skäl 39 till dataskyddsförordningen.
Måste direktåtkomst regleras särskilt utifrån 2 kap. 6 § andra tycket RF?
Informationshanteringsutredningen konstaterade att det enligt gällande rätt inte fanns något generellt krav på att en direktåtkomst uttryckligen har reglerats för att den skulle få förekomma.205 I 2 kap. 6 § andra stycket regeringsformen, RF föreskrivs dock att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Syftet med bestämmelsen är att stärka grundlagsskyddet för vissa kvalificerade intrång i den personliga integriteten, dvs. sådana som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF, vilket framgår av 2 kap. 20 § RF (se avsnitt 3.2.4 och avsnitt 6.2).
Som vi redogjort för tidigare innebär direktåtkomst normalt att de uppgifter som åtkomsten omfattar rent tekniskt är tillgängliga för den mottagande myndigheten när direktåtkomsten är aktiv. Det kan tolkas som att delar av myndigheternas uppgiftssamlingar sammanförs när en direktåtkomst är aktiv, vilket kan bedömas utgöra övervakning eller kartläggning av enskilda. Om bedömningen är att det utökade grundlagsskyddet kräver att utlämnandet ska regleras särskilt, bör det också leda till att den rättsliga grunden för utlämnandet inte kan anses vara proportionerlig i dataskyddsförordningens mening utan sådan reglering.
I normalfallet bör dock ett i övrigt tillåtet informationsutbyte inte utgöra ett sådant intrång som skyddas av det utökade grundlagsskyddet enbart av den anledningen att informationsöverföringen sker genom direktåtkomst. Som vi tidigare nämnt kräver dataskyddsförordningen att de inblandande myndigheterna vidtar både tekniska och organisatoriska åtgärder, samt bygger in dataskydd i sina tekniska system, i syfte att bl.a. begränsa tillgången till personuppgifter och minimera omfattningen av de uppgifter som behandlas. Särskilt direktåtkomst till sekretessreglerade uppgifter kräver att de uppgifter som avses är tydligt avgränsade och att behovet av uppgifterna hos den mottagande myndigheten är klarlagt. Direktåtkomst innebär alltså inte någon generell sammanslagning av olika myndigheters informa-
205SOU 2015:39, Myndighetsdatalag, s. 393–394.
tionshanteringssystem. Den tekniska utvecklingen har dessutom medfört att det finns möjlighet att tekniskt begränsa åtkomsten för medarbetare på den mottagande myndigheten till enbart sådana uppgifter som inte utgör överskottsinformation. I normalfallet medför en direktåtkomst i dag inte att två myndigheters uppgiftssamlingar sammanförs och blir gemensamt tillgängliga i den mottagande myndigheten.
En direktåtkomst inrättas dessutom ofta för att effektivisera ett uppgiftsutbyte mellan myndigheter som redan äger rum. Om det tidigare uppgiftsutbytet sker med stöd av en sekretessbrytande bestämmelse som medger att uppgifter lämnas ut utan hinder av sekretess, borde den omständigheten att uppgiftsutbytet nu ska ske genom direktåtkomst inte i sig innebära att det sker något ytterligare intrång i enskildas personliga förhållanden.206
Vid en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen (se avsnitt 11.7.3) skulle dock bedömningen kunna bli att ett informationsutbyte genom direktåtkomst innebär en sådan kartläggning av enskilda som det utökade grundlagsskyddet avser. I avsaknad av en lagbestämmelse som tillät utlämnande i denna form skulle uppgiftsbytet behöva ske på annat sätt.
Det finns inte något generellt krav på att myndigheters elektroniska uppgiftslämnande ska regleras, däremot måste uppgiftslämnandet i sak ha stöd i rättsordningen. Den bestämmelse vi föreslår i avsnitt 11.7.5 klargör dock att elektroniskt utlämnande får ske om det inte är olämpligt. Bestämmelsen ger därmed lagstöd även för sådant utlämnande som sker genom direktåtkomst. De rättsliga förutsättningarna för att inrätta en ny direktåtkomst vid Skatteverket, Tullverket eller Kronofogdemyndigheten innehåller därmed en sådan begränsning som innebär att regleringen är förenlig med det stärkta grundlagsskyddet för vissa kvalificerade intrång i den personliga integriteten. Det eventuella kravet på lagstöd för utlämnande genom direktåtkomst blir alltså uppfyllt genom bestämmelser i de nya datalagarna.
206SOU 2015:39, Myndighetsdatalag, s. 209.
Skäl 41 till dataskyddsförordningen
Enligt skäl 41 till dataskyddsförordningen ska en rättslig grund för behandling av personuppgifter vara tydlig och precis och dess tilllämpning bör vara förutsägbar för personer som omfattas av den. Det skulle kunna argumenteras att om direktåtkomst inte reglerades skilt från annat elektroniskt utlämnande så skulle den rättsliga grunden för behandlingen inte uppfylla dataskyddsförordningens krav i detta avseende. De personer vars uppgifter enbart förekommer i överskottsinformation har nämligen inte möjlighet att förutse den behandlingen som tillhandahållandet genom direktåtkomst innebär. Här kan dock åter påpekas att vid mer omfattande informationsutbyte mellan myndigheter uppkommer i regel någon form av överskottsinformation, oavsett i vilken form utbytet sker. Det är en naturlig följd av att den mottagande myndigheten inte vet vilka uppgifter den utlämnande myndigheten förfogar över, och av att den utlämnande myndigheten inte vet vilka personer som är aktuella vid den mottagande myndigheten (se avsnitt 11.2.3). Direktåtkomst medför dock inte att den mottagande myndigheten rent faktiskt tar del av fler uppgifter än den är i behov av, eller att den utlämnande myndigheten tar del av uppgifter om personer som inte är aktuella där. Den överskottsinformation som andra former av elektroniskt utlämnande kan ge upphov till har inte ansetts behöva regleras särskilt för att vara tillåten. Det borde därför vara möjligt att hävda att det inte heller vid direktåtkomst krävs reglering av den faktiska behandlingen, utan att den bestämmelse som reglerar utlämnandet i sak (dvs. en bestämmelse som tillåter eller kräver att viss information ska lämnas ut) bör vara tillräcklig för att uppfylla de krav som ställs upp i skäl 41.
Offentlighetsprincipen
Frågan är då om det förhållandet att offentlighetsprincipen, med krav på allmänhetens insyn i myndigheters verksamhet, medför att en rättslig åtskillnad mellan olika former av uppgiftslämnande måste upprätthållas för att den rättsliga grunden ska vara proportionell.
Offentlighetsprincipen bör även i dataskyddssammanhang anses vara en stark rättssäkerhetsgaranti, i vart fall på ett generellt plan. Den utgör bl.a. en garanti för möjligheten till insyn i myndigheternas arbete, inklusive den personuppgiftsbehandling som sker inom ramen
för myndigheternas respektive verksamhet. Som nämnts tidigare framgår det också av artikel 86 i dataskyddsförordningen att personuppgifter i allmänna handlingar som förvaras av en myndighet för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten i enlighet med den unionsrätt eller den nationella rätt som myndigheten omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Uppgifter hos den utlämnande myndigheten som kan begäras ut hos den mottagande myndigheten vid direktåtkomst kan dessutom även alltid begäras ut hos den utlämnande myndigheten. Handlingarna blir alltså inte möjliga att begära ut enbart genom direktåtkomst. Det finns också vissa undantag i 2 kap. TF som kan medföra att inte alla uppgifter ska anses utgöra en allmän handling hos den mottagande myndigheten som inte aktualiseras hos den utlämnande myndigheten (se avsnitt 11.2.2). Sekretessregleringen medför också i många fall att sekretess gäller för uppgifter som utgör överskottsinformation vid direktåtkomst även hos den mottagande myndigheten.
Vi anser därmed att enbart det förhållande att uppgifter riskerar att få en större spridning vid direktåtkomst, som en konsekvens av offentlighetsprincipen, inte kan anses medföra att den rättsliga grunden för utlämnandet framstår som oproportionerlig om en rättslig skillnad mellan direktåtkomst och andra former av utlämnande inte upprätthålls.
11.7.5. Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt
Vårt förslag: Elektroniskt utlämnande ska vara tillåtet om det inte
är olämpligt.
Det ska finnas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Skälen för vårt förslag
Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt.
Kraven på myndigheter att utbyta information ökar generellt i samhället och regleringen av informationsutbytet i sak är både komplex och omfattande (se exempelvis avsnitt 13.4.1). Informationsflödena är normalt digitala eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.207 Vid Skatteverket, Tullverket och Kronofogdemyndigheten finns det därmed ett stort och legitimt behov av att kunna lämna ut personuppgifter elektroniskt.
Mot bakgrund av de överväganden vi redogjort för i avsnitten 11.7.2–11.7.4 föreslår vi att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det innebär att direktåtkomst inte längre behöver regleras särskilt för att vara tillåten och att myndigheterna ges möjlighet att utarbeta de nya system för informationsutbyte som bäst tillgodoser behoven av integritetsskydd och effektivitet i det enskilda fallet.
Begreppet elektroniskt utlämnande
I nuvarande registerförfattningar används begreppet utlämnande på medium för automatiserad behandling för sådant elektroniskt utlämnande som inte utgör direktåtkomst (se avsnitten 11.2.3 och 11.3.2). Begreppet är tydligt präglad av en annan tids informationshanteringsmöjligheter och framstår mot bakgrund av den tekniska utvecklingen som svårbegripligt. Det är sannolikt få personer som i dagligt tal skulle kalla exempelvis e-post för ett medium för automatiserad behandling.
I andra sammanhang har begreppet medium för automatiserad behandling övergetts till förmån för begreppet elektroniskt utlämnande, eller närliggande uttryck. Exempelvis används i domstolsdatalagen (2015:728) begreppet ”lämna ut elektroniskt”. Regeringen har uttalat att ett modernare uttryckssätt än utlämnande på medium för automatiserad behandling är att föredra och att det exempelvis i samband med översynen av registerförfattningarna på brottsdatalagens område var lämpligt att göra den förändringen.208 Även i samband med
207 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 47. 208Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 136.
införandet av lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter ansåg regeringen att det fanns skäl att utmönstra det äldre begreppet. Regeringen påpekade då att det endast rörde sig om en begreppsmässig modernisering men däremot inte någon ändring i sak.209 Även i lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, som träder i kraft den 1 januari 2024, används termen elektroniskt utlämnande. Regeringen konstaterade i lagens förarbeten att vad som avses har förändrats i takt med teknikutvecklingen, och att med dagens teknik kan utlämnande av information ske exempelvis genom e-post, på ett usb-minne eller genom direkt överföring från ett datorsystem till ett annat.210
Vi bedömer att termen medium för automatiserad behandling bör utmönstras även ur den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten. Som framgår ovan anser vi dock att det i dag inte längre finns skäl att göra någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. I syfte att göra regleringen enkel och flexibel, samt för största möjliga enhetlighet mellan här aktuell reglering och andra sektorsspecifika dataskyddsregleringar, bör inga nya begrepp införas. Direktåtkomst har dessutom vid flera tillfällen konstaterats vara en särskild form av just elektroniskt utlämnande. Vi anser därför att det är lämpligt att begreppet elektroniskt utlämnande, som omfattar både direktåtkomst och andra tekniska lösningar, används i de nya dataskyddslagarna.
Det innebär också att nya former av elektroniskt utlämnande som vi i dag inte känner till, men som kan komma att följa av den tekniska utvecklingen, också omfattas av bestämmelsen. Författningarna kommer därför inte att behöva ändras för att följa med den tekniska utvecklingen på området.
Olämplighetsrekvisitet
För att upprätthålla ett adekvat skydd för den personliga integriteten vid utlämnande i elektronisk form är det viktigt att inte fler uppgifter än nödvändigt lämnas ut och att utlämnandet sker på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd
209Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 56. 210Prop. 2022/23:43, Utbetalningsmyndigheten, s. 140.
mot obehörig eller otillåten behandling, genom lämpliga tekniska eller organisatoriska åtgärder. Detta är krav som följer direkt av dataskyddsförordningen. Som vi redan påpekat bör behovsbedömningar av detta slag anses vara en naturlig del i myndigheters verksamhet där utlämnandefrågor aktualiseras.
För att uppnå en ändamålsenlig avvägning mellan myndigheternas intresse av att på ett effektivt sätt lämna ut personuppgifter i elektronisk form och riskerna med att överföra uppgifter elektroniskt innehåller kompletterande dataskyddsreglering ofta en bestämmelse som anger när sådant utlämnande får ske. Den formulering som har valts i modernare författningar är att utlämnande får ske om det inte är olämpligt.211 Enligt vår uppfattning bör samma formulering användas i de nya datalagar som vi föreslår för Skatteverket, Tullverket och Kronofogdemyndigheten.
Den föreslagna bestämmelsen ska inte tolkas som att den medför en rätt för vare sig mottagande myndigheter eller enskilda att få ut uppgifter genom direktåtkomst eller någon annan form av elektronisk informationsöverföring. Bestämmelsen innebär därmed inte heller någon generell eller specifik skyldighet för vare sig Skatteverket, Tullverket eller Kronofogdemyndigheten att lämna ut uppgifter på ett visst sätt. All automatiserad behandling av stora mängder personuppgifter kan på ett generellt plan medföra risker från integritetssynpunkt. Ett omfattande elektroniskt utlämnande av personuppgifter kan innebära att uppgifterna får en större spridning, vilket ytterligare förhöjer riskerna. I slutbetänkandet av Kommittén för teknologisk innovation och etik (Komet) konstaterades att risker bl.a. finns i att användningsområdena, spridningen, utbytet samt vidareanvändningen av personuppgifter ökar. Ur den enskildes perspektiv innebär utvecklingen att kunskapen om hur uppgifterna hanteras, liksom möjligheten att påverka detta, hela tiden krymper i förhållande till den ökande hanteringen av personuppgifter i samhället.212 Därför är det inte säkert att en avvägning mellan behovet och riskerna i alla tänkbara fall medger att uppgifter över huvud taget lämnas ut elektroniskt, se
211 Jfr t.ex. 19 § första stycket kustbevakningsdatalagen (2019:429), 1 kap. 9 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 2 kap. 8 § andra stycket folkbokföringsdatabaslagen. Se även t.ex. 2 kap.9 § första stycket lag (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och 2 kap. 9 § första stycket lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 212SOU 2022:68, Förnya taktiken i takt med tekniken – förslag för en ansvarsfull, innovativ och
samverkande förvaltning, s. 145
exempelvis i avsnitt 11.2.3 om särskilda sekretessregler vid bl.a. massuttag.
Den föreslagna bestämmelsen är följaktligen inte tvingande för myndigheterna avseende att lämna ut personuppgifter elektroniskt. Det bestämmelsen innebär är att myndigheterna inte är rättsligt förhindrade att använda sig av direktåtkomst eller andra elektroniska former för informationsöverföring. Bestämmelsen ska alltså förstås på så sätt att den myndighet som innehar information som den får eller måste lämna ut har en rättslig möjlighet att medge direktåtkomst eller någon annan form av elektroniskt utlämnande, om det framstår som proportionerligt och lämpligt i förhållande till de omständigheter som är aktuella. När det övervägs på vilket sätt information ska överföras måste det, som vid all annan behandling, enligt dataskyddsförordningen göras ett flertal avvägningar mellan de intressen som talar för en viss teknisk lösning, och de integritetsskäl som talar emot (se t.ex. avsnitt 11.5.3).
När ett nytt system för regelbundet eller omfattande informationsutbyte utarbetas bör i normalfallet både den utlämnande och den mottagande myndigheten vara delaktiga i arbetet, oavsett hur systemet klassificeras rättsligt. Det bör exempelvis krävas gemensamma överväganden i fråga om vilka faktiska uppgifter mottagaren har ett behov av, hur dessa lämpligen ska avgränsas, hur kommunikationen mellan de olika it-systemen ska fungera och vilka övriga villkor som ska gälla för utlämnandet, innan ett uppgiftslämnande påbörjas. Den tekniska lösning som myndigheten väljer ska kunna utformas så att principerna för dataskydd iakttas vid behandlingen. I den mån principerna för dataskydd inte bedöms kunna iakttas vid en särskild form av informationsöverföring måste en annan form väljas.
Olämplighetsbedömningen
Frågan om elektroniskt informationsutbyte mellan myndigheter har diskuterats i olika sammanhang och flera utredningar har behandlat de avvägningar som behöver göras vid ett utökat elektroniskt uppgiftslämnande. I dessa sammanhang har bl.a. framhållits att skyddet för den personliga integriteten måste vägas mot de viktiga allmänintressen som kan motivera ett utökat informationsutbyte. Sådana
intressen kan vara att informationsutbytet leder till en ökad effektivitet hos myndigheter, att kontrollmöjligheterna förbättras eller att enskilda ges bättre service.213 Vi anser inte att en författningsreglering av när olika former för utlämnande får användas är en nödvändig förutsättning för att nå en ändamålsenlig avvägning mellan de olika intressen som måste beaktas.
Det skulle dock kunna ifrågasättas om det inte behövs en tydligare reglering avseende vilka konkreta omständigheter som medför att det är olämpligt att lämna ut personuppgifter elektroniskt, genom direktåtkomst eller på annat sätt. Som vi tidigare redogjort för bör dock denna bedömning göras med beaktande av de förhållanden som föreligger i det enskilda fallet. Exempelvis bör utformningen av eventuella sekretessbrytande bestämmelser kunna påverka bedömningen av om direktåtkomst är en tillåten och lämplig form av utlämnande (se avsnitten 11.2.2 och 13.3.2). Med det nyss sagda avses inte att varje enskild informationsöverföring ska kräva omfattande bedömningar, utan att myndigheterna bör överväga de aspekter som är väsentliga ur integritetssynpunkt exempelvis vid inrättande av nya system för överföring, eller när nya skyldigheter att lämna ut information införs.
Riskerna med att överföra uppgifter elektroniskt, som bl.a. kan bestå i en ökad fara att uppgifter sprids eller att någon annan än den avsedda mottagaren får del av uppgifterna, måste då vägas mot Skatteverkets, Tullverkets respektive Kronofogdemyndighetens samt mottagarnas behov av effektiva arbetssätt. Myndigheterna måste också beakta principen om uppgiftminimering som framgår av artikel 5.1 a i dataskyddsförordningen och som innebär att personuppgifter inte får vara för omfattande i förhållande till de ändamål för vilka de behandlas.
Det finns system som uppfyller behovet av snabb och effektiv informationsöverföring men med ett högre integritetsskydd än vid direktåtkomst. Som beskrivits ovan är det dock inte längre en stor skillnad mellan direktåtkomst och en fråga-svar-tjänst vad gäller risken för integritetsintrång. Dessutom gäller den s.k. databassekretessen vid direktåtkomst men inte vid annat utlämnande och i avsnitt 15.5.3 föreslår vi som redan nämnts nya bestämmelser som motsvarar data-
213 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 48, prop. 2016/17:58, Upp-
gifter på individnivå i arbetsgivardeklarationen, s. 124, och Justitiedepartementets promemoria De brottsbekämpande myndigheternas direktåtkomst till uppgifter i beskattningsdatabasen, 2020.
bassekretessen. Även i fortsättningen kommer därför uppgifter som lämnas ut genom direktåtkomst från Skatteverket, Tullverket och Kronofogdemyndigheten skyddas av en särskild sekretessbestämmelse. Vid direktåtkomst kan den utlämnande myndigheten dessutom ha en bättre möjlighet att behålla kontrollen över informationen på ett annat sätt än vid annat elektroniskt utlämnande, vilket vi redogjort för i avsnitt 11.7.2. Det kan alltså förekomma system för direktåtkomst som skapar ett högre integritetsskydd än andra system. När det kommer till andra former av elektroniskt utlämnande än en fråga-svar-tjänst är det troligt att skillnaden i funktionalitet kommer att vara avgörande för vilken form för utlämnande som är mest proportionerlig i förhållande till det identifierade behovet och nyttan.214
Att i förväg ta ställning till hur den bedömningen ska falla ut riskerar dock i förlängningen att hindra en ändamålsenlig och balanserad effektivisering av Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. Denna risk illustreras inte minst av hur den nuvarande regleringen av elektroniskt utlämnande hindrar myndigheterna från att dra nytta av nya tekniska lösningar.
Vid bedömningen av om en viss form av elektroniskt utlämnande är olämplig måste bl.a. typen av personuppgifter beaktas, vilket följer direkt av dataskyddsförordningen. Vid framför allt Skatteverket men även hos Tullverket och Kronofogdemyndigheten förekommer personuppgifter som kan vara integritetskänsliga. Även känsliga personuppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen behandlas av myndigheterna, se avsnitt 10.5. Vid överföring av sådana uppgifter bör integritets- och informationssäkerhetsaspekter ges särskilt stor betydelse när sättet för ett elektroniskt informationsutbyte övervägs. Om det i annan reglering ställs krav på en särskild form av digital informationsöverföring avseende vissa uppgifter får det dock tolkas som att olämplighetsbedömningen redan är gjord i samband med införandet av den aktuella regleringen, se exempelvis avsnitt 11.6 om de unionsrättsliga krav på digital informationshantering som Tullverket måste iaktta. Vid övriga olämplighetsbedömningar bör ledning kunna hämtas från situationer där regeringen tidigare tagit ställning till frågan om direktåtkomst eller annat elektroniskt utlämnande ska medges.
Regeringen har i tidigare lagstiftningsärenden varit av uppfattningen att det normalt sett aldrig bör anses olämpligt att lämna ut
214 Jfr prop. 2021/22:177, Sammanhållen vård- och omsorgdokumentation, s. 79.
personuppgifter elektroniskt till andra myndigheter.215 I normalfallet bör det därför inte heller i fortsättningen anses olämpligt att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst till andra myndigheter. Detsamma borde i de allra flesta fall gälla för enskilda.
När det gäller utlämnande till enskilda kan det dock krävas närmare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. Om det i ett enskilt fall skulle bedömas vara olämpligt ur integritetssynpunkt att lämna ut personuppgifter elektroniskt, dvs. att principerna för dataskydd inte kan iakttas vid ett sådant utlämnande, bör uppgifterna lämnas ut på annat sätt. Det nyss sagda gäller även för utlämnande till myndigheter. I den mån mottagaren av uppgifterna kan antas komma att behandla uppgifterna på ett sätt som står i strid med bl.a. dataskyddsförordningen gäller dock sekretess för uppgifterna enligt 21 kap. 7 § OSL, se avsnitt 11.2.3. I sådana fall får uppgifterna inte över huvud taget lämnas ut, vare sig i analog form eller elektroniskt.
Regeringen har tidigare lagt särskild vikt vid frågor om effektivitet och behovet av uppgifterna hos mottagaren i olika sammanhang där inrättandet av direktåtkomst ansetts motiverat. Redan innan nuvarande registerförfattningar kom till gjorde regeringen uttalanden om när s.k. terminalåtkomst (se avsnitt 11.2.2) skulle kunna aktualiseras inom den dåvarande skatteförvaltningen. Främst var det situationer där behovet av snabb och enkel tillgång till uppgifterna vägde tyngre än den risk från integritetssynpunkt som åtkomsten skulle medföra. För uppgifter som var av mindre integritetskänslig natur, där det fanns ett praktiskt behov hos mottagaren av att ha uppgifterna lätt tillgängliga fanns det enligt regeringen inte något hinder mot terminalåtkomst. För uppgifter som var av mer integritetskänslig natur kunde dock behovet av samordning, praktiska skäl och att åtkomsten underlättade arbetet tala för att terminalåtkomst ändå skulle tillåtas. För uppgifter där behovet hos mottagaren inte var så stort skulle dock terminalåtkomst inte tillåtas.216
Även vid tidpunkten för de nuvarande registerförfattningarnas tillkomst bedömde regeringen att det efter en avvägning mellan effektivitets- och integritetsskäl kunde finnas anledning att medge direkt-
215 Jfr avsnitt 11.3.1 och t.ex. prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 136. Se även SOU 2015:39, Myndighetsdatalag, s. 447–448. 216Prop. 1979/80:146, med förslag till skatteregisterlag, s. 47–48.
åtkomst till en begränsad mängd uppgifter.217 Exempelvis ansåg regeringen att dåvarande kronofogdemyndigheternas relativt omfattande tillgång till uppgifter i beskattningsverksamheten genom direktåtkomst, som motiverats av den nära kopplingen mellan verksamheterna, inte borde inskränkas av integritetsskäl. Regeringen lyfte här möjligheten att på ett snabbt och effektivt sätt få tillgång till uppgifter som behövdes i ärendehandläggningen hos mottagaren. För uppgifter som kronofogdemyndigheterna inte hade något eller bara ett mycket litet behov av borde dock direktåtkomst inte få förekomma.218För flertalet uppgifter i folkbokföringsverksamheten bedömde regeringen att de inte kunde anses känsliga ur integritetssynpunkt. Uppgifterna omfattades heller inte av någon starkare sekretess utan presumtionen var, liksom i dag, att uppgifterna var offentliga. Ur integritetsskyddssynpunkt kunde det därför inte anses innebära någon skillnad om en myndighet skulle hämta in uppgifter genom direktåtkomst eller på något annat sätt.219
Även i senare lagstiftningsärenden har överväganden som de nyss nämnda motiverat inrättandet av ny direktåtkomst. Flera myndigheter deltar exempelvis i dag i elektroniska informationsutbyten med Skatteverkets beskattningsverksamhet och det har i de fallen ansetts vara förenligt med kraven på skydd mot oacceptabla intrång i den personliga integriteten att tillåta dessa utbyten genom direktåtkomst. Vid dessa avvägningar har direktåtkomst ansetts nödvändig bl.a. för att förbättra beslutskvaliteten och att öka effektiviteten.220 I tidigare lagstiftningsärenden har alltså en avvägning ofta gjorts mellan integritetshänsyn, behovet hos mottagaren och uppgifternas känslighet. Även sambanden mellan de olika verksamheterna har tillmätts betydelse.
Utöver frågor om informationssäkerhet och om principerna för dataskydd kan iakttas vid det planerade utbytet, bör liknande avvägningar kunna aktualiseras även i framtiden. Att mottagaren har ett kontinuerligt eller stort behov av uppgifterna i sin verksamhet kan tala för att direktåtkomst inte är olämpligt. Motsatsvis bör direktåtkomst till uppgifter som mottagaren sällan kan komma att behöva, eller som inte är av särskilt stor betydelse för mottagaren, inte aktu-
217Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 133. 218Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132–133. 219Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 145. 220 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, avsnitt 5.5, prop. 2016/17:58,
Uppgifter på individnivå i arbetsgivardeklarationen, s. 124–125 och prop. 2017/18:270, Regelförenklingar inom ekonomisk familjepolitik, s. 51–53.
aliseras särskilt ofta. Om det rör uppgifter som inte är av integritetskänslig karaktär kan även detta tala för att ett utlämnande kan ske via direktåtkomst, eller om det finns ett nära samband mellan de olika verksamheterna. Riskerna ur integritetssynpunkt kan liksom i dag begränsas genom att direktåtkomst medges till en avgränsad kategori uppgifter som mottagaren har ett stort behov av i sin verksamhet, för att bedömas vara lämplig. Den utlämnande myndigheten får dessutom enligt dataskyddsförordningen anses ha ett ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst har förmåga och vilja att vidta de åtgärder som bedöms vara nödvändiga ur säkerhetssynpunkt. Direktåtkomst bör liksom i dag kunna begränsas på så sätt att den endast ska medges för uppgifter som behövs i viss verksamhet hos mottagaren. Det innebär att uppgifter som lämnas ut genom direktåtkomst inte ska kunna användas i hela mottagarens verksamhet, utan endast där behovet som motiverat inrättandet av åtkomsten finns.
Genom att direktåtkomsten begränsas till uppgifter som behövs i den aktuella verksamheten kan effektivitetsbehovet balanseras mot integritetsintresset samtidigt som myndigheternas mest påtagliga behov kan tillgodoses. Inrättandet av en ny direktåtkomst bör därför bl.a. förutsätta att den mottagande myndigheten kan visa att dess handläggare m.fl. saknar teknisk möjlighet att ta del av uppgifter om andra personer än de som förekommer i den aktuella verksamheten för att kunna anses vara lämplig.
Den närmare innebörden av vad som ska anses vara olämpligt respektive lämpligt elektroniskt utlämnande får utvecklas genom respektive myndighets tillämpning. Ställningstagandena i sak måste därmed göras vid uppbyggnaden och inrättandet av nya system för informationsöverföring och med beaktande av dataskyddsförordningens krav och principer för behandling. Inför ett sådant arbete kommer det ofta behöva göras både en behovsanalys och en konsekvensanalys. Den närmare innebörden av vad som ska anses vara olämpligt och lämpligt kommer alltså även utvecklas genom myndigheternas samråd med IMY enligt vad som anges i avsnitt 11.7.3. Innebörden kommer också komma att utvecklas genom IMY:s tillsynsarbete och i slutändan även genom domstolspraxis.
Kan olämplighetsbedömningen överklagas?
Enligt den föreslagna bestämmelsen får elektroniskt utlämnande enbart förekomma om det inte är olämpligt. Det finns därmed inte något hinder mot att Skatteverket, Tullverket eller Kronofogdemyndigheten nekar en begäran från en enskild om att allmänna handlingar ska lämnas ut elektroniskt. En sådan begäran ska dessutom nekas om ett elektroniskt utlämnande bedöms vara olämpligt. Som vi redogjort för ovan kan ett elektroniskt utlämnande bedömas vara olämpligt av olika skäl, exempelvis om mottagaren inte kan visa tillräcklig säkerhet för sin personuppgiftsbehandling. Det innebär att uppgifterna får lämnas ut på annat sätt.
I vissa fall kan ett nekat elektroniskt utlämnande få stora konsekvenser för en enskild. Exempelvis lämnar Kronofogdemyndigheten ut uppgifter elektroniskt till kreditupplysingsbolag i stor utsträckning. Myndigheten har uppgett att för kreditupplysningsbolag kan det vara av avgörande betydelse om de får uppgifter elektroniskt från myndigheten eller inte, eftersom det påverkar hur de kan bedriva verksamhet. Frågan är då i vilken utsträckning enskilda kan överklaga ett beslut om att inte lämna ut allmänna handlingar elektroniskt.
Dataskyddslagen innehåller bestämmelser om överklagande. Av 7 kap. 2 § första stycket dataskyddslagen följer att beslut enligt artiklarna 12.5 och 15–21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol. Det rör sig om beslut om avgifter m.m., tillgång till personuppgifter m.m., rättelse, radering, begränsning, underrättelse till tredje man om rättelse, radering eller begränsning, dataportabilitet och om invändningar mot behandling. Andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskyddsförordningen eller dataskyddslagen får enligt 7 kap. 5 § dataskyddslagen inte överklagas. Ett beslut om att lämna ut allmänna handlingar till enskilda kommer dock inte att fattas enligt dataskyddsförordningen eller dataskyddslagen. Utlämnandet sker i stället med stöd av offentlighetsprincipen.221 Det innebär att överklagandeförbudet enligt dataskyddslagen inte är tillämpligt.
Enligt 2 kap. 19 § första stycket TF kan beslut att lämna ut allmänna handlingar överklagas. För att ett beslut ska vara överklagbart
221 Rätten att ta del av allmänna handlingar gäller enligt praxis även juridiska personer, se RÅ 2003 ref. 83.
krävs att en begäran avslås eller handlingen lämnas ut med förbehåll som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den. I 6 kap. 7 § OSL anges, såvitt här är aktuellt, att en enskild får överklaga ett beslut av en myndighet att inte lämna ut en handling till den enskilde eller att lämna ut en handling med förbehåll som inskränker den enskildes rätt att röja innehållet eller annars förfoga över den.
Som nämnts i avsnitt 11.2.1 så finns det dock enligt gällande rätt ingen skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form (jfr 2 kap. 16 § första stycket TF, det s.k. utskriftundantaget). Högsta domstolen har dessutom i avgörandet Ö 327-23 gjort uttalanden med innebörden att öppna datalagen inte påverkar den begränsning av rätten till tillgång till uppgifter i digital form som följer av 2 kap. 16 § första stycket TF, och att en grundförutsättning för den lagen är att det föreligger en rätt att få tillgång till digital data enligt någon annan lag eller förordning. Som vi tidigare konstaterat innebär inte heller den föreslagna bestämmelsen om att uppgifter får lämnas ut elektroniskt om det inte är olämpligt att myndigheterna är skyldiga att lämna ut uppgifter på detta sätt.
Att neka en enskilds begäran om att få ut allmänna handlingar elektroniskt förefaller därmed inte vara ett beslut som går att överklaga, under förutsättning att den enskilde ges rätt att få del av handlingen på annat sätt.222
En upplysningsbestämmelse om rätten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter
Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (se 8 kap. 2 § första stycket 2 RF). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (se 8 kap. 7 § RF). Denna föreskriftsrätt brukar kallas för regeringens restkompetens, se avsnitten 6.2 och 6.4.
222 Jfr Kammarrätten i Jönköpings dom den 9 augusti 2012 i mål 2491-12 och Kammarrätten i Stockholms dom den 1 april 2015 i mål 2230-15.
Det kan inte uteslutas att det kan uppstå ett behov att meddela föreskrifter om Skatteverkets, Tullverkets respektive Kronofogdemyndighetens möjligheter att lämna ut personuppgifter elektroniskt. En konsekvens av vårt förslag är dock att direktåtkomst eller andra former av elektroniskt utlämnande endast bör regleras i författning om sådan åtkomst behöver begränsas. Sådana bestämmelser kan meddelas i förordning med stöd av regeringens restkompetens. Det finns alltså utrymme för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter som begränsar myndigheternas möjlighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt. Av tydlighetsskäl bör en upplysningsbestämmelse som avser detta införas i de nya datalagarna i anslutning till bestämmelsen om elektroniskt utlämnande.
11.7.6. En bestämmelse om särskilda rutiner vid elektroniskt utlämnande bör tas in i förordning
Vårt förslag: I förordning ska det regleras att Skatteverket, Tull-
verket respektive Kronofogdemyndigheten ansvarar för att det inom respektive myndighet finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Skälen för vårt förslag
Bör olämplighetsprövningen kodifieras?
Vi har övervägt om den föreslagna bestämmelsen om att uppgifter får lämnas ut elektroniskt om det inte är olämpligt bör kompletteras med bestämmelser i lag eller förordning som tydliggör och sammanfattar vad den allmänna dataskyddsregleringen kräver av den personuppgiftsansvariga i samband med utlämnande genom direktåtkomst. Exempelvis skulle det kunna röra sig om en eller flera bestämmelser enligt följande.
- Direktåtkomst får endast medges om ändamålet med utlämnandet av personuppgifter inte rimligen kan uppnås på annat sätt.
- Innan direktåtkomst medges ska myndigheten förvissa sig om att personuppgifter som direktåtkomsten omfattar behandlas på ett ur integritetssynpunkt godtagbart sätt hos mottagaren.
- Myndigheten ska ha rutiner för att regelbundet följa upp och kontrollera att personuppgifter som lämnas ut genom direktåtkomst behandlas på ett ur integritetssynpunkt godtagbart sätt hos mottagaren.
Vår bedömning är dock att sådana bestämmelser enbart för en form av elektroniskt utlämnande inte är lämpliga att föra in i en modern dataskyddsreglering, även om de bör anses vara tillåtna enligt dataskyddsförordningen (enligt artikel 6.3). Bestämmelser av denna karaktär anger vad som ändå måste anses gälla enligt den allmänna dataskyddsregleringen och sekretesslagstiftningen, oavsett vilken form av elektroniskt utlämnande som avses.
Krav på rutiner
Även om det inte finns skäl att i författning reglera när olika former av elektroniskt utlämnande får användas kan det finnas skäl att i myndighetsspecifika rutiner närmare ange exempelvis vilka säkerhetsåtgärder olika system för informationsöverföring bör innehålla, olika tekniska lösningar som regelmässigt bör användas eller hur hanteringen på mottagarsidan generellt sett ska eller inte ska utformas. Vi anser att det ska vara respektive myndighets uppgift att ta fram sådana rutiner. Att på förhand förutse vilka närmare behov som med anledning av den tekniska utvecklingen kan komma att uppstå vid elektroniskt utlämnande är nämligen mycket svårt. Skatteverket, Tullverket respektive Kronofogdemyndigheten bör därför ansvara för att det inom respektive myndighet finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Ett krav på framtagande av sådana rutiner säkerställer att myndigheterna på förhand noggrant överväger med vilka tekniska lösningar elektroniskt utlämnande får ske, samt att systemen för överföring utformas i enlighet med dataskyddsregleringen. På detta sätt utgör rutinerna en säkerhetsåtgärd som syftar till att minska riskerna för obefogat intrång i den personliga integriteten i samband med elektroniskt
utlämnande. Genom kravet på att det finns rutiner kommer det vara möjligt att i efterhand också följa upp att dessa följs. Vi bedömer att det är tillräckligt att ett krav på rutiner införs i förordning.
Bestämmelsen om att myndigheterna ska ha särskilda rutiner för regelbunden kontroll av att elektroniskt utlämnande sker på ett godtagbart sätt från integritetssynpunkt kan, om behov uppstår, kompletteras med föreskrifter som begränsar myndigheternas möjlighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt (se avsnittet ovan).
11.7.7. Elektroniskt utlämnande till utländska myndigheter inom ramen för det internationella samarbetet
Vår bedömning: Det saknas skäl att särskilt reglera elektroniskt
utlämnande till utländska myndigheter inom ramen för det internationella samarbetet.
Skälen för vår bedömning
Internationell samverkan i form av uppgiftslämnande
Som framgår av avsnitt 11.3.2 är den befintliga regleringen av olika former av elektroniskt utlämnande i dag nästan helt begränsad till att avse utlämnande till andra svenska myndigheter och enskilda. Skatteverket, Tullverket och Kronofogdemyndigheten utbyter dock information även med offentliga aktörer i andra länder, såväl inom som utom EU. Informationsutbytet sker oftast som en följd av olika internationella överenskommelser och den rättsliga grunden för informationsutbytet finns i särskilda EU-förordningar, EU-direktiv, konventioner och bilaterala eller multilaterala mellanstatliga avtal. Avtal och andra internationella överenskommelser införlivas normalt i svensk rätt genom en särskild lag, liksom vissa EU-rättsliga rättsakter. I många fall är internationell samverkan i form av uppgiftslämnande helt nödvändigt för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina uppgifter. Sannolikt kommer den internationella verksamheten dessutom att utökas ytterligare i fram-
tiden.223 Det är därför viktigt att inte heller det elektroniska informationsutbytet med andra länder begränsas på ett omotiverat sätt.
I avsnitt 7.4.4 har vi föreslagit att de nya datalagarna för beskattningsverksamheten och folkbokföringsverksamheten vid Skatteverket respektive för Tullverket och Kronofogdemyndigheten inte ska vara tillämpliga vid behandling av personuppgifter i EU:s gemensamma informationssystem. I sådana sammanhang är det i stället den allmänna dataskyddsregleringen, främst EU:s dataskyddsförordning, som reglerar behandlingen, tillsammans med de eventuella särskilda dataskyddsregler som antagits för det aktuella informationssystemet. Allt gränsöverskridande utlämnande av personuppgifter sker dock inte i sådana system. Av naturliga skäl gäller det nyss sagda i synnerhet sådant informationsutbyte som inte sker på unionsrättslig grund eller som sker med ett land utanför EU, s.k. tredjeland. Det innebär att de nya datalagarnas bestämmelser i många fall kommer att vara tillämpliga vid elektroniskt utlämnande både inom och utanför det unionsrättsliga samarbetet.
Vårt förslag om reglering av elektroniskt utlämnande (avsnitt 11.7.5) innebär att frågan om ett föreskrivet utlämnande av personuppgifter får ske elektroniskt inte ska regleras utifrån vilka uppgifter utlämnandet avser eller vem mottagaren är. Det som tillmäts betydelse är i stället om ett elektroniskt utlämnande, med hänsyn till omständigheterna och med beaktande av bl.a. bestämmelser om sekretess och informationssäkerhet, kan anses vara lämpligt eller inte. Frågan är då om det finns skäl att särskilt reglera sådant gränsöverskridande uppgiftslämnande som inte sker i EU:s gemensamma informationssystem.
Elektroniskt utlämnande inom EU/EES
I dataskyddsförordningen konstateras att nationella myndigheter i unionsrätten uppmanas att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat (skäl 5). Ett syfte med dataskyddsförordningen är att skapa förutsättningar för ett fritt flöde av personuppgifter inom unionen. Genom dataskyddsförord-
223 Se t.ex. EU-kommissionens förslag den 17 maj 2023 om en ny tullkodex och upphävande av förordningen (EU) 952/2013, 2023/0156 (COD).
ningen har därför alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet, vilket även gäller EESländerna. Personuppgifter kan därför föras över fritt inom detta område utan begränsningar.224
När formerna för ett utlämnande till ett annat land inom EU/EES övervägs bör därför samma hänsyn tas som vid utlämnande till en svensk myndighet. Tryckfrihetsförordningen gäller dock inte för en utländsk myndighet, varför någon överskottsinformation i den meningen inte kan uppstå, se avsnitt 11.2.2. Det nyss sagda innebär att bedömningen av om ett utlämnande utgör direktåtkomst inte helt kan utgå från den definition som Högsta förvaltningsdomstolen slagit fast i LEFI Online-avgörandet (HFD 2015 ref. 61) och senare gjort generellt tillämplig genom HFD 2020 not 16. Avgörande för bedömningen av om ett utlämnande motsvarar direktåtkomst kan i gränsöverskridande situationer antas bli om den utlämnande svenska myndigheten reagerar på en begäran eller inte.
Vårt förslag innebär att Skatteverket, Tullverket och Kronofogdemyndigheten ska ges en rättslig möjlighet att medge motsvarande direktåtkomst även för utländska myndigheter och internationella organisationer inom EU/EES. Exempelvis kan det i fall där samarbetet förutsätter en hög grad av integration vara nödvändigt att inom ramen för samarbetet tillgängliggöra information på ett sätt som motsvarar direktåtkomst. Behov av att kunna medge direktåtkomst till utländska aktörer kan uppstå på områden där myndigheterna följer ett skeende tillsammans med en eller flera utländska myndigheter, eller vid ett gemensamt ansvar för en viss verksamhet. I sådana fall kan det vara betydelsefullt att kunna tillgängliggöra information samlat och över tid på ett effektivt sätt. Exempelvis har behöriga myndigheter inom EU redan i dag rätt att ta del av vissa uppgifter i beskattningsdatabasen om mervärdesskatt (se avsnitt 11.3.2 ovan).
Myndigheterna måste dock, på samma sätt som vid utlämnande till svenska myndigheter, på förhand bedöma om åtkomst motsvarande direktåtkomst bör medges en utländsk aktör bl.a. med beaktande av gällande bestämmelser om sekretess och dataskydd. Principerna för dataskydd bör exempelvis kunna genomföras vid behandlingen för att den ska kunna anses vara lämplig. En konsekvensanalys och för-
224 Integritetsskyddsmyndighetens, IMY, webbsida Överföring till tredjeland, tillgänglig: https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/overforing-tilltredje-land/ [hämtad: 2023-07-04].
handssamråd med berörda nationella tillsynsmyndigheter kan också aktualiseras, se avsnitt 11.7.3. Den tekniska utvecklingen kan förväntas medföra att möjligheterna att lämna ut uppgifter genom direktåtkomst på ett ur integritetssynpunkt tillfredsställande sätt ökar, även i gränsöverskridande situationer. Integritetsintresset bör dock redan i dag vara möjligt att balansera mot behovet av effektivitet genom att myndigheterna medger en utländsk myndighet motsvarande direktåtkomst till en tekniskt och uppgiftsmässigt avgränsad uppgiftssamling som lagts över på en digital yta som skapats specifikt för ett sådant samarbete. Det bör också i övrigt kunna ställas samma krav på bl.a. åtkomstbegränsningar på mottagarsidan som vid utlämnande till en svensk myndighet. Svensk sekretessreglering gäller dock inte för utländska myndigheter. I internationella sammanhang används olika typer av villkor om konfidentialitet och användarbegränsningar för att uppgifterna ska få ett skydd hos mottagaren (se avsnitt 8.4.5). En användarbegränsning i en internationell rättsakt kan innebära att det land som tar emot uppgifter bara får använda dem för de särskilda ändamål som framgår av rättsakten.
I vilka konkreta fall elektroniskt utlämnande är lämpligt inom EU/EES måste, i likhet med utbyte mellan svenska myndigheter, avgöras genom bl.a. myndigheternas tillämpning, IMY:s tillsynsarbete225och i slutändan domstolsavgöranden. Sammanfattningsvis anser vi alltså att det saknas skäl att särskilt reglera elektroniskt utlämnande som sker till en aktör inom EU/EES.
Elektroniskt utlämnande till tredjeland
Kapitel V, dvs. artiklarna 44–50, i dataskyddsförordningen behandlar frågor om överföring av personuppgifter till länder utanför EU/EES (tredjeländer) eller internationella organisationer. Av artikel 44 framgår att överföring av personuppgifter till ett tredjeland eller en internationell organisation som utgångspunkt bara får ske under förutsättning att villkoren i sagda kapitel är uppfyllda. Bestämmelsen gäller även för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en
225 Europeiska kommissionen har nyligen presenterat ett förslag till förordning med kompletterande förfaranderegler för tillsynsmyndigheterna i gränsöverskridande ärenden, COM (2023) 348, se kommissionens webbsida: https://commission.europa.eu/system/files/2023-07/COM_2023_348_1_EN_ACT_part1_ v5.pdf [hämtad 2023-07-26].
annan internationell organisation. Av artikel 45.1 följer vidare att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring kräver inte något särskilt tillstånd.
Om det däremot inte finns något beslut från kommissionen om adekvat skyddsnivå får personuppgifter som utgångspunkt endast föras över till ett tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder har vidtagits, och under förutsättning att lagstadgade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga, vilket framgår av artikel 46.1. Det kan exempelvis röra sig om ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter, standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen, eller en godkänd uppförandekod tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter (artikel 46.2 a, d och e). Dessa situationer kräver inte särskilt tillstånd från tillsynsmyndigheten.
Efter tillstånd av den behöriga tillsynsmyndigheten kan dock lämpliga skyddsåtgärder också vara avtalsklausuler mellan den personuppgiftsansvarige och mottagaren av personuppgifterna i tredjelandet, eller bestämmelser i administrativa överenskommelser mellan offentliga myndigheter eller organ, med verkställbara och faktiska rättigheter för registrerade, vilket framgår av artikel 46.3.
I situationer där något beslut från kommissionen om adekvat skyddsnivå inte finns och inte heller andra lämpliga skyddsåtgärder som anges ovan är tillämpliga, får en överföring eller uppsättning av överföringar av personuppgifter göras till ett tredjeland endast under vissa förutsättningar som särskilt anges i artikel 49.1. Det kan exempelvis vara att överföringen är nödvändig av viktiga skäl som rör allmänintresset (artikel 49.1 d). Enligt artikel 49.4 kan dock endast allmänintresse som är erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av leda till tillämpning av detta undantag. Ett undantag görs också för överföringar som är nödvändiga för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 49.1 e). Det kan även gälla när överföringen görs från ett register som är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan
styrka ett berättigat intresse (artikel 49.1 g). En sådan överföring får dock inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret (artikel 49.2).
Sammanfattningsvis reglerar dataskyddsförordningen hur riskerna med överföringar till länder utanför EU/EES ska värderas och hanteras. Sådana överföringar kräver som utgångspunkt att adekvat skyddsnivå finns i mottagarlandet, och det är kommissionen som gör den bedömningen samt kontrollerar att bedömningen är riktig över tid. I de fall mottagarlandet har bedömts ha en adekvat skyddsnivå borde alla former av elektroniskt utlämnande, dvs. även genom system som i teknisk mening motsvarar direktåtkomst, kunna aktualiseras på samma grunder och utifrån samma överväganden som vi föreslår ska gälla för Sverige och övriga EU/EES.
Listan på länder där en adekvat skyddsnivå har bedömts föreligga är dock ganska kort, endast 14 länder finns i dag upptagna på den.226Överföringar till andra länder kan dock även vara tillåtna om vissa förutsättningar föreligger som innebär att lämpliga skyddsåtgärder finns, vilket i vissa fall kräver tillstånd från tillsynsmyndigheten. EUdomstolen har dessutom fastställt att sådana lämpliga skyddsåtgärder måste säkerställa att de registrerade skyddas på samma nivå som garanteras inom EU/EES.227
EDPB har tagit fram riktlinjer om överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES.228 Riktlinjerna är avsedda att ge en indikation på EDPB:s förväntningar på de skyddsåtgärder som ska finnas på plats genom ett rättsligt bindande och verkställbart instrument mellan offentliga organ enligt artikel 46.2 a i dataskyddsförordningen eller, med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, genom bestämmelser som ska anges i administrativa överenskommelser mellan de offentliga organen enligt artikel 46.3 b. Av riktlinjerna framgår bl.a. en förteckning över minimiskyddsåtgärder som ska inkluderas i internationella avtal mellan offentliga organ enligt artiklarna 46.2 a
226 Europeiska kommissionens webbsida Adequacy decisions, How the EU determines if a
non-EU country has an adequate level of data protection, tillgänglig:
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-dataprotection/adequacy-decisions_en#adequacy-decisions-latest [hämtad 2023-07-04]. 227 Det s.k. Schrems II-avgörandet: EU-domstolens dom av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner/Facebook Ireland Ltd och Maximillian Schrems. 228 EDPB, Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för över-
föringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES Version 2.0, antagen den 15 december 2020.
eller 46.3 b. Dessa minimiskyddsåtgärder ska säkerställa att skyddsnivån för fysiska personer enligt dataskyddsförordningen inte undergrävs när personuppgifterna överförs till länder utanför EU/EES och att de registrerade får en skyddsnivå som överensstämmer med den som garanteras genom dataskyddsförordningen.229 EDPB har även publicerat rekommendationer om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter.230 Rekommendationerna är avsedda att hjälpa bl.a. offentliga organ att bedöma tredjeländer och identifiera lämpliga kompletterande åtgärder vid behov. Rekommendationerna omfattar ett antal steg som uppgiftsutförarna bör följa, möjliga informationskällor och ett antal exempel på kompletterande åtgärder som kan vidtas.231
Även vad gäller de undantagssituationer som anges i artikel 49.1 i dataskyddsförordningen, dvs. vid överföring till tredjeland om det inte finns ett beslut om adekvat skyddsnivå eller om det saknas lämpliga skyddsåtgärder, har EDPB publicerat riktlinjer för tillämpningen.232 Av riktlinjerna framgår bl.a. följande.
Vid tillämpning av artikel 49 måste även villkoren i övriga bestämmelser i dataskyddsförordningen uppfyllas. Utnyttjande av undantagen i artikel 49 får aldrig leda till en situation där grundläggande rättigheter kan komma att kränkas. Varje behandling måste följa de relevanta dataskyddsbestämmelserna, särskilt artiklarna 5 och 6. Följaktligen måste ett tvåstegstest användas. För det första måste det finnas en rättslig grund för behandlingen av uppgifter som sådan, tillsammans med alla relevanta bestämmelser i dataskyddsförordningen. Som ett andra steg måste bestämmelserna i kapitel V följas.233 Först måste alltså möjligheterna att utforma överföringen med någon av mekanismerna i artiklarna 45 och 46 undersökas och undantagen i artikel 49.1 får endast användas när sådana inte finns. Undantagen
229 EDPB, Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för över-
föringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES, Version 2.0, antagen den 15 december 2020, s. 7–8.
230 EDPB, Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för
att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0,
antagna den 18 juni 2021. 231 EDPB, Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för
att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0, an-
tagna den 18 juni 2021, s. 3. 232 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018. 233 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018, s. 3.
ska dessutom tolkas restriktivt, så att det inte blir till regel.234 I riktlinjerna behandlas sedan de olika undantagssituationerna särskilt.
I den allmänna dataskyddsregleringen finns det sammanfattningsvis en detaljerad reglering av vad om ska gälla vid överföringar av personuppgifter till tredjeland, dvs. länder utanför EU/EES. Det finns även en systematik där kommissionen beslutar om tredjeländer där skyddsnivån är adekvat, och utvärderar besluten över tid. Utöver vissa krav på tillstånd från IMY finns det för tillämpningen detaljerade vägledningar, riktlinjer och rekommendationer på unionsnivå, samt praxis från EU-domstolen. Frågor som rör elektroniskt utlämnande till ett tredjeland är enligt vår bedömning fullgott reglerade genom den allmänna dataskyddsregleringen. Några mer restriktiva bestämmelser i den kompletterande dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten är enligt vår bedömning inte nödvändiga vid gränsöverskridande uppgiftslämnande som sker till tredje land.
Vid tillämpning av undantagen i artikel 49.1 bör dock system som tekniskt motsvarar direktåtkomst eller helt automatiserade frågasvar-tjänster likt LEFI-online sällan komma att aktualiseras. Eftersom det rör sig om undantagssituationer där det inte finns ett adekvat skydd eller lämpliga skyddsåtgärder för överförda personuppgifter, och då överföringar som bygger på undantag inte behöver någon typ av förhandsgodkännande från tillsynsmyndigheterna, måste sådana överföringar anses kunna leda till väsentligt ökade risker när det gäller berörda registrerades fri- och rättigheter.235 Det innebär att prövningen om utlämnandet ska ske elektroniskt i normalfallet kommer behöva göras i det enskilda fallet, i syfte att uppnå ett adekvat integritetsskydd.
234 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018, s. 4. 235 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018, s. 4.
12. Gallring och längsta tid för behandling
12.1. Inledning
I våra direktiv anges att det finns skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhållande till gällande materiella regler och dagens behov. I vårt uppdrag ingår att bedöma om nuvarande bestämmelser om gallring kan ersättas med regler om längsta tid som personuppgifter får behandlas automatiserat för att tydliggöra att det rör sig om dataskyddsbestämmelser och inte bestämmelser om gallring i arkivrättslig mening.
Vad gäller Tullverket konstateras i våra direktiv att bestämmelserna om gallring i dåvarande tullregisterlagen (1990:137) i stort sett oförändrade fördes över till lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, och att det därför finns skäl att nu göra en allmän översyn av Tullverkets gallringsbestämmelser.
Slutligen finns det enligt direktiven anledning att analysera och tydliggöra vilka gallringsbestämmelser som ska gälla när någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.
I detta kapitel redogör vi för olika aspekter av de frågor om gallring och bevarande av uppgifter som aktualiseras inom vårt uppdrag, nämligen dataskyddsregleringen och befintliga bestämmelser i myndigheternas registerförfattningar, arkivrättsliga regler och regelverk. Vi redogör även för våra bedömningar samt de behov och problemformuleringar som myndigheterna gett uttryck för i förhållande till dagens reglering, samt lämnar förslag på ny reglering. Slutligen redogör vi för vissa konsekvenser av våra förslag.
De förslag som lämnas är dock inte i sin helhet avsedda att omfatta SPAR-verksamheten vid Skatteverket, som behandlas särskilt i kapitel 16. Även avseende Skatteverkets äktenskapsregister- och bo-
uppteckningsverksamheter lämnas särskilda förslag i kapitel 17. Särskilda överväganden om lagringsminimering kommer även att föras avseende frågan om dataanalyser och urval, kapitel 14.
12.2. Arkivrättsliga hänsyn och dataskydd
12.2.1. Allmänna handlingars offentlighet och myndigheternas arkiv
Handlingsoffentlighet
Var och en har enligt 2 kap. 1 § tryckfrihetsförordningen, TF, en rätt att ta del av allmänna handlingar. Rätten att ta del av allmänna handlingar får enligt 2 kap. 2 § TF bara begränsas under vissa förutsättningar, exempelvis om det krävs med hänsyn till rikets säkerhet, rikets centrala finanspolitik, intresset av att förebygga eller beivra brott, det allmännas ekonomiska intresse, eller skyddet för enskildas personliga eller ekonomiska förhållanden.
Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt, vilket framgår av 2 kap. 3 § TF.
En handling är enligt 2 kap. 4 § TF allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet. Även minnesanteckningar och utkast m.m. som tas om hand för arkivering är allmänna handlingar, vilket framgår av 2 kap. 12 § TF.
En förutsättning för att handlingsoffentligheten ska kunna utnyttjas är att allmänna handlingar inte förstörs eller görs otillgängliga på annat sätt. Arkivlagen (1990:782) är en ramlag som gäller för alla myndigheter. Syftet är att upprätthålla handlingsoffentligheten och lagen innehåller bestämmelser om bevarande och gallring av allmänna handlingar, samt allmänna och övergripande bestämmelser om myndigheternas arkiv. Flertalet bestämmelser är teknikoberoende och avser såväl pappershandlingar som elektroniskt lagrade upptagningar. I arkivlagen görs inte skillnad på allmänna handlingar utifrån om en allmän handling innehåller personuppgifter eller inte.
Arkivlagen fylls ut av arkivförordningen (1991:446) och de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheten utfärdar, se avsnitt 12.2.2 nedan.
Myndigheternas arkiv bildas av de allmänna handlingarna från myndighetens verksamhet, vilket framgår av 3 § första stycket arkivlagen. Myndigheternas arkiv är en del av det nationella kulturarvet och arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov. Det framgår av 3 § andra och tredje styckena arkivlagen. Utgångspunkten i den arkivrättsliga regleringen är alltså att allmänna handlingar ska bevaras.
Varje myndighet är som utgångspunkt ansvarig för arkivvården av den egna myndighetens handlingar, vilket framgår av 4 § arkivlagen. I arkivvården ingår även att se till att arkiven inte kommer att omfatta onödigt material.1 All information som utgör allmänna handlingar har nämligen inte ett värde som motiverar att den bevaras för all framtid. I arkivvården ingår därför att avgränsa arkivet genom att fastställa vilka handlingar som ska vara arkivhandlingar, och att verkställa föreskriven gallring i arkivet, vilket framgår av 6 § 4 och 5 arkivlagen.
Att allmänna handlingar får gallras framgår av 10 § arkivlagen. Vid gallring ska dock enligt samma bestämmelse alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Enligt 12 § arkivförordningen får Riksarkivet meddela föreskrifter om gallring. Av 14 § samma förordning framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
12.2.2. Riksarkivet
Den statliga arkivmyndigheten
En statlig myndighet får inte på egen hand tillämpa 10 § första och andra styckena arkivlagen och själv avgöra vilka allmänna handlingar som ska gallras ur dess arkiv. Regeringen bestämmer enligt 8 § arkivlagen vilken arkivmyndighet som ska finnas för tillsynen över de
1Prop. 1989/90:72, om arkiv m.m., s. 38.
statliga myndigheterna. Riksarkivet är den statliga arkivmyndighet som har särskilt ansvar för den statliga arkivverksamheten och för arkivvården. Genom arkivförordningen har Riksarkivet fått bemyndigandet att föreskriva och besluta om gallring av allmänna handlingar hos statliga myndigheter. Av 10 § tredje stycket arkivlagen framgår dock att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser. Statliga myndigheter får alltså gallra allmänna handlingar bara i enlighet med föreskrifter eller beslut av Riksarkivet eller enligt särskilda gallringsföreskrifter i lag eller förordning.2
I Riksarkivets policy för bevarande och gallring anges följande om behovet av bevarande med hänsyn till offentlighetsprincipen.
Behovet att bevara en viss handling med hänsyn till offentlighetsprincipen förändras över tiden. Ju längre tid som gått efter de händelser som dokumenteras av handlingarna, desto mindre betydelse har de generellt sett för insynen i myndigheters verksamhet. Det kan dock vara mycket stora skillnader mellan olika slag av handlingar och insynsintresset kan i en del fall vara aktuellt under mycket lång tid. Offentlighetsprincipen medför också, att gallringen av sekretessbelagda handlingar bör vara relativt restriktiv. Rättssäkerheten får inte äventyras genom gallring. Gallringen får inte begränsa partsinsynen eller möjligheterna i övrigt för personer som berörs av en myndighets verksamhet att tillvarata sina intressen. Den får heller inte begränsa kontrollen av myndigheters verksamhet eller möjligheten att utkräva ansvar. Handlingar skall också bevaras i sådan omfattning, att medborgarnas allmänna insyn i myndigheternas verksamhet och en fri samhällsdebatt underlättas och stimuleras.3
Föreskrifter och beslut om bevarande och gallring meddelade av Riksarkivets finns publicerade dels i en generell föreskriftsserie som gäller samtliga statliga myndigheter, dels i en myndighetsspecifik föreskriftsserie.4 Gallring av statliga myndigheters allmänna handlingar kan också regleras särskilt i författning, och då gäller de reglerna framför Riksarkivets föreskrifter. För Skatteverkets (i beskattningsverksamheten), Tullverkets och Kronofogdemyndighetens del finns särskilda bestämmelser om gallring i de registerförfattningar som omfattas av vårt uppdrag, se avsnitt 12.3.2 medan.
214 § arkivförordningen. 3 Riksarkivet, Bevarandet av nutiden, Riksarkivets gallrings- & bevarandepolicy, s. 5. 4 RA-FS respektive RA-MS.
Riksarkivets föreskrifter
RA-FS
Riksarkivets generella föreskrifter och allmänna råd publiceras i Riksarkivets författningssamling (RA-FS). Föreskrifterna ska i regel tillämpas av alla statliga myndigheter. Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1)5omfattar allmänna regler, oavsett medium, för alla områden inom myndigheternas arkivhantering. Bestämmelserna omfattar allt från avgränsning och organisation av arkiv till arkivredovisning och gallring samt framställning, förvaring, skydd och överlämnande av handlingar. Övriga föreskrifter i serien förtydligar och kompletterar de allmänna reglerna inom olika områden. De generella föreskrifterna om gallring omfattar till större delen handlingar inom myndigheters administrativa verksamheter vilka oftast genomförs på liknande sätt och avsätter liknande handlingar. I vissa fall regleras även gallring i kärnverksamheter hos myndigheter med liknande uppdrag.6
RA-MS
Riksarkivet utfärdar även myndighetsspecifika föreskrifter och beslut (RA-MS) i fall där de generella föreskrifterna inte går att tillämpa, exempelvis för handlingar som tillkommer i en specifik verksamhet. I de myndighetsspecifika föreskrifterna regleras bl.a. gallring, överlämnande, införlivande, utlån, bevarande samt undantag från de generella föreskrifterna. I de fall Riksarkivet fått bemyndigande att föreskriva om undantag från gallring som regleras i t.ex. en registerförfattning, dvs. att personuppgifterna får bevaras för vissa ändamål i stället för att gallras, meddelas sådana bestämmelser i serien RA-MS. För Skatteverkets, Tullverkets och Kronofogdemyndighetens del har Riksarkivet meddelat ett flertal föreskrifter med sådana undantag, se avsnitt 12.3.2 nedan.
Till skillnad från de generella gallringsföreskrifterna initierar i regel myndigheterna själva de myndighetsspecifika föreskrifterna om gall-
5 Ändrade och omtryckta genom: RA-FS 1997:4, ändrade genom: RA-FS 2008:4, RA-FS 2012:1, RA-FS 2018:2, ändrade och omtryckta genom: RA-FS 2019:2, ändrade genom: RA-FS 2021:4, RA-FS 2021:5, RA-FS 2022:4.
6
Riksarkivet, Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS),
version 1.2, s. 6.
ring och bevarande. Det går till så att myndigheten utreder och framställer om gallring eller bevarande till Riksarkivet som sedan bedömer och beslutar. Ett ärende kan resultera i att framställan beviljas och att Riksarkivet utfärdar föreskrifter eller beslut i form av en RA-MS. I andra fall kan det resultera i att Riksarkivet beslutar att avslå eller avvisa framställan.7
12.2.3. Dataskyddsregleringen
EU:s dataskyddsförordning
Principen om lagringsminimering
Av EU:s dataskyddsförordning8 följer inte någon skyldighet att gallra personuppgifter i arkivrättslig mening. Dataskyddsförordningen och dataskyddslagen reglerar alltså inte vad som ska bevaras eller gallras. Utgångspunkten i det dataskyddsrättliga regelverket är i stället principen om lagringsminimering. Principen om lagringsminimering framgår av artikel 5.1 e i dataskyddsförordningen och är en grundläggande princip vid all personuppgiftsbehandling. Av artikel 5.1 e framgår att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt artikel 5.1 e får personuppgifter dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.
Principen om lagringsminimering sätter upp en begränsning för alla former av behandling. När alla ändamål med behandlingen är uppfyllda måste den avslutas för att kunna anses proportionerlig. Lagringsminimering innebär alltså att uppgifter om fysiska personer som utgångspunkt inte ska sparas för eventuellt framtida bruk, utan
7Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS), version 1.2, s. 4. 8 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
när uppgifterna använts som först avsett ska de inte längre behandlas. Att uppgifter inte längre får behandlas innebär att de måste tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner.
I vissa fall måste den personuppgiftsansvariga myndigheten dock spara uppgifterna längre än för användning enligt insamlingsändamålet, exempelvis om det finns andra rättsliga förpliktelser som åligger myndigheten och som kräver behandling under en längre tid. Principen om lagringsminimering innebär dock att den personuppgiftsansvariga myndigheten måste se till att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum.9
Arkivändamål av allmänt intresse
Dataskyddsförordningen innehåller flera bestämmelser som avser behandling för arkivändamål av allmänt intresse och som kan ses som undantag från såväl principen om lagringsminimering som andra principer och bestämmelser som annars skulle gälla. Begreppet arkivändamål av allmänt intresse definieras inte i dataskyddsförordningen. Regeringen har dock uttalat att det står klart att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse.10 Av artikel 89.1 i dataskyddsförordningen framgår att fortsatt behandling för arkivändamål enligt undantagsbestämmelserna kräver att vissa tekniska och organisatoriska åtgärder till skydd för den registrerades fri- och rättigheter vidtas. Av skäl 158 till dataskyddsförordningen framgår bl.a. att om personuppgifter behandlas för arkivändamål bör dataskyddsförordningen också gälla denna behandling.
Ett exempel på bestämmelser som särskilt avser behandling för arkivändamål av allmänt intresse är principen om ändamålsbegränsning (finalitetsprincipen) som framgår av artikel 5.1 b i dataskyddsförordningen. Enligt den bestämmelsen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för bl.a. arkivändamål av allmänt intresse i
9 Jfr artikel 39 i dataskyddsförordningen. 10Prop. 2017/18:105, Ny dataskyddslag, s. 110.
enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen
Behandling av känsliga personuppgifter är som utgångspunkt förbjuden, vilket framgår av artikel 9.1 i dataskyddsförordningen. Enligt artikel 9.2 j i förordningen får dock även sådana uppgifter behandlas om behandlingen är nödvändig för bl.a. arkivändamål av allmänt intresse i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Av artikel 86 framgår vidare att personuppgifter i allmänna handlingar som förvaras av en myndighet för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.
Dataskyddslagen
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, saknar bestämmelser om längsta tid för behandling av personuppgifter och gallring. I 1 kap. 7 § dataskyddslagen anges dock att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen.
Av 3 kap. 6 § dataskyddslagen framgår att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. I bestämmelsens förarbeten anges att med föreskrifter om arkiv avses bl.a. föreskrifter i arkivlagen och arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter.11
Av 4 kap. 1 § första stycket dataskyddslagen framgår att personuppgifter som behandlas enbart för arkivändamål av allmänt intresse
11Prop. 2017/18:105, Ny datsskyddslag, s. 196–197.
får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Av paragrafens andra stycke framgår dock att det som sägs i första stycket inte hindrar myndigheter från att använda personuppgifter som finns i allmänna handlingar.
12.2.4. Gallring av personuppgifter
Begreppet gallring avser inte enbart att i arkivvårdande syfte helt eller delvis förstöra allmänna handlingar i enlighet med arkivlagens bestämmelser. Bestämmelser om gallring förekommer även i kompletterande dataskyddsreglering och avser då att av integritetsskäl radera personuppgifter eller på annat sätt vidta åtgärder så att uppgifterna inte förekommer i ett visst sammanhang. I dataskyddssammanhang används inte gallring som ett undantag från principen om att allmänna handlingar ska bevaras, utan som ett led i skyddet av den personliga integriteten. Gallring begränsas i det sammanhanget inte heller till att omfatta enbart allmänna handlingar.
I Skatteverkets (i beskattningsverksamheten), Tullverkets och Kronofogdemyndighetens registerförfattningar finns bestämmelser om gallring, undantag från gallring och bevarande av personuppgifter och andra uppgifter, dvs. om juridiska personer och i vissa fall om avlidna. Regleringen gäller enbart uppgifter som behandlas automatiserat, och inte uppgifter som behandlas på papper.12 När det i detta kapitel talas om befintliga regler om gallring avses därför enbart automatiserad behandling.
En elektronisk handling motsvarar enligt Riksarkivets definition en upptagning för automatiserad behandling i enlighet med 2 kap. 3 § TF. Avseende elektroniska handlingar definierar Riksarkivet begreppet gallra som att förstöra allmänna handlingar eller uppgifter i allmänna handlingar, eller vidta andra åtgärder med handlingarna som medför förlust av betydelsebärande data, möjliga sammanställningar, sökmöjligheter, eller möjligheter att bedöma handlingarnas autenticitet.13 Med gallring av elektroniska upptagningar avses därför normalt att viss information raderas från databäraren. Det är inte nödvändigt att den egentliga informationen som finns på ett elek-
12Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 117. 13 2 kap. 1 § Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling), RA-FS 2009:1.
troniskt medium verkligen förstörs för att det ska vara fråga om gallring. Gallring kan exempelvis också ske genom att elektroniskt lagrad information skrivs ut på papper varefter den elektroniska versionen raderas.14 Ett annat exempel på gallring kan vara att en Excelfil med en samling uppgifter sparas i ett annat dokument i pdf-format som överförs till ett usb-minne, varefter Excelfilen raderas från datorn. Även om möjligheten till insyn som sådan inte nödvändigtvis försvinner vid denna typ av gallring så kan förutsättningarna för att söka fram eller sammanställa informationen påtagligt ha försämrats.15
Gallring av personuppgifter som behandlas automatiserat kan också ske genom avidentifiering. Av skäl 26 till EU:s dataskyddsförordning framgår bl.a. att principerna för dataskydd inte bör gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Avidentifiering innebär alltså att alla identifieringsmöjligheter tas bort så det inte längre går att hänföra uppgifterna till en fysisk person. Uppgifterna är då inte längre personuppgifter. Att enbart kryptera uppgifterna räcker inte för att de ska anses vara gallrade.16 Så länge det går att knyta krypterade uppgifter till en fysisk person rör det sig fortfarande om personuppgifter enligt dataskyddsförordningen.17 Det innebär att om det finns en krypteringsnyckel som gör det möjligt att identifiera en person så är de krypterade uppgifterna inte avidentifierade, och utgör fortsatt personuppgifter. Uppgifterna är endast avidentifierade om det inte finns någon krypteringsnyckel som gör att uppgifterna kan knytas till en person.
Att förstöra personuppgifter innebär att man ser till att uppgifterna inte går att återskapa. Det är oftast inte tillräckligt att radera den fil i datorn som innehåller personuppgifterna för att uppgifterna ska vara förstörda, eftersom filen kan finnas kvar i datorn på annat sätt, exempelvis i papperskorgen. Alla normala sökvägar måste tas bort
14SOU 2015:39, Myndighetsdatalag, s. 526. I förarbetena till Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar fördes just det förfarandet fram, se avsnitt 12.3.1 nedan. 15SOU 2015:39, Myndighetsdatalag, s. 526. 16 Jfr EU-domstolens avgörande i mål C-582/14, Patrick Breyer vs Bundesrepublik Deutschland, där dynamiska IP-adresser bedömdes vara personuppgifter när det, med hjälp av ytterligare information, fanns möjlighet till identifiering av fysiska personer utifrån sagda IPadresser. 17 Artikel 4.1 i dataskyddsförordningen.
för att uppgifterna ska anses vara förstörda. Det kan krävas andra tekniska åtgärder för att uppgifterna verkligen ska förstöras, som att omformatera lagringsmediet eller skriva över uppgifterna.18
12.3. Befintlig reglering av gallring och bevarande
12.3.1. Bakgrund till bestämmelser om gallring i registerförfattningarna
När databaserade myndighetsregister började diskuteras i den allmänna debatten uppmärksammades att det var viktigt från integritetssynpunkt att s.k. personregister gallrades.19 I dåvarande datalagens (1973:289) förarbeten lyftes bl.a. fram som en integritetsrisk att ofördelaktiga uppgifter om en persons förflutna i otillbörlig grad påverkade hans eller hennes möjligheter i framtiden.20 Integritetshänsyn motiverade även den bestämmelse i 10 § tredje stycket arkivlagen där det framgår att myndigheterna enbart ska tillämpa de generella bestämmelserna om det inte finns avvikande bestämmelser om gallring i annan lag eller i förordning.21
I samband med att de nuvarande registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten tillkom konstaterade regeringen att det kunde uppstå integritetsproblem när stora mängder uppgifter om enskilda personer samlades hos myndigheter, i synnerhet som då tillgänglig teknik tillät avancerade sammanställningar av information på ett enkelt sätt. Enligt regeringen var en metod för att minska integritetskänsligheten att se till att uppgifter som inte längre behövdes för en myndighets verksamhet inte heller fanns kvar i myndighetens uppgiftssamlingar eller register (se avsnitt 9.3 om databasregleringen). För att uppnå detta krävdes enligt regeringen bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet.22 För uppgifter och handlingar i folkbokföringsdatabasen
18 Jfr t.ex. Skatteverkets rättsliga vägledning Bevara eller gallra personuppgifter, 2022, https://www4.skatteverket.se/rattsligvagledning/edition/2022.14/368092.html#h-Gallrapersonuppgifter. [hämtad 2023-01-03]. 19SOU 2015:39, Myndighetsdatalag, s. 532–533. 20Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen,
m.m., s. 42 och 129.
21 Jfr redogörelse av bakgrunden till bestämmelsen i 10 § arkivlagen i SOU 2015:39, Myndig-
hetsdatalag, s. 533.
22Prop. 2000/01:33Behandling av personuppgifter inom skatt, tull och exekution, s. 116.
skulle dock arkivlagens bestämmelser om gallring och bevarande gälla.23
Regeringen uttalade i sammanhanget även att omständigheten att uppgifter ska gallras ur en databas inte med nödvändighet innebär att uppgifterna raderas från lagringsmedierna eller förstörs på annat sätt. Det kunde vara tillräckligt att åtgärder vidtogs så att uppgifterna inte var tillgängliga i den löpande verksamheten.24
I betänkandet som föregick nuvarande lagstiftning övervägdes vilken form av gallringsbestämmelser som var lämpligast för att balansera integritetsintresset mot arkivintresset. De tidsfrister för gallring som föreslogs baserades delvis på materiella regler om bl.a. preskriptionstider eller möjlighet till omprövning, och fördes i vissa fall över oförändrade från tidigare registerlagar. Tidsfristerna för gallring samordnades även med teknikneutrala bestämmelser om gallring i materiella författningar. I betänkandet konstaterades även att vissa uppgifter och handlingar inte borde gallras över huvud taget bl.a. för att tillgodose statistikens och forskningens behov. För att värna handlingsoffentligheten skulle Riksarkivet dessutom ges möjlighet att meddela föreskrifter om undantag från gallring.25
Regeringen uttalade i förarbetena till de befintliga gallringsbestämmelserna att det i allmänhet saknades starka skäl för att tillåta att uppgifter som inte behandlades i en databas bevarades utan att några åtgärder vidtogs. Uppgifter som var föremål för automatiserad behandling i ett ärende – utan att behandlingen gjordes i en databas – skulle därför gallras senast ett år efter att ärendet hade avslutats. Regeringen noterade dock att det även kunde finnas behov av att behandla uppgifter utanför databaserna under en längre tid än ett år, exempelvis vid urvals- och kontrollprojekt inom beskattningsverksamheten. Regeringen bedömde att det borde åligga regeringen eller Riksarkivet att meddela föreskrifter om undantag från gallringsfristen på ett år.26
Även för uppgifter som skulle behandlas i en databas, och därför som utgångspunkt fick behandlas under längre tid än ett år, bedömde regeringen att det kunde finnas behov i verksamheten av att göra undantag från de frister som angavs i författning. De närmare gall-
23Prop. 2000/01:33Behandling av personuppgifter inom skatt, tull och exekution, s. 147. 24Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 118. 25SOU 1999:105, Skatt Tull Exekution Normer för behandling av personuppgifter, s. 267–270 och 307–311. 26Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 118.
ringsfristerna som skulle gälla för olika uppgifter skulle Riksarkivet meddela, efter samråd med respektive myndighet.27
Av författningskommentarerna till dagens registerförfattningar framgår att kravet på att uppgifterna ska gallras innebär att de kan föras över på papper, varefter den elektroniska informationen raderas. De uppgifter som endast finns kvar på papper omfattas då inte längre av gallringstiden.28
12.3.2. Registerförfattningarna och riksarkivets föreskrifter
Skatteverkets beskattningsverksamhet
Bestämmelser om gallring
Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), omfattar bestämmelser om gallring. Bestämmelserna gäller dock bara om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras.29
I förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF), finns bestämmelser om att vissa handlingar och uppgifter som omfattas av gallringsbestämmelserna i lagen ska undantas från gallring, samt avvikande gallringsfrister för särskilt angivna handlingar och uppgifter.30 I skattedatabasförordningen finns även ett bemyndigande för Riksarkivet som, efter att ha inhämtat synpunkter från Skatteverket, får meddela föreskrifter om att handlingar eller uppgifter som ska gallras enligt bestämmelserna i skattedatabaslagen får bevaras under längre tid.31
27Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 126, 162 och 181. 28Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199–200, 214 och 222. Här kan nämnas att uttalandet genomgående anges avseende handlingar som inte behandlas gemensamt i databaserna. Någon särskild regel för handlingar och uppgifter i databaserna finns dock inte i detta avseende, varför uttalandet enligt vår bedömning bör anses avse även gallringar av dessa uppgifter. 29 1 kap. 8 § och 2 kap. 11–13 §§ SdbL. 30 18–20 §§ SdbF. 31 2 kap. 13 § SdbL och 21 § SdbF.
Utanför beskattningsdatabasen
Uppgifter som behandlas i ett ärende utanför beskattningsdatabasen ska som huvudregel gallras senast ett år efter det att ärendet har avslutats.32 Det kan till exempel vara sparade Word-dokument och Excel-filer. Under vissa förutsättningar får uppgifter och handlingar som behandlas i ett ärende utanför beskattningsdatabasen även bevaras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen.33
I beskattningsdatabasen
Uppgifter och handlingar som behandlas i beskattningsdatabasen ska gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller handlingarna hänför sig till gick ut.34 Det finns dock flera undantag eller kompletterande bestämmelser för vissa slags handlingar som gör att huvudregeln inte ska tilllämpas. Vissa uppgifter och handlingar ska bevaras under längre tid än sju år medan andra inte ska gallras över huvud taget.35 Exempelvis ska uppgifter och handlingar som avser revision gallras tio år efter utgången av det kalenderår då revisionen avslutades och uppgifter och handlingar som avser fastighetstaxering ska gallras tolv år efter utgången av det taxeringsår som uppgifterna eller handlingarna kan hänföras till.36 För vissa uppgifter som har lämnats av betaltjänstleverantörer till Skatteverket, och uppgifter och handlingar med koppling till Skatteverkets förfarande med insamling av dessa uppgifter, kommer en gallringsfrist om fem år efter utgången av det kalenderår då uppgifterna lämnades att gälla från och med den 1 januari 2024.37
32 1 kap. 8 § SdbL. 33Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199–200. 34 2 kap. 11 SdbL. 35 Se bl.a. 18 § SdbF. 36 2 kap. 12 § SdbL. 37 I förarbetena till bestämmelsen bedömde regeringen att eftersom huvudregeln i beskattningsdatabasen utgår från en viss beskattningsperiod kunde det ifrågasättas om den kunde anses omfatta de insamlade uppgifterna från betaltjänstleverantörer, där det ofta saknas en tydlig koppling till ett visst beskattningsår. Bestämmelsen i 2 kap. 11 § SdbL kunde därför enligt regeringens bedömning inte anses tillämplig på dessa uppgifter, se prop. 2022/23:121,
Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 114–115. Se även avsnitt 8.4.8 om
ändamålsbegränsningarna som föreslagits avseende dessa uppgifter.
I skattedatabasförordningen finns också en bestämmelse som medger att uppgifter och handlingar som registrerats vid revision, och som omfattas av gallringsskyldighet, får bevaras under den längre tid som behövs för att Skatteverket ska kunna fullgöra sin verksamhet.38Exempel på uppgifter som inte ska gallras över huvud taget är uppgifter om namn, personnummer, organisationsnummer, särskilt registrerings- och redovisningsnummer, hemortskommun och församling, samt kontrolluppgifter och beskattningsbeslut.39 Även uppgifter om ett aktiebolag eller en ekonomisk förening vars styrelse hade sitt säte i Göteborgs kommun eller en kommun som ligger i Östergötlands, Gotlands eller Västernorrlands län den 1 november året före det år då beslut om slutlig skatt fattades, tillhör kategorin av uppgifter om inte ska gallras.40
Riksarkivets föreskrifter
Riksarkivet har meddelat föreskrifter om hur Skatteverket får bevara, återlämna och gallra handlingar från beskattningsverksamheten (RA-MS 2019:33). Föreskrifterna har genomgått ett flertal ändringar41och i bilagor till föreskrifterna ges detaljerade bestämmelser för bevarande respektive gallring av handlingar från beskattningsverksamheten.
I den första bilagan finns föreskrifter om att uppgifter och handlingar från beskattningsverksamheten får bevaras under en längre tid än den som anges i registerförfattningarna.42 För uppgifter som behandlas utanför beskattningsdatabasen föreskrivs ofta att uppgifterna får bevaras under den tid de behövs i verksamheten, utan angivande av en fast tidsfrist. För uppgifter som behandlas i beskattningsdatabasen föreskrivs i stället olika tidsfrister för bevarande för olika kategorier av uppgifter och handlingar, allt från 6 månader till 20 år efter en i föreskriften angiven omständighet, exempelvis utgången av ett taxeringsår.
I den andra bilagan finns förskrifter om att uppgifter och handlingar i beskattningsverksamheten får gallras, ofta gällande pappers-
38 20 § SdbF. 39 18 § SdbF. 40 20 § SdbF. 41 Se RA-MS 2020:36, RA-MS 2021:28, RA-MS 2022:14, RA-MS 2022:43 och RA-MS 2023:22. 42 Bilaga 1 till RA-MS 2022:43.
handlingar.43 Då gäller vanligtvis en viss tidsfrist efter ett ärende avslutats.
Skatteverkets folkbokföringsverksamhet
I lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL) och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet, folkbokföringsdatabasförordningen (FdbF) saknas generella bestämmelser om gallring och bevarande av uppgifter och handlingar.
Däremot finns en bestämmelse i folkbokföringsdatabaslagen som särskilt anger att när en kontroll enligt 26 b och 26 c §§folkbokföringslagen (1991:481) eller enligt 2 kap.3 och 4 §§ lagen (2022:1697) om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.44 För folkbokföringens analys- och urvalsdatabas finns vidare en bestämmelse om längsta tid för behandling för uppgifter som behandlas i den databasen. Där anges bl.a. att uppgifterna aldrig får behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen. Bestämmelsen ska dock inte förstås som en gallringsbestämmelse.45
För uppgifter och handlingar i Skatteverkets folkbokföringsverksamhet gäller därför, utöver vad som nyss angetts, de bestämmelser om arkivering och gallring som finns i arkivlagen och arkivförordningen, samt i Riksarkivets föreskrifter.
Riksarkivet har meddelat föreskrifter om gallring i folkbokföringsverksamheten hos Skatteverket (RA-MS 2018:38).46 I bilaga till föreskrifterna finns detaljerade bestämmelser för hur pappershandlingar och elektroniska handlingar i folkbokföringsverksamheten får gallras.
43 Bilaga 2 till RA-MS 2022:14. 44 1 kap. 7 § FdbL.. 45 2 a kap. 6 § FdbL. Se prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanaly-
ser och urval i folkbokföringsverksamheten, s. 34. Jfr även avsnitt 12.5.4 nedan.
46 Ändrade genom RA-MS 2021:32 och RA-MS 2022:15.
Tullverket
Bestämmelser om gallring
I lagen om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL) finns bestämmelser om gallring. Bestämmelserna gäller dock bara om regeringen eller den myndighet regeringen bestämmer inte har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras.47
I förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF), finns ett bemyndigande för Riksarkivet att, efter att ha inhämtat synpunkter från Tullverket, meddela föreskrifter om att handlingar eller uppgifter som ska gallras enligt bestämmelserna i lagen får bevaras under längre tid.48Några bestämmelser om bevarande eller gallring finns dock inte i själva förordningen.
Utanför tulldatabasen
Uppgifter som behandlas i ett ärende utanför tulldatabasen ska som huvudregel gallras senast ett år efter det att ärendet har avslutats.49Liksom för uppgifter som behandlas av Skatteverket utanför beskattningsdatabasen kan under vissa förutsättningar handlingar och uppgifter bevaras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen.50
I tulldatabasen
Uppgifter och handlingar som behandlas i tulldatabasen ska som utgångspunkt gallras senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången. Om det i lag eller författning föreskrivits längre tid för bevarande av vissa uppgifter än sex år gäller den föreskriften.51
47 1 kap. 8 § och 2 kap. 10 § TDL. 48 8 § TDL. 49 1 kap. 8 § TDL. 50Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 221–222. 51 2 kap. 10 § TDL.
Riksarkivet har meddelat föreskrifter om bevarande av uppgifter och handlingar i tulldatabasen hos Tullverket (RA-MS 2010:68). Av föreskrifterna framgår att två kategorier av uppgifter och handlingar får bevaras under längre tid än vad som framgår av tulldatabaslagen.
Uppgifter och handlingar i ärenden om certifikat och tillstånd avseende ekonomiska aktörer får bevaras hos Tullverket i tio år efter utgången av det kalenderår då certifikatet eller tillståndet upphörde att gälla.
Registrerings- och identifieringsuppgifter enligt punkterna 1–4 i bilaga 38d till kommissionens förordning (EEG) nr 2454/93 av den 2 juli 1993 om tillämpningsföreskrifter för rådets förordning (EEG) nr 2913/92 om inrättandet av en tullkodex för gemenskapen får bevaras hos Tullverket som upptagningar för automatiserad behandling så länge som de behövs för verksamheten.52
Kronofogdemyndigheten
Bestämmelser om gallring
I lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL) finns bestämmelser om gallring. Bestämmelserna gäller dock bara om regeringen eller den myndighet regeringen bestämmer inte har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras.53
I förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), bemyndigas Riksarkivet att, efter samråd med Kronofogdemyndigheten, meddela föreskrifter om att handlingar och uppgifter som ska gallras får bevaras under längre tid.54
52 Förordningen är numera upphävd. 53 1 kap. 7 § och 2 kap. 6, 12, 18 och 23 §§ KFMdbL. 54 19 § KFMdbF.
Utanför databaserna
Uppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet har avslutats.55 Under vissa förutsättningar får uppgifter och handlingar som behandlas i ett ärende utanför databaserna även bevaras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen.56
Utsöknings- och indrivningsdatabasen
Uppgifter och handlingar som behandlas i utsöknings- och indrivningsdatabasen ska gallras senast fem år efter utgången av det kalenderår då det mål eller ärende som uppgifterna eller handlingarna hänför sig till avslutades, alternativt då samtliga mål och ärenden avseende den person som uppgifterna hänför sig till var avslutade.57
Riksarkivet har meddelat föreskrifter (RA-MS 2015:52) om återlämnande, gallring och bevarande av handlingar i verksamheten med verkställighet hos Kronofogdemyndigheten.58 Av en bilaga till föreskrifterna framgår att uppgifter och handlingar i utsöknings- och indrivningsdatabasen i flera situationer ska bevaras.
Betalningsföreläggande- och handräckningsdatabasen
Uppgifter och handlingar i betalningsföreläggande- och handräckningsdatabasen ska gallras senast tre år efter utgången av det kalenderår då det mål som uppgifterna eller handlingarna hänför sig till avslutades. Uppgifter om utslag i mål om betalningsföreläggande ska dock gallras senast tio år efter utgången av det kalenderår då utslaget vann laga kraft.59
Riksarkivet har meddelat föreskrifter om bevarande, återlämnande och gallring av handlingar i mål om betalningsföreläggande och handräckning hos Kronofogdemyndigheten (RA-MS 2015:29).60 Av före-
55 1 kap. 7 § KFMdbL. 56Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 214. 57 2 kap. 6 § KFMdbL. 58 Ändrade genom RA-MS 2017:7 och RA-MS 2022:53. 59 2 kap. 12 § KFMdbL. 60 Ändrade genom RA-MS 2019:11.
skrifterna framgår att vissa uppgifter i betalningsföreläggande- och handräckningsdatabasen ska bevaras.
Skuldsaneringsdatabasen
Uppgifter och handlingar i skuldsaneringsdatabasen ska gallras senast fem år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades. Om skuldsanering eller F-skuldsanering har beviljats i ett ärende, ska uppgifter och handlingar dock gallras senast sju år efter utgången av det kalenderår då beslutet om skuldsanering meddelades, eller fem år efter utgången av det kalenderår då beslutet om F-skuldsanering meddelades.61
Riksarkivet har meddelat föreskrifter om undantag från gallring och överlämnande till arkivmyndighet (RA-MS 2008:19)62 för skuldsaneringsdatabasen. Av föreskrifterna framgår att uppgifter och handlingar i skuldsaneringsdatabasen ska undantas från gallring.
Konkurstillsynsdatabasen
Uppgifter och handlingar i konkurstillsynsdatabasen som kan hänföras till ett konkurstillsynsärende eller ett ärende om tillsyn över rekonstruktörer ska gallras senast fem år efter utgången av det kalenderår då ärendet avslutades. Ett konkurstillsynsärende ska dock gallras tidigast tio år efter utgången av det kalenderår då beslutet om konkurs fattades. Uppgifter och handlingar som kan hänföras till mål enligt lönegarantilagen (1992:497) ska gallras senast tre år efter utgången av det kalenderår då handläggningen av målet avslutades.63
Riksarkivet har meddelat föreskrifter om bevarande och gallring i verksamhet med tillsyn i konkurs hos Kronofogdemyndigheten (RA-MS 2012:17).64 Av föreskrifterna framgår att uppgifter i ärenden om tillsyn i konkurs i konkurstillsynsdatabasen ska bevaras.
61 2 kap. 18 § KFMdbL. 62 Omtryckta och ändrade genom föreskrifter om ändring av Riksarkivets föreskrifter (RA-MS 2008:19) om undantag från gallring och överlämnande till arkivmyndighet hos Kronofogdemyndigheten, (RA-MS 2011:29). 63 2 kap. 23 § KFMdbL. 64 Ändrade genom (RA-MS 2019:67).
12.3.3. Myndigheternas uppfattningar om nuvarande reglering
Skatteverket
Skatteverket har uppgett att myndighetens uppfattning är att tillämpningen av befintlig reglering kompliceras av att den är en sammanblandning av arkivlagstiftning och dataskyddsreglering. Enligt Skatteverket utgår den allmänna regleringen av gallring för beskattningsverksamheten dessutom från beskattningsår, vilket inte lämpar sig för alla uppgifter som hanteras i det sammanhanget. Vissa uppgifter behöver nämligen finnas kvar så länge ett visst förhållande föreligger, oavsett vilket beskattningsår förhållandet uppstod.
Skatteverket har även uppgett att det i den allmänna regleringen i dag finns bestämmelser som kräver att uppgifter bevaras, men där det helt saknas behov av det i verksamheten. Enligt Skatteverket kan det även ifrågasättas om det fortfarande finns ett behov av bevarande av forskningsskäl, eftersom urvalsmodellen kan ha blivit obsolet.
Skatteverket har också påpekat att huvudregeln i skattedatabaslagen är att uppgifterna ska gallras efter ett respektive sju år beroende på om de behandlas i databasen eller inte. Enligt Skatteverket är dock de befintliga tidsfristerna för gallring dåligt anpassade till dagens förhållanden och det har krävts omfattande föreskrifter som medger undantag från dem för att Skatteverket ska kunna utföra sin verksamhet. Skatteverket anser att det hade varit mer ändamålsenligt att särskilja dataskyddsbestämmelser från arkivrättsliga bestämmelser.
Tullverket
Tullverket har uppgett att såväl utgångspunkten för de beräkningar som de tidsfrister som sätts upp i nuvarande reglering utgör ett problem, eftersom de inte motsvarar myndighetens behov av att bevara uppgifterna för olika legitima ändamål. Något undantag från gallringsbestämmelserna i tulldatabaslagen finns dessutom inte i tulldatabasförordningen.
Tullverket har uppgett att det inom myndigheten har genomförts ett omfattande arbete med att kartlägga myndighetens behov i kärnverksamheten i förhållande till befintliga bestämmelser om gallring. Inom ramen för detta arbete har Tullverket kunnat konstatera att uppgifter i dag behandlas elektroniskt i tullverksamheten vid en mycket
tidigare tidpunkt än när tidsfristerna kom till. Det är ett resultat av både den rättsliga och tekniska utvecklingen. Enligt Tullverket tar nuvarande bestämmelser vidare inte hänsyn till hur tullövervakningen har utvecklats över tid och den uppföljning som EU utövar. Uppgifter behöver därför bevaras under längre tid än vad som i dag är tillåtet för att Tullverket ska kunna visa att internationella åtaganden har fullgjorts.
Dagens reglering medför enligt Tullverket också problem vid exempelvis överklaganden och revisioner, samt när uppgifter behandlas i unionsgemensamma system. Tullverket bedömer att förlängda tidsfrister för gallring är nödvändiga för att myndigheten ska kunna uppfylla sitt uppdrag och sina internationella förpliktelser.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att i dag kan kronofogdedatabaslagens bestämmelser om gallring inte längre sägas vara huvudregel, vilket ger en komplex och inte ändamålsenlig reglering av bevarande och gallring i databaserna. Undantagen från lagens huvudprincip om gallring är i vissa fall så omfattande att det i praktiken har skett en slags återgång till arkivlagstiftningens grundregel om bevarande. Kronofogdemyndigheten har vidare påpekat att nuvarande bestämmelser i databaslagen inte är anpassade till en digitaliserad hantering vilket medför att bl.a. diarieuppgifter ska gallras.
12.4. Överväganden och förslag
12.4.1. Nuvarande bestämmelser är inte ändamålsenliga
Vår bedömning: Nuvarande bestämmelser i registerförfattning-
arna om gallring och bevarande är inte ändamålsenliga.
Skälen för vår bedömning
Den tekniska utvecklingen
Gallringsbestämmelserna i den kompletterande dataskyddsregleringen för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten kom till när digital informationshantering inom myndigheterna fortfarande var ett komplement till den analoga informationshanteringen och den elektroniska förvaltningen var i början av sin uppbyggnad.65 De överväganden som låg till grund för bestämmelser om vilka uppgifter som ska gallras och vid vilken tidpunkt, eller vad som ska undantas från gallring, utgick alltså från väsentligt andra förutsättningar för digital informationshantering än de som föreligger i dag.
I dag är den digitala informationshanteringen fullt integrerad i myndigheternas verksamhet och inte ett komplement till pappershantering. Ärenden handläggs elektroniskt och enskilda och andra myndigheter kommunicerar på elektronisk väg i stor omfattning. Den snabba tekniska utvecklingen medför vidare att flera nya typer av handlingar måste hanteras, vilket i arkivrättsliga sammanhang har bedömts ställa andra slags krav på myndigheterna än tidigare.66 Någon pappersakt som kan bevaras i arkiven enligt andra regler än registerförfattningens finns dessutom inte i en helt digital miljö.
Utvecklingen har fått till följd att Riksarkivet har meddelat ett flertal föreskrifter om undantag från gallringsbestämmelserna (se avsnitt 12.3.2). Redan vid tidpunkten för regleringens tillkomst restes frågan om risken för osäkerhet om vad som skulle komma att gälla.67 I dag är gallringsbestämmelserna i många fall så genombrutna av föreskrivna undantag att det är svårt att få en överblick över vilka bestämmelser som faktiskt ska tillämpas. Att Riksarkivet skulle behöva justera gallringsfristerna för att tillgodose behov i myndigheternas verksamhet förutsågs visserligen av regeringen redan när gallringsregleringen infördes. Riksarkivet är dock en statlig arkivmyndighet och har det särskilda ansvar för den statliga arkivverksamheten och för arkivvården i landet som framgår av arkivlagen, arkivförord-
65 Jfr prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 54–55, SOU 1999:105, Skatt
Tull Exekution Normer för behandling av personuppgifter, s. 197–198 och prop. 2000/01:33Behandling av personuppgifter inom skatt, tull och exekution, s. 80–81.
66 Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och kultur-
arv, s. 268.
67 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 135.
ningen och myndighetens instruktion.68 Riksarkivet saknar av naturliga skäl närmare insikt i myndigheternas behov i kärnverksamheterna. Riksarkivet har vidare inget uppdrag att övervaka dataskyddsregleringen inom myndigheterna eller på annat sätt se över bestämmelser som motiveras av integritetshänsyn. Att den statliga arkivmyndigheten uppdras att justera tid för bevarande i förhållande till annars tvingande gallringsfrister införda av integritetshänsyn, i syfte att tillgodose myndigheternas behov av att kunna fortsätta behandla uppgifter i verksamheten, kan enligt vår mening inte ses som ändamålsenligt.
Digitaliseringen av myndigheternas verksamhet har sammanfattningsvis medfört ett behov av nya överväganden i frågor om bevarande och gallring av handlingar inom myndigheternas verksamheter. Utifrån detta perspektiv kan dagens gallringsbestämmelser inte anses vara ändamålsenliga.
Den rättsliga utvecklingen
Gallring enligt det arkivrättsliga regelverket sker normalt av praktiska och ekonomiska skäl. Sådan gallring syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är tydligt begränsat i tiden. En riktigt utförd gallring bör få till resultat att myndigheternas arkiv blir mer överskådliga och effektiva som informationskällor.69När bestämmelser om gallring har införts i den kompletterande dataskyddsregleringen är det i stället integritetshänsyn som motiverat bestämmelserna. Syftet med att införa bestämmelser om gallring i de kompletterande dataskyddsförfattningarna har därmed framför allt varit att skydda den enskildes personliga integritet. Utgångspunkten har vidare varit den omvända i förhållande till arkivlagen, dvs. gallring är huvudregel och bevarande av personuppgifter ett undantag.
När EU:s dataskyddsförordning började tillämpas i maj 2018 ersatte den 1995 års dataskyddsdirektiv,70 som på generell nivå hade
68 Jfr 1 § förordningen (2009:1593) med instruktion för Riksarkivet. 69Prop. 1989/90:72, om arkiv m.m., s. 40–41. 70 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
genomförts i svensk rätt genom personuppgiftslagen (1998:204)personuppgiftsförordningen (1998:1191) och dåvarande Datainspektionens föreskrifter. Dataskyddsförordningen, som ska tillämpas på precis samma sätt som vore det en svensk lag, utgör en mer omfattande dataskyddsreglering än 1995 års dataskyddsdirektiv och personuppgiftslagen gjorde (se avsnitt 5.2.2). I dag finns det alltså högre krav på myndigheterna att vidta ett flertal olika åtgärder för att kunna säkerställa att uppgifter inte behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, än när de befintliga gallringsbestämmelserna infördes. Enligt dataskyddsförordningen måste myndigheterna dessutom vidta åtgärder som säkerställer en lämplig säkerhet för de personuppgifter som får behandlas (artikel 32). Enligt artikel 25.2 i dataskyddsförordningen måste myndigheterna också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, tiden för deras lagring och deras tillgänglighet. Av skäl 39 till dataskyddsförordningen framgår också att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt.
En tillämpning av principen om lagringsminimering och övriga bestämmelser i dataskyddsförordningen bör rent allmänt medföra att behovet av gallringsbestämmelser i integritetsskyddande syfte minskar.
Den föreslagna regleringens övergripande struktur
Det finns ett behov av att se över hur dagens bestämmelser om bevarande och gallring lämpligen kan anpassas till den struktur vi föreslår ska gälla i de nya datalagarna i övrigt. Nuvarande bestämmelser om bevarande och gallring utgår ofta från om uppgifterna behandlas i respektive utanför databaserna (se avsnitt 12.3.2). Även i Riksarkivets förskrifter finns bestämmelser som utgår från att det finns särskilt reglerade databaser hos myndigheterna. I avsnitt 9.4.2 föreslår vi att den nuvarande strukturen med särreglerade databaser ska upphävas och inte ersättas av bestämmelser med motsvarande innehåll i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
Om det i framtiden inte längre finns några särreglerade databaser blir det inte heller möjligt att behålla bestämmelser om bevarade eller gallring som gäller beroende på om uppgifterna behandlas i eller utanför databaserna.
I avsnitten 7.4.2 och 7.4.3 föreslår vi att bestämmelserna i de nya datalagarna i huvudsak inte ska vara tillämpliga vare sig vid behandling av uppgifter om juridiska personer eller avlidna. Nuvarande författningar är dock i stora delar tillämpliga även vid behandling av uppgifter om juridiska personer, och i vissa fall även vid behandling av uppgifter om avlidna. Det gäller bl.a. för bestämmelser om gallring av uppgifter och handlingar. Även i förhållande till våra förslag om förändringar avseende tillämpningsområdet finns därför ett behov av en översyn av dagens gallringsbestämmelser.
12.4.2. Dataskyddsregler och arkivrättsliga regler bör hållas åtskilda
Vår bedömning: Det bör göras en tydlig åtskillnad mellan data-
skyddsregler och arkivreglering. Orden bevarande och gallring bör enbart användas i den betydelse de har i arkivlagstiftningen, och bör inte användas i dataskyddsförfattningar.
Skälen för vår bedömning
Gallringsbestämmelserna som dataskyddsregler
I myndigheternas registerförfattningar finns flera olika kategorier av bestämmelser som reglerar andra förhållanden än dataskydd. Det rör sig ofta om närliggande frågor som på olika sätt har betydelse för integritetsskyddet, exempelvis sekretessbrytande bestämmelser och förutsättningar för olika former av elektroniskt utlämnande. Bestämmelserna i registerförfattningarna är också i varierande grad tillämpliga på information som inte är personuppgifter, dvs. uppgifter om juridiska personer och i vissa fall om avlidna. Vi har tidigare gjort bedömningen att detta är en av orsakerna till att registerförfattningarna upplevs som svåröverskådliga och svårtillämpade. En av våra utgångspunkter är därför att de nya författningarna i så hög utsträckning som möjligt inte ska innehålla annat än dataskyddsbestämmelser, se
avsnitt 5.2.6. Frågan är då om gallringsbestämmelserna i nuvarande form bör anses utgöra sådana dataskyddsbestämmelser som bör finnas även i de nya författningarna.
Nuvarande gallringsbestämmelser syftar i och för sig till att skydda den personliga integriteten vid automatiserad behandling av personuppgifter, vilket talar för att de ska anses utgöra dataskyddsregler. I dag är dock bestämmelserna om gallring i Skatteverkets beskattningsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet även tillämpliga för uppgifter och handlingar om juridiska personer. De avgör därmed vad som ska ske med uppgifter om sakförhållanden m.m. som inte utgör vare sig personuppgifter eller indirekta personuppgifter. När gallringsbestämmelserna tillämpas för gallring av sakuppgifter (som inte utgör personuppgifter) fyller de inget integritetsskyddande syfte och har därför inte karaktären av dataskyddsbestämmelser.
I många fall finns även bestämmelser eller föreskrifter om undantag från gallringsbestämmelser, bl.a. med hänsyn till verksamhetens behov, vilket framgår av avsnitt 12.3.2 ovan. I de situationerna har det integritetsintresse som den generella gallringsbestämmelsen ursprungligen avsett att skydda vid en senare värdering bedömts vara mindre skyddsvärt än behovet i myndigheternas verksamhet. Det kan också vara så att den rättsliga och/eller tekniska utvecklingen medfört att en gallringsbestämmelse ”krockar” med andra regler eller behov och därför inte bör tillämpas, exempelvis när hanteringen blivit helt digital. I de många fall där gallringsbestämmelserna inte ska tillämpas fyller de inte någon integritetsskyddande funktion.
Om uppgifterna som ska gallras dessutom kan sparas på papper71eller enbart göras oåtkomliga i en viss databas kan det vara svårt att avgöra vad gallring enligt registerförfattningarnas bestämmelser faktiskt innebär i fråga om konkret informationsförlust och därmed integritetsskydd. Även om gallringsbestämmelser i vissa situationer kan utgöra en del av integritetsskyddet är det sammanfattningsvis svårt att avgöra i vilken utsträckning dagens generella bestämmelser om gallring fyller den integritetsskyddande funktion som avsetts. Vår bedömning är därför att nuvarande gallringsbestämmelser inte utgör sådana dataskyddsbestämmelser som ska finnas i de nya lagarna.
71 Se avsnitt 12.4.1 ovan.
Arkivrättsliga regler och regler om dataskydd ska hållas åtskilda
Vi har nyss konstaterat att nuvarande bestämmelser om gallring inte bör anses utgöra sådana dataskyddsbestämmelser som ska finnas i de nya dataskyddsförfattningarna. Det är därför inte heller lämpligt att fortsättningsvis använda begreppet gallring i dataskyddssammanhang.
Enligt vår mening bör bestämmelser som reglerar gallring i stället enbart förekomma i arkivrättsliga sammanhang, och inte tillämpas utifrån integritetshänsyn utan som en nödvändig del i att hantera arkivtillväxten och underlätta användningen av arkiven.72 Vi bedömer alltså att det mest ändamålsenliga är att helt skilja de två begreppsapparaterna åt så de arkivrättsliga begreppen gallring och bevarande i fortsättningen enbart används för arkivvårdande åtgärder, dvs. åtgärder som innebär att allmänna handlingar inte ska vara kvar i en myndighets arkiv eller att de ska bevaras. Gallring av allmänna handlingar bör därför endast regleras av arkivlagen och arkivförordningen, samt de föreskrifter eller beslut som Riksarkivet meddelar.
När syftet i stället är att skydda den personliga integriteten, och regleringen endast omfattar personuppgifter, bör den yttersta gränsen för hur länge personuppgifterna får behandlas anges. På så sätt görs en tydlig åtskillnad mellan dataskyddsregler och arkivrättsliga regler. Den åtskillnad vi föreslår i detta avseende finns redan i nya lagar om personuppgiftsbehandling på dataskyddsdirektivets område.73 Regeringen angav exempelvis i förarbetena till brottsdatalagen (2018:1177) att orden bevarande och gallring i de nya registerförfattningarna enbart borde användas i den betydelse som de har i arkivlagstiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och regler om dataskydd. Orden bevarande och gallring används därför inte i t.ex. brottsdatalagen eller i lagarna om Tullverkets respektive Skatteverkets behandling av personuppgifter inom brottsdatalagens område, om inte arkivrättsliga regler avses.74
72 Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och kul-
turarv, s. 243.
73 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 74 Se 4 kap. lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och 4 kap. lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, samt prop. 2017/18:269, Brottsdatalag – kompletterande lag-
stiftning, s. 120–121.
I förarbetena till Utbetalningsmyndighetens dataskyddsreglering uttalade regeringen att de skäl som anfördes i lagstiftningsärendet avseende brottsdatalagen även gjorde sig gällande i lagstiftningsärendet om Utbetalningsmyndighetens personuppgiftsbehandling.75 Även dataskyddsregleringen för Utbetalningsmyndighetens verksamhet saknar därmed bestämmelser som reglerar gallring.76 Regeringen gjorde motsvarande bedömningar i propositionen om Skatteverkets möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten.77Den åtskillnad som vi föreslår har alltså redan införts i viss annan lagstiftning som kompletterar dataskyddsförordningen.
12.4.3. Gallringsbestämmelserna ska ersättas med generella bestämmelser om längsta tid för behandling
Vårt förslag: I de nya lagarna ska det finnas en generell bestäm-
melse om längsta tid för behandling. Bestämmelsen ska endast begränsa behandling för ändamål inom författningarnas respektive tillämpningsområde.
Skälen för vårt förslag
Dataskyddsbestämmelser ska ansluta till EU:s dataskyddsförordning
Enligt den grundläggande principen om lagringminimering i artikel 5.1 e i EU:s dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter ska därmed inte behandlas om det inte längre finns ett behov av det. Vi anser att den principen bör komma till uttryck i de nya datalagarna och utgöra en huvudregel för personuppgiftsbehandlingen vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Begreppen längsta tid för behandling och upphörande av behandling bör alltså användas i stället för gallring, när bestämmel-
75Prop. 2022/23:34, Utbetalningsmyndigheten, s. 150. 76 Se 4 kap. lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. 77Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 34.
serna tar sikte på skyddet för den personliga integriteten och ändamålen med behandlingen. Vi föreslår därför att det ska införas en bestämmelse i de nya lagarna om att personuppgifter inte ska få behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen.
Enligt vår mening behöver en yttersta tidsfrist för behandling inte anges i författning. Vi föreslår därför att bestämmelser som förtydligar principen om lagringsminimering ska formuleras så att de genomgående anger att det är ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. Den föreslagna bestämmelsen säkerställer den grundläggande principen om att endast uppgifter som behöver behandlas ska behandlas. När det inte längre finns något behov av att behandla personuppgifter ska de tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter förvinner.
Bestämmelsen möjliggör samtidigt behandling under den tid som den är nödvändig för ändamålet, exempelvis för att följa en historisk utveckling av en viss företeelse. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs. Berättigade och motiverade behov av en längre tids behandling kan på så sätt tillgodoses utan dagens omständliga förfarande med fasta gallringsfrister, där en framställan först måste göras till Riksarkivet, som efter utredning kan föreskriva om undantag från gallring (se avsnitt 12.2.4).
Bestämmelsen om längsta tid för behandling ger myndigheterna vida ramar för bedömningen av vilka uppgifter som får fortsätta behandlas i kärnverksamheten. Det som avses i den föreslagna bestämmelsen är dock ändamålet i det enskilda fallet och behovet av att fortsätta behandla uppgifterna kommer därför behöva prövas kontinuerligt. Uppgifter kommer ofta behandlas för flera olika ändamål, liksom i dag, och kan vara tillgängliga i olika verksamhetssystem. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Den föreslagna bestämmelsen medför därmed inget krav på att all behandling ska upphöra om behovet upphör för ett av flera ändamål.
Bestämmelsen kräver dock att de uppgifter som inte längre behöver behandlas för ett visst ändamål också slutar behandlas för det ändamålet, i enlighet med principen om lagringsminimering. I enlig-
het med ansvarsprincipen (artikel 5.2 i dataskyddsförordningen) ska den personuppgiftsansvariga myndigheten också kunna visa att bl.a. principen om lagringsminimering efterlevs, exempelvis inför sina respektive dataskyddsombud eller Integritetsskyddsmyndigheten, IMY.
12.4.4. Behöver det finnas en upplysningsbestämmelse om fortsatt behandling för arkivändamål m.m.?
Vår bedömning: Det finns inte skäl att införa en upplysnings-
bestämmelse om fortsatt behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Skälen för vår bedömning
Som vi redogjort för i avsnitt 12.2.3 får personuppgifter enligt principen om lagringminimering (artikel 5.1 e i EU:s dataskyddsförordning) lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.
I avsnitt 8.4.2 har vi föreslagit att det ska införas en bestämmelse som motsvarar finalitetsprincipen i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Enligt finalitetsprincipen (artikel 5.1 b i dataskyddsförordningen) ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska enligt finalitetsprincipen inte anses vara oförenlig med de ursprungliga ändamålen.
Den föreslagna bestämmelsen som avgränsar behandlingen till den tid som behövs med hänsyn till ändamålet med behandlingen inne-
bär därmed att det inte finns något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål. Även om artikel 89.1 i dataskyddsförordningen ställer upp krav på att behandling som sker enbart för arkivändamål ska vara förenad med tekniska och organisatoriska skyddsåtgärder finns det inget krav på att uppgifterna flyttas till ett annat system vid denna behandling. Av 4 kap. 1 § andra stycket dataskyddslagen framgår även att det inte finns något hinder för myndigheter att behandla personuppgifter, som finns i allmänna handlingar som behandlas enbart för arkivändamål av allmänt intresse, för något annat ändamål. Något hinder mot att en uppgift som har bevarats enbart för arkivändamål återförs till kärnverksamheten för vidarebehandling finns följaktligen inte, förutsatt att det nya ändamålet inte är oförenligt med det ändamål för vilket uppgiften ursprungligen samlades in. Även övriga krav i den allmänna dataskyddsregleringen, exempelvis avseende uppgiftsminimering måste vara uppfyllda. I en sådan situation behöver den personuppgiftsansvariga myndigheten inte samla in uppgiften på nytt. Den nya behandlingen kräver enligt dataskyddsförordningen inte heller någon annan rättslig grund än den med stöd av vilken den ursprungliga insamlingen medgavs (skäl 50, se avsnitt 8.4.6). Det är alltså endast förenligheten med insamlingsändamålet som måste bedömas. En arkiverad uppgift kan dock lika lite som någon annan uppgift behandlas för ett ändamål som är oförenligt med det ursprungliga insamlingsändamålet.78
Frågan är då om den föreslagna bestämmelsen om längsta tid för behandling bör förenas med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får fortsätta att behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. En sådan bestämmelse finns exempelvis i 4 kap. 4 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. I 12 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten bemyndigas Riksarkivet att meddela föreskrifter om att vissa personuppgifter får fortsätta att behandlas för arkivändamål av allmänt intresse,
78 Jfr SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförord-
ning, s. 225 och prop. 2017/18:105, Ny dataskyddslag, s. 120 och 200.
vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
I 4 kap. 2 och 3 §§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten finns dock även särskilda bestämmelser som avser faktiska tidsfrister för behandling av de uppgifter som Riksarkivet bemyndigas meddela föreskrifter om. Vi har inte föreslagit att några sådana bestämmelser ska införas för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Tillåtligheten av vidarebehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål är dessutom en direkt följd av finalitetsprincipen och principen och lagringsminimering. Att myndigheterna har en skyldighet att bevara allmänna handlingar följer vidare av arkivlagen. Likaså följer av arkivförordningen att gallring av allmänna handlingar endast får ske i enlighet med föreskrift eller beslut av Riksarkivet (se avsnitten 12.2.1–12.2.2). Mot den bakgrunden saknas det enligt vår bedömning skäl för att införa en särskild bestämmelse om att uppgifter får fortsätta behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
12.4.5. Möjligheten att föreskriva om yttersta tidsfrister
Vårt förslag: I lagarna ska det finnas en upplysningsbestämmelse
som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får behandlas under viss tid.
I förordningarna ska myndigheterna bemyndigas att meddela föreskrifter som preciserar den längsta tiden för behandling för olika ändamål.
Skälen för vårt förslag
Behov av tidsfrister
Vi har redan konstaterat att myndigheterna kommer att behöva anta ett proaktivt förhållningssätt till frågan om fortsatt behandling i syfte att leva upp till kraven i EU:s dataskyddsförordning. I det ingår att regelbundet överväga om fortsatt behandling kan motiveras i för-
hållande till ändamålet (eller ändamålen) med behandlingen i det enskilda fallet. Av skäl 39 till dataskyddsförordningen framgår att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Att myndigheterna internt formulerar vissa mer specificerade tidsfrister för när behandling i verksamhetssystemen senast ska upphöra för olika ändamål har därmed stöd i dataskyddsförordningen. Skatteverket, Tullverket och Kronofogdemyndigheten har dessutom alla ett dataskyddsombud vars roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser.
Det kan dock uppkomma situationer där den längsta tiden för behandling för ett visst ändamål kan behöva preciseras. En sådan precisering, i lag, förordning eller föreskrifter, av när behandling för ett särskilt ändamål senast ska upphöra bör främst ses främst en särskilt integritetshöjande åtgärd. Ett sådant behov skulle kunna uppkomma om behandling av särskilt känsliga uppgifter motiveras av ny materiell reglering, eller som en följd av den tekniska utvecklingen. Även om en yttersta tidsfrist för behandling främst är en integritetshöjande åtgärd kan det inte uteslutas att också effektivitetsskäl talar för att införa ett formaliserat stöd för hur länge behandling för ett visst ändamål är behövlig. En sådan bestämmelse kan alltså också motiveras av en önskan att undvika att det på myndighetsnivå läggs alltför stora resurser på kontinuerliga överväganden om fortsatt behandling för ett särskilt ändamål är tillåten. Regeringen eller den myndighet som regeringen bestämmer kan då med stöd av 8 kap. 7 § regeringsformen (den s.k. restkompetensen, se avsnitt 6.2) meddela föreskrifter om mer preciserade tidsfrister för behandlingen i vissa fall. Av tydlighetsskäl bör detta framgå av lag. Vi föreslår därför att en upplysningsbestämmelse tas in i de nya datalagarna, i anslutning till bestämmelsen om längsta tid för behandling, om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.79
Vi har inte identifierat något behov av att föreslå bestämmelser som närmare anger den längsta tid som uppgifter får behandlas vare sig hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Här bör nämnas att regeringen nyligen, som nämnts i avsnitt 12.3.2, föreslagit att en avvikande gallringsfrist ska gälla för vissa uppgifter från
79 Jfr 11 § förordningen om behandling av personuppgifter vid Utbetalningsmyndigheten.
betaltjänstleverantörer. Förslaget motiverades dock inte utifrån att uppgifterna var särskilt integritetskänsliga i förhållande till övriga uppgifter som behandlas i databasen. Den avvikande gallringsfristen föreslogs i stället med motiveringen att de befintliga gallringsfristerna av lagtekniska skäl inte kunde tillämpas på uppgifterna från betaltjänstleverantörer, och dess längd bestämdes utifrån Skatteverkets förväntade behov av uppgifterna. Regeringen eller den myndighet regeringen bestämmer ska även kunna föreskriva undantag även från den avvikande gallringsfristen.80 Motiveringen till den föreslagna bestämmelsen tyder enligt vår bedömning på att regeringen inte ansett att uppgifterna är så integritetskänsliga att behandlingen ovillkorligen måste upphöra vid en viss tidpunkt efter det att uppgifterna samlades in för att upprätthålla ett adekvat integritetsskydd. De överväganden som i övrigt gjorts bör därför gälla även för uppgifter som Skatteverket samlar in från betaltjänstleverantörer. Även dessa uppgifter bör därför endast få behandlas under den tid som är nödvändig med hänsyn till ändamålet med behandlingen, och ska gallras eller bevaras i enlighet med det arkivrättsliga regelverket.
Ett bemyndigande för myndigheterna att meddela föreskrifter
Som nämnts ovan följer av skäl 39 till dataskyddsförordningen att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Respektive myndighet bör därför i de nya förordningarna bemyndigas att meddela föreskrifter om att personuppgifter som längst får behandlas under en viss tid. På så sätt kan enskilda registrerade ges en tydligare bild av hur länge uppgifter om dem som längst behandlas, än om myndigheternas tidsfrister endast förekom i interna rutiner eller andra interna dokument. I sammanhanget kan nämnas att i 8 kap. 12 § RF ges en uttrycklig möjlighet för regeringen att på ett formaliserat sätt kontrollera sina myndigheters föreskrifter. Som ett led i denna prövning kan regeringen godkänna föreskrifterna och ändra eller meddela en förordning som upphäver eller ersätter dem. Regeringen har också möjlighet att i samband med att den ger ett bemyndigande till en förvaltningsmyndighet begära att en föreskrift som meddelas med stöd av bemyndigandet ska underställas regeringen. Regeringen kan
80 Se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 114–116.
vidare införa en bestämmelse i anslutning till bemyndigandet som innebär att myndighetsföreskrifterna upphör att gälla om de inte underställs eller godkänns av regeringen inom viss tid.81 Att myndigheternas bemyndigas att själva specificera den längsta tid som uppgifter får behandlas för olika ändamål innebär alltså inte att regeringen saknar möjlighet att kontrollera eller justera sagda frister. Som nämnts ovan ska bestämmelser i förordning eller föreskrifter dock inte tillåta avsteg från det krav som följer av den generella bestämmelsen om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt.
Behov av gallringsbestämmelser kan uppkomma i framtiden
De föreslagna generella bestämmelserna om längsta tid för behandling utgör inte sådana bestämmelser i författning som gör att arkivlagen inte ska tillämpas enligt 10 § tredje stycket, dvs. avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning som gäller i stället för det arkivrättsliga regelverket. Arkivlagen gäller i stället parallellt med bestämmelserna om längsta tid för behandling. Det yttersta tidsgräns som regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om bör normalt inte heller utgöra bestämmelser om gallring. Det är i stället fråga om hur länge en viss kategori av uppgifter får behandlas för ändamålet med behandlingen, och den arkivrättsliga frågan om samma uppgifter ska gallras eller bevaras bör normalt lösas genom det arkivrättsliga regelverket. Uppgifter som inte längre får behandlas för ändamål i kärnverksamheten kan då fortsatt behandlas för arkivändamål.
Det kan dock inte uteslutas att det i framtiden åter kommer att vara motiverat att införa sådana bestämmelser som avses i arkivlagens 10 § tredje stycket. Ett sådant behov kan enligt vår bedömning komma att aktualiseras vid särskilt integritetskänslig behandling som motiveras av ny materiell reglering eller av den tekniska utvecklingen. Eventuella sådana bestämmelser gäller då i stället för den generella bestämmelsen om längsta tid för behandling. Tillämpningen av sådana bestämmelser besvarar därmed både frågan om hur lång den längsta tiden för behandling av uppgifterna är, och frågan om handlingarna ska gallras eller bevaras.
81Ds 2014:10, En tydligare beredning av myndighetsföreskrifter, s. 16.
Bestämmelser om att vissa uppgifter ska förstöras kan dock även avse andra handlingar än allmänna. Ett exempel är bestämmelsen i nuvarande 1 kap. 7 § folkbokföringsdatabaslagen som har följande lydelse.
När en kontroll enligt 26 b och 26 c §§folkbokföringslagen (1991:481) eller enligt 2 kap.3 och 4 §§ lagen (2022:1697) om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
I förarbeten till bestämmelsen bedömde regeringen att eftersom uppgifterna omedelbart ska förstöras när kontrollen är utförd kommer de uppgifter som tas fram i samband med kontrollen aldrig bli allmänna handlingar.82 I likhet med avvikande bestämmelser om gallring av allmänna handlingar bör ett behov av bestämmelser liknande den i nuvarande 1 kap. 7 § folkbokföringsdatabaslagen i huvudsak uppkomma vid särskilt integritetskänslig behandling. I den mån sådana bestämmelser införs utgör även de ett undantag från den föreslagna huvudregeln i de nya datalagarna och ger ett svar på frågan hur länge uppgifter får behandlas för ett visst ändamål.
12.4.6. Gallring och bevarande av uppgifter som behandlas i Europeiska unionens gemensamma informationssystem
Vår bedömning: Frågor om gallring och bevarande av uppgifter
som behandlas i Europeiska unionens gemensamma informationssystem kommer i fortsättningen regleras genom arkivlagstiftningen.
Skälen för vår bedömning
Skatteverket och Tullverket har påpekat att många problemställningar uppkommer hos myndigheterna med anledning av befintliga bestämmelser i registerförfattningarna i förhållande till behandling i unionsgemensamma informationssystem. Bestämmelserna om gallring lyftes särskilt. I avsnitt 7.4.4 har vi föreslagit att tillämpningsområdet för de nya författningarna ska avgränsas på så sätt att behandling som sker i tekniska plattformar som hanteras gemensamt av EU
82Prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 56.
och medlemsstaterna faller utanför författningarnas respektive tillämpningsområden.
Då inga gallringsbestämmelser motsvarande de som finns i dag föreslås i de nya lagarna blir det dock ingen skillnad på om behandlingen sker i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna, dvs. utanför tillämpningsområdet, eller inom lagarnas tillämpningsområde. Alla frågor om gallring och bevarande kommer med vårt förslag regleras genom arkivlagen och arkivförordningen, samt genom Riksarkivets föreskrifter eller beslut.
12.4.7. Bevarande av vissa uppgifter i Skatteverkets beskattningsverksamhet
Vår bedömning: Det saknas skäl att föra in en bestämmelse om
att Skatteverket ska bevara vissa uppgifter i de nya dataskyddsförfattningarna för beskattningsverksamheten.
Skälen för vår bedömning
Som framgår av avsnitt 12.3.2 är utgångspunkten i Skatteverkets beskattningsverksamhet i dag att handlingar ska gallras efter sju år. I samband med registerförfattningarnas tillkomst uttalade regeringen att det i flera fall kommer behöva göras undantag från sjuårsregeln och att vissa uppgifter i beskattningsdatabasen inte bör gallras över huvud taget. Det gällde bl.a. uppgifter som vid tidpunkten återfanns i taxeringsuppgiftsregistret och tidigare återfanns i skattelängder. Genom att bevara dessa uppgifter skulle statistikens och forskningens behov tillgodoses, samtidigt som den kontinuitet som fanns avseende sådana uppgifter kunde bibehållas. Regeringen konstaterade även att registret dessutom användes av skattemyndigheterna83 vid bl.a. omprövning, och uppgifterna behövde även av den anledningen bevaras under en längre tid. Enligt regeringen kunde bestämmelser om att vissa upp-
83 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99, Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket.
gifter i beskattningsdatabasen skulle bevaras ersätta föreskrifter om inrättande av t.ex. särskilda taxeringsuppgiftsregister.84
I dag finns, liksom vid regleringens tillkomst, undantagsbestämmelsen i 18 § i skattedatabasförordningen (se avsnitt 12.3.2). Bestämmelsen har genomgått vissa förändringar sedan införandet, men att uppgifter om bl.a. namn, personnummer, organisationsnummer, hemortskommun och församling samt kontrolluppgifter och beskattningsbeslut ska bevaras är oförändrat. Det är sådana uppgifter som tidigare funnits i taxeringsuppgiftsregistret och ännu tidigare återfanns i skattelängder. Det finns följaktligen en lång tradition av att bevara dessa uppgifter. Vi föreslår ovan att bestämmelser som kräver gallring av uppgifter som behandlas i Skatteverkets beskattningsverksamhet upphävs och inte ersätts av motsvarande bestämmelser i den nya datalagen. Frågan blir då om det trots detta finns ett behov av att föreskriva att Skatteverket ska bevara vissa uppgifter, i syfte att tillgodose de behov som motiverande införandet av bestämmelsen.
Inledningsvis bör här konstateras att bestämmelsen om bevarande kom till som ett undantag från en annars tvingande gallringsbestämmelse. Om inga sådana tvingande bestämmelser finns blir det i stället det arkivrättsliga regelverket, med Riksarkivet som främsta uttolkare, som avgör vilka uppgifter som kommer få gallras i beskattningsverksamheten. Den arkivrättsliga utgångspunkten är nämligen att allmänna handlingar hos myndigheterna ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. För att de uppgifter som i dag ska undantas från gallring även fortsättningsvis ska bevaras räcker det alltså med att Skatteverket inte framställer om att uppgifterna ska få gallras.
Mot bakgrund av att flera av de aktuella uppgifterna bevarats under en lång tid, tidigare funnits i register och dessförinnan i skattelängder finns det också skäl att anta att Riksarkivet, i syfte att tillgodose bl.a. de behov som motiverade bestämmelsen om bevarande från första början, skulle neka en eventuell framställan från Skatteverket om gallring av sagda uppgifter. Av 10 § arkivlagen följer dessutom som tidigare har nämnts att det vid överväganden om gallring alltid ska beaktas att arkiven är en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Mot bak-
84Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 136–137.
grund av den långa tradition som finns avseende bevarande av vissa uppgifter i beskattningsverksamheten framstår Skatteverkets arkiv i denna del som en del av kulturarvet. Riksarkivet har dessutom möjlighet att i en för beskattningsverksamheten myndighetsspecifik föreskrift införa en upplysningsbestämmelse som särskilt anger att aktuella uppgifter ska bevaras, alternativt införa ett villkor som anger att en förutsättning för gallring är att uppgifter i handlingarna förts in i andra handlingar.
Sammantaget anser vi att det inte finns något behov av att reglera att uppgifterna, som enligt nuvarande bestämmelse i skattedatabasförordningen ska bevaras, även fortsättningsvis ska göra det. Den frågan blir i stället löst på ett tillfredsställande sätt genom det arkivrättsliga regelverket.
I sammanhanget bör dock påpekas att uppgifterna som i dag ska bevaras för tillfället inte ingår i ett register, vilket de gjorde innan de nuvarande registerförfattningarnas tillkomst. Det innebär att uppgifterna i dag inte bevaras samlat, och inte i någon särskild relation till varandra. Sökning i och annan hantering av dessa uppgifter är därför mer komplicerat än om de behandlats samlat. Mot bakgrund av att uppgifterna under en lång tid har ansetts nödvändiga att bevara, skälen för bevarandet, och då de kan sägas utgöra en stomme i beskattningsverksamhetens arkiv, kan det ifrågasättas om det lämpligaste inte hade varit att föreskriva att Skatteverket har en skyldighet att föra ett sådant register. Vi bedömer dock att de överväganden som den frågan ger upphov till ligger utanför ramen för vårt uppdrag.
12.4.8. Vissa gallringsbestämmelser i skatteförfarandeförordningen och fastighetstaxeringsförordningen ska tas bort
Vårt förslag: Bestämmelser om gallring i 20 kap. 2 och 3 §§ skatte-
förfarandeförordningen och i 2 kap. 4 § andra stycket och 5 §, samt 7 kap. 3 § fastighetstaxeringsförordningen ska tas bort.
Skälen för vårt förslag
De gallringsbestämmelser som i dag finns i registerförfattningarna för Skatteverkets beskattningsverksamhet redogörs för ovan (se avsnitt 12.3.2). Utöver dessa finns bestämmelser om gallring i beskatt-
ningsverksamheten även i skatteförfarandeförordningen (2011:1261) och i fastighetstaxeringsförordningen (1993:1199).
Gallringsbestämmelserna i skatteförfarandeförordningen har i sak stora likheter med gallringsbestämmelserna i skattedatabaslagen. Av 20 kap. 1 § och 2 § första stycket skatteförfarandeförordningen framgår att uppgifter och handlingar som rör fysiska personer och andra juridiska personer än aktiebolag och ekonomiska föreningar, och som har lämnats till Skatteverket enligt skatteförfarandelagen (2011:1244), samt uppgifter i handlingar som har upprättats eller som har tagits om hand för granskning av Skatteverket vid tillämpning av skatteförfarandelagen ska gallras sju år efter utgången av det kalenderår då beskattningsåret har gått ut. För uppgifter som avser ett aktiebolag eller en ekonomisk förening är gallringsfristen 11 år efter utgången av det kalenderår då beskattningsåret har gått ut.
Vissa uppgifter och handlingar som avser revision enligt 41 kap. 2 § första stycket 6 eller 7 skatteförfarandelagen, samt tillsyn eller kontrollbesök ska dock gallras tre år efter utgången av det kalenderår då beslutet om revision, tillsyn eller kontrollbesök meddelades, vilket framgår av 20 kap. 2 § andra stycket skatteförfarandeförordningen. Av 20 kap. 3 § samma förordning framgår dock att vissa uppgifter och handlingar som avser revision enligt 41 kap. 2 § första stycket 1–5 skatteförfarandelagen får bevaras under en längre tid än vad som följer av 2 §.
Av 20 kap. 2 § tredje stycket skatteförfarandeförordningen framgår att vissa uppgifter och handlingar inte ska gallras om de avser ett aktiebolag eller en ekonomisk förening vars styrelse hade sitt säte eller, om sådant saknas, vars förvaltning utövades i Göteborgs kommun eller en kommun som ligger i Östergötlands, Gotlands eller Västernorrlands län den 1 november året före det år då beslut om slutlig skatt enligt 56 kap. 2 § skatteförfarandelagen fattades.
Även i fastighetstaxeringssammanhang ska bestämmelser som liknar de som finns i skattedatabaslagen tillämpas. Av 2 kap. 4 § första och andra styckena fastighetstaxeringsförordningen framgår nämligen att bestämmelserna i 20 kap. 2 § första och tredje styckena skatteförfarandeförordningen ska tillämpas på uppgifter i fastighetsdeklarationer och andra handlingar, som enligt bestämmelserna i fastighetstaxeringslagen (1979:1152) har lämnats till ledning för fastighetstaxering eller upprättats eller för granskning omhändertagits av en myndighet
vid taxeringskontroll. Det innebär alltså att samma gallringsfrist och undantag från gallring som anges i stycket ovan gäller.
Av 2 kap. 5 § fastighetstaxeringsförordningen framgår dessutom att fastighetsdeklarationer och andra handlingar som enligt bestämmelserna i fastighetstaxeringslagen har lämnats till ledning för allmän eller förenklad fastighetstaxering eller upprättats eller för granskning omhändertagits av Skatteverket vid taxeringskontroll, ska förstöras sedan tolv år förflutit efter taxeringsårets utgång, om inte regeringen för ett visst års taxering beslutat att handlingarna ska bevaras för framtiden. Detsamma gäller angående beslut om fastighetstaxering.
Av 7 kap. 3 § fastighetstaxeringsförordningen framgår vidare att fastighetsdeklarationer och andra handlingar som enligt bestämmelserna i fastighetstaxeringslagen har lämnats till ledning för särskild fastighetstaxering eller upprättats eller för granskning omhändertagits av Skatteverket vid taxeringskontroll ska förstöras samtidigt med motsvarande handlingar från den allmänna eller förenklade fastighetstaxering som närmast föregått den särskilda fastighetstaxeringen, om inte regeringen förordnat att handlingarna ska bevaras för framtiden. Detsamma gäller angående beslut om fastighetstaxering.
Bestämmelserna om gallring i skatteförfarandeförordningen och fastighetstaxeringsförordningen gäller parallellt med bestämmelserna i Skatteverkets registerförfattningar och är alltså till stor del överlappande i sak. Gallringsbestämmelserna i registerförfattningarna är dock genombrutna av flera undantag, vilket innebär att de i många fall inte tillämpas. Undantagen finns både i lagen, förordningen och i Riksarkivets föreskrifter (se avsnitt 12.3.2). Gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen är dock, till skillnad från bestämmelserna i registerförfattningarna, inte förenade med något bemyndigande för Riksarkivet eller någon annan myndighet att föreskriva om avvikande gallringstidpunkter. Några undantag från de gallringsbestämmelserna finns därmed inte och är inte heller möjliga att göra i dag.
Bestämmelserna om gallring i skatteförfarandeförordningen och fastighetstaxeringsförordningen är dessutom teknikneutrala. Eftersom gallring av uppgifter som behandlas automatiserat i dag regleras i lag och då registerförfattningarna särskilt reglerar automatiserad behandling har Skatteverket enbart tillämpat gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen på pappershandlingar. När gallringsbestämmelserna i registerförfatt-
ningarna upphävs kommer det inte längre finnas någon speciallag som särskilt reglerar gallring vid automatiserad behandling. Det innebär att gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kommer vara tillämpliga även på uppgifter som behandlas automatiserat. Även om den nya datalagen för beskattningsverksamheten inte kommer innehålla några gallringsbestämmelser så kommer det alltså fortfarande finnas gallringsbestämmelser som Skatteverket måste tillämpa i många fall. Av 10 § tredje stycket arkivlagen framgår som redan nämnts att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser framför det arkivrättsliga regelverket.
Vi har ovan föreslagit att frågor om gallring av personuppgifter i Skatteverkets beskattningsverksamhet i fortsättningen ska regleras genom Riksarkivets föreskrifter. Vårt förslag innebär bl.a. att uppgifter i allmänna handlingar som inte längre behöver behandlas för ett ändamål i verksamheten kan fortsätta behandlas enbart för arkivändamål (med iakttagande av de säkerhetsåtgärder som krävs för sådan behandling enligt artikel 89.1 i EU:s dataskyddsförordning) om de handlingar som uppgifterna finns i inte gallras (förstörs) i enlighet med föreskrift eller beslut från Riksarkivet. Det innebär också att uppgifterna under vissa förutsättningar kan hämtas in från arkiven om de skulle komma att behövas för ett ändamål i verksamheten igen (se avsnitt 12.4.5). Utan en förändring av gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kommer det dock i praktiken finnas en begränsning av hur lång tid personuppgifter i beskattningsverksamheten kan behandlas för något ändamål. Detsamma gäller även för uppgifter om juridiska personer och avlidna. Då de aktuella bestämmelserna inte är förenade med något bemyndigande för Riksarkivet att föreskriva om avvikande gallringstidpunkter kommer dessutom alla de undantag från gallring som regleringen i registerförfattningarna möjliggjort att försvinna. Resultatet av våra förslag skulle alltså kunna bli ett avsevärt mindre utrymme för Skatteverket att behandla personuppgifter än i dag.
Vi har övervägt om bestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kan förenas med ett bemyndigande för Riksarkivet att föreskriva om avvikande gallringstidpunkter, för att på så sätt lösa den problematik som nyss redogjorts för. Skatteverket skulle då få framställa om avvikande gallringsföreskrifter på
samma sätt som i dag. En sådan lösning leder dock till ungefär samma situation som våra förslag ovan syftar till att förändra (se avsnitten 12.4.1 och 12.4.2).
Vi har även övervägt om problematiken kan lösas genom att undanta uppgifter och handlingar som behandlas automatiserat i Skatteverkets beskattningsverksamhet från gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen. På så sätt skulle våra förslag i högre utsträckning få avsett resultat och regleringen i skatteförfarandeförordningen och fastighetstaxeringsförordningen skulle även fortsättningsvis tillämpas vid gallring av pappershandlingar. Detta alternativ riskerar dock att ge upphov till viss gränsdragningsproblematik, eftersom den nya datalagen föreslås vara tillämplig även när personuppgifter bara delvis behandlas automatiserat eller om personuppgifterna ingår i eller kommer att ingå i ett register, oavsett format (se avsnitt 7.4.1).85 Även vissa uppgifter som inte behandlas automatiserat, dvs. pappershandlingar, kan därför komma att ingå i det sammanhang där gallring endast får ske i enlighet med Riksarkivets föreskrifter. Därtill föreslås den nya datalagen enbart vara tillämplig vid behandling av personuppgifter och inte vid behandling av uppgifter om juridiska personer och avlidna. Under alla förhållanden skulle en lösning där automatiserad behandling undantas från gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen få till resultat att Skatteverket skulle behöva tillämpa olika regelverk beroende på format och vilken typ av uppgifter det rör sig om.
Vi bedömer att samma gallringsbestämmelser och regelverk bör gälla, oavsett om det rör sig om automatiserad behandling eller inte, och oavsett vilken typ av uppgifter som behandlas. Frågor om gallring och bevarande ingår nämligen primärt i den arkivrättsliga sfären och de hänsyn som ska tas där utgår inte från någon rättslig skillnad mellan personuppgifter och andra uppgifter.
Det mest ändamålsenliga förefaller därmed vara att de avvikande gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen upphävs. På så sätt kommer samtliga uppgifter – oavsett om det är personuppgifter eller uppgifter om juridiska personer, uppgifter om avlidna eller om rena sakförhållanden – gallras
85 Jfr artikel 4.6 i dataskyddsförordningen där register definieras som en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
enligt ett och samma regelverk, dvs. arkivlagen och de föreskrifter som Riksarkivet utfärdar. Här kan också nämnas att Skatteverket har uppgett att befintliga gallringsbestämmelser i skatteförfarandeförordningen och fastighetstaxeringsförordningen är svårtillämpade och svårtolkade och sannolikt bär spår av redigeringsfel. Exempelvis anges de omfatta ”allt” (alla uppgifter och handlingar som kommit in, tagits om hand eller upprättats) men gallringsfristen tar sin utgångspunkt i beskattningsår. Ett flertal uppgifter som förekommer inom beskattningsverksamheten, exempelvis uppgift om att en ansökan om F-skatt beviljats, saknar dock koppling till ett beskattningsår. Genom att bestämmelserna upphävs minskas därmed en oklarhet kring vad som ska gälla avseende hur uppgifter och handlingar ska bevaras eller gallras hos Skatteverket.
Sammanfattningsvis är vår bedömning att det uppnås en högre grad av enhetlighet, ändamålsenlighet och tydlighet om samtliga uppgifter som hanteras av Skatteverket inom beskattningsverksamheten, oavsett om det rör sig om personuppgifter eller andra kategorier av uppgifter, som utgångspunkt bevaras eller gallras med stöd av det arkivrättsliga regelverket.
12.4.9. Skyddet för den personliga integriteten
Vår bedömning: Förslaget om en bestämmelse om längsta tid för
behandling i de nya datalagarna utgör ett adekvat integritetsskydd.
Skälen för vår bedömning
När Riksarkivet meddelar beslut eller föreskrifter om gallring i enlighet med arkivlagen är det rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov som är styrande. Det arkivrättsliga regelverket syftar inte till att tillgodose intresset av integritetsskydd och det gäller endast allmänna handlingar. De bestämmelser om gallring som finns i eller följer av arkivlagen innebär att gallring får ske, men föreskriver inte att gallring ska ske. Som framgår av avsnitt 12.3.1 är dock dagens gallringsbestämmelser i registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten moti-
verade av integritetshänsyn och tvingande för myndigheterna, om inte Riksarkivet meddelat föreskrifter med innebörden att uppgifter och handlingar i stället ska bevaras eller undantas från gallring.
Vårt förslag innebär att inte kommer finnas någon tvingande gallringsbestämmelse och inte heller någon yttersta tidsgräns för behandling i de nya datalagarna. En bestämmelse av det slag vi föreslår ställer följaktligen höga krav på den personuppgiftsansvarige, dvs. Skatteverket, Tullverket respektive Kronofogdemyndigheten. I stället för att utgå från en tydlig yttersta tidsfrist kommer myndigheterna löpande behöva göra prövningar av om det är motiverat att personuppgifter behandlas. Eventuell fortsatt behandling behöver alltså kunna motiveras utifrån de ändamål för vilka personuppgifterna behandlas, såväl inför respektive dataskyddsombud86 som IMY.
En längre tids bevarande av en stor mängd personuppgifter innebär visserligen ett större integritetsintrång för den enskilde. Vi anser dock att det inte går att dra slutsatsen att behandling generellt kommer utsträckas i tid i förhållande till de gallringsfrister som gäller i dag. Med fasta gallringsfrister finns alltid en risk att uppgifter som regel finns tillgängliga i ett verksamhetssystem under hela den tid som anges i fristen, utan att myndigheten prövar om den fortsatta behandlingen är berättigad i förhållande till ändamålet. Den föreslagna bestämmelsen om längsta tid för behandling kommer därmed sannolikt innebära att vissa uppgifter behandlas under en kortare tid än i dag, och att vissa uppgifter behandlas under ungefär lika lång tid som i dag. I vissa fall kommer behandling troligtvis pågå under en längre tid än vad som är tillåtet enligt befintliga gallringsbestämmelser.
Det senare gäller särskilt för Tullverkets del, som saknar de många föreskrivna undantag från gallringsbestämmelserna som kännetecknar gallringsregleringen för Skatteverket och Kronofogdemyndigheten. Tullverket har dessutom gett uttryck för att befintliga gallringsfrister måste utökas för att myndigheten ska ha möjlighet att utföra sina uppdrag, viket tyder på att behandling inom Tullverket generellt kommer att pågå under en längre tid än vad som är tillåtet enligt dagens bestämmelser. Uppgifterna som Tullverket behandlar gäller dock nästan uteslutande ekonomiska uppgifter och uppgifter om affärsförhållanden och i begränsad del fysiska personers personliga förhållanden.87De är därför generellt mindre integritetskänsliga. Uppgifterna be-
86 Artikel 39.1 b i dataskyddsförordningen. 87 Jfr prop. 2015/16:79, En ny tullag, s. 161.
handlas främst för att ligga till grund för fastställande och debitering av tullar och skatter, eller för att Tullverket ska kunna utföra sitt uppdrag att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. Mot den bakgrunden bedömer vi att det eventuella ökade integritetsintrång som en längre tids behandling medför vägs upp av det starka motstående intresset av att Sverige, genom Tullverket, uppfyller sina internationella åtaganden och att nationella regler om in- och utförsel följs.
Den personuppgiftsansvariga myndigheten har också en skyldighet enligt EU:s dataskyddsförordning att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast de uppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, vilket även gäller tiden för uppgifternas lagring.88Det kan alltså komma att krävas att befintliga verksamhetssystem ändras i syfte att kunna tillgodose möjligheten till kontinuerliga bedömningar, snarare än en fast tidsram.
Sammanfattningsvis syftar våra förslag till att anpassa regleringen av hur länge uppgifter får behandlas i verksamheterna till dataskyddsförordningen och de tekniska förutsättningar för personuppgiftsbehandling som råder i dag. Mot det eventuella integritetsintrång förslaget medför bör ställas myndigheternas behov av att kunna bedriva en ändamålsenlig verksamhet och att vårda sina arkiv i enlighet med arkivlagens bestämmelser. Förslagen möjliggör för myndigheterna att i högre utsträckning än i dag behandla personuppgifter i den utsträckning det är nödvändigt för att utföra sina respektive verksamheter i en helt digitaliserad informationshanteringsmiljö. Genom att principen om lagringsminimering motsvaras av en bestämmelse i de nya datalagarna tydliggörs att det är den materiella och processuella regleringen av myndigheternas verksamheter som sätter ramarna för den personuppgiftsbehandling som myndigheterna kan utföra. Förslaget ger ett tydligare och mer överskådligt regelverk som blir både enklare att tillämpa och mer tydligt för den registrerade. Den föreslagna regleringen kan också förväntas bidra till att myndigheterna kan bedriva sin verksamhet på ett effektivare sätt.
Förslaget möjliggör också för myndigheterna att i högre utsträckning än i dag vårda sina arkiv utan att Riksarkivet först måste ha meddelat föreskrifter eller beslut om undantag från tvingande gallringsbestämmelser. Det kan komma att innebära att fler uppgifter än i dag
88 Artikel 25.2 i dataskyddsförordningen.
bevaras i arkiven, vilket innebär att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov kan bli tillgodosedda i högre grad än i dag.
Förslaget innebär dock inte att myndigheterna ges möjlighet att behandla personuppgifter i en större omfattning än vad som är motiverat för att de ska kunna utföra sina uppgifter enligt den nationella rätten och unionsrätten. Det möjliggör inte heller personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin verksamhet. Sådan personuppgiftsbehandling som myndigheterna genomför i syfte att utföra sin verksamhet och följa gällande rätt bör enligt vår mening anses stå i ett rimligt förhållande till det intrång i den personliga integriteten som behandlingen innebär. Vår bedömning är därför att förslaget om att i de nya datalagarna införa en bestämmelse om längsta tid för behandling av personuppgifter, men att inte förena detta med tvingande gallringsbestämmelser, är proportionellt mot det legitima mål som eftersträvas. Det utgör därmed även ett adekvat skydd för den personliga integriteten.
Betänkande av Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden
Stockholm 2023
Framtidens dataskydd
Vid Skatteverket, Tullverket och Kronofogden
Del 2
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet Omslag: Elanders Sverige AB Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023
ISBN 978-91-525-0820-6 (tryck) ISBN 978-91-525-0821-3 (pdf) ISSN 0375-250X
13. Ny reglering av uppgiftslämnande
13.1. Inledning
De registerförfattningar som omfattas av vår översyn innehåller sekretessbrytande bestämmelser som möjliggör utlämnande av sekretessreglerade uppgifter från de berörda verksamheterna. Enligt våra direktiv finns det skäl att ta ställning till om denna reglering är väl avvägd eller om det finns behov av förändringar. I vårt uppdrag ingår dock inte i huvudsak att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet.
I direktiven anges att särskilt för Skatteverkets beskattningsverksamhet finns det ett stort antal bestämmelser om utlämnande till andra myndigheter och andra organ med delvis olika utformning. Enligt direktiven finns det därför anledning att se över bl.a. dessa bestämmelser med utgångspunkten att skapa en mer enhetlig reglering. Eventuella förslag om sekretessbrytande uppgiftsskyldigheter eller utökning av sådana förutsätter att integritetsaspekten har beaktats och att en bedömning gjorts av om behovet av utökad tillgång till information väger tyngre än behovet av skydd för den personliga integriteten. Vårt uppdrag består alltså i att ta ställning till om regleringen av utlämnande av uppgifter är väl avvägd, särskilt avseende hur den är utformad, eller om det finns behov av förändringar, varvid behovet av skydd för den personliga integriteten ska beaktas.
I detta kapitel redogör vi för generella aspekter av informationsutbyte mellan myndigheter och uppgiftslämnande till enskilda samt vissa generella bestämmelser om uppgiftsskyldighet. Frågor som rör olika former av elektroniskt utlämnande behandlas dock särskilt i kapitel 11. I detta kapitel redogör vi även för hur de befintliga bestämmelserna i Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive registerförfattningar är utformade, samt översikt-
ligt bakgrunden till nuvarande bestämmelser. Slutligen redogör vi för våra överväganden avseende vilka förändringsbehov som föreligger, och lämnar förslag på ny reglering. De förslag som lämnas avser Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverkets verksamhet samt Kronofogdemyndighetens verksamhet. Skatteverkets SPAR-verksamhet samt verksamhet med äktenskapsregister- och bouppteckningar behandlas särskilt i kapitel 16 och kapitel 17.
13.2. Utlämnande av uppgifter
13.2.1. Allmänt om informationsutbyte
Alla myndigheter är beroende av att ha tillgång till den information som är avgörande för riktigheten i beslut eller för att olika uppgifter ska kunna utföras. Uppgifter som är av betydelse för myndigheters beslutsfattande m.m. finns ofta hos fysiska eller juridiska personer. Enskilda har därför i många situationer en långtgående uppgiftsskyldighet till myndigheterna och i vissa fall även en skyldighet att bevara visst underlag för att möjliggöra efterhandskontroller. Exempel på detta är bl.a. avdelning VI i skatteförfarandelagen (2011:1244) som behandlar kontrolluppgifter, deklarationer och övriga uppgifter, avdelning VII i samma lag om dokumentationsskyldighet, 1 kap. 12 § tullagen (2016:253) om bevarande av uppgifter, 5 kap. tullagen som behandlar överträdelser och sanktioner vid bl.a. underlåtenhet att fullgöra uppgiftsskyldighet och 4 kap.14–16 §§utsökningsbalken som behandlar upplysningsplikt vid utmätning.
Den information som behövs för att en myndighet ska kunna utföra sina uppgifter finns dock ofta hos en annan myndighet. Utlämnande av uppgifter från en myndighet till en annan kan vara en förutsättning för att den mottagande myndigheten ska kunna få det underlag som behövs för att kunna fatta korrekta beslut. Informationsutbyte mellan myndigheter kan också bidra till att förenkla för enskilda, genom att de inte behöver förse en myndighet med uppgifter som redan lämnats till en annan myndighet, eller visa upp beslut som en annan myndighet redan har fattat. Möjligheten att utbyta uppgifter utgör därför en viktig förutsättning för att myndigheter ska kunna fullgöra sina uppgifter och för en fungerande samverkan mellan myndigheter i övrigt.
Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas verksamhet. Principen kommer bl.a. till uttryck genom rätten att ta del av allmänna handlingar, som regleras i 2 kap. tryckfrihetsförordningen, TF. Genom offentlighetsprincipen ges enskilda rätt att ta del av allmänna handlingar hos Skatteverket, Tullverket och Kronofogdemyndigheten. Offentlighetsprincipen innefattar dock inte någon rätt för myndigheter att ta del av allmänna handlingar. Det har ändå ansetts att offentlighetsprincipen ska tillämpas även myndigheter emellan. Det har också sedan länge ansetts vara en självklar princip att alla myndigheter är skyldiga att samarbeta och bistå varandra i den utsträckning som det kan ske.1
I 6 kap. 5 § offentlighets- och sekretesslagen (2009:400), OSL, finns en bestämmelse som i offentlighets- och sekretesshänseende bekräftar och möjliggör den samarbetsskyldighet som föreligger mellan myndigheter. Av bestämmelsen framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Något krav på att den efterfrågade uppgiften ska finnas i en allmän handling finns inte.2
Skyldigheten för myndigheter att samarbeta och bistå varandra framgår även av flera andra lagar och förordningar. Exempelvis anges i 8 § förvaltningslagen (2017:900) att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter och i 6 § myndighetsförordningen (2007:515) att en myndighet ska verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.
13.2.2. Uppgiftslämnande till myndigheter
Sekretess gäller mellan myndigheter
Uppgifter som behandlas av en myndighet skyddas ofta av bestämmelser som anger att sekretess alltid eller under vissa förutsättningar råder för uppgifterna utanför det sammanhang där de behandlas. Sekretessbestämmelser begränsar i praktiken enskildas rätt att ta del
1SOU 2003:99, Ny sekretesslag, s. 222. 2 Jfr 6 kap. 4 § OSL som anger att en myndighet på begäran av en enskild ska lämna uppgift ur
en allmän handling [vår kursivering] som förvaras hos myndigheten, om inte uppgiften är
sekretessbelagd eller det skulle hindra arbetets behöriga gång.
av allmänna handlingar.3 Sådana bestämmelser innebär också att myndigheter inte kan lämna ut uppgifter fritt till varandra. Om en sekretessbestämmelse är tillämplig för en viss uppgift gäller alltså sekretessen såväl i förhållande till enskilda som i förhållande till andra offentliga aktörer (och andra självständiga verksamhetsgrenar hos myndigheten).4
I avsnitten 3.3.4–3.3.6 har vi redogjort för de sekretessbestämmelser som gäller i Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive verksamheter. Sammanfattningsvis råder som utgångspunkt absolut sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden i Skatteverkets beskattningsverksamhet och för uppgifter som behandlas i beskattningsdatabasen.5 För uppgift om en enskilds personliga förhållanden i Skatteverkets folkbokföringsverksamhet finns en presumtion för offentlighet.6 För vissa särskilt angivna uppgifter eller ärenden gäller dock absolut sekretess eller en presumtion för detsamma.7 I Tullverkets verksamhet och för uppgifter som behandlas i tulldatabasen råder en presumtion för sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden.8 I Kronofogdemyndighetens verksamhet och för uppgifter som behandlas i de olika databaserna råder dock enbart i vissa fall en presumtion för sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden. I många fall råder i stället en presumtion för offentlighet. Endast i undantagsfall, dvs. när Kronofogdemyndigheten har blockerat en uppgift, råder absolut sekretess.9
Det förekommer dock en mängd olika situationer när en myndighets intresse av att ta del av en sekretessbelagd uppgift hos en annan myndighet anses väga tyngre än det intresse som sekretessen ska skydda. Generella bestämmelser som anger att en myndighet får lämna information eller att myndigheter ska samarbeta räcker dock inte för att sekretessen ska brytas.
32 kap. 2 § TF. 4 8 kap. 1–2 §§ OSL. 5 27 kap. 1 och 2 §§ OSL. 622 kap. 1 § första stycket OSL. 722 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL. 8 27 kap. 1–3 §§ OSL. 934 kap. OSL.
Generella sekretsbrytande bestämmelser
I offentlighets- och sekretesslagen finns det vissa generella sekretessbrytande bestämmelser. De sekretessbrytande bestämmelser som gäller till förmån för myndigheter och är tillämpliga på sekretess enligt ett stort antal sekretessbestämmelser finns samlade i kapitel 10 i OSL. Två av de mest centrala generellt sekretessbrytande bestämmelserna är följande.
Enligt 10 kap. 2 § OSL hindrar inte sekretess att en myndighet lämnar ut en uppgift om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sitt uppdrag. Bestämmelsen ska dock tolkas restriktivt och avsikten är inte att sekretessen ska kunna brytas enbart av effektivitetsskäl. Sekretessen får i stället brytas endast om det är en nödvändig förutsättning att en sekretessbelagd uppgift lämnas ut för att den utlämnande myndigheten ska kunna fullgöra sina uppgifter.10
Enligt den s.k. generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. En myndighet kan lämna sekretessbelagda uppgifter till en annan myndighet med tillämpning av generalklausulen på eget initiativ. Det krävs alltså inte att det finns en uttrycklig begäran från en annan myndighet.11 Generalklausulen möjliggör följaktligen informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess även i de fall då det saknas uttryckliga sekretessbrytande regler. Av bestämmelsens andra stycke framgår dock att uppgifter som omfattas av viss sekretess, som hälso- och sjukvårdssekretessen och socialtjänstsekretessen, inte kan lämnas ut med stöd av generalklausulen. En förutsättning för att generalklausulen ska vara tillämplig är dessutom att det inte finns en specialreglering av uppgiftslämnandet i fråga i annan lag eller förordning. Generalklausulen är därmed subsidiär i förhållande till andra sekretessbrytande bestämmelser och ska inte tillämpas i ett fall där någon annan sekretessbrytande bestämmelse kan tillämpas.
Av förarbetena till bestämmelsen framgår att det inte finns något hinder mot att utbyte av uppgifter sker rutinmässigt mellan myndigheter och mellan olika verksamhetsgrenar inom en myndighet.
10Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465. 11Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
Generalklausulen bygger dock på att ett rutinmässigt uppgiftsutbyte av sekretessbelagda uppgifter som utgångspunkt är särskilt författningsreglerat. Endast i undantagsfall kan rutinmässigt uppgiftslämnande som inte är författningsreglerat anses tillräckligt motiverat.12Regeringen har dock i samband med senare författningsändringar gjort bedömningen att det ofta inte är lämpligt att ett omfattande utlämnande av sekretessbelagda uppgifter sker enbart med stöd av den sekretessbrytande generalklausulen.13
Uppgiftsskyldigheter
Att uppgiftsskyldighet i lag eller förordning bryter sekretess i förhållande till andra myndigheter framgår av 10 kap. 28 § OSL. För att sekretessbelagda uppgifter ska kunna lämnas ut från en myndighet till en annan, och om utlämnandet inte kan ske med stöd av någon generellt sekretessbrytande bestämmelse, måste det alltså föreligga en skyldighet i lag eller förordning att lämna ut uppgifterna. Något hinder mot att regeringen genom bestämmelser i en förordning medger att annars sekretessbelagda uppgifter lämnas mellan myndigheterna finns inte. För att en bestämmelse om uppgiftsskyldighet ska ha sekretessbrytande effekt krävs antingen att den föreskriver en skyldighet för en myndighet att lämna ut uppgifter till en annan myndighet eller att den föreskriver en rätt för en myndighet att ta del av uppgifter hos en annan myndighet.14
För att myndigheter ska få tillgång till den information de behöver för att utföra sina uppgifter, men som förvaras hos en annan myndighet, kan det krävas en särskild sekretessbrytande bestämmelse om uppgiftsskyldighet. Det finns ett stort antal bestämmelser som bryter sekretess mellan myndigheter, bl.a. i de nuvarande registerförordningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten. Vissa bestämmelser med den innebörden finns även i registerförordningarna som är tillämpliga i Skatteverkets folkbokföringsverksamhet och SPAR-verksamhet. Sekretessbrytande bestämmelser finns även i särskilda lagar som bl.a. omfattar vissa utpekade myndigheter och som tillkommit i ett visst syfte,
12Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327. 13 Se t.ex. prop. 2015/16:65Utlänningslag, s. 94 och prop. 2016/17:58Uppgifter på individnivå
i arbetsgivardeklarationen, s. 126.
14Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 71.
exempelvis lagen (2008:206) om underrättelseskyldighet vid felaktiga utbetalningar från välfärdssystemen. Sekretessbrytande bestämmelser kan även finnas i materiell reglering. Exempelvis föreskrivs i 42 a kap. 1 § skatteförfarandelagen (2011:1244), SFL, att uppgifter som en myndighet förfogar över och som behövs för kontroll eller beslut enligt den lagen på Skatteverkets begäran ska lämnas till verket.
Uppgiftslämnande till utländsk myndighet
En svensk myndighet har i princip inte någon skyldighet att lämna uppgifter till utländsk myndighet eller en mellanfolklig organisation, oavsett om uppgifterna är sekretessbelagda eller inte, om inte en sådan uppgiftsskyldighet är särskilt föreskriven.15 När det gäller utländska myndigheter föreskrivs dock normalt sett inte uppgiftsskyldighet utan att uppgifter får lämnas ut under vissa förutsättningar.16
En uppgift för vilken sekretess gäller får följaktligen inte lämnas ut till en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnandet sker i enlighet med en särskild bestämmelse i författning. Utlämnande får dock även ske om uppgiften i motsvarande fall skulle få lämnas ut till en svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas ut.17
EU-förordningar anses likställda med svensk lag och även en uppgiftsskyldighet som följer av en EU-förordning bryter därmed eventuell sekretess.18
13.2.3. Uppgiftslämnande till enskilda
Om sekretess gäller för uppgifter som finns hos en myndighet, dvs. också för sådana uppgifter som finns i Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverkets verksamhet eller Kronofogdemyndighetens verksamhet, kan sekretessen brytas i förhållande till en annan myndighet genom en bestämmelse om uppgiftsskyldighet i en annan lag än offentlighets- och sekretesslagen
15 Konstitutionsutskottets betänkande 1982/83: 12, om ändringar sekretesslagen (1980:100), s. 36. 16Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och
säkerhet – anpassningar till EU:s dataskyddsreform, s.44–45.
178 kap. 3 § OSL. 18Prop. 1999/2000:126, En ny tullag, s. 272 och 283.
eller i förordning (10 kap. 28 § OSL). Detsamma gäller dock inte för utlämnande till enskilda.
För enskilda, dvs. fysiska eller juridiska personer utanför den offentliga förvaltningen, gäller i stället att sekretessen enbart kan brytas genom bestämmelse i offentlighets- och sekretesslagen, eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till, vilket framgår av 8 kap. 1 § OSL. Sekretess till skydd för en enskild gäller dock som utgångspunkt inte i förhållande till den enskilde själv (12 kap. 1 § OSL).
Av 27 kap. 7 § OSL följer att vissa sekretessbestämmelser som gäller inom Skatteverkets beskattningsverksamhet (bl.a. avseende uppgifter i beskattningsdatabasen) inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL). Av samma lagrum framgår även att de sekretessbestämmelser som gäller inom Tullverkets verksamhet inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF). De bestämmelser i skattedatabaslagen respektive tulldatabasförordningen som särskilt avser uppgiftslämnande till enskilda bryter alltså förekommande sekretess.19 Bestämmelser om utlämnande till enskilda som finns i andra författningar är inte
i sig sekretessbrytande. Det sagda gäller exempelvis bestämmelserna
om utlämnande till enskilda på medium för automatiserad behandling som finns i förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF) och lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL).
I offentlighets- och sekretesslagen hänvisas inte till Kronofogdemyndighetens registerförfattningar. Bestämmelser som rör utlämnande till enskilda och som finns i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL) och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), har därmed inte en sekretessbrytande verkan.
I offentlighets- och sekretesslagen hänvisas inte heller till registerförfattningarna för folkbokföringsverksamheten. Följaktligen finns
19 2 kap. 5 § SdbL och 7 § TDF.
det inga bestämmelser i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), eller förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF), som bryter eventuell sekretess i förhållande till enskilda.
13.2.4. Uppgiftslämnande och den allmänna dataskyddsregleringen
I avsnitt 3.2.5 har vi redogjort för de grundläggande principerna för behandling av personuppgifter enligt EU:s dataskyddsförordning20och den allmänna dataskyddsregleringen i övrigt. Hantering i form av överföring och mottagande av personuppgifter som aktualiseras vid olika informationsutbyten är en form av behandling enligt dataskyddsförordningen. Den allmänna dataskyddsregleringen är därför tillämplig vid sådant informationsutbyte mellan myndigheter, eller mellan myndigheter och enskilda, som inbegriper personuppgifter.21Det innebär bl.a. att det måste finnas en rättslig grund för den behandling som informationsutbytet innebär, att utbytet inte får avse fler uppgifter än vad som är nödvändigt med hänsyn till ändamålet och att tekniska och organisatoriska åtgärder ska vidtas för att minska de risker för den personliga integriteten som behandlingen innebär. För att uppgifter ska få utbytas krävs dock inte bara att informationsutbytet sker i enlighet med gällande regelverk om dataskydd. Som framgår i avsnitten ovan måste det även vara förenligt med tillämpliga bestämmelser om sekretess. De sekretessbrytande bestämmelser som anger att uppgifter får eller ska lämnas ut utgör en rättslig grund för behandling av personuppgifter genom utlämnande.
Uppgiftslämnande och finalitetsprincipen
Ett uppgiftslämnande från en myndighet till en annan, eller till en enskild, utgör i normalfallet en vidarebehandling av tidigare insamlade uppgifter. Vidarebehandlingen sker i dessa fall ofta för andra ändamål
20 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 21 Artiklarna 2.1 och 4.2 i dataskyddsförordningen.
än de för vilka de ursprungligen samlades in, se avsnitt 8.4.4 om s.k. sekundära ändamål och avsnitt 13.3.1 nedan. Ett utlämnande aktualiserar därför den s.k. finalitetsprincipen. Finalitetsprincipen kommer till uttryck i dataskyddsförordningen genom att det i artikel 5.1 b anges att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Principen innebär att om en tilltänkt behandling av redan insamlade personuppgifter inte omfattas av de ursprungliga ändamålen måste det göras en bedömning av om ändamålet med den senare behandlingen är förenligt med de ursprungliga ändamålen. Vid vidarebehandling av personuppgifter där det tillkommande ändamålet är förenligt med insamlingsändamålen krävs inte någon annan separat rättslig grund än den som möjliggjorde insamlingen av uppgifter från första början, vilket framgår av skäl 50 till dataskyddsförordningen (se avsnitt 8.4.6). Det innebär att om den tillkommande behandlingen är förenlig med insamlingsändamålet vilar den på samma rättsliga grund som insamlandet gjorde.
I dataskyddsförordningen föreskrivs det i artikel 6.4 hur prövningen av om en vidarebehandling är förenligt med insamlingsändamålet som utgångspunkt ska gå till. Vid prövningen ska bl.a. kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen beaktas. Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, samt personuppgifternas art, är också förhållanden som ska beaktas. I enlighet med den s.k. ansvarsprincipen, som framgår av artikel 5.2 i dataskyddsförordningen, är det den personuppgiftsansvariga som ska göra prövningen.
För viss personuppgiftsbehandling som i huvudsak myndigheter utför finns dock särskilda bestämmelser. Om en vidarebehandling är nödvändig för att fullgöra en uppgift av allmänt intresse, eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fastställa för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Om behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige dessutom tillåtas att behandla personuppgif-
terna ytterligare, oavsett om detta är förenligt med ändamålen eller inte (skäl 50 till dataskyddsförordningen). Dataskyddsförordningen ger därmed utrymme för att i nationell rätt föreskriva att ytterligare behandling av personuppgifter får ske, även om den ytterligare behandlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestämmelser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga lagbestämmelser anses utgöra undantag från finalitetsprincipen.22
I förarbetena till brottsdatalagen (2018:1177) har frågan om hur bestämmelser om uppgiftsskyldighet förhåller sig till behandling av personuppgifter för nya ändamål behandlats. Regeringen uttalade då att när det i lag eller förordning föreskrivs att uppgifter ska lämnas har lagstiftaren tagit ställning till att det dels är så viktigt att det ska införas en skyldighet att lämna information, dels att eventuell sekretess ska brytas. Enligt regeringen fick lagstiftaren då också anses ha tagit ställning till att uppgiftslämnandet är nödvändigt och proportionerligt. I sådana fall ansåg regeringen att det inte behövde göras en prövning av om behandlingen av personuppgifterna för det nya ändamålet är nödvändig och proportionerlig.23
I rättsfallet HFD 2021 ref. 10 ansåg Högsta förvaltningsdomstolen att samma synsätt som regeringen gett uttryck för i förarbetena till brottsdatalagen borde anläggas beträffande förhållandet mellan 6 kap. 5 § OSL (se avsnitt 13.2.1 ovan) och finalitetsprincipen enligt EU:s dataskyddsförordning. Domstolen konstaterade att genom sekretessbestämmelser hindras myndigheter från att lämna bl.a. integritetskänsliga uppgifter till andra myndigheter. Domstolen ansåg att lagstiftaren härigenom får anses ha tagit ställning till när ett uppgiftslämnande är oförenligt med det eller de ändamål för vilka uppgifterna samlades in. Av rättsfallet framgår dessutom att den personuppgiftsansvariga myndigheten, utöver sekretessprövningen, inte ska göra någon kontroll av förenligheten med finalitetsprincipen i samband med lämnande av uppgifter enligt 6 kap. 5 § OSL.
22Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 48.
23Prop. 2017/18:232, Brottsdatalag, s. 138.
13.3. Bestämmelser om uppgiftslämnande i registerförfattningarna
13.3.1. Bakgrund till nuvarande reglering
De befintliga registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten är i vissa delar tillämpliga även vid behandling av uppgifter om juridiska personer. Detta framgår av 1 kap. 1 § SdbL, 1 kap. 1 § TDL och 1 kap. 1 § KFMdbL. Regeringen angav i förarbetena att skälet till detta bl.a. var att det i många fall annars skulle bli svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare, genom den ökande användningen av elektroniska akter och elektroniska dokument. Detta medförde enligt regeringen att framför allt elektroniska handlingar som gällde juridiska personer måste behandlas på samma sätt som de som gäller fysiska personer. Möjligheten att lämna ut uppgifter om juridiska personer automatiserat borde därför enligt regeringen regleras på samma sätt som uppgifter om fysiska personer, även om flertalet uppgifter omfattades av sekretess.24
Enligt regeringen borde vidare de grundläggande principerna för att skydda den enskildes integritet regleras i lag medan frågor som inte var centrala från integritetssynpunkt i stället borde regleras i förordning.25 Genom en uppdelning i primära och sekundära ändamål (se avsnitt 8.3.1) skulle det dock bli tydligt hur uppgifterna skulle få användas i den egna verksamheten och hur de skulle få lämnas ut till andra. De sekundära ändamålen borde enligt regeringen regleras i lag i de fall det gick att förutse att informationen regelmässigt skulle komma att användas av andra myndigheter eller i annan författningsreglerad verksamhet. En uppräkning av sekundära ändamål skulle dock inte kunna bli uttömmande, eftersom det inte bedömdes vara möjligt att förutse samtliga de situationer då uppgifter kunde komma att lämnas ut till myndigheter eller andra för olika ändamål.26
Regeringen konstaterade vidare att dåvarande sekretesslagens27regler byggde på att rutinmässigt utlämnande av uppgifter i regel skulle vara författningsreglerat. Enligt regeringens mening borde rutinmäs-
24Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86. 25Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84. 26Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99–100. 27Sekretesslagen (1980:100) upphörde att gälla 2009 i samband med att offentlighets- och sekretesslagen trädde i kraft.
sigt utlämnande även i fortsättningen vara författningsreglerat och sekretessbrytande bestämmelser skulle tas in i förordning.28
I registerlagarna finns dock sedan tillkomsten vissa bestämmelser som reglerar utlämnande genom direktåtkomst som inte i sig är sekretessbrytande, se avsnitt 11.2.2 och avsnitt 13.3.2 nedan. Sekretessbrytande bestämmelser som möjliggör utlämnandet till andra myndigheter i sak, oavsett form, finns dock sedan registerförfattningarnas tillkomst i registerförordningarna. I registerförordningarna, särskilt för beskattningsverksamheten, finns dag fler bestämmelser om uppgiftsskyldighet till andra myndigheter än vid deras tillkomst. Det har alltså tillkommit flera situationer där en annan myndighets intresse av att ta del av en sekretessbelagd uppgift bedömts väga tyngre än det intresse sekretessen ska skydda.
Vad gäller uppgiftslämnande till enskilda finns det i dag enbart två sådana sekretessbrytande bestämmelser i de författningar som omfattas av vårt uppdrag, en för beskattningsverksamheten och en för Tullverket, se avsnitt 13.2.3 ovan. Bestämmelsen som gäller uppgiftslämnande till enskilda från Skatteverkets beskattningsverksamhet, 2 kap. 5 § SdbL, har funnits sedan registerlagens tillkomst. Bestämmelsen anger vilka uppgifter i beskattningsverksamheten som får lämnas ut till en enskild, dock enbart om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs. Den motsvarar i huvudsak 16 § i den upphävda skatteregisterlagen (1980:343).29 I likhet med nuvarande bestämmelse om uppgiftslämnande till enskilda var också bestämmelsen i skatteregisterlagen förenad med en s.k. menprövning. Av förarbetena till bestämmelsen i skatteregisterlagen framgår att den ursprungligen syftade till att på ett enkelt sätt tillgodose arbetsgivares behov av information från skatteregistret, bl.a. om arbetstagarnas personnummer och adresser. Praktiska skäl motiverade dock att uppgifterna även skulle kunna lämnas ut till andra enskilda än arbetsgivare. Uppgifterna bedömdes dessutom inte vara av integritetskänslig natur och menprövningen utformades därför efter den sekretess som skulle gälla för motsvarande uppgifter i folkbokföringsverksamheten.30
Den sekretessbrytande bestämmelse som avser uppgiftslämnande till enskilda från tulldatabasen kom till i sin nuvarande form som en
28Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 112. 29Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 202. 30Prop. 1979/80:146, med förslag till skatteregisterlag, s. 23.
följd av tullkodexens31 krav på tullmyndigheterna att kommunicera elektroniskt.32 Bestämmelsen i 7 § tredje stycket TDF avser utlämnande genom direktåtkomst bl.a. i den mån uppgifterna behövs hos mottagaren för att uppfylla åtgärder, formaliteter eller förpliktelser som föreligger i tullagstiftningen. I förarbetena bedömde regeringen att det dels inte rörde uppgifter som var särskilt integritetskänsliga, dels inte var fråga om att nya eller fler uppgifter skulle lämnas ut, eller att fler aktörer skulle få del av uppgifterna. Eftersom uppgifterna skulle börja lämnas ut genom direktåtkomst krävdes dock enligt regeringen en ny sekretessbrytande bestämmelse.33
13.3.2. Uppgiftslämnande till andra myndigheter genom direktåtkomst
Särskilda sekretessbrytande bestämmelser avseende utlämnandeform
De befintliga registerförfattningarna har sedan tillkomsten innehållit en särskild form av bestämmelser som avser utlämnande genom direktåtkomst. I avsnitt 11.2.2 har vi redogjort för vad som särskiljer utlämnande genom direktåtkomst från andra former av elektroniskt utlämnande, primärt i förhållande till andra myndigheter. Direktåtkomst kan medges till uppgifter som är offentliga som utgångspunkt, och då krävs ingen sekretessbrytande bestämmelse för att göra uppgifterna tillgängliga på detta sätt. Det är dock vanligt att en direktåtkomst omfattar sekretessreglerade uppgifter. Sammanfattningsvis innebär utlämnande genom direktåtkomst av sekretessbelagda uppgifter att samtliga uppgifter som den sekretessbrytande bestämmelsen avser görs tekniskt tillgängliga i samband med att anslutningen upprättas, utan att någon ytterligare prövning sker i samband med att den mottagande aktören hämtar in uppgifter. Direktåtkomst innebär också att samtliga uppgifter som omfattas anses utlämnade i tryckfrihetsförordningens mening, och uppgifterna anses därmed förvarade även hos den mottagande myndigheten. Den sekretessbrytande uppgiftsskyldigheten måste vara formulerad så att den omfattar alla de uppgifter som är tekniskt tillgängliga för den mottagande myndig-
31 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen, se även avsnitten 4.2 och 11.6. 4. 32Prop. 2015/16:175, Unionstullkodexen och elektroniskt uppgiftslämnande, s. 35. 33Prop. 2015/16:175, Unionstullkodexen och elektroniskt uppgiftslämnande, s. 28–29 och 42.
heten när direktåtkomsten är aktiv.34 För att direktåtkomst ska kunna aktualiseras krävs alltså att den sekretessbrytande bestämmelsen är brett formulerad.
I registerlagarna anges i vilka fall direktåtkomst är tillåtet, se 2 kap. 7–8 d §§ SdbL, 2 kap. 8 § FdbL, 2 kap. 7 § TDL och 2 kap. 27 § KFMdbL. Dessa bestämmelser reglerar dock när direktåtkomst får förekomma. Någon skyldighet för myndigheterna att lämna ut uppgifter framgår inte av dessa bestämmelser. För att myndigheterna ska kunna lämna ut sekretessbelagda uppgifter genom direktåtkomst krävs att det finns en sekretessbrytande bestämmelse om uppgiftsskyldighet som omfattar de uppgifter som ska lämnas ut på detta sätt. De sekretessbrytande bestämmelserna som möjliggör utlämnande av sådana uppgifter genom direktåtkomst finns både i registerförordningarna och annan lagstiftning.
I vilka fall direktåtkomst får förekomma regleras i registerlagarna oavsett om uppgiftslämnandet rör uppgifter som är sekretessbelagda eller inte, och oavsett om den sekretessbrytande bestämmelsen finns i registerförordningen eller i annan författning.35 I Skatteverkets folkbokföringsverksamhet är utgångspunkten exempelvis att uppgifterna är offentliga, varför sekretessbrytande bestämmelser inte är nödvändiga för att möjliggöra direktåtkomst. Även i registerlagen för folkbokföringsverksamheten finns dock en bestämmelse med innebörden att andra myndigheter får medges direktåtkomst till uppgifter i folkbokföringsdatabasen.
Särskilt om sekretessbrytande bestämmelser om direktåtkomst i Skatteverkets beskattningsverksamhet
I regleringen av Skatteverkets uppgiftsskyldighet till andra myndigheter finns en särskild systematik avseende direktåtkomst som inte finns i regleringen av myndigheters direktåtkomst till uppgifter hos Tullverket36 och Kronofogdemyndigheten. Den särskilda regleringen har funnits sedan millennieskiftet och har vidhållits i senare lagstift-
34 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 71. 35 Behöriga myndigheter i annat land inom EU får enligt unionsrättsliga bestämmelser ha direktåtkomst till uppgifter om mervärdesskatt i beskattningsdatabasen. I 17 § SdbF finns en upplysningsbestämmelse med motsvarande innebörd. Någon bestämmelse i skattedatabaslagen som medger att utländska behöriga myndigheter har direktåtkomst till uppgifterna som avses finns dock inte. 36 För Tullverkets del finns dock särskilda bestämmelser om direktåtkomst för enskilda, se avsnitten 13.3.5 och 13.7.2 nedan.
ningsärenden avseende utlämnande från beskattningsverksamheten.37För beskattningsverksamheten kompletteras den bestämmelse i skattedatabaslagen som tillåter direktåtkomst i de flesta fall av en sekretessbrytande bestämmelse i skattedatabasförordningen som uttryckligen reglerar utlämnande genom direktåtkomst.38 I samtliga dessa fall finns även en generellt sekretessbrytande bestämmelse i förordningen som avser samma uppgifter som bestämmelsen om direktåtkomsten avser. Den generella sekretessbrytande bestämmelsen reglerar inte formen för utlämnandet, utan anger enbart att uppgifterna som avses över huvud taget får lämnas ut. Ofta kombineras den generella sekretessbrytande bestämmelsen med angivande av de förutsättningar som ska föreligga hos den mottagande myndigheten för att utlämnandet ska få ske, typiskt sett att uppgifterna behövs i viss verksamhet där.
Ett exempel som åskådliggör skillnaden mellan sekretessbrytande bestämmelser som inte rör formen för utlämnande och sekretessbrytande bestämmelser som införts för att möjliggöra direktåtkomst finns i bestämmelsen som avser Skatteverkets uppgiftsskyldighet till Migrationsverket avseende uppgifter på individnivå i arbetsgivardeklarationen. I registerlagens bestämmelse om direktåtkomst, 2 kap. 8 b § SdbL, anges följande.
Migrationsverket får ha direktåtkomst till uppgifter i beskattningsdatabasen, om uppgifterna behövs i ett ärende om dagersättning åt asylsökande enligt lagen (1994:137) om mottagande av asylsökande m.fl. Direktåtkomsten får endast omfatta
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser.
Eftersom den bestämmelsen endast reglerar att direktåtkomst till de angivna uppgifterna över huvud taget får förekomma, och inte föreskriver en skyldighet för Skatteverket att lämna ut uppgifterna, krävs en kompletterande sekretessbrytande bestämmelse för att bryta den sekretess som gäller för uppgifter. Som nämnts i avsnitt 13.2.2 måste
37 Se bl.a. prop. 2000/01:33, Behandling av uppgifter inom skatt, tull och exekution, s. 112 och 131–132, och prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 131. 38 För socialnämnderna, som har rätt att ta del av vissa uppgifter i beskattningsdatabasen via direktåtkomst, finns de sekretessbrytande bestämmelserna i andra författningar än i skattedatabasförordningen.
det nämligen föreligga en skyldighet att lämna ut uppgifterna för att sekretess ska brytas enligt 10 kap. 28 § OSL.
Beskattningsverksamhetens uppgiftsskyldighet i fråga om direktåtkomst regleras i 8 b § tredje stycket SdbF. Den aktuella bestämmelsen i sin helhet har dock följande lydelse.
Till Migrationsverket ska uppgifter lämnas ut från beskattningsdatabasen i den utsträckning det behövs för beräkning eller kontroll av dagersättning enligt lagen (1994:137) om mottagande av asylsökande m.fl. De uppgifter som ska lämnas ut med stöd av första stycket är
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244),
2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och
3. uppgift om den redovisningsperiod som deklarationen avser. Migrationsverket har rätt att ta del av uppgifterna vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 b § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Den sekretessbrytande bestämmelsen avseende direktåtkomst finns i 8 b § tredje stycket SdbF. Den generella sekretessbrytande bestämmelsen, som möjliggör utlämnande i annan form än genom direktåtkomst, finns i 8 b § första stycket SdbF. Bestämmelsens andra stycke, som specificerar de uppgifter som avses, gäller följaktligen både för den generella och den särskilda sekretessbrytande bestämmelsen.
I förarbetena till 2 kap. 8 b § SdbL och de sekretessbrytande bestämmelserna i 8 b § SdbF bedömde regeringen att två former av sekretessbrytande bestämmelser borde införas beroende på formen för utlämnande av uppgifter, i syfte att åstadkomma ett så starkt integritetsskydd som möjligt. Eftersom direktåtkomst förutsätter en vidare sekretessbrytande bestämmelse borde enligt regeringen en särskild bestämmelse gälla för sådant utlämnande. Den bestämmelsen skulle ge Migrationsverket rätt att ta del av den aktuella typen av uppgifter vid direktåtkomst. Regeringen bedömde dock även att en annan sekretessbrytande bestämmelse borde införas för andra former av utlämnande. En sådan bestämmelse borde enligt regeringen ta sikte på uppgifter som i enskilda fall behövs för handläggningen av ärenden om dagersättning.39
39Prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 137.
Regeringen har även i ett tidigare lagstiftningsärende avseende Kronofogdemyndighetens direktåtkomst till vissa uppgifter i beskattningsdatabasen bedömt att integritetsskyddet blir starkare om det på lag- eller förordningsnivå tas in två olika typer av sekretessbrytande bestämmelser beroende på formen för utlämnande av uppgifter. Det rörde sig då dels om en sekretessbrytande bestämmelse som tog sikte på uppgiftslämnande i enskilda fall och som kunde användas vid utlämnande av uppgifter t.ex. via telefon eller mejl, dels en vidare sekretessbrytande bestämmelse som bara gällde vid direktåtkomst.40
13.3.3. Uppgiftslämnande från Skatteverkets beskattningsverksamhet
Uppgiftslämnande till enskilda
I registerförfattningarna för Skatteverkets beskattningsverksamhet finns flera bestämmelser som reglerar olika former av elektroniskt utlämnande av uppgifter från beskattningsdatabasen. Bestämmelser om olika former av elektroniskt utlämnande till enskilda finns dock i skattedatabasförordningen och är inte sekretessbrytande i sig, se avsnitt 13.2.3.41 I 2 kap. 5 § SdbL finns i stället den bestämmelse som bryter sekretess i förhållande till andra enskilda än den enskilde själv. Av bestämmelsen framgår att vissa uppgifter i databasen får lämnas ut till en enskild, om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs.
Det finns dock en sekretessbrytande bestämmelse som avser uppgiftslämnande till enskilda även i skattedatabasförordningen. I 8 d § SdbF anges nämligen att uppgifter ska lämnas från databasen till arbetslöshetskassorna i den utsträckning det behövs för beräkning eller kontroll av arbetslöshetsersättning. Som framgår av avsnitt 13.2.3 nämns inte skattedatabasförordningen i 27 kap. 7 § OSL. Bestämmelsen om uppgiftsskyldighet i förhållande till arbetslöshetskassorna är dock sekretessbrytande trots att den inte förekommer i en författning som det hänvisas till i offentlighets- och sekretesslagen. Arbetslöshetskassor är visserligen inte myndigheter, men deras handläggning av arbetslöshetsförsäkringen utgör myndighetsutövning. I samband
40Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 21. 41 9–14 och 16 §§ SdbF, jfr 27 kap. 7 OSL.
med att den sekretessbrytande bestämmelsen i skattedatabasförordningen infördes konstaterade regeringen att av 2 kap. 4 § jämfört med 1 kap. 1 § OSL och den lagens bilaga framgår att arbetslöshetskassornas prövning av ärenden om arbetslöshetsersättning omfattas av offentlighetsprincipen och att de beträffande den verksamheten ska betraktas som myndigheter.42 Sekretess kan därmed brytas i förhållande till arbetslöshetskassor genom en författningsreglerad uppgiftsskyldighet, i likhet med vad som gäller för myndigheter.
Uppgiftslämnande till myndigheter och andra verksamhetsgrenar
I skattedatabasförordningen finns ett stort antal sekretessbrytande bestämmelser till förmån för andra myndigheter, och andra självständiga verksamhetsgrenar inom Skatteverket.43 Bestämmelser som särskilt avser direktåtkomst har behandlats i avsnitt 13.3.2. Utöver de bestämmelser som särskilt avser utlämnande genom direktåtkomst finns det i dag en stor variation i hur bestämmelser som föreskriver att uppgifter ska lämnas ut är utformade.
Utlämnande av uppgifter på begäran
De sekretessbrytande bestämmelserna i skattedatabasförordningen föreskriver i de flesta fall att uppgifter ska lämnas ut på begäran av en särskild myndighet eller verksamhetsgren. Det är bestämmelserna som avser uppgiftslämnande till Skatteverkets brottsbekämpande verksamhet, Skatteverkets folkbokföringsverksamhet, Skatteverkets verksamhet för evenemangsstöd, Kronofogdemyndigheten, Tullverket, Centrala studiestödsnämnden, Inspektionen för socialförsäkringen, Polismyndigheten, Statistiska centralbyrån, Tillväxtverket, länsstyrelserna, Inspektionen för vård och omsorg, Myndigheten för tillväxtpolitiska utvärderingar och analyser, Kammarkollegiet, Ekobrottsmyndigheten, Kustbevakningen, Polismyndigheten, Säkerhetspolisen, Åklagarmyndigheten, allmänna domstolar, Rättshjälpsmyndigheten och Rättshjälpsnämnden.
Till Kronofogdemyndigheten ska vissa grunduppgifter om en enskild lämnas ut på begäran, utan närmare angivande av förutsättning-
42Prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 143. 43 4–8 m §§ SdbF.
arna för utlämnandet.44 Skatteverket ska även lämna ut ytterligare uppgifter om en person som förekommer hos Kronofogdemyndigheten i vissa angivna sammanhang.45 Något uttryckligt krav på att de angivna uppgifterna ska behövas hos mottagaren finns dock inte i de sekretessbrytande bestämmelserna avseende uppgiftslämnande till Kronofogdemyndigheten.
Även till Tullverket ska vissa grunduppgifter lämnas ut på begäran utan närmare angivande av de närmare förutsättningarna för utlämnandet.46 Skatteverket ska även lämna ut ytterligare uppgifter om en person som på olika sätt är aktuell hos Tullverket, är eller kan antas vara skattskyldig enligt vissa bestämmelser, eller som förekommer i ett särskilt angivet unionsrättsligt administrativt samarbete i fråga om punktskatter.47 Något uttryckligt krav på att uppgifterna ska behövas hos mottagaren finns alltså inte heller i de sekretessbrytande bestämmelserna avseende uppgiftslämnande till Tullverket.
Utöver föreskrivet uppgiftslämnande till Kronofogdemyndigheten och Tullverket anger bestämmelserna om utlämnande på begäran att utlämnande endast ska ske i den utsträckning uppgifterna behövs, eller ibland uttryckt som uppgifter som den mottagande myndigheten behöver, för vissa angivna verksamheter eller arbetsuppgifter.48I dessa fall föreligger ett krav på att den mottagande myndigheten ska ha ett behov av uppgifterna.
Utlämnande av uppgifter i den uträckning det behövs
I vissa fall är de sekretessbrytande bestämmelserna formulerade utan att ange att utlämnandet ska ske på begäran. I dessa fall anges enbart att uppgifter ska lämnas ut från beskattningsdatabasen i den uträckning det behövs för särskilt angiven verksamhet hos den mottagande myndigheten. Det är bestämmelserna som avser uppgiftslämnande till Statens tjänstepensionsverk, Pensionsmyndigheten, Arbetsförmedlingen, samt den i avsnittet ovan nämnda bestämmelsen om uppgiftslämnande till arbetslöshetskassorna.49
44 4 § första stycket, första meningen SdbF. 45 4 § första stycket, andra meningen SdbF. 46 5 a § SdbF. 47 5 § första stycket SdbF. 48 5 b–6, 8, 8 e och 8 g–8 m §§ SdbF. 49 7 a, 7 c och 8 c– 8 d §§ SdbF.
Utlämnande av uppgifter både på begäran och/eller i den utsträckning det behövs
I bestämmelser som avser uppgiftslämnande till Försäkringskassan och Migrationsverket förekommer båda varianterna, dvs. bestämmelserna anger i vissa fall att uppgifter ska lämnas ut på begäran i kombination med i den utsträckning det behövs. I andra fall anges enbart att uppgifter ska lämnas ut i den utsträckning det behövs för viss angiven verksamhet hos den mottagande myndigheten.50
De uppgifter som avses
Även i frågan om vilka uppgifter som ska lämnas ut är de sekretessbrytande bestämmelserna i skattedatabasförordningen olika utformade. I flera fall hänvisas till en eller flera punkter i den uppräkning i 2 kap. 3 § SdbL över vilka uppgifter som i dag får behandlas i beskattningsdatabasen.51
I andra fall specificeras uppgifterna som ska lämnas ut genom ett uttryckligt angivande av de uppgifter som avses, eller genom hänvisningar till bestämmelser i andra författningar eller bestämmelser i skattedatabasförordningen.52
Till Inspektionen för socialförsäkringen (ISF) ska uppgifter lämnas ut på begäran utan angivande av annat än att uppgifterna ska behövas för den myndighetens systemtillsyn och effektivitetsgranskning enligt vissa bestämmelser i ISF:s instruktion.53 De bestämmelser som den sekretessbrytande bestämmelsen hänvisar till anger dock inte närmare vilka uppgifter som avses.54 Inte heller i bestämmelsen om visst föreskrivet uppgiftslämnande till Polismyndigheten anges närmare vilka uppgifter som avses, utan enbart att uppgifterna ska behövas i viss verksamhet.55
Som vi nämnt ovan är bestämmelserna som avser Skatteverkets utlämnande till Tullverket och Kronofogdemyndigheten utformade på ett sådant sätt att de uppgifter som ska lämnas ut också avgränsas
50 7 § första och fjärde stycket samt 8 a och 8 b §§ SdbF. 51 4–5 d, 8 g, 8 h och 8 j–8 k §§ SdbF. 52 6–7 a, 7 c, 8 b–8 d, 8 i och 8 l §§ samt 8 m § andra stycket SdbF. 53 7 b § SdbF. 54 2 § 3 och 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen. 55 7 b och 7 d §§ SdbF.
genom att de bara får avse personer som är aktuella i vissa sammanhang hos mottagaren.56
Bestämmelsernas struktur i övrigt
Även i andra avseenden än de som nämnts ovan finns skillnader mellan hur olika bestämmelser utformats.
Bestämmelser om uppgiftslämnande till en och samma myndighet finns i vissa fall på olika ställen, beroende på för vilket behov uppgifterna ska lämnas ut. Detta gäller för utlämnande till Tullverket, Polismyndigheten och Statistiska centralbyrån.57
I vissa fall anges att vissa uppgifter ska lämnas ut, och därefter vilka behov som måste föreligga för att så ska ske.58 I andra fall anges först vilka behov som måste föreligga för att ett utlämnande ska få ske, och därefter vilka uppgifter som ska lämnas ut.59
13.3.4. Uppgiftslämnande från Skatteverkets folkbokföringsverksamhet
Uppgiftslämnande till enskilda och nordiska registreringsmyndigheter
Uppgiftslämnande till enskilda
Som redan nämnts är uppgifter som registreras i folkbokföringsdatabasen som utgångspunkt offentliga. Inom folkbokföringsverksamheten kan vissa uppgifter ändå vara sekretessbelagda, se avsnitt 3.3.4.
I folkbokföringsdatabasförordningen föreskrivs i vilka situationer Skatteverket får lämna uppgifter till enskilda på s.k. medium för automatiserad behandling (se avsnitt 11.2.3).60 Det finns även bestämmelser om enskildas direktåtkomst.61 Som redan påpekats hänvisar inte offentlighets- och sekretesslagen till folkbokföringsdatabasförordningen. Det innebär att bestämmelserna om när olika former av elektroniskt utlämnande får användas inte är sekretessbrytande. Den
56 4 och 5 §§ SdbF. 57 5, 5 a, 7 d, 8, 8 e och 8 l §§ SdbF. 58 Jfr t.ex. 8 g § SdbF. 59 Jfr t.ex. 7 § SdbF. 60 13–15 a §§ FdbF. 61 16 och 17 §§ FdbF.
sekretess som i vissa fall kan gälla för uppgifter i folkbokföringsverksamheten påverkas alltså inte av bestämmelserna om i vilka fall uppgifter får lämnas ut elektroniskt till enskilda.
I folkbokföringsdatabasförordningen finns dock en bestämmelse om utlämnande på medium för automatiserad behandling som, trots att den inte är sekretessbrytande, fyller en särskild funktion utöver att reglera formen för utlämnandet. Som utgångspunkt ska enskilda hänvisas till Statens personadressregister, SPAR, när personuppgifter begärs ut för kontroll- eller urvalsändamål. Detta framgår av 6 § lagen (1998:527) om det statliga personadressregistret, SPAR-lagen, som hänvisar till 3 § samma lag. Av 6 § SPAR-lagen framgår dock även att enskilda ska hänvisas till SPAR om inte annat följer av lag eller förordning. Av 13 § FdbF följer att vissa uppgifter från folkbokföringsdatabasen får lämnas ut till Svenska kyrkan för de ändamål som anges i 1 kap. 4 § 5 och 6 FdbL, dvs. kontroll- och urvalsändamål. Det innebär att Svenska kyrkan har möjlighet att hämta personuppgifter direkt från Skatteverkets folkbokföringsverksamhet.
Uppgiftslämnande till utländska myndigheter
Som nämnts tidigare har en svensk myndighet i princip inte någon skyldighet att lämna uppgifter till utländsk myndighet eller en mellanfolklig organisation, oavsett om uppgifterna är sekretessbelagda eller inte, om inte en sådan uppgiftsskyldighet är särskilt föreskriven.62
Av artikel 4 i bilagan till lagen (2005:268) om överenskommelse mellan Danmark, Finland, Island, Norge och Sverige om folkbokföring framgår att visst uppgiftslämnande ska ske mellan de centrala registreringsmyndigheterna i fråga om folkbokföring, men enbart i den utsträckning uppgifterna kan antas vara nödvändiga för bedömningen av bosättningsfrågan, eller om det är fråga om att underrätta om de beslut som fattas.
Av 14 § FdbF framgår att uppgifter om en nordisk medborgare som är folkbokförd i Sverige får lämnas till central registreringsmyndighet för folkbokföring i det nordiska land personen är medborgare i för de ändamål som anges i 1 kap. 4 § 5 och 6 FdbL, dvs. kontroll- och urvalsändamål. I likhet med bestämmelsen i 13 § FdbF anges detta i ett sammanhang som reglerar formen för utlämnande.
62 Konstitutionsutskottets betänkande 1982/83: 12, om ändringar sekretesslagen (1980:100), s. 36.
Trots det förefaller bestämmelsen ha en betydelse även i andra avseenden än gällande formen för utlämnandet. Genom bestämmelsen i 14 § FdbF föreskrivs nämligen ett mer omfattande utlämnande än det som följer av artikel 4 i bilagan till lagen om överenskommelse mellan Danmark, Finland, Island, Norge och Sverige om folkbokföring.
Uppgiftslämnande till myndigheter
I folkbokföringsdatabasförordningen föreskrivs vissa av Skatteverkets underrättelseskyldigheter i förhållande till ett antal andra myndigheter. Skatteverket ska enligt dessa skyldigheter underrätta mottagaren av informationen om att registrering av vissa uppgifter skett, samt vissa andra förhållanden.63 Det innebär att Skatteverket på eget initiativ ska lämna ut de angivna uppgifterna. De myndigheter som Skatteverket har en underrättelseskyldighet till är Statistiska centralbyrån, socialnämnderna, Försäkringskassan, Pensionsmyndigheten och Socialstyrelsen. Eftersom bestämmelserna föreskriver att Skatteverket ska lämna underrättelserna bryter de eventuell sekretess.
Till skillnad från de sekretessbrytande bestämmelserna i skattedatabasförordningen är bestämmelserna om Skatteverkets underrättelseskyldighet i folkbokföringsverksamheten enhetligt utformade. Bestämmelserna anger att underrättelse ska ske, när den ska ske, till vilken myndighet, samt uttryckligen vilka uppgifter som avses. Bestämmelserna föreskriver även i vissa fall om förfarandet vid underrättelse, exempelvis när det ska ske.64
13.3.5. Uppgiftslämnande från Tullverkets verksamhet
Uppgiftslämnande till enskilda
Liksom för beskattningsverksamheten och folkbokföringsverksamheten finns det i tulldatabasförordningen vissa bestämmelser som reglerar när olika former av elektroniskt utlämnande får förekomma. Eftersom 27 kap. 7 § OSL hänvisar till tulldatabasförordningen kan bestämmelserna bryta förekommande sekretess. Flera av bestämmel-
63 6–9 §§ FdbF. 64 Se 6 § andra stycket och 7 § andra och tredje styckena FdbF,
serna som reglerar formen för utlämnande avser dock utlämnande av uppgifter om en enskild till den enskilde själv eller dennes ombud. Då sekretess till skydd för en enskild normalt inte gäller i förhållande till den enskilde själv kan bestämmelser som avser sådant utlämnande inte anses ha en sekretessbrytande funktion.
I tulldatabasförordningen finns dock även en bestämmelse som avser utlämnande av andra uppgifter än om den enskilde själv genom direktåtkomst. Bestämmelsen har ansetts ha en särskild sekretessbrytande funktion, se avsnitt 13.2.3 ovan. Utöver den bestämmelse som avser enskildas direktåtkomst till uppgifter i tulldatabasen om andra än den enskilde själv finns det dock ingen ytterligare sekretessbrytande bestämmelse i förhållande till enskilda i tulldatabasförordningen.
Uppgiftslämnande till myndigheter
Bestämmelser om utlämnande av uppgifter som rör import eller export av varor finns i 1 kap.4 och 5 §§tullagen. Sekretessbrytande bestämmelser i förhållande till andra myndigheter finns alltså primärt någon annanstans än i registerförfattningarna, vilket också framgår upplysningsvis i tulldatabasförordningen.65
I 1 kap. 4 § tullagen anges att Tullverket på begäran ska tillhandahålla vissa myndigheter uppgifter som förekommer hos Tullverket och som rör import eller export av varor. I 1 kap. 5 § tullagen föreskrivs en underrättelseskyldighet för Tullverket i förhållande till Skatteverket. Underrättelseskyldigheten gäller när det finns anledning att anta att någon på annat sätt än muntligen har lämnat eller kommer att lämna en oriktig uppgift till Skatteverket, eller inte har lämnat eller inte kommer att lämna mervärdesskattedeklaration, kontrolluppgift eller annan föreskriven uppgift till Skatteverket, och det därigenom finns risk för att mervärdesskatt undandras eller felaktigt tillgodoräknas eller betalas tillbaka.
Utöver vad som föreskrivs i tullagen ska vissa uppgifter lämnas ut på begäran av Skatteverket om uppgiften avser en person som förekommer i ett ärende hos Skatteverket eller som annars är föremål för Skatteverkets kontrollverksamhet avseende mervärdesskatt vid im-
65 4 § TDF.
port.66 Något ytterligare krav på att uppgifterna ska behövas i Skatteverkets verksamhet finns inte. De uppgifter som avses anges genom en hänvisning till 2 kap. 3 § TDL. I den bestämmelsen finns en uppräkning av de uppgifter som får behandlas i tulldatabasen.
Enligt tulldatabaslagen får Skatteverket och Kronofogdemyndigheten ha direktåtkomst till vissa uppgifter som behandlas i tulldatabasen.67 Till skillnad från hur regleringen för Skatteverkets beskattningsverksamhet är strukturerad finns det dock inga sekretessbrytande bestämmelser som särskilt avser direktåtkomst i tulldatabasförordningen. Den uppgiftsskyldighet till Skatteverket som föreskrivs i förordningen avser i och för sig samma uppgifter i tulldatabasen som anges i lagens bestämmelse om direktåtkomst. Däremot anges i förordningen att uppgifterna ska lämnas på begäran och under förutsättning att de avser en person som förekommer i ett ärende hos Skatteverket eller som annars är föremål för Skatteverkets kontrollverksamhet avseende mervärdesskatt vid import. I förordningen finns ingen bestämmelse som avser utlämnande av uppgifter till Kronofogdemyndigheten, som enligt tulldatabaslagen får ha direktåtkomst till samma uppgifter som Skatteverket.
I tulldatabasförordningen finns även en bestämmelse om uppgiftsskyldighet till en offentlig aktör som dock inte förefaller vara sekretessbrytande. Det rör sig om bestämmelsen i 4 a § TDF, som anger att uppgifter i tulldatabasen på begäran ska lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet. Tullverkets verksamhetsgrenar anses dock inte vara så självständiga att sekretess ska råda för utbyte av information mellan dem.68 Det går därmed att ifrågasätta om det finns någon sekretess att bryta mellan Tullverkets olika enheter. Vid bestämmelsens tillkomst konstaterade regeringen att det inte kunde anses utrett att sekretess förelåg mellan Tullverkets olika verksamhetsgrenar. Eftersom det vid tidpunkten fanns olika uppfattningar i frågan borde det dock enligt regeringen säkerställas att det inte fanns något sekretesshinder för den direktåtkomst som skulle få förekomma.69
66 4 § TDF. 67 2 kap. 7 § TDL. 68 Jfr SOU 2003:99, Ny sekretesslag, s. 280. 69Prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 100–101.
13.3.6. Uppgiftslämnande från Kronofogdemyndighetens verksamhet
Uppgiftslämnande till enskilda
För Kronofogdemyndighetens verksamhet finns flera olika bestämmelser om sekretess, se avsnitt 3.3.6. I viss verksamhet som Kronofogdemyndigheten utför är utgångspunkten att uppgifterna är offentliga. I andra situationer råder en presumtion för sekretess, och i enstaka fall gäller absolut sekretess för uppgifterna. Liksom i övriga registerförfattningar innehåller framför allt kronfogdedatabasförordningen, bestämmelser som reglerar när olika former av elektroniskt utlämnande får användas.70 Som framgår av avsnitt 13.2.3 finns det dock ingen hänvisning Kronofogdemyndighetens registerförfattningar i offentlighets- och sekretesslagen till. Därmed har ingen av de bestämmelser som reglerar formerna för utlämnandet till enskilda en sekretessbrytande funktion.
Uppgiftslämnande till myndigheter
Enligt kronofogdedatabaslagen får Skatteverkets beskattningsverksamhet, Tullverket och Säkerhetspolisen ha direktåtkomst till vissa uppgifter som behandlas i utsöknings- och indrivningsdatabasen.71Till skillnad från hur regleringen för Skatteverkets beskattningsverksamhet är uppbyggd finns det dock inga sekretessbrytande bestämmelser som särskilt avser direktåtkomst i kronofogdedatabasförordningen. Den uppgiftsskyldighet som föreskrivs i förordningen, och som möjliggör den direktåtkomst som enligt lagen får förekomma, avser i och för sig samma uppgifter i utsöknings- och indrivningsdatabasen som anges i lagens bestämmelse om direktåtkomst, och till samma mottagare. Däremot anges att uppgifterna ska lämnas på begäran och under förutsättning att uppgifterna avser en person som förekommer i ett ärende hos den myndighet som begär att få ut uppgiften, eller för Säkerhetspolisens räkning, ett särskilt angivet slags ärende.72
Kronofogdemyndigheten har därutöver även en skyldighet att lämna uppgifter till Skatteverkets folkbokföringsverksamhet. Även
70 9–17 §§ KFMdbF. 71 2 kap. 27 § KFMdbL. 72 7 och 8 §§ KFMdbF.
den bestämmelsen föreskriver att uppgiftslämnandet ska ske på begäran och om det behövs för handläggning av ärenden eller kontroll. Bestämmelsen är dock utformad på ett annat sätt än Kronofogdemyndighetens övriga uppgiftsskyldigheter, eftersom den uttryckligen anger vilka uppgifter som avses, utan hänvisning till uppgifter som får behandlas i någon av myndighetens databaser. Den pekar inte heller ut en särskild personkrets.73
13.4. Generella överväganden och förslag
13.4.1. Nuvarande reglering är inte väl avvägd
Vår bedömning: Dagens reglering om uppgiftslämnande är ut-
formad på ett sätt som inte är väl avvägt och det finns behov av förändringar.
Det finns även behov av en anpassning till våra förslag avseende den nya dataskyddsregleringens tillämpningsområde och struktur i övrigt.
Skälen för vår bedömning
Bestämmelsernas generella utformning
Bestämmelser i Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar som avser uppgiftslämnande kan uppfattas som förhållandevis komplexa och svårtillgängliga. Dels reglerar de den utlämnande myndighetens handlande (dvs. att utlämnandet ska ske) dels måste bestämmelserna tolkas som att de även reglerar den mottagande myndighetens handlingsutrymme (dvs. i vilka situationer uppgifterna får hämtas in). Utlämnandet förutsätter alltså normalt att ett visst behov föreligger hos mottagaren, som kan vara mer eller mindre precist beskrivet. Vilka behov som ska föreligga hos den mottagande myndigheten anges dessutom inledningsvis i vissa bestämmelser, och de uppgifter som ska lämnas ut därefter. I andra fall anges att vissa uppgifter ska lämnas ut, och först därefter vilka behov som ska föreligga hos mottagaren för att så ska få ske. Även om bestämmelserna i sak inte förändras av en sådan nyansskillnad riske-
73 7 a § KFMdbF.
rar den att bidra till en osäkerhet i frågan om någon skillnad i sak är avsedd eller inte. Vilka uppgifter som ska lämnas ut är dessutom beskrivet på olika sätt i olika bestämmelser. I vissa fall kan det vara svårt att förstå vilka uppgifter som faktiskt avses enbart genom att läsa den bestämmelse som reglerar utlämnandet. Så kan exempelvis vara fallet om bestämmelsen inte hänvisar till några särskilda uppgifter utan enbart till behovet hos mottagaren, eller om den hänvisar till annan lagstiftning. Som vi konstaterat i avsnitt 13.3.3 finns det särskilt för Skatteverkets beskattningsverksamhet en stor variation i hur bestämmelser som föreskriver att uppgifter ska lämnas ut är utformade.
Vår bedömning är att de befintliga bestämmelsernas utformning riskerar att bidra till en osäkerhet om vad som gäller för olika föreskrivna utlämnanden. Bestämmelsernas utformning måste därför i flera fall anses vara mindre väl avvägd. De nuvarande bestämmelserna om uppgiftslämnande i skattedatabasförordningen är dessutom svåröverskådliga, med en mängd underparagrafer (särskilt 8–8 m §§ SdbF bör nämnas) som avser utlämnande till olika aktörer. Vissa av bestämmelserna i den förordningen har därtill förändrats och blivit mycket omfattande på grund av tillägg. Komplexiteten, både avseende struktur och i språkligt hänseende, har lett till att regleringen har blivit svår att både förstå och överblicka. I synnerhet bestämmelser som reglerar utlämnande från beskattningsverksamheten är därför i behov av en förenkling, ökad enhetlighet och omstrukturering. Tydligare och mindre komplicerade bestämmelser skulle enligt vår mening bidra till att underlätta tillämpningen och bidra till både offentliga aktörers och enskildas möjlighet att förstå bestämmelserna. Det finns följaktligen ett behov av att skapa en större enhetlighet och förenkling av bestämmelser som avser utlämnande av uppgifter från Skatteverket, Tullverket och Kronofogdemyndigheten. För att inte komplicera vare sig tillämpningen eller möjligheten för enskilda att tillgodogöra sig bestämmelsernas betydelse anser vi att en väl avvägd reglering bör vara så enhetligt utformad som möjligt.
Bestämmelser som avser direktåtkomst
Som framgår av avsnitt 13.3.3 jämfört med avsnitten 13.3.4–13.3.6 finns det särskilt för Skatteverkets beskattningsverksamhet en stor variation i hur bestämmelser som föreskriver att uppgifter ska läm-
nas ut till någon annan offentlig aktör är utformade. I vissa fall ska uppgifter lämnas ut på begäran. I andra fall ska uppgifter lämnas ut i den utsträckning uppgifterna behövs i den mottagande myndighetens verksamhet, utan något krav på att mottagaren ska begära ut uppgifterna. Det finns även bestämmelser om uppgiftsskyldighet som inte föreskriver något krav på ett behov av uppgifterna hos mottagaren, och i andra fall anges inte vilka uppgifter som avses.
Som framgår av avsnitt 13.3.2 finns det dessutom en särskild sorts kompletterande sekretessbrytande bestämmelser för utlämnande av uppgifter från beskattningsdatabasen genom direktåtkomst, som också kompletteras av en mer generell sekretessbrytande bestämmelse. Regeringen har i vissa fall motiverat detta med att integritetsskyddet blir starkare om två olika typer av sekretessbrytande bestämmelser införs, dels en sekretessbrytande bestämmelse som tar sikte på uppgiftslämnande i enskilda fall, dels en vidare sekretessbrytande bestämmelse som bara gäller vid direktåtkomst. Enligt vår mening är det dock svårt att se något annat motiv bakom att införa en särskild sekretessbrytande bestämmelse som bara gäller direktåtkomst än att regeringen har ansett att en sådan bestämmelse har behövts för att direktåtkomst alls ska vara tillåten. Den generella sekretessbrytande bestämmelsen förefaller alltså ha ansetts vara för snäv för att direktåtkomst ska vara möjligt, exempelvis om den anger att utlämnande ska ske på begäran.
För Tullverkets och Kronofogdemyndighetens utlämnande genom direktåtkomst av uppgifter i tulldatabasen respektive utsöknings- och indrivningsdatabasen finns dock inga särskilda sekretessbrytande bestämmelser som enbart avser direktåtkomst, trots att det i de sekretessbrytande bestämmelserna anges att utlämnandet ska ske på begäran (se avsnitt 13.3.5 om Tullverket och avsnitt 13.3.6 om Kronofogdemyndigheten). Utmärkande för ett utlämnande genom direktåtkomst är dock att det inte föregås av någon begäran från den mottagande myndigheten i det enskilda fallet (se avsnitt 11.2.2). Som vi tidigare nämnt anses alla uppgifter som omfattas av direktåtkomsten utlämnade i samma stund som förbindelsen mellan myndigheterna upprättas och är aktiv.
När bestämmelserna om direktåtkomst till uppgifter hos Tullverket och Kronofogdemyndigheten infördes förefaller regeringen dock ha avsett att direktåtkomst skulle få förekomma. Regeringen konstaterade att dåvarande Riksskatteverket redan hade direktåtkomst till uppgifter hos Tullverket och bedömde att det inte fanns anledning
att begränsa de möjligheter till ett effektivt samarbete som då fanns. Regeringen ansåg därför att såväl Riksskatteverket som skattemyndigheterna skulle få ha direktåtkomst till tulldatabasen. Även dåvarande kronofogdemyndigheterna skulle få ha direktåtkomst till vissa uppgifter i tulldatabasen, mot bakgrund av den nära koppling som förelåg mellan beskattnings- och indrivningsverksamhet.74 Regeringen bedömde även att skattemyndigheterna, Tullverket och Säkerhetspolisen skulle få ha direktåtkomst till uppgifter i utsöknings- och indrivningsdatabasen.75 Det borde därför kunna argumenteras att en begäran från den mottagande myndigheten om att få ta del av uppgifterna genom direktåtkomst skulle kunna anses utgöra en sådan begäran som krävs enligt de sekretessbrytande bestämmelserna.
Vi har analyserat bestämmelser med olika utformning för att se om det går att urskilja situationer där den ena eller andra strukturen har motiverats av en saklig skillnad i fråga om själva utlämnandet. En möjlig förklaring skulle kunna vara skillnaderna i sekretessbestämmelsernas styrka. Uppgifter inom beskattningsverksamheten skyddas som utgångspunkt av en absolut sekretess. För uppgifter som behandlas inom Tullverket råder dock en presumtion för sekretess, vilket innebär att utrymmet för uppgiftslämnande från tulldatabasen också är mycket begränsat. Skillnaderna i sekretessens styrka kan därför enligt vår mening inte fullt ut förklara skillnaderna i detta avseende. Vid en jämförelse mellan den sekretessbrytande regleringen avseende utlämnande genom direktåtkomst från beskattningsverksamheten och motsvarande reglering för utlämnande genom direktåtkomst från Tullverket och Kronofogdemyndigheten uppstår därmed en osäkerhet om skillnaderna har någon saklig betydelse.
Bestämmelser som inte avser direktåtkomst och som inte föreskriver att utlämnande ska ske på begäran
De allra flesta sekretessbrytande bestämmelser anger att utlämnandet ska ske på begäran av den mottagande myndigheten. Sekretessbrytande bestämmelser som avser ett uppgiftslämnande som i dag inte får ske genom direktåtkomst är dock i vissa fall formulerade utan angivande av att utlämnandet ska ske på begäran. I dessa fall anges att uppgifter ska lämnas ut till mottagaren i den utsträckning det be-
74Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 179. 75Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 173.
hövs för exempelvis viss ärendehandläggning eller kontroll. Frågan uppkommer då i vilken utsträckning de bestämmelser som inte anger att ett utlämnande ska ske på begäran även tillåter utlämnande på initiativ av den utlämnande myndigheten.
Vad gäller de underrättelseskyldigheter som föreskrivs för Skatteverkets folkbokföringsverksamhet i folkbokföringsdatabasförordningen får det anses vara tydligt att sådant utlämnande ska ske på initiativ av Skatteverket, se avsnitt 13.3.4. I övriga fall, exempelvis för visst utlämnande från beskattningsverksamheten till Försäkringskassan enligt 7 § första stycket SdbF (se avsnitt 13.3.3) är det mindre tydligt om utlämnande får ske på initiativ av Skatteverkets beskattningsverksamhet. Den aktuella bestämmelsen föreskrev fram till år 2009 att utlämnandet till Försäkringskassan skulle ske på begäran. Fram till dess hade informationsutlämnandet skett via maskinella aviseringar, vanligtvis som filer via ett särskilt system, och oftast efter förfrågan från Försäkringskassan.76 Regeringen bedömde dock att det fanns ett behov av regler som möjliggjorde ett utökat elektroniskt informationsutbyte.77 I förarbetena till den ändring som innebar att utlämnandet från beskattningsverksamheten till Försäkringskassan inte längre skulle ske på begäran bedömde regeringen att uppgiftsskyldigheten borde gälla oavsett om en begäran först hade framställts
i det enskilda fallet [vår kursivering]. Detta motiverades bl.a. av att
det under tiden för ett pågående ärende skulle vara möjligt att skicka uppdaterad information utan en ny begäran från mottagaren. Enligt regeringen fick dock information endast överföras när det hade betydelse för mottagaren i viss angiven verksamhet eller i ett ärende avseende handläggning av viss förmån. I praktiken skulle därför ett utlämnande i samtliga fall komma att föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag.78 Att uppgiftslämnandet inte längre skulle ske på begäran var enligt regeringen en mindre revidering av redan gällande uppgiftsskyldighet.79
Bestämmelsen som reglerar utlämnande från beskattningsverksamheten till Statens pensionsverk, 7 a § SdbF, kom till samtidigt som ändringen av 7 § första stycket SdbF. Även den bestämmelsen motiverades av regeringens bedömning att uppgiftsskyldigheten borde gälla
76Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 77. 77Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 39. 78Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 55–56. 79Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 80 samt bilaga 2, författningsförslag 17.
oavsett om en begäran först hade framställts i det enskilda fallet, och att det under tiden för ett pågående ärende skulle vara möjligt att skicka uppdaterad information utan en ny begäran från mottagaren. Regeringen bedömde alltså även i detta fall att i praktiken skulle ett utlämnande i samtliga fall komma att föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag.80
I andra sammanhang finns det exempel på sekretessbrytande bestämmelser som har utformats i syfte att tillåta ett utlämnande på initiativ av den utlämnande myndigheten utan att det föregåtts av en ursprunglig begäran. Sådana bestämmelser finns exempelvis i 7–8 §§ lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet. I bestämmelserna föreskrivs en uppgiftsskyldighet för olika självständiga verksamhetsgrenar inom Skatteverket om uppgifterna kan antas ha samband med misstänkt brottslig verksamhet, alternativt kan antas ha särskild betydelse för ett ärende i bl.a. Skatteverkets beskattningsverksamhet. I förarbetena till de bestämmelserna uttalade regeringen att uppgiftsskyldigheten var utformad som en uppgiftsskyldighet som inte krävde att uppgifter begärdes ut för att vara tillämplig. Utgångspunkten skulle därmed vara att uppgifter skulle lämnas ut på eget initiativ om förutsättningarna för utlämnandet var uppfyllda, och det var den utlämnande aktören som skulle ansvara för att göra den bedömningen.81 Även Tullverkets underrättelseskyldighet i förhållande till Skatteverket som föreskrivs i tullagen bör kunna ske på eget initiativ, eftersom utlämnande får ske om det finns anledning att anta att vissa förhållanden föreligger, se avsnitt 13.3.5.
Övriga bestämmelser i skattedatabasförordningen som avser utlämnande som inte behöver ske på begäran har en liknande utformning som de ovan nämnda, dvs. 7 och 7 a §§ SdbF.82 Ingen av dessa bestämmelser har en utformning som liknar 7–8 §§ lagen om Skatteverkets brottsbekämpande verksamhet. Av bestämmelsernas ordalydelse framgår därmed inte att beskattningsverksamheten ansvarar för att avgöra eller bedöma behovet hos mottagaren. Det räcker följaktligen inte med att det kan antas att uppgifterna behövs hos mottagarna för ett utlämnande ska få ske. I stället får informationen endast lämnas ut om det har betydelse för mottagaren i viss angiven verksamhet eller i handläggningen av vissa ärenden. Det tyder enligt
80Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 110. 81Prop. 2019/20:166, Extra ändringsbudget för 2020 – Fler kraftfulla åtgärder med anledning av
coronaviruset, s. 138–140.
82 Se 7 a, 7 c, 8 b, 8 c och 8 d §§ SdbF.
vår mening på att samtliga bestämmelser i skattedatabasförordningen som inte föreskriver att ett utlämnande ska ske på begäran bör tolkas på samma sätt, dvs. att de möjliggör utlämnande av företrädelsevis uppdaterad information under tiden för ett pågående ärende utan en ny begäran från mottagaren i det enskilda fallet. I praktiken förefaller därför även de bestämmelser som inte uttryckligen kräver en begäran från mottagaren behöva föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag.
En gemensam nämnare för de bestämmelser i skattedatabasförordningen som inte anger att utlämnandet ska ske på begäran förefaller därför vara att utlämnande kräver att mottagaren vid ett tidigare tillfälle har begärt att få ta del av uppgifter. Detta framgår dock inte tydligt av författningstexten. Det är dessutom svårt att avgöra hur ett sådant förfarande i praktiken skiljer sig från en begäran om att få uppgifter med vissa intervall, eller en begäran om att i framtiden även få ut uppgifter som ändras. Vare sig den allmänna dataskyddsregleringen eller sekretessbrytande bestämmelser som anger att ett utlämnande ska ske på begäran kräver nämligen en konkret fråga i varje enskilt fall. Ett utlämnande efter begäran förefaller därför även kunna avse automatiserade processer baserat på en generell begäran, exempelvis vid prenumerationstjänster eller händelsebaserade tjänster som innebär att den utlämnande myndigheten automatiskt lämnar ut information när ett ärende uppdateras (jfr avsnitt 11.2.3).
I förhållande till våra förslag om nya datalagar
Dagens bestämmelser om uppgiftslämnande utgår ofta från den särskilda regleringen av databaser inom respektive verksamhet, se avsnitten 9.3.1 och 9.3.2 om databasregleringen. I dessa fall hänvisas det till att uppgifter får lämnas ut från en särskilt reglerad databas. Vilka uppgifter det rör sig om anges även i andra fall genom en hänvisning till det lagrum som reglerar den aktuella databasens innehåll. Vi har i avsnitt 9.4.2 föreslagit att databasregleringen inte ska ha någon motsvarighet i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Redan av den anledningen finns det ett behov av att ändra många av de befintliga bestämmelserna om uppgiftslämnande, se avsnitt 13.4.5 nedan.
Nuvarande bestämmelser om uppgiftslämnande gör vidare inte någon åtskillnad mellan personuppgifter och uppgifter om juridiska personer och i vissa fall avlidna. Vi har i avsnitten 7.4.2 och 7.4.3 föreslagit att de nya datalagarna inte ska vara tillämpliga på annat än personuppgifter. Även av den anledningen finns det ett behov av att överväga förändringar av de befintliga bestämmelserna om utlämnande, se avsnitt 13.4.3 nedan.
I avsnitt 11.7.5 har vi föreslagit att den befintliga regleringen av olika former av elektroniskt utlämnande inte ska ha någon motsvarighet i de nya datalagarna. Vi har även föreslagit att den rättsliga åtskillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande ska upphävas. I befintlig reglering finns dock särskilda sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst, och som förefaller vara införda i syfte att möjliggöra ett sådant utlämnande. Också i detta avseende finns det ett behov av att föreslå justerade bestämmelser, se avsnitten 13.4.2 och 13.4.4 nedan.
13.4.2. Omfattningen av informationsutbytet bör som utgångspunkt inte ändras i sak
Vår bedömning: Med undantag för viss utvidgad uppgiftsskyl-
dighet till följd av våra förslag om dataanalyser och urval, samt avseende utlämnande från beskattningsverksamheten till Kronofogdemyndigheten för tillsyn över näringsförbud, bör omfattningen av det nuvarande informationsutbytet som utgångspunkt inte förändras avseende vem som har rätt att ta del av vilka uppgifter och för vilka behov.
Skälen för vår bedömning
En generell utgångspunkt
Skatteverket, Tullverket och Kronofogdemyndigheten har samstämmigt uppgett att dagens reglering av elektroniskt utlämnande av uppgifter innebär omotiverade hinder för att de ska kunna utföra sina respektive uppgifter. Det är dock inte i fråga om de sekretessbrytande bestämmelser som reglerar uppgiftslämnandet i sak som myndig-
heterna har pekat på behov av förändring, utan avseende regleringen av formerna för utlämnandet, se avsnitt 11.6.
Myndigheterna har dock i andra sammanhang uttryckt att ett utökat informationsutbyte mellan myndigheter skulle kunna leda till att de får del av information som de behöver i sin verksamhet eller till att handläggningen i vissa avseenden kan förenklas och effektiviseras.83Särskilt Skatteverket har även uppgett till utredningen att myndighetens inställning är att det på ett generellt plan behövs en förändring av regelverket avseende uppgiftslämnande mellan myndigheter. Skatteverket har även lyft att myndigheten bl.a. i remissvar har påpekat att det finns ett generellt behov av ett ökat informationsutbyte på en rad olika områden, exempelvis för att säkerställa korrekta beslutsunderlag för myndigheter och öka möjligheten till efterkontroller. Det nuvarande regelverket har enligt Skatteverket blivit svåröverskådligt och svårt att tillämpa på ett effektivt sätt och samhällsutvecklingen ställer krav på att det finns en flexibilitet i regelverket som inte finns i dag. I Skatteverkets verksamhet finns det enligt myndigheten exempel på uppgifter som skulle kunna ha stort värde för en mottagande myndighet, där ett utbyte inte är möjligt med dagens bestämmelser.84
I vårt uppdrag ingår dock inte i huvudsak att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet. Vi bedömer därför att en hantering av de synpunkter som Skatteverket gett uttryck för inte kan anses falla inom ramen för vårt uppdrag. Mot den bakgrunden, och då vi inte heller av annan anledning funnit skäl att inom ramen för vårt uppdrag föreslå några generella förändringar av omfattningen av det nuvarande informationsutbytet, bedömer vi att det som utgångspunkt inte bör förändras i sak. Med det nyss sagda avses att vi huvudsakligen inte funnit skäl att föreslå att andra kategorier av uppgifter än i dag ska få lämnas ut, till någon ytterligare mottagare eller för andra behov. Vissa förändringar föreslås dock även i detta avseende, se om utlämnande som i dag sker genom direktåtkomst i avsnittet nedan och om utlämnande av vissa uppgifter som behövs för Skatteverkets och Tullverkets dataanalyser och urval i kontrollverksamhet i avsnitten 14.10.2 och 14.10.3. I avsnitt 13.5.5 föreslår vi även att utlämnande av vissa uppgifter från beskattningsverksam-
83 Se Tullverkets yttrande 2022-11-09, Utökat informationsutbyte (Ds 2022:13), dnr STY 2022–580 och Kronofogdemyndighetens yttrande 2022-11-08, Utökat informationsutbyte (Ds 2022:13), dnr KFM 17365-2022. 84 Skatteverkets remissvar 2022-11-28, Departementspromemorian Utökat informationsutbyte (Ds 2022:13), dnr 8-1867810.
heten till Kronofogdemyndigheten för behov kopplade till tillsyn över näringsförbud, som i dag delvis sker med stöd av generalklausulen i 10 kap. 27 § OSL, ska författningsregleras.
Vissa sekretessbrytande bestämmelser bör dock omformuleras
En följd av den enhetliga reglering av elektroniskt utlämnande som vi föreslår i avsnitt 11.7.5 är att sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst inte bör finnas kvar. Det kan i vissa fall få till följd att kvarvarande sekretessbrytande bestämmelser inte kan anses vara tillräckligt brett formulerade för att tillåta utlämnande genom direktåtkomst. Eftersom vi inte har för avsikt att förändra omfattningen av uppgiftslämnandet, utöver vad som anges i avsnitten 14.10.2 och 14.10.3 och avsnitt 13.5.5 nedan, behövs vissa justeringar göras med anledning att bestämmelser om direktåtkomst föreslås upphöra.
Vår bedömning är dock att det behovet i huvudsak uppkommer där det kvarvarande föreskrivna uppgiftslämnandet ska ske på begäran och samtidigt anger att enbart uppgifter om personer som förekommer hos den mottagande myndigheten får lämnas ut. Sådana bestämmelser förekommer i dag i regleringen för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten.85Sekretessbrytande bestämmelser som avser uppgifter om vissa angivna personer skiljer sig från hur övriga sekretessbrytande bestämmelser är formulerade, eftersom de uttryckligen pekar ut en personkrets och inte en kategori av uppgifter kopplat till ett behov hos mottagaren. Utan de särskilda bestämmelser som avser direktåtkomst kommer dessa bestämmelser eventuellt anses utgöra ett hinder mot fortsatt utlämnande genom direktåtkomst. Om de sekretessbrytande bestämmelserna i stället formuleras utan angivande av krav på begäran och i övrigt i likhet med andra sekretessbrytande bestämmelser, dvs. enbart anger de kategorier av uppgifter som är aktuella, alternativt den verksamhet i vilken uppgifterna måste behövas, uppkommer enligt vår bedömning inte det problemet. I avsnitten nedan föreslår vi därför att de bestämmelser som i dag avser en viss personkrets ska formuleras om till att avse kategorier av uppgifter och vilka behov som ska föreligga hos mottagaren för att utlämnandet ska komma i fråga.
85 4–5 §§ SdbF, 4 § TDF samt 7 och 8 §§ KFMdbF.
De föreslagna bestämmelsernas ordalydelse kan genom vår ändring komma att uppfattas som en utvidgning i förhållande till vad som gäller i dag. Den förändring som föreslås i dessa sammanhang syftar dock enbart till att möjliggöra samma uppgiftslämnande som i dag när bestämmelser som tillåter direktåtkomst försvinner, se närmare motiveringar i avsnitten nedan. Ändringen innebär alltså inte ett avsteg från vår generella utgångspunkt att omfattningen av bestämmelserna om utlämnande inte ska förändras.
13.4.3. Bestämmelser om uppgiftsskyldighet bör inte finnas i de nya dataskyddsförfattningarna
Vår bedömning: Bestämmelser om uppgiftsskyldighet bör inte
finnas i de nya dataskyddsförfattningarna för Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
Skälen för vår bedömning
De föreslagna datalagarnas tillämpningsområde
Med undantag för Skatteverkets folkbokföringsverksamhet träffar de sekretessbestämmelser som är tillämpliga i Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive verksamheter inte enbart uppgifter om fysiska personer (personuppgifter), utan även uppgifter om juridiska personer och avlidna. Som framgår av avsnitt 13.2.2 bryter uppgiftsskyldighet mellan svenska myndigheter eventuell sekretess. Ett av skälen till att befintliga registerförfattningar skulle vara tillämpliga även vid myndigheternas behandling av uppgifter om juridiska personer och i vissa fall avlidna var att det enligt regeringen skulle vara svårt att särskilja de olika kategorierna exempelvis vid utlämnande, se avsnitt 13.3.1.
I avsnitten 7.4.2 och 7.4.3 har vi föreslagit att de nya lagarna samt tillhörande förordningar som utgångspunkt inte ska vara tillämpliga vid behandling av uppgifter om juridiska personer och avlidna. Om bestämmelser om uppgiftslämnande fortsatt skulle regleras i dataskyddsförfattningarna skulle dessa bestämmelser behöva vara tillämpliga även vid behandling av andra uppgifter än personuppgifter för
att bryta förekommande sekretess. Vi anser dock att en sådan lösning komplicerar regleringen på ett sätt som inte är motiverat. De nya dataskyddsförfattningarnas föreslagna tillämpningsområde talar i stället för att bestämmelser om uppgiftslämnande bör regleras i andra sammanhang.
Bestämmelser om uppgiftslämnande är inte av dataskyddskaraktär
I kapitel 5 har vi redogjort för våra utgångspunkter i arbetet med att se över befintlig reglering av Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter. En av våra utgångspunkter är att den nya regleringen i så hög utsträckning som möjligt ska renodlas till att endast omfatta dataskyddsbestämmelser (se avsnitt 5.2.6). Den kompletterande dataskyddsregleringen bör därmed inte rymma materiella bestämmelser eller bestämmelser som reglerar mer eller mindre närliggande frågor som inte utgör rena dataskyddsbestämmelser. En sammanblandning av bestämmelser med olika funktion och rättslig karaktär som ibland dessutom överlappar varandra riskerar nämligen att skapa en omotiverat komplex lagstiftning. Det nyss sagda gäller enligt vår mening särskilt bestämmelser som reglerar förhållanden som ligger nära de rena dataskyddsfrågorna, eftersom bestämmelsernas skiftande karaktär och föremål kan medföra en osäkerhet kring deras innebörd. Frågan är då om sekretessbrytande bestämmelser som föreskriver att uppgifter ska lämnas ut är sådana dataskyddsbestämmelser som, trots vad som anges i avsnittet ovan, bör finnas i dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten.
Inledningsvis kan konstateras att sekretessbrytande bestämmelser inte reglerar förutsättningarna för automatiserad personuppgiftsbehandling, förutom sådana bestämmelser som i dag särskilt avser direktåtkomst.86 Även om tillämpningen av bestämmelser med sekretessbrytande funktion i regel får till följd att information lämnas ut automatiserat är det inte det elektroniska utlämnandet i sig som regleras genom bestämmelserna. Det bestämmelserna avser är i stället att annars sekretessbelagda uppgifter över huvud taget får lämnas ut från den verksamhet där de förekommer. Bestämmelserna avser inte
86 Jfr regeringens uttalanden i prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som
rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform, s. 45.
heller enbart personuppgifter, utan även uppgifter om juridiska personer, avlidna och uppgifter om sakförhållanden. Bestämmelserna har följaktligen inte heller kommit till för att särskilt skydda enskildas personliga integritet, vare sig vid automatiserad eller annan behandling. De innebär i stället att det ursprungliga skyddet för den personliga integriteten (sekretessen) bryts. Det nyss sagda talar enligt vår mening för att bestämmelser om uppgiftslämnande inte bör finnas i dataskyddssammanhang.
Av Högsta förvaltningsdomstolens avgörande i rättsfallet HFD 2021 ref. 10 framgår att den utlämnande myndigheten inte ska göra någon kontroll av förenligheten med finalitetsprincipen i samband med utlämnande av offentliga uppgifter enligt 6 kap. 5 § OSL, se avsnitt 13.2.4. Motsvarande bör enligt vår mening gälla även i situationer där det föreskrivna uppgiftslämnandet omfattar uppgifter som annars skulle vara sekretessbelagda. Genom bestämmelser som föreskriver en skyldighet att lämna ut uppgifter får riksdagen eller regeringen anses ha tagit ställning till utlämnandets förenlighet med insamlingsändamålet, samt dess laglighet. Något utrymme för myndigheterna att med tillämpning av den allmänna eller kompletterande dataskyddsregleringen pröva om ett föreskrivet utlämnande ska ske borde därför inte heller finnas när det föreskrivna utlämnandet bryter förekommande sekretess. Också det talar för att bestämmelser om utlämnande av uppgifter bör regleras skilt från dataskyddsbestämmelser.
Registerförfattningarnas bestämmelser om uppgiftslämnande tillsammans med andra bestämmelser om uppgiftslämnande i nationell rätt, samt unionsrättsliga och andra internationella rättsakter som föreskriver en skyldighet för myndigheterna att lämna ut uppgifter, visar dessutom att behovet av att utbyta uppgifter i dag är mycket omfattande. Det är inte bara uppgifter som behövs för beslut eller i särskilt angiven samverkan som ska lämnas ut, utan även sådan information som behövs för att den mottagande aktören ska kunna fullgöra sina författningsreglerade uppgifter. Totalt sett kan de sekretessbrytande bestämmelserna och andra bestämmelser om uppgiftslämnande sägas utgöra ett eget område inom lagstiftningen som är både stort och komplext. Bestämmelser om uppgiftsskyldighet och annat utlämnande bör därför enligt vår mening snarast likställas med andra materiella bestämmelser som styr myndigheternas verksamhet. Det förefaller därmed mer ändamålsenligt att bestämmelser om uppgiftslämnande regleras skilt från dataskyddsregleringen.
För att den nya regleringen ska bli så enhetlig, ändamålsenlig och flexibel som möjligt bör bestämmelser om utlämnande i sak inte regleras i de nya dataskyddsförfattningarna. Bestämmelserna behöver dock finnas kvar i sak för att utlämnandet även fortsättningsvis ska vara förenligt med den generella dataskyddsregleringen och offentlighets- och sekretesslagens bestämmelser. Att de nya bestämmelser som vi föreslår i huvudsak ska motsvara det uppgiftslämnande som föreskrivs i dag framgår av avsnitten 13.5–13.8 nedan.
13.4.4. Sekretessbrytande bestämmelser ska inte ange att utlämnandet ska ske på begäran av den mottagande myndigheten
Vårt förslag: Sekretessbrytande bestämmelser ska ange att utläm-
nande ska ske i den utsträckning det behövs i den mottagande myndighetens verksamhet.
I de fall utlämnandet i dag ska ske på begäran ska den nya sekretessbrytande bestämmelsen förenas med ett förbud mot att lämna ut uppgifterna på eget initiativ.
Skälen för vårt förslag
En ny huvudregel
Vi har tidigare bedömt att utformningen av nuvarande reglering inte är väl avvägd bl.a. med hänvisning till den stora variationen i hur bestämmelserna är utformade. I avsnitt 11.7.5 har vi dessutom föreslagit att den rättsliga åtskillnaden mellan direktåtkomst och andra former av elektroniskt utlämnande ska överges. Frågan är då hur sekretessbrytande bestämmelser bör utformas i den del som avser skyldigheten att lämna ut uppgifter för att i så hög utsträckning som möjligt uppfylla målsättningen om en reglering som är flexibel och ändamålsenlig och som är anpassad efter våra förslag i övrigt. Vad avser frågan om hur de uppgifter som avses ska definieras, se avsnitt 13.4.5 nedan.
Som vi redogjort för i avsnitt 11.5.1 finns det inga särskilda bestämmelser i EU:s dataskyddsförordning som direkt rör på vilket sätt personuppgifter får lämnas ut. Om utlämnandet i sig är tillåtet
finns det alltså inget krav på att direktåtkomst eller någon annan form av utlämnande ska regleras särskilt. Särskilda sekretessbrytande bestämmelser för direktåtkomst är därför inte nödvändiga med hänvisning till den allmänna dataskyddsregleringen Sekretessbrytande bestämmelser som uttryckligen avser direktåtkomst är dessutom svåra att kombinera med förslaget om en enhetlig reglering för alla former av elektroniskt utlämnande. Vi anser därför att det inte bör införas nya sekretessbrytande bestämmelser som särskilt avser direktåtkomst.
Som vi redan berört behöver dock upphävandet av sekretessbrytande bestämmelser som är utformade för att möjliggöra direktåtkomst kompenseras för på något sätt för att regleringen av uppgiftslämnandet inte ska förändras i mindre tillåtande riktning. Också i övrigt bör dock bestämmelser som föreskriver att ett uppgiftslämnande ska ske formuleras med hänsyn till förslaget om att det inte ska göras någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande.
I dagens reglering finns flera sekretessbrytande bestämmelser som förutom att ange vilka uppgifter som avses och att mottagaren ska behöva uppgifterna i viss verksamhet också anger att ett utlämnande ska ske på begäran. Ett utlämnande som ska föregås av en begäran har i vissa fall ansetts hindra utlämnande genom direktåtkomst, även om övriga förutsättningar för utlämnande genom direktåtkomst är uppfyllda, se avsnitten 13.4.1, 13.4.2 och 11.2.2. Som vi påpekat tidigare förefaller dock även sekretessbrytande bestämmelser som anger att utlämnandet ska ske på begäran kunna ligga till grund för utlämnande genom direktåtkomst, när det finns en bestämmelse i lag om att sådant utlämnande får förekomma. Även de bestämmelser som i dag föreskriver att ett utlämnande inte behöver ske på begäran förefaller dessutom utgå från att det funnits en ursprunglig begäran om att få ut uppgifter, och inte tillåta utlämnande helt på den utlämnande myndighetens initiativ.
I vissa fall förefaller uttrycket på begäran i den befintliga regleringen dessutom ha ersatt ledet att uppgifterna ska behövas hos mottagaren. I dag finns det exempelvis en sekretessbrytande bestämmelse för Skatteverkets beskattningsverksamhet som enbart anger att vissa uppgifter ska lämnas ut på begäran av Tullverket, där bestämmelsen inte föreskriver att det ska finnas ett behov hos mottagaren. Av 5 a § SdbF framgår nämligen följande.
På begäran av Tullverket ska sådana uppgifter lämnas ut som avses i 2 kap. 4 a § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Tullverket har rätt att ta del av sådana uppgifter om enskilda som avses i 2 kap. 4 a § lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet vid direktåtkomst till beskattningsdatabasen enligt 2 kap. 8 § tredje stycket samma lag.
I bestämmelsens andra stycke anges inte annat än att Tullverket får ha direktåtkomst till uppgifterna. Uttrycket på begäran får i detta fall anses förutsätta att Tullverket inte begär ut uppgifter som det inte finns något behov av i Tullverkets verksamhet.
Av exemplen ovan framgår att det inte är helt tydligt i dagens reglering vad ett utlämnande som ska ske på begäran innebär. Till skillnad från nuvarande reglering bör de nya bestämmelserna vara tydliga och konsekventa och inte ge upphov till osäkerhet om dess innebörd. Vi anser därför att bestämmelser om uppgiftsskyldighet inte längre bör utformas på så sätt att de kräver en begäran från den mottagande myndigheten. Vi bedömer i stället att sekretessbrytande bestämmelser som anger att uppgifterna ska lämnas ut i den utsträckning det behövs med tillräcklig tydlighet och precision pekar ut i vilka situationer uppgiftslämnandet kan komma i fråga. Ett krav på att utlämnandet också ska ske på begäran framstår därmed som överflödigt. I fråga om utbyte av uppgifter mellan myndigheter och självständiga verksamhetsgrenar inom en myndighet är dessutom utgångspunkten sedan länge att utlämnande endast ska ske om uppgifterna behövs i den mottagande verksamheten.87 Även de fall där på begäran i dag har ersatt kravet på att uppgifterna ska behövas hos mottagaren bör det därför ställas krav på att uppgifterna ska behövas hos mottagaren. En reglering som anger att utlämnande ska ske om uppgifterna behövs hos mottagaren överensstämmer också väl med den allmänna dataskyddsregleringen. Som framgår av bl.a. avsnitten 3.2.5, 3.2.6 och 9.2.3 får en myndighet inte samla in eller annars behandla uppgifter som den saknar stöd för att behandla, eller annorlunda uttryckt som den inte har en rättslig grund för att behandla.
Sammanfattningsvis bedömer vi att sekretessbrytande bestämmelser i fortsättningen bör ange att utlämnande ska ske i den utsträckning som det behövs hos mottagaren. Det får till följd att direktåtkomst inte hindras enbart på grund av bestämmelsens utformning i denna
87 Jfr prop. 1979/80:146, med förslag till skatteregisterlag, s. 36.
del. I avsnitten 13.5–13.8 föreslår vi dock vissa förändringar av hur behovet hos mottagaren ska beskrivas i syfte att kompensera för bortfallet av bestämmelser om direktåtkomst. I fråga om hur dagens bestämmelser avgränsar de mottagande myndigheternas verksamheter bedömer vi att det på ett generellt plan inte finns något behov av att förändra dessa.
Utlämnande på eget initiativ?
Av avsnittet ovan framgår att vi föreslår att kravet på att utlämnandet ska ske på begäran av den mottagande myndigheten ska tas bort. Frågan är då om denna ändring medför att utlämnande i högre utsträckning kan ske på initiativ av den utlämnande myndigheten.
Först kan påpekas att vi i avsnitt 13.4.1 gett exempel på uppgiftsskyldighet som inträder redan när det kan antas att det finns ett behov hos mottagaren. Någon sådan bestämmelse har vi inte föreslagit. Vi har heller inte föreslagit att de sekretessbrytande bestämmelserna i fortsättningen ska utgöra underrättelseskyldigheter. Bestämmelsernas föreslagna utformning, dvs. att uppgiftsskyldigheten inträder först när det föreligger ett behov hos mottagaren, bör i stället anses utgöra ett hinder mot utlämnande av sekretessbelagda uppgifter helt på den utlämnande myndighetens egna initiativ. Uppgiftsskyldigheten inträder i stället först när den utlämnande myndigheten har en faktisk kännedom om sådana omständigheter hos den mottagande myndigheten som gör att det finns skäl att lämna ut uppgifter.88 I de allra flesta situationer bör en sådan kännedom uppkomma först i samband med ett förfarande som kan karaktäriseras som en begäran, exempelvis en överenskommelse om utlämnande med vissa intervall där de uppgifter som efterfrågas specificerats, eller när formerna för ett elektroniskt utbyte av uppgifter mellan två myndigheter utarbetas (jfr avsnitten 11.7.3 och 11.7.5).
Att uppgifterna ska behövas hos den mottagande myndigheten ställer inte upp något krav på att den utlämnande myndigheten i varje enskilt fall ska pröva behovet hos mottagaren. Att den utlämnande myndigheten inte behöver pröva en begäran i varje enskilt fall bör dock vara fallet redan i dag, eftersom utlämnande efter begäran kan ske genom regelbundna överföringar eller genom automatiserade hän-
88 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 168.
delsebaserade tjänster där information lämnas ut när ett ärende uppdateras (jfr avsnitt 11.2.3). Kravet på att uppgifterna ska behövas bör i stället tolkas på så sätt att bedömningen utgår från uppgifter som typiskt sett behövs i den verksamhet som den sekretessbrytande bestämmelsen anger, och utifrån den information om behovet av uppgifterna som lämnas av den mottagande myndigheten till den utlämnande myndigheten. Det får alltså anses ankomma på den mottagande myndigheten att uppge vilka uppgifter den typiskt sett behöver. Vid tillämpningen av bestämmelser om utlämnande som föreskriver vilka behov som ska föreligga hos mottagaren rör det sig därmed i viss mån om ett tillitsbaserat system, oavsett om utlämnandet sker på begäran eller inte.
Redan i dag finns det flera bestämmelser som utöver vilka uppgifter som avses enbart anger det behov som ska föreligga hos mottagaren, dvs. det krävs inte att utlämnandet föregåtts av en begäran i det enskilda fallet. Som framgår av avsnitt 13.4.1 förefaller dock även dessa bestämmelser förutsätta att den mottagande myndigheten tidigare framställt en begäran om att få ta del av uppgifter. Regeringen har exempelvis bedömt att en sådan bestämmelses utformning innebär att utlämnandet på eget initiativ i samtliga fall skulle komma att avse uppdateringar av uppgifter som tidigare begärts ut av mottagaren. Som redan nämnts uttalade regeringen i det sammanhanget att det enbart var en mindre revidering att ta bort kravet på att utlämnandet skulle ske på begäran.
Sammanfattningsvis bedömer vi att ett föreskrivet utlämnande som inte kräver en begäran i vart fall inte med någon självklarhet medför att den utlämnande myndigheten ges utrymme att lämna ut uppgifter på eget initiativ.
Ett förbud mot utlämnande på eget initiativ
Den föreslagna ändringen att utlämnande inte längre ska ske på begäran kan trots det som anges i avsnittet ovan tolkas som att uppgiftsskyldighetens omfattning utökas på ett sätt som inte kan anses motsvara en mindre revidering. Osäkerhet kan exempelvis uppkomma om bestämmelsernas föreslagna lydelse trots allt ger möjlighet till ett faktiskt utlämnande redan när den utlämnande myndigheten kan anta att uppgifterna behövs hos mottagaren.
För att det inte ska råda några tvivel i denna fråga bör samtliga nya bestämmelser som avser ett utlämnande som i dag ska ske på begäran förenas med ett förbud mot utlämnande på initiativ av den utlämnande myndigheten. Förbudet innebär att det inte är tillräckligt att den utlämnande myndigheten kan anta att den mottagande myndigheten har ett behov av uppgifterna för att uppgiftsskyldigheten ska inträda. Det innebär däremot ett hinder mot spontant utlämnande av uppgifter som inte efterfrågats.
Förbudet innebär dock inget hinder mot att en myndighet har en ”stående begäran” om viss information som omfattas av en sekretessbrytande bestämmelse, eller att den utlämnande och den mottagande myndigheten avtalar om aviseringar av ändrade uppgifter, löpande utlämnande med olika intervall, utlämnande genom automatiserade händelsebaserade tjänster eller prenumerationer. Förbudet hindrar inte heller ett utlämnande genom direktåtkomst. Ett utlämnande genom direktåtkomst förutsätter nämligen ett förberedande samarbete mellan den utlämnande och mottagande myndigheten inför upprättandet av en sådan förbindelse. Det som förbudet träffar är i stället sådant utlämnande som går utöver det som avtalats, som har begärts ut eller som den utlämnande myndigheten inte förvissat sig om faktiskt efterfrågas i den mottagande myndighetens angivna verksamhet.
Det förbudet avser är det faktiska utlämnandet, som inte får ske spontant. Förbudet hindrar med andra ord inte att den utlämnande myndigheten kontaktar den myndighet som uppgiftsskyldigheten avser i syfte att uppmärksamma mottagaren på att viss information som omfattas av uppgiftsskyldigheten finns eller kan komma att finnas hos den utlämnande myndigheten. En sådan kontakt kan ske i syfte att ge mottagaren möjlighet att framställa en begäran om att informationen ska lämnas ut i enlighet med den aktuella sekretessbrytande bestämmelsen. Det faktiska utlämnandet kommer i en sådan situation inte att ske på initiativ av den utlämnande myndigheten.
Ett sådant förfarande förekommer i dag i enstaka fall hos Tullverket, som enligt 1 kap. 4 § tullagen har en uppgiftsskyldighet till bl.a. marknadskontrollmyndigheter. Marknadskontroll innebär att ansvarig myndighet kontrollerar att produkter som finns på marknaden uppfyller gällande lagstiftning och att de är märkta och kontrollerade på föreskrivet sätt.89 Marknadskontrollverksamheten är primärt
89 Marknadskontrollrådets webbsida, Vad är marknadskontroll?, tillgänglig: https://marknadskontroll.se/for-myndigheter/vad-ar-marknadskontroll/ [hämtad: 2023-10-14].
reglerat i unionsrätten genom olika rättsakter som avser såväl förfarandet som de produktssäkerhetskrav som ska gälla. Tullverket är inte en marknadskontrollmyndighet med ansvar för sakfrågorna, utan för varje sakområde finns en utpekad marknadskontrollmyndighet. Det är också dessa ansvariga myndigheter som har specialkunskapen inom sina områden. Tullverket har däremot rätt att stoppa misstänkta varor vid gränsen och att hålla kvar varor i avvaktan på marknadskontrollmyndighetens beslut om vilka åtgärder som ska vidtas med varan. Marknadskontrollmyndigheterna och Tullverket samråder också om olika åtgärder för att stoppa farliga varor vid gränsen. Uppgiftsskyldigheten enligt 1 kap. 4 § tullagen är i dag utformad utifrån att utlämnandet föregås av en begäran. Enligt vad Tullverket har uppgett till utredningen förkommer det dock också att myndigheten i det enskilda fallet gör en förfrågan hos den aktuella kontrollmyndigheten om uppgifter som avses i 1 kap. 4 § tullagen begärs ut eller inte. Detta förfarande kommer vara möjligt även i framtiden.
Som vi nämnt tidigare finns bestämmelser om uppgiftslämnande och skyldighet att lämna uppgifter i många olika nationella författningar och i unionsrätten. Förbudet hindrar självfallet inte sådant utlämnande som regleras i någon annan författning, exempelvis de bestämmelser om underrättelseskyldighet och uppgiftsskyldighet vi redogjort för i avsnitt 13.4.1 och som i dag inte regleras i myndigheternas registerförfattningar.
Det kan som redan nämnts ifrågasättas om det finns någon praktisk skillnad mellan ett utlämnande på begäran som avser exempelvis regelbundna uppdateringar och ett utlämnande som i dag kan ske utan en begäran i det enskilda fallet. I syfte att inte oavsiktligt förändra omfattningen av det nuvarande informationsutbytet bör dock de bestämmelser som i dag inte ställer krav på att utlämnandet ska föregås av en begäran inte förenas med ett förbud mot utlämnande på eget initiativ.
Ett undantag från huvudregeln
I regleringen för beskattningsverksamheten finns en bestämmelse där de överväganden som vi nyss redogjort för inte kan tillämpas fullt ut. Enligt 8 e § SdbF ska nämligen uppgifter lämnas till Statistiska centralbyrån på begäran av Riksbanken. Det är den enda bestämmelsen i sam-
manhanget som föreskriver ett utlämnande på begäran av en myndighet men där mottagaren av uppgifterna är en annan myndighet. Vi anser att ett utlämnande på initiativ från en tredje part inte med självklarhet skulle anses vara tillåtet utan en tydligt tillåtande reglering. I syfte att inte rubba det uppgiftslämnande som möjliggörs genom den nämnda bestämmelsen bör det följaktligen införas en ny bestämmelse med motsvarande innebörd, dvs. att utlämnande av de aktuella uppgifterna till Statistiska centralbyrån ska ske på begäran av Riksbanken.
13.4.5. Vilka kategorier av uppgifter som avses ska i de nya bestämmelserna utgå från hur de definieras i den befintliga regleringen
Vårt förslag: Sekretessbrytande bestämmelser som i dag hänvisar
till en eller flera punkter i registerlagarnas kataloger över vilka uppgifter som får behandlas i respektive databas ska utan ändring i sak föras in i de nya sekretessbrytande bestämmelserna, men i stället för en sådan hänvisning ange de kategorier av uppgifter som avses.
I övrigt ska nuvarande bestämmelser avseende vilka uppgifter som avses oförändrade föras in i de nya bestämmelserna.
Skälen för vårt förslag
Bestämmelser som i dag hänvisar till databasregleringen
Som framgår av avsnitten 13.3.3–13.3.6 ovan finns det i befintlig reglering olika sätt att formulera de sekretessbrytande bestämmelserna i fråga om vilka uppgifter det är som ska lämnas ut med stöd av den aktuella bestämmelsen.
I många fall hänvisas det i den sekretessbrytande bestämmelsen till en eller flera kategorier av uppgifter som får behandlas i en databas. Hänvisning sker då genom att det i bestämmelsen anges det lagrum som föreskriver att uppgifterna får behandlas i databasen. I avsnitt 9.4.2 har vi som redan nämnts föreslagit att dagens reglering av olika databaser inte ska ha någon motsvarighet i de nya dataskydds-
författningarna. Nya sekretessbrytande bestämmelser kan därför inte i samtliga fall utformas efter samma systematik som tidigare.
Vi har tidigare bedömt att de sekretessbrytande bestämmelserna i huvudsak inte ska förändras avseende vilka uppgifter som avses, vem mottagaren ska vara och i vilken verksamhet de ska behövas. När en sekretessbrytande bestämmelse i dag hänvisar till en kategori uppgifter som får behandlas i en databas ska därför samma kategori uppgifter i stället uttryckligen anges i den nya bestämmelsen. Den skillnad mellan de gamla och de nya bestämmelserna som i detta avseende uppstår blir därmed enbart språklig.
Bestämmelser som hänvisar till andra författningar
I enlighet med vår målsättning om att de nya bestämmelserna ska vara så enhetligt utformade som möjligt har vi övervägt om samma kategorier av uppgifter som anges ovan, dvs. de som får behandlas i databaserna, kan användas vid allt uppgiftslämnande. De kategorier av uppgifter som får behandlas i databaserna är dock ofta mycket brett formulerade. Bestämmelser om uppgiftsskyldighet som avser andra kategorier av uppgifter är motsatsvis ofta mycket detaljerade. Detta gäller exempelvis för de många fall då Skatteverket har en skyldighet att lämna ut uppgifter på individnivå i arbetsgivardeklarationen, där uppgifterna är detaljerat angivna. I dessa fall är det i stället ofta behovet hos den mottagande myndigheten som anges mycket brett, exempelvis får flera brottsbekämpande myndigheter i dag ta del av uppgifter på individnivå i arbetsgivardeklarationen i den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.90 Här framstår det alltså som nödvändigt att föra över begränsningen avseende vilka uppgifter som avses till de nya bestämmelserna för att undvika en utvidgning av uppgiftsskyldigheten.
I andra fall där avgränsningen av vilka uppgifter som avses utgår från andra bestämmelser än registerförfattningarna är det dock inte lika självklart att de sekretessbrytande bestämmelserna inte skulle kunna förenklas. Exempelvis anges i 7 § första stycket SdbF följande.
90 8 l § SdbF.
Till Försäkringskassan ska uppgifter lämnas ut från beskattningsdatabasen i den utsträckning det behövs för
1. beräkning eller kontroll av sjukpenninggrundande inkomst,
2. fördelning av ålderspensionsavgifter,
3. fastställande av underhållsstöd och betalningsskyldighet för sådant stöd enligt socialförsäkringsbalken,
4. beräkning och kontroll av bostadsbidrag enligt socialförsäkringsbalken,
5. beräkning av betalningsskyldighet enligt 8 § andra stycket lagen (2004:1237) om särskild sjukförsäkringsavgift, 6 beräkning och kontroll av bostadstillägg enligt socialförsäkringsbalken, eller
7. beräkning av ersättning för sjuklönekostnad enligt 17 eller 17 d § lagen (1991:1047) om sjuklön.
Behovet hos Försäkringskassan är mycket detaljerat angivet, till skillnad från vad som gäller för vissa brottsbekämpande myndigheter. Andra stycket i samma bestämmelse, som anges nedan, hänvisar dock inte till den katalog över uppgifter som får behandlas i beskattningsdatabasen utan till bestämmelser i andra författningar. I 7 § andra stycket SdbF anges följande.
De uppgifter som ska lämnas till Försäkringskassan med stöd av första stycket är uppgifter
1. enligt 19 kap.11, 13 och 14 §§socialförsäkringsbalken, med undantag av 13 § tredje stycket,
2. om inkomst som anges i 97 kap.2, 4, 5, 11 och 13 §§socialförsäkringsbalken, med undantag av 5 § tredje stycket och 13 § första stycket 1–3,
3. om fastighet, ägarandel, fastighetsbeteckning, adress och bostadsyta,
4. om avgiftsunderlag enligt 2 kap. 24 § socialavgiftslagen (2000:980) och om därpå belöpande arbetsgivaravgifter enligt 2 kap. socialavgiftslagen, skatt enligt 1 § lagen (1990:659) om löneavgift och avgift enligt 1 § lagen (1994:1920) om allmän löneavgift som beräknats för arbetsgivare under ett kalenderår,
5. om avdrag för avsättning till periodiseringsfond och expansionsfond enligt 30 och 34 kap. inkomstskattelagen (1999:1229) samt om återföring av sådana avdrag,
6. om schablonintäkt enligt 47 kap. 11 b § inkomstskattelagen,
7. om samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital,
8. om överskott eller underskott i inkomstslaget näringsverksamhet, och
9. om sjuklönekostnad enligt 17 b § första stycket lagen (1991:1047) om sjuklön.
Vi har övervägt om sekretessbrytande bestämmelser som i exemplet ovan i stället skulle kunna ange motsvarande kategorier av uppgifter som i dag får behandlas i databaserna, utan att det skulle medföra en förändring av utlämnandets omfattning. En sådan lösning skulle bidra till en större enhetlighet och att bestämmelser om utlämnande blev mindre komplexa. Avgränsningen skulle i sådant fall ske genom angivandet av att behovet ska föreligga i samma verksamhet som i dag. Som vi angett i avsnitt 13.4.4 ansvarar nämligen den mottagande myndigheten i normalfallet för att inte fler uppgifter än vad som är motiverat utifrån mottagarens legitima behov, som i exemplet anges i bestämmelsens första stycke, hämtas in. I de bestämmelser som hänvisas till i 7 § första stycket SdbF föreskrivs i detalj vilka uppgifter som ska ligga till grund för vilken åtgärd från Försäkringskassans sida. Det skulle kunna innebära att detaljeringsgraden i andra stycket är överflödig.
Vi har analyserat de bestämmelser som det hänvisas till i 7 § andra stycket SdbF och utifrån detta bedömer vi att bestämmelsens andra stycke skulle kunna utformas enligt följande.
De uppgifter som ska lämnas till Försäkringskassan med stöd av första stycket är uppgifter om
1. underlag för fastställande av skatter och avgifter,
2. bestämmande av skatter och avgifter,
3. underlag för fastighetstaxering, och
4. uppgifter om sjuklönekostnad.
En sådan lösning förutsätter dock att det inte finns uppgifter som ingår i de breda kategorier som får behandlas i databasen och som behövs i Försäkringskassans verksamhet, men som Försäkringskassan i dag inte har rätt att ta del av. Den frågan bedömer vi dock vara alltför omfattande för att kunna besvaras inom ramen för vårt uppdrag.
Inte heller avseende exemplet ovan går det att med någon självklarhet översätta uppgiftsskyldighetens omfattning till en eller flera kategorier av uppgifter som får behandlas i databaserna enligt nuvarande reglering. Riskerna med den lösning vi övervägt är att den mottagande myndigheten ges tillgång till fler uppgifter än i dag. För att inte oavsiktligt utöka uppgiftsskyldigheternas omfattning anser vi att det lämpligaste är att strukturen i de bestämmelser som hänvisar till andra författningar än registerlagarna förs över oförändrad till de nya bestämmelserna.
Bestämmelser som inte anger vilka uppgifter som avses
I vissa sekretessbrytande bestämmelser anges inte över huvud taget vilka kategorier av uppgifter som avses, utan endast vilket behov hos mottagaren som ska föreligga för att utlämnande ska ske. Detta gäller bl.a. visst utlämnande från beskattningsverksamheten till Polismyndigheten.91 För att inte riskera att oavsiktligt inskränka utlämnandets omfattning bedömer vi att det i dessa fall inte heller i de nya, motsvarande bestämmelserna bör införas något angivande av vilka uppgifter som avses.
13.4.6. Bestämmelser om uppgiftslämnande bör i så hög utsträckning som möjligt utformas på ett enhetligt och flexibelt sätt
Vår bedömning: Bestämmelser om uppgiftslämnande bör utfor-
mas på ett enhetligt sätt och på ett sätt som tar höjd för regeländringar.
Skälen för vår bedömning
Som en generell utgångspunkt anser vi att bestämmelser som reglerar samma sorts rättsliga förhållanden, i det här fallet förutsättningar för uppgiftslämnande, tjänar på att utformas på ett enhetligt sätt. En enskild bestämmelse blir sannolikt enklare att både förstå och tillämpa om inte själva utformningen av den väcker frågan om dess innebörd i förhållande till andra liknande bestämmelser, som de exempel vi redogör för i avsnitt 13.4.1.
Som vi redan påpekat är informationsutbytet mellan myndigheter, såväl inom som över nationsgränser, i dag mycket omfattande. Informationsutbytet ökar dessutom kontinuerligt. Vi anser därför att bestämmelser om uppgiftslämnande inte bara bör utformas på ett enhetligt sätt, utan även på ett sätt som tar höjd för tillkommande uppgiftsskyldighet. Själva regleringens struktur bör alltså utformas på ett sådant sätt att tillkommande uppgiftsskyldighet inte kräver att befintliga bestämmelser ändras, om det inte är påkallat av rent sakliga skäl.
91 7 d § SdbF.
Vi har övervägt hur dessa två målsättningar mest effektivt kan tillgodoses i de nya bestämmelserna. En grundläggande åtgärd är att dela upp bestämmelserna i kapitel när det är fråga om ett stort antal bestämmelser som rör utlämnande till flera olika mottagare, vilket är fallet för Skatteverkets beskattningsverksamhet. I detta fall bör bestämmelser avseende utlämnande till de mottagare där informationsutbytet är som mest omfattande, och där uppgiftslämnandet kan antas öka, finnas i särskilda kapitel. Kapitelindelningen bör även i viss mån utgå från de mottagande myndigheternas verksamhet, exempelvis bör utlämnande till brottsbekämpande myndigheter regleras i ett kapitel. En annan åtgärd är att inte reglera uppgiftslämnande till flera mottagare i samma bestämmelser, vilket i dag sker för vissa brottsbekämpande myndigheter.92 Utlämnande till en och samma mottagare bör dessutom inte regleras på olika ställen, utan samlat.
Vad avser själva bestämmelsernas struktur bör som utgångspunkt behoven hos mottagaren anges i en bestämmelses första stycke, och vilka uppgifter som avses i andra stycket. När det föreskrivna uppgiftslämnandet är av mer begränsad omfattning, eller synnerligen brett formulerat framstår som det mindre ändamålsenligt, och ibland omöjligt, att dela upp de befintliga bestämmelserna i stycken. Exempelvis finns det som nämnts ovan bestämmelser som inte specificerar vilka uppgifter som avses, utan enbart vilka behov som ska föreligga, alternativt inte anger vilka behov som ska föreligga utan enbart vilka uppgifter som avses.
När det rör sig om ett mycket omfattande utlämnande för ett stort antal behov hos mottagaren anser vi att den lösning som medger mest överskådlighet och flexibilitet är att dela upp bestämmelserna i två paragrafer som hänvisar till varandra. I den ena bestämmelsen ska det föreskrivas att uppgifter ska lämnas ut och för vilka behov hos mottagaren. I den andra bestämmelsen ska de uppgifter som avses anges.
92 8 l § SdbF.
13.5. Skatteverkets beskattningsverksamhet
13.5.1. Utlämnande av uppgifter från beskattningsverksamheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgiftsläm-
nande som i dag regleras i registerförfattningarna för Skatteverkets beskattningsverksamhet ska föras in i en ny förordning kallad förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Skatteverkets utlämnande av uppgifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna beskattningsdatalagen.
I den nya förordningen ska införas bestämmelser som motsvarar de bestämmelser som i dag reglerar Skatteverkets möjligheter att ta ut avgifter vid utlämnande från beskattningsdatabasen.
Skälen för vårt förslag
En ny förordning om utlämnande av uppgifter
Det finns ett stort antal bestämmelser om uppgiftslämnande från beskattningsverksamhet och regleringen är komplex. Bestämmelserna som styr informationsflödet från verksamheten finns i dag i flera olika författningar. Det vore därför lämpligt att i så hög utsträckning som möjligt undvika en ännu mer splittrad reglering.
I avsnitt 13.4.3 har vi bedömt att bestämmelser om uppgiftslämnande inte ska finnas i de nya författningarna om dataskydd. Vi har övervägt om bestämmelser om Skatteverkets uppgiftsskyldighet i beskattningsverksamheten kan flyttas till någon befintlig författning som reglerar de uppgifter Skatteverket har att utföra. Mot bakgrund av den stora omfattningen, att bestämmelser om utlämnande ofta ändras och då det inte finns något krav på att sekretessbrytande uppgiftsskyldighet som bygger på 10 kap. 28 § OSL ska finnas i lag, anser vi dock att det är lämpligt att de nya bestämmelserna förs in i en förordning.
Vi har exempelvis övervägt om bestämmelser om utlämnande som i dag finns i registerförfattningarna kan föras in i skatteförfarande-
förordningen (2011:1261), SFF. I 18 kap. SFF finns nämligen redan vissa bestämmelser om uppgiftsskyldighet för Skatteverket, bl.a. avseende utlämnande till Försäkringskassan, Kronofogdemyndigheten och Statistiska centralbyrån.93 Dessa och andra myndigheter som Skatteverket har en uppgiftsskyldighet till enligt skatteförfarandeförordningen är myndigheter som även anges som mottagare av uppgifter i skattedatabasförordningen. I 20 kap. SFF finns dessutom vissa bestämmelser om uppgiftslämnande till myndigheter i andra stater.
En invändning mot att föra in de nya bestämmelserna om uppgiftslämnande i skatteförfarandeförordningen är dock att tillämpningsområde för nuvarande registerförfattningar är bredare än tillämpningsområdet för skatteförfarandelagen, som skatteförfarandeförordningen kompletterar.94 Den nya beskattningsdatalagen kommer i likhet med dagens registerförfattningar tillämpas i flera olika sammanhang som inte enbart regleras i skatteförfarandelagen och därmed inte heller den tillhörande förordningen. Vi anser därför att det inte är lämpligt att föra in de bestämmelser om utlämnande som i dag finns i registerförfattningarna i skatteförfarandeförordningen.
Någon annan lämplig författning som de ändrade bestämmelserna kan föras in i har vi inte hittat. Vår slutsats är därför att det inte finns någon befintlig författning dit nuvarande bestämmelser i registerförfattningarna bör flyttas. Vi föreslår därför en ny förordning om Skatteverkets utlämnande av uppgifter från beskattningsverksamheten.
Förordningens namn och portalparagraf
Vi anser att det inte är lämpligt att särskilt ange begreppet uppgiftsskyldighet i förordningens namn, trots att den huvudsakligen föreslås innehålla sådana. Även sekretessbrytande bestämmelser om utlämnande till enskilda föreslås nämligen finnas i den nya förordningen, och dessa utgör inte i sig skyldigheter för Skatteverket. Namnet bör dessutom möjliggöra införandet av framtida upplysningsbestämmelser om sådant utlämnande som inte sker med stöd av en sekretessbrytande uppgiftsskyldighet i nationell rätt, eller med stöd av uppgiftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Det kan inte heller uteslutas att det kan finnas
93 18 kap. 2, 4 och 9 §§ SFF. 94 1 kap. 1–4 §§ SFL och 1 § SFF.
skäl att i framtiden upplysa om sådant utlämnande som kan ske med stöd av den s.k. generalklausulen i offentlighets- och sekretesslagen genom en bestämmelse i förordningen. Förordningens namn bör därför vara förordningen om utlämnande av uppgifter från Skatteverkets
beskattningsverksamhet.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upplysa om att den innehåller bestämmelser om utlämnande av uppgifter från beskattningsverksamheten i vissa fall.
Förordningens struktur
I avsnitt 13.5.2 nedan föreslår vi att bestämmelser som motsvarar skattedatabaslagens och skattedatabasförordningens bestämmelser om utlämnande till enskilda förs in i den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten. Dessa bestämmelser bör finnas i ett eget kapitel.
Även uppgiftslämnande till andra verksamhetsgrenar inom Skatteverket bör regleras i ett eget kapitel. Avseende bestämmelser om utlämnande till SPAR-verksamheten, som i dag inte regleras i skattedatabasförordningen, se avsnitt 13.5.3 nedan.
Också bestämmelser om utlämnande till de myndigheter där beskattningsverksamhetens uppgiftslämnande är mest omfattande, dvs. Kronofogdemyndigheten, Tullverket, Försäkringskassan, Migrationsverket och Statistiska centralbyrån bör finnas i särskilda kapitel.
Utlämnande till myndigheter inom det brottsbekämpande området, samt till domstolar m.fl. bör också regleras i särskilda kapitel.
Bestämmelser som rör utlämnande till övriga myndigheter bör slutligen regleras i ett kapitel.
Tillämpningsområde
Det breda materiella tillämpningsområdet för den föreslagna beskattningsdatalagen syftar i likhet med dagens registerförfattningar till att omfatta alla Skatteverkets arbetsuppgifter inom den aktuella verksamhetsgrenen, se avsnitt 7.4.5. För samstämmighet med de författningar som föreslås upphävas bör den nya förordningen om uppgiftslämnande ha samma breda materiella tillämpningsområde som den nya
beskattningsdatalagen. De avgränsningar som föreslås avseende juridiska personer och avlidna i beskattningsdatalagen bör dock inte finnas i den nya förordningen.
En följd av det breda tillämpningsområdet är att eventuell tillkommande uppgiftsskyldighet för beskattningsverksamheten i första hand ska kunna föras i den föreslagna förordningen, och inte i andra förordningar eller i materiell reglering. Om så sker undviks ytterligare splittring i regleringen av vilka skyldigheter Skatteverket har att lämna ut uppgifter till andra aktörer.
Även vissa befintliga bestämmelser om uppgiftsskyldighet som i dag regleras i andra sammanhang bör kunna flyttas till den nya förordningen. Exempelvis skulle sådana bestämmelser som i dag finns i skatteförfarandeförordningens 18 kap. och 20 kap. kunna flyttas dit. Redan en sådan förändring hade enligt vår mening bidragit till att området framstod som mindre splittrat och svåröverskådligt. Vi anser dock att det inte ligger inom ramen för vårt uppdrag att lämna förslag med den innebörden.
Bestämmelser om Skatteverkets rätt att ta ut avgifter
En myndighet får bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.95Något krav på att bestämmelser om myndigheters rätt att ta ut avgifter ska finnas i lag finns alltså inte.
I dag ges Skatteverket rätt att ta ut avgifter för utlämnande av uppgifter från beskattningsdatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i lag, 2 kap. 14 § första stycket SdbL. I paragrafens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Skatteverkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestäm-
953 och 5 §§avgiftsförordningen (1992:191).
melser. Skatteverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter från beskattningsverksamheten. Dessa nya bestämmelser bör enligt vår mening finnas i samma sammanhang som de nya bestämmelser som reglerar utlämnandet i sak, dvs. den nya förordningen om utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 14 § första stycket SdbL bör därför införas i den nya förordningen om utlämnande av uppgifter. Även bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en motsvarighet i den nya förordningen. Däremot bör tillägget i nuvarande 2 kap. 14 § första stycket första meningen SdbL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte införas i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 22 § SdbF finns i dag en bestämmelse som ger Skatteverket rätt att fastställa avgifter för utlämnande av uppgifter ur beskattningsdatabasen. I bestämmelsen anges dock att avgift inte ska tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning. En bestämmelse med motsvarande innebörd bör också föras in i den nya förordningen om uppgiftslämnande från beskattningsverksamheten.
Bestämmelserna i sak
I de kommande avsnitten redogör vi för vissa förändringar i förhållande till den reglering som i dag finns i skattedatabasförordningen. Utöver dessa tillägg och justeringar föreslår vi att de sekretessbrytande bestämmelser som i dag finns i skattedatabaslagen och skattedatabasförordningen ska föras över till den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten med de förändringar vi redogjort för ovan.
13.5.2. Utlämnande till enskilda
Vårt förslag: I den nya förordningen om utlämnande av uppgifter
från beskattningsverksamheten ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i skattedatabaslagen som i dag reglerar förutsättningarna för utlämnande från beskattningsdatabasen till enskilda. Bestämmelsen i den nya förordningen ska dock förtydligas avseende vilka uppgifter som får lämnas ut avseende en fysisk eller juridisk person är godkänd som skattebefriad förbrukare enligt lagen om skatt på energi eller lagen om alkoholskatt.
Utlämnande till arbetslöshetskassor ska regleras i anslutning till bestämmelsen om utlämnande till övriga enskilda.
Skälen för vårt förslag
En sammanhållen reglering
För att skapa en sammanhållen reglering anser vi att inte bara de sekretessbrytande bestämmelser som i dag finns i registerförordningen för beskattningsverksamheten ska införas i den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten. Även vissa andra sekretessbrytande bestämmelser bör flyttas dit.
I 2 kap. 5 § SdbL finns i dag bestämmelser som bryter skattesekretessen i förhållande till enskilda. Bestämmelsen skiljer sig från de bestämmelser som reglerar utlämnande till myndigheter, eftersom den föreskriver att en s.k. menprövning ska göras (jfr avsnitt 3.3.2). Den föreskriver inte heller att något särskilt behov ska föreligga hos mottagaren för att uppgifterna ska kunna lämnas ut.
Med hänsyn till vår målsättning att bestämmelser med olika karaktär och föremål ska hållas åtskilda skulle det kunna argumenteras att bestämmelsen som i dag finns i 2 kap. 5 § SdbL borde föras in i något annat sammanhang än det i vilket informationsutbyte mellan myndigheter regleras. Vår bedömning är dock att den överordnade funktionen med bestämmelserna, dvs. att bryta förekommande sekretess, talar för att de bör finnas i ett och samma sammanhang. I den mån tillkommande bestämmelser om utlämnande samlas i den nya förordningen bidrar den lösningen dessutom till att ge en mer heltäckande bild av de sekretessgenombrott som kan förekomma. Vi föreslår därför att det
i den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten förs in en bestämmelse som motsvarar den som i dag finns i 2 kap. 5 § SdbL, med enbart vissa redaktionella ändringar. Som en följd av vårt förslag i denna del bör även 27 kap. 7 § ändras, se avsnitt 13.2.3.
I avsnitt 13.3.3 har vi redogjort för att arbetslöshetskassor inte är myndigheter, men att de behandlas som sådana inom offentlighets- och sekretesslagstiftningen. Att det förhåller sig på så sätt kan dock inte anses vara helt allmänt känt. I syfte att inte skapa onödig otydlighet anser vi att utlämnandet till arbetslöshetskassorna bör regleras i samma sammanhang som utlämnande till övriga enskilda. Vi föreslår därför att en bestämmelse som motsvarar den som i dag finns i 8 d § SdbF och som reglerar utlämnande från beskattningsverksamheten till arbetslöshetskassorna, förs in i den nya förordningens kapitel om utlämnande till enskilda.
Ett förtydligande
Skatteverket har i ett annat sammanhang96 föreslagit ett förtydligande av omfattningen av uppgifter som kan lämnas ut avseende en skattebefriad förbrukare med stöd av 2 kap. 5 § 8 SdbL. Av den aktuella bestämmelsens framgår i dag att uppgifter får lämnas ut om huruvida en fysisk eller juridisk person är godkänd som skattebefriad förbrukare enligt lagen (1994:1776) om skatt på energi eller lagen (2022:156) om alkoholskatt och i sådana fall från vilken tidpunkt.
Ett godkännande som skattebefriad förbrukare innebär bl.a. att skattepliktiga alkoholvaror kan tas emot från en s.k. upplagshavare utan skatt alternativt att skattepliktigt bränsle kan tas emot utan skatt eller med nedsatt skatt för vissa ändamål.97
Av förarbetena till den aktuella bestämmelsen framgår att syftet med att uppgifterna över huvud taget skulle få lämnas ut var att det fanns ett behov av att lämna ut uppgifterna eftersom skattebefriade förbrukare ibland bad att få uppgift om godkännande sänt till annan än den egna adressen, samt att s.k. upplagshavare kunde ha intresse av att ta del av uppgift om huruvida någon var godkänd som skatte-
96 Skatteverkets promemoria 2021-03-28, Elektroniskt utlämnande av uppgift om godkännande
som lagerhållare eller skattebefriad förbrukare, dnr 8-1584331.
97 10 kap. 2 § andra stycket lagen om alkoholskatt och 8 kap. 1 § tredje stycket lagen om skatt på energi.
befriad förbrukare. Enligt regeringens bedömning kunde det finnas situationer där den enskildes samtycke inte kunde inhämtas eller det kunde vara omständligt att inhämta det. Dessa situationer skulle underlättas genom en bestämmelse som angav att uppgifter om besluten fick lämnas ut. Den efterfrågade informationen från en tredje person var dock endast huruvida en fysisk eller juridisk person var godkänd som skattebefriad förbrukare och i så fall från vilken tidpunkt detta gällde. Enligt regeringen borde bestämmelsen därför utformas med beaktande av detta.98
Skatteverket har gjort gällande att bestämmelsen i 2 kap. 5 § 8 SdbL bör förtydligas på så sätt att den även anger vad ett godkännande omfattar eftersom uppgifter om för vilket ändamål ett godkännande gäller eller vilket bränsle ett godkännande gäller kan vara sådana uppgifter som har betydelse för hanteringen av skatten. Skatteverket har påpekat att sådana uppgifter i och för sig omfattas av den nuvarande lydelsen. För att det inte ska kunna råda någon oklarhet i denna fråga bör det dock enligt Skatteverket uttryckligen framgå av bestämmelsen att utlämnandet även får innefatta uppgift om vad ett godkännande omfattar.
Vi delar den bedömning som Skatteverket gett uttryck för avseende att dagens reglering bör anses omfatta även viss ytterligare information om godkännandet än enbart att ett sådant beslut fattats och från vilken tidpunkt. Om den sekretessbrytande bestämmelsen inte också avsåg information om vad ett sådant beslut omfattade skulle den nämligen inte fylla den funktion som förefaller ha avsetts, dvs. att Skatteverket skulle ges möjlighet att upplysa tredje man om förhållanden som var av betydelse bl.a. för om denna kunde leverera en vara utan att samtidigt påföra skatt.
Det går att ifrågasätta om det finns något faktiskt behov av ett sådant förtydligande som Skatteverket efterfrågat. Mot bakgrund av att en bestämmelse som möjliggör ett utlämnande av uppgifter också utgör en rättslig grund för den personuppgiftsbehandling som utlämnandet innebär bör dock bestämmelsen i den nya förordningen vara tydlig och precis och dess tillämpning förutsebar för den som omfattas av den (skäl 41 till EU:s dataskyddsförordning). Vi föreslår därför att bestämmelsen i den nya förordningen som motsvarar 2 kap. 5 § 8 SdbL även ska tillåta utlämnande av uppgifter om vad godkännandet omfattar.
98Prop. 2004/05:99, Val av ledamot i skattenämnd, m.m., s. 11–12.
Eftersom utlämnande av uppgifter om vad godkännandet omfattar redan bör omfattas av nuvarande reglering innebär vårt förslag inte någon ändring i sak.
13.5.3. Utlämnande till SPAR-verksamheten
Vårt förslag: I den nya förordningen om utlämnande av uppgifter
från beskattningsverksamheten ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i SPAR-förordningen som i dag reglerar utlämnandet.
Skälen för vårt förslag
I avsnitt 16.4.2 har vi föreslagit en ny lag och en ny förordning för Skatteverkets verksamhet med det statliga personadressregistret, (SPAR). Skatteverkets verksamhet med SPAR utgör en självständig verksamhetsgren, varför sekretessen inom beskattningsverksamheten även gäller i förhållande till SPAR-verksamheten. I SPAR registreras främst uppgifter som lämnas dit från Skatteverkets folkbokföringsverksamhet, där uppgifterna som utgångspunkt är offentliga. SPAR innehåller även vissa uppgifter från beskattningsverksamheten, där uppgifterna normalt är sekretessbelagda. För att uppgifterna ska kunna lämnas från beskattningsverksamheten krävs därmed att det finns en sekretessbrytande bestämmelse som möjliggör utlämnandet.
Av 4 § 10–12 SPAR-lagen, jämfört med 5 § samma lag framgår vilka uppgifter som ska hämtas till SPAR från beskattningsverksamheten. Dessa bestämmelser har vi föreslagit ska motsvaras av bestämmelser även i den nya SPAR-lagen.
I 4 § förordningen (1998:1234) om det statliga personadressregistret, SPAR-förordningen, finns den för utlämnandet nödvändiga bestämmelse som bryter sekretessen i beskattningsverksamheten. Vi har i avsnitt 16.4.9 föreslagit att den bestämmelsen inte ska ha någon motsvarighet i den nya SPAR-förordningen. Eftersom bestämmelsens föremål är att bryta den sekretess som annars skulle ha gällt inom beskattningsverksamheten är det mest ändamålsenligt att den motsvaras av en bestämmelse i den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten.
Den uppgiftsskyldighet som i dag framgår av 4 § 10–12 samt 5 § SPAR-lagen och 4 § SPAR-förordningen bör följaktligen motsvaras av en bestämmelse i den nya förordningen om utlämnande av uppgifter från beskattningsverksamheten. Vi föreslår därför att det införs en bestämmelse i den nya förordningen med innebörden att uppgifter som anges i 4 § 10–12 i den befintliga SPAR-lagen ska lämnas ut till Skatteverkets SPAR-verksamhet. Utlämnandet ska dock endast ske i den utsträckning det behövs för Skatteverkets verksamhet enligt den nya lagen (0000:00) om det statliga personadressregistret.
13.5.4. Visst utlämnande till Kronofogdemyndigheten
Vårt förslag: Bestämmelserna om uppgiftslämnande till Krono-
fogdemyndigheten i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelse.
Skälen för vårt förslag
Ospecificerade behov i Kronofogdemyndighetens verksamhet
Av 4 § första stycket första meningen SdbF framgår att Skatteverket på begäran av Kronofogdemyndigheten ska lämna ut uppgifter som anges i 2 kap. 3 § 1–3 SdbL, dvs. vissa grunduppgifter om fysiska och juridiska personer. Bestämmelsen är inte förenad med något krav på att uppgifterna ska behövas hos Kronofogdemyndigheten.
Som vi redogjort för i avsnitt 13.4.4 bör även bestämmelser som i dag inte anger att uppgifterna ska behövas hos mottagaren förenas med ett krav på att det ska föreligga ett sådant behov för att uppgifterna ska få lämnas ut. Eftersom vi inte har för avsikt att förändra omfattningen av det befintliga informationsutbytet bör dock behovet inte heller specificeras närmare i den nya regleringen. Uppgifter som i dag anges i 2 kap. 3 § 1–3 SdbL ska därför lämnas ut i den utsträckning det behövs i Kronofogdemyndighetens verksamhet.
Personer som förekommer i Kronofogdemyndighetens verksamhet
I 4 § första stycket andra meningen SdbF anges att uppgifter som avses i 2 kap. 3 § 4, 5, 8, 10 och 11 SdbL på begäran ska lämnas ut om personer som på olika sätt är aktuella i Kronofogdemyndighetens verksamhet. Den personkrets som pekas ut är sådana som har ansökt om skuldsanering eller F-skuldsanering, är registrerad som gäldenär hos Kronofogdemyndigheten, eller make eller likställd med make till någon som har ansökt om skuldsanering eller F-skuldsanering, eller som är registrerad som gäldenär hos Kronofogdemyndigheten.
Av 4 § andra stycket SdbF framgår att Kronofogdemyndigheten har rätt att ta del av samtliga uppgifter, alltså uppgifter som anges i 2 kap. 3 § 1–5, 8, 10 och 11 SdbL, genom direktåtkomst. Direktåtkomsten till uppgifterna får dock bara avse personer som är aktuella hos myndigheten på samma sätt som anges ovan, vilket framgår av 2 kap. 8 § första stycket SdbL.
Av 4 a § SdbF framgår att uppgifter som avses i 2 kap. 3 § 4 och 5 SdbL på begäran ska lämnas ut om en person, som omfattas av en begäran om inhämtande av bankkontoinformation enligt Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. Bestämmelsen är inte förenad med någon kompletterande bestämmelse som ger Kronofogdemyndigheten rätt att ta del av uppgifterna genom direktåtkomst.
I avsnitt 13.4.4 har vi gjort bedömningen att bestämmelser som särskilt reglerar direktåtkomst inte ska ha någon motsvarighet i den nya regleringen. I avsnitt 13.4.2 har vi också påpekat att bortfallet av bestämmelser som i dag möjliggör direktåtkomst måste kompenseras för på något sätt i den nya regleringen. Vi har även bedömt att detta bör ske genom att nya bestämmelser inte ska föreskriva att ett utlämnande ska ske på begäran och inte heller hänvisa till en särskilt angiven personkrets. Frågan är då hur bestämmelser i den nya förordningen, och som ska motsvara 4 § första stycket andra meningen och 4 a § SdbF ska ange i vilka fall uppgifterna får lämnas ut.
Inledningsvis kan konstateras att bestämmelser om uppgiftslämnande likt de aktuella har en inneboende komplexitet. Å ena sidan finns bestämmelserna om utlämnandet (avseende form och i sak) i en författning vars tillämpningsområde tyder på att den enbart styr den ut-
lämnande myndighetens agerande, dvs. själva utlämnandet. Det ställer krav på den utlämnande myndigheten inte enbart att lämna ut uppgifterna, utan även att vidta vissa åtgärder innan utlämnandet, exempelvis att avgränsa det till sådana uppgifter som typiskt sett har betydelse för den verksamhet som anges hos den mottagande myndigheten. En avgränsande åtgärd blir särskilt betydelsefull när uppgifterna är brett formulerade, exempelvis ”underlag för fastställande av skatter och avgifter”. Att uppgifterna endast får avse personer som förekommer hos mottagaren är dock svårt för den utlämnande myndigheten att närmare kontrollera i det enskilda fallet, oavsett i vilken form utlämnandet genomförs. När uppgifterna dessutom lämnas ut genom direktåtkomst innebär det i praktiken att kontrollen av att uppgifterna rör personer som är aktuella i den mottagande myndigheten helt faller på mottagaren. Efter Högsta förvaltningsdomstolens avgörande rörande LEFI Online (HFD 2015 ref. 16) har nämligen begreppet avgränsats till att avse sådana former av överföring som sker utan att den utlämnande myndigheten vidtar någon (automatiserad) kontroll eller åtgärd (se avsnitt 11.4.2).
Å andra sidan styr bestämmelserna också den mottagande myndighetens handlingsutrymme. Om den mottagande myndigheten, som Kronofogdemyndigheten i det aktuella fallet, också har direktåtkomst till samtliga kategorier av uppgifter innebär det att uppgifterna i en strikt teknisk mening också är utlämnade när direktåtkomsten är aktiv (se avsnitt 11.2.2). Uppgifterna är därför också i rättslig mening förvarade hos mottagaren. Trots detta får Kronofogdemyndigheten enligt nuvarande reglering inte ta del av uppgifterna för de behov som anges i 4 a § SdbF genom direktåtkomst. För dessa behov ska uppgifterna, som myndigheten alltså i teknisk och rättslig mening redan har tillgång till, hämtas in genom ett annat förfarande. Bestämmelsen i den utlämnande myndighetens registerförfattning styr därmed i vilka situationer mottagaren faktiskt kan ta del av de uppgifter som i rättslig mening anses förvarade där.
Om bestämmelser som de i 4 § första stycket andra meningen och 4 a § SdbL enbart reglerade Skatteverkets agerande, dvs. själva utlämnandet, skulle det möjligtvis vara enklare att formulera de nya bestämmelserna. Hänsyn måste dock även tas till att regleringen också är bestämmande för mottagarens agerande, för att inte utöka bestämmelsens omfattning.
Kan ärendehandläggning eller verksamhet ersätta personkrets?
I syfte att åstadkomma en så liten förskjutning av omfattningen av informationsutbytet som möjligt, men samtidigt möjliggöra fortsatt direktåtkomst, har vi övervägt olika alternativ i frågan om hur de sekretessbrytande bestämmelserna till Kronofogdemyndigheten ska formuleras i framtiden.
En möjlighet är att de nya bestämmelserna utformas på så sätt att de tillåter utlämnande i den utsträckning det behövs för Kronofogdemyndighetens ärendehandläggning. En sådan förändring skulle medföra att kravet för utlämnande till Kronofogdemyndigheten utformas i likhet med det uppgiftslämnande som exempelvis föreskrivs till Försäkringskassan, se exemplet i avsnitt 13.4.5. För utlämnande till Försäkringskassan finns nämligen inget krav på att uppgifterna ska avse en person som är aktuell på ett särskilt sätt. I stället anges i vilken form av handläggning uppgifterna måste behövas, samt vilka uppgifter som avses. I praktiken borde dock Försäkringskassan inte ha något rättsligt utrymme att begära ut eller ta del av information som avser andra personer än de som är aktuella inom den handläggning som specificeras i den sekretessbrytande bestämmelsen. Detsamma borde enligt vår bedömning gälla för Kronofogdemyndigheten om uppgifter i framtiden enbart ska lämnas ut i den utsträckning det behövs för viss ärendehandläggning. En avgränsning till uppgifter som behövs i ärendehandläggning skulle även för Kronofogdemyndigheten innebära att myndighetens handlingsutrymme begränsas till att ta del av uppgifter om personer som är aktuella i ärenden hos myndigheten och uppgifterna måste dessutom behövas i ärendet.
En annan möjlighet vi övervägt är om de nya bestämmelserna i stället bör avse viss verksamhet inom Kronofogdemyndigheten. Även en sådan lösning skulle medföra att kravet för utlämnande till Kronofogdemyndigheten utformas i likhet med vissa befintliga bestämmelser, exempelvis sådant utlämnande som i dag ska ske till Skatteverkets brottsbekämpande verksamhet (5 b § SdbF). Begreppet verksamhet omfattar dock fler företeelser än ärendehandläggning.
Vilket begrepp som framstår som mest lämpligt är därför avhängigt hur de befintliga bestämmelserna är utformade. Det går därmed inte att på ett generellt plan svara på frågan om ärendehandläggning eller verksamhet kan ersätta de personkretsar som anges i bestämmelserna i dag.
Person som ansökt om skuldsanering eller F-skuldsanering
I dag ska uppgifter lämnas ut om en person som ansökt om skuldsanering eller F-skuldsanering, eller person som är make eller motsvarande till denna.
Kopplingen till en ansökan skulle kunna anses tala för att den befintliga bestämmelsen avser Kronofogdemyndighetens behov av uppgifter i handläggning av ärenden om skuldsanering och F-skuldsanering. I dag finns dock ingen begränsning av för vilka ändamål Kronofogdemyndigheten får ta del av uppgifter om den personkrets som anges. Det som är av betydelse för åtkomsten är i stället att personen har ansökt om skuldsanering eller F-skuldsanering, eller är make eller motsvarande till en sådan person. Kronofogdemyndigheten har därmed i dag rätt att ta del av uppgifter om personer som ingår i personkretsen även för andra ändamål än att handlägga ärenden, exempelvis för tillsyn eller kontroll utan koppling till handläggningen av ett ärende. Någon begränsning till personer som faktiskt har beviljats skuldsanering finns vidare inte. Om den nya bestämmelsen enbart ger Kronofogdemyndigheten rätt att ta del av de aktuella uppgifterna i den utsträckning det behövs för handläggning av ärenden om skuldsanering eller F-skuldsanering kommer det att innebära en begränsning i förhållande till vad som gäller i dag. Det hade exempelvis minskat myndighetens möjlighet att hämta in uppgifter för vissa dataanalyser och urval.
Begreppet verksamhet skulle dock kunna uppfattas omfatta uppgifter om andra personer än enbart de som avses i dagens bestämmelse, dvs. personer som ansökt om skuldsanering eller är make eller motsvarande till denna. Liksom i all annan verksamhet som kräver personuppgiftsbehandling är dock Kronofogdemyndigheten också i verksamheten med skuldsanering och F-skuldsanering begränsad av de bestämmelser som framgår av EU:s dataskyddsförordning. Det innebär att Kronofogdemyndigheten inom verksamheten med skuldsanering och F-skuldsanering måste kunna åberopa en i nationell rätt fastställd rättslig grund för varje behandling av personuppgifter, (artikel 6). Kronofogdemyndigheten får inte heller behandla fler eller andra uppgifter än vad som är berättigat utifrån den materiella verksamhetsregleringen (artiklarna 5.1 b och 5.1 c). Av 7 § i den föreslagna nya kronofogdedatalagen framgår dessutom att personuppgifter en-
bart får behandlas om det är nödvändigt för att utföra verksamhet som omfattas av lagens tillämpningsområde.
Verksamheten med skuldsanering är dessutom relativt avgränsad. Kronofogdemyndigheten har uppgett till utredningen att det i dag inte finns några behov inom verksamheten med skuldsanering att ta del av beskattningsuppgifter som inte blir tillgodosedda genom befintlig reglering. De uppgifter som Kronofogdemyndigheten får behandla i verksamheten med skuldsanering och F-skuldsanering är sådana som enligt bestämmelserna i skuldsaneringslagen (2016:675) respektive lagen (2016:676) om skuldsanering för företagare, samt respektive tillhörande förordning, tillmäts betydelse för prövningen av ett ärende och i övrig handläggning. I de nämnda lagarna framgår bl.a. vilka uppgifter som ska lämnas av gäldenären i samband med en ansökan, och att Kronofogdemyndigheten har en skyldighet att kontrollera vissa uppgifter om gäldenären, eller som gäldenären lämnat till Kronofogdemyndigheten.99 Dessa uppgifter, samt uppgifter om andra förhållanden som enligt den materiella verksamhetsregleringen tillmäts betydelse för tillämpningen av densamma motsvarar därmed också sådana uppgifter som kan bli aktuella att behandla vid tillsyn, kontroll och annat analysarbete som sker inom verksamheten med skuldsanering och F-skuldsanering. Den materiella verksamhetsregleringen avser i allt väsentligt uppgifter om och förhållanden som är knutna till gäldenären, dvs. den som har ansökt om skuldsanering eller F-skuldsanering. I den mån beskattningsuppgifter behövs för att handlägga ärenden eller för att utföra andra uppgifter inom skuldsaneringsverksamheten har Kronofogdemyndigheten alltså i dag möjlighet att ta del av dessa via direktåtkomst.
Mot den bakgrunden bedömer vi att omfattningen av det nuvarande utlämnandet inte förändras om den nya bestämmelsen anger att uppgifter ska lämnas ut i den utsträckning det behövs för Kronofogdemyndighetens verksamhet med skuldsanering och F-skuldsanering. Någon särskild bestämmelse som avser make eller motsvarande behövs därmed inte, eftersom uppgifter om gäldenärens och dennes familjs personliga och ekonomiska förhållanden som är av betydelse för prövningen av ärendet ska bifogas en ansökan om skuldsanering eller F-skuldsanering.100 Det innebär att även uppgifter om make eller motsvarande förekommer i, och behövs i verksamheten. Vi föreslår där-
9912 och 15 §§skuldsaneringslagen, samt 13 och 17 §§ lagen om skuldsanering för företagare. 100 12 § 6 skuldsaneringslagen och 13 § 8 lagen om skuldsanering för företagare.
för att den nya bestämmelsen ska ange att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträckning det behövs för verksamhet med skuldsanering eller F-skuldsanering.
Person som är registrerad som gäldenär
I dag ska uppgifter lämnas ut om en person som är registrerad som gäldenär hos Kronofogdemyndigheten, eller en person som är make eller motsvarande till denna.
Gäldenärer kan förekomma i flera olika typer av ärenden hos Kronofogdemyndigheten. Samtliga personer som ansöker om skuldsanering borde exempelvis vara gäldenär i förhållande till någon. Att uppgiftslämnandet ska avse personer som är registrerade som gäldenärer hos Kronofogdemyndigheten tyder dock på att avsikten inte är att avse all verksamhet där gäldenärer förekommer.
När den befintliga bestämmelsen infördes hade dåvarande kronofogdemyndigheterna sedan en lång tid haft tillgång till det centrala skatteregistret genom direktåtkomst, vilket hade motiverats av den nära kopplingen mellan beskattningsverksamhet och indrivningsverksamhet. Det fanns enligt regeringens mening inte anledning att av integritetsskäl inskränka den möjligheten. I likhet med vad som redan gällde borde åtkomsten i huvudsak vara begränsad till uppgifter om gäldenärer och andra personer som förekom i ett ärende hos kronofogdemyndigheten.101 I förarbetena till de sekundära ändamålsbestämmelserna för beskattningsverksamheten (se avsnitt 13.3.1) konstaterade regeringen också att enligt skatteregisterlagen fick skatteregistren användas för utredningar i kronofogdemyndigheternas exekutiva verksamhet. Regeringen ansåg därför att ett sekundärt ändamål för beskattningsverksamheten borde vara utsökning och indrivning.102
Det nyss sagda talar enligt vår mening för att uppgiftslämnandet som i dag föreskrivs i 4 § första stycket andra meningen 1 och 4 i huvudsak bör avse personer som förekommer i Kronofogdemyndighetens verksamhet med utsökning eller indrivning, dvs. sådan verksamhet som huvudsakligen bedrivs enligt bestämmelserna i utsökningsbalken och utsökningsförordningen (1981:981), dvs. verkställighet,
101Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132. 102Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 125.
samt enligt bestämmelser i lagen (1993:891) om indrivning av statliga fordringar m.m., dvs. indrivning.
Alla personer som verkställigheten riktas mot i ett ärende om utsökning eller indrivning registreras dessutom som gäldenärer hos Kronofogdemyndigheten, oavsett om verkställigheten gäller en fordran eller någon annan förpliktelse. Den som söker om verkställighet (sökande) har som utgångspunkt en skyldighet att betala vissa avgifter och kostnader. Enligt bestämmelserna om kostnader i 17 kap. utsökningsbalken och i förordningen (1992:1094) om avgifter vid Kronofogdemyndigheten är dock huvudregeln att all verkställighet sker på svarandens, dvs. sökandens motparts, bekostnad. I mål och ärenden som avser en fordran kallas sökandens motpart enligt utsökningsbalken gäldenär.103 Svaranden/gäldenären är därmed betalningsansvarig för alla s.k. förrättningskostnader, vilket innebär att Kronofogdemyndigheten med stöd av bestämmelserna i 17 kap. utsökningsbalken och förordningen om avgifter vid Kronofogdemyndigheten ska försöka driva in dessa kostnader av den svarande. Samtliga personer som är svarande eller gäldenär enligt utsökningsbalken registreras därför som gäldenärer hos Kronofogdemyndigheten.
Även sökanden kan komma att registreras som gäldenär om utfallet av verkställigheten trots allt medför att han eller hon blir betalningsskyldig för förrättningskostnaden. Sökanden kan dessutom komma att registreras som gäldenär om han eller hon blir återbetalningsskyldig rörande den fordran för vilken verkställighet ansökts om, t.ex. kapitalbelopp eller ränta efter att domstol ändrat fördelning eller utbetalning. Kronofogdemyndigheten kan då på begäran av den berättigade genast utsöka beloppen, vilket framgår av 13 kap. 20 § utsökningsbalken. Mål registreras då upp mot sökanden om betalning inte sker frivilligt. Även arbetsgivare som betalar ut lön i strid mot ett beslut om löneutmätning kan registreras som gäldenär. Mot denne kan utsökning genast ske, vilket framgår av 7 kap. 21 § utsökningsbalken. Då registreras ett mål upp mot arbetsgivaren på samma sätt som mot sökanden. Arbetsgivaren blir då gäldenär genom att mål registreras upp om arbetsgivaren inte betalar frivilligt.
Kronofogdemyndigheten har uppgett till utredningen att myndighetens behov av att ta del av beskattningsuppgifter inom verksamheten med utsökning och indrivning i dag blir tillgodosett genom nuvarande reglering. I likhet med vad som anges ovan om personer som
103 Jfr 1 kap. 7 § utsökningsbalken.
har ansökt om skuldsanering eller F-skuldsanering finns det inte någon begränsning av för vilka ändamål Kronofogdemyndigheten får ta del av beskattningsuppgifter genom direktåtkomst om personer som är registrerade som gäldenärer eller är make eller motsvarande till en sådan person. Det som är av betydelse för åtkomsten är endast att personen i fråga är registrerad som gäldenär hos myndigheten eller make eller motsvarande till en sådan person. Kronofogdemyndigheten har därmed i dag rätt att ta del av uppgifter om personer som ingår i personkretsen även för andra ändamål än att handlägga mål och ärenden om utsökning eller indrivning, exempelvis för tillsyn, kontroll eller annat analysarbete utan koppling till handläggningen av ett ärende. Om den nya bestämmelsen enbart ger Kronofogdemyndigheten rätt att ta del av de aktuella uppgifterna i den utsträckning det behövs för handläggning av mål eller ärenden om utsökning eller indrivning kommer det alltså att innebära en begränsning i förhållande till vad som gäller i dag. Det hade exempelvis minskat myndighetens möjlighet att hämta in uppgifter för vissa dataanalyser och urval.
Vi har ovan konstaterat att Kronofogdemyndigheten vid all behandling av personuppgifter måste tillämpa dataskyddsförordningens bestämmelser om bl.a. rättslig grund för behandling och att inte fler uppgifter än vad som är nödvändigt får behandlas. Av den materiella verksamhetsregleringen av myndighetens verksamhet med utsökning och indrivning, dvs. primärt utsökningsbalken och utsökningsförordningen, framgår vilka förhållanden som har betydelse för tillämpningen av bestämmelserna, vilka undersökningar och kontroller Kronofogdemyndigheten ska utföra, samt vilka förhållanden som är avgörande för utfallet av de förfaranden som regleras genom utsökningsbalken.104 Vad gäller uppgifter om make eller motsvarande framgår exempelvis av bestämmelser i 4 kap. utsökningsbalken att uppgifter om dessa kan påverka vilken egendom som kan utmätas. Det innebär att uppgifter om make eller motsvarande behövs i handläggning av mål eller ärenden om utsökning eller indrivning.
Den materiella verksamhetsregleringen avser dock i allt väsentligt uppgifter om och förhållanden som är knutna till personer som också registreras som gäldenärer hos Kronofogdemyndigheten, dvs. den som förfarandet riktas mot inom verksamheten med utsökning och indrivning. Dessa uppgifter, samt uppgifter om andra förhållanden som enligt den materiella verksamhetsregleringen tillmäts betydelse
104 Jfr t.ex. 4 kap.9, 14 och 15 §§ och 7 kap. 1 §utsökningsbalken.
för tillämpningen motsvarar därmed också sådana uppgifter som kan bli aktuella att behandla vid tillsyn, kontroll eller annat analysarbete som sker inom verksamheten med utsökning och indrivning. I den mån beskattningsuppgifter om personer som är registrerade som gäldenärer behövs för att handlägga ärenden eller för att utföra andra uppgifter inom verksamheten med utsökning och indrivning har Kronofogdemyndigheten i dag möjlighet att ta del av dessa via direktåtkomst.
Mot den bakgrunden bedömer vi att omfattningen av det nuvarande utlämnandet inte förändras om den nya bestämmelsen anger att uppgifter ska lämnas ut i den utsträckning det behövs för Kronofogdemyndighetens verksamhet med utsökning och indrivning. Vi föreslår därför att den nya bestämmelsen ska ange att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträckning det behövs för verksamhet med utsökning och indrivning.
Person som omfattas av en begäran om inhämtande av bankkontoinformation
I dag ska uppgifter lämnas ut om en person som omfattas av en begäran om inhämtande av bankkontoinformation enligt Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur, kvarstadsförordningen.
Av 3 § lagen (2016:757) om kvarstad på bankmedel inom EU, kvarstadslagen, framgår att Kronofogdemyndigheten är informationsmyndighet enligt kvarstadsförordningen. Vi har därför övervägt om den nya bestämmelsen kan avse Kronofogdemyndighetens verksamhet enligt kvarstadsförordningen, utan att omfattningen av utlämnandet förändras. Av 6 § kvarstadslagen framgår dock att Kronofogdemyndigheten även är behörig myndighet och ansvarig verkställande myndighet enligt kvarstadsförordningen. Kronofogdemyndigheten har alltså ett större uppdrag med anledning av kvarstadsförordningen än vad som omfattas av informationsuppdraget.
I detta fall är det enligt vår mening inte lämpligt att ange verksamhet. För att den nya bestämmelsens omfattning inte ska bli större än den befintliga föreslår vi att uppgifterna ska lämnas ut om det behövs
för Kronofogdemyndighetens handläggning av en begäran om inhämtande av bankkontoinformation enligt kvarstadsförordningen.
13.5.5. Utlämnande till Kronofogdemyndigheten för tillsyn över näringsförbud
Vårt förslag: I den utsträckning det behövs för handläggning av
ärenden om tillsyn över näringsförbud ska följande uppgifter lämnas ut till Kronofogdemyndigheten:
1. underlag för fastställande av skatter och avgifter,
2. bestämmande av skatter och avgifter,
3. uppgifter som behövs för handläggning enligt lagen om Skatte-
verkets hantering av vissa borgenärsuppgifter,
4. yrkanden och grunder i ett ärende, och
5. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Skälen för vårt förslag
Kronofogdemyndighetens behov av och tillgång till uppgifter för tillsyn över näringsförbud
Av 41 § lagen (2014:836) om näringsförbud framgår att Kronofogdemyndigheten utövar tillsyn över att näringsförbud och tillfälliga näringsförbud följs. Inom ramen för det arbetet ska Kronofogdemyndigheten bevaka att en person som meddelats näringsförbud i princip omedelbart upphör med den näringsverksamhet som bedrivs, inte bedriver ny verksamhet, och inte är anställd eller tar emot återkommande uppdrag i de situationer då det är förbjudet.
Kronofogdemyndigheten har uppgett till utredningen att det är av stor betydelse att myndigheten har tillgång till uppgifter om hur en person som meddelats näringsförbud försörjer sig för att kunna genomföra en effektiv och ändamålsenlig tillsyn. Myndigheten har vidare uppgett att man behöver kontrollera att uppgifter som den förbudsdömde lämnat stämmer. Enligt Kronofogdemyndigheten är de uppgifter som är av vikt för tillsynsarbetet bl.a. uppgifter om delägarskap i bolag, uppgifter om deklarerade inkomster, kontrolluppgifter,
månadsuppgifter, uppgift om fastighetsinnehav samt uppgift om närstående.
Som framgår ovan har Kronofogdemyndigheten i dag direktåtkomst till de uppgifter som behövs för tillsyn över näringsförbud i beskattningsdatabasen om en person som har ansökt om skuldsanering eller F-skuldsanering, är registrerad som gäldenär eller är make eller likställd till make till en sådan person (4 § SdbF). Av 2 kap. 2 § 4 KFMdbL framgår att uppgifter får behandlas i utsöknings- och indrivningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för ansökan om och tillsyn över näringsförbud. Det innebär att om en person som meddelats näringsförbud också är registrerad som gäldenär, eller är make eller motsvarande till en sådan person, har Kronofogdemyndigheten tillgång till de uppgifter om personen som behövs för tillsyn över näringsförbud genom databasregleringen, se avsnitt 9.2.2. Med stöd av finalitetsprincipen kan Kronofogdemyndigheten i dag även ha möjlighet att ta del av behövliga uppgifter om personen om han eller hon har ansökt om skuldsanering eller F-skuldsanering eller är make eller motsvarande till en sådan person, se avsnitt 8.4.6.
Utlämnande för handläggning av ärenden om tillsyn över näringsförbud som i dag delvis sker med stöd av generalklausulen
Om en person som meddelats näringsförbud inte är registrerad som gäldenär, och inte heller har ansökt om skuldsanering eller F-skuldsanering eller är make eller motsvarande till en sådan person har Kronofogdemyndigheten enbart tillgång till vissa grunduppgifter om personen i beskattningsdatabasen, se avsnitt 13.5.4. Kronofogdemyndigheten har uppgett till utredningen att om det i ett tillsynsärende föreligger misstankar om bulvanförhållanden har myndigheten ett behov av uppgifter från beskattningsverksamheten även om de personer som formellt företräder den förbjudna verksamheten. Detta gäller enligt Kronofogdemyndigheten oavsett om den person som kan antas vara bulvan är närstående till den förbudsmeddelande eller inte.
De grunduppgifter som myndigheten har tillgång till i dessa situationer utgör dock enligt Kronofogdemyndigheten inte tillräcklig information för utövandet av tillsyn över näringsförbud.105 Krono-
105 Dvs. uppgifter enligt 2 kap. 3 § 1–3 SdbL.
fogdemyndigheten har uppgett till utredningen att i de fall myndigheten enbart har tillgång till grunduppgifter om en person som meddelats näringsförbud begärs de ytterligare uppgifter som behövs ut från Skatteverket särskilt. I begäran anges att uppgifterna bör kunna lämnas ut av Skatteverket med stöd av 10 kap. 27 § (generalklausulen, se avsnitt 13.2.2).
Skatteverket har uppgett till utredningen att samverkan mellan myndigheterna i denna fråga har resulterat i en mall för begäran som handläggaren för tillsynsärendet vid Kronofogdemyndigheten fyller i och skickar till Skatteverket. Skatteverket prövar begäran med utgångspunkt i de uppgifter som begärs enligt mallen. I mallen redogörs även standardiserat för Kronofogdemyndighetens behov. Med utgångspunkt i detta underlag prövar Skatteverket begäran.
Skatteverket har även uppgett att bedömningen är att uppgifterna som begärs enligt mallen som utgångspunkt kan lämnas ut med stöd av 10 kap. 27 § OSL.
Uppgifter ska få lämnas ut i den utsträckning det behövs för Kronofogdemyndighetens handläggning av ärenden om tillsyn över näringsförbud
Vi har i avsnitt 13.5.4 föreslagit att samma uppgifter som Kronofogdemyndigheten har ett behov av vid tillsyn över näringsförbud, och som myndigheten i dag har tillgång till i huvudsak genom databasregleringen och i annat fall efter särskild begäran till Skatteverket, ska få lämnas ut i den utsträckning det behövs för verksamhet med skuldsanering eller F-skuldsanering samt för verksamhet med utsökning eller indrivning. Kronofogdemyndighetens tillsyn över näringsförbud utgör dock inte exekutiv verksamhet och omfattas inte av begreppet utsökning och indrivning. Det utgör inte heller en del av skuldsaneringsförfarandet. Kronofogdemyndigheten har uppgett att den föreslagna regleringen i Skatteverkets utlämnandeförordning i detta avseende skulle innebära att myndigheten inte längre har samma möjlighet att med stöd av databasregleringen ta del av merparten av de uppgifter som behövs för handläggningen av ärenden om tillsyn över näringsförbud. Frågan är då om det finns skäl för att i den nya förordningen införa en sekretessbrytande bestämmelse med innebörden att de aktuella uppgifterna även ska få lämnas ut i den ut-
sträckning det behövs för Kronofogdemyndighetens tillsyn över näringsförbud.
När förändringar i regleringen av uppgiftsutbyte mellan myndigheter övervägs krävs också noggranna avvägningar mellan viktiga allmänna intressen och skyddet för den personliga integriteten. Vad gäller det allmänna intresset kan konstateras att näringsförbud huvudsakligen har två syften. Det ena syftet är att hindra personer att bedriva näringsverksamhet sedan de har visat sig olämpliga för detta. Det andra syftet är att tillhandahålla en adekvat reaktion på missbruk av näringsfriheten.106 Näringsförbud kan meddelas av flera olika orsaker bl.a. om någon grovt åsidosatt sina skyldigheter i näringsverksamheten och därvid har gjort sig skyldig till brottslighet som inte är ringa (4 § lagen om näringsförbud) eller om någon grovt åsidosatt sina skyldigheter i en näringsverksamhet för vilken sådan skatt, tull eller avgift som omfattas av bestämmelserna om betalningssäkring i skatteförfarandelagen i avsevärd omfattning inte har betalats (6 § lagen om näringsförbud). Den som meddelats näringsförbud får bl.a. inte driva näringsverksamhet, faktiskt utöva ledningen av en näringsverksamhet, vara ledamot eller suppleant i styrelsen för bl.a. aktiebolag och ekonomiska föreningar, eller vara anställd eller återkommande ta emot uppdrag i en näringsverksamhet som drivs av en närstående till honom eller henne (11 § lagen om näringsförbud). Den som bryter mot ett näringsförbud kan dömas för överträdelse av näringsförbud till böter eller fängelse i högst två år (47 § lagen om näringsförbud).
Regeringen har uttalat att för att syftena med näringsförbud ska uppnås är det uppenbarligen inte tillräckligt att beslut om näringsförbud meddelas. Det krävs enligt regeringen också att det tillsynsarbete som tar vid efter beslutet är ändamålsenligt och effektivt så att näringsförbudet följs.107 Kronofogdemyndigheten har därför som tillsynsmyndighet över näringsförbud möjlighet att vidta vissa tillsynsåtgärder, bl.a. att begära att den som har näringsförbud lämnar uppgift om inkomst, anställningsförhållanden och övriga omständigheter av betydelse för att klarlägga hur han eller hon försörjer sig samt vidta övriga utrednings- och spaningsåtgärder som är befogade för att klarlägga hur den som har näringsförbud försörjer sig (44 § lagen om näringsförbud).
106Prop. 2013/14:215, Ny lag om näringsförbud, s. 62. 107Prop. 2013/14:215, Ny lag om näringsförbud, s. 62.
Om Kronofogdemyndigheten inte får del av de uppgifter från beskattningsverksamheten som behövs för tillsyn över näringsförbud skulle konsekvensen bli att myndigheten inte kan utöva tillsyn över att näringsförbudet följs och att myndigheten inte heller har förutsättningar att anmäla misstänkta överträdelser till åklagare. Det skulle i förlängningen leda till att ett av huvudsyftena med näringsförbud inte kan uppnås, dvs. att hindra den förbudsdömde från att bedriva näringsverksamhet. Att Kronofogdemyndigheten ges tillgång till de uppgifter som behövs för att kontrollera att näringsförbud följs måste därför enligt vår mening anses vara ett viktigt allmänt intresse.
Vad avser skyddet för den personliga integriteten, som det allmänna intresset ska vägas mot, kan konstateras att befintliga sekretessbrytande bestämmelser inte i tillräcklig omfattning medger att uppgifter som är av betydelse för Kronofogdemyndighetens tillsyn över näringsförbud lämnas ut. Utöver den tillgång till uppgifterna som möjliggörs av befintliga sekretessbrytande bestämmelser samt databasregleringen lämnas därför behövliga uppgifter regelmässigt ut av Skatteverket med stöd av generalklausulen i 10 kap. 27 OSL. En eventuell ny sekretessbrytande bestämmelse som möjliggör att uppgifter som Kronofogdemyndigheten behöver för tillsyn över näringsförbud skulle därmed kodifiera sådant uppgiftslämnande som huvudsakligen redan förekommer. En ny sekretessbrytande bestämmelse bör därför kunna införas utan att det innebär något beaktansvärt utökat utlämnande av sekretessbelagda uppgifter. Som vi redogjort för i avsnitt 13.2.2 bygger generalklausulen dessutom på att ett rutinmässigt uppgiftsutbyte av sekretessbelagda uppgifter som utgångspunkt är särskilt författningsreglerat.108 Mot den bakgrunden bör en ny bestämmelse som särskilt avser utlämnande för Kronofogdemyndighetens tillsyn över näringsförbud framstå som proportionerlig ur ett integritetshänseende.
Som vi nämnt i avsnitt 13.2.4 utgör bestämmelser om utlämnande av uppgifter från en myndighet till en annan myndighet också en rättslig grund för behandling av personuppgifter genom utlämnande. Enligt dataskyddsförordningen bör den rättsliga grunden för personuppgiftsbehandling vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den (skäl 41). Genom att uttryckligen reglera uppgiftslämnande som sker för Kronofogde-
108Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 327.
myndighetens tillsyn över näringsförbud skulle den rättsliga grunden för behandlingen bli mer tydlig och förutsebar för de registrerade.
Vår bedömning är att därför att det finns ett behov av att införa en bestämmelse i den nya förordningen som tillåter utlämnande av uppgifter från beskattningsverksamheten till Kronofogdemyndigheten i den utsträckning det behövs för handläggning av ärenden om tillsyn över näringsförbud. En sådan reglering innebär att Kronofogdemyndigheten kan få ut de uppgifter som myndigheten behöver inom ramen för tillsynsarbetet, vare sig det handlar om uppgifter om den förbudsdömde eller en misstänkt bulvan. Samtidigt skulle det inte innebära något beaktansvärt utökat informationsutbyte jämfört med det som redan sker i dag bl.a. med stöd av generalklausulen i 10 kap. 27 § OSL. Informationsutbytet skulle i stället bli tydligt författningsreglerat, vilket innebär att dataskyddsförordningens krav på den rättsliga grunden i högre utsträckning än i dag tillgodoses.
Vid införande av en sekretessbrytande bestämmelse bör det dock även övervägas om de aktuella uppgifterna kommer att ha ett sekretesskydd hos den mottagande myndigheten samt, om så inte är fallet, om de bör ha det.109 I det avseende kan konstateras att det av 34 kap. 1 § OSL framgår att sekretess gäller hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Det råder följaktligen en presumtion för sekretess hos Kronofogdemyndigheten för de uppgifter som skulle komma att kunna lämnas ut med stöd av en ny sekretessbrytande bestämmelse. Vi bedömer att någon förändring i detta avseende inte är påkallat med anledning av en eventuell ny sekretessbrytande bestämmelse avseende uppgifter som Kronofogdemyndigheten behöver vid tillsyn över näringsförbud. Den sekretess som enligt 34 kap. 1 § OSL råder för uppgifterna hos Kronofogdemyndigheten får därför anses svara mot berättigade krav på sekretesskydd när de lämnas ut dit. I avsnitt 15.5 har vi dessutom föreslagit att en reglering motsvarande dagens databassekretess (34 kap. 2 § OSL) ska gälla även i fortsättningen och att den ska omfatta Kronofogdemyndighetens verksamhet med ansökan om och tillsyn över näringsförbud.
109Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 75–76.
Vi föreslår därför att det ska införas en bestämmelse i den nya förordningen som föreskriver att Skatteverket ska lämna ut uppgifter till Kronofogdemyndigheten i den utsträckning det behövs för myndighetens handläggning av ärenden om tillsyn över näringsförbud. De uppgifter som ska kunna lämnas ut med stöd av den nya bestämmelsen bör avse samma kategorier som i dag anges i 4 § SdbF och som Kronofogdemyndigheten redan har tillgång till för tillsyn över näringsförbud i vissa fall genom databasregleringen. Det innebär att uppgifter som avses i 2 kap. 3 § 4, 5, 8, 10 och 11 SdbL ska kunna lämnas ut med stöd av bestämmelsen.
13.5.6. Visst utlämnande till Tullverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Tullverket
i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser samt visst utökat uppgiftslämnande som behövs för dataanalyser och urval.
Skälen för vårt förslag
Personer som förekommer hos Tullverket
I 5 § första stycket SdbF anges att uppgifter som avses i 2 kap. 3 § första stycket 1–5, 10 och 11 SdbL på begäran ska lämnas ut om personer som på olika sätt är aktuella i Tullverkets verksamhet. De personer som anges är de som – är eller kan antas vara gäldenär enligt tullagstiftningen, – är eller kan antas vara skyldig att betala skatt för vara vid import, – är eller kan antas vara skattskyldig enligt lagen (1994:1776) om skatt
på energi, lagen (2016:1067) om skatt på kemikalier i viss elektronik, lagen (2018:696) om skatt på vissa nikotinhaltiga produkter, lagen (2020:32) om skatt på plastbärkassar, lagen (2022:155) om tobaksskatt eller lagen (2022:156) om alkoholskatt, – avses i 3 § SdbF, eller – annars är föremål för Tullverkets kontrollverksamhet.
Av 5 § andra stycket SdbF framgår att Tullverket har rätt att ta del av samtliga uppgifter, dvs. uppgifter som anges i 2 kap. 3 § första stycket 1–5, 10 och 11 SdbL, genom direktåtkomst. Direktåtkomsten till uppgifterna får dock bara avse personer som är eller kan antas vara gäldenär enligt tullagstiftningen, skyldig att betala skatt för vara vid import eller otillåten införsel eller föremål för Tullverkets kontrollverksamhet enligt lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter, vilket framgår av 2 kap. 8 § andra stycket SdbL.
I avsnitt 13.5.4 ovan har vi redogjort för våra bedömningar och förslag avseende Skatteverkets uppgiftslämnande till Kronofogdemyndigheten där bestämmelserna i dag avser en särskild personkrets, och där uppgifterna även ska lämnas ut genom direktåtkomst. Samma överväganden gör sig gällande även för utlämnande till Tullverket, dvs. i de fall nuvarande bestämmelser kan anses vara begränsade till att avse Tullverkets behov vid handläggning av ärenden bör den nya regleringen avse ärendehandläggning. I annat fall bör verksamhet anges i den nya bestämmelsen. På så sätt bedömer vi att omfattningen av utlämnandet inte förändras.
Gäldenärer enligt tullagstiftningen
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara gäldenär enligt tullagstiftningen. De betalningsskyldigheter som kan uppkomma enligt tullagstiftningen är avseende tull och andra avgifter, exempelvis tulltillägg. Hanteringen av sådan skattskyldighet sker inom ramen för ett ärende. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för handläggning av ärenden om skyldighet att betala tull eller andra avgifter enligt tullagstiftningen.
Personer som är skyldiga att betala skatt vid import
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara skyldig att betala skatt för vara vid import. Även i detta fall sker hanteringen inom ramen för ett ärende. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifter om det
behövs för handläggning av ärenden om skyldighet att betala skatt för vara vid import.
Skattskyldiga i övrigt
I dag ska uppgifter lämnas ut om en person som är eller kan antas vara skatteskyldig enligt lagen om skatt på energi, lagen om skatt på kemikalier i viss elektronik, lagen om skatt på vissa nikotinhaltiga produkter, lagen om skatt på plastbärkassar, lagen om tobaksskatt eller lagen om alkoholskatt. I dessa fall sker hanteringen inom ramen för ett ärende. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifter om det behövs för handläggning av ärenden om skattskyldighet enligt nyss nämnda författningar.
Personer som avses i 3 § SdbF
I dag ska enligt 5 § 4 SdbF uppgifter lämnas ut om en person som anges i 3 § SdbF. I paragrafen, vars föremål är att reglera vilka uppgifter som får registreras i beskattningsdatabasen, hänvisas till uppgifter som anges i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004. Vilka de personer är som avses i 5 § 4 SdbF kan alltså inte utläsas enbart genom att läsa 3 § SdbF.
Enligt 3 § förordningen (2012:331) om tillämpning av rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004 är det dessutom Skatteverket som är behörig myndighet vid tillämpningen. Tullverket borde därför inte ha något särskilt, eget uppdrag med anledning av EU-förordningen, i vart fall inte ett som ger upphov till ärendehandläggning. Däremot föreskrivs i 3 § i den svenska tillämpningsförordningen att Tullverket har en uppgiftsskyldighet till Skatteverket, avseende uppgifter som behövs för att Skatteverket ska kunna fullgöra sina uppgifter i sammanhanget.
I 3 § andra stycket i den svenska tillämpningsförordningen anges dock att Skatteverket och Tullverket även i övrigt genom utbyte av information och annan samverkan ska se till att det administrativa samarbetet med andra medlemsstaters myndigheter enligt EU-förord-
ningen bedrivs på ett effektivt sätt. Tullverket har följaktligen verksamhet med anledning av EU-förordningen, även om den inte omfattar ärendehandläggning. Tullverket har också uppgifter kopplade till punktskattepliktiga varor, se t.ex. lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter och är i flera fall den myndighet som tar ut punktskatten. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifter om det behövs för Tullverkets verksamhet med utbyte av information i punktskattefrågor enligt i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004.
Personer som annars är föremål för Tullverkets kontrollverksamhet
I dag ska uppgifter lämnas ut om en person som annars är föremål för Tullverkets kontrollverksamhet. Vi har övervägt om den nya bestämmelsen bör avse uppgifter som behövs i Tullverkets handläggning av kontrollärenden. Tullverkets verksamhet och arbetsuppgifter utgörs dock i mycket stor utsträckning av olika åtgärder som har ett mer eller mindre tydligt inslag av kontroll, se avsnitt 14.2.3. Mot den bakgrunden är vår bedömning att en sådan förändring i förhållande till dagens reglering skulle innebära en inskränkning av informationsutbytet. Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifter om det behövs i kontrollverksamhet, utan angivande av att det ska finnas en ärendekoppling.
En utökad uppgiftsskyldighet – dataanalyser och urval
I avsnitt 14.10 om dataanalyser och urval gör vi bedömningen att Tullverket bör ges tillgång till vissa uppgifter från beskattningsverksamheten som dagens reglering inte omfattar. Överväganden och bedömningar i fråga om det föreslagna uppgiftslämnandet framgår av det avsnittet.
13.5.7. Upplysningsbestämmelser
Vår bedömning: Upplysningsbestämmelser bör inte föras in i den
nya förordningen om utlämnande av uppgifter från beskattningsverksamheten.
Skälen för vår bedömning
I dag finns några bestämmelser i skattedatabasförordningen om utlämnande av uppgifter som inte bryter förekommande sekretess. Dessa bestämmelser upplyser i stället om att föreskrifter om Skatteverkets skyldighet att lämna uppgifter till de angivna mottagarna finns i andra författningar eller rättsakter. Så är fallet avseende Skatteverkets utlämnande till socialnämnderna, Statens tjänstepensionsverk och Europeiska kommissionen (8 f och 15 §§ SdbF).
Vi har tidigare redogjort för vår bedömning att den splittrade regleringen av utlämnandet av uppgifter från beskattningsverksamheten i viss utsträckning bör kunna samlas i den nya förordningen. Vi har även redogjort för att förordningens föreslagna namn bör möjliggöra för upplysningsbestämmelser om uppgiftsskyldighet som av olika skäl inte kan eller bör flyttas till den nya förordningen. Trots det nyss sagda anser vi inte att de befintliga upplysningsbestämmelserna i skattedatabasförordningen bör motsvaras av bestämmelser i den nya förordningen. Skälet till detta är just den splittring som föreligger i dag. Uppgiftsskyldigheter regleras nämligen utanför registerförordningen i långt fler fall än vad som framgår av dagens bestämmelser.
I den mån en mer samlad reglering ska kunna uppnås kräver det enligt vår mening att fler än de få upplysningsbestämmelser som i dag förekommer i skattedatabasförordningen införs i den nya förordningen. Eftersom det kräver överväganden som går utanför ramen för vårt uppdrag anser vi att frågan om upplysningsbestämmelser bör införas i den nya förordningen, och i så fall i vilken utsträckning, bör hanteras i ett annat sammanhang.
13.6. Skatteverkets folkbokföringsverksamhet
13.6.1. Utlämnande av uppgifter från folkbokföringsverksamheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgifts-
lämnande som i dag regleras i registerförfattningarna för Skatteverkets folkbokföringsverksamhet ska föras in i en ny förordning kallad förordningen om utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Skatteverkets utlämnande av uppgifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna folkbokföringsdatalagen.
I den nya förordningen ska införas bestämmelser som motsvarar de bestämmelser som i dag reglerar Skatteverkets möjligheter att ta ut avgifter vid utlämnande från folkbokföringsdatabasen.
Skälen för vårt förlag
En ny förordning om utlämnande av uppgifter
En central funktion med folkbokföringsverksamheten är att förse olika samhällsfunktioner med ett korrekt underlag för beslut och åtgärder.110 Uppgifter som registreras är därför som utgångspunkt offentliga. För folkbokföringsverksamhetens del har det följaktligen inte funnit ett särskilt stort behov av att införa sekretessbrytande bestämmelser om uppgiftsskyldighet. Däremot finns det i dag, som vi redogjort för i avsnitt 13.3.4, vissa bestämmelser i folkbokföringsdatabasförordningen som reglerar Skatteverkets skyldighet att underrätta olika aktörer om vissa förhållanden.
Som vi tidigare konstaterat är bestämmelserna om underrättelseskyldighet enhetligt utformade. I samtliga fall anges uttryckligen vilka uppgifter som ska lämnas ut, eller vilken information som ska ges, och utan angivande av vilka behov som ska föreligga hos mottagaren. Bestämmelserna innehåller även vissa föreskrifter om förfarandet. Flera av de överväganden vi redogjort för ovan i fråga om behov av föränd-
1102 § förordningen (2017:154) med instruktion för Skatteverket.
ringar och hur nya bestämmelser om utlämnande bör formuleras, är därför inte aktuella för de nya bestämmelserna om Skatteverkets underrättelseskyldighet i folkbokföringsverksamheten. Med andra ord har vi inte funnit skäl att inom ramen för vårt uppdrag föreslå några språkliga eller andra förändringar av bestämmelserna. Däremot anser vi att bestämmelser om underrättelseskyldighet, av de skäl som framgår av avsnitt 13.4.3 inte bör finnas i de nya dataskyddsförfattningarna för folkbokföringsverksamheten.
Mot bakgrund av folkbokföringsverksamhetens övergripande syfte, dvs. att förse olika samhällsfunktioner med information, har vi överväg om Skatteverkets skyldighet att underrätta andra offentliga aktörer kan regleras i någon befintlig författning. I avsnitten 9.4.5 och 9.4.6 föreslår vi att flera befintliga bestämmelser i registerförfattningarna för folkbokföringsverksamheten ska flyttas till folkbokföringslagen (1991:481) och folkbokföringsförordningen (1991:749). Det rör bestämmelser avseende förhållanden som inte utgör rena dataskyddsfrågor. Det skulle kunna framstå som lämpligt att också bestämmelser om Skatteverkets underrättelseskyldighet samt bestämmelser som avser förfarandet i samband med underrättelserna förs in i folkbokföringsförordningen. I folkbokföringsförordningen finns dessutom redan bestämmelser av liknande karaktär, avseende andra myndigheters skyldigheter att lämna uppgifter till Skatteverket.111
Eftersom folkbokföringsverksamheten i dag omfattar fler områden än enbart folkbokföring enligt folkbokföringslagen framstår det emellertid som olämpligt att föra in bestämmelser om utlämnande av uppgifter i folkbokföringsförordningen. Exempelvis utgör Skatteverkets uppgifter enligt lagen (2022:1697) om samordningsnummer en del av folkbokföringsverksamheten, men tilldelning av samordningsnummer sker enbart avseende personer som inte är eller har varit folkbokförda. Med begreppet folkbokföringsverksamhet avses följaktligen fler av Skatteverkets uppgifter än de som framgår av folkbokföringslagen och folkbokföringsförordningen.112 Eftersom Skatteverkets utlämnande av uppgifter från folkbokföringsverksamheten också omfattar uppgifter om personer som inte är folkbokförda bör de nya bestämmelsernas placering anpassas efter detta. Vi har dock inte funnit någon lämplig befintlig författning. Vi föreslår därför att de nya bestämmelserna om utlämnande av uppgifter från folkbokför-
1111–3 b och 12–15 §§folkbokföringsförordningen. 112 Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43–44.
ingsverksamheten ska motsvara dagens bestämmelser, med endast mindre redaktionella ändringar, och att de ska föras in i en ny förordning.
Förordningens namn och portalparagraf
Liksom avseende förslaget om en ny förordning om utlämnande av uppgifter från beskattningsverksamheten anser vi att det inte är lämpligt att särskilt ange begreppet uppgiftsskyldighet i den nya förordningens namn. Förordningens namn bör inte heller använda begreppet underrättelseskyldighet. Namnet på den nya förordningen bör nämligen enligt vår mening möjliggöra införandet av framtida upplysningsbestämmelser om sådant utlämnande som inte sker med stöd av en sekretessbrytande uppgiftsskyldighet i nationell rätt, eller med stöd av uppgiftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Förordningens namn bör därför vara förordningen om utlämnande av uppgifter från Skatteverkets folk-
bokföringsverksamhet.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upplysa om att den innehåller bestämmelser om utlämnande av uppgifter från folkbokföringsverksamheten i vissa fall.
Förordningens struktur
Förordningen ska innehålla allmänna bestämmelser, bestämmelser om avgifter samt bestämmelser om Skatteverkets skyldigheter att underrätta myndigheter om vissa förhållanden respektive Skatteverkets skyldighet att i övrigt lämna ut uppgifter. Förordningen ska även innehålla vissa bestämmelser om Skatteverkets möjlighet att lämna ut uppgifter till Svenska kyrkan och till centrala registreringsmyndigheter för folkbokföring i nordiska länder.
Tillämpningsområde
Det materiella tillämpningsområdet för den föreslagna folkbokföringsdatalagen syftar i likhet med dagens registerförfattningar till att omfatta alla Skatteverkets uppgifter inom den aktuella verksamhets-
grenen, se avsnitt 7.4.6. För samstämmighet med de författningar som föreslås upphävas bör den nya förordningen om uppgiftslämnande ha samma breda materiella tillämpningsområde som den nya folkbokföringsdatalagen. En följd av det breda tillämpningsområdet är att eventuella tillkommande uppgiftsskyldigheter m.m. för folkbokföringsverksamheten i första hand ska kunna föras in i den föreslagna förordningen, och inte i nya förordningar eller i materiell reglering.
Bestämmelser om Skatteverkets rätt respektive skyldighet att ta ut avgifter
Som nämnts i avsnitt 13.5.1 får en myndighet bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.113
I dag ges Skatteverket rätt att ta ut avgifter för utlämnande av uppgifter från folkbokföringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i 2 kap. 12 § första stycket FdbL. I paragrafens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Skatteverkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestämmelser. Skatteverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter från folkbokföringsverksamheten. Som framgår av avsnitt 16.4.12 utgör Skatteverkets informationsförsörjningssystem Navet en del av folkbokföringsdatabasen, och Navet är avgiftsbelagt för vissa myndigheter. De nya bestämmelserna om Skatteverkets avgiftsuttag bör enligt vår mening införas i samma författning som de nya bestämmelserna som reglerar utlämnandet i sak, dvs. i den nya förordningen om utlämnande av uppgifter från folkbokföringsverksamheten.
1133 och 5 §§avgiftsförordningen (1992:191).
En bestämmelse som motsvarar bestämmelsen i 2 kap. 12 § första stycket FdbL bör därför införas i den nya förordningen. Även bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en motsvarighet i den nya förordningen. Däremot bör tillägget i nuvarande 2 kap. 12 § första stycket FdbL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte införas i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 18 § FdbF finns i dag närmare bestämmelser om Skatteverket avgiftsuttag. Av första stycket framgår att när uppgifter ur folkbokföringsdatabasen lämnas ut för ändamål som avses i 1 kap. 4 § 5 och 6 FdbL ska en avgift tas ut. Skatteverket har alltså en skyldighet att ta ut avgifter när utlämnandet sker för aktualisering, komplettering och kontroll av personuppgifter, eller uttag av urval av personuppgifter. Av andra stycket framgår att när uppgifter lämnas ut i andra fall får en avgift tas ut. Av bestämmelsens tredje stycke framgår att statliga myndigheter, med undantag för affärsverken, är fria från sådana avgifter som avses i första och andra styckena när uppgifter ur folkbokföringsdatabasen lämnas ut genom direktåtkomst eller på medium för automatiserad behandling. I bestämmelsens fjärde stycke anges att Skatteverket fastställer avgifterna för att lämna ut uppgifter ur folkbokföringsdatabasen.
Bestämmelser med motsvarande innebörd som dagens 18 § FdbF bör också föras in i den nya förordningen om utlämnande av uppgifter från folkbokföringsverksamheten. Eftersom vi i avsnitt 8.4.3 föreslår att dagens detaljerade ändamålsbestämmelser i den nya folkbokföringsdatalagen ska ersättas av en brett formulerad ändamålsbestämmelse bör den nya bestämmelsen uttryckligen ange de ändamål som i dag anges i 1 kap. 4 § 5 och 6 FdbL. Mot bakgrund av att vi i avsnitt 11.7.5 föreslår en enhetlig reglering av elektroniskt utlämnande bör de nya bestämmelserna dessutom inte särskilt ange begreppen direktåtkomst och utlämnande på medium för automatiserad behandling, utan enbart ”när uppgifter lämnas ut elektroniskt”.
Bestämmelserna i sak
I det kommande avsnittet redogör vi för ett tillägg i förhållande till den reglering av Skatteverkets underrättelseskyldighet som i dag finns i folkbokföringsdatabasförordningen. Utöver detta tillägg föreslår vi att de bestämmelser om Skatteverkets underrättelseskyldighet som i dag finns i folkbokföringsdatabasförordningen ska föras över till den nya förordningen om utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet.
Förordningen ska även innehålla bestämmelser som motsvarar 13 och 14 §§ FdbF, som reglerar utlämnande till Svenska kyrkan respektive till central registreringsmyndighet för folkbokföring i ett nordiskt land för kontroll- och urvalsändamål. Dessa bestämmelser har en materiell innebörd som medför att de behöver motsvaras av bestämmelser i den nya förordningen (se avsnitt 13.3.4).
I kapitel 9 har vi föreslagit att regleringen av folkbokföringsdatabasen ska upphävas och inte ha någon motsvarighet i den nya folkbokföringsdatalagen. Vi har även föreslagit att de uppgifter som får registreras om en person vid folkbokföring och om en person som tilldelats samordningsnummer ska framgå av folkbokföringslagen respektive lagen om samordningsnummer. Vilka personuppgifter som får registreras i samband med folkbokföring eller om en person som har tilldelats samordningsnummer kan dock komma att förändras. Det är därför mindre lämpligt att i de nya bestämmelserna i förordningen uttryckligen ange samma uppgiftskategorier som anges i de föreslagna nya bestämmelserna i folkbokföringslagen respektive lagen om samordningsnummer. Bestämmelsen i den nya förordningen om utlämnande till Svenska kyrkan bör i stället hänvisa till dessa författningar.
Bestämmelsen i den nya förordningen om utlämnande till en central registreringsmyndighet för folkbokföring i ett nordiskt land bör dock inte begränsas avseende vilka uppgifter som får lämnas ut, i likhet med vad som gäller i dag.
13.6.2. Utlämnande av uppgifter till SPAR-verksamheten
Vårt förslag: I den nya förordningen om utlämnande av upp-
gifter från folkbokföringsverksamheten ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i SPAR-förordningen som i dag reglerar utlämnandet.
Skälen för vårt förslag
I avsnitt 13.5.3 har vi redogjort för våra förslag avseende utlämnande av uppgifter från Skatteverkets beskattningsverksamhet till verksamheten med det statliga personadressregistret, SPAR-verksamheten. Merparten av de uppgifter som får finnas i SPAR hämtas dock från folkbokföringsverksamheten. Vilka uppgifter som avses framgår av 4 § 1–9 och 13–16 SPAR-lagen, jämfört med 5 § samma lag. Dessa bestämmelser har vi föreslagit ska motsvaras av bestämmelser även i den nya SPAR-lagen, se avsnitt 16.4.3.
I 4 § SPAR-förordningen finns den bestämmelse som bryter eventuell sekretess i folkbokföringsverksamheten. Vi har i avsnitt 16.4.9 föreslagit att den bestämmelsen inte ska ha någon motsvarighet i den nya SPAR-förordningen.
Eftersom bestämmelsens föremål är att bryta den eventuella sekretess som annars skulle ha gällt inom folkbokföringsverksamheten är det mest ändamålsenliga att även den ska motsvaras av en bestämmelse i den nya förordningen om utlämnande av uppgifter från folkbokföringsverksamheten. Vi föreslår därför att det införs en bestämmelse i den nya förordningen med innebörden att uppgifter som anges i 4 § 1–9 och 13–16 SPAR-lagen ska lämnas ut till SPAR-verksamheten. Utlämnandet ska dock endast ske i den utsträckning det behövs för Skatteverkets verksamhet enligt lagen (0000:00) om det statliga personadressregistret.
13.7. Tullverket
13.7.1. Utlämnande av uppgifter från Tullverket ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgiftsläm-
nande som i dag regleras i registerförfattningarna för Tullverkets verksamhet samt i tullagens första kapitel ska föras in i en ny förordning kallad förordningen om utlämnande av uppgifter från Tullverket.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Tullverkets utlämnande av uppgifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna tulldatalagen.
I den nya förordningen ska införas bestämmelser som motsvarar de bestämmelser som i dag reglerar Tullverkets möjligheter att ta ut avgifter vid utlämnande från tulldatabasen.
Skälen för vårt förslag
En ny förordning av utlämnande av uppgifter
I nationell rätt regleras Tullverkets skyldigheter att lämna uppgifter till andra offentliga aktörer primärt i tullagens första kapitel.114 Till skillnad från beskattningsverksamheten finns det därför inte särskilt många sekretessbrytande bestämmelser avseende utlämnande till myndigheter i registerförordningen för Tullverkets verksamhet, trots att båda verksamheterna förser ett stort antal andra myndigheter med information. Någon sekretessbrytande bestämmelse som särskilt avser direktåtkomst för en annan myndighet finns exempelvis inte.
Den enda sekretessbrytande uppgiftsskyldighet som föreskrivs i tulldatabasförordningen reglerar utlämnande till Skatteverket. I förordningen finns även en bestämmelse om uppgiftslämnande av uppgifter i tulldatabasen till enheter inom Tullverket som arbetar med brottsbekämpande verksamhet, se avsnitt 13.3.5. Förordningen inne-
114 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177, 181 och 182.
håller dock en bestämmelse som bryter sekretess i förhållande till enskilda och som särskilt avser direktåtkomst, se avsnitt 13.2.4.
Vi har ovan bedömt att bestämmelser om uppgiftslämnande inte ska finnas i de nya författningarna om dataskydd. Vi har övervägt om det finns skäl att föreslå att Tullverkets uppgiftslämnande som i dag regleras i tulldatabasförordningen bör motsvaras av bestämmelser som förs in tullagen, eftersom Tullverkets skyldigheter att lämna uppgifter till andra offentliga aktörer primärt regleras där i dag. Det finns dock inget krav på att sekretessbrytande bestämmelser om uppgiftslämnande ska regleras i lagform, och övriga bestämmelser i tullagen reglerar primärt frågor om förfarandet, bl.a. tullskuld, in- och utförsel av varor, tullkontroll och sanktioner. Vi har även övervägt om det är lämpligt att föreslå att Tullverkets uppgiftslämnande i fortsättningen ska regleras i tullförordningen (2016:287). I den förordningen finns dock inte några bestämmelser som avser utlämnande av uppgifter. Tullförordningen innehåller i stället bestämmelser om bl.a. tullskuld, skatt, ränta och garantier, införsel och utförsel av varor, samt tullkontroll. Tullagens och tullförordningens karaktär, med i huvudsak materiella bestämmelser och förfarandebestämmelser, talar mot att införa mer generella bestämmelser om uppgiftslämnande i dessa. Det framstår därför som olämpligt att föra in eller behålla bestämmelser som rör utlämnande av uppgifter såväl i tullagen som i tullförordningen.
Vi anser därför att det mest ändamålsenliga är att föreslå en ny förordning om Tullverkets utlämnande av uppgifter.
Förordningens namn och portalparagraf
Liksom avseende förslagen om en ny förordning om utlämnande av uppgifter från beskattningsverksamheten respektive folkbokföringsverksamheten anser vi att det inte är lämpligt att särskilt ange begreppet uppgiftsskyldighet i den nya förordningens namn. Namnet på den nya förordningen bör nämligen enligt vår mening möjliggöra införandet av framtida upplysningsbestämmelser om sådant utlämnande som inte sker med stöd av en sekretessbrytande uppgiftsskyldighet i nationell rätt, eller med stöd av uppgiftsskyldighet som inte kan eller bör införas i den nya förordningen av normtekniska skäl. Förordningens namn bör därför vara förordningen om utläm-
nande av uppgifter från Tullverket. Eftersom bestämmelser som möj-
liggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upplysa om att den innehåller bestämmelser om utlämnande av uppgifter från Tullverket i vissa fall.
Förordningens struktur
Förordningen bör innehålla allmänna bestämmelser och bestämmelser om avgifter. Förordningen bör även innehålla bestämmelser om Tullverkets rätt att lämna ut uppgifter till enskilda, samt Tullverkets underrättelseskyldighet och skyldighet att i övrigt lämna ut uppgifter.
Tillämpningsområde
Det breda materiella tillämpningsområdet för den föreslagna tulldatalagen syftar i likhet med dagens registerförfattningar till att omfatta alla Tullverkets uppgifter utanför det brottsbekämpande uppdraget, se avsnitt 7.4.7. För samstämmighet med de författningar som föreslås upphävas bör den nya förordningen om uppgiftslämnande ha samma breda materiella tillämpningsområde som den nya tulldatalagen. De avgränsningar som föreslås avseende juridiska personer bör dock inte finnas i den nya förordningen.
En följd av det breda tillämpningsområdet är att eventuella tillkommande uppgiftsskyldighet för Tullverkets verksamhet utanför det brottsbekämpande området i första hans ska kunna föras in i den föreslagna förordningen, och inte i nya förordningar eller i materiell reglering. På så sätt kan regleringen bli mer sammanhållen och enhetlig. Som framgår ovan bedömer vi att även de bestämmelser om uppgiftsskyldighet som i dag framgår av tullagens första kapitel ska flyttas till den nya förordningen, eftersom de till skillnad från den reglering som finns i 18 kap. och 20 kap. skatteförfarandeförordningen är förhållandevis avgränsade (jfr avsnitt 13.5.1).
Bestämmelser om Tullverkets rätt att ta ut avgifter
Som framgått ovan får en myndighet bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen, se avsnitt 13.5.1 och 13.6.1.
En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.115
I dag ges Tullverket rätt att ta ut avgifter för utlämnande av uppgifter från tulldatabasen enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i 2 kap. 11 § första stycket TDL. I bestämmelsens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Tullverkets rätt att ta ut avgifter vid utlämnande motsvaras av nya bestämmelser. Tullverket har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter. Dessa nya bestämmelser bör enligt vår mening regleras i samma sammanhang som de nya bestämmelser som reglerar uppgiftslämnandet i sak, dvs. den nya förordningen om utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 11 § första stycket TDL bör därför införas i den nya förordningen om utlämnande av uppgifter. Bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör också ha en motsvarighet den nya förordningen. Däremot bör tillägget i nuvarande 2 kap. 11 § första stycket första meningen TDL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte ha en motsvarighet i den nya förordningen eftersom regleringen i sin helhet föreslås finnas på förordningsnivå.
I 9 § TDF finns i dag en bestämmelse som ger Tullverket rätt att fastställa avgifter för utlämnande av uppgifter ur tulldatabasen. I bestämmelsen anges dock att avgift inte ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning. En bestämmelse med motsvarande innebörd bör också föras in i den nya förordningen om uppgiftslämnande från Tullverket.
Enligt artikel 52.1 i tullkodex får tullmyndigheterna inte ta ut avgifter för tullkontroller eller annan tillämpning av tullagstiftningen
1153 och 5 §§avgiftsförordningen (1992:191).
som äger rum under de behöriga tullkontorens officiella öppettider, och enligt artikel 52.2 får avgifter tas ut för särskilda tjänster. I sammanhanget bör också en upplysningsbestämmelse föras in om att Tullverket inte får ta ut avgifter i strid med artikel 52 i tullkodex för tillämpning av tullagstiftningen.
Bestämmelserna i sak
I de kommande avsnitten (13.7.2–13.7.3) redogör vi för vissa förändringar i förhållande till den reglering som i dag finns i tulldatabasförordningen. Utöver dessa tillägg och justeringar föreslår vi att de sekretessbrytande bestämmelser som i dag finns i tullagen och tulldatabasförordningen ska föras över till den nya förordningen om utlämnande av uppgifter från Tullverket med de generella förändringar vi redogjort för ovan.
I 4 a § TDF anges i dag att uppgifter i tulldatabasen på begäran ska lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet. Ett av de sekundära ändamålen i tulldatabaslagen är dessutom att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet (1 kap. 5 § 2 TDL). I avsnitt 8.4.4 föreslår vi att de befintliga detaljerade sekundära ändamålsbestämmelserna inte ska ha någon motsvarighet i den föreslagna tulldatalagen. I stället ska den sekundära ändamålsbestämmelsen avse vidareanvändning av uppgifter som behandlas enligt den primära ändamålsbestämmelsen för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Tullverket har uppgett till utredningen att det är av mycket stor betydelse för myndigheten att uppgiftslämnande till de enheter inom myndigheten som arbetar med brottsbekämpande verksamhet fortsättningsvis inte hindras, och att det inte i framtiden kommer krävas ständiga överväganden kring uppgiftslämnandets förenlighet med finalitetsprincipen. Trots att bestämmelsen i 4 a § TDF inte förefaller ha en sekretessbrytande funktion (se avsnitt 13.3.5) bör därför även den ha en motsvarighet i den nya förordningen. Genom att bestämmelsen ges en motsvarighet i den nya förordningen kan Tullverket, med stöd av den sekundära ändamålsbestämmelsen i den nya tulldatalagen, även fortsättningsvis lämna ut uppgifter till de enheter inom myndigheten som arbetar med brottsbekämpande verksamhet. Be-
stämmelsen utgör en rättslig grund för den personuppgiftbehandling som uppgiftslämnandet till de brottsbekämpande enheterna innebär. I likhet med vad som anges i avsnitt 13.4.3 behöver Tullverket därmed inte heller fortsättningsvis pröva om ett begärt utlämnande ska ske, eller om ett utlämnande är förenligt med det ändamål för vilket uppgifter samlats in.
Mot bakgrund av att det inte förefaller råda någon sekretess mellan de olika enheterna på Tullverket går det dock att ifrågasätta om det kan anses vara motiverat att bestämmelsen som avser uppgiftslämnande till de brottsbekämpande enheterna ska förenas med ett sådant förbud mot spontant utlämnande som föreslås i avsnitt 13.4.4. Ett sådant förbud går även att ifrågasätta utifrån Tullverkets sammantagna samhällsviktiga uppdrag. Det går dock inte att bortse från att den befintliga bestämmelsen avser utlämnande på begäran, och därför inte tillåter spontant utlämnande på det sätt som exempelvis är möjligt med stöd av bestämmelserna i 7–8 §§ lagen om Skatteverkets brottsbekämpande verksamhet, se avsnitt 13.4.1. Även om det finns starka skäl som talar för att utlämnandet till Tullverkets brottsbekämpande enheter ska kunna ske spontant bedömer vi att det går utanför ramen för vårt uppdrag att lämna förslag med den innebörden.
Som redogjorts för i avsnitt 13.4.4 avser dock det föreslagna förbudet mot utlämnande på eget initiativ endast själva utlämnandet, som inte får ske spontant. Det innebär att det utlämnande till Tullverkets brottsbekämpande enheter som förekommer i dag även kommer vara möjligt i fortsättningen.
13.7.2. Utlämnande till enskilda
Vår bedömning: I den nya förordningen om utlämnande av upp-
gifter från Tullverket ska det införas en bestämmelse som motsvarar den sekretessbrytande bestämmelse i tulldatabasförordningen som i dag reglerar förutsättningarna för utlämnande från tulldatabasen till enskilda.
Skälen för vårt förslag
Som vi redogjort för i avsnitten 13.2.3 och 13.3.5 finns det bara en bestämmelse i tulldatabasförordningen som avser utlämnande till enskilda som också är sekretessbrytande. Bestämmelsen kom sammanfattningsvis till för att Tullverket skulle ges rättslig möjlighet att följa unionsrättsliga krav på elektronisk kommunikation i tullförfarandet. I dag föreskriver bestämmelsen i 7 § tredje stycket TDF att vissa ekonomiska aktörer får ha direktåtkomst till uppgifter i tulldatabasen som de ekonomiska aktörerna behöver för att utföra sina förpliktelser enligt tullagstiftningen.
Som vi redogjort för i avsnitten 13.4.2 och 13.4.4 anser vi att bestämmelser som särskilt avser direktåtkomst inte ska förekomma i den nya regleringen. Vår målsättning är dock att omfattningen av det nuvarande utlämnandet av uppgifter inte ska ändras. I de fall en bestämmelse om direktåtkomst kompletteras av en bestämmelse som avser en generell skyldighet att lämna uppgifter kan bestämmelsen som avser direktåtkomst tas bort, och den generella bestämmelsen justeras i vissa avseenden, utan att omfattningen av utlämnandet förändras.
Avseende 7 § tredje stycket TDF finns det dock ingen generell sekretessbrytande bestämmelse. Det innebär att bestämmelsen som i dag särskilt reglerar utlämnande genom direktåtkomst måste ges en motsvarighet i den nya förordningen om utlämnande från Tullverket. Vi föreslår därför att en bestämmelse införs i den nya förordningen om utlämnande från Tullverket med innebörden att under förutsättning att en ekonomisk aktör är registrerad hos en tullmyndighet, i enlighet med artikel 9 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex, får Tullverket lämna ut de uppgifter till aktören som den behöver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen som den definieras i 1 kap. 3 § tullagen.
Som en följd av vårt förslag i denna del bör även 27 kap. 7 § OSL ändras, se avsnitt 13.2.3.
13.7.3. Visst utlämnande till Skatteverket
Vårt förslag: Nuvarande bestämmelser i tulldatabasförordningen
om uppgiftslämnande till Skatteverket ska med vissa justeringar motsvaras av bestämmelser i den nya förordningen.
Skälen för vårt förslag
I 4 § TDF anges att uppgifter som avses i 2 kap. 3 § första stycket 1, 2, 5–7, 10 och 11 TDL på begäran ska lämnas ut om personer som på olika sätt är aktuella i Skatteverkets verksamhet. Den personkrets som pekas ut förekommer antingen i ett ärende hos Skatteverket, eller är föremål för Skatteverkets kontrollverksamhet avseende mervärdesskatt vid import.
Av 2 kap. 7 § första stycket TDL framgår att Skatteverket får ha direktåtkomst till samma uppgifter, dvs. de som avses i 2 kap. 3 § första stycket 1, 2, 5–7, 10 och 11 TDL, i fråga om personer som är eller kan antas vara skattskyldiga eller förekommer i ett ärende enligt lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter. Någon särskild sekretessbrytande bestämmelse som uttryckligen avser direktåtkomst finns dock inte i tulldatabasförordningen.
I avsnitten 13.5.4 och 13.5.6 ovan har vi redogjort för våra förslag om hur det uppgiftslämnande från beskattningsverksamheten som i dag avgränsats till att avse särskilda personer ska regleras i framtiden. De överväganden som redogjorts för där är också tillämpliga i fråga om Tullverkets utlämnande till Skatteverket som i dag regleras i tulldatabasförordningen. Vi anser därmed att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får omfatta uppgifter om personer som förekommer i ärenden, inte innebär att bestämmelsens omfattning utökas.
Vad gäller personer som inte förekommer i ärenden men som annars är föremål för Skatteverkets kontrollverksamhet avseende mervärdesskatt vid import går det dock inte att i den nya regleringen avgränsa utlämnandet till ärendehandläggning. Om det befintliga utlämnandet skulle avse personer som förekommer i ett ärende om kontroll avseende mervärdesskatt vid import skulle det nämligen redan täckas av bestämmelsens första led. Det innebär att om den nya regler-
ingen skulle föreskriva att uppgifter enbart får lämnas ut för sådana ärenden skulle omfattningen av det nuvarande utlämnandet begränsas. Vi anser därför att den nya bestämmelsen endast ska föreskriva att Tullverket ska lämna ut uppgifter om de behövs i Skatteverkets kontrollverksamhet avseende mervärdesskatt vid import. Enligt vår mening blir innebörden av den nya bestämmelsen i princip oförändrad vid jämförelse med dagens reglering.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets kontrollverksamhet avseende mervärdesskatt vid import, eller handläggning av ärenden.
13.8. Kronofogdemyndigheten
13.8.1. Utlämnande av uppgifter från Kronofogdemyndigheten ska regleras i en ny förordning
Vårt förslag: Bestämmelser som i sak motsvarar det uppgifts-
lämnande som i dag regleras i registerförfattningarna för Kronofogdemyndigheten ska föras in i en ny förordning kallad förordningen om utlämnande av uppgifter från Kronofogdemyndigheten.
I förordningen ska det finnas en portalparagraf som anger att den innehåller föreskrifter om Kronofogdemyndighetens utlämnande av uppgifter i vissa fall.
Den nya förordningen ska tillämpas i den verksamhet som omfattas av den föreslagna kronofogdedatalagen.
I den nya förordningen ska införas bestämmelser som motsvarar de bestämmelser som i dag reglerar Kronofogdemyndighetens möjligheter att ta ut avgifter vid utlämnande från dagens databaser.
Skälen för vårt förslag
En ny förordning om utlämnande av uppgifter
Som framgår av avsnitt 13.3.6 föreskrivs i kronofogdedatabasförordningen i dag en skyldighet för Kronofogdemyndigheten att lämna ut vissa uppgifter i utsöknings- och indrivningsdatabasen till Skatte-
verkets beskattningsverksamhet, Tullverket och Säkerhetspolisen. Kronofogdemyndigheten har även en skyldighet att lämna vissa särskilt angivna uppgifter till Skatteverkets folkbokföringsverksamhet. Några sekretessbrytande bestämmelser som avser utlämnande till enskilda finns dock inte i registerförfattningarna för Kronofogdemyndigheten.
Vi har övervägt om dagens bestämmelser kan motsvaras av nya bestämmelser som förs in i någon annan befintlig författning. Mot bakgrund av att de sekretessbrytande bestämmelserna i dag huvudsakligen avser utlämnande från utsöknings- och indrivningsdatabasen har det framstått som lämpligast att undersöka om de nya bestämmelserna kan införas i befintliga författningar inom det området, företrädelsevis utsökningsbalken och utsökningsförordningen (1981:981). I de författningarna saknas dock i dag helt bestämmelser om sådan uppgiftsskyldighet som här är i fråga. I utsökningsförordningen finns visserligen vissa bestämmelser som reglerar Kronofogdemyndighetens skyldighet att lämna upplysningar om utmätning i vissa fall, exempelvis till Polismyndigheten om ett skjutvapen utmätts.116 De bestämmelsernas karaktär är dock närmast att likna med förfaranderegler i samband med utmätning, och har få likheter med den uppgiftsskyldighet som i dag regleras i kronofogdedatabasförordningen. Utsökningsbalkens och utsökningsförordningens karaktär i övrigt, med i huvudsak materiella bestämmelser och förfarandebestämmelser, talar mot att införa mer generella bestämmelser om uppgiftslämnande i dessa.
De nya dataskyddsförfattningarna för Kronofogdemyndigheten föreslås dessutom tillämpas i flera olika sammanhang, och inte bara i verksamhet med utsökning och indrivning. Eftersom det inte kan uteslutas att nya bestämmelser om uppgiftsskyldighet eller andra sekretessbrytande bestämmelser kan komma att införas avseende uppgifter som behandlas i Kronofogdemyndighetens verksamhet framstår det som olämpligt att föra in de nya bestämmelserna i utsökningsbalken eller utsökningsförordningen.
Vi har inte funnit någon annan författning som framstår som lämplig att föra in de nya bestämmelserna i. Vi föreslår därför att de bestämmelser om utlämnande av uppgifter som i dag finns i kronofogdedatabasförordningen ska motsvaras av bestämmelser i en ny förordning.
1166 kap. 24 § utsökningsförordningen.
Förordningens namn och portalparagraf
Liksom för övriga nya förordningar om utlämnande anser vi inte att den nya förordningens namn endast bör avse uppgiftsskyldigheter. Det kan nämligen inte uteslutas att även upplysningsbestämmelser vid ett senare skede kan komma att tas in i förordningen, eller att nya sekretessbrytande bestämmelser i förhållande till enskilda införs. Förordningens namn bör därför vara förordningen om utläm-
nande av uppgifter från Kronofogdemyndigheten.
Eftersom bestämmelser som möjliggör eller kräver utlämnande finns i flera olika sammanhang bör förordningens portalparagraf upplysa om att den innehåller bestämmelser om utlämnande av uppgifter från Kronofogdemyndigheten i vissa fall, men att regleringen i förordningen inte är uttömmande.
Förordningens struktur
Förordningen bör innehålla allmänna bestämmelser och bestämmelser om avgifter. Förordningen bör även innehålla bestämmelser om Kronofogdemyndighetens skyldighet att lämna ut uppgifter.
Tillämpningsområde
Vi har i avsnitten 13.5.1, 13.6.1 och 13.7.1 ovan lämnat förslag med innebörden att de nya förordningarna om uppgiftslämnande från beskattningsverksamheten, folkbokföringsverksamheten och Tullverket ska ha samma materiella tillämpningsområde som de föreslagna nya datalagarna. Som vi redan påpekat avser dock dagens sekretessbrytande bestämmelser för Kronofogdemyndigheten främst uppgifter som i dag får registreras i utsöknings- och indrivningsdatabasen. Det går därför att ifrågasätta om den nya förordningens tillämpningsområde bör vara lika brett som den föreslagna kronofogdedatalagens materiella tillämpningsområde.
Eftersom den nya förordningen kan komma att få en samlande funktion bör dock tillämpningsområdet enligt vår mening inte begränsas. I likhet med vad vi redogjort för bl.a. i avsnitt 13.5.1 om beskattningsverksamheten kan den nya förordningen komma att rymma fler bestämmelser i framtiden än den föreslås göra i dag. Mot bak-
grund av att vi i stycket nedan föreslår att dagens bestämmelser om Kronofogdemyndighetens rätt att ta ut avgifter för utlämnande ska motsvaras av bestämmelser i den nya förordningen blir betydelsen av att tillämpningsområdet inte formuleras för snävt än större. Vi anser därför att den nya förordningens tillämpningsområde bör motsvara den föreslagna kronofogdedatalagens materiella tillämpningsområde.
Bestämmelser om Kronofogdemyndighetens rätt att ta ut avgifter
Som framgår av bl.a. avsnitt 13.5.1 får en myndighet bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen. En myndighet får dock bestämma storleken på vissa avgifter endast efter särskilt bemyndigande från regeringen.117 I dag ges Kronofogdemyndigheten rätt att ta ut avgifter för utlämnande av uppgifter från sina olika databaser enligt de närmare föreskrifter som meddelas av regeringen genom en bestämmelse i lag som återfinns i 2 kap. 30 § första stycket KFMdbL. I bestämmelsens andra stycke anges att rätten att ta ut avgifter inte får innebära en inskränkning i rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller en registrerads rätt enligt artikel 12.5 i EU:s dataskyddsförordning.
Eftersom vi föreslår att nya dataskyddsförfattningar ska ersätta dagens registerförfattningar behöver även bestämmelser om Kronofogdemyndighetens rätt att ta ut avgifter vid utlämnande motsvaras av nya bestämmelser. Kronofogdemyndigheten har dessutom uppgett att det finns ett behov av att även i fortsättningen ha möjlighet att ta ut avgifter för utlämnande av uppgifter, något som sker i stor utsträckning till exempelvis kreditupplysningsföretag. Dessa nya bestämmelser bör enligt vår mening finnas i samma sammanhang som de nya bestämmelser som reglerar utlämnandet i sak, dvs. den nya förordningen om Kronofogdemyndighetens utlämnande av uppgifter.
En bestämmelse som motsvarar bestämmelsen i 2 kap. 30 § första stycket KFMdbL bör därför införas i den nya förordningen om utlämnande av uppgifter. Även bestämmelsen om hur möjligheten att ta ut avgifter förhåller sig till rätten att få ut allmänna handlingar, eller rätten att få information enligt dataskyddsförordningen, bör ha en
1173 och 5 §§avgiftsförordningen (1992:191).
motsvarighet i den nya förordningen. Däremot bör tillägget i nuvarande 2 kap. 30 § första stycket KFMdbL, som anger att avgifterna får tas ut enligt de närmare föreskrifter som meddelas av regeringen, inte införas i den nya förordningen eftersom regleringen i sin helhet kommer finnas på förordningsnivå.
Av 18 § KFMdbL framgår i dag att Kronofogdemyndigheten fastställer avgifter för utlämnande av uppgifter ur databaserna. Avgift ska dock inte tas ut vid utlämnande av uppgifter till annan myndighet när utlämnandet följer av en skyldighet i lag eller förordning. En bestämmelse med motsvarande innebörd bör också föras in i den nya förordningen om uppgiftslämnande från Kronofogdemyndigheten.
13.8.2. Utlämnande till Skatteverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Skatte-
verket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser samt visst utökat uppgiftslämnande som behövs för dataanalyser och urval.
Skälen för vårt förslag
Personer som förekommer i ett ärende
Av 7 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 § 1–7 KFMdbL på begäran ska lämnas ut till Skatteverket om uppgifterna avser en person som förekommer i ett ärende hos Skatteverket.
Av 2 kap. 27 § första stycket andra meningen KFMdbL framgår att Skatteverket i dess beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter får ha direktåtkomst till samma uppgifter, dvs. uppgifter som anges i 2 kap. 5 § 1–7 KFMdbL. Någon ytterligare begränsning av direktåtkomsten finns inte i lagen och någon särskild sekretessbrytande bestämmelse som uttryckligen avser direktåtkomsten finns inte i kronofogdedatabasförordningen.
I avsnitten 13.5.4 och 13.5.6 ovan har vi redogjort för våra förslag om hur det uppgiftslämnande från beskattningsverksamheten som i dag avgränsats till att avse särskilda personer ska regleras i framtiden. De överväganden som redogjorts för där är också tillämpliga i fråga
om Kronofogdemyndighetens utlämnande till Skatteverket. Vi anser därmed att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får omfatta uppgifter om personer som förekommer i ärenden, innebär att bestämmelsens omfattning inte utökas. Vi anser därför att den nya bestämmelsen endast ska föreskriva att Kronofogdemyndigheten ska lämna ut uppgifter om de behövs i Skatteverkets handläggning av ärenden.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets handläggning av ärenden.
En utökad uppgiftsskyldighet – dataanalyser och urval
I avsnitt 14.10 om dataanalyser och urval gör vi bedömningen att Skatteverket bör ges tillgång till vissa uppgifter i Kronofogdemyndighetens verksamhet som dagens reglering inte omfattar. Överväganden och bedömningar i fråga om den föreslagna utökningen framgår av det kapitlet.
Utlämnande till folkbokföringsverksamheten
Av 7 a § KFMdbF framgår att uppgifter om adress och andra kontaktuppgifter, genomförd avhysning, utmätning och delgivning, och tillgångar i utlandet på begäran ska lämnas ut till Skatteverket om det behövs för handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten. Bestämmelsen är inte begränsad till att avse personer som förekommer i den angivna verksamheten. Däremot är bestämmelsen i dag förenad med ett krav på att utlämnandet ska ske på begäran.
Vi föreslår därför att Skatteverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Skatteverkets handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten.
13.8.3. Utlämnande till Tullverket
Vårt förslag: Bestämmelserna om uppgiftslämnande till Tull-
verket i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser.
Skälen för vårt förslag
Av 7 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 § 1–7 KFMdbL på begäran ska lämnas ut till Tullverket om uppgifterna avser en person som förekommer i ett ärende hos Tullverket. Av 2 kap. 27 § KFMdbL första stycket framgår att Tullverket har rätt att ta del av uppgifterna genom direktåtkomst. I likhet med regleringen av Skatteverkets direktåtkomst till uppgifter i Kronofogdemyndighetens verksamhet finns dock inte någon ytterligare begränsning av direktåtkomsten i lagen och någon särskild sekretessbrytande bestämmelse som uttryckligen avser direktåtkomsten finns inte heller i kronofogdedatabasförordningen.
Som vi redogjort för i avsnitt 13.8.2 anser vi att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får omfatta uppgifter om personer som förekommer i ärenden, inte innebär att bestämmelsen omfattning utökas.
Vi föreslår därför att Tullverket i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Tullverkets handläggning av ärenden.
13.8.4. Utlämnande till Säkerhetspolisen
Vårt förslag: Bestämmelserna om uppgiftslämnande till Säker-
hetspolisen i den nya förordningen ska med vissa justeringar motsvaras av nuvarande bestämmelser.
Skälen för vårt förslag
Av 8 § KFMdbF framgår att uppgifter som avses i 2 kap. 5 § 1–7 KFMdbL på begäran ska lämnas ut till Säkerhetspolisen om uppgifterna avser en person som förekommer i ett ärende om särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585). Av 2 kap. 27 § KFMdbL första stycket framgår att Säkerhetspolisen har rätt att ta del av uppgifterna genom direktåtkomst. I likhet med regleringen av Skatteverkets och Tullverkets direktåtkomst till uppgifter i Kronofogdemyndighetens verksamhet finns dock inte någon ytterligare begränsning av direktåtkomsten i lagen och någon särskild sekretessbrytande bestämmelse som uttryckligen avser direktåtkomsten finns inte heller i kronofogdedatabasförordningen.
Som vi redogjort för i avsnitt 13.8.2 anser vi att en begränsning i de nya bestämmelserna till uppgifter som behövs för ärendehandläggning, där utlämnandet i dag enbart får omfatta uppgifter om personer som förekommer i ärenden, inte innebär att bestämmelsen omfattning utökas.
Vi föreslår därför att Säkerhetspolisen i den nya bestämmelsen ges rätt att ta del av uppgifterna om det behövs för Säkerhetspolisens handläggning av ärenden om särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585).
13.9. Skyddet för den personliga integriteten
Vår bedömning: Förslagen om nya bestämmelser om uppgifts-
lämnande är förenliga med skyddet för den personliga integriteten.
Skälen för vår bedömning
De språkliga justeringar vi föreslår
I avsnitten ovan har vi redogjort för våra förslag till nya bestämmelser om utlämnande av uppgifter för Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. De nuvarande bestämmelserna behöver enligt våra bedömningar förändras bl.a. på grund av komplexiteten i befintliga bestäm-
melser (främst när det gäller beskattningsverksamheten) och på grund av den nya struktur som vi har föreslagit ska gälla den kompletterande dataskyddsregleringen.
Våra förslag utgår dock från att omfattningen av informationsutbytet så långt som möjligt ska vara oförändrat. Vi har därför föreslagit nya bestämmelser som huvudsakligen motsvarar vad som gäller i dag i fråga om vilka uppgifter som avses, vem som får ta del av vilka uppgifter, samt vilka behov som ska föreligga hos mottagaren i detta sammanhang. De faktiska förändringar som föreslås i dessa avseenden är rent språkliga. Skyddet för den personliga integriteten bör därför inte vare sig förbättras eller försämras av våra förslag i dessa avseenden.
Uppgiftsskyldighet som inte utgår från en personkrets
I syfte att kompensera för bortfallet av den särskilda regleringen av direktåtkomst har vi föreslagit att de sekretessbrytande bestämmelser som i dag avser en särskild personkrets hos mottagaren ska motsvaras av nya bestämmelser som i stället utgår från mottagarens behov. Det innebär också att bestämmelserna utformas i enlighet med övriga sekretessbrytande bestämmelser. Vår bedömning är att det är tveksamt om fortsatt utlämnande genom direktåtkomst skulle vara möjligt om en sådan justering inte görs.
Vi har föreslagit att bestämmelser som i dag avser en viss personkrets i stället ska utgå från de behov som föreligger i den mottagande myndighetens verksamhet, antingen med eller utan angivande av ärendehandläggning. I de flesta fall är det enligt vår bedömning tydligt att de föreslagna nya bestämmelserna inte kan anses utgöra en förändring av omfattningen av uppgiftsskyldigheten. Det gäller exempelvis för uppgiftslämnande som i dag avser en person som förekommer i ett ärende som i stället föreslås avse behov i mottagarens ärendehandläggning. Vad gäller visst utlämnande från beskattningsverksamheten till Kronofogdemyndigheten finns det dock skäl att i det här sammanhanget närmare beröra de överväganden vi gjort.
I enlighet med vår målsättning att inte förändra omfattningen av det nuvarande informationsutbytet har vi i vissa fall bedömt att utlämnande i den utsträckning det behövs för mottagarens ärendehandläggning inte är en lämplig lösning. Det rör de fall där nuvarande be-
stämmelser inte kan uppfattas vara begränsande avseende för vilka ändamål mottagaren får hämta in uppgifterna, utan där det som är avgörande för utlämnandet är om en person ingår i den utpekade personkretsen eller inte. Så är fallet när utlämnande av beskattningsuppgifter får ske avseende en person som har ansökt om skuldsanering eller F-skuldsanering, är registrerad som gäldenär hos Kronofogdemyndigheten, eller make eller motsvarande till sådana personer. I dessa fall har vi bedömt att utlämnandet i stället ska ske i den utsträckning det behövs i Kronofogdemyndighetens verksamhet med skuldsanering eller F-skuldsanering, respektive utsökning och indrivning.
Vi har bedömt att omfattningen av det nuvarande utlämnandet i detta sammanhang inte förändras av vårt förslag. Vår bedömning baserar sig dels på att Kronofogdemyndigheten är skyldig att tillämpa bestämmelserna i EU:s dataskyddsförordning, dels på utformningen av den materiella verksamhetsregleringen av de olika formerna av skuldsanering samt myndighetens verksamhet med utsökning och indrivning. Enligt dataskyddsförordningen får Kronofogdemyndigheten inte samla in uppgifter som inte är berättigade i förhållande till de ändamål de behandlas och den materiella verksamhetsregleringen styr de ändamål för vilka Kronofogdemyndigheten får samla in uppgifter.
Mot bakgrund av den materiella regleringens utformning avseende myndighetens uppgifter i de respektive verksamheterna, bl.a. avseende vilken kontroll som ska utföras av myndigheten samt vilka förhållanden som är avgörande vid olika förfaranden som regleras, bedömer vi att myndigheten inom angivna verksamheter även i fortsättningen kommer att sakna rättslig grund för att samla in beskattningsuppgifter om andra personer än de som registreras som gäldenärer inom verksamheten med utsökning och indrivning och personer som ansökt om någon form av skuldsanering, samt make eller motsvarande. I sammanhanget kan även uppmärksammas att Kronofogdemyndigheten har uppgett till utredningen att myndighetens behov av att ta del av beskattningsuppgifter inom angiven verksamhet blir tillgodosett genom nuvarande reglering.
Det skulle dock kunna ifrågasättas om inte verksamhetsbegreppet trots allt kan anses innebära en utökad omfattning av utlämnandet av beskattningsuppgifter till Kronofogdemyndigheten. Som vi nyss nämnt har dock Kronofogdemyndigheten uppgett att myndigheten för angivna verksamheter saknar behov av att ta del om beskattnings-
uppgifter om andra personer än de som anges i dagens reglering, dvs. andra personer än personer som ansökt om någon form av skuldsanering eller personer som är registrerade som gäldenär hos myndigheten, samt make eller motsvarande till dessa personer. De förändringar vi föreslår är därmed inte motiverade av att Kronofogdemyndigheten gett uttryck för att dagens reglering är för begränsande i förhållande till de behov som finns i verksamheterna. Förslagen är i stället motiverade av den förändring vi föreslagit avseende att ingen särreglering av olika former av elektroniskt utlämnande ska förekomma. Vår sammantagna bedömning i det avseendet är att en teknikneutral reglering är en förutsättning för en ändamålsenlig dataskyddsreglering som också medför ett adekvat skydd för enskildas personliga integritet.
Förändringar i den materiella verksamhetsregleringen skulle dock kunna få till följd att det inom Kronofogdemyndigheten uppstår ett behov av att ta del av beskattningsuppgifter om andra personer än i dag. Det kan inte uteslutas att det i sammanhanget även uppstår ett behov av att meddela föreskrifter som närmare preciserar Skatteverkets möjligheter att lämna ut personuppgifter elektroniskt till Kronofogdemyndigheten. En konsekvens av vårt förslag om hur elektroniskt utlämnande ska regleras är dock att direktåtkomst eller andra former av elektroniskt utlämnande endast bör regleras särskilt i författning om sådan åtkomst behöver begränsas, och sådana bestämmelser kan meddelas med stöd av regeringens restkompetens. I en situation där ny reglering av Kronofogdemyndighetens verksamhet medför ett utökat behov av beskattningsuppgifter, dvs. om andra personer än i dag, finns det utrymme för regeringen eller den myndighet regeringen bestämmer att vid behov meddela föreskrifter som begränsar Skatteverkets möjlighet att lämna ut uppgifter elektroniskt till Kronofogdemyndigheten.
Sammanfattningsvis anser vi därför att våra förslag avseende utlämnande av uppgifter från beskattningsverksamheten till Kronofogdemyndigheten är förenliga med skyddet för den personliga integriteten.
Uppgiftsskyldighet som inte kräver en begäran
Vi har genomgående föreslagit att bestämmelser som avser utlämnande till andra myndigheter inte ska ske på begäran.
Sekretessbrytande bestämmelser som inte kräver en begäran från mottagaren förekommer i dag bl.a. för folkbokföringsverksamheten
och Tullverket i form av bestämmelser som anger att den utlämnande myndigheten har en skyldighet att underrätta vissa andra offentliga aktörer om vissa förhållanden som den utlämnande myndigheten får kännedom om eller som i övrigt förekommer inom verksamheten. Våra förslag innebär dock inte att dagens bestämmelser om uppgiftsskyldighet förändras till sådana om underrättelseskyldighet.
Sekretessbrytande bestämmelser som inte kräver en begäran finns också i rättsliga sammanhang som ligger utanför ramen för vårt uppdrag. De exempel vi tagit upp i avsnitt 13.4.1 är de skyldigheter olika verksamhetsgrenar inom Skatteverket har att lämna uppgifter inom myndigheten redan när det i den utlämnande verksamheten kan
antas att en uppgift har betydelse hos mottagaren. Våra förslag inne-
bär dock inte att dagens uppgiftsskyldighet förändras så att den inträder redan när den utlämnande myndigheten kan anta att uppgifterna har en betydelse i mottagarens verksamhet.
Sekretessbrytande bestämmelser som inte kräver en begäran finns i dag även i skattedatabasförordningen. Dessa bestämmelser är dock utformade på så sätt att utlämnandet endast ska ske i den utsträckning
det behövs i mottagarens verksamhet. En förutsättning för att upp-
giftsskyldigheterna ska föreligga är att beskattningsverksamheten har kännedom om sådana omständigheter som medför att det är klarlagt att uppgifterna behövs hos mottagaren. Avseende några av dessa bestämmelser har regeringen uttalat att i praktiken kommer ett utlämnande i samtliga fall att föregås av en ursprunglig begäran om att få ut uppgifter av ett visst slag. Vi har tidigare noterat att det går att ifrågasätta på vilket sätt en sådan möjlighet till utlämnande på eget initiativ i praktiken skiljer sig från utlämnande efter en begäran exempelvis om avisering av ändringar eller en stående begäran om utfående av uppgifter med vissa intervall.
Vår motivering till att föreslå att uppgifter inte längre ska kräva en begäran från mottagaren är inte att uppgiftslämnandet i fortsättningen ska kunna ske spontant eller redan vid ett antagande om att mottagaren kan behöva uppgifterna. Motiveringen är i stället att inte hindra uppgiftslämnande genom olika tekniska lösningar, se avsnittet nedan.
För att det inte ska råda några tvivel om att uppgiftsskyldighet som i dag förutsätter en begäran från mottagaren även fortsättningsvis kräver att den mottagande myndigheten i någon form begärt att få ta del av uppgifterna har vi föreslagit ett förbud mot utlämnande
på initiativ av den utlämnande myndigheten. Förbudet är avsett att hindra spontanutlämnande eller utlämnande som enbart baserar sig på ett antagande hos den utlämnande myndigheten om att uppgifterna kan ha betydelse för mottagarens verksamhet. Förbudet måste enligt vår mening anses utgöra en tillräcklig åtgärd för att hindra att information som inte är efterfrågad av mottagaren ska kunna lämnas ut med stöd av de nya bestämmelserna. Den ändring som vi föreslår i fråga om att utlämnande inte längre behöver ske på begäran måste därför anses utgöra en mindre revidering av redan föreliggande skyldigheter att lämna ut uppgifter. Vår bedömning är därför att förslagen i detta avseende är förenliga med målsättningen om ett adekvat skydd för den personliga integriteten.
Ett utökat utlämnande genom direktåtkomst?
Bestämmelser som särskilt reglerar sekretessgenombrott för direktåtkomst är motiverade av integritetsskäl. Genom bestämmelserna begränsas den utlämnande myndighetens möjlighet att lämna ut information genom direktåtkomst. Även utformningen av sekretessbrytande bestämmelser, dvs. om ett utlämnande ska ske på begäran eller inte, är i många fall motiverade av en avvägning mellan behov, effektivitet och integritetsskydd. Vi har dock föreslagit att sekretessbrytande bestämmelser som avser direktåtkomst ska upphävas och inte ha någon motsvarighet i den nya regleringen. Vi har även lämnat vissa övriga förslag i syfte att möjliggöra olika former av elektroniskt utlämnande, med innebörden att uppgiftslämnande inte enbart får ske på begäran, och att de uppgifter som avses inte ska begränsas till vissa personer. Frågan är då i vilken utsträckning våra förslag om att justera och anpassa regleringen av utlämnande av uppgifter för att ge myndigheterna utökade möjligheter till elektroniskt utlämnande är förenligt med skyddet för den personliga integriteten.
All automatiserad behandling av stora mängder personuppgifter kan på ett generellt plan medföra risker från integritetssynpunkt. Ett omfattande elektroniskt utlämnande av personuppgifter kan innebära att uppgifterna får en större spridning, vilket förhöjer riskerna. Utöver de bestämmelser om uppgiftsskyldighet som föreslås avseende dataanalyser och urval (se avsnitt 14.10) samt en kodifiering av sådant utlämnande som i dag delvis sker med stöd av generalklausu-
len i 10 kap. 27 OSL (se avsnitt 13.5.5) föreslår vi dock inte att uppgifter som i dag inte får lämnas ut ska få göra det. Våra förslag avser i stället i huvudsak sådant elektroniskt uppgiftslämnande som redan förekommer.
Uppgiftslämnande genom direktåtkomst har under en lång tid ansetts utgöra en särskilt integritetskänslig form av utlämnande, vilket vi utvecklar närmare i avsnitt 11.2.2 och därför inte återger här. Regeringen har dock nyligen, i ett lagstiftningsärende avseende i vilken form uppgifter ska lämnas elektroniskt mellan olika aktörer inom vården, uttalat att det inte [längre] är en stor skillnad mellan direktåtkomst och en elektronisk fråga-svar-funktion vad gäller risken för integritetsintrång.118 Detta är en bedömning som vi delar, främst på grund av att dataskyddsförordningen numera är den primära rättskällan avseende dataskydd. När det övervägs på vilket sätt information ska överföras måste det nämligen enligt dataskyddsförordningen, som vid all annan personuppgiftsbehandling, göras ett flertal avvägningar mellan de intressen som talar för en viss teknisk lösning, och de integritetsskäl som talar emot. Den tekniska lösning som den personuppgiftsansvariga myndigheten väljer ska kunna utformas så att principerna för dataskydd genomförs i den aktuella behandlingen. I den mån principerna för dataskydd inte bedöms kunna genomföras vid en särskild form av informationsöverföring måste en annan form väljas. För att direktåtkomst ska anses vara en lämplig form av överföring krävs följaktligen att långt fler förutsättningar är uppfyllda än att den sekretessbrytande bestämmelsen är tillräckligt brett formulerad. De krav som måste vara tillgodosedda innan en direktåtkomst kan upprättas följer primärt av dataskyddsförordningens krav på uppgiftsminimering, krav på säkerhetsåtgärder och krav på inbyggt dataskydd och dataskydd som standard. Även kravet på att göra en konsekvensbedömning inför en övervägd behandling som kan medföra en hög risk, där även samråd med IMY kan krävas, medför att integritetsriskerna vid ett utlämnande genom direktåtkomst bör anses vara avsevärt mindre i dag än tidigare, se avsnitt 11.7.3.
I avsnitt 11.7.2 har vi dessutom gjort bedömningen att det är av stor vikt att myndigheterna ges möjlighet att utnyttja den form av informationsöverföring som ger det bästa integritetsskyddet och de största effektivitetsvinsterna i det enskilda fallet. Vi har även bedömt att det inte kan uteslutas att utlämnande genom direktåtkomst ger
118Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79.
fördelar ur integritetshänseende som inte med självklarhet kan uppnås med andra former av elektronisk informationsöverföring.
I avsnitt 11.7.5 har vi dessutom föreslagit att elektroniskt utlämnande av uppgifter endast ska få ske om det inte är olämpligt. En rättslig möjlighet för myndigheterna att medge en annan myndighet direktåtkomst eller elektroniskt utlämnande av uppdaterad information medför därmed inget krav på myndigheten att medge sådan åtkomst eller tillgång. Det går därför inte att med säkerhet säga om, och i sådant fall när och i vilken omfattning, ett utökat uppgiftslämnande genom direktåtkomst från Skatteverket, Tullverket eller Kronofogdemyndigheten, faktiskt kommer att ske, trots att våra förslag i detta kapitel bl.a. syftar till att möjliggöra sådant utlämnande, när det är lämpligt. Mot bakgrund av de stora krav som ställs på myndigheter på båda sidor vid upprättandet av ett system för direktåtkomst, och som följer av dataskyddsförordningen, förefaller det nämligen troligt att uppgiftslämnande i första hand kommer ske genom andra former av elektronisk informationsöverföring.
Vår bedömning är att en väl analyserad och förberedd direktåtkomst, där de inblandade myndigheterna övervägt och löst frågor som bl.a. rör sekretesskydd och dataskydd på båda sidor, vidtagit behövliga säkerhetsåtgärder samt begränsat eventuell överskottsinformation, inte behöver innebära större risker för den enskildes integritet än vid ett annat elektroniskt utlämnande av personuppgifter. I vissa fall kan det i stället medföra ett förhöjt integritetsskydd. Genom dataskyddsförordningens bestämmelser, som redogörs för i avsnitt 11.7.3, bör det enligt vår mening finnas en tillräcklig garanti för att eventuella nya system för utlämnande genom direktåtkomst analyseras och förbereds väl, och inte införs om det finns lämpligare tillvägagångsätt. I avsnitt 11.7.6 har vi även föreslagit ett krav på myndigheterna att ansvara för att det finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Vår sammantagna bedömning är att våra förslag om justeringar och ändringar i förhållande till dagens reglering av uppgiftslämnande är förenliga med målsättningen om ett adekvat skydd för den personliga integriteten.
14. Dataanalyser och urval
14.1. Inledning
Vårt uppdrag innefattar att se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. I uppdraget ingår att analysera och bedöma lämpligheten och utformningen av en reglering som innebär en utökad möjlighet att göra dataanalyser och urval för respektive myndighet. Vi ska också kartlägga vilken information som behövs för att möjliggöra adekvata analyser och urval och föreslå hur tillgång till sådan information bör ges. Det ingår även i uppdraget att bedöma om det finns behov av ändringar i sekretessbestämmelserna eller nya sekretessbestämmelser och då även beakta insynsintresset. Vidare ska vi bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som behandlas, och hur gjorda analyser och urval ska dokumenteras för att tillgodose såväl myndigheternas verksamhetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand. Därutöver ska vi säkerställa behovet av skydd för den personliga integriteten och att EU:s dataskyddslagstiftning följs samt lämna nödvändiga författningsförslag.
Uppdraget avseende myndigheternas möjligheter att använda dataanalyser och urval omfattar samma verksamheter som uppdraget att göra en översyn av de berörda myndigheternas registerlagstiftningar tar sikte på. Det innebär att även Skatteverkets verksamheter enligt lagen (1998:527) om det statliga personadressregistret med tillhörande förordning (1998:1234) och lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med tillhörande förordning (2015:905) omfattas av uppdraget i denna del. Skatteverket har dock till utredningen uppgett att det inte finns något behov av utökade möjligheter att använda
dataanalyser och urval inom dessa verksamheter. Det innebär att det inte finns något underlag för utredningen i dessa delar. Vi kommer därför inte att lämna förslag avseende dataanalyser och urval som rör Skatteverkets verksamheter med det statliga personadressregistret (SPAR) eller äktenskapsregister- och bouppteckningsverksamheterna.
Vidare ligger det enligt direktivet inte inom ramen för uppdraget att se över lämpligheten av en ny reglering och lämna författningsförslag som rör Skatteverkets folkbokföringsverksamhet till den del det omfattas av förslagen i betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57). Om utredningens överväganden i övrigt får följder även på de förslag som lämnats i det betänkandet ska dock förslag lämnas även på folkbokföringsområdet. Förslagen i nämnda betänkande har omhändertagits och lagändringarna trätt i kraft den 1 maj 2023 (prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156). Våra överväganden till följd av översynen av registerförfattningarna innebär att vi föreslår att den nuvarande folkbokföringsdatabaslagen upphävs och ersätts med en ny lag. Det innebär att våra förslag får följder även på dessa ändringar. Vi kommer därför lämna förslag avseende dataanalyser och urval även på folkbokföringsområdet.
I kapitlet gör vi bedömningen att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. Vi anser att den rättsliga grunden för behandlingen av personuppgifter för att göra dataanalyser och urval för kontrolländamål ska tydliggöras i den föreslagna beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen. Detsamma gäller dataanalyser och urval för att motverka överskuldsättning i Kronofogdemyndighetens verksamhet. I lagarna föreslås därför en reglering av för vilka ändamål uppgifter får behandlas och vilka uppgifter som får behandlas för sådana dataanalyser och urval. Därutöver föreslår vi att vissa uppgiftsskyldigheter gentemot Skatteverket och Tullverket ska utökas.
Vi föreslår även att det ska införas särskilda bestämmelser om krav på dokumentation i lagarna samt bestämmelser i de tillhörande förordningarna om särskilda rutiner som ska gälla vid dataanalyser och urval. Vidare gör vi bedömningen att den föreslagna generella bestämmelsen om att personuppgifter inte får behandlas under längre
tid än vad som behövs med hänsyn till ändamålet med behandlingen även bör gälla vid dataanalyser och urval.
Våra överväganden och förslag i fråga om det finns behov av ändringar i sekretessbestämmelserna eller av nya sekretessbestämmelser finns i avsnitten 15.3 och 15.4.
Slutligen gör vi en samlad bedömning av om den behandling av personuppgifter som förslagen ger upphov till är proportionerlig i förhållande till riskerna för den personliga integriteten. Vi gör också en bedömning av förslagens förenlighet med kraven i EU:s dataskyddsförordning1 och annan reglering till skydd för enskildas personliga integritet.
14.2. Myndigheternas kontrollverksamhet
14.2.1. Något om myndigheternas uppdrag och uppgifter
I kapitel 4 finns en översiktlig redogörelse för Skatteverkets, Tullverkets och Kronofogdemyndighetens olika uppdrag och uppgifter. Uppdragen samt de krav på styrning av respektive myndighet som finns innebär att myndigheterna måste vidta olika typer av kontroller för att bedriva verksamheterna på ett korrekt sätt. Myndigheternas uppdrag samt de krav som ställs framgår av ett flertal olika författningar och regeringsbeslut, bl.a. regeringsformen, RF, förvaltningslagen (2017:900), FL, myndighetsförordningen (2007:515), förordningar med myndigheternas instruktioner, EU-rättslig och nationell materiell lagstiftning samt regleringsbrev.
Skatteverkets specifika uppgifter framgår bl.a. av förordningen (2017:154) med instruktion för Skatteverket, skatteförfarandelagen (2011:1244), SFL, inkomstskattelagen (1999:1229), IL, mervärdesskattelagen (2023:200), folkbokföringslagen (1991:481), FOL, och lagen (2022:1697) om samordningsnummer. Skatteverket ansvarar enligt förordningen med instruktion för Skatteverket för att fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ska också fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatteberäkning och andra ändamål. Vidare ansvarar Skatteverket för frågor
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
om folkbokföring och personnamn. Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Skatteverket ska också förebygga och motverka ekonomisk brottslighet och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.2
Tullverkets uppgifter framgår bl.a. av förordningen (2016:1332) med instruktion för Tullverket, EU:s tullagstiftning och tullagen (2016:253), TL. Tullverket ansvarar enligt förordningen med instruktion för Tullverket för att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Tullverket ska även övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. Vidare ska Tullverket förebygga och motverka brottslighet i samband med in- och utförsel av varor och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.3
När det gäller Kronofogdemyndigheten framgår de specifika uppgifterna bl.a. av förordningen (2016:1333) med instruktion för Kronofogdemyndigheten, utsökningsbalken, UB, lagen (1990:746) om betalningsföreläggande och handräckning, BfL, skuldsaneringslagen (2016:675) och konkurslagen (1987:672). Myndighetens huvudsakliga uppgifter enligt förordningen med instruktion för Kronofogdemyndigheten är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Kronofogdemyndigheten ska också verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Även Kronofogdemyndigheten ska förebygga och motverka ekonomisk brottslighet och delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.4
Av de årliga särskilda regleringsbrev som regeringen beslutar för respektive myndighet framgår vissa ytterligare uppdrag som myndigheterna ska genomföra och redovisa. Det rör inte sällan olika former av kontrollåtgärder och krav på effektivisering. Många krav och mål återkommer år efter år.
Avseende Skatteverket anges i regleringsbrevet för budgetåret 2023 bl.a. att skillnaden mellan de teoretiskt riktiga och de fastställda
2 1, 2 och 6 §§ förordningen med instruktion för Skatteverket. 3 1–3 §§ förordningen med instruktion för Tullverket. 4 1, 2 och 4 §§ förordningen med instruktion för Kronofogdemyndigheten.
beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt.5
Vidare har Skatteverket enligt regleringsbrevet vissa mål och rapporteringskrav om folkbokföringsfelet. Uppgifterna i folkbokföringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska bedöma folkbokföringsfelets storlek och redovisa vilka åtgärder som har vidtagits för att öka kvaliteten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedömningar prioritera arbetet med att minska felen.
Skatteverket ska även generellt redovisa hur resurserna i huvudsak har prioriterats till olika områden där kontrollerna kan uppnå bästa möjliga effekt och områden där risk för fel och fusk är hög. Därtill ska Skatteverket redovisa de viktigaste verksamhets- och itutvecklingsinsatserna som har genomförts under året.
Även i Tullverkets regleringsbrev för budgetåret 2023 anges bl.a. att skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt.6När det gäller Tullverkets kontrollverksamhet ska ambitionsnivån enligt regleringsbrevet öka avseende att förhindra smuggling av narkotika, vapen och explosiva varor liksom att förhindra storskalig eller frekvent illegal införsel av alkohol och tobak. Samtidigt måste insatserna balanseras mot myndighetens ansvar inom samtliga risk- och restriktionsområden. Även Tullverket ska redovisa de viktigaste verksamhets- och it-utvecklingsinsatserna som har genomförts under året.
I Kronofogdemyndighetens regleringsbrev för budgetåret 2023 anges bl.a. att myndigheten ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle för allmänhet och företag samt motverka brottslighet. Vidare framgår att myndigheten har tillförts tillfälliga medel under 2021– 2023 för att digitalisera och automatisera verksamheten. Myndigheten ska även redovisa de viktigaste verksamhets- och it-utvecklingsinsatserna som har genomförts under året.7
5 Regeringsbeslut 2022-12-22, Regleringsbrev för budgetåret 2023 avseende Skatteverket, Fi2022/03445 (delvis). 6 Regeringsbeslut 2022-12-22, Regleringsbrev för budgetåret 2023 avseende Tullverket, Fi2022/03445 (delvis). 7 Regeringsbeslut 2022-12-22, Regleringsbrev för budgetåret 2023 avseende Kronofogdemyndigheten, Fi2022/03445.
14.2.2. Allmänt om myndigheternas utrednings- och kontrollverksamhet
Skatteverket, Tullverket och Kronofogdemyndigheten arbetar med kontroll på flera olika sätt och för olika syften. Det kan t.ex. handla om extern kontroll i den operativa verksamheten som grundar sig på materiella bestämmelser om befogenheter för kontroll, eller om intern kontroll av mer administrativ karaktär för att följa upp och planera verksamheten. Den externa kontrollen kan exempelvis avse uppgifter i ett ärende under handläggningens gång eller olika former av efterhandskontroller när ett ärende har avslutats.
Begreppet kontrollverksamhet kan leda tanken till kontroller som sker i efterhand för att ta reda på om ett visst utfall har blivit korrekt eller inte. I likhet med bedömningar som har gjorts av tidigare utredningar där bl.a. frågor om myndigheters kontrollverksamhet varit aktuella anser vi att kontroll ska ges en vid definition i detta sammanhang. Kontroll bör ses som en aspekt av myndigheternas arbete genom hela ärendehanteringen eller beslutsprocessen. Det avser därmed åtgärder som myndigheterna vidtar från det att information lämnas till enskilda, genom hela beslutsprocessen, fram till dess att eventuella efterhandskontroller sker. Med andra ord avses kontroller som sker före, under eller efter handläggnings- eller beslutsprocessen.8 Genom denna definition finns större möjligheter att se över myndigheternas förutsättningar att använda dataanalyser och urval såväl preventivt som reaktivt för att upprätthålla en effektiv kontrollverksamhet.
För att utföra sina uppgifter, fatta korrekta beslut och minska risken för och förekomsten av fel i respektive verksamhet har Skatteverket, Tullverket och Kronofogdemyndigheten vissa myndighetsspecifika utrednings- och kontrollbefogenheter som regleras i olika materiella författningar. Förutsättningarna för myndigheternas kontroll skiljer sig åt eftersom deras respektive uppdrag ser olika ut. Exempelvis har Skatteverket och Tullverket en mer omfattande kontrollverksamhet än Kronofogdemyndigheten.
Av relevans i sammanhanget är även vissa generella föreskrifter i myndighetsförordningen. Enligt 3 § myndighetsförordningen ansvarar
8SOU 2014:16, Det ska vara lätt att göra rätt – Åtgärder mot felaktiga utbetalningar inom den
arbetsmarknadspolitiska verksamheten, s. 71–74 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen,
s. 109–110. Se även Ds 2022:13, Utökat informationsutbyte, s. 66–67.
en myndighets ledning inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. Av 6 § första stycket myndighetsförordningen följer att myndigheterna fortlöpande ska utveckla verksamheten.
Vidare ska myndigheterna enligt 23 § FL se till att ett ärende blir utrett i den omfattning som dess beskaffenhet kräver. Bestämmelsen innebär bl.a. att kraven på omfattningen av myndighetens utredningsåtgärder kan variera med hänsyn till ärendets karaktär. Exempelvis behöver en myndighet i praktiken inte vara lika aktiv om ärendet avser en enskilds begäran om att få en förmån av det allmänna, som i ett ärende som avser myndighetens ingripanden mot någon enskild.9Enligt 9 § första stycket FL ska ett ärende handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts. Mer specifika regler om utredningsansvar kan också finnas i vissa specialförfattningar, t.ex. 40 kap. 1 § SFL.
14.2.3. Myndigheternas specifika utrednings- och kontrollverksamhet
Skatteverkets beskattningsverksamhet
Allmänt om kontroll inom beskattningsverksamheten
För att Skatteverket ska kunna uppfylla sitt uppdrag att bl.a. säkerställa en riktig uppbörd är myndighetens arbete med skattekontroll ett viktigt verktyg. Arbetet bidrar också till att upprätthålla privatpersoners och företags vilja att göra rätt, vilket är av grundläggande betydelse för ett väl fungerande samhälle. Skattekontroll bidrar även till minskad illojal konkurrens. Målet med skattekontrollen är att rätt skatt ska betalas. Kontrollen kan därför resultera i ett beslut om att den skattskyldige har betalat in såväl för mycket som för lite skatt.
Skatteverket arbetar med kontroll på flera olika sätt. Som exempel kan nämnas att alla deklarationer som lämnas in till myndigheten, både från privatpersoner och företag, kontrolleras inledningsvis maskinellt. Utifrån resultatet av de maskinella kontrollerna väljs sedan
9Prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 308.
vissa deklarationer ut för ytterligare kontroll. Vid dessa kontroller kan Skatteverket t.ex. ställa frågor om uppgifter som finns eller saknas i deklarationen eller begära klargöranden om underlag till deklarationen. Inom vissa områden, där risken för skattefel är särskilt stor, gör Skatteverket s.k. riktade kontroller. Det kan handla om svartarbete, oredovisade inkomster och olika former av skatteupplägg. Skatteverket kombinerar ofta kontrollverksamheten med informationsåtgärder, branschsamverkan eller andra åtgärder. Erfarenheterna från kontrollerna ger myndigheten kunskap om vilka fel som ofta förekommer, och denna kunskap kan sedan användas för att exempelvis förbättra myndighetens informations- och kontrollinsatser.
Skatteverkets arbete med att bedöma skattefelet utvecklas över tid och vissa metoder och områden har tillkommit. Skatteverket uppgav i årsredovisningen 2022 att arbetet med att bedöma det totala skattefelet fortfarande var under uppbyggnad och de bedömningar som myndigheten redovisade för 2022 utgjorde därför endast delar av det totala skattefelet. Resultatet är därmed inte direkt jämförbart med de bedömningar som gjordes i Skatteverkets årsredovisning 2021. Totalt bedömde dock Skatteverket att det kontrollerbara skattefelet för inkomst av tjänst och näringsverksamhet för privatpersoner till 12,1 miljarder kronor, vilket utgjorde 1,5 procent av den fastställda skatten 2022.10
Den huvudsakliga regleringen av Skatteverkets kontrollbefogenheter inom beskattningsverksamheten finns i skatteförfarandelagen. Ytterligare materiella regler av betydelse för Skatteverkets kontrollverksamhet finns bl.a. i inkomstskattelagen, mervärdesskattelagen, socialavgiftslagen (2000:980) och de olika punktskattelagarna, såsom lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter, LPK.
Utöver skattekontrollen utför Skatteverket även kontrollverksamhet inom ramen för andra författningar som i dag omfattas av tillämpningsområdet för lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL). Det rör sig bl.a. om verksamhet enligt lagen (2013:948) om stöd vid korttidsarbete och lagen (2020:548) om omställningsstöd.
10 Skatteverkets årsredovisning 2022, s. 29.
Förfarandet vid uttag av skatter och avgifter regleras i huvudsak i skatteförfarandelagen. Lagen innehåller bestämmelser om bl.a. Skatteverkets kontroll av deklarationer och om revisioner. Skatteverkets kontroll inom detta område utgår från den uppgiftsskyldighet enskilda har gentemot myndigheten samt myndighetens kontrollbefogenheter.
I 14–39 kap. finns bestämmelser om kontrolluppgifter, deklarationer och övriga uppgifter. Bestämmelserna i 15–35 kap. avser enskildas uppgiftsskyldigheter gentemot Skatteverket. I 37 kap. finns bestämmelser om Skatteverkets möjligheter att förelägga enskilda för att fullgöra uppgiftsskyldighet, medverka personligen och lämna uppgift. Exempelvis får Skatteverket förelägga den som inte har fullgjort en uppgiftsskyldighet enligt 15–35 kap. att fullgöra skyldigheten.11
I 40–42 kap. finns ytterligare regler om utredning och kontroll. Bestämmelserna rör Skatteverkets skyldighet att utreda och kommunicera, revisionsförfarandet, tillsyn över kassaregister och kontrollbesök. Skatteverkets utredningsskyldighet formuleras som att Skatteverket ska se till att ärendena blir tillräckligt utredda.12
Viss särskild reglering om analys av relevans för skattekontroll finns i 33 b kap. SFL. I 33 b kap. 2 § anges att uppgifter om rapporteringspliktiga arrangemang ska lämnas som underlag för Skatteverkets utbyte av upplysningar enligt 12 d § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Uppgifterna ska även lämnas som underlag för skattekontroll och analys av risker i skattesystemet. Med skattekontroll avses t.ex. att göra riskbaserade urval för skatterevisioner eller andra utredningsåtgärder för kontroll i enskilda fall eller att kontrollera att andra uppgifter som ska lämnas till ledning för beskattningen faktiskt lämnas och är korrekta. Med analys av risker i skattesystemet avses mer allmänna analyser av skattesystemet som kan leda t.ex. till rättsliga ställningstaganden från myndigheten eller att myndigheten uppmärksammar lagstiftaren på att det kan behöva göras en viss ändring.13 Den nu gällande skattedatabaslagen har kompletterats med en ändamålsbestämmelse i 1 kap. 4 § 6 e till följd av bestämmelserna i 33 b kap. SFL.
1137 kap. 2 § första stycket SFL. 1240 kap. 1 § SFL. 13Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar
som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 206.
Några övriga författningar
Ytterligare regler om Skatteverkets kontroll som inte direkt avser skattekontroll finns som anges ovan i ett flertal andra författningar. Exempelvis finns regler om uppgiftslämnande, föreläggande och kontrollbesök i 35–36 a §§ lagen om stöd vid korttidsarbete samt regler om uppgiftslämnande, föreläggande, revision och kontrollbesök i 8– 13 §§ lagen om omställningsstöd.
Skatteverkets folkbokföringsverksamhet
Allmänt om kontrollen av uppgifter inom folkbokföringsverksamheten
Skatteverket vidtar en rad olika åtgärder för att minska folkbokföringsfelet, dvs. förekomsten av fel i folkbokföringen i förhållande till lagstiftningens krav. För att säkra en korrekt folkbokföring genomför Skatteverket kontrollåtgärder. Det görs i olika delar av ärendehanteringen, såväl innan som efter registrering av uppgifter. Skatteverket har valt att dela in ärendehanteringen i ärendegrupperna ”Flytta till Sverige”, ”Bosättning” och ”Övrigt”.14
Den preventiva kontrollen innebär att en inkommande anmälan granskas innan beslut tas. Den aktualiseras såväl vid flyttningsanmälningar inom och till Sverige som vid anmälningar som avser flyttningar till utlandet. Kontrollen i efterhand handlar om att granska om en befintlig uppgift i folkbokföringsdatabasen är korrekt, exempelvis efter att Skatteverket mottagit en underrättelse om felaktig adress. Kontrollerna kan även vara initierade av Skatteverket.15
Folkbokföringen har tagit fram en kontrollinriktning där Skatteverket inom givna förutsättningar utvecklar kontrollarbetet mot de områden där risken för fel och fusk är högst. I kontrollinriktningen ingår bl.a. att arbeta förebyggande i olika kommunikationskanaler för att sprida kunskap i samhället om vikten av att vara rätt folkbokförd. De förebyggande åtgärderna riktas mot områden där risken för fel är hög eller kan innebära allvarlig skada för individ eller samhälle.16
Under 2022 har Skatteverkets hantering av inkomna underrättelser om felaktig folkbokföring förenklats med maskinella avslut och
14 Skatteverkets årsredovisning 2022, s. 64 och 71. 15Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 17.
16 Skatteverkets årsredovisning 2022, s. 69.
fördelningsregler utifrån bl.a. risk. Användning av AI som stöd för risk och urval har även utvecklats. Det totala folkbokföringsfelet har av Skatteverket skattats till cirka 200 000 individer eller 1,9 procent av Sveriges befolkning år 2020.17
Sedan den 1 maj 2023 har folkbokföringsverksamheten genom ändringar i bl.a. lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), fått utökade möjligheter att göra dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga uppgifter.
De uppgifter som registrerats i folkbokföringen bygger i stor utsträckning på den enskildes egna anmälningar och uppgifter.18 Det finns även möjligheter för Skatteverket att vidta egna utrednings- och kontrollåtgärder genom bestämmelser i bl.a. folkbokföringslagen.
Enligt 1 § första stycket FOL innebär folkbokföring enligt den lagen fastställande av en persons bosättning samt registrering av de uppgifter om personen som enligt folkbokföringsdatabaslagen får förekomma i folkbokföringsdatabasen. Särskilda regler om utredning och kontroll finns huvudsakligen i 31–33 §§.
Enligt 31 § får Skatteverket förelägga en person som kan antas vara skyldig att göra en anmälan enligt lagen, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälningsskyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt folkbokföringslagen eller för kontroll eller komplettering av andra uppgifter om en person som får föras in i folkbokföringsdatabasen enligt folkbokföringsdatabaslagen.
Skatteverket får också enligt 32 § förelägga en fastighetsägare eller innehavare av bostadslägenhet, som upplåter en bostad åt någon annan, att uppge till vem bostaden upplåts och om denne med fastighetsägarens eller lägenhetsinnehavarens medgivande upplåter bostaden åt någon annan samt vilka personer som enligt fastighetsägarens eller lägenhetsinnehavarens kännedom bor i fastigheten respektive lägen-
17 Skatteverkets årsredovisning 2022, s. 14. 18Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 18.
heten. Om någon inte följer ett sådant föreläggande kan Skatteverket besluta om ett nytt föreläggande förenat med vite (37 §). Vidare kan Skatteverket i vissa fall besluta om kontrollbesök för att kontrollera en persons bosättning, om det behövs för bedömningen av frågan om folkbokföring. Om det finns skäl för det får Skatteverket också besluta om kontrollbesök på en fastighet eller i en lägenhet för att kontrollera vilka som kan anses bosatta där (32 a och 32 b §§). Skatteverkets kontrollbefogenheter i folkbokföringen är alltså som utgångspunkt kopplade till handläggning av ärenden.
Tullverket
Allmänt om Tullverkets kontrollverksamhet
Den svenska kontroll som genomförs vid Sveriges gränser utförs av Tullverket, Polismyndigheten och Kustbevakningen. Tullverket ansvarar för kontrollen av varor, Polismyndigheten har huvudansvaret för kontrollen av personer och Kustbevakningen kontrollerar sjötrafiken avseende såväl varor som personer. Tullverkets kontrollbefogenheter finns reglerade i ett flertal olika författningar och syftar i huvudsak till att kontrollera att lagstiftningen på de olika områdena följs.19
Inom ramen för Tullverkets ansvar för att övervaka och kontrollera trafiken till och från landet så att bestämmelser om in- och utförsel av varor följs, samt för att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas får Tullverket och tulltjänstemän utföra olika typer av kontroller. För att säkerställa en korrekt uppbörd arbetar Tullverket med tillståndsgivning, klarering och efterkontroll i enlighet med Europaparlamentet och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (ombearbetning), härefter benämnd tullkodexen, och övrig tullagstiftning. Efterkontroller genomförs i form av revisioner och eftergranskningar. Företag kan ansöka om olika tillstånd för att förenkla sin tullhantering, vilka prövas av Tullverket. Klarering är den tullhantering som görs när en vara förs in eller ut över EU:s gräns för att säkerställa att deklarations- och uppgiftsskyldigheten enligt tullagstiftningen följs. Vid klareringen beslutar Tullverket om bl.a. tull och andra avgifter och om en vara ska frigöras på den inre
19SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 269–270.
marknaden. Under 2022 lämnades nästan 14 miljoner tulldeklarationer till Tullverket. Mer än 94 procent klarerades automatiskt i deklarationssystemen.20 Med hjälp av spärrar i systemet väljs de deklarationer ut som behöver kontrolleras manuellt.
Tullverkets kontroller ska primärt vara baserade på underrättelse- och riskinformation. Det totala flödet av varor är mycket stort och därför prioriterar Tullverket sina kontroller utifrån riskbedömningar. I underrättelsearbetet inhämtas och analyseras information som lämnas vidare till kontrollverksamheten. Underlagen omfattar övergripande inriktningar av kontroller och kontrollarbetet i stort samt underrättelser som är riktade mot specifika kontrollobjekt. Tullverket arbetar datadrivet genom att analysera deklarationsdata för att identifiera mönster eller avvikelser främst för uppbördsbortfall. Tullverket kan genom detta arbete identifiera möjliga fel i varuflödet som tidigare varit okända. Tullverket utför olika typer av kontroller för att säkerställa att deklarations- och anmälningsskyldigheten är uppfylld, både ur ett restriktions- och ett uppbördsperspektiv, samt att ingenting otillåtet förs in i landet.21
Skattefelet är skillnaden mellan den uppbörd som fastställs av Tullverket och den uppbörd som skulle ha fastställts om alla uppgifter hade redovisats korrekt i samband med införseln till Sverige. Skattefelet uppstår till följd av den handel som inte har deklarerats eller som har deklarerats felaktigt. Tullverkets uppbörd består av flera olika avgifter, främst tullmedel, mervärdesskatt och andra nationella skatter som exempelvis alkoholskatt och tobaksskatt. Det skattade tullfelet, alltså skillnaden mellan de fastställda och de teoretiskt riktiga beloppen tull, avseende mörkertal i deklarationer uppgick under år 2022 till 180 686 tkr.22
En central reglering i sammanhanget är tullkodexen som ger ramen för kontrollverksamheten vid den yttre gränsen, dvs. vid gränsen mot tredjeland. Vid den inre gränsen, dvs. vid Sveriges gräns mot en annan EU-medlemsstat, förekommer som huvudregel inget tullförfarande. Den kontrollverksamhet som Tullverket får bedriva vid den inre gränsen regleras främst i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (inregränslagen). Vidare finns ytterligare lagar som reglerar kontrollverksam-
20 Tullverkets årsredovisning 2022, s. 12. 21 Tullverkets årsredovisning 2022, s. 25–26 och 29. 22 Tullverkets årsredovisning 2022, s. 61 och 63.
heten, bl.a. tullagen och lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter.23
Tullkodexen
Tullkodexen innehåller de allmänna regler och förfaranden som ska tillämpas på varor som förs in i eller ut ur EU:s tullområde.24 Tullkodexen är omfattande och utgör endast en del av det regelsystem som styr EU:s tullrätt.25 Vid införsel av varor i EU:s tullområde är huvudregeln att varorna ska deklareras. Alla varor som förs in i EU:s tullområde ska ha tullstatus som antingen unionsvaror eller ickeunionsvaror.26 Unionsvaror är varor som framställts i EU och varor som är i fri omsättning i unionen, vilket innebär att de får befordras utan tullformaliteter inom EU. En icke unionsvara är en vara som inte är en unionsvara. Alla varor som befinner sig i unionens tullområde ska antas ha tullstatus som unionsvaror, såvida det inte fastställs att de inte har tullstatus som unionsvaror (artikel 153.1). Varor som ska föras in i eller ut ur EU:s tullområde omfattas av tullövervakning och får underkastas tullkontroller. Varorna ska kvarstå under tullövervakning under den tid som krävs för att fastställa deras tullstatus. Ickeunionsvaror ska kvarstå under tullövervakning till dess att deras tullstatus ändras eller de förs ut ur unionens tullområde eller förstörs. (artikel 134.1). I syfte att kontrollera riktigheten av uppgifterna i en godtagen tulldeklaration får tullmyndigheterna granska deklarationen och de styrkande handlingarna, begära att deklaranten lämnar andra handlingar, undersöka varorna och ta prover för analys eller för fördjupad undersökning av varorna (artikel 188). De resultat som tullmyndigheten får vid en kontroll av en tulldeklaration ska användas vid tillämpningen av bestämmelserna om det tullförfarande till vilket varorna hänförs (artikel 191.1). Resultatet av tullmyndigheternas kontroll ska ha samma bevisvärde i hela unionens tullområde (arti-
23SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 263. 24 Artikel 1 i tullkodexen. 25SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 264. Två ytterligare rättsakter som har antagits av EU-kommissionen är den s.k. kompletteringsförordningen (Kommissionens delegerade förordning [EU] 2015/2446 av den 28 juli 2015 om komplettering av Europaparlamentets och rådets förordning [EU] nr 952/2013 vad gäller närmare regler avseende vissa bestämmelser i unionens tullkodex) och den s.k. genomförandeförordningen (Kommissionens genomförandeförordning [EU] 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets förordning [EU] nr 952/2013 om fastställande av en tullkodex för unionen). 26SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid, s. 264.
kel 191.3). Om villkoren för att hänföra varorna till förfarandet i fråga är uppfyllda och förutsatt att eventuella restriktioner har tilllämpats och att varorna inte är föremål för några förbud, ska tullmyndigheterna frigöra varorna så snart uppgifterna i tulldeklarationen har kontrollerats eller godtagits utan kontroll (artikel 194.1). Detsamma gäller om kontroll inte kan slutföras inom rimlig tid och varorna inte längre behöver vara tillgängliga för kontrolländamål. Vidare ska varor som ska föras ut ur EU:s tullområde omfattas av tullövervakning och får underkastas tullkontroller (artikel 267.1).
Varor som förs in i eller ut ur EU:s tullområde omfattas alltså av tullövervakning och får underkastas tullkontroller. Enligt artikel 46.1 får tullmyndigheterna genomföra alla tullkontroller som de anser nödvändiga. Tullkontrollerna kan enligt samma artikel särskilt bestå i att undersöka varor, utföra provtagning, kontrollera att de uppgifter som lämnas i en deklaration eller en anmälan är riktiga och fullständiga, kontrollera att dokument finns och är äkta, riktiga och giltiga, granska ekonomiska aktörers räkenskaper och annan bokföring eller undersöka transportmedel, bagage och andra varor som personer för med sig eller bär på sig samt utföra officiella undersökningar och andra liknande handlingar. Andra tullkontroller än slumpvisa kontroller ska enligt artikel 46.2 främst baseras på riskanalys som görs med hjälp av elektronisk databehandlingsteknik i syfte att, på grundval av kriterier som utarbetats på nationell nivå, unionsnivå och, i förekommande fall, internationell nivå, identifiera och bedöma risker och utarbeta nödvändiga motåtgärder. Tullkontroller ska utföras inom en gemensam ram för riskhantering som grundar sig på utbyte av riskinformation och riskanalysresultat mellan tullförvaltningar och genom vilken det fastställs gemensamma riskkriterier och standarder, kontrollåtgärder och prioriterade kontrollområden (artikel 46.3). Riskhanteringen ska enligt artikel 46.4 innefatta aktiviteter som insamling av uppgifter och information, riskanalys och riskbedömning, föreskrifter om och vidtagande av åtgärder samt regelbunden övervakning och översyn av denna process och dess resultat, baserat på internationella och nationella källor och strategier, källor i unionen och unionsstrategier. Vidare ska tullmyndigheterna under vissa förutsättningar utbyta riskinformation och resultat av riskanalys (artikel 46.5). Tullkontroller får även genomföras efter det att varor har frigjorts (artikel 48). EU-kommissionen ska enligt artikel 50 anta åtgärder i form av vissa genomförandeakter. Syftet är bl.a. att säker-
ställa en enhetlig tillämpning av tullkontroller, inkluderande utbyte av resultaten av riskinformation och riskanalys.
Varje person som direkt eller indirekt är involverad i fullgörandet av tullformaliteter eller i tullkontroller ska, på tullmyndigheternas begäran och inom föreskriven tid, tillhandahålla dessa myndigheter alla nödvändiga dokument och uppgifter i lämplig form, och ge dem all nödvändig hjälp för att fullgöra dessa formaliteter eller kontroller (artikel 15.1).
Vidare ska medlemsstaterna samarbeta med kommissionen för att utveckla, underhålla och använda elektroniska system för utbyte av uppgifter mellan olika tullmyndigheter och med kommissionen och för lagring av sådan information i enlighet med kodexen (artikel 16.1).
Tullagen innehåller bestämmelser som kompletterar tullkodexen. I 3 kap. finns regler om tullövervakning och 4 kap. reglerar Tullverkets kontrollverksamhet. Med tullövervakning avses de allmänna åtgärder som vidtas av tullmyndigheterna i syfte att sörja för att främst tulllagstiftningen följs (artikel 5.27 i tullkodexen). Några av de åtgärder som Tullverket får vidta är att förbjuda en förare av eller befälhavare på ett transportmedel som omfattas av tullövervakning att utan Tullverkets medgivande ankomma eller avgå med transportmedlet (3 kap. 5 och 17 §§) eller tillfälligt ta hand om en icke-unionsvara, om det behövs för tullövervakningen (3 kap. 7 §).
Med tullkontroll avses de särskilda åtgärder som vidtas av tullmyndigheterna för att säkerställa efterlevnad av tullagstiftningen och annan lagstiftning om bl.a. införsel och utförsel av varor (artikel 5.3 i tullkodexen). I 4 kap. finns en rad bestämmelser som reglerar Tullverkets tullkontroller. Tullverket får exempelvis begära att ett transportföretag som befordrar varor, passagerare eller fordon till eller från Sverige ska lämna de aktuella uppgifter om ankommande och avgående transporter som företaget har tillgång till (4 kap. 6 § första stycket). För kontroll av att deklarations- och uppgiftsskyldighet enligt tullagstiftningen har fullgjorts får Tullverket bl.a. undersöka transportmedel, containrar, lådor och andra utrymmen där varor kan förvaras (4 kap. 16 §). Vidare finns i 4 kap. 19–23 b §§ regler om tullkontroll av postförsändelser och försändelser förmedlade av kurir-
företag. Tullverket får även förelägga den som är eller kan antas vara deklarations- eller uppgiftsskyldig enligt tullagstiftningen att lämna uppgift som verket behöver för kontroll av att deklarations- eller uppgiftsskyldigheten har fullgjorts (4 kap. 24 § första stycket). Föreläggande får också riktas mot den som bedriver verksamhet i vilken uppgift av betydelse för kontrollen av en annan persons deklarations- eller uppgiftsskyldighet enligt tullagstiftningen kan hämtas ur handlingar som rör verksamheten, att lämna uppgift om en rättshandling med någon annan (4 kap. 25 §).
I fråga om revision får Tullverket enligt 4 kap. 26 § besluta om en sådan för att kontrollera att alla nödvändiga dokument och uppgifter har tillhandahållits enligt artikel 15.1 i tullkodexen och att dokumenten och uppgifterna är riktiga och fullständiga, och för att göra sådana kontroller som avses i artikel 48 i tullkodexen (kontroll efter frigörande). Om den reviderade inte samverkar på ett sådant sätt att den inte onödigt hindrar verksamheten hos denne, kan Tullverket förena ett föreläggande med vite (4 kap. 29 §). Bestämmelserna i 4 kap. om föreläggande och revision och om uppgifter och handlingar som ska undantas för kontroll har utformats med SFL som förebild.27Vidare finns i 4 kap. regler om bl.a. bevissäkring, uppgifter och handlingar som ska undantas från kontroll samt regler om tullkontroll av kontanta medel.
Inregränslagen
Regler om kontroll finns även i inregränslagen. Lagen innehåller bestämmelser om Tullverkets befogenheter vid införsel eller utförsel över Sveriges gräns mot ett annat land inom Europeiska unionen (EU-land).28 Enligt 2 § inregränslagen får kontroller enligt lagen inte utformas på ett sådant sätt att urvalet av vad och vem som ska kontrolleras sker slumpmässigt. Enligt förarbetena innebär detta att det måste finnas någon form av misstanke, även en mycket svag sådan, i det enskilda fallet. Misstanken kan vara grundad på exempelvis iakttagelser, underrättelser, tips eller riskprofiler. Det kan grunda sig på en relativt trivial omständighet men har lika ofta sin grund i riskprofiler eller i information som finns hos Tullverket. Med riskprofiler
27Prop. 2015/16:79, En ny tullag, s. 185. 28 1 § inregränslagen.
avses sammanställningar av olika kriterier eller förhållanden och metoder som har noterats vid den brottslighet som har upptäckts.29Inregränslagen är endast tillämplig på vissa uppräknade varor.30 I 5– 18 §§ inregränslagen finns regler om Tullverkets kontrollverksamhet inom lagens tillämpningsområde. Regleringen innefattar bl.a. vad en tulltjänsteman får undersöka, när Tullverket får omhänderta en vara för att utföra en kontroll samt föreskriver en rätt för Tullverket att göra kontrollbesök och revisioner.
Lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter
LPK har sin grund i punktskattedirektivet31 och reglerar flyttning av punktskattepliktiga varor samt kontroll avseende punktskattepliktiga varor vid vägtransporter och vid försändelser med post. I LPK finns även bestämmelser om kontroll av upplagshavare inom uppskovsförfarandet. Bestämmelserna har sin grund delvis i rådets direktiv (EU) 2020/262 av den 19 december 2019 om allmänna regler för punktskatt, i den ursprungliga lydelsen (1 kap. 1 §). Med punktskattepliktig vara avses tobaksvara, alkoholvara och energiprodukt (1 kap. 2 §). I 1 kap. 5 § andra stycket anges att kontroller enligt LPK inte får utformas på sådant sätt att urvalet av vad och vem som kontrolleras sker slumpmässigt. Enligt 1 kap. 6 § får en punktskattepliktig vara flyttas endast om bl.a. de krav i fråga om elektroniskt administrativt dokument, administrativ referenskod, elektroniskt förenklat administrativt dokument, förenklad administrativ referenskod, ersättningsdokument samt säkerhet och anmälningsskyldighet och registrering är uppfyllda. Om en vara som transporterats i strid med bestämmelsen har omhändertagits ska Tullverket i vissa fall besluta om skatt på varan (2 kap. 13 § och 3 kap. 5 §). En särskild avgift (transporttillägg) kan påföras den som gör sig skyldig till överträdelser av lagens administrativa bestämmelser (4 kap. 1 §).32
Tullverket får enligt 2 kap. 1 § i fråga om punktskattepliktiga varor i vägtransporter som är eller kan antas vara omfattade av 1 kap. 6 § kontrollera att varorna transporteras i enlighet med den bestämmel-
29Prop. 1995/96:166, Tullens befogenheter vid den inre gränsen, s. 56–57. 30 3 § inregränslagen. 31 Rådets direktiv (EU) 2020/262 av den 19 december 2019 om allmänna regler för punktskatt. 32 Jfr SOU 2022:49, s. 273–274.
sen (transportkontroll). Enligt 2 kap. 2 § har Tullverket vid kontrollen bl.a. rätt att undersöka transportmedel, lådor, behållare eller andra utrymmen i transportmedel, containrar eller tankar där punktskattepliktiga varor kan förvaras under transport. Vid transportkontroll i lokal får även utrymmen i lokalen där punktskattepliktiga varor förvaras eller kan antas förvaras undersökas. Enligt 2 kap. 3 § får Tullverket vid genomförande av transportkontroll bl.a. öppna transportmedel, containrar och andra utrymmen som är låsta eller har tillslutits på annat sätt eller bereda sig tillträde till områden som inte är tillgängliga för allmänheten. Enligt 3 kap. 1 § får Tullverket undersöka postförsändelser, såsom paket och brev, för att kontrollera om de innehåller alkohol- eller tobaksvaror.
Pågående lagstiftningsarbete
En särskild utredare har nyligen haft i uppdrag att genomföra en samlad översyn av reglerna om Tullverkets befogenheter inom kontrollverksamheten och den brottsbekämpande verksamheten. Syftet har varit att skapa en överskådlig, ändamålsenlig och enhetlig reglering av Tullverkets befogenheter och därmed bättre förutsättningar för Tullverket att utföra sitt uppdrag på ett effektivt sätt. Utredningen har i september 2022 lämnat ett delbetänkande i vilket det bl.a. föreslås att en ny samlad lag, tullbefogenhetslagen, ska införas med bestämmelser om vilka befogenheter som Tullverket och en tulltjänsteman har vid kontrollverksamhet och vid brottsbekämpning.33 Förslagen innebär att befogenhetsregleringen i ett flertal lagar, bl.a. tullagen och inregränslagen flyttas till den nya lagen.34
Kronofogdemyndigheten
Allmänt om Kronofogdemyndighetens kontroll
Kronofogdemyndigheten har ett flertal arbetsuppgifter. Myndigheten driver bl.a. in skulder genom utmätning av lön och andra ersättningar och genom utmätning av egendom. Under 2022 drev Kronofogdenmyndigheten in 14,7 miljarder kr, varav drygt en miljard kronor i ett
33SOU 2022:48, Tullverkets rättsliga befogenheter i en ny tid. 34 Betänkandets förslag har vid tiden för vårt betänkande remissbehandlats.
enskilt indrivningsärende. Av det indrivna beloppet avsåg hälften skulder till staten och offentlig sektor. Vid utgången av 2022 fortsatte privatpersoners (394 000. Den totala skulden hos myndigheten var vid samma tid 173 miljarder kr. Inom den summariska processen ökade antalet ansökningar om betalningsföreläggande, vilka uppgick till 1,3 miljoner.35
Kronofogdemyndigheten har under 2022 genomfört utvecklingsinsatser för att bl.a. öka den interna effektiviteten. Det har handlat om att förenkla och automatisera arbetet med tillgångsutredningar samt ersätta ett systemstöd för försäljning av fast egendom i syfte att underlätta handläggningen. Även ett nytt verksamhetsstöd för skuldsanering har påbörjats i syfte att effektivisera handläggningen av skuldsaneringsärenden, vilka under 2022 uppgick till 28 000 inkomna ärenden.36
Kronofogdemyndighetens möjligheter att bedriva effektiva processer och utföra kontroller är viktiga för att förebygga och motverka ekonomisk brottslighet. Under 2022 resulterade myndighetens arbete för att upptäcka felaktigheter bl.a. i en bedömning av att 761 ansökningar om betalningsföreläggande saknade grund. Dessa motsvarade ett kapitalvärde om 27,4 miljoner kr. Under samma år avslog myndigheten också ansökningar om skuldsanering med koppling till organiserad brottslighet.37
Materiell reglering av Kronofogdemyndighetens huvudsakliga verksamhetsområden summarisk process, verkställighet, konkurstillsyn och skuldsanering finns i ett flertal olika författningar. Den materiella regleringen tar sin huvudsakliga utgångspunkt i handläggningen av sådana enskilda ärenden eller mål och innefattar bestämmelser om utrednings- och kontrollbefogenheter.
Inom området verkställighet finns ett flertal författningar med materiella regler som Kronofogdemyndigheten har att tillämpa.38 Den huvudsakliga regleringen finns i utsökningsbalken. Utsökningsbalken
35 Kronofogdemyndighetens årsredovisning 2022, s. 9, 20 och 25–26. 36 Kronofogdemyndighetens årsredovisning 2022, s. 32, 35 och 37. 37 Kronofogdemyndighetens årsredovisning 2022, s. 44. 38 Se t.ex. utsökningsbalken, lag (1993:891) om indrivning av statliga fordringar m.m., lag (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter samt lag (2014:836) om näringsförbud.
är tillämplig i fråga om verkställighet av dom eller annan exekutionstitel, som innefattar betalningsskyldighet eller annan förpliktelse, samt i fråga om verkställighet av beslut om kvarstad eller annan liknande säkerhetsåtgärd.
Verkställighet åvilar Kronofogdemyndigheten. Ansökningar om verkställighet ska göras skriftligen eller muntligen hos Kronofogdemyndigheten. Om en ansökan är så bristfällig att den inte kan läggas till grund för prövning i sak och om sökanden inte följer ett föreläggande att avhjälpa bristen, ska ansökan avvisas.
Skulder drivs in av myndigheten genom utmätning av lön och andra ersättningar, samt genom utmätning av egendom. Kronofogdemyndigheten har möjlighet att hålla förhör med svaranden, om det behövs. Även sökanden kan kallas till sådant förhör och förhör kan också hållas med tredje man. Myndigheten kan förelägga om inställelse till förhör vid vite. Myndigheten får även använda vissa tvångsmedel, t.ex. genomsöka hus, rum eller förvaringsställe vid förrättning.
Vid utmätning ska Kronofogdemyndigheten i den utsträckning som det behövs med hänsyn till ansökans innehåll, tillkommande uppgifter, gäldenärens förhållanden och omständigheterna i övrigt utreda gäldenärens anställnings- och inkomstförhållanden och undersöka om gäldenären har utmätningsbar egendom. Kronofogdemyndigheten får vidta de utredningsåtgärder som är befogade. Myndigheten kan bl.a. ålägga gäldenären att inge förteckning över sina tillgångar eller bestämma inom vilken tid tredje man ska lämna vissa upplysningar.39
Vidare finns i utsökningsbalken ett stort antal detaljerade bestämmelser om förfarandet vid bl.a. utmätning av lön och andra ersättningar samt försäljning av lös eller fast egendom.
Lagen om betalningsföreläggande och handräckning
Inom summarisk process prövar Kronofogdemyndigheten yrkanden om att någon ska åläggas att fullgöras en förpliktelse enligt lagen om betalningsföreläggande och handräckning. Sådana yrkanden kan avse betalningsföreläggande, vanlig handräckning eller särskild handräckning.40 Om en ansökan är så bristfällig att den inte kan läggas till grund för handläggning av målet, ska Kronofogdemyndigheten före-
39 1 kap. 1 och 3 §§, 2 kap. 1, 5, 10, 11 och 17 §§, 4 kap. 9 §, 4 kap. 14 § andra stycket samt 4 kap. 15 § UB. 401 § BfL.
lägga sökanden att avhjälpa bristen.41 Om ansökningen tas upp av Kronofogdemyndigheten, ska svaranden föreläggas att till myndigheten yttra sig inom viss tid.42 För det fall en ansökan om betalningsföreläggande eller vanlig handräckning inte bestrids, ska Kronofogdemyndigheten snarast meddela utslag i enlighet med ansökningen.43Ett utslag meddelas alltså i dessa fall närmast automatiskt utan några ytterligare kontroller från myndighetens sida, om övriga förutsättningar är uppfyllda. När det gäller särskild handräckning ska Kronofogdemyndigheten meddela utslag om ansökan inte bestritts i den utsträckning den är lagligen grundad och de omständigheter som ska läggas till grund för prövningen utgör skäl för att bevilja åtgärden.44
Bestämmelser om skuldsanering finns i skuldsaneringslagen. Enligt 1 § skuldsaneringslagen innebär skuldsanering att en gäldenär helt eller delvis befrias från ansvar för betalningen av de skulder som omfattas av skuldsaneringen.
Det är Kronofogdemyndigheten som prövar ärenden om skuldsanering och ärenden om omprövning av ett beslut om skuldsanering.45 Kronofogdemyndigheten ska även lämna upplysningar om skuldsanering till svårt skuldsatta fysiska personer som är eller har varit föremål för verkställighet enligt utsökningsbalken.46 Om en ansökan om skuldsanering är bristfällig kan Kronofogdemyndigheten förelägga gäldenären att avhjälpa bristen. Myndigheten ska också i den utsträckning det behövs kontrollera i sina register att uppgifterna i ansökan är korrekta och inhämta upplysningar från andra myndigheter om gäldenärens personliga och ekonomiska förhållanden.47 Om myndigheten har beslutat att inleda skuldsanering ska myndigheten se till att ärendet blir så utrett som dess beskaffenhet kräver.48
4120 § BfL. 4225 § BfL. 4342 § BfL. 4443 § BfL. 454 § skuldsaneringslagen. 462 § skuldsaneringslagen. 4713 och 15 §§skuldsaneringslagen. 4820 § skuldsaneringslagen.
Några övriga författningar
Regler av relevans för tillsyn i konkurs och över rekonstruktörer finns bl.a. i konkurslagen, lagen (1996:764) om företagsrekonstruktion samt i lönegarantilagen (1992:497). Vidare finns regler om Kronofogdemyndighetens tillsyn över meddelade näringsförbud i lagen (2014:836) om näringsförbud, vilket också är en verksamhet som innehåller inslag av kontroll.
14.2.4. Gränsdragningen mellan kontrollverksamhet och brottsbekämpning
Den kontrollverksamhet vi redogör för i detta sammanhang avser uteslutande sådan kontrollverksamhet som inte utgör brottsbekämpande verksamhet.49 Vid sidan av Skatteverkets skatte- och avgiftskontroll och Tullverkets kontrollverksamhet är dessa myndigheter också behöriga myndigheter inom ramen för dataskyddsdirektivet50och brottsdatalagen (2018:1177).51 Skatteverkets och Tullverkets verksamheter som inte utgör brottsbekämpande verksamhet omfattas av EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen.
Gränsdragningen mellan kontrollverksamhet och brottsbekämpning är även av materiell betydelse eftersom enskildas skyldighet att medverka skiljer sig mycket åt beroende på om det är fråga om kontrollverksamhet eller brottsutredning. Vid kontrollverksamhet kan myndigheterna tvinga enskilda att t.ex. lämna korrekta och fullständiga uppgifter, att lämna över handlingar eller att bereda kontrollanten tillträde till olika utrymmen såsom fordon eller lokaler. När myndigheterna arbetar med brottsbekämpning får den som är misstänkt för brott aldrig tvingas att bidra till utredningen eller till bevisning. Detta eftersom han eller hon därmed riskerar att belasta sig
49 Enligt utredningens direktiv ligger det inte inom ramen för vårt uppdrag att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. Samma avgränsning gäller för vårt uppdrag att se över förutsättningarna för myndigheterna att göra dataanalyser och urval för en effektivare kontrollverksamhet. 50 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 51 Jfr SOU 2017:29, Brottsdatalag, s. 198.
själv på ett sätt som strider mot rätten till en rättvis rättegång enligt artikel 6.1 i Europakonventionen.52
Det är inte alltid enkelt att dra en tydlig gräns mellan Skatteverkets och Tullverkets kontrollverksamhet respektive brottsbekämpande verksamhet. När Tullverket exempelvis utför tullkontroller för att klarera varor och transportmedel kan det leda till ett beslut om att genomföra en fysisk kontroll, som i sin tur kan leda till att misstanke om brott uppstår.
Kontrollverksamhet kan alltså i sig leda till att brott upptäcks eller förhindras. Det gäller för både Skatteverkets och Tullverkets kontrollverksamhet. Ett grundläggande krav för att brottsdatalagen ska vara tillämplig är att den som behandlar personuppgifterna är en behörig myndighet och i egenskap av behörig myndighet behandlar personuppgifter för något av de i lagen angivna syftena.53 Sådan kontroll som här avses utförs dock inte av myndigheterna i brottsbekämpande syfte, även om sådan kontrollverksamhet kan anses ha brottsförebyggande inslag i vissa delar och att myndigheternas verksamhet kan ha effekter på brottsligheten.54 Verksamheten avser i stället att i första hand stödja författningsenlig tillämpning av lagstiftningen och att upptäcka olika avvikelser. All offentligrättslig kontrollverksamhet bör därför inte ses som ett sätt att direkt förebygga brott. Det är först när det i kontrollverksamhet finns anledning att anta att ett konkret brott har begåtts eller att någon utövar viss brottslig verksamhet som verksamheten övergår till att bli brottsbekämpande.55 I de fall en myndighet är skyldig att anmäla om det uppstått misstanke om brott, medför det inte att anmälaren ska betraktas som behörig myndighet i brottsdatalagens mening, om anmälaren varken har ett brottsbekämpande uppdrag eller utövar myndighet för de syften som brottsdatalagen omfattar.56 Av förarbetena till brottsdatalagen framgår vidare att kontrollverksamhet ligger utanför dess tillämpningsområde.57
Mot bakgrund av detta ska den behandling av personuppgifter som föranleds av Skatteverkets och Tullverkets kontrollverksamhet i det sammanhang som här är aktuellt enligt vår bedömning ske i enlighet med bestämmelserna i EU:s dataskyddsförordning, dataskyddslagen
52SOU 2017:29, Brottsdatalag, s. 198. 53 Jfr 1 kap. 6 § brottsdatalagen. Se även prop. 2017/18:232, Brottsdatalag, s. 111–112 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 112. 54 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 113. 55SOU 2017:29, Brottsdatalag, s. 198–199. 56Prop. 2017/18:232, Brottsdatalag, s. 111. 57Prop. 2017/18:232, Brottsdatalag, s. 113.
och de sektorspecifika författningarna om dataskydd. Den aktuella personuppgiftsbehandlingen kommer därmed inte medföra att dataskyddsdirektivet, brottsdatalagen eller de sektorspecifika registerförfattningarna på brottsdatalagens område blir tillämpliga.
14.2.5. Behovet av en effektiv kontrollverksamhet
Förekomsten av felaktigheter i myndigheternas verksamheter kan leda till olika konsekvenser för samhället. Skatteundandraganden leder till att skatten blir lägre vilket gör att den som medvetet undandrar medel från beskattning får en högre disponibel inkomst. Det innebär också att samhället går miste om skattemedel, vilket får negativa effekter på de offentliga finanserna. Det leder i sin tur till en svagare utveckling av statens och kommunernas inkomster. Minskade skatteintäkter drabbar i slutänden de skattebetalande medborgarna eftersom de antingen får betala mer i skatt för att kompensera uteblivna skatteinkomster eller får en sämre välfärd. I förlängningen kan skatteundandraganden leda till ett minskat förtroende för och tillit till skattesystemet och välfärdsstaten. Det kan också försämra seriösa företags konkurrenskraft i förhållande till de företag som undandrar skatt.58 Skatteverket har vidare i en rapport konstaterat att det finns stark empirisk evidens för att skattekontroll i sig samt högre sannolikhet för att bli kontrollerad leder till bättre regelefterlevnad.59
Att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden är bl.a. en förutsättning för Skatteverkets fastställande av skatter och även för att andra samhällsfunktioner ska ha ett korrekt underlag för beslut och åtgärder. Uppgifter i folkbokföringen ligger till grund för bl.a. ersättningar och bidrag men även för samhällsplanering och forskning. Om uppgifter i folkbokföringen är felaktiga kan det riskera att exempelvis leda till att befolkningsstatistiken för vissa geografiska områden blir missvisande eller att bidragsutbetalningar och beskattning sker på fel grunder.60
58SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 125–126. 59 Skatteverket, Rapport 2018-09-09, Skattekontroll, moral och regelefterlevnad, s. 4. 60Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 18.
En effektiv kontrollverksamhet inom Tullverket innebär att mer uppbörd kan tas in till de offentliga finanserna, att konkurrensen mellan företag blir mer rättvis, ett ökat skydd för skyddsvärda växter, djur och kulturföremål, säkrare konsumentprodukter och att farliga varor hindras från att spridas på EU:s inre marknad. Det innebär även att laglig och korrekt in- och utförsel i mindre utsträckning störs av onödiga kontroller. I ett större perspektiv kan det stärka allmänhetens förtroende för myndigheten och i förlängningen tilltron till rättsstaten som helhet.
Kronofogdemyndigheten har en viktig roll att se till att välfärdsstaten inte utnyttjas som verktyg av personer och företag för att tillskansa sig medel på felaktiga grunder. Kronofogdemyndigheten har konstaterat att myndigheten används i brottslig verksamhet för att fastställa, driva in och sanera oriktiga fordringar. Inom verksamheten med betalningsföreläggande förekommer falska ansökningar och ansökningar som grundar sig på brott. Felaktigt fastställda fordringar riskerar att senare hamna för verkställighet av gäldenären. Då finns det små möjligheter att invända mot ett lagakraftvunnet utslag. Vidare kan falska skulder föras fram i ett ärende om skuldsanering och senare omfattas av ett beslut om skuldsanering.
Sammanfattningsvis är det enligt vår uppfattning viktigt att berörda myndigheter ges adekvata och nödvändiga förutsättningar att motverka felaktigheter i respektive verksamhet, inte minst för att upprätthålla legitimiteten och förtroendet för myndigheternas skattefinansierade verksamhet.
14.3. Vad är dataanalyser och urval?
14.3.1. En övergripande beskrivning
I likhet med Utredningen om samordning av statliga utbetalningar från välfärdssystemen väljer vi att använda begreppet dataanalyser i betydelsen att använda digitala verktyg och tekniker för att analysera stora mängder data. Dataanalyser kan bl.a. användas för att upptäcka avvikelser, mönster, samband och andra riskindikatorer.61
Urval avser processen genom vilken urvalsträffar tas fram. För att få fram en urvalsträff används urvalsmodeller som har utformats ut-
61SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 110.
ifrån avvikelser, mönster, samband och andra indikatorer som har identifierats med hjälp av dataanalyser. Med andra ord kan urvalsmodeller tillämpas på data som tillgängliggjorts för ett visst ändamål för att upptäcka exempelvis uppgifter som det kan finnas anledning att anta är felaktiga, dvs. urvalsträffar.62 Sedan granskas och utvärderas urvalsträffarna för att avgöra vilka som bör kontrolleras närmare samt vilka övriga åtgärder som bör vidtas innan ett eventuellt ärende inleds.
Dagens tekniska verktyg ger myndigheter en möjlighet att använda dataanalyser på ett mer avancerat sätt än vad som var möjligt vid ikraftträdandet av Skatteverkets, Tullverkets och Kronofogdemyndighetens nu gällande registerförfattningar. Vid myndigheter är det ofta dataanalytiker som arbetar med att genomföra dataanalyser och utveckla urvalsmodeller som sedan kan användas i en verksamhet. Dataanalytiker kan arbeta med olika metoder som inbegriper artificiell intelligens (AI), men så behöver inte nödvändigtvis vara fallet.
14.3.2. Något om AI och maskininlärning
För att genomföra dataanalyser och utveckla urvalsmodeller kan myndigheterna använda sig av artificiell intelligens (AI). Det är troligt att sådana tekniker kommer att bli alltmer intressanta för myndigheter att använda i olika delar av deras verksamheter ju mer sådana verktyg utvecklas. AI är en teknik som är under snabb utveckling och den kan användas på en mängd olika sätt inom olika delar av samhället. Genom tekniken kan stora effektivitetsvinster uppnås, samtidigt som den också kan ge upphov till olika risker. Myndigheten för digital förvaltning, DIGG, har uppskattat att det ekonomiska värdet av ett fullständigt införande av nuvarande AI-teknik i svensk offentlig förvaltning skulle uppgå till cirka 140 miljarder kr. Därutöver bedömer DIGG att det kan finnas indirekta ekonomiska värden i form av bl.a. ökad rättvisa.63
Det finns ingen enhetlig definition av AI. Europeiska kommissionen har definierat AI som att det avser system som uppvisar intelligent beteende genom att analysera sin miljö och vidta åtgärder
62SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upp-
täcka felaktiga utbetalningar från välfärdssystemen, s. 110.
63 Myndigheten för digital förvaltning (DIGG), Främja den offentliga förvaltningens förmåga
att använda AI, delrapport i regeringsuppdraget I2019/01416/DF och I2019/01020/DF (del-
vis), s. 9.
– med viss grad av självständighet – för att uppnå specifika mål.64I kommissionens förslag till en ny AI-förordning definieras system med artificiell intelligens (AI-system) som programvara som utvecklats med en eller flera tekniker och metoder […] och som, för en viss uppsättning människodefinierade mål, kan generera utdata såsom innehåll, förutsägelser, rekommendationer eller beslut som påverkar de miljöer som de samverkar med.65 Syftet med förslaget till förordning om AI är bl.a. att harmonisera regler om AI inom EU. Förordningen kommer få betydelse för myndigheters användning av AI i det fall den blir gällande.
Det som utmärker AI från andra metoder för automation är AIteknikens förmåga att lära sig och bli smartare över tid.66 Inom AI finns flera olika delområden. Hit hör bl.a. maskininlärning, där logiken inte längre är exakt programmerad på förhand, utan tränas på stora datamängder med syfte att själv förstå samband mellan datapunkter. Ju mer processorkraften ökar, desto mer komplexa tillämpningar kan göras med AI.67
Ett moment som tillkommer med maskininlärda algoritmer är att den behöver tränas under en viss period innan den tas i drift. Det finns inget motsvarande moment vid programmering av traditionella algoritmer. När AI och maskininlärda algoritmer tränas hanteras olika former av indata i en stor mängd och det kan ske i olika lager. Området för system som hanterar många olika lager av indata och som med hjälp av maskininlärning uppdaterar sina algoritmer kallas djupinlärning. Systemen i sig kallas neurala nätverk.68 Djupinlärning är en form av maskininlärning.69
När en maskininlärd algoritm tränas krävs att den har tillgång till stora mängder data för att den ska kunna förbättra sig själv. Mängden data som används vid träningen av en modell kan i sig vara en nödvändig faktor för att kunna garantera rättssäkra förfaranden. Av rättssäkerhetsskäl krävs även att träningen har ägt rum med just den typ av data som sedan ska användas i skarpa fall. Om så inte görs ökar
64 European Commission, A definition of AI: main capabilities and disciplines, Independent Highlevel Expert Group on Artificial Intelligence set up by the European Commission in June 2018. 65 Artikel 3.1 i förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter, COM(2021) 206 final. 66 Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 4. Informationsmaterial, N2018.14. 67SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 149. 68SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 149–150. 69 Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 6.
risken för fel och rättsosäkerhet om dataunderlaget varit bristfälligt under AI-systemets ”upplärningsprocess”.70 Ett annat sätt att beskriva det på är om den data som används vid utvecklandet och användning av AI inte håller tillräckligt hög kvalitet, t.ex. på grund av felaktigheter i registreringar, systematiska (medvetna eller omedvetna) fel i insamlandet, val av källor eller märkning av data, kan risker uppstå i form av felaktiga eller på annat sätt oönskade resultat.71 I många fall kan kvaliteten av den data som används vara viktigare än kvantiteten. När en modell tränas är det viktigt att den data som väljs ut för träningen är representativ i förhållande till det problem som ska lösas.72Tillgången till olika typer av infrastruktur är också av betydelse för utveckling och användning av AI då vissa delar i AI-utveckling kräver tillgång till stora mängder data och mycket stor beräkningskapacitet.73
14.3.3. Skatteverkets, Tullverkets och Kronofogdemyndighetens arbete med dataanalyser och urval i dag
Skatteverkets beskattningsverksamhet
En grundläggande del i Skatteverkets uppdrag är att säkerställa en korrekt uppbörd. En del i det uppdraget är att myndigheten ska genomföra olika typer av kontroller. Riskhantering fungerar då som en metod för att säkerställa att Skatteverket riktar sina resurser dit de behövs som mest. I dag arbetar Skatteverket brett med riskhantering i verksamheten enligt en särskild riskhanteringsmodell.74 Urvalsarbetet är en del av riskhanteringsarbetet och handlar om att planlägga ärenden för kontroll eller andra åtgärder. Urvalsarbetet inleds med ett identifierat behov av urval och avslutas när en urvalsträff skickas till processen för ärendehantering.
När t.ex. en deklaration avseende inkomstskatt, arbetsgivardeklaration, ansökan om godkännande för F-skatt eller ansökan om registrering för mervärdesskatt inkommer vill myndigheten undersöka om det finns några risker för fel eller fusk, om det saknas underlag som
70SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212. 71 Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 10. Informationsmaterial, N2018.14. 72 Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 11. 73 Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 11. Informationsmaterial, N2018.14. 74 Riskmodellen utgår från parametrarna identifiera, analysera, värdera och prioritera, utföra samt utvärdera.
medför att komplettering krävs eller om mer utredning behöver företas. Inom detta arbete är dataanalyser och urval verktyg som Skatteverket använder för att effektivisera kontrollverksamheten. Exempelvis gör myndigheten maskinella urval som bygger på riskanalyser för att välja ut deklarationer för vidare kontroll. Riskerna kan bl.a. identifieras utifrån myndighetens tidigare erfarenheter eller från omvärldsanalyser. Urvalet kan ske både innan och efter handläggningen av ett visst ärende. Ytterligare områden där Skatteverket använder dataanalyser och urval i dag är bl.a. yrkanden om rot- och rutavdrag och internprissättning. I dag arbetar myndigheten ofta på ett sätt som innebär att urval görs när det skett en viss händelse i ett ärendeflöde, t.ex. genom att en ansökan om godkännande för F-skatt eller en deklaration inkommer.
Skatteverket använder olika typer av modeller för urval. Det kan handla om manuella modeller eller modeller som är baserade på AImetoder, såsom maskininlärning. Skatteverkets ambition är att öka användningen av AI inom urvalsarbetet, som i nuläget till stor del bygger på erfarenhetsdrivna urvalsmodeller.
Urvalsmodeller kan tillämpas både vid handläggningen av ärenden eller vid kontroll i efterhand. I det förstnämnda fallet tillämpas modellerna ärende för ärende. Skatteverket har uppgett att urvalsmodellerna tillämpas mer sällan för att göra kontroller i efterhand eftersom det är bättre att upptäcka fel inför beslut och eventuella utbetalningar. Analyser och urval utgör enligt myndigheten kärnan i kontrollverksamheten för att på ett resurseffektivt sätt kunna identifiera kontrollobjekt bland den stora mängd ärenden som hanteras.
Skatteverkets folkbokföringsverksamhet
I folkbokföringsverksamheten arbetar Skatteverket för närvarande med att uppdatera riskanalyser och implementera den riskhanteringsmodell som redan används inom beskattningsverksamheten. Arbetet med analyser och urval har inte kommit lika långt inom folkbokföringsverksamheten som beskattningsverksamheten. En del i detta är att arbetet med folkbokföringen har varit mer av registrerande karaktär, och det är först på senare tid som de vidare samhällskonsekvenserna av en felaktig folkbokföring har börjat diskuteras.
I dagsläget försöker Skatteverket bedöma risken för felaktigheter om uppgifter i ett nytt ärende skulle registreras. Detta görs för att identifiera vilka ärenden som behöver utredas närmare. Riskanalyser sker även för efterhandskontroller, ofta baserat på underrättelser från enskilda och andra myndigheter. De parametrar som används för att identifiera vilka ärenden där det finns högst risk för fel tas fram manuellt, dvs. inte genom maskinella dataanalyser, baserat på myndighetens erfarenheter.
Skatteverkets folkbokföringsverksamhet har den 1 maj 2023 fått utökade möjligheter att göra dataanalyser och urval genom en ny reglering i folkbokföringsdatabaslagen och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF). Syftet med den nya regleringen är att ge Skatteverket bättre möjligheter att minska fel i folkbokföringsverksamheten.75 Den nya regleringen innebär att folkbokföringsdatabaslagen har kompletterats med en ny ändamålsbestämmelse som innebär att uppgifter får behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten.76 Det har även införts bestämmelser om att det i folkbokföringsverksamheten ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och urvalsdatabas).77 I analys- och urvalsdatabasen får vissa angivna uppgifter behandlas om vissa personkretsar.78 Det rör sig framför allt om uppgifter som i dag får finnas i folkbokföringsdatabasen. Regeringen har även föreskrivit i folkbokföringsdatabasförordningen att i databasen får sådana uppgifter behandlas som ska lämnas av andra myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten. Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.79 Vidare finns i lagen vissa särskilda bestämmelser om sökbegrepp, krav på dokumentation och längsta tid för behandling.80 I förordningen finns en bestämmelse som anger
75Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 1.
76 1 kap. 4 a § FdbL. 77 2 a kap. 1 § FdbL. 78 2 a kap. 2–3 §§ FdbL. 79 5 c § FdbF. 80 4–6 §§ FdbL.
att Skatteverket ska ha rutiner för utformningen av urvalsmodeller och användandet av sökbegrepp i analys- och urvalsdatabasen.81
Tullverket
Tullverket har till följd av sitt uppdrag omfattande kontrollverksamhet som innefattar utförande av riskanalyser för att välja ut exempelvis vilka transporter av varor som särskilt bör kontrolleras. Det görs också för att granska tulldeklarationer i efterhand för att säkerställa en riktig uppbörd, vilket t.ex. kan leda till att revisioner inleds. För att möjliggöra urval till riskbaserade kontroller gör myndigheten analyser av olika slag. En sådan typ av analys är mer övergripande analyser där olika data bearbetas för att exempelvis upptäcka trender som tullkontrollerna kan inriktas på. Utifrån resultaten av analyserna och nationella och EU-gemensamma riskkriterier kan vissa riskfaktorer identifieras, vilka i sin tur utgör grunden för en riskprofil eller spärr.82Det sker sedan en automatisk jämförelse mellan deklarationer och dessa riskprofiler och spärrar. De automatiska riskanalyserna resulterar i utfall, som efter manuell granskning kan innebära en rekommendation i fråga om att en viss in- eller utförsel ska selekteras för kontroll. Förutom de riskanalyser som sker på nationell nivå pågår också arbete på EU-nivå för att möjliggöra EU-gemensamma riskanalyser i centrala system, dvs. i EU-gemensamma system och lagringsytor.
Den data som bearbetas kan exempelvis bestå av samtliga uppgifter som lämnas av ekonomiska aktörer enligt tullkodexen med kompletterande lagstiftning, underrättelseinformation eller tips från ekonomiska aktörer eller andra tullmyndigheter. Myndigheten har i dag ett särskilt verksamhetsstöd för att underlätta utförandet av analys- och urvalsverksamheten. Till verksamhetssystemet görs en selektiv överföring av olika data till en separat lagringsyta för att möjliggöra analyser skilt från de skarpa verksamhetssystemen. Data från den brottsbekämpande verksamheten hålls logiskt separerad från data inom den övriga tullverksamheten. Samma tjänstemän kan dock arbeta med analyser och urval vad gäller såväl illegala och farliga varor som uppbörd och restriktioner.
81 5 b § FdbF. 82 En spärr innebär att myndigheten inom sina system lägger in olika parametrar som när de är uppfyllda innebär att de deklarationer som uppfyller parametrarna hindras från att klareras. En riskprofil fungerar på motsvarande sätt, men används inom området säkerhet och skydd.
De urval som Tullverket i dag gör är regelbaserade, dvs. det finns tydliga kriterier för urvalen som går att uttrycka. Myndigheten använder sig inte i så stor utsträckning av prediktiva analyser83 i dag, men avser att arbeta mer med sådana analysmetoder i framtiden.
Exempel på analyser som myndigheten utför är mönsteranalyser. Syftet med dessa är att identifiera vissa företeelser. Det kan röra sig om fysiska eller juridiska personer som kan misstänkas för felaktigheter inom områdena uppbörd och restriktioner, organiserad brottslighet eller annan kriminalitet och lagöverträdelser, varusändningar (tulldeklarationer) innehållande felaktigheter som kan leda till uppbördsbortfall eller restriktionsbrott samt varusändningar som inte har blivit tullbehandlade.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att myndigheten för närvarande har begränsade tekniska verktyg för att genomföra dataanalyser i verksamheten, men att det finns en ambition om att utveckla dessa. I dag arbetar myndigheten med manuell hantering för att t.ex. upptäcka otillbörliga eller brottsliga ansökningar om betalningsförelägganden. Detsamma gäller arbetet för att upptäcka felaktiga beslut om lönegaranti inom konkurstillsynen.
Analysverktyg används inom Kronofogdemyndighetens arbete med att motverka överskuldsättning. Det handlar om att ta fram sammanställningar för att t.ex. göra skuldanalyser över kön och ålder. Myndigheten gör också vissa prediktiva analyser i syfte att förutse eller bedöma sannolikheten för vissa skeenden baserat på den data som myndigheten har tillgång till.
Ett exempel på analysarbete som bedrivs vid Kronofogdemyndigheten är att ta fram en prediktionsmodell över återkommande gäldenärer. Myndigheten kan genom användning av sådana verktyg bli mer effektiv i sitt arbete med att motverka överskuldsättning genom t.ex. särskilda och riktade informationsinsatser.
Kronofogdemyndigheten har även utforskat förutsättningarna för att använda s.k. nätverksanalyser inom verksamheten med verkställighet. Genom sådana analyser skulle myndigheten kunna identifiera fler utmätningsbara tillgångar hos dem som kan men inte vill betala.
83 Vid prediktiva analyser används data och algoritmer för att förutse vad som sannolikt kommer att hända, se vidare avsnitt 14.6.2.
14.3.4. Dataanalyser och urval i andra sammanhang
Försäkringskassan
Försäkringskassan har i en promemoria från 2018 beskrivit hur myndighetens kontrollarbete ser ut. I promemorian anges att Försäkringskassan under de senaste åren har utvecklat s.k. urvalsprofiler inom flera förmåner. Dessa bygger på dataanalyser av mönster och samband i hur förmånerna används. Urvalsprofilerna används i stor utsträckning för att styra handläggningen, t.ex. för att prioritera ärenden för uppföljning och förnyad utredning. Urvalsprofiler kan även användas för att identifiera ärenden med hög risk för felaktigheter, som väljs ut för ytterligare kontroll innan eller efter utbetalning. Riskbaserad urvalsprofilering har framför allt använts av Försäkringskassan för att välja ut ärenden för kontroll efter utbetalning, men it-utveckling har gjort det möjligt att använda riskbaserade kontroller även innan utbetalning i vissa förmåner. Ett exempel är tillfällig föräldrapenning, där riskbaserade kontroller tidigare enbart gjorts i efterhand.84
Försäkringskassan ska enligt myndighetens instruktion bl.a. säkerställa att felaktiga utbetalningar inte görs och motverka bidragsbrott.85Bestämmelser om myndighetens personuppgiftsbehandling finns i 114 kap. socialförsäkringsbalken (SFB).86 I regleringen av ändamål finns ingen särskild bestämmelse som omfattar analys- och kontrollverksamhet.87 I 114 kap. 10 § SFB finns emellertid en bestämmelse som ger uttryck för finalitetsprincipen.
Centrala studiestödsnämnden
Den 1 juli 2020 trädde vissa nya bestämmelser i studiestödsdatalagen (2009:287) i kraft. Regeringen gjorde i förarbetena bedömningen att testverksamhet generellt sett är en sådan administrativ åtgärd som krävs för att Centrala studiestödsnämnden, CSN, ska kunna utföra studiestödsverksamheten. Det ansågs därför inte krävas något ytter-
84 Försäkringskassan, Försäkringskassans kontrollarbete – kartläggning och förslag på fortsatt arbete, PM 2018:3, s. 31. 85 2 § 3 förordningen (2009:1174) med instruktion för Försäkringskassan. 86 För närvarande pågår ett lagstiftningsarbete avseende en översyn av dataskyddsregleringen för Försäkringskassan och Pensionsmyndigheten. Förslag har lämnats av regeringen i prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet. Lagändringarna föreslås träda i kraft den 15 februari 2024. 87 Se 114 kap. 7 § SFB.
ligare författningsstöd, utöver myndighetens materiella verksamhetsreglering, i form av t.ex. en ny ändamålsbestämmelse för att CSN ska kunna behandla personuppgifter för att testa nya system.88
Vidare bedömde regeringen att finalitetsprincipen skulle utgöra den yttersta ramen för behandling av personuppgifter i studiestödsverksamheten. Mot denna bakgrund infördes en bestämmelse som anger att personuppgifter som behandlas enligt ändamålsbestämmelserna i lagen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (4 a §). Ett syfte med detta var att ge CSN möjlighet att kunna använda personuppgifter för att ta fram s.k. prediktiva analyser för att motverka felaktiga utbetalningar.89
Utbetalningsmyndigheten
Den nya Utbetalningsmyndigheten ska inleda sin verksamhet den 1 januari 2024. Myndigheten ska förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Som ett led i detta ska myndigheten bl.a. göra dataanalyser och urval (1 och 2 §§ förordningen [2023:461] med instruktion för Utbetalningsmyndigheten).
I samband med att Utbetalningsmyndigheten inleder sin verksamhet träder lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten i kraft. I denna lag regleras bl.a. den personuppgiftsbehandling som myndigheten kommer utföra vid dataanalyser och urval. I 1 kap. 6 § första stycket föreskrivs att Utbetalningsmyndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att administrera ett system med transaktionskonto, och förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Vidare anges i lagen att personuppgifter som behandlas enligt 6 § även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för (1 kap. 8 §). Känsliga personuppgifter får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen (1 kap. 9 §).
88Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 19–21. 89Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 22.
Vidare finns vissa särskilda bestämmelser om sökbegränsningar, tillgång till personuppgifter och elektroniskt utlämnande av personuppgifter (1 kap. 10–12 §§).
I lagen anges även att för att göra dataanalyser och urval, i syfte att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, ska det vid Utbetalningsmyndigheten finnas en uppgiftssamling, benämnd uppgiftssamlingen för dataanalyser och urval (3 kap. 1 §). Endast de personuppgifter som behövs för att göra dataanalyser och urval får behandlas i uppgiftssamlingen. Personuppgifterna som behandlas för att göra dataanalyser och urval får inte behandlas någon annanstans än i uppgiftssamlingen (3 kap. 2 §). Sökning och annan behandling i uppgiftssamlingen för dataanalyser och urval ska genomföras med respekt för enskildas personliga integritet (3 kap. 3 §). Metoder för att ta fram urval och de sökbegrepp som används vid sökningar i uppgiftssamlingen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Utbetalningsmyndigheten ska regelbundet följa upp de sökningar som har gjorts i uppgiftssamlingen (3 kap. 4 §). Personuppgifter får som huvudregel inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen (4 kap. 1 §).
I 8 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten finns en särskild bestämmelse om vilka uppgifter som får behandlas i uppgiftssamlingen för dataanalyser och urval. Bestämmelsen har följande lydelse.
I uppgiftssamlingen för dataanalyser och urval får det behandlas uppgifter som omfattas av 3–7 §§ lagen (2023:456) om skyldighet att lämna uppgifter till Utbetalningsmyndigheten. I uppgiftssamlingen får det vidare behandlas uppgifter om
1. en fysisk persons identitet, medborgarskap, uppehållsrätt, bosättning, familjeförhållanden, adress och andra kontaktuppgifter samt uppgifter om ombud,
2. en juridisk persons identitet, säte, ägarförhållanden, firmatecknare och andra företrädare, kontaktpersoner samt kontaktuppgifter,
3. en utbetalning som avser en ekonomisk förmån, ett ekonomiskt stöd eller en återbetalning av ett överskott på skattekontot samt uppgifter om enskildas kontouppgifter,
4. företag och andra juridiska personer, företrädare och huvudmän som finns i Bolagsverkets register,
5. skulder hos Kronofogdemyndigheten för företag och andra juridiska personer samt deras företrädare,
6. fastigheter, byggnader och lagfarter från fastighetsregistret, och
7. urvalsträffar samt resultatet av en inledande eller en fördjupad granskning enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar. I uppgiftssamlingen får det även behandlas en uppgift av liknande slag som anges i första och andra styckena och som är nödvändig för myndighetens dataanalyser och urval.
I 7 § förordningen om behandling av personuppgifter vid Utbetalningsmyndigheten anges att Utbetalningsmyndigheten ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas i uppgiftssamlingen för dataanalyser och urval.
14.3.5. Utgör dataanalyser och urval ärendehandläggning eller faktiskt handlande?
Förvaltningslagen skiljer på myndigheters verksamhet som innefattar ärendehandläggning och annan förvaltningsverksamhet (jfr 1 § FL). Enligt förarbetena till förvaltningslagen är gränsen mellan vad som är ärendehandläggning och vad som är annan förvaltningsverksamhet, dvs. det som vanligen brukar betecknas faktiskt handlande, i många fall förhållandevis tydlig. En principiell skillnad mellan åtgärder av det ena och det andra slaget är att handläggningen av ett ärende avslutas med ett beslut av något slag, medan ett faktiskt handlande karaktäriseras av att myndigheten i praktiken vidtar en viss faktisk åtgärd. Åtgärder av typen köra spårvagn, hämta sopor och undervisa är exempel på faktiskt handlande som tydligt illustrerar denna form av förvaltningsverksamhet, medan debitering av biljettkostnad eller avfallsavgifter och betygssättning är exempel på verksamhet som innefattar handläggning av ett ärende.
I vissa fall kan det vara något svårare att avgöra om en åtgärd innefattar ärendehandläggning eller enbart ett faktiskt handlande. I gränszonen märks t.ex. åtgärder som kännetecknas av att de innebär ett ingripande som till synes inte föregåtts av någon handläggning och där det finns ett mycket nära tidsmässigt samband mellan myndighetsföreträdarens ställningstagande att ingripa och den faktiska åtgärden. Ett exempel som illustrerar en sådan situation är polismannens ingripande med våldsanvändning mot ordningsstörande verksamhet. En sådan åtgärd får vidtas bara om vissa rättsliga förutsättningar är
uppfyllda och det krävs därför ett aktivt ställningstagande, dvs. ett beslut av den myndighetsperson som handlar innan åtgärden vidtas.90
Myndigheternas användning av dataanalyser och urval som verktyg för kontroll innebär att de vidtar en åtgärd. Denna åtgärd innebär inte i sig att myndigheterna ingriper i enlighet med materiell verksamhetsreglering. Det är i stället åtgärder som myndigheterna vidtar för att välja ut vilka ärenden eller subjekt som särskilt ska kontrolleras.91 Användningen av verktygen förutsätter att uppgifter, däribland personuppgifter, behandlas. Innan personuppgifter behandlas gör myndigheterna visserligen en bedömning av om uppgifterna får behandlas. Personuppgiftsbehandlingen kräver nämligen att vissa rättsliga förutsättningar är uppfyllda. Användningen av dataanalyser och urval – och därmed den personuppgiftsbehandling som då kan komma att utföras – avslutas dock inte i sig med något beslut. Åtgärden måste inte heller avslutas med ett beslut. En annan sak är att utfallet av åtgärden, urvalsträffarna, kan innebära att myndigheten i nästa led initierar ett ärende. Verktygen kan därför beskrivas som att användningen av dem är ett hjälpmedel vid myndigheternas handläggning av ärenden.
Mot denna bakgrund är vi av uppfattningen att när myndigheterna utför dataanalyser och urval är det inte fråga om ärendehandläggning i förvaltningsrättslig mening. Det bör i stället anses utgöra det som brukar betecknas som faktiskt handlande.
14.4. Myndigheternas behov
14.4.1. Behovet av att använda dataanalyser och urval som verktyg för kontroll
Skatteverkets beskattningsverksamhet
Skatteverket har till utredningen uppgett att användningen av dataanalyser och urval effektiviserar kontrollverksamheten och därmed också den faktiska handläggningen av ärenden. Om analys- och urvalsverksamheten får bedrivas mer maskinellt än vad som är möjligt i dag anser myndigheten även att det är möjligt att arbeta mer enhetligt och ytterligare effektivisera processen. Möjligheten att utföra ut-
90Prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 23–24. 91 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 20.
ökade analyser och urval innebär också ett ökat stöd för verksamheten. Skatteverket kontrollerar alla deklarationer maskinellt men har inte resurser för att genomföra fördjupade kontroller i alla fall. Genom utökade dataanalyser och urval vill Skatteverket kunna styra kontrollerna mot de områden där de största riskerna för fel finns. Med andra ord har myndigheten ett behov av att välja ut ett antal deklarationer som innehåller en typ av risk.
Skatteverket har vidare uppgett att hela urvalsprocessen fram till att handläggningen av ett ärende tar vid inte är särskilt reglerad i dag. Frånvaron av särskild reglering av hur uppgifter får behandlas under en sådan process innebär enligt myndigheten att det är allmänna regler för myndighetens verksamhet som kan tillämpas, och den rättsliga grunden för behandlingen av personuppgifter utgörs huvudsakligen av kontrollbefogenheterna när det är fråga om urval för kontroll.
Skatteverkets informationshantering har enligt myndigheten förändrats avsevärt i förhållande till hur det såg ut vid införandet av skattedatabaslagen då bl.a. it-systemen var decentraliserade. Även mängden information som Skatteverket behandlar är väsentligen större i dag än vid skattedatabaslagens tillkomst. Skatteverket efterfrågar tydligare rättslig reglering för att ge bättre förutsättningar att utveckla analys- och urvalsverksamheten.
Skatteverket har uppgett att när uppgifter behandlas som i dag inte får ingå i beskattningsdatabasen, behöver behandlingen ske i enlighet med 1 kap. SdbL. För att det ska vara fråga om behandling utanför databasen, ska det vara fråga om tillfällig behandling och tillgången till uppgifterna måste vara begränsad så effekten inte blir att uppgifterna kan användas gemensamt i verksamheten. Uppgifterna kan alltså inte hanteras på samma sätt som uppgifter som får registreras i ett ärendehanteringssystem. Mot bakgrund av dagens befintliga it-stöd är logiken (gemensamt tillgängliga uppgifter) svår att tillämpa. Behovet är ibland att fler än ett fåtal personer kan arbeta med uppgifterna i en urvalsprocess, men det är mot bakgrund av databasregleringen tvingade att skära ned tillgången till uppgifterna för att uppgifterna inte ska anses vara gemensamt tillgängliga. Omständigheterna som förelåg vid tillkomsten av dagens reglering var att uppgifter som behandlades för urval fanns hos ett lokalt skattekontor i ett projekt och uppgifterna hämtades från ett centralt register. I dag är analys- och urvalsverksamheten mycket mer centraliserad och tekniskt integrerad.
Skatteverket har vidare uppgett att det i vissa fall är oklart om den nuvarande regleringen av behandling av personuppgifter kan utgöra ett tillräckligt stöd för mer omfattande analys- och urvalsarbete för kontroll. Visst rättsligt stöd finns enligt myndigheten i förordningen med instruktion för Skatteverket. Om behandlingen omfattas av regeringsformens skydd för den personliga integriteten i 2 kap. 6 § andra stycket RF krävs dock lagstöd. Vidare är det ett problem att en stor del av den nuvarande regleringen utgår från handläggning av ärenden och det är oklart i vilken utsträckning befintliga ändamålsbestämmelser ger stöd för sådan behandling som ligger utanför ett ärende. Mot denna bakgrund anser Skatteverket att det behövs ett förtydligande av den rättsliga grunden för behandlingen. Om myndigheten exempelvis utför mer omfattande prediktiva analyser kan det vara svårt att hitta rättsligt stöd för detta. Det hade enligt myndigheten underlättat med någon form av förtydligande reglering, t.ex. en ändamålsbestämmelse som samtidigt förtydligar den rättsliga grunden. Det skulle också göra det enklare att bedöma proportionaliteten i en åtgärd, t.ex. i fråga om den mängd uppgifter som får användas i förhållande till ett visst ändamål.
Av bestämmelsen om gallring i 1 kap. 8 § SdbL framgår i dag att uppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet har avslutats om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter skall gallras vid en annan tidpunkt eller att uppgifter ska bevaras. Det får enligt Skatteverket till följd att om uppgifter inte behandlas inom ramen för ett ärende finns ingen bestämmelse om gallring. Fråga uppstår då enligt myndigheten om avsikten över huvud taget har varit att det ska vara möjligt att hantera uppgifter utanför ett ärende.
Skatteverkets folkbokföringsverksamhet
Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Vissa fel kan få större samhällskonsekvenser än andra. I regleringsbrevet anges att Skatteverket ska prioritera de områden där risken för fel och fusk är
som störst, vilket innebär att myndigheten vill utföra kontroller där de ger störst effekt.
I dag har Skatteverket t.ex. långa handläggningstider inom folkbokföringsverksamheten avseende personer som flyttar till Sverige. När myndigheten använder sig av dataanalyser och urval kan de som har angett korrekta uppgifter identifieras snabbare och deras ärenden därmed handläggas snabbare, vilket bl.a. leder till kortare handläggningstider. Vidare kan samhällskostnaderna även minska då Skatteverkets analyser har visat att många personer som fått avslag senare återkommer med en ny anmälan om inflyttning till Sverige och då får bifall och blir folkbokförda.
Urval som verktyg ger Skatteverket möjligheter att identifiera folkbokföringsfelet på en strukturell nivå, bli mer proaktiva och förhindra fel innan de orsakar problem. Det ger dessutom myndigheten möjlighet att kunna samköra data för att hitta de största riskerna och få högre träffsäkerhet.
Skatteverket vill kunna använda information för att ta korrekta beslut om vilka åtgärder som ska vidtas för kontroll, utan att det är fråga om ärendehandläggning. Vidare finns det önskemål om att kunna arbeta datadrivet med nya tekniker, t.ex. artificiell intelligens, samt att kunna fatta datadrivna beslut om hur verksamheten kan styras och planeras på ett sätt som maximerar resursanvändandet.
Skatteverket har nyligen fått utökade möjligheter att göra dataanalyser och urval inom folkbokföringsverksamheten genom ändringar i bl.a. folkbokföringsdatabaslagen och folkbokföringsdatabasförordningen.
Tullverket
Tullverket har uppgett att myndigheten har ett behov av att kunna behandla uppgifter för att utföra riskanalyser i enlighet med myndighetens uppdrag. Tullverket utför framför allt kontroller vid gräns mot tredjeland (yttre gräns), men får även utföra kontroller vid gräns mot annat EU-land (inre gräns) av vissa särskilt angivna varor. Kontrollerna kan t.ex. ske i syfte att fastställa rätt uppbörd av tull och andra avgifter eller för att kontrollera efterlevnaden av bestämmelser om restriktioner som gäller för vissa varor. Vid yttre gräns får Tullverket utföra slumpmässiga kontroller, men som regel arbetar Tullverket
underrättelsebaserat och utför riskbaserade eller misstankebaserade kontroller vid samtliga gränsövergångar. Analys- och urvalsverksamheten syftar bl.a. till att identifiera juridiska eller fysiska personer som kan misstänkas för felaktigheter inom områdena uppbörd och restriktioner, till att identifiera organiserad brottslighet eller varusändningar innehållande felaktigheter som kan resultera i uppbördsbortfall eller restriktionsbrott.
I den nuvarande lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), finns en särskild bestämmelse om att Tullverket får behandla personuppgifter för analys- eller kontrollverksamhet.92 I författningen finns också reglerat att uppgifter som får behandlas för bl.a. analys- eller kontrollverksamhet även får behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för bl.a. revision och annan analys- eller kontrollverksamhet.93Motsvarande reglering finns även om uppgifterna behövs för att Tullverket ska kunna bekämpa brott. Tullverket bedömer att myndigheten har en tydlig rättslig grund för sin behandling genom den materiella tullagstiftningen. Vilka uppgifter som sedan behandlas måste bestämmas utifrån syftet med analysen, med en proportionalitetsbedömning och beaktande av allmänna principer.
Ett hinder mot genomförande av analyser är enligt Tullverket den nuvarande utformningen av sökbegränsningar samt om behandling av uppgifter om vissa lagöverträdelser i tulldatabaslagen. Det är ofta svårt för myndigheten att förhålla sig till regleringen om tillåtna sökbegrepp samtidigt som analyser måste kunna ske utifrån samtliga uppgifter som anges i exempelvis en deklaration. Bestämmelserna försvårar arbetet med riskanalyser och hindrar möjligheten att kartlägga mönster och tillvägagångssätt som använts för att hitta andra risker, fel och överträdelser. Sökförbud i lagen kan också innebära att likabehandlingsprincipen sätts ur spel. Nuvarande bestämmelse om sökbegränsningar hindrar vissa riskanalyser som förutsätter jämförelser och sökningar utifrån alla tillgängliga uppgifter. Bara en tulldeklaration kan innehålla avsevärt många fler uppgifter än de tillåtna sökbegreppen, såsom uppgifter om berörda aktörer, varor, färdmedel och färdvägar m.m. I vissa fall kan sådana uppgifter utgöra känsliga personuppgifter. Tullverket anser att myndigheten borde få använda
92 1 kap. 4 § 2 TDL. 93 1 kap. 5 § 1 b TDL.
samtliga tillgängliga uppgifter som lämnats i en tulldeklaration för sina riskanalyser. Den nuvarande databasregleringen kan också hindra myndighetens behov av att arbeta med analys- och urvalsverksamhet till följd av uppgifter som får göras gemensamt tillgängliga eller inte.
Tullverket anser också att det finns behov av en tydlig rättslig grund för att myndigheten ska kunna utveckla mer avancerade analysverktyg baserade på artificiell intelligens. För sådana analyser är det enligt myndigheten även oklart vilka uppgifter som får behandlas och hur de får behandlas. Sådana mer avancerade verktyg skulle enligt myndigheten öka möjligheterna att göra mer träffsäkra urval. För att Tullverket ska kunna bibehålla effektiviteten i ett ständigt ökande informationsflöde anser myndigheten att möjlighet att använda artificiell intelligens som stöd vid sökning och filtrering av information behövs. Till exempel skulle en urvalsmodell utvecklad med hjälp av maskininlärning kunna hitta avvikande deklarationer genom att upptäcka mönster som myndigheten inte tidigare har sett. För att utveckla en sådan modell behöver systemet dock tränas på en stor mängd deklarationer för att generera godtagbara resultat.
Tullverket har också uppgett att det inom analysverksamheten finns ett stort behov av samverkan och uppgiftsutbyte med andra nationella myndigheter.
För att Tullverket ska kunna fullgöra sitt uppdrag på ett effektivt sätt behöver tulldatabaslagen enligt myndigheten anpassas till de förändringar i rättsakter som reglerar Tullverkets uppdrag, digitalisering, teknisk utveckling och samhället i övrigt som skett sedan lagen kom till. Den nya regleringen behöver även utformas så att den skapar förutsättningar för Tullverkets verksamhet att möta ytterligare förändringar framöver.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att det finns goda förutsättningar för att effektivisera myndighetens verksamhet med analyser och urval samt att det är viktigt att lagstiftningen är tydlig i detta avseende.
Kronofogdemyndigheten har enligt myndigheten ett behov av att inom kärnverksamheten kunna titta på vilka samband det finns mellan olika personer. Det kan t.ex. handla om uppgifter om vilka bolag en person ingår i eller på vilka adresser personer bor. En urvalsmodell som
utvecklats med hjälp av artificiell intelligens skulle kunna upptäcka samband som är svåra att identifiera vid manuella kontroller. En tydligare möjlighet att behandla personuppgifter utanför ärendehandläggning kan enligt Kronofogdemyndigheten förbättra resultaten avsevärt. Generellt anser myndigheten att användningen av dataanalyser och urval kan leda till mycket träffsäkrare analyser i verksamheten. Det kan bl.a. effektivisera uppföljningen i handläggningen av ärenden genom att identifiera avvikelser som kan bero på tekniska eller mänskliga fel, oavsiktliga eller avsiktliga. Till exempel kan felaktiga utbetalningar eller ansökningar identifieras.
Kronofogdemyndigheten vill ha möjlighet att kunna använda analysverktyg inom verksamheten för att t.ex. kunna prioritera ärenden eller analysera olika typer av samband för att hitta ärenden som innefattar olika risker, och sedan återföra resultatet till den operativa verksamheten. Som regleringen i lagen (2001:184) om behandling av personuppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), med tillhörande förordning (2001:590)94ser ut i dag bedömer myndigheten att det inte är möjligt att dela alla uppgifter de skulle vilja mellan de olika databaserna utan att göra en finalitetsprövning i varje sådant fall, vilket tar tid. En registerförfattning som innehåller detaljerade bestämmelser om vilka uppgifter som får användas kan vidare skapa problem i framtiden för denna typ av analysverksamhet.
Kronofogdemyndigheten har bl.a. till uppgift att förebygga och motverka ekonomisk brottslighet. Myndigheten ska också delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.95 Det finns önskemål om att Kronofogdemyndigheten i högre utsträckning ska arbeta med dataanalyser och urval och andra tekniska verktyg för att på ett mer effektivt sätt t.ex. identifiera de bolag som det finns anledning att utreda eller kontrollera närmare. Genom maskinella analyser av data kan olika parametrar och mönster hittas som typiskt sett medför ökad risk för felaktigheter och oegentligheter. Utifrån sådana identifierade mönster, eller riskindikatorer, skulle urvalsmodeller kunna utformas för att upptäcka företeelser som t.ex. tyder på undandragande av tillgångar och som det därför kan finnas anledning att utreda eller kontrollera närmare. Det kan också användas för att identifiera företag med s.k. riskbeteenden
94 Härefter kronofogdedatabasförordningen, även förkortad KFMdbF. 95 4 § förordningen med instruktion för Kronofogdemyndigheten.
vilket skulle kunna vara effektivt i arbetet med att förebygga och motverka ekonomisk brottslighet.
Inom verksamheten med verkställighet vill Kronofogdemyndigheten kunna använda analysverktyg för att bedöma vilka utredningsåtgärder som är lämpliga i olika situationer, givet framtagna kriterier i kombination med registeruppgifter om en gäldenärs tillgångssituation. Med förfinade urvalsmetoder bedömer Kronofogdemyndigheten att den kommer att kunna bedriva effektivare utredningsarbete och få bättre träffsäkerhet i syfte att hitta och utmäta fler tillgångar så att fler borgenärer får mer betalt och fler gäldenärer minskar sina skulder.
Vidare är det enligt Kronofogdemyndigheten i dag ett förekommande problem att det skickas in ansökningar om betalningsföreläggande mot personer som befinner sig i utsatta situationer och som inte förväntas agera i ärendet, exempelvis avseende fordringar som redan omfattas av en pågående skuldsanering. Ett betalningsföreläggande leder automatiskt till ett utslag om det inte bestrids. Den som ansökt om betalningsföreläggandet kan sedan begära verkställighet och företeelsen upptäcks av myndigheten först när utslaget redan är lagakraftvunnet. Myndigheten ser att sådana ageranden skulle kunna upptäckas med hjälp av dataanalyser och urval.
Ytterligare uppdrag som Kronofogdemyndigheten har är tillsyn i konkurs och tillsyn över rekonstruktörer.96 Myndigheten har identifierat minst två områden inom tillsynsverksamheten där det kan finnas behov av dataanalyser, nämligen tillsyn över konkursförvaltares och rekonstruktörers arbete med lönegaranti samt arvodeshantering.
Det är konstaterat att det sker relativt omfattande lönegarantibedrägerier.97 En förklaring till detta som har anförts är brister i eller avsaknad av erforderlig kontroll.98 Inom ramen för sitt tillsynsuppdrag granskar Kronofogdemyndigheten lönegarantibeslut genom stickprovskontroller. Det fattas varje år omkring 100 000 beslut om lönegaranti vilket innebär att myndigheten inte kan göra ingående
96 1 § förordningen med instruktion för Kronofogdemyndigheten. 97 Riksrevisionen har granskat den statliga lönegarantin bedömer sammantaget att 6–9 procent av det utbetalade beloppet i konkurser är felaktigt, vilket motsvarar 100–150 miljoner kr per år, Riksrevisionens granskningsrapport, se Den statliga lönegarantin – förekomst av missbruk och myndigheternas kontrollarbete, RIR 2022:4, 2022-02-22. Skatteverket har på regeringens uppdrag lämnat in en promemoria benämnd ”Lönegaranti” som har remitterats, se https://www.regeringen.se/remisser/2022/09/remiss-av-skatteverkets-promemorialonegaranti/ [hämtad 2023-09-27]. 98 Regionala underrättelsecentret Stockholm, Strategisk rapport: Samhällshotande bedrägerier mot den statliga lönegarantin, dnr 8-502468, 202010-29.
granskningar av samtliga beslut. Mot bakgrund av att lönegarantisystemet är omfattande och att det är känt att det inom detta område förekommer missbruk av systemet, ser Kronofogdemyndigheten att dataanalyser och urval kan bidra till en effektivare kontrollverksamhet inom detta område. Myndigheten har även uppgett att samkörning av vissa uppgifter skulle kunna underlätta arbetet. Myndigheten vill på ett effektivt sätt t.ex. ha möjlighet att identifiera de fall där en person beviljats lönegaranti för en period samtidigt som personen har haft en annan heltidsinkomst under samma period.
Arvodet till förvaltare i konkurser bestäms av rätten och rätten inhämtar yttrande i arvodesfrågan från Kronofogdemyndigheten innan arvodesframställningen prövas.99 Under senare tid har det enligt Kronofogdemyndigheten skett en kraftig ökning av andelen ärenden där myndigheten har synpunkter på arvodet. Myndigheten har uppgett att den bedömer att en arvodesframställning innefattar oskäligt högt arvode i ungefär 5 procent av fallen. I denna verksamhet har Kronofogdemyndigheten identifierat att det finns en utmaning i att se till att lika fall bedöms lika samt att det finns utrymme för att effektivisera arbetet. En arbetsredogörelse som ligger till grund för beräkningen i arvodesfrågan är mycket omfattande i jämförelse med andra domstolsmål vilket innebär att det är en tidskrävande uppgift för myndigheten. Mot denna bakgrund bedömer Kronofogdemyndigheten att dataanalyser skulle kunna effektivisera arbetet. Exempelvis hade myndigheten kunnat analysera en stor mängd arvodesräkningar och ta fram någon form av normalarvode, eller riktarvode, för varje enskild åtgärd, förvaltarberättelse, inledande åtgärder m.m., klassificerat utifrån andra parametrar såsom hur omfattande en viss konkurs är. Om det är möjligt att identifiera ett sådant normalarvode kan det underlätta för att få signaler om en viss arvodesräkning avviker från detta. Det krävs en handläggare för att fastställa om ett arvode är oskäligt högt, men med hjälp av dataanalys och urval skulle myndigheten på ett mer effektivt sätt kunna identifiera de ärenden som behöver granskas närmare.
9914 kap.4 och 8 §§konkurslagen.
14.4.2. Uppgifter myndigheterna behöver behandla för att göra dataanalyser och urval
Utredningens kartläggning
Utredningen har haft omfattande kontakt med Skatteverket, Tullverket och Kronofogdemyndigheten för att kartlägga vilken information som behövs för att göra adekvata dataanalyser och urval. Utifrån den information vi har fått går det inte att på ett detaljerat och uttömmande sätt redogöra för vilka uppgifter som respektive myndighet behöver. Myndigheterna har på ett generellt plan uppgett att det är mycket svårt att i förväg svara på vilka uppgifter som behövs eftersom det i så hög grad beror på ändamålet med respektive analys- och urvalsprojekt, dvs. vad som ska uppnås i det enskilda fallet. Vilka uppgifter som är nödvändiga att behandla förändras även över tid i takt med att ny lagstiftning införs.
Det har också kommit fram att det som t.ex. inom Skatteverkets beskattningsverksamhet beskrivits hindra utförandet av dataanalyser och urval utan koppling till ärendehandläggning inte främst rör vilken information myndigheten har tillgång till. Det handlar i stället framför allt om det rättsliga stödet för behandlingen när det inte avser ärendehandläggning samt de oklarheter som finns avseende hur omfattande personuppgiftsbehandling som får ske vid användning av sådana verktyg, bl.a. mot bakgrund av skyddet i 2 kap. 6 § andra stycket RF.
Skatteverkets beskattningsverksamhet
Den information som i dag används vid dataanalyser och urval inom Skatteverkets beskattningsverksamhet kommer bl.a. från Skatteverkets olika verksamhetssystem, Bolagsverket, Transportstyrelsen, tredje man m.m. De uppgifter som används tillgängliggörs centralt i ett s.k. informationslager. Omfattande analyser sker enligt myndigheten både i och utanför beskattningsdatabasen.
Skatteverket har till utredningen uppgett att det generellt är svårt att på förhand bestämma vilka typer av uppgifter som det kan finnas behov av att använda vid dataanalyser och urval. Vilka uppgifter som behövs beror bl.a. på syftet med ett visst analys- och urvalsprojekt och på vilken typ av metod för urval som används. För att få ett korrekt och träffsäkert resultat behöver den data som används vid t.ex.
träning av en urvalsmodell även avspegla verkligheten på ett så nära sätt som möjligt samt vara relevant för vad som ska uppnås genom analyserna och urvalen.
Skatteverket har vidare uppgett att den nuvarande detaljregleringen i skattedatabaslagen av vilka uppgifter som får behandlas i beskattningsdatabasen upplevs som föråldrad i sammanhanget. Den har sitt ursprung i en tidigare registerlagstiftning då i princip enbart uppgifter från deklarationer och kontrolluppgifter fick behandlas. Skatteverket anser att myndigheten själv bör få avgöra vilka uppgifter som är nödvändiga att behandla för ett visst ändamål, även vid dataanalyser och urval, med utgångspunkt i principerna för behandling av personuppgifter och den materiella verksamhetsregleringen.
I dag finns vissa bestämmelser i skattedatabaslagen som innebär att uppgifter endast får behandlas i beskattningsdatabasen om det behövs för handläggningen av ett ärende. Sådana uppgifter kan enligt Skatteverket inte behandlas utanför ärendehandläggningen, t.ex. för att initiera ett kontrollärende. Det är först när det är fråga om planerad, beslutad, pågående eller avslutad revision och annan kontroll av skatter, avgifter och stöd som sådana uppgifter får utgöra en del av beskattningsdatabasen (jfr 2 § första stycket 2 förordningen [2001:588] om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen [SdbF]). Innan dess måste uppgifterna hanteras på ett sätt som gör att de inte betraktas som gemensamt tillgängliga, vilket enligt Skatteverket är ett betydande hinder för hur de får hanteras i en automatiserad miljö.
Skatteverket vill kunna behandla alla de uppgifter som i dag får behandlas för ärendehandläggning även för dataanalyser och urval i kontrollverksamheten. Sådana uppgifter behöver enligt myndigheten kunna användas i t.ex. jämförelsesyfte för att upptäcka om det finns motsägelser och för att kunna utreda felaktigheter.
Skatteverket har även uppgett att det finns ett behov av att kunna behandla känsliga personuppgifter och personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott (härefter uppgifter om lagöverträdelser) när uppgifterna är hänförliga till en omständighet som är relevant för myndighetens uppdrag. Ett exempel är uppgifter om avgiftsskyldighet till ett registrerat trossamfund och medlemskap i fackförening. Behovet av att kunna behandla känsliga personuppgifter vid dataanalyser och urval är alltså kopplat till om dessa uppgifter har någon materiell betydelse för tillämpningen av
den reglering som styr verksamheterna som faller inom ramen för SdbL. Det finns också ett behov av att kunna behandla känsliga personuppgifter vid dataanalyser och urval för att kunna utvärdera om en framtagen modell ger ett skevt resultat. Sådana utvärderingar kan också behöva göras innan en modell faktiskt tillämpas. En konsekvens kan annars enligt myndigheten bli att det finns en påtaglig risk att modellen diskriminerar vissa grupper. Det behövs vidare en möjlighet för Skatteverket att kunna behandla uppgifter om administrativa sanktioner, såsom skattetillägg.
Skatteverkets folkbokföringsverksamhet
Som nämns i avsnitt 14.3.3 ovan har Skatteverket genom vissa lagändringar nyligen fått utökade möjligheter att göra dataanalyser och urval inom folkbokföringsverksamheten. Behoven av ny reglering för att kunna behandla personuppgifter i syfte att göra dataanalyser och urval för kontroll är därför inte lika stora inom Skatteverkets folkbokföringsverksamhet som i övriga verksamheter. Med anledning av vårt förslag till en ny lag om dataskydd inom folkbokföringsverksamheten bör vissa av de behov Skatteverket har redogjort för till utredningen ändå redovisas. Det finns också skäl att redogöra för de delar där Skatteverket anser att det finns behov av ändringar utöver de utökade möjligheter som myndigheten redan har fått.
Skatteverket har uppgett att en allt för detaljerad beskrivning av vilka uppgifter som kan användas för analys och urval skulle riskera att leda till att myndigheten inte kan förbättra urvalen, vilket i sin tur leder till sämre förutsättningar för proportionerliga åtgärder. Att på förhand veta vilken information som krävs är enligt myndigheten svårt, och till en början kommer folkbokföringsverksamheten i stor utsträckning att förlita sig på beprövad erfarenhet. Utgångspunkten är dock att alla uppgifter som har koppling till det materiella uppdraget är av betydelse.
Skatteverket har vidare uppgett att myndigheten behöver kunna behandla alla uppgifter som i dag får behandlas för handläggning av ärenden eller för kontroll av uppgifter i folkbokföringsdatabasen även för att göra dataanalyser och urval. Urvalsmöjligheter behövs såväl när det finns ett folkbokföringsärende som när det inte finns ett ärende. Uppgifterna behövs av de skäl som framgår av betänkandet
SOU 2021:57. I grunden kan folkbokföringsverksamheten givet de ändrade uppgiftsskyldigheterna100 hämta in mycket information som kan ge stor effekt.
Vidare har Skatteverket uppgett att de personkretsar som folkbokföringsverksamheten i dag får behandla uppgifter om bör utvidgas på ett sätt som innebär att uppgifter om personer får behandlas för att göra dataanalyser och urval om det behövs inom verksamheten. Skatteverket vill för att göra dataanalyser och urval kunna behandla personuppgifter även om personer som aldrig har varit folkbokförda redan innan ett eventuellt förvaltningsrättsligt ärende startas för att kunna förebygga fel på ett effektivt sätt. Det kan t.ex. röra sig om uppgifter om icke-folkbokförda personer som är familjemedlemmar till folkbokförda personer.
Därutöver har Skatteverket uppgett att det finns ett behov av att även kunna använda vissa känsliga personuppgifter vid dataanalyser och urval, vilket inte är möjligt i dag. Vissa sådana kategorier av uppgifter är enligt myndigheten av direkt materiell betydelse, och därmed av betydelse även för dataanalyser och urval. Ett exempel är uppgifter om fysiska personers hälsa vid bedömning av uppehållsrätt (4 § FOL och 3 a kap. 2 § 4 utlänningslagen [2005:716]). Därtill finns det ett behov av att kunna behandla biometriska uppgifter för att utföra analyser i syfte att upptäcka försök till att erhålla multipla identiteter. Skatteverket har vidare uppgett att om känsliga personuppgifter som är nödvändiga för ändamålet inte får behandlas blir analysunderlaget inte komplett eller tillförlitligt. Det skulle också innebära att uppgifter som lämnas i fritext inte kan användas för att göra dataanalyser och urval eftersom det inte är möjligt att skilja ut sådana uppgifter som lämnats i fritext.
Tullverket
Som tidigare nämnts i avsnitt 14.4.1 anser Tullverket att det i den befintliga materiella regleringen redan finns stöd för analys- och urvalsverksamheten som sådan. När det gäller vilka uppgifter myndigheten använder i sådan verksamhet rör det sig om flera olika typer av uppgifter från Tullverkets verksamhet som inte utgör brottsbekämpande verksamhet. Det handlar t.ex. om information om olika aktörer vid
100 Se bl.a. 12–15 §§ FOF och 7 kap. 15 b § utlänningsförordningen (2006:97).
import eller export, uppgifter om varor eller uppgifter kopplade till tullproceduren eller deklarationsförfarandet. Uppgifterna kombineras och analyseras för att identifiera objekt där risken för undandragen uppbörd eller brott mot restriktioner föreligger. Det rör sig alltså om samtliga uppgifter som har samlats in, men också komplettering i form av uppgifter från externa källor såsom internet, andra myndigheter eller Tullverkets verksamhet inom brottsdatalagens tillämpningsområde.
Tullverket vill fortsatt kunna behandla alla de uppgifter som i dag får behandlas inom tulldatabasen samt inom ramen för ett ärende för dataanalyser och urval. Myndigheten bedömer att samtliga uppgifter behövs för att bedriva analysverksamheten och att det inte är möjligt att förutse vilka uppgifter som kan komma att behövas i framtiden. Det beror bl.a. på att handelsmönster skiftar och att nya tillvägagångssätt, företeelser och restriktionsområden tillkommer. Det bör enligt myndigheten vara principerna om proportionalitet och uppgiftsminimering som ska styra vilka uppgifter som får användas.
I dag får uppgifter behandlas i tulldatabasen om personer som omfattas av verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, övervakning, revision och annan analys- eller kontrollverksamhet och fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter om andra personer får endast behandlas om det behövs för handläggningen av ett ärende, vilket enligt myndigheten är begränsande (2 kap. 2 § och 1 kap. 4 § 1–3 TDL). Motsvarande begränsning finns inte i fråga om uppgifter som inte har gjorts gemensamt tillgängliga, dvs. uppgifter i främst visst underrättelse- och analysarbete.
Tullverket har vidare uppgett att det fortsättningsvis finns ett behov av att behandla sådan information som anges i 2 kap. 4 § TDL även för analyser och urval, dvs. handlingar som kommit in i eller upprättats i ett ärende, då alla uppgifter som får behandlas i ett ärende är intressanta för analyser och urval.
Även när det gäller uppgifter som i dag får hämtas in från andra myndigheter har Tullverket fortsättningsvis ett behov av att också kunna behandla dessa för analys och urval i de fall det är lämpligt och rättsligt möjligt utifrån den materiella regleringen. Det finns också ett behov av att fortsatt kunna behandla uppgifter från gemensamma EU-system för dataanalyser och urval. Tullverket utbyter i dag information med EU och dess medlemsländer i en rad olika system och
för en mängd olika syften. Dessa utbyten bidrar till att viktig riskinformation delges Tullverket som möjliggör effektiva kontroller.
Även Tullverket har uppgett att myndigheten har ett behov av att kunna behandla känsliga personuppgifter vid dataanalyser och urval. Enligt myndigheten varierar omfattningen av behovet, men sett till den totala andelen uppgifter som Tullverket behandlar är det en obetydlig mängd känsliga uppgifter som behöver behandlas. I dagsläget behandlar Tullverket sådana uppgifter främst i syfte att skydda EUmedborgarnas liv och hälsa genom att motverka terrorism eller annan författningshotande verksamhet. Enligt Tullverket skulle varukoder vid e-handel som utförs av fysiska personer kunna avslöja något om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, hälsa, sexualliv eller sexuell läggning och därmed utgöra känsliga personuppgifter. Exempelvis kan uppgifter om hälsa avslöjas om en person som inhandlat läkemedel för en viss sjukdom.
För det fall känsliga personuppgifter inte skulle få behandlas bedömer Tullverket att myndigheten inte kan uppfylla de skyldigheter som åligger den. Myndigheten har uppgett att om den t.ex. ska kontrollera att inte potentiellt farliga läkemedel importeras behöver sökningar och analyser på uppgifter utifrån läkemedel och de inblandade aktörerna göras. Sådana uppgifter kan avslöja något om en fysisk persons hälsa och därmed utgöra känsliga personuppgifter i de fall importen görs av en fysisk person. Utan uppgiften om läkemedel går det enligt myndigheten inte att göra en analys eftersom varan är utgångspunkten i analysen. Om nödvändiga känsliga personuppgifter inte får användas anser Tullverket vidare att myndigheten inte kan uppfylla skyldigheten att skydda medborgarnas hälsa och liv, bl.a. genom att motverka terrorism. Detta eftersom vissa personers hälsa och liv kan vara hotade på grund av etnisk, religiös, politisk eller facklig tillhörighet. För att kunna analysera och göra urval av försändelser till sådana mottagare är det i vissa fall nödvändigt att behandla sådana kategorier av känsliga personuppgifter kopplade till mottagare. Exempelvis kan flödet av varor till ett religiöst eller politiskt samfund analyseras för att se vad som är en normal försändelse och därigenom hitta försändelser som avviker. Om inte Tullverket kan behandla sådana uppgifter om företrädarna när det är nödvändigt går det enligt myndigheten inte att göra sådana analyser. Det ökar risken för att t.ex. människor kommer till skada.
Tullverket har vidare uppgett att dagens reglering av behandling av känsliga personuppgifter i 1 kap. 7 § och 2 kap. 4 § TDL kan utgöra ett hinder när myndigheten utför behandling som inte har koppling till ett ärende, som t.ex. vid dataanalyser och urval. Det beror dock enligt myndigheten på hur vitt begreppet ärende tolkas.
Kronofogdemyndigheten
I dag behandlar Kronofogdemyndigheten inte andra uppgifter för analys och urval än de uppgifter som redan behandlas i de befintliga databaserna. Kronofogdemyndigheten har uppgett att myndigheten har ett behov av att kunna behandla alla de uppgifter som i dag får behandlas inom databaserna även för dataanalyser och urval. För att hitta relevanta avvikelser och samband som leder till ett träffsäkert urval av t.ex. företag som används som brottsverktyg, grupper av personer som är på väg in i överskuldsättning eller bedrägliga ansökningar om betalningsförelägganden är det enligt myndigheten svårt att begränsa behandlingen till en viss typ av uppgifter. Vid träning och validering av AI-modeller som ska kunna användas för att förutse samband eller hitta kopplingar mellan personer och egendom krävs en stor mängd historiska data, som överensstämmer med det som modellen är avsedd att användas till. Kronofogdemyndigheten har i projekt försökt använda syntetiska data, men utan användbara resultat. Myndigheten arbetar alltid aktivt med dataskyddsförordningens principer om uppgiftsminimering och lagringsminimering, liksom tekniska och organisatoriska säkerhetsåtgärder. Myndigheten har uppgett att utmaningen generellt ligger i att begränsa mängden personuppgifter som ska behandlas och tillgången till dessa.
Myndigheten har även uppgett att begränsningen av personkrets i den nu gällande kronofogdedatabaslagen utgör ett hinder mot analysverksamhet. Exempelvis kan uppgifter om fysiska personer som inte omfattas av grundverksamheten användas vid tillgångsutredningar för att hitta tillgångar som har överförts till andra i syfte att undandra egendomen från utmätning. Sådana uppgifter kan också användas för att identifiera bedrägerier med lönegarantin, t.ex. målvakter som används i flera konkurser. Här kan även databasregleringen vara hindrande. Det kan alltså finnas behov av att behandla uppgifter om
personer som inte omfattas av kärnverksamheten trots att uppgifterna inte behövs för handläggningen av ett specifikt mål.
Vidare ser myndigheten ett behov av att kunna använda uppgifter som får inhämtas från andra myndigheter även för dataanalyser och urval. Det handlar t.ex. om uppgifter från Bolagsverket gällande status för bolag och huvudmän, uppgifter från Skatteverket om folkbokföring och inkomstkälla samt uppgifter från Lantmäteriet om fastigheter. Det finns även ett behov av att kunna hämta in vissa uppgifter från andra myndigheter enbart för att använda vid dataanalyser och urval för kontrolländamål. Det rör sig t.ex. om uppgifter som myndigheten har tillgång till om de behövs inom ärendehandläggning men som inte rent faktiskt har behandlats inom ärendehandläggningen. Myndigheten har i dagsläget inte något behov av att kunna behandla uppgifter som finns i gemensamma EU-system eller liknande internationella samarbeten, men det kan inte uteslutas att ett sådant behov kan uppstå i framtiden.
Även Kronofogdemyndigheten har uppgett att det vid vissa dataanalyser och urval kan finnas ett behov av att behandla känsliga personuppgifter, även om det inte rör sig om ett stort behov. Det kan t.ex. handla om uppgifter om hälsa, såsom utbetalningar av ersättning kopplade till sjukdom vid analyser inom verksamheten med motverkande av överskuldsättning. Kronofogdemyndigheten har vidare uppgett att tillgången till data för dataanalyser inte bör begränsas utifrån om det handlar om känsliga personuppgifter eller inte. En sådan begränsning skulle enligt Kronofogdemyndigheten leda till en nedsatt förmåga att förse verksamheten med relevanta analyser eftersom analysunderlaget i sådana fall skulle baseras på annan data än den som finns tillgänglig i verksamheten.
14.5. Nuvarande möjligheter att behandla personuppgifter för att göra dataanalyser och urval
Vår bedömning: Den nuvarande regleringen innebär i vissa fall
oklarheter i fråga om i vilken utsträckning dataanalyser och urval kan användas som verktyg i myndigheternas kontrollverksamheter. Regleringen kan även vara ett hinder för en effektiv användning av sådana verktyg för att göra mer övergripande analyser och urval.
Skälen för vår bedömning
Inledande anmärkningar
Som framgår av avsnitt 14.3.3 använder Skatteverket, Tullverket och Kronofogdemyndigheten redan, i varierande utsträckning, dataanalyser och urval som verktyg i kontrollverksamhet. I dag finns det dock begränsningar i hur myndigheterna kan behandla personuppgifter för kontrolländamål. Begränsningarna ser olika ut till följd av utformningen av de nuvarande registerförfattningarna samt den materiella verksamhetsregleringen. I avsnitt 3.2.8 finns generella redogörelser för hur regleringen av de respektive myndigheternas personuppgiftsbehandling ser ut i de nuvarande registerförfattningarna.
Skatteverkets, Tullverkets och Kronofogdemyndighetens uppfattningar om de nuvarande registerförfattningarnas utformning i förhållande till möjligheterna att använda dataanalyser och urval redogörs för i avsnitt 14.4 ovan.
Ändamålsbestämmelser
Det kan konstateras att de primära ändamål som finns i de gällande registerlagarna är direkt anpassade till den verksamhet som bedrivs av myndigheterna och utgör den yttersta ram inom vilken personuppgifter får behandlas i den egna verksamheten. Ändamålsbestämmelserna omfattar all behandling som utförs inom ramen för registerlagarna. Det innebär att ändamålsbestämmelserna styr för vilka syften
behandling får ske såväl utanför databaserna som inom dessa.101 Bland de uppräknade primära ändamålen finns bestämmelser som uttryckligen anger att behandling får ske om det behövs för handläggning av mål eller ärenden. Vidare finns det ändamålsbestämmelser som inte uttryckligen anger att behandling får ske om det behövs för handläggning av ärenden, men som avser sådan verksamhet. Dataanalyser och urval sker dock utanför ärendehandläggningen, även om det kan vara en integrerad del av t.ex. ett verksamhetsstöd för ärendehandläggning. Frågan är vilket stöd som finns för att myndigheterna ska kunna behandla personuppgifter för kontrolländamål i vidare bemärkelse än i ärendehandläggning.
Samtliga myndigheter har en möjlighet att behandla uppgifter för tillsyn, kontroll, uppföljning och planering av verksamheterna.102 Utifrån förarbetsuttalanden ger dessa bestämmelser dock enbart stöd för behandling av uppgifter som görs för intern kontroll och tillsyn över myndigheternas egna verksamheter.103 Det finns för Skatteverkets beskattningsverksamhet även ett särskilt ändamål som innebär att uppgifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för revision och annan analys- eller kontrollverksamhet.104 En liknande ändamålsbestämmelse finns för Tullverket.105 Som redan nämnts finns nu även en särskild ändamålsbestämmelse för dataanalyser och urval i kontrollverksamhet för Skatteverkets folkbokföringsverksamhet.106
I förarbetena som rör Skatteverkets behandling av uppgifter i beskattningsverksamheten uttalade regeringen att de dåvarande skattemyndigheterna som en förberedande åtgärd inför revisioner eller andra kontroller tog fram olika riskprofiler med hjälp av dataprogram, dvs. analyser av vilka skattesubjekt som skulle granskas. Regeringen angav även att skattemyndigheterna hade en skyldighet att utföra kontroller som kanske endast utmynnade i påpekanden om att exempelvis ett företag sannolikt skulle komma att anses som arbetsgivare med åtföljande skyldighet att betala preliminär skatt och arbetsgivaravgifter. Det förutsattes även att skattemyndigheterna måste behandla
101Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99–100. 102 1 kap. 4 § 10 SdbL, 1 kap. 4 § 7 FdbL, 1 kap. 4 § 4 TDL samt 2 kap. 2 § 7, 2 kap. 8 § 4, 2 kap. 14 § 4 och 2 kap. 20 § 3 KFMdbL. 103 Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124, 140, 159 och 177. 104 1 kap. 4 § 4 SdbL. 105 1 kap. 4 § 2 TDL. 106 1 kap. 4 a § FdbL.
uppgifter för kontroll av personer eller företag som inte var registrerade hos myndigheterna trots att de möjligen borde betala skatter eller avgifter.107 Mot denna bakgrund, samt genom den nya ändamålsbestämmelsen för folkbokföringsverksamheten, bedömer vi att de ändamål som i dag föreskrivs i 1 kap. 4 § SdbL och 1 kap. 4 a § FdbL redan tillåter att Skatteverket behandlar uppgifter för att tillhandahålla information som behövs för analys- och kontrolländamål. Eftersom ändamålsregleringen har sin utgångspunkt i den materiella verksamhetsregleringen och inte enskilt utgör rättslig grund för den behandling som är nödvändig, och den materiella verksamhetsregleringen har en stark koppling till ärendehandläggning, kan det dock ändå uppkomma situationer då det är oklart i vilken mån dataanalyser och urval får användas i syfte att förebygga fel, dvs. innan det finns ett ärende.
Avseende ändamålet som reglerar behandling för analys- eller kontrollverksamhet för Tullverket finns inga särskilda förarbetsuttalanden som exemplifierar användningen av analys för olika kontroller. Den aktuella ändamålsbestämmelsen fördes endast över från den tidigare tullregisterlagen (1990:137) med vissa redaktionella ändringar.108I tullregisterlagen angavs inte analys i ändamålsbestämmelsen om myndighetens kontrolluppgifter. Det kan dock konstateras att utformningen av 1 kap. 4 § TDL redan i dag tillåter att Tullverket får behandla uppgifter för att tillhandahålla information som behövs för analys- eller kontrollverksamhet. I likhet med vad som anförs ovan om Skatteverket kan det dock också för Tullverket tänkas uppstå situationer då det är oklart i vilken utsträckning personuppgifter får behandlas för att göra analyser och urval utan koppling till ett ärende, bl.a. till följd av den materiella verksamhetsregleringens utformning. Kopplingen till ärendehandläggning är dock inte lika stark i Tullverkets materiella verksamhetsreglering.
Kronofogdemyndighetens registerlag innehåller inget särskilt ändamål om analys- och kontrollverksamhet eller liknande. Myndigheten har dock när det gäller behandling av uppgifter i alla fyra databaser ett ändamål som anger att Kronofogdemyndigheten får behandla uppgifter i databaserna för att tillhandahålla uppgifter som behövs för förebyggande av överskuldsättning. Enligt förarbetena riktar myndighetens förebyggande verksamhet in sig på att försöka identifiera
107Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 108Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
skuldfällor och andra företeelser som kan leda till att enskilda hamnar i skuld och att finna lösningar. Verksamheten bevakar och analyserar omvärlden i samverkan med övriga processer. Enligt regeringen bygger detta mycket på analyser av uppgifter i databaserna för att se om myndigheten kan identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling. Det rör sig enligt regeringen i huvudsak om behandling av uppgifter av närmast statistiskt slag.109
För Kronofogdemyndighetens del kan det i högre grad sägas vara oklart i vilken mån ändamålsbestämmelserna ger stöd för behandling av personuppgifter för mer övergripande kontroll- och analysverksamhet.
Databasregleringen
De befintliga registerförfattningarna omfattar särskilda bestämmelser om uppgifter som behandlas gemensamt inom respektive verksamhet, dvs. uppgifter som behandlas i myndigheternas respektive databaser. Skatteverket har nyligen även fått möjlighet att föra en ny databas, analys- och urvalsdatabasen, inom folkbokföringsverksamheten.110I myndigheternas databaser får uppgifter behandlas gemensamt för samtliga angivna primära ändamål. Vilka uppgifter som får behandlas inom databaserna anges särskilt i registerlagarna samt i förekommande fall tillhörande förordningar. Regleringen är ofta detaljerad och vilka personkretsar som uppgifter får behandlas om är begränsad.
Av avsnitt 14.4 framgår att myndigheterna till viss del uppfattar databasregleringen på olika sätt i förhållande till möjligheterna att behandla uppgifter för att göra dataanalyser och urval för kontroll, även när det inte finns ett ärende.
Vi kan konstatera att i de fall regleringen innebär att vissa uppgifter får behandlas i databaserna om det behövs vid myndigheternas handläggning av ärenden, kan det uppstå oklarheter om samma uppgifter får behandlas för att göra dataanalyser och urval också när det inte finns ett ärende. För Skatteverkets beskattningsverksamhet anges även i skattedatabasförordningen att det i beskattningsdatabasen får behandlas uppgifter som inhämtats från andra myndigheter, såsom t.ex. aktiebolagsregistret, Arbetsförmedlingen och Försäkrings-
109Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25. 110 2 a kap. FdbL.
kassan.111 Motsvarande detaljreglering som anger att uppgifter från andra myndigheter får behandlas i de andra databaserna finns inte, trots att även Tullverket och Kronofogdemyndigheten har möjlighet att inhämta uppgifter från andra myndigheter genom olika uppgiftsskyldigheter som är reglerade i lag eller förordning. Det kan därmed uppstå oklarheter i vilken mån regleringarna tillåter behandling av sådana inhämtade uppgifter från andra myndigheter i de fall det inte uttryckligen anges att de får finnas i databaserna. Exempelvis finns för Tullverket ingen reglering i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF), av vilka uppgifter som får finnas i tulldatabasen. Däremot anges i tulldatabaslagen att, utöver vissa specificerade kategorier av uppgifter, även andra uppgifter får behandlas i databasen som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande.112
För beskattningsverksamheten verkar regeringen vid införandet av den nuvarande skattedatabaslagen ha förutsatt att uppgifter får samlas in och därefter på annat sätt behandlas även utanför beskattningsdatabasen genom t.ex. sambearbetning med andra register för urvals- eller kontrollprojekt.113 Liknande uttalanden finns dock såvitt vi har funnit inte för Tullverket eller Kronofogdemyndigheten varför det även av den anledningen kan uppstå oklarheter i vilken mån uppgifter får behandlas för dataanalyser och urval.
Samma oklarheter finns dock inte för folkbokföringsverksamheten sedan den nya regleringen i 2 a kap. FdbL trädde i kraft.
Generellt sett bör inte regleringen av personkretsarna för vilka uppgifter får behandlas i databaserna i sig anses innebära några större hinder mot att behandla uppgifter för dataanalyser och urval, även när det inte finns ett ärende. Regleringen tillåter nämligen att myndigheterna behandlar uppgifter om personer där det är relevant för utförandet av sina uppgifter, däribland de ändamål för analys och kontroll som finns i vissa av registerlagarna. I vilken utsträckning regleringen utgör ett problem i dag kan dock skilja sig mellan de olika verksamheterna, se exempelvis nedan angående regleringen i folkbokföringsdatabaslagen.
111 2 kap. 2 § SdbF. 112 2 kap. 3 § andra stycket TDL. 113Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 117–118.
Att olika regler gäller för uppgifter som behandlas i eller utanför en databas, och som därmed avgör vilka uppgifter som får göras gemensamt tillgängliga, kan innebära att myndigheterna behöver göra tidskrävande bedömningar som inte alltid har direkt betydelse för enskildas integritet. Redan av dataskyddsförordningen följer nämligen att även om uppgifter är tillåtna att behandla i databaserna får inte samtliga tjänstemän vid myndigheterna ha tillgång till samtliga uppgifter (se bl.a. artikel 25 i dataskyddsförordningen). Uppgifter som inte får vara gemensamt tillgängliga behöver även i regel behandlas i en särskild it-miljö, vilket kan vara förenat med extra kostnader och tidsåtgång.
Viss övrig reglering
I de nuvarande registerlagarna finns särskild reglering av känsliga personuppgifter och uppgifter om lagöverträdelser.114 Generellt gäller för Skatteverket, Tullverket och Kronofogdemyndigheten att känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden endast får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I annat fall får sådana uppgifter endast behandlas om det särskilt anges i de kapitel som reglerar innehållet i databaserna.115 I vilken mån sådana kategorier av uppgifter får behandlas för att göra mer omfattande och övergripande dataanalyser och urval kan därmed komma att bero på om de uppgifter som används görs gemensamt tillgängliga eller inte. Det kan också konstateras att möjligheterna för myndigheterna att behandla sådana särskilda kategorier av personuppgifter är mer begränsande i förhållande till dataskyddsförordningen och dataskyddslagen när det gäller behandling som är nödvändig av hänsyn till bl.a. ett viktigt allmänt intresse eller som krävs enligt lag.116
Vidare kan de nu gällande bestämmelserna om sökbegrepp innebära obefogade hinder mot att behandla personuppgifter för dataanalyser och urval då endast vissa angivna begrepp får användas vid sökningar. Generellt utesluter även dessa bestämmelser att känsliga
114 Se avsnitten 10.2 och 10.3 för en närmare redogörelse av vad som gäller vid behandling av sådana särskilda kategorier av uppgifter. 115 1 kap. 7 § SdbL, 1 kap. 6 § FdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbF. 116 Artikel 9 i dataskyddsförordningen och 3 kap. 3 § dataskyddslagen.
personuppgifter och uppgifter om lagöverträdelser används som sökbegrepp.117 Det gäller däremot inte folkbokföringsverksamhetens analys- och urvalsdatabas.118 I praktiken finns det dock begränsningar för hur känsliga personuppgifter och uppgifter får behandlas även i folkbokföringsverksamhetens analys- och urvalsdatabas, vilka går längre än dataskyddsförordningen (se nedan).
Utöver detta gäller i dag enligt registerförfattningarna olika gallringsbestämmelser beroende på om uppgifter behandlas inom eller utanför en databas. De gallringsbestämmelser som generellt gäller vid behandling utanför databaserna avser enligt ordalydelserna endast uppgifter som behandlas automatiserat i ett ärende.119 För folkbokföringsverksamheten finns nya bestämmelser om längsta tid för behandling för uppgifter som behandlas i analys- och urvalsdatabasen.120
Särskilt om den nya regleringen i folkbokföringsdatabaslagen med tillhörande förordning
Skatteverkets folkbokföringsverksamhet har fått tydligare och i viss mån större möjligheter att använda uppgifter, även från andra myndigheter, för analyser och urval.121 Även den nya regleringen för Skatteverkets folkbokföringsverksamhet innebär dock att det finns vissa obefogade hinder mot att kunna behandla uppgifter som behövs för att göra effektiva analyser och urval. Till exempel får inte alla uppgifter som får behandlas i folkbokföringsdatabasen behandlas i analys- och urvalsdatabasen. Myndigheten får över huvud taget inte behandla känsliga personuppgifter eller uppgifter om lagöverträdelser som finns i handlingar i folkbokföringsdatabasen i analys- och urvalsdatabasen.122
Myndigheten har överlag små möjligheter att behandla känsliga personuppgifter i analys- och urvalsdatabasen. Sådana uppgifter kan dock behövas, dels för att få ett effektivt urval, dels för att säkerställa att urvalet ger ett rättvisande och korrekt resultat. Det är vidare praktiskt svårt för Skatteverket att kunna separera ut vilka handlingar som får finnas i analys- och urvalsdatabasen med utgångspunkt i dess innehåll.
117 2 kap. 10 § SdbL, 2 kap. 9 § TDL och 2 kap. 29 § KFMdbL. 118 2 a kap. 4 § FdbL. 119 1 kap. 8 § SdbL, 1 kap. 8 § TDL och 1 kap. 7 § KFMdbL. 120 2 a kap. 6 § FdbL. 121 Se bl.a. 1 kap. 4 a §, 2 a kap. 3 § andra stycket FdbL och 5 c § FdbF. 122 Se 2 a kap. 3 § jämförd med 1 kap. 6 § samt 2 kap. 3–5 §§ FdbL.
Utöver detta finns det i dag begränsningar av vilka personkretsar Skatteverket får behandla uppgifter om. Genom den nuvarande regleringen får endast uppgifter om personer som har tilldelats personnummer eller samordningsnummer behandlas. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.123 Att Skatteverket inte får behandla uppgifter för övergripande analyser om personer som myndigheten t.ex. beslutat att inte tilldela personnummer eller samordningsnummer kan innebära begränsningar i myndighetens möjligheter att göra jämförelser av omständigheter som har lett till att vissa personer tilldelats personnummer eller samordningsnummer och de som inte har det. Detta trots att myndigheten till följd av den materiella regleringen har rättslig grund för att behandla uppgifter även om personer vars ärenden avslutas med att de inte tilldelas personnummer eller samordningsnummer.
Vår sammantagna bedömning
Av redogörelserna ovan gör vi bedömningen att den nuvarande regleringen avseende myndigheternas personuppgiftsbehandling i vissa fall innebär att det är oklart i vilken omfattning personuppgifter får behandlas för att göra dataanalyser och urval för kontroll utan koppling till ärendehandläggningen, såsom för förebyggande syften och i samband med utveckling, testning och utvärdering av analysmetoder och urvalsmodeller. Regleringen innebär även att det i vissa fall kan vara oklart vilka bestämmelser som ska tillämpas i vilka situationer. Utöver detta bedöms den nuvarande regleringen ställa upp vissa omotiverade hinder för att kunna använda dataanalyser och urval som ett verktyg för att effektivisera kontrollverksamheten. Vissa skillnader bedöms även finnas mellan myndigheternas möjligheter att behandla personuppgifter för att använda dataanalyser och urval. Detta gäller särskilt för Skatteverkets folkbokföringsverksamhet som nyligen getts bättre möjligheter att använda sådana verktyg för kontroll.
I vilken mån vi anser att de oklarheter och hinder som finns genom den nuvarande regleringen bör ändras för att ge myndigheterna utökade möjligheter att göra dataanalyser och urval framgår i följande avsnitt som behandlar olika frågor hänförliga till myndigheternas dataanalyser och urval. Våra förslag till reglering av myndigheternas
123 2 a kap. 2 § jämförd med 2 kap. 2 § FdbL.
personuppgiftsbehandling vid dataanalyser och urval påverkas också i hög grad av den nya reglering vi i övrigt föreslår i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen.
14.6. Utökade möjligheter att göra dataanalyser och urval
14.6.1. Myndigheterna bör ges utökade möjligheter att göra dataanalyser och urval
Vår bedömning: Skatteverket, Tullverket och Kronofogdemyn-
digheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet.
Skälen för vår bedömning
Dataanalyser och urval är ett effektivt verktyg i myndigheternas verksamheter
Myndigheter har vissa generella krav på sig som kan uppfattas vara sinsemellan svårförenliga. De har å ena sidan ett utredningsansvar, och å andra sidan finns lagstadgade krav på effektivitet i handläggningen. Detta kan få konsekvenser för myndigheters kontrollverksamhet genom att kontroll ibland kan få stå tillbaka i förhållande till kraven på effektiv och snabb handläggning, eftersom kontrollåtgärder kan vara resurskrävande.124 Ju större möjligheter myndigheterna har att rikta sina (kontroll)resurser rätt, dvs. till de ärenden som karaktäriseras av hög risk för felaktigheter, desto enklare låter sig de synbart motstridiga kraven på utredning och effektivitet förenas.
Dataanalyser och urval har i ett flertal rapporter, betänkanden och propositioner ansetts kunna bidra till att effektivisera olika myndigheters kontrollverksamhet genom att exempelvis underlätta arbetet
124SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 128.
med att identifiera felaktigheter.125 Regeringen har nyligen uttalat att dataanalyser och urval är en naturlig del i myndigheters kontrollverksamhet, och samtidigt konstaterat att under de senaste åren har Arbetsförmedlingen, CSN, Försäkringskassan och Pensionsmyndigheten i viss mån använt denna typ av verktyg för att upptäcka felaktiga utbetalningar.126
Enligt vår bedömning är det tydligt att även Skatteverket, Tullverket och Kronofogdemyndigheten har behov av att använda dataanalyser och urval för att kunna bedriva en resurseffektiv kontrollverksamhet.127 Vi anser att även dessa myndigheter bör ges goda förutsättningar att på ett adekvat sätt kunna behandla personuppgifter för att göra sådana dataanalyser och urval. Samtliga dessa myndigheter ansvarar för att utföra sina uppgifter på ett korrekt sätt. För att kunna uppfylla detta har myndigheterna getts olika kontroll- och utredningsbefogenheter inom respektive ansvarsområde. I kontrollverksamheten ingår att myndigheterna gör kontroller av uppgifter innan beslut fattas samt att göra efterhandskontroller för att säkerställa att korrekta beslut har fattats. Dataanalyser och urval måste, i enlighet med regeringens nyss refererade uttalanden, anses utgöra en naturlig del i sådan kontrollverksamhet. Genom att samköra uppgifter som myndigheterna har tillgång till som en följd av bl.a. ärendehandläggning samt uppgifter som myndigheterna har möjlighet att begära in från exempelvis andra myndigheter blir det möjligt att identifiera områden där det finns störst risk för fel och fusk. I förlängningen leder det till att myndigheterna på ett effektivt sätt kan förhindra att felaktiga beslut fattas eller åtgärda tidigare fattade felaktiga beslut.
Exempelvis kan Skatteverket ta fram ett urval av deklarationer för ytterligare kontroll i vilka avdrag för vissa specifika kostnader har yrkats. Ett sådant urval kan med hjälp av dataanalyser baseras på högst risk för fel till följd av olika identifierade riskfaktorer utifrån den materiella regleringen om rätt till avdrag i inkomstskattelagen. Tull-
125 Se t.ex. rapport från Riksrevisionen, Folkbokföringen – ett kvalitetsarbete i uppförsbacke, RiR 2017:23, s. 45, rapport från Inspektionen för socialförsäkringen, Profilering som urvals-
metod för riktade kontroller – En granskning av träffsäkerheten, effektiviteten och rättssäkerheten i Försäkringskassans modeller för riskbaserade kontroller, ISF 2018:5, s. 119, SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 213 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 19–20.
126Prop. 2022/23:34, Utbetalningsmyndigheten, s. 46. 127 Jfr avsnitt 14.4 om myndigheternas uppgivna behov av att använda sådana verktyg.
verket kan t.ex. använda sig av dataanalyser och urval för att på ett effektivt och träffsäkert sätt identifiera försändelser där det finns en hög risk för att de innehåller varor med importrestriktioner som inte följer de särskilda krav som finns för införsel av sådana varor. När det gäller Kronofogdemyndigheten kan myndigheten använda sådana verktyg för att exempelvis identifiera ansökningar om betalningsförelägganden som grundar sig på oriktiga fakturor.
Skatteverket har till utredningen gett exempel på hur vissa bedrägliga förfaranden kan gå till. Nedan görs en kort beskrivning av ett sådant exemplifierande scenario samt hur dataanalyser och urval kan förhindra sådana förfaranden.
Exempel på hur Skatteverket kan använda dataanalyser och urval för att effektivisera kontrollverksamheten
Scenario
Ett företag bildas genom förvärv av ett befintligt företag. Ungefär samtidigt anmäler en person att denne har flyttat till Sverige och ska arbeta i företaget. Personen folkbokförs av Skatteverket efter anmälan och myndighetens kontakt med dennes arbetsgivare. Personen tilldelas även ett personnummer och lämnar sedan Sverige. Det rör sig dock om en skenanställning. Det otillbörliga förfarandet kan på olika sätt resultera i oriktiga skatteavdrag, återbetalningar av mervärdesskatt, oriktiga företagskrediter och förmånliga lån. Vidare kan det leda till att den ”anställde” får felaktiga utbetalningar från andra myndigheter, såsom Försäkringskassan och A-kassor. Det kan också leda till bedrägligt utnyttjande av nämnda ”anställdes” identitet för att få banklån samt för att inhandla objekt på kredit. Dennes identitet kan även användas som företagsbulvan i flera andra bolag vilket kan möjliggöra utbetalning av lönegaranti och stöd för korttidspermittering.
Genom olika former av bedrägliga upplägg kan flera felaktiga utbetalningar från välfärdssystemen hinna göras innan Skatteverket upptäcker att redovisade belopp inte stämmer. Utsikterna att genom återbetalningskrav och andra borgenärsåtgärder återvinna någon större del av sådana medel kan vara små.
Möjligt scenario med utökade förutsättningar att göra dataanalyser och urval
Genom användningen av dataanalyser och urval har Skatteverket utvecklat en riskvärderingsmodell för anmälningar om flytt till Sverige. Modellen kan flagga för att en anmälan behöver genomgå en fördjupad granskning. En sammanställning visar flera olika indikatorer som pekar ut risker för att anmälan är felaktig eller bedräglig. Modellen kan baseras på folkbokföringsuppgifter samt uppgifter från bl.a. beskattningsverksamheten, skattebrottsenheten och andra myndigheter som har bedömts relevanta för att upptäcka fel och fusk i samband med flytt till Sverige.
Genom att modellen flaggar för vissa risker med anmälan om flytt till Sverige av personen som beskrivits ovan begär Skatteverket komplettering av uppgifter och handlingar som visar att det som anges i anmälan om flytt är korrekt. Vid uteblivet eller otillfredsställande svar kan Skatteverket besluta att personen inte ska folkbokföras. Det minskar i sig risken för att t.ex. felaktiga utbetalningar även sker från andra myndigheter. Riskvärderingsmodellen kan sedan uppdateras med resultatet av utredningen för att utveckla och förstärka myndighetens förmåga att upptäcka liknande upplägg. Vissa uppgifter som kommit fram vid en sådan utredning kan även lämnas till andra verksamheter inom Skatteverket eller till andra myndigheter som behöver uppgifterna i sin verksamhet.
Med hjälp av uppgifterna kan även beskattningsverksamheten i sin tur uppdatera de riskvärderingsmodeller som tillämpas vid t.ex. företagsregistrering, återbetalning av mervärdesskatt samt redovisning av arbetsgivaravgifter med tillhörande individuppgifter. Nya riskindikatorer i modellerna kan öka träffsäkerheten för urval som indikerar avsiktligt fusk.
Sammantaget kan Skatteverket genom att använda dataanalyser och urval t.ex. öka förmågan att tidigt upptäcka registreringar av företag som ska användas som brottsverktyg, oriktiga redovisningar av individuppgifter samt felaktiga utbetalningar.
När det gäller Tullverket ska myndigheten kontrollera transporter med varor som kommer landvägen, järnvägen, via sjöfarten och i flygflödet. Under år 2022 hanterades knappt 14 miljoner import-, transiterings- och exportdeklarationer. Av dessa godkändes 94,2 procent
genom ett automatiserat beslutsfattande.128 Utöver detta tillkommer andra typer av deklarationer och anmälningar som ska göras i tullproceduren. De stora trafik- och varuflödena gör det omöjligt att kontrollera varje in- och utförsel. Personer som ägnar sig åt brottslig verksamhet och andra medvetna överträdelser hittar nya vägar och metoder för att transportera illegala varor eller undanhålla tull m.m. Det ställer krav på riskbaserade och underrättelsebaserade tullkontroller.129
En importör kan undvika att betala korrekt tull genom att medvetet deklarera ett lägre värde än det faktiska för de importerade varorna vilket ofta kombineras med att förfalskade handelsdokument visas upp. Tull kan även undandras genom att felaktiga uppgifter om ursprungsland anges för varorna, eller genom att varorna klassificeras felaktigt för att få en lägre tullsats. Ett undandragande kan även göras genom en kombination av ovanstående åtgärder eller genom att en importör utnyttjar en tullbefrielse genom att begära undantag för varor som inte är berättigade till det.130 Om den debiterade uppbörden är lägre än vad som skulle vara fallet om varan hade deklarerats korrekt ger det sämre förutsättningar för offentliga verksamheter och samhällsekonomin i stort. Under år 2022 debiterade Tullverket sammanlagt 252 964 tkr efter tullkontroller, exklusive tulltillägg. Skattebortfall utifrån alkohol- och tobaksbeslag, beräknad på beslagtagen mängd, var samma år 36 004 tkr. Mörkertalet gällande bortfall av tull till följd av fel i deklarationer uppskattades till 180 686 tkr.131
Felaktig uppbörd bidrar även till att snedvrida konkurrensen. Företag som betalar för låg tull, annan skatt eller avgifter får en konkurrensfördel i förhållande till företag som lämnar korrekta uppgifter. Vidare omfattas många varutyper av förbud eller krav på licenser eller särskilda tillstånd, s.k. restriktionsvaror. Det finns mer än 60 olika restriktionsområden. En restriktion kan ha sin grund i hänsyn till handelspolitiska skäl, miljöskydd, skydd för människors hälsa eller säkerhet, skydd för nationalskatter eller för att förhindra spridning av djur- och växtsjukdomar.132 Exempel på restriktionsvaror är gränsöverskridande avfallstransporter, skydd för utrotningshotade
128 Tullverkets årsredovisning 2022, s. 30. 129 Tullverkets årsredovisning 2021, s. 26. 130 Tullverkets årsredovisning 2021, s. 59. 131 Tullverkets årsredovisning 2022, s. 57, 145 och 148. 132 https://taxation-customs.ec.europa.eu/customs-4/prohibitions-and-restrictions_en [hämtad 2023-08-21].
djur och växter (cites)133, kulturföremål, kemiska produkter, livsmedel, läkemedel, narkotika och skjutvapen. Handel med restriktionsvaror, som exempelvis kulturföremål, kan också ske för att tvätta pengar i brottslig verksamhet och för att finansiera terrorism. Överträdelser av restriktionsregler kan därmed utgöra ett allvarligt hot mot samhället i en vidare bemärkelse.
För att kontrollverksamheten ska fungera effektivt behöver Tullverket ha förmåga att identifiera komplicerade mönster i handelsflödet, strukturer och företeelser som utgör risker för fel, regelöverträdelser och säkerhet. Det förutsätter att myndighetens underrättelseverksamhet utvecklar sin förmåga att arbeta med datadrivna och predikativa analyser genom att använda nya metoder och ny teknik. Förmågan att se sammanhang och mönster är viktig för att kunna prioritera hur resurser kan användas på bästa sätt och på så sätt bidra till störst samhällsnytta. Det bidrar till en högre träffsäkerhet vid urval för kontroll och att Tullverket kan fullgöra sitt uppdrag effektivt. Enligt Riksrevisionen är en effektiv resursanvändning beroende av att det finns möjlighet till en ändamålsenlig uppföljning av arbetet.134
Kronofogdemyndigheten har konstaterat att myndigheten används i brottslig verksamhet för att fastställa, driva in och sanera oriktiga fordringar. Inom verksamheten med betalningsföreläggande förekommer enligt myndigheten falska ansökningar och ansökningar som grundar sig på brott. Mot bakgrund av att det årligen kommer in ungefär 1,3 miljoner ansökningar om betalningsföreläggande till Kronofogdemyndigheten är det svårt för myndigheten att i den manuella hanteringen upptäcka otillbörliga ansökningar. De krav som inte upptäcks riskerar att fastställas i utslag, vilket kan leda till ekonomisk skada för enskild och förtroendeskada för myndigheten.
Inom verksamheten med betalningsföreläggande har Kronofogdemyndigheten under längre tid arbetat aktivt med att manuellt söka efter otillbörliga eller brottsliga ansökningar om betalningsförelägganden. Om myndigheten hade haft större möjligheter att använda analys och urval hade detta arbete enligt myndigheten kunnat förbättras och effektiviseras. Som ett exempel granskade myndigheten 897 mål under år 2022, varav 761 mål identifierades och kunde stoppas
133 Cites står för Convention on International Trade in Endangered Species of Wild Fauna and Flora. Cites, även kallad Washington-konventionen, är en internationell överenskommelse med syfte att bevara hotade arter av vilda djur och växter. Tullverkets roll är att övervaka handeln till och från tredje land. 134 Riksrevisionens rapport, Tullverkets kontroll – en träffsäker verksamhet?, RIR 2019:12, s. 54.
i vilka yrkade belopp samlat uppgick till cirka 14 miljoner kr. Felaktigt fastställda fordringar riskerar att senare hamna för verkställighet av gäldenären. Då finns det små möjligheter att invända mot ett lagakraftvunnet utslag.
Även inom skuldsaneringen förekommer brottsupplägg, exempelvis falska fordringar, där dataanalyser kan förbättra möjligheterna att upptäcka sådana.
Dataanalyser och urval skulle också med framgång kunna användas inom Kronofogdemyndighetens tillsyn av konkurser och näringsförbud. Med hjälp av bättre verktyg skulle det vara möjligt att på ett mer effektivt sätt upptäcka lönegarantibedrägerier och brott mot näringsförbud. Riksrevisionen har tidigare konstaterat att det förekommer missbruk av den statliga lönegarantin.135 Kronofogdemyndigheten är en av få offentliga instanser som i sin handläggning kan upptäcka enskilda bedrägerier.
Utökade möjligheter att göra dataanalyser och urval
Skatteverkets, Tullverkets och Kronofogdemyndighetens behov av att kunna göra dataanalyser och urval skiljer sig i vissa delar åt till följd av myndigheternas olika uppdrag. Samtliga myndigheter har dock uttryckt att det finns ett behov av att använda sådana verktyg för att på olika sätt effektivisera kontrollverksamheten (se avsnitt 14.4).
Vi konstaterar ovan att användningen av dataanalyser och urval är effektiva verktyg i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. För att dataanalyser och urval faktiskt ska fungera effektivt i kontrollverksamhet krävs att det är möjligt att använda sådana verktyg även för att förebygga och förhindra felaktigheter redan innan de uppstår i verksamheterna. En sådan möjlighet kan även minska antalet kostsamma efterhandskontroller och domstolsprocesser. Det har exempelvis konstaterats att sambehandling av uppgifter från flera myndigheter är effektivt för att upptäcka och förhindra felaktiga utbetalningar.136
I avsnitt 14.5 framgår vissa av de begränsningar som den nu gällande sektorspecifika regleringen av berörda myndigheters personuppgifts-
135 Se Riksrevisionens rapport, Den statliga lönegarantin – förekomst av missbruk och myndig-
heternas kontrollarbete, RIR 2022:4.
136SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 212–214.
behandling kan medföra i förhållande till att använda dataanalyser och urval. En förutsättning för att myndigheterna ska kunna bedriva en effektiv och rättssäker kontrollverksamhet är att det är möjligt att på ett adekvat sätt automatiserat behandla personuppgifter för kontrolländamål.137 Regleringen tillsammans med myndigheternas materiella verksamhetsreglering (se avsnitt 14.2), vilka i flera fall är kopplade till ärendehandläggning, kan enligt vår uppfattning i vissa fall innebära att det i dag är oklart i vilken omfattning myndigheterna får behandla personuppgifter för att använda verktygen, särskilt för att förebygga felaktigheter. En del i detta är också det faktum att exempelvis utveckling, testning och utvärdering av analysmetoder och urvalsmodeller kräver att personuppgiftsbehandling utförs på ett sätt som ligger utanför ärendehandläggningen. Redan i förarbetena till de nuvarande registerlagarna nämns dock att Skatteverket ska ges stöd för att kunna behandla personuppgifter i analysverksamhet som syftar till att ta fram olika riskprofiler, dvs. analyser av vilka skattesubjekt som ska granskas, även avseende personer eller företag som inte är registrerade hos myndigheten.138 Även Tullverket gavs ett primärt ändamål som omfattar analys- och kontrollverksamhet.139 I dag ställer dock dataskyddsförordningen krav på att den rättsliga grunden för behandlingen enligt bl.a. artikel 6.1 e, dvs. uppgiften av allmänt intresse eller myndighetsutövningen, ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3 i dataskyddsförordningen).140 Den rättsliga grunden ska vidare vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den (se vidare avsnitt 14.7 nedan).141 Den rättsliga grunden kan sedan även innehålla bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas och ändamålsbegränsningar (artikel 6.3 andra stycket i dataskyddsförordningen). Dataskyddsförordningen ställer därmed upp vissa krav som inte 1995 års dataskyddsdirektiv142gjorde, vilken gällde när de berörda myndigheternas nuvarande register-
137 Jfr SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 378. 138Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 139Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176. 140Prop. 2017/18:105, Ny dataskyddslag, s. 48–52. 141 Skäl 41 till dataskyddsförordningen. 142 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
författningar infördes. Utöver detta innebär regeringsformens skydd mot betydande intrång i den personliga integriteten att vissa åtgärder som utgör sådana intrång måste regleras i lag för att vara tillåtna (2 kap. 6 § andra stycket och 2 kap. 20 och 21 §§ RF). Någon uttrycklig eller särskild reglering av Skatteverkets, Tullverkets eller Kronofogdemyndighetens möjligheter att använda digitala verktyg som kräver behandling av uppgifter även utanför ärendehandläggning, såsom dataanalyser och urval, i syfte att effektivisera kontrollverksamheten finns inte i svensk rätt i dag. Ett undantag är dock den nyligen införda regleringen i folkbokföringsdatabaslagen som gäller i Skatteverkets folkbokföringsverksamhet.
Vi gör bedömningen att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval i sina verksamheter för kontrolländamål. Syftet ska vara att förebygga, förhindra och upptäcka fel inom Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet samt inom Tullverkets och Kronofogdemyndighetens respektive verksamheter som omfattas av vårt uppdrag. Det ska alltså vara möjligt för myndigheterna att behandla personuppgifter för att använda sådana verktyg även när det saknas koppling till ett visst ärende. Myndigheterna ges då bättre förutsättningar att utföra sina uppdrag och minska felaktigheter i respektive verksamhet. Vår utgångspunkt är att regleringen ska möjliggöra sådan behandling samtidigt som skyddet för den personliga integriteten upprätthålls. Generellt bör myndigheterna ges möjlighet att utföra den personuppgiftsbehandling som behövs för att de ska kunna utföra sina uppdrag på ett effektivt och rättssäkert sätt även när dataanalyser och urval används.
I den del av vårt uppdrag som avser en översyn av befintliga registerförfattningar har vi valt att föreslå genomgripande förändringar i förhållande till hur regleringen ser ut i dag. Vi bedömer att det i sig innebär att vissa av de osäkerheter och omotiverade begränsningar kring personuppgiftsbehandling som dagens registerförfattningar innebär vid myndigheternas analys- och urvalsarbete inte längre kommer att finnas kvar. Det handlar bl.a. om slopad reglering av personkrets, databaser och handlingar samt ändrad reglering av tillåtna ändamål, sökbegränsningar, behandling av känsliga personuppgifter och uppgifter om lagöverträdelser samt gallring av personuppgifter. Till följd av hur myndigheternas materiella verksamhetsreglering är utformad i vissa fall kommer dock enligt vår mening vissa tveksamheter att kvar-
stå i fråga om analyser och urval som görs utan koppling till ett enskilt ärende (se vidare avsnitt 14.7 nedan).
14.6.2. Närmare om myndigheternas dataanalyser och urval
Olika analysmetoder
Myndigheterna kan komma att använda olika typer av analysmetoder i arbetet med dataanalyser beroende på vad som mer specifikt ska uppnås. Det är varken möjligt eller vår avsikt att här uttömmande ange vilka metoder som kan komma att bli aktuella för Skatteverket, Tullverket och Kronofogdemyndigheten att använda. Det är ytterst upp till myndigheterna att avgöra vilka metoder som är möjliga att använda inom ramen för tillåten behandling av personuppgifter. Här ges några exempel på analysmetoder som kan komma att bli aktuella.
Deskriptiva analyser använder data för att beskriva något som redan
har skett.143 Sådana analyser kan användas för att upptäcka avvikelser, dvs. anomalier.144 Ett exempel på deskriptiv analys kan vara att uppgifter om stora skulder från Kronofogdemyndighetens verksamhet med utsökning och indrivning analyseras för att upptäcka överskuldsättning hos en viss samhällsgrupp.
Prediktiva analyser använder data och algoritmer för att förutse
vad som sannolikt kommer att hända, ofta genom användning av maskininlärning.145 Sådana analyser kan användas för att se mönster och samband som sedan kan ligga till grund för urvalsmodeller. Prediktiva analyser använder historiska data och utgår på så sätt från tidigare konstaterade fel. Utifrån tidigare fall kan prediktiva analyser upptäcka mönster eller andra typer av indikatorer som kan indikera vad som kan vara korrekt respektive felaktigt. Det kan också användas för att uppskatta omfattningen av fel och bedrägerier146, eller för att identifiera vissa återkommande omständigheter i ärenden där felaktiga utbetalningar har konstaterats.147 Prediktiva analyser kan t.ex.
143 OECD (2019), A data-driven public sector – Enabling the strategic use of data for a productive,
inclusive and trustworthy governance, s. 13.
144SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
145 OECD (2019), A data-driven public sector – Enabling the strategic use of data for a productive,
inclusive and trustworthy governance, s. 13.
146SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
147Prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 11.
användas av Tullverket för att förutse riskerna för att en viss sändning innehåller en restriktionsvara, eller av Skatteverket för att förutse risken för felaktiga momsåterbetalningar.
Nätverksanalyser utgår från samband, exempelvis mellan bolags-
företrädare, telefonnummer, familjeförhållanden, adresser, tidpunkter, fastigheter, fordon, m.m. Sådana analyser kan vara effektiva för att upptäcka organiserade upplägg, där flera personer samarbetar eller på olika sätt delar med sig av upplägg för att missbruka systemen. Nätverksanalyser kan ge hög precision och bidra till att fel upptäcks tidigt.148 Kronofogdemyndigheten har exempelvis genom syntetiska data, dvs. datorgenererad data149, utforskat förutsättningarna för att använda nätverksanalys inom verkställighet med målet att öka indrivet belopp från de som kan men inte vill betala. Genom sådana analyser kan egendom som kopplar ihop flera gäldenärer identifieras.
Vad sker med urvalsträffarna?
Genom användningen av dataanalyser och urval får myndigheterna urvalsträffar. Myndigheterna granskar och bedömer vilka av urvalsträffarna som bör leda till närmare kontroller eller andra åtgärder utifrån de risker för felaktigheter som har identifierats. Vissa av urvalsträffarna kan ge myndigheterna anledning att anta att det föreligger en felaktighet som oupptäckt hade kunnat leda till att t.ex. beslut fattas på felaktiga grunder. Andra urvalsträffar kommer utmynna i att ingen ytterligare åtgärd vidtas med anledning av dessa.
I de fall urvalsträffar bedöms kräva närmare kontroller har myndigheternas handläggare möjlighet att använda de författningsreglerade kontrollbefogenheter som finns tillgängliga för respektive myndighet. Det kan ske i redan befintliga ärenden som valts ut till följd av urvalsträffen eller i ärenden som öppnats till följd av en urvalsträff. Sådana närmare kontroller innebär även att myndigheterna exempelvis kan hämta in mer uppgifter från andra myndigheter om den som
148SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 217.
149 Se Integritetsskyddsmyndigheten, Vi guidar dig – Vi hanterar bara anonymiserade per-
sonuppgifter, då kan vi väl bortse från GDPR?,
https://www.imy.se/verksamhet/dataskydd/innovationsportalen/vanliga-fragor/vi-hanterarbara-anonymiserade-personuppgifter-da-kan-vi-val-bortse-fran-gdpr/ [hämtad 2023-02-21]. Sådan data har samma karaktär som riktiga uppgifter men avser inte verkliga människor, se Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 3.
särskilt ska kontrolleras, eller andra uppgifter av betydelse för kontrollen, på samma sätt som vid andra kontroller som inte inletts på grundval av dataanalyser och urval. Den behandling av uppgifter som då sker är tillåten enligt bestämmelserna om tillåten behandling för att myndigheterna ska kunna utföra sina uppgifter.
Ytterligare andra urvalsträffar kommer inte att leda till att myndigheterna använder sina kontrollbefogenheter mot enskilda för att fullgöra sina uppgifter utan kanske endast utmynnar i särskilda informationsinsatser eller identifiering av generella risker. Att identifiera sådana generella risker, eller trender, kan i sig hjälpa myndigheterna att fördela resurser och veta vad kontrollverksamheten bör riktas in på. Det kan också leda till att Skatteverket identifierar företag som inte är registrerade hos myndigheten trots att de kanske borde betala skatter och avgifter i Sverige, s.k. non-filers.150
Användning av AI och maskininlärning i analys- och urvalsverksamheten
AI och dess risker i förhållande till dataskyddsregleringen m.m.
Om de datamängder som är nödvändiga för att träna en AI-modell innehåller personuppgifter behöver det finnas förutsättningar för datainsamlingen och behandlingen enligt dataskyddsregleringen redan på stadiet då algoritmen tränas.151 Även om AI kan bidra till effektivitetsvinster i den offentliga förvaltningen, t.ex. genom förkortade handläggningstider och större möjligheter att rikta kontroller mot de områden där riskerna för fel och fusk är som störst, kan det finnas vissa oönskade eller oförutsedda konsekvenser av att använda AI som följd av vinklade eller manipulerade data, bristande transparens, missbruk eller fientlig användning. Det kan leda till diskriminering, minskad tillit, ekonomisk skada och påverkan på demokratins funktionssätt.152 Vid utveckling och användning av AI uppkommer vidare särskilda utmaningar i förhållande till den generella dataskyddsregleringen eftersom en grundläggande förutsättning är tillgången till och
150 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123–124. 151SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212–213. 152 Regeringskansliet, Näringsdepartementet (2018), Nationell inriktning för artificiell intelligens, s. 4. Informationsmaterial, N2018.14.
användningen av data. Personuppgifter bör dessutom endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel.153
Begreppet personuppgift är brett definierat i dataskyddsförordningen. Dataskyddsförordningen kommer därför i de flesta fall att vara tillämplig på myndigheternas insamling och delning av data som används för dataanalyser, såsom maskininlärning.154 En risk som brukar nämnas i samband med vissa former av maskininlärning är bristande förklarbarhet, eller ”the black box”; svarta lådan. Det innebär att det inte alltid går att säga hur en modell har kommit fram till ett visst resultat.155 Detta kan sättas i relation till dataskyddsförordningens krav på öppenhet i artikel 5.1 a. ”Svarta lådan” kan också diskuteras i förhållande till 32 § FL som anger att ett beslut som kan antas påverka någons situation på ett inte obetydligt sätt ska innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Om utfallet i slutändan innebär att ett beslut fattas till nackdel för en enskild blir det nyss sagda särskilt aktuellt. Det kan alltså vara nödvändigt att kunna förklara och motivera vilken data som har legat till grund för vilken del av de olika övervägandena i ett beslut.156 Det kan inte uteslutas att detta kommer bli aktuellt för myndigheterna att beakta även när dataanalyser och urval används, t.ex. om en urvalsträff ligger till grund för en del av ett övervägande i ett beslut.
Resultatet som kommer ur en modell baserad på maskininlärning kan vidare vara felaktigt och diskriminerande om den data som har använts för att träna modellen återger en partisk bild av verkliga förhållanden eller om den inte är av relevans för det resultat som ska åstadkommas. Användning av sådana personuppgifter kan därför stå i strid med dataskyddsförordningens princip om korrekthet i artikel 5.1 a.157
För att minska behovet av att använda och dela personuppgifter på ett sätt som är problematiskt enligt dataskyddslagstiftningen kan syntetiska data användas.158 Ett problem som då kan uppstå vid myndigheters tillämpning av maskininlärda algoritmer är att det kan upp-
153 Skäl 39 till dataskyddsförordningen. 154 Jfr Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 2. 155 Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 12. 156 Arvidsson, M., (2021), Maskininlärning och rättsligt beslutsfattande, Noll, G. (Red.), AI,
digitalisering och rätten – en lärobok, 1:a upplagan, s. 132.
157 Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 16. 158 Westman, D., Dataskyddet som hinder mot maskininlärning och samhällsnyttig analys?, Lov och data, nr 150, september 2022, nr 3/2022, s. 3.
komma risker för fel och rättsosäkerhet om ”träningsdatan” inte motsvarar just den typ av data som sedan ska användas i skarpa fall.
Den nationella regleringen måste utformas i enlighet med dataskyddsförordningen och det är ytterst dessa regler som styr hur personuppgifter får behandlas i ett analys- och urvalsprojekt som inkluderar AI-teknik. Myndigheterna måste också som personuppgiftsansvariga arbeta på ett sätt som säkerställer att dataskyddsförordningen följs.
Profilering och diskriminering
Profilering
Profilering definieras i dataskyddsförordningen som varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.159 Profilering är inte otillåtet enligt dataskyddsförordningen. Vissa krav ställs dock upp vid automatiserat individuellt beslutsfattande som inbegriper profilering.160 Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.161 Ett beslut är automatiserat om det enbart grundas på automatiserad behandling som inbegriper profilering, dvs. bedömning av personliga egenskaper. Är det en eller flera människor som fattat själva beslutet, är det inte automatiserat även om människorna har utnyttjat automatiserad behandling, som inbegriper profilering, för att komma fram till sitt beslut.162
Myndigheternas arbete med dataanalyser och urval innebär i nuläget inte att myndigheterna fattar ett beslut som enbart grundas på sådant automatiserat individuellt beslutsfattande som avses i dataskyddsförordningen. Användningen av sådana verktyg är i stället ett
159 Artikel 4.4 i dataskyddsförordningen. 160 Artikel 22 i dataskyddsförordningen. 161 Artikel 22.1 i dataskyddsförordningen. 162 Öman, S., Dataskyddsförordningen (GDPR) m.m., (1 juli 2022, JUNO), kommentaren till artikel 22.
slags beslutsstöd för myndigheterna i kontrollverksamheten.163 Även om profilering inte är förbjuden enligt dataskyddsförordningen bör försiktighet iakttas eftersom det finns integritetsrisker med behandling vid dataanalyser och urval. Sådan behandling kan komma att innehålla vissa inslag av profilering trots att analys- och urvalsverksamheten primärt inte syftar till att hitta en viss enskild individ baserat på exempelvis uppgifter om hans eller hennes ekonomiska situation. Myndigheterna bör därför noga överväga dessa frågor när olika urvalsmodeller tas fram.164
Diskriminering
Vid användning av exempelvis maskininlärda algoritmer kan det finnas en risk för diskriminerande resultat om inte ”rätt” typ av data används. Det är därför av stor vikt att de urvalsmodeller som har tagits fram utvärderas och granskas kontinuerligt. Det allmänna har ett ansvar för att motverka diskriminering av människor på grund av kön, hudfärg, nationellt eller etniskt ursprung, språklig eller religiös tillhörighet, funktionshinder, sexuell läggning, ålder eller andra omständigheter som gäller den enskilde som person.165 Möjligheten att göra sammanställningar av uppgifter begränsas alltså av diskrimineringslagstiftningen.166 Myndigheterna måste se till att upprätthålla kravet på likabehandling även vid dataanalyser och urval. Diskrimineringsgrunderna bör därför undvikas som grund för urval om det inte tydligt kan motiveras.167
163 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 222.
164 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 221–222.
1651 kap. 2 § femte stycket RF. 166 Se även diskrimineringslagen (2008:567). 167 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och
upptäcka felaktiga utbetalningar från välfärdssystemen, s. 223.
14.7. Rättslig grund för behandling av personuppgifter för att göra dataanalyser och urval
Vår bedömning: Skatteverkets, Tullverkets och Kronofogde-
myndighetens rättsliga grund för behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom sina verksamheter bör tydliggöras.
Skälen för vår bedömning
Vid användning av dataanalyser och urval behöver Skatteverket, Tullverket och Kronofogdemyndigheten kunna analysera och utvärdera olika datamängder, däribland personuppgifter. För att dataanalyser och urval ska kunna användas på ett effektivt sätt i Skatteverkets, Tullverkets och Kronofogdemyndighetens kontrollverksamheter behöver alltså personuppgifter kunna behandlas på ett ändamålsenligt sätt. För att en behandling av personuppgifter över huvud taget ska vara laglig krävs att något av villkoren i artikel 6.1 i dataskyddsförordningen är tillämpligt. Dataskyddsförordningen utgår nämligen från att varje behandling av personuppgifter måste vila på någon av de rättsliga grunder som räknas upp i artikel 6.1. Flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling.168 I avsnitt 3.2.5 och 3.2.6 finns närmare redogörelser för den generella dataskyddsregleringen.
För Skatteverkets, Tullverkets och Kronofogdemyndighetens del är det den rättsliga grunden i artikel 6.1 e som främst är aktuell att tillämpa vid behandling av personuppgifter vid dataanalyser och urval.169 Enligt den artikeln är behandling endast laglig om den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Regeringen har uttalat att alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse.170 I normalfallet utgör en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e.171 Vidare har EU-domstolen uttalat att upp-
168Prop. 2017/18:105, Ny dataskyddslag, s. 45–46. 169 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 57. 170Prop. 2017/18:105, Ny dataskyddslag, s. 56. 171Prop. 2022/23:34, Utbetalningsmyndigheten, s. 114.
börd av skatt och bekämpning av skatteundandragande ska betraktas som uppgifter av allmänt intresse.172 Det unionsrättsliga begreppet nödvändigt ska inte anses utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. I dagsläget bör det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag.173
Generellt är de uppgifter som Skatteverket, Tullverket och Kronofogdemyndigheten utför till följd av uppdrag i myndigheternas instruktioner, regleringsbrev, specifika regeringsuppdrag, myndighetsförordningen och verksamhetsspecifika materiella författningar, t.ex. skatteförfarandelagen, inkomstskattelagen, folkbokföringslagen, tulllagen och utsökningsbalken, uppgifter av allmänt intresse.
I avsnitt 14.6.1 konstaterar vi att myndigheterna bör ges utökade möjligheter att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom de verksamheter som omfattas av de föreslagna nya dataskyddslagarna. Med andra ord anser vi att det ska vara tillåtet att behandla personuppgifter för att använda sådana verktyg även när det inte finns någon koppling till ett visst ärende. Vi bedömer att myndigheterna därmed ges bättre förutsättningar att säkerställa att de författningsreglerade uppgifterna kan fullgöras på ett effektivt, korrekt och rättssäkert sätt. Det rör sig alltså om uppgifter av allmänt intresse. Vidare är det nödvändigt att Skatteverket, Tullverket och Kronofogdemyndigheten behandlar personuppgifter elektroniskt för att utföra det kontrollarbete, vilket dataanalyser och urval är en del av, som krävs vid fullgörandet av uppgifterna. Sammantaget bedömer vi att den personuppgiftsbehandling som är nödvändig för att myndigheterna ska kunna utföra sina uppgifter ryms inom den rättsliga grunden uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Vidare ska enligt artikel 6.3 första stycket i dataskyddsförordningen den grund för behandlingen som avses i artikel 6.1 e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt. Dataskyddsförordningen kräver inte att det finns en lag för varje en-
172 EU-domstolens dom den 27 september 2017, Puškár, C-73/16, EU:C:2017:725, punkt 108 och dom den 24 februari 2022, ”SS” SIA mot Valsts ieņēmumu dienests, C-175/20, EU: C:2022:124, punkt 70. 173Prop. 2017/18:105, Ny dataskyddslag, s. 46–47.
skild behandling, utan det kan räcka med en lag som grund för flera behandlingar.174 Det krävs inte heller en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av den rättsliga grunden i artikel 6.1 e. Det som måste ha stöd i rättsordningen är uppgiften av allmänt intresse eller rätten att utöva myndighet.175 Vidare måste inte den rättsliga grunden fastställas i en lagstiftningsakt antagen av ett parlament.176
Skatteverket, Tullverket och Kronofogdemyndigheten har alla en skyldighet enligt sina instruktioner att bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som respektive myndighet.177 Dataanalyser och urval är ett verktyg som innebär att myndigheterna kan rikta sina resurser där de behövs som mest, dvs. där det t.ex. finns störst risk för fel eller fusk.
När det gäller Skatteverkets beskattningsverksamhet finns det, med något enstaka undantag178, inget uttryckligt stöd i den materiella verksamhetsregleringen för övergripande dataanalyser och urval. Detsamma gäller för Skatteverkets folkbokföringsverksamhet. Som framgått av avsnitt 14.2 utgår de bestämmelser som reglerar Skatteverkets utrednings- och kontrollbefogenheter från åtgärder som myndigheten kan vidta i enskilda ärenden i form av exempelvis förelägganden, vitesförelägganden, kontrollbesök och revision.
Av förarbetena till den nu gällande skattedatabaslagen och folkbokföringsdatabaslagen framgår att Skatteverket inom båda dessa verksamheter ska ha möjlighet att göra riskanalyser med hjälp av automatiserad databehandling för att välja ut ärenden, skattesubjekt eller uppgifter som särskilt ska kontrolleras.179 Särskilda ändamålsbestämmelser som omfattar sådan behandling finns därför i de nu gällande registerlagarna. Det har dock inte tillförts någon bestämmelse i materiell rätt som ger Skatteverket i uttrycklig uppgift att utföra sådana riskanalyser. Detta trots att de befintliga primära ändamålsbestämmelserna är direkt anpassade till respektive verksamhet180, vars
174 Skäl 45 till dataskyddsförordningen. 175Prop. 2017/18:105, Ny dataskyddslag, s. 49. 176 Skäl 41 till dataskyddsförordningen. 177 10 § förordningen med instruktion för Skatteverket, 7 § förordningen med instruktion för Tullverket och 5 § förordningen med instruktion för Kronofogdemyndigheten. 178 Se t.ex. regleringen i 33 b kap. SFL. 179Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123–124 och 140. 180Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99.
reglering alltså har en stark koppling till handläggning av enskilda ärenden.
Skatteverket har dock nyligen fått en utökad möjlighet att göra dataanalyser och urval inom folkbokföringsverksamheten genom nya bestämmelser i folkbokföringsdatabaslagen med tillhörande förordning. I den proposition som föregick de nya bestämmelserna bedömde regeringen att det ingår i Skatteverkets uppgifter enligt 2 § förordningen med instruktion för Skatteverket att myndigheten måste kunna kontrollera uppgifternas riktighet och utföra analyser och urval för att fullgöra den uppgift som ålagts myndigheten. I bestämmelsen anges att Skatteverket ansvarar för frågor om folkbokföring och personnamn samt att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Regeringen ansåg mot denna bakgrund att Skatteverket redan i dag har stöd för att använda sig av analyser och urval i folkbokföringsverksamheten. Något behov ansågs därför inte finnas att av den anledningen ändra i instruktionen eller i folkbokföringslagen.181Vi har inte funnit någon anledning att nu frångå den bedömningen.
I Skatteverkets instruktion finns ytterligare bestämmelser som vi bedömer är av relevans för beskattningsverksamhetens möjligheter att utföra dataanalyser och urval. Enligt 1 § förordningen med instruktion för Skatteverket ska Skatteverket fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ska även fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatteberäkning och andra ändamål. Enligt 7 § ansvarar Skatteverket för vissa borgenärsuppgifter och enligt 8 § ska myndigheten fastställa pensionsgrundande inkomst.
Vi anser att för att Skatteverket ska kunna utföra dessa uppgifter i enlighet med de krav på effektivitet och korrekthet som finns måste myndigheten även inom beskattningsverksamheten få göra dataanalyser och välja ut vilka ärenden, skattesubjekt eller uppgifter som ska kontrolleras närmare.
Tullverkets materiella reglering som är av relevans för dataanalyser och urval för kontroll skiljer sig från Skatteverkets. Enligt 1 kap. 2 § tullförordningen (2016:287) ska Tullverket utföra de uppgifter
181Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 21–22.
som en tullmyndighet eller en behörig myndighet har enligt förordning (EU) nr 952/2013, dvs. tullkodexen, och de förordningar som meddelas med stöd av den förordningen om inget annat sägs i lag eller förordning. Av artikel 46 i tullkodexen framgår att Tullverket får genomföra alla tullkontroller som anses nödvändiga. Vidare anges att andra tullkontroller än slumpvisa kontroller främst ska baseras på riskanalys som görs med hjälp av elektronisk databehandlingsteknik i syfte att, på grundval av kriterier som utarbetats på nationell nivå, unionsnivå och, i förekommande fall, internationell nivå, identifiera och bedöma risker och utarbeta nödvändiga motåtgärder.182Det framgår även att tullkontroller ska utföras inom en gemensam ram för riskhantering som grundar sig på utbyte av riskinformation och riskanalysresultat mellan tullförvaltningar och genom vilken det fastställs gemensamma riskkriterier och standarder, kontrollåtgärder och prioriterade kontrollområden. Vidare framgår det av artikel 227 i kommissionens genomförandeförordning till tullkodexen183 att när tulldeklarationen inges i enlighet med artikel 171 i kodexen184 ska tullmyndigheterna behandla de uppgifter som inlämnas före anmälan av varornas ankomst särskilt för riskanalysändamål. För riskhantering och tullkontroller ska ett gemensamt elektroniskt system användas för bl.a. utbyte och lagring av uppgifter.185 I kompletteringsförordningen till tullkodexen finns mycket detaljerade regler om bl.a. gemensamma uppgiftskrav för utbyte och lagring av uppgifter.186Ytterligare regler som är hänförliga till riskanalys och kontroller finns i tullkodexen samt genomförandeförordningen och kompletteringsförordningen till tullkodexen.187
Genom den unionsrättsliga materiella verksamhetsregleringen har Tullverket enligt vår mening stöd för att göra analyser och urval, även mer övergripande sådana utan koppling till ärenden, i syfte att utföra tullkontroller inom de områden som omfattas av tullkodexen.
182 En definition av risk finns i artikel 5.7 i tullkodexen. 183 Kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets förordning (EU) nr 952/2013 om fastställande av en tullkodex för unionen. I fortsättningen benämnd genomförandeförordningen. 184 I artikel 171 i tullkodexen anges att en tulldeklaration för inges innan varornas ankomst väntas anmälas till tullen. Om varorna inte anmäls inom 30 dagar efter ingivandet av tulldeklarationen ska den anses inte ha ingetts. 185 Artikel 16 i tullkodexen och artikel 36 i genomförandeförordningen. 186 Kommissionens delegerade förordning (EU) 2015/2446 av den 28 juli 2015 om komplettering av Europaparlamentets och rådets förordning (EU) nr 952/2013 vad gäller närmare regler avseende vissa bestämmelser i unionens tullkodex. 187 Se t.ex. artiklarna 128 och 264 i tullkodexen och artikel 186 i genomförandeförordningen.
Det finns vissa andra områden inom Tullverkets verksamhet där det inte är lika tydligt att den materiella verksamhetsregleringen uttryckligen ger det stöd som krävs. Det handlar exempelvis om de uppgifter Tullverket utför enligt inregränslagen och lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter. Urval för sådan kontroll får enligt dessa lagar inte göras slumpmässigt (2 § inregränslagen och 1 kap. 5 § andra stycket LPK). I motiven till dessa bestämmelser anges dock att Tullverket får göra det selektiva urvalet för kontroll på grundval av t.ex. riskprofiler eller information som finns tillgänglig hos Tullverket.188 Även sådan reglering kan därmed anses ge stöd för analys- och urvalsverksamheten. Att det inte på samma sätt framgår av bestämmelsernas ordalydelser bör inte ha betydelse i detta sammanhang.189
Vidare ska Tullverket enligt 1 § förordningen med instruktion för Tullverket fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Enligt 2 § ska Tullverket övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. Även denna reglering bedöms ge stöd för Tullverkets arbete med analyser och urval för att kunna fullgöra de uppgifter som ålagts dem.
Kronofogdemyndighetens materiella verksamhetsreglering utgår från utrednings- och kontrollbefogenheter som kan vidtas i enskilda mål eller ärenden, såsom förelägganden, vitesförelägganden eller förhör. Till skillnad från Skatteverket finns det inga särskilda uttalanden i propositionen till den nu gällande kronofogdedatabaslagen om myndighetens behandling av personuppgifter för att göra analyser och urval. Enligt 1 § förordningen med instruktion för Kronofogdemyndigheten är Kronofogdemyndighetens huvudsakliga uppgifter indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Enligt 2 § ska Kronofogdemyndigheten verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Kronofogdemyndighetens uppdrag har därmed inte lika omfattande inslag av kontrollverksamhet som Skatteverkets eller Tullverkets. Kronofogdemyndighetens generella uppdrag är i stället av mer verkställande och rådgivande art genom att den ska bistå borgenärer som inte fått
188Prop. 1995/96:166, Tullens befogenheter vid den inre gränsen, s. 56–57 och prop. 2002/03:10,
Straffrättsliga sanktioner mot överträdelser av EG:s punktskatteregler för alkohol, tobak och mineraloljor, s. 86 och 101.
189 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 188.
betalt och ge stöd och råd till gäldenärer. Det kan här nämnas att flertalet av de analyser som Kronofogdemyndigheten utför görs för att nå högre kunskap om skuldsättningens effekter i samhället. Kronofogdemyndigheten har eller planerar dock för att börja arbeta mer med dataanalyser och urval även för att hitta de områden där det finns högre risk för fel eller fusk eller för att identifiera vilken slags egendom som det typiskt sett finns högre risk för kan komma att undandras.
Trots att kontrolluppdraget inte är lika framträdande för Kronofogdemyndigheten har även den myndigheten ett ansvar för att se till att utföra de uppgifter som ålagts den på ett effektivt och korrekt sätt. Hänsyn ska inte heller enbart tas till en bestämmelses ordalydelse för att avgöra om något följer av t.ex. lagtext i dataskyddsförordningens mening.190 Vi menar att även Kronofogdemyndigheten måste anses ha stöd för att utföra analyser och urval i syfte att förebygga, förhindra och upptäcka fel. Det kan exempelvis göras för att identifiera ansökningar om betalningsförelägganden där det finns högre risk för att de grundar sig på oriktiga fakturor eller för att hitta var i samhället risken för överskuldsättning är som störst i syfte att vidta förebyggande åtgärder inom dessa samhällsgrupper.
En rättslig grund för behandling av personuppgifter måste uppfylla kraven på tydlighet, precision och förutsebarhet i dataskyddsförordningen för att den behandling som stödjer sig på den aktuella grunden ska vara laglig.191 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget försvarbart.192
Skatteverket, Tullverket och Kronofogdemyndigheten är tre myndigheter som alla behandlar personuppgifter i sina respektive verksamheter. Skatteverket behandlar personuppgifter inom beskattningsverksamheten och folkbokföringsverksamheten i mycket större omfattning än vad Tullverket och Kronofogdemyndigheten gör i sina respektive verksamheter. Även Tullverkets och Kronofogdemyndighetens verk-
190Prop. 2017/18:105, Ny dataskyddslag, s. 188. 191 Artikel 6.2 och skäl 41 till dataskyddsförordningen. 192Prop. 2017/18:105, Ny dataskyddslag, s. 51 och 188.
samheter är dock sådana att inte oväsentliga mängder personuppgifter behandlas. Dataanalyser och urval inom myndigheternas verksamheter i syfte att förebygga, förhindra och upptäcka fel innebär för samtliga berörda myndigheter att egna verksamhetsuppgifter samkörs på ett sätt som inte sker när uppgifterna behandlas för att handlägga enskilda ärenden. Vidare kan sådana uppgifter komma att sambearbetas med uppgifter som myndigheterna har inhämtat från andra myndigheter, antingen som ett led i ärendehandläggning eller primärt för att göra dataanalyser och urval. Det kan även förekomma behandling av känsliga personuppgifter. De urval som tas fram med hjälp av dataanalyserna kommer i förekommande fall att leda till att myndighetsutövning vidtas mot enskilda. Den personuppgiftsbehandling som myndigheternas dataanalyser och urval ger upphov till är därmed sammantaget av sådan karaktär och omfattning att intrånget i den personliga integriteten kan bli kännbart. Vi anser därför att den rättsliga grunden behöver ha en relativt hög grad av tydlighet, precision och förutsebarhet för att uppfylla kraven i dataskyddsförordningen.
I avsnitt 8.4.3 föreslås att de nya lagarna ska innehålla brett formulerade ändamålsbestämmelser. Innebörden av bestämmelserna är att myndigheterna får behandla personuppgifter om det är nödvändigt för att utföra de verksamheter som omfattas av lagarnas tillämpningsområden. Den föreslagna regleringen tillåter därmed att personuppgifter behandlas om det är nödvändigt för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina uppgifter, i vilka ingår att vidta de åtgärder för kontroll som krävs. Vidare kommer finalitetsprincipen även att ge stöd för viss behandling. Som anges ovan framgår av den materiella verksamhetsregleringen på ett tydligt sätt att Tullverket har i uppgift att utföra olika typer av riskanalyser genom att behandla uppgifter automatiserat för att bl.a. göra tullkontroller. De författningar som fastställer den uppgift av allmänt intresse som ger stöd för den aktuella behandlingen vid Skatteverket och Kronofogdemyndigheten, samt vissa andra delar i Tullverkets verksamhet, får dock sägas inbegripa mer allmänt hållna bestämmelser. Vidare är den övriga materiella verksamhetsreglering som ger myndigheterna befogenheter i hög grad kopplad till åtgärder som kan vidtas i enskilda ärenden.
Mot bakgrund av den karaktär personuppgiftsbehandlingen kan ha vid dataanalyser och urval för kontrolländamål finns det enligt vår
mening skäl att tydliggöra den rättsliga grunden för behandlingen. På detta sätt ges myndigheterna även tydligare ramar för hur verktyget får användas i verksamheterna.193 Det kan underlätta för berörda myndigheter att avgöra i vilken omfattning de får göra dataanalyser och urval. Det gör det även enklare för enskilda fysiska personer att få en uppfattning om vad som är tillåtet för myndigheterna i detta sammanhang, vilket är viktigt bl.a. mot bakgrund av de kontrollåtgärder som framtagandet av urvalsträffar kan leda till. Av artikel 5.1 a i dataskyddsförordningen framgår dessutom att personuppgiftsbehandling ska ske på ett öppet sätt i förhållande till den registrerade.
Vidare kan myndigheternas personuppgiftsbehandling vid dataanalyser och urval för kontroll innebära kartläggning av enskildas personliga förhållanden på ett sätt som utgör betydande intrång i den personliga integriteten enligt 2 kap. 6 § andra stycket RF (se avsnitten 6.2 och 14.12). Behandlingar som innebär begränsningar i regeringsformens skydd för den personliga integriteten kan endast tillåtas genom bestämmelser i lag (2 kap. 20 § första stycket 2 RF). Det innebär att en tydliggörande reglering av behandling av personuppgifter vid dataanalyser och urval bör slås fast i lag. I avsnitten 6.2 och 14.12 finns en bedömning av om förutsättningarna för att besluta om en sådan rättighetsinskränkande reglering i enlighet med våra förslag är uppfyllda.
Sammanfattningsvis gör vi bedömningen att den rättsliga grunden för myndigheternas användning av dataanalyser och urval som verktyg för en effektiv kontrollverksamhet bör tydliggöras genom ytterligare reglering i lag. Våra överväganden och förslag till sådan reglering finns nedan i avsnitten 14.8 och 14.9.
193 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 22.
14.8. Nya särskilda ändamålsbestämmelser som avser dataanalyser och urval
Vårt förslag: Det ska finnas bestämmelser i beskattningsdata-
lagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att myndigheterna får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet som omfattas av lagarnas tillämpningsområden.
I kronofogdedatalagen ska det även föreskrivas att Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att motverka överskuldsättning.
Skälen för vårt förslag
Det bör inte införas särskilda bestämmelser om dataanalyser och urval i befintlig eller ny materiell verksamhetsreglering
Ett sätt för att tydliggöra att Skatteverket, Tullverket och Kronofogdemyndigheten har rättslig grund för att använda dataanalyser och urval är att införa nya eller ändrade bestämmelser i materiell verksamhetsreglering. Sådana bestämmelser skulle kunna ges innebörden att myndigheterna får göra dataanalyser och urval för vissa angivna kontrolländamål och införas i anslutning till de regler som finns om myndigheternas utredning och kontroll i exempelvis skatteförfarandelagen, inregränslagen och konkurslagen.
Sådana bestämmelser i lagar som de nu nämnda, med undantag för vissa av Tullverkets verksamhetsförfattningar, reglerar dock huvudsakligen myndigheternas befogenheter att vidta utrednings- och kontrollåtgärder i enskilda ärenden (jfr avsnitt 14.2). Bestämmelserna är också förhållandevis detaljerade. De åtgärder som myndigheterna vidtar vid analyser och urval är en mer övergripande och resultatorienterad kontrollverksamhet som därmed skiljer sig från bestämmelser om kontroll i ett enskilt fall. Det är vidare svårt att hitta andra sammanhang i den typen av författningar där bestämmelser som ger stöd åt användningen av sådana verktyg som här är aktuella skulle passa in. Det bedöms inte heller vara lämpligt att reglera sådana bestäm-
melser i exempelvis nya kapitel i varje materiell författning där det skulle kunna vara aktuellt. Dataanalyser och urval är vidare inte någon ny befogenhet eller uppgift som utgör myndighetsutövning och som av den anledningen bör regleras i myndigheternas materiella författningar. Det är därför inte heller lämpligt att föra in nya eller förtydligande bestämmelser i myndigheternas förordningar med instruktioner.194
Ytterligare en möjlighet är att överväga en reglering av myndigheternas dataanalyser och urval i helt nya författningar. En materiell lag som exempelvis reglerar Skatteverkets arbete med dataanalyser och urval skulle kunna innehålla bestämmelser om när myndigheten får använda sådana verktyg och hur de får användas. En sådan typ av reglering skulle kunna ge tydliga ramar för myndigheternas arbete med dataanalyser och urval, även i de fall det saknas koppling till ärendehandläggning. Personuppgiftsbehandlingen skulle styras av framför allt de föreslagna sektorspecifika lagarna om dataskydd, dataskyddsförordningen och dataskyddslagen. Myndigheternas materiella uppgifter skulle då fortsatt hållas separerade från dataskyddsregleringen vilket underlättar tillämpningen. Som vi tidigare nämnt avser vi dock inte att reglera en ny uppgift för myndigheterna. En utökad möjlighet att använda dataanalyser och urval kräver i stället framför allt tydligare rättsligt stöd för den personuppgiftsbehandling som är nödvändig att utföra eftersom denna i många fall kommer att utgöra ett ingrepp i enskildas personliga integritet.
Särskilda dataskyddsbestämmelser ska införas
Vi anser att det mest ändamålsenliga för att säkerställa att myndigheterna kommer att ha rättslig grund för den personuppgiftsbehandling som krävs för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i enlighet med våra förslag är att föra in bestämmelser med kompletterande dataskyddsreglering i de föreslagna lagarna om dataskydd, dvs. beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen. Särskilda regler om behandling av personuppgifter har visserligen nyligen införts i folkbokföringsdatabaslagen. Att vi trots detta anser att nya
194 Regeringen har nyligen bedömt att så inte behövs för Skatteverkets folkbokföringsverksamhet, se prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval
i folkbokföringsverksamheten, s. 21–22.
bestämmelser om dataanalyser och urval även ska införas för Skatteverkets folkbokföringsverksamhet beror på att våra förslag i övriga delar innebär att folkbokföringsdatabaslagen ska upphävas och ersättas av en ny lag som inte kommer att innehålla en databasreglering.
En fråga som uppkommer med anledning av en sådan lösning är om det är möjligt att i svensk rätt införa den kompletterande reglering som här avses i sektorspecifika lagar om dataskydd, och vad som i sådana fall kan regleras. Det är uppgiften av allmänt intresse eller myndighetsutövningen i artikel 6.1 e i dataskyddsförordningen som ska fastställas i unionsrätten eller nationell rätt (artikel 6.3 första stycket). En sådan reglering utgör då den rättsliga grunden för behandling. I artikel 6.3 andra stycket anges dock att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Det avser bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Utifrån detta samt sett till hur hela artikel 6 är konstruerad utgår dataskyddsförordningen till synes från att även sådana särskilda bestämmelser som är möjliga att införa ska regleras i den författning som ger stöd åt uppgiften av allmänt intresse eller myndighetsutövningen. Den systematik som finns i svensk rätt på området avseende myndigheters personuppgiftsbehandling har dock varit att bestämmelser om dataskydd tas in i särskilda registerförfattningar. Regeringen har även anfört att EU:s dataskyddsförordning ger utrymme för en sådan särskild reglering om personuppgiftsbehandling som finns i berörda myndigheters registerlagar.195 Om sådana särskilda bestämmelser som avses i artikel 6.3 andra stycket i dataskyddsförordningen tas in i de sektorspecifika lagarna om dataskydd i stället för i materiell rätt, bör det innebära att sådana bestämmelser därmed blir en del av den rättsliga grunden.
En risk med en sådan systematik är att även om syftet med en sådan kompletterande reglering är att göra den rättsliga grunden mer tydlig och precis, kan effekten bli den motsatta eftersom tillämparen
195Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 49–50.
måste beakta bestämmelser i olika författningar för att utföra vissa åtgärder. Ett sätt att undvika sådana tillämpningssvårigheter är, i likhet med vad som diskuterats ovan, att införa regler om personuppgiftsbehandling i anslutning till de bestämmelser om myndigheternas uppgifter som finns i materiell verksamhetsreglering. Den svenska lagstiftningstraditionen är dock sådan att liknande kompletterande bestämmelser om personuppgiftsbehandling brukar införas i sektorspecifika författningar om behandling av personuppgifter.196 Vi bedömer att det i just detta fall är en bättre lösning att upprätthålla den svenska systematiken. Vidare är det framför allt just förutsättningarna för att behandla personuppgifter vid dataanalyser och urval som behöver förtydligas. Vi anser därför att det är lämpligt och möjligt att införa sådana kompletterande bestämmelser i de föreslagna lagarna för att tydliggöra att den personuppgiftsbehandling som kommer att utföras vid dataanalyser och urval har det stöd som krävs.
Utformningen av nya ändamålsbestämmelser om behandling av personuppgifter för att göra dataanalyser och urval
Enligt artikel 5.1 b i EU:s dataskyddsförordning får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det finns inget krav på att ändamålen ska vara fastställda i nationell författning, men det finns inte heller något som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas.197 Om ändamålsbestämmelser införs i dataskyddsförfattningar är det en sådan typ av specifika bestämmelser som i enlighet med artiklarna 6.2 och 6.3 i dataskyddsförordningen anpassar tillämpningen av förordningen. Syftet med sådana bestämmelser är att ange ramen för vilken behandling som är tillåten.198 När ändamålsbestämmelser finns i sektorspecifika registerförfattningar anses de vara ett
196 Jfr t.ex. 1 kap. 6 § och 3 kap. 1–4 §§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten och 1 kap. 4 a § och 2 a kap. FdbL. 197 Artikel 6.3 andra stycket i dataskyddsförordningen, prop. 2017/18:105, Ny dataskyddslag, s. 48 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i
folkbokföringsverksamheten, s. 23–24.
198Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 24.
sådant fastställande av den rättsliga grunden för en uppgift av allmänt intresse som avses i artikel 6.3 i dataskyddsförordningen.199
En reglering av behandling av personuppgifter när dataanalyser och urval utförs behöver täcka all den behandling som är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna använda sådana verktyg i myndigheternas kontrollverksamhet. Det är därför viktigt att de inte formuleras på ett sätt som begränsar myndigheternas möjligheter i förhållande till vad som gäller i dag. Våra förslag innebär att behandling av personuppgifter för att göra dataanalyser och urval ska få ske för samma övergripande syfte, nämligen att på ett så korrekt och effektivt sätt som möjligt fullgöra sina författningsreglerade uppgifter genom att använda sådana verktyg för kontrollverksamhet och i Kronofogdemyndighetens fall även för att motverka överskuldsättning (se nedan). Detta bör framgå på ett sätt som gör det möjligt att förutse när personuppgifter kan komma att behandlas för att göra dataanalyser och urval.
Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska införas bestämmelser som föreskriver att myndigheterna får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet som omfattas av lagarnas tillämpningsområden. Bestämmelserna bör föras in som särskilda primära ändamål i anslutning till de brett formulerade ändamålsbestämmelser vi föreslår i avsnitt 8.4.3. Avsikten är att tydliggöra att myndigheterna har stöd för den behandling av personuppgifter som är nödvändig vid myndigheternas användning av dataanalyser och urval i de verksamheter som omfattas av lagarnas tillämpningsområden. Bestämmelserna kommer tillsammans med finalitetsprincipen att utgöra den yttre ramen för tillåten behandling av personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. De grunder för behandlingen som framgår av materiell verksamhetsreglering motsvarar denna yttre ram för vilken behandling som lagligen får utföras vid sådana dataanalyser och urval, på
199Prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning
till EU:s dataskyddsförordning, s. 83, SOU 2017:66, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning, s. 227 och Öman, S., Dataskyddsförordningen (GDPR) m.m., (13 oktober 2022, Version 2A, JUNO), kommentaren till arti-
kel 6 i dataskyddsförordningen under rubriken Tredje punkten – Fastställande av den rättsliga grunden i EU-rätten eller nationell rätt.
samma sätt som vid den övriga personuppgiftsbehandling myndigheterna utför.
Bestämmelserna bör omfatta all behandling som görs vid utförande av dataanalyser och urval för de angivna syftena inom ramen för de föreslagna lagarna. Vad som utgör behandling framgår av artikel 4.2 i dataskyddsförordningen. Kravet på nödvändighet innebär inte att behandlingen måste vara oundgänglig för att den ska vara tillåten. Kravet innebär dock att personuppgifter inte får behandlas om ändamålet med behandlingen kan uppnås med andra medel, t.ex. genom att använda anonymiserade eller pseudonymiserade uppgifter.
Med dataanalyser och urval avses myndigheternas arbete med att analysera data för att välja ut ärenden, uppgifter eller subjekt som särskilt behöver kontrolleras. Även behandling för att identifiera områden där det finns störst risk för oavsiktliga fel, som t.ex. kan behöva mötas med informationsinsatser, omfattas.
Inom ramen för bestämmelserna kommer behandling i form av inhämtning och fortsatt behandling av uppgifter i syfte att utgöra underlag för dataanalyser och urval att rymmas. De omfattar även t.ex. uppföljning, utveckling och testning av analys- och urvalsmodeller.200
Angivandet av att aktuell personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel gör det tydligt att verktygen inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende.
Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller mänskliga misstag. Att det nuvarande begreppet ”felaktiga uppgifter” i 1 kap. 4 a § FdbL byts ut mot ”fel” genom våra förslag är inte avsett att innebära någon ändring i sak.
De bestämmelser vi föreslår ska införas i de nya lagarna bedöms sammantaget göra det tydligt att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter för att göra dataanalyser och urval för kontrolländamål, samt var gränserna för sådan behandling går. Utformningen av bestämmelserna, tillsammans med den materiella verksamhetsregleringen och de bestämmelser som föreslås i avsnitt 14.9 om vilka uppgifter som får behandlas, bedöms ge
200 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 25.
myndigheterna ändamålsenliga förutsättningar att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet.
Det ska framhållas att en särskild bestämmelse om dataanalyser och urval inte fråntar de personuppgiftsansvariga myndigheternas ansvar att efterleva de principer som anges i bl.a. artikel 5 i dataskyddsförordningen.201 Det innebär att myndigheterna trots en i författning särskild reglerad bestämmelse som anger den yttre ramen för behandlingen kan behöva fastställa särskilda, uttryckligt angivna och berättigade ändamål för den behandling som utförs vid dataanalyser och urval för att uppfylla kraven i artikel 5.1 b i dataskyddsförordningen.
Särskilda överväganden avseende Tullverket
Vi har särskilt för Tullverket övervägt andra alternativ än de bestämmelser som nu föreslås. En särskild bestämmelse om dataanalyser och urval får inte stå i strid med den EU-rättsliga regleringen i bl.a. tullkodexen. Sammantaget är en stor del av Tullverkets verksamhet reglerad i EU-rätten, eller härrör från EU-rättslig reglering. Reglering finns även i andra internationella föreskrifter.
Vi har övervägt att för Tullverket införa ett tillägg till den föreslagna ändamålsbestämmelsen. Det skulle exempelvis kunna föreskrivas att sådan personuppgiftsbehandling även får ske i de fall det annars följer av lag eller förordning. På detta sätt skulle det möjligen tydliggöras att den föreslagna regleringen inte på något sätt hindrar Tullverket från att utföra den behandling som krävs för att fullgöra ett internationellt åtagande. Vi bedömer dock att den föreslagna bestämmelsen i tulldatalagen inte är hindrande i detta avseende. Av bestämmelsen sedd tillsammans med bestämmelsen om lagens tillämpningsområde framgår att aktuell behandling av uppgifter är tillåten i de fall den är nödvändig för att fullgöra förpliktelser som följer av internationella åtaganden. Mot denna bakgrund anser vi att ett tillägg i den särskilda ändamålsbestämmelsen inte behövs.
Vi har också övervägt att formulera den föreslagna bestämmelsen så att den omfattar Tullverkets verksamhet enligt tullagstiftningen med undantag för åligganden som följer av ett för Sverige bindande internationellt åtagande. Av samma skäl som anförs ovan, dvs. att den
201 Artikel 5.2 i dataskyddsförordningen och prop. 2017/18:105, Ny dataskyddslag, s. 48.
föreslagna bestämmelsen inte bedöms hindra sådan behandling, anser vi dock att något tillägg av detta slag inte heller behöver införas.
Den föreslagna bestämmelsen är vidare utformad på ett sätt som är avsett att säkerställa att den inte står i strid med EU-rättslig eller annan internationell reglering. I det fall det trots allt skulle uppkomma en situation där tillämparen bedömer att den föreslagna bestämmelsen står i strid med EU-rätten bör principen om EU-rättens företräde202 tillämpas.
Kronofogdemyndigheten ska också få behandla personuppgifter för att göra dataanalyser och urval i syfte att motverka överskuldsättning
Ett av Kronofogdemyndighetens uppdrag är att motverka överskuldsättning.203 Detta arbete handlar bl.a. om informationsinsatser gentemot enskilda. Med hjälp av dataanalyser och urval som verktyg kan myndigheten på ett effektivt sätt identifiera var i samhället risken för överskuldsättning är som störst. Sådana verktyg används då alltid utanför ärendehandläggningen. Det handlar t.ex. om att använda analyser och urval för att förutse vilka som riskerar att hamna i eller återfalla i överskuldsättning. Möjligheten att använda sådana verktyg för att utföra detta uppdrag underlättar för myndigheten att kunna vidta förebyggande åtgärder inom de samhällsgrupper där det behövs som mest. Det rör sig alltså inte om eventuella efterföljande åtgärder som utgör myndighetsutövning mot enskilda på det sätt som kan vara fallet när dataanalyser och urval används för att förebygga, förhindra eller upptäcka fel. Däremot kräver sådana analyser och urval också behandling av stora mängder personuppgifter av varierande art.
Vi anser att Kronofogdemyndigheten har ett behov av att kunna behandla personuppgifter för att göra dataanalyser och urval i syfte att utföra sitt uppdrag med att motverka överskuldsättning på ett effektivt sätt. Effektiva verktyg är inom detta område viktigt för att så få personer som möjligt ska hamna i överskuldsättning, vilket kan innebära stort lidande för den enskilde och även innebära ökade kostnader för olika delar av samhället. Exempelvis har det genom myndighetens arbete med att förebygga vräkningssituationer uppmärksammats att det ger stor effekt om unga vuxna genom samtal aktiveras tidigt för att ta kontakt med sin hyresvärd. Det finns också ett behov
202 EU-domstolens dom den 15 juli 1964 i mål nr 6/64, Flaminio Costa mot E.N.E.L. 203 2 § förordningen med instruktion för Kronofogdemyndigheten.
av att kunna ge anpassat stöd redan vid det första tillfället någon ådrar sig en brottsrelaterad skuld. Genom möjligheten att arbeta med dataanalyser och urval får Kronofogdemyndigheten effektiva verktyg att hitta rätt metod gentemot rätt målgrupp.
Det finns även andra sätt att motverka överskuldsättning på som inte innebär användning av dataanalyser och urval. Ett sådant arbete kan dock i princip endast utföras på statistiknivå, vilket innebär att möjligheterna till att utföra effektiva riktade informationsinsatser minskar.
Den bestämmelse vi föreslår ska införas i kronofogdedatalagen innebär att det blir tydligt att Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. När det gäller Kronofogdemyndighetens arbete med att motverka överskuldsättning handlar detta arbete inte i första hand om att förebygga, förhindra eller upptäcka fel. Det rör sig snarare om att identifiera områden där Kronofogdemyndigheten t.ex. behöver genomföra riktade informationsinsatser för att försöka se till att färre personer hamnar i en situation som innebär att personen blir överskuldsatt.
Kronofogdemyndighetens arbete med att motverka överskuldsättning framgår av materiell verksamhetsreglering och anses vara en integrerad del i myndighetens andra verksamheter (se avsnitt 7.4.8). Av 2 § förordningen med instruktion för Kronofogdemyndigheten framgår att Kronofogdemyndigheten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas.204 Det finns därmed en rättslig grund för behandlingen (artikel 6.1 e i dataskyddsförordningen). För att det ska vara tydligt att personuppgifter även får behandlas för att göra dataanalyser och urval i syfte att myndigheten ska kunna utföra sitt uppdrag att motverka överskuldsättning på ett effektivt sätt anser vi dock att det finns skäl att i lag tydliggöra att även sådan behandling är tillåten. Vi föreslår därför att det i kronofogdedatalagen ska föreskrivas att Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att motverka överskuldsättning.
204 Se även prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgifts-
hantering, s. 25.
Dataanalyser och urval i annan verksamhet än kontrollverksamhet
De föreslagna särskilda bestämmelserna som innebär att ändamålet med personuppgiftsbehandlingen vid dataanalyser och urval framgår klart och tydligt är utformade mot bakgrund av vårt uppdrag, dvs. att se över myndigheternas förutsättningar att använda dataanalyser och urval för en effektivare kontrollverksamhet. Användningen av verktygen för sådana syften kan i förlängningen komma att ligga till grund för myndigheternas myndighetsutövning gentemot enskilda. Vi har också gjort bedömningen att det finns ett behov av att tydliggöra Kronofogdemyndighetens möjligheter att behandla personuppgifter för att göra dataanalyser och urval i syfte att motverka överskuldsättning.
I vårt arbete har myndigheterna även beskrivit vissa behov av att använda dataanalyser och urval som verktyg också i annan verksamhet än kontrollverksamhet och verksamhet med att motverka överskuldsättning. Exempelvis har Kronofogdemyndigheten uppgett att myndigheten arbetar med att utveckla sätt att genom analyser och urval försöka förutse återkallelser av ansökningar om betalningsföreläggande och handräckning mot bakgrund av att cirka 40 procent av alla ansökningar återkallas. Syftet med sådana analyser och urval är att effektivisera myndighetens arbete och rikta resurserna dit de behövs som mest då arbetet med fysisk delgivning är tids- och resurskrävande för myndigheten. Genom sådana åtgärder hoppas Kronofogdemyndigheten kunna fördela resurserna till de mål som sannolikt inte kommer att återkallas. Användningen av analyser och urval i detta sammanhang görs alltså inte direkt i syfte att förebygga, förhindra eller upptäcka fel eller för att motverka överskuldsättning.
Mot bakgrund av ramen för vårt uppdrag föreslår vi inte att det ska införas någon särskild ändamålsbestämmelse som på samma sätt klart och tydligt anger att myndigheterna får behandla personuppgifter för att göra dataanalyser och urval för andra ändamål utöver kontrolländamål. Ett undantag från detta är Kronofogdemyndighetens verksamhet med att motverka överskuldsättning, vilket är en viktig del i hela den myndighetens verksamhet (se ovan). Våra sammantagna förslag syftar dock inte till att myndigheterna ska ges minskade möjligheter att behandla personuppgifter i förhållande till vad som gäller i dag. Den generella primära ändamålsbestämmelsen kom-
mer exempelvis att ge stöd för analyser, tester och utveckling av verksamheten som inte sker i kontrollsyfte (jfr avsnitt 8.4.3).
14.9. Reglering av vilka uppgifter som behövs för dataanalyser och urval
14.9.1. Utgångspunkter för bedömningen av vilka uppgifter som behövs och hur det kan regleras
Det huvudsakliga syftet med att ge Skatteverket, Tullverket och Kronofogdemyndigheten utökade möjligheter att göra dataanalyser och urval är att effektivisera myndigheternas kontrollverksamhet. Verktygen kan bidra till att myndigheterna ges möjlighet att fördela resurserna till de delar av verksamheterna där det finns störst risk för fel som kan påverka välfärdsstaten, och därmed samhället, negativt.
En av de viktigaste förutsättningarna för träffsäkra urval är att myndigheterna har tillgång till relevanta uppgifter att basera dataanalyserna och urvalen på. Om myndigheterna inte ges möjlighet att samla in och behandla adekvata uppgifter i den utsträckning som behövs kommer det bli svårare att uppnå syftet med de förändringar vi anser är lämpliga. En allt för kringskuren möjlighet att behandla uppgifter för dataanalyser och urval kan i praktiken leda till att myndigheternas möjligheter att behandla personuppgifter styr vilka företeelser myndigheterna kan rikta sina kontroller mot, snarare än att kontroller kan riktas mot de områden där det faktiskt finns störst risk för fel eller fusk. En effektivare kontrollverksamhet kräver alltså enligt vår mening att myndigheterna får använda olika slags uppgifter för dataanalyser och urval. Samtidigt måste intentionerna att effektivisera kontrollverksamheten balanseras mot den befintliga regleringen om skydd för den personliga integriteten.
Utgångspunkten för övervägandena kring vilka uppgifter myndigheterna ska få behandla är att de ska vara nödvändiga för syftet dataanalyser och urval för att förebygga, förhindra och upptäcka fel i de respektive verksamheter som omfattas av de föreslagna lagarnas tilllämpningsområden. Detsamma gäller för dataanalyser och urval i syfte att motverka överskuldsättning inom Kronofogdemyndighetens verksamhet. Personuppgifter som behandlas ska enligt artikel 5.1 c i dataskyddsförordningen vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen
om uppgiftsminimering). De uppgifter som behandlas ska vara effektiva och antas leda till det avsedda resultatet med användningen av sådana verktyg. En annan utgångspunkt är att om det finns alternativa och mindre integritetskränkande sätt genom vilka myndigheterna kan utföra sina uppdrag på med samma grad av effektivitet, ska dessa användas i stället i syfte att minska integritetsintrånget.
När det gäller frågan om vilka uppgifter som ska få behandlas och hur det ska regleras, hindrar inte dataskyddsförordningen att medlemsstaterna inför en reglering av vilka typer eller kategorier av uppgifter som får behandlas för ett visst ändamål. Det är dock inte alltid ett krav att så görs. Om nationell rätt innehåller sådana bestämmelser utgör dessa särskilda bestämmelser som anpassar tillämpningen av dataskyddsförordningen (artikel 6.2 och artikel 6.3 i dataskyddsförordningen). Även sådana bestämmelser kan då anses bli en del av den rättsliga grunden för myndigheternas behandling. I de fall en myndighets materiella verksamhetsreglering är allmänt hållen och inte så tydlig kan det medföra att det finns ett behov av att införa särskilda dataskyddsbestämmelser för att uppfylla kraven på att den rättsliga grunden ska vara tillräckligt tydlig, precis, förutsebar och proportionerlig (artikel 6.3 och skäl 41 i dataskyddsförordningen). Det behöver inte nödvändigtvis vara bestämmelser om vilka personuppgifter som behandlas, men sådana bestämmelser kan bedömas krävas i vissa fall.
I det följande redogör vi för våra bedömningar av vilka kategorier av uppgifter som Skatteverket, Tullverket och Kronofogdemyndigheten bör tillåtas få behandla för att göra dataanalyser och urval. Vi presenterar också förslag till en särskild reglering i detta avseende och redogör för alternativa lösningar som vi har övervägt. Våra bedömningar och överväganden grundar sig på ett kartläggningsarbete som har skett i nära samråd med Skatteverket, Tullverket och Kronofogdemyndigheten.
14.9.2. En ny särskild reglering av vilka personuppgifter som får behandlas för dataanalyser och urval
Vårt förslag: Det ska i beskattningsdatalagen, folkbokföringsdata-
lagen, tulldatalagen och kronofogdedatalagen föreskrivas att för att göra dataanalyser och urval får de uppgifter behandlas som respektive myndighet förfogar över eller samlar in till följd av den verksamhet som omfattas av respektive lags tillämpningsområde. Myndigheterna ska även få behandla uppgifter som lämnas till dem för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Det ska i lagarna finnas en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för aktuella dataanalyser och urval.
Vår bedömning: Myndigheterna kommer att ha tillräckligt stöd
för att behandla känsliga personuppgifter och personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott vid dataanalyser och urval. Möjligheterna till sådan behandling bör inte begränsas ytterligare vid dataanalyser och urval i förhållande till den generella reglering vi föreslår i de nya lagarna.
Skälen för vårt förslag och vår bedömning
Det ska införas en reglering som anger vilka uppgifter som får behandlas
För att göra dataanalyser och urval kan myndigheterna komma att behöva behandla stora mängder uppgifter om fysiska personer, även om omfattningen kan antas vara större hos Skatteverket än hos Tullverket och Kronofogdemyndigheten. Uppgifterna härrör framför allt från de verksamheter som respektive myndighet bedriver. Uppgifter som samlas in från andra myndigheter eller verksamheter kommer också att förekomma, bl.a. genom författningsreglerade uppgiftsskyldigheter. Vid dataanalyser och urval samkörs dessa uppgifter vilket kan innebära att de tillsammans blir mer integritetskänsliga än varje enskild uppgift var för sig. De urvalsträffar som myndigheterna får fram genom analyserna kommer i vissa fall att leda till att enskilda ärenden eller subjekt väljs ut för ytterligare kontroller i myndighet-
ernas verksamheter. Sådana åtgärder och efterföljande beslut kommer i många fall att innebära myndighetsutövning gentemot enskilda.
Vi bedömer sammantaget att den behandling av personuppgifter som sker när myndigheterna utför dataanalyser och urval är sådan att det finns ett behov av en reglering som sätter gränser för vilka uppgifter som får behandlas. Det gäller samtliga här berörda myndigheter, dvs. Skatteverket, Tullverket och Kronofogdemyndigheten. En sådan reglering skulle även bidra till att tillsammans med myndigheternas materiella verksamhetsreglering och våra övriga förslag säkerställa att dataskyddsförordningens krav på att den rättsliga grunden ska vara tydlig, precis, förutsebar och proportionerlig uppfylls.
Vi anser dock att det inte är möjligt att på förhand fastslå exakt vilka uppgifter som myndigheterna behöver kunna behandla för att göra analyser och urval. Vår uppfattning är därför att en reglering av vilka uppgifter som myndigheterna ges tillgång till behöver vara flexibel samtidigt som den bidrar till att upprätthålla ett skydd för den personliga integriteten. I vårt utredningsarbete har vi därför övervägt olika former av reglering av vilka uppgifter som myndigheterna får behandla för att göra dataanalyser och urval. Det förslag vi slutligen valt att lägga fram redogör vi för i det följande, varefter vi även redovisar några av de alternativa former av reglering som vi har övervägt.
Vårt förslag
En förutsättning för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna uppnå hög träffsäkerhet vid analyserna och urvalen är att de får behandla relevanta uppgifter. I arbetet med att kartlägga vilka uppgifter som behövs har det kommit fram att det framför allt är uppgifternas art, snarare än mängden uppgifter, som är viktiga för vilken effekt användningen av verktygen kommer att få. De behov som myndigheterna har uppgett redogör vi för i avsnitt 14.4 ovan.
Vi anser att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska införas en bestämmelse som föreskriver att för att göra dataanalyser och urval får uppgifter som respektive myndighet förfogar över eller samlar in till följd av de verksamheter som omfattas av lagarnas tillämpningsområden behandlas. Vidare ska uppgifter som lämnas till respektive myndighet
för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning få behandlas. De föreslagna bestämmelserna är utformade utifrån våra bedömningar av vilka breda kategorier av uppgifter som vi anser att myndigheterna har ett behov av att behandla för att göra dataanalyser och urval i enlighet med våra förslag.
Mot bakgrund av att behandling av personuppgifter vid dataanalyser och urval kan anses vara särskilt integritetskänslig anser vi att det är lämpligt att aktuella bestämmelser införs i lagform. De föreslagna formuleringarna är vidare så pass generella att bestämmelserna inte heller bör behöva justeras allt eftersom myndigheterna t.ex. ges nya uppdrag. En reglering i lagform bedöms därmed inte hindra regleringens flexibilitet.
Bestämmelserna formuleras brett för att undvika en alltför kringskuren tillgång till uppgifter. Regleringen är samtidigt utformad så att den begränsar myndigheternas behandling av personuppgifter, i syfte att skydda enskildas personliga integritet. Den tydliggör att myndigheterna inte får behandla uppgifter som det inte finns stöd för att behandla till följd av myndigheternas författningsreglerade uppdrag. Det är enligt vår mening inte i detaljeringsgraden som integritetsskyddet ligger, utan i de grundläggande principerna för behandling av personuppgifter, specifika skydds- och säkerhetsåtgärder samt sekretessreglering. Bestämmelserna gör det t.ex. inte möjligt för myndigheterna att hämta in stora mängder personuppgifter från internet för att vissa uppgifter i en sådan mängd möjligen kan vara ”bra att ha” vid utvecklingen av en urvalsmodell. De ger inte heller i sig en ny möjlighet att samla in personuppgifter.
Behandlingen för dataanalyser och urval kommer i många fall att innebära en behandling för andra ändamål än insamlingsändamålen. De föreslagna bestämmelserna tydliggör att Skatteverket, Tullverket och Kronofogdemyndigheten har möjlighet att vidarebehandla aktuella personuppgifter för att göra dataanalyser och urval.205 Den tillkommande behandlingen kommer genom våra förslag att grunda sig på nationell rätt. Bestämmelserna bedöms vara nödvändiga och proportionerliga i ett demokratiskt samhälle för att skydda ett mål av generellt allmänt intresse i form av viktiga ekonomiska eller finansiella intressen, såsom bl.a. skattefrågor.206 Även om det enligt skäl 50
205 Se avsnitt 8.4.6 för närmare redogörelser av våra bedömningar av att de ändamål för vilka myndigheterna samlar in personuppgifter är sinsemellan förenliga med varandra även om ingen databasreglering införs i de nya lagarna. 206 Jfr artikel 6.4 i dataskyddsförordningen.
till dataskyddsförordningen inte krävs någon separat rättslig grund för vidarebehandlingen, kommer berörda myndigheter att behöva säkerställa att behandlingen är förenlig med dataskyddsförordningen.
Det förtjänar att påpekas att även om det inte finns något rättsligt hinder mot att använda en viss uppgiftskategori för dataanalyser och urval innebär detta att myndigheterna inte alltid kan använda samtliga uppgifter för analyser och urval. Uppgifterna måste nämligen alltid bl.a. vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c i dataskyddsförordningen).
Närmare om uppgifter som myndigheterna förfogar över eller samlar in till följd av respektive verksamhet
Det som enligt vår mening bör styra vilka uppgifter som ska få användas för dataanalyser och urval är myndigheternas behov utifrån de materiella uppdragen, såsom att t.ex. säkerställa en korrekt uppbörd eller se till att uppgifterna i folkbokföringen är korrekta. Om myndigheterna även vid dataanalyser och urval får använda samtliga personuppgifter som är relevanta för att de ska kunna utföra sina uppdrag, ges myndigheterna enligt vår bedömning goda möjligheter att utföra kontroller, utreda och avgöra ärenden på ett effektivare samt mer korrekt och rättssäkert sätt, vilket även i längden gagnar de registrerades rättigheter och friheter.
I vårt kartläggningsarbete har det generellt sett inte kommit fram att någon av myndigheterna har ett direkt behov av att få tillgång till många fler uppgifter som de i dag inte över huvud taget har möjlighet att hämta in, med vissa undantag (se avsnitten 14.10.2 och 14.10.3 nedan). Däremot har myndigheterna samstämmigt uppgett att det finns ett behov av att kunna behandla samtliga uppgifter som är relevanta för ärendehandläggningen även för dataanalyser och urval. Det har vidare kommit fram att det är de nuvarande sektorspecifika registerförfattningarna som i vissa fall ställer upp obefogade hinder mot att uppgifter behandlas för analyser och urval.
Vi anser att det närmast är en självklarhet att Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla de uppgifter som myndigheterna har tillgång till som en följd av respektive verksamhet även för analyser och urval. Myndigheterna behandlar redan en mängd personuppgifter i respektive verksamhet till följd av sina
författningsreglerade uppdrag. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende hos någon av myndigheterna eller så kan uppgifter ha överlämnats från andra myndigheter. Myndigheterna bör generellt ges tillgång till sådana uppgifter som dessa har möjlighet att behandla inom ramen för ärendehandläggning även för dataanalyser och urval. Det är just möjligheten för myndigheterna att i de stora ärendeflödena kunna urskilja var resurserna och behovet av kontroller är som störst som analyser och urval bedöms kunna göra stor nytta.
Uppgifter som myndigheterna redan förfogar över bedöms mot denna bakgrund vara relevanta att använda för att göra övergripande analyser och urval i syfte att identifiera risker för fel eller fusk, vilket i sin tur kan leda till en möjlighet att fördela resurser och utföra kontroller på ett mer effektivt sätt. Uppgifternas relevans är avhängig de materiella uppdragen. Ett projekt kan exempelvis syfta till att Skatteverket ska identifiera vilka inkomna ansökningar om godkännande för F-skatt eller registrering för mervärdesskatt alternativt vilka yrkade avdrag i en deklaration som bör kontrolleras ytterligare, vilka är berättigade ändamål mot bakgrund av Skatteverkets uppdrag. I sådana fall måste de uppgifter som används för att identifiera risker och utveckla urvalsmodeller för ändamålen vara uppgifter av betydelse för myndighetens möjlighet att godkänna eller avslå ansökningar om F-skatt eller mervärdesskatt eller medge de yrkade avdragen. För att uppnå effektiva urval behövs bl.a. historiska uppgifter, som Skatteverket förfogar över till följd av sin verksamhet. Om uppgifter behöver samlas in för dataanalyser och urval behöver rättsligt stöd för detta finnas på samma sätt som vid all personuppgiftsbehandling. Under hela denna process måste Skatteverket tillämpa bestämmelserna i dataskyddsförordningen, dataskyddslagen och våra föreslagna sektorspecifika författningar om dataskydd, såväl vid den ursprungliga insamlingen av uppgifterna som vid den personuppgiftsbehandling som sker när verktygen används. Vi anser att detta garanterar ett fullgott skydd för att behandlingen inte utgör ett obefogat ingrepp i enskildas personliga integritet. Att som alternativ ange i beskattningsdatalagen eller beskattningsdataförordningen att Skatteverket får behandla bl.a. yrkanden och grunder i ett ärende, uppgifter om en fysisk persons identitet, bosättning och familjeförhållanden samt uppgifter om registrering för skatter och avgifter för att göra dataanalyser och urval för de närmare ändamål som exemplifierats ovan tillför
enligt vår mening inte något beaktansvärt till integritetsskyddet (se vidare nedan). Vilka närmare kategorier av uppgifter som är relevanta för ändamålen framgår i stället redan av den materiella verksamhetsregleringen, i exemplet framför allt av inkomstskattelagen, mervärdesskattelagen och skatteförfarandelagen, där förutsättningarna för godkännande för F-skatt eller registrering för mervärdesskatt samt medgivande av yrkade avdrag framgår. En upprepning av dessa i författningar om dataskydd bidrar snarare endast till en mindre flexibel och ändamålsenlig reglering.
Även om det inte går att på ett uttömmande sätt redogöra för vilka uppgifter myndigheterna behöver för att göra adekvata dataanalyser och urval kan vi ge en mer generell beskrivning av vilka uppgifter som vi anser att myndigheterna behöver ges tillgång till och vilka kategorier av uppgifter som avses med uppgifter som myndigheterna förfogar över eller samlar in till följd av respektive verksamhet.
I de nuvarande registerlagarna finns reglering av vilka kategorier av uppgifter som får behandlas gemensamt inom myndigheterna i respektive verksamhets databas. Regeringen eller den myndighet som regeringen bestämmer har möjlighet att i förordning mer specifikt beskriva vilka uppgifter det rör sig om. De kategorier av uppgifter som får behandlas i respektive databas får redan i dag behandlas av myndigheterna för att göra analyser och urval för kontroll under förutsättning att uppgifterna får behandlas för sådana ändamål. Vi anser att det inte finns skäl att begränsa denna möjlighet. Samtliga uppgifter som myndigheterna i dag får behandla i databaserna har redan bedömts vara relevanta för att myndigheterna ska kunna utföra sina uppdrag. De får därmed anses vara relevanta även för myndigheternas dataanalyser och urval. Exempelvis behövs historiska data i syfte att identifiera avvikelser, mönster eller samband utifrån tidigare konstaterade fel för att ge myndigheterna bättre möjligheter att göra träffsäkra urval. En utgångspunkt bör därför vara att myndigheterna fortsatt ska få behandla de uppgifter som i dag får behandlas inom respektive databas för dataanalyser och urval. Detsamma bör gälla de handlingar som får behandlas i databaserna.
Vilka kategorier av uppgifter som myndigheterna i dag får behandla i de olika databaserna framgår av de nuvarande registerlagarna med tillhörande förordningar. Gemensamt för Skatteverket, Tullverket och Kronofogdemyndigheten är att de i databaserna får behandla uppgifter om personer som omfattas av viss utpekad verksamhet.
Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.207 Några uttryckliga begränsningar av vilka personkretsar uppgifter får behandlas om kommer inte att finnas genom våra förslag.
De kategorier av uppgifter som i dag får behandlas i beskattningsdatabasen regleras skattedatabaslagen och skattedatabasförordningen (se 2 kap. 2–4 a §§ SdbL och 2–3 §§ SdbF). Det handlar bl.a. om uppgifter om enskildas identitet, medborgarskap, bosättning och familjeförhållanden, registrering för skatter och avgifter, underlag för fastställande av skatter och avgifter, bestämmande av skatter och avgifter, revision och annan kontroll av skatter eller avgifter, avgiftsskyldighet till ett registrerat trossamfund och medlemskap i fackförening, yrkanden och grunder i ett ärende samt uppgifter om beslut, betalning, redovisning och övriga åtgärder i ett ärende. Även andra uppgifter får behandlas som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande.208 Vidare får handlingar som kommer in i ett ärende behandlas i databasen och de får innehålla känsliga personuppgifter och uppgifter om lagöverträdelser. Även upprättade handlingar får behandlas och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.209I beskattningsdatabasen får Skatteverket även behandla uppgifter som behövs för Skatteverkets handläggning av vissa angivna ärenden, t.ex. enligt skatteförfarandelagen, mervärdesskattelagen och inkomstskattelagen.210 Det finns även möjlighet att behandla uppgifter från andra myndigheter i form av uppgifter från bl.a. aktiebolagsregistret, vägtrafikregistret, från Arbetsförmedlingen om beslut om arbetsmarknadspolitiska åtgärder samt om utbetalt belopp och datum för utbetalningen och från Försäkringskassan om försäkring mot kostnader för sjuklön när det gäller arbetsgivaren och den försäkrade, om sjukpenninggrundande inkomst av annat förvärvsarbete och om utsänd person.211
När det gäller folkbokföringsverksamheten finns i dag redan en särskild reglering av vilka uppgifter Skatteverket får använda för dataanalyser och urval. I analys- och urvalsdatabasen får uppgifter behandlas om personer som har tilldelats personnummer eller samordnings-
207 Se bl.a. 2 kap. 2 § SdbL, 2 kap. 2 § FdbL, 2 kap. 2 § TDL och 2 kap. 4 § KFMdbL. 208 2 kap. 3 § SdbL. 209 2 kap. 4 § SdbL. 210 2 § första stycket 1 SdbF. 211 2 § första stycket 11, 12, 14 och 16 SdbF.
nummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 a kap. 2 § jämförd med 2 kap. 2 § FdbL). Vidare får, för de ändamål som anges i 1 kap. 4 a § FdbL, dvs. dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten, de uppgifter som avses i 2 kap. 3 och 4 §§ FdbL behandlas. Enligt 2 kap. 3 § FdbL får i huvudsak bosättnings- och familjerättsligt relaterade uppgifter behandlas, såsom uppgifter om person- eller samordningsnummer, namn, adress, födelseort, medborgarskap och civilstånd. Vidare får uppgifter enligt 2 kap. 4 § FdbL behandlas om yrkanden, grunder och beslut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende. I 5 c § FdbF anges att i analys- och urvalsdatabasen får sådana uppgifter behandlas som ska lämnas av andra myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten. Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.
Tullverket får i den nuvarande tulldatabasen behandla uppgifter som anges i tulldatabaslagen (se 2 kap. 2–4 § TDL). Det rör sig om uppgifter om en fysisk persons identitet och bosättning, registrering för skatter och avgifter, underlag för tull, annan skatt och avgifter, bestämmande av tull, annan skatt och avgifter, revision och annan kontroll av tull, annan skatt och avgifter, yrkanden och grunder i ett ärende, och beslut, betalning, redovisning och övriga åtgärder i ett ärende. I databasen får även andra uppgifter behandlas som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande.212 Vidare får handlingar som kommer in i ett ärende behandlas i databasen och de får innehålla känsliga personuppgifter och uppgifter om lagöverträdelser. Även upprättade handlingar får behandlas och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.213
I den nuvarande kronofogdedatabaslagen regleras de uppgifter Kronofogdemyndigheten får behandla i fyra olika databaser; utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen. Vilka uppgifter som får behandlas varierar beroende på vilken databas det handlar om. Det rör sig t.ex. om uppgifter om en fysisk persons identitet, bosättning, familjeförhållanden och anställ-
212 2 kap. 3 § TDL. 213 2 kap. 4 § TDL.
ning, en enskilds ekonomiska förhållanden, yrkanden och grunder i ett mål eller ärende, beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende, myndighetens anmälan av misstanke om brott eller lagöverträdelser som innefattar brott eller domar i brottmål, om uppgifterna utgör grund för en begäran om utslag.214 Ytterligare bestämmelser om vilka uppgifter som får behandlas i databaserna finns i 2–5 §§ KFMdbF.
Utöver de uppgifter som i dag får behandlas i respektive databas får myndigheterna som utgångspunkt behandla andra uppgifter utanför databaserna under förutsättning att de inte görs gemensamt tillgängliga i verksamheterna. Regeringen har exempelvis förutsatt att viss behandling för att t.ex. kontrollera eller revidera ett visst företag som utförs av en arbetsgrupp inom Skatteverket kommer att utföras utanför databasen för beskattningsverksamheten.215 För behandling som sker utanför databaserna finns i dag ingen uppräkning av vilka kategorier av uppgifter som får behandlas, men däremot en reglering av för vilka primära och sekundära ändamål uppgifter får behandlas. För Kronofogdemyndigheten finns det dock inga särskilda ändamål angivna utanför databasregleringen i kronofogdedatabaslagen, vilket kan anses vara en otydlighet i den nuvarande regleringen.216 Den nuvarande regleringen kan alltså tolkas som att de uppgifter som i dag får finnas i databaserna inte uttömmande reglerar vilka uppgifter som får behandlas för dataanalyser och urval så länge uppgifterna inte görs gemensamt tillgängliga och behandlingen sker för ett tillåtet ändamål. Det är dock inte tillåtet för myndigheterna att kopiera delar av en databas och göra behandlingar vid sidan av det gemensamma datasystemet endast för att på så sätt kringgå de bestämmelser som gäller för behandling av uppgifter i databasen.217 Myndigheterna måste alltså i dag göra en bedömning av vilka uppgifter som får behandlas i eller utanför databaserna vid dataanalyser och urval.
Mot denna bakgrund kan det konstateras att myndigheterna i dag även bör anses ha möjlighet att behandla andra uppgifter än sådana som anges i regleringen av databasernas innehåll. Vi anser att också sådana uppgifter, dvs. som är nödvändiga att samla in och på annat sätt behandla för att myndigheterna ska kunna utföra sina uppdrag, bör få behandlas även för dataanalyser och urval i fortsättningen
214 2 kap. 5, 11, 17 och 22 §§ KFMdbL. 215Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 91. 216 Jfr 1 kap. 4 § KFMdbL. 217SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 234.
oaktat att de i dag inte räknas upp i de nuvarande registerförfattningarna. Det kan t.ex. röra sig om avgiftsbelagda data som, i de fall det finns stöd för det, inhämtas från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Med uppgifter som myndigheterna samlar in till följd av verksamhet enligt 2 § avses sammantaget uppgifter som myndigheterna har stöd för att samla in i sina respektive verksamheter till följd av utförandet av sina uppgifter i sådan verksamhet som omfattas av de nya lagarnas tillämpningsområden. Insamlingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheterna ännu inte har samlat in och som de därför inte heller förfogar över till följd av t.ex. handläggning av ärenden.
Närmare om uppgifter som lämnas till myndigheterna för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning
Utöver uppgifter som myndigheterna redan förfogar över eller samlar in till följd av respektive verksamhet finns stora mängder reglerade uppgiftsskyldigheter gentemot myndigheterna. Vi anser att Skatteverket, Tullverket och Kronofogdemyndigheten även ska ges möjlighet att för dataanalyser och urval behandla uppgifter som ska lämnas av andra myndigheter till dessa myndigheter i enlighet med sådana uppgiftsskyldigheter. Möjligheten bör även omfatta uppgifter som lämnas mellan eventuella verksamhetsgrenar inom myndigheterna, t.ex. Skatteverkets brottsbekämpande verksamhet och beskattningsverksamhet. Detta under förutsättning att den aktuella författningsreglerade uppgiftsskyldigheten tillåter utlämnande för sådana ändamål, dvs. för kontroll eller för Kronofogdemyndighetens del även för att motverka överskuldsättning. Det handlar om uppgifter som myndigheterna redan i dag har möjlighet att hämta in och behandla i sina respektive verksamheter, men som i vissa fall inte får behandlas för analys- och urvalsändamål till följd av de nuvarande registerförfattningarna eller i de fall det rättsliga stödet för sådan behandling är otydligt. Vi anser att nu nämnda uppgifter behövs för att myndigheterna ska kunna göra effektiva dataanalyser och urval.
Bestämmelsen kommer alltså att omfatta uppgifter som t.ex. en annan myndighet eller självständig verksamhetsgren inom myndig-
heterna lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av berörda myndigheter, uppgifter som lämnas till myndigheterna med stöd av den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400), OSL, eller uppgifter som i övrigt lämnas till myndigheterna med stöd av bestämmelser i lag eller förordning (se vidare nedan). Sådant uppgiftslämnande som sker på begäran av Skatteverket, Tullverket eller Kronofogdemyndigheten kan visserligen möjligen redan sägas omfattas av den föreslagna regleringen om att personuppgifter som myndigheterna samlar in till följd av sina verksamheter får behandlas för att göra dataanalyser och urval. För att det ska vara tydligt att uppgifter som lämnas till myndigheterna i enlighet med lag eller förordning får behandlas för de aktuella analyserna och urvalen anser vi dock att det finns skäl att detta ska framgå uttryckligen i de nya lagarna. Bestämmelsen kommer också täcka in sådana situationer när andra myndigheter på eget initiativ lämnar uppgifter till de berörda myndigheterna med stöd av t.ex. 10 kap. 27 § OSL, dvs. när myndigheterna inte själva kan sägas samla in uppgifter. Det rör alltså även situationer då myndigheterna varken förfogar över eller samlar in uppgifterna till följd av sina respektive verksamheter.
En utökad möjlighet att samköra uppgifter från myndigheternas egna verksamheter tillsammans med uppgifter från andra myndigheter för att göra urval innebär enligt vår uppfattning en möjlighet att kartlägga enskilda på ett mer omfattande sätt än om uppgifterna behandlas i ett enskilt ärende. Den reglering som ska omgärda myndigheternas dataanalyser och urval behöver därför utformas så att behandlingen blir proportionerlig. Bland annat finns i avsnitt 14.11 vissa förslag på säkerhets- och skyddsåtgärder och i avsnitten 15.3 och 15.4 förslag på sekretessbestämmelser. En utförlig proportionalitetsbedömning görs vidare i avsnitt 14.12.
I vårt arbete har vi tillsammans med Skatteverket, Tullverket och Kronofogdemyndigheten kartlagt flera av de bestämmelser som reglerar uppgiftsskyldigheter myndigheter emellan. Det stora antalet uppgiftsskyldigheter gentemot berörda myndigheter omöjliggör dock att samtliga redovisas i en utredning som denna. Vi anser inte heller att det är nödvändigt för att kunna ta ställning till vilka uppgifter som bör få behandlas för att göra dataanalyser och urval. Uppgiftsskyldigheterna är i sig utformade på ett sätt som är avsett att balansera det integritetsintrång som uppgiftslämnandet medför i förhållande till
Skatteverkets, Tullverkets respektive Kronofogdemyndighetens behov av att inhämta uppgifterna. En del av uppgiftsskyldigheterna kan innefatta personuppgifter som är sekretessbelagda hos den utlämnande myndigheten eller verksamhetsgrenen.218 I andra fall omfattar uppgiftsskyldigheten offentliga uppgifter. Utöver särskilda uppgiftsskyldigheter som bryter eventuell sekretess vid ett sådant utlämnande219, finns även vissa generella sekretessbrytande bestämmelser i OSL vilka innebär att sekretess inte hindrar att uppgifter lämnas ut till andra myndigheter under de förutsättningar som anges i bestämmelserna.220
I särskilda bestämmelser om uppgiftsskyldigheter kan det ibland anges att uppgifter får lämnas ut om det behövs för den mottagande myndighetens kontrollverksamhet.221 I andra fall föreskrivs att uppgifterna får lämnas ut om de behövs för handläggning av ärenden hos den mottagande myndigheten.222 I de fall bestämmelserna om uppgiftsskyldighet innebär att uppgifterna endast får inhämtas om det behövs i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten kommer uppgifterna alltså inte att kunna inhämtas i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen att kunna behandlas även för att göra dataanalyser och urval.
I 6 kap. 5 § OSL finns även en generell informationsskyldighet myndigheter emellan då det i bestämmelsen föreskrivs att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Det kan t.ex. röra sig om uppgifter som myndigheterna har möjlighet att hämta in från offentliga register såsom aktiebolagsregistret223 eller vägtrafikregistret.224
Regleringen är tänkt att vara flexibel på så sätt att om det skulle framkomma att myndigheterna regelmässigt har behov av ytterligare
218 Enligt 8 kap. 1 § OSL får en uppgift för vilken sekretess gäller som huvudregel inte röjas för enskilda eller andra myndigheter. Detsamma gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra, se 8 kap. 2 § OSL. 219 Av 10 kap. 28 § OSL framgår att sekretess inte hindrar att en uppgift lämnas ut till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. 220 Se bl.a. 10 kap. 2 § och 10 kap. 27 § OSL. 221 Se t.ex. 12 § folkbokföringsförordningen (1991:749), FOF. 222 Se t.ex. 3 § förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter och 5 kap. 3 § vägtrafikdataförordningen (2019:382). 223 Se bl.a. 2 kap. 1 § aktiebolagsförordningen (2005:559). 224 Se bl.a. 2 kap. 1 § vägtrafikdataförordningen (2019:382).
uppgifter från andra myndigheter för att göra dataanalyser och urval, behöver inte våra föreslagna lagar eller förordningar ändras. Det kommer då i stället att vara tillräckligt att riksdag eller regering föreskriver en ny eller ändrad uppgiftsskyldighet som möjliggör att uppgifter hämtas in av Skatteverket, Tullverket och Kronofogdemyndigheten för att göra dataanalyser och urval.
Genom våra förslag kommer Skatteverket, Tullverket och Kronofogdemyndigheten sammanfattningsvis ha möjlighet att inhämta, och alltså behandla, uppgifter som lämnas till myndigheterna i enlighet med uppgiftsskyldigheter i lag eller förordning även för dataanalyser och urval.
Särskilt om känsliga personuppgifter och uppgifter om lagöverträdelser
En utförlig redogörelse för den generella regleringen i EU:s dataskyddsförordning och dataskyddslagen om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser finns i avsnitt 10.2. Som framgår av kapitel 10 behandlar Skatteverket, Tullverket och Kronofogdemyndigheten vissa kategorier av känsliga personuppgifter och uppgifter om lagöverträdelser i respektive myndighets verksamhet. Mängden beror dock på vilken verksamhet det är fråga om. Exempelvis behandlar Skatteverket inom beskattningsverksamheten fler känsliga personuppgifter än vad som görs inom folkbokföringsverksamheten samt inom Kronofogdemyndigheten och Tullverket. Våra förslag i det nämnda kapitlet innebär i korthet att det ska införas en särskild bestämmelse i de nya lagarna som föreskriver att myndigheterna får behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen. Vidare gör vi bedömningen att den behandling av uppgifter om lagöverträdelser som myndigheterna behöver utföra inte bör begränsas eller på annat sätt särregleras i de nya lagarna. Vi föreslår även att det ska införas särskilda sökbegränsningar som utgår från syftet med en sökning. De nya bestämmelserna om känsliga personuppgifter och sökbegränsningar kommer att vara tillämpliga även när myndigheterna behandlar personuppgifter för att göra dataanalyser och urval.
Den nuvarande regleringen i registerförfattningarna hindrar i vissa fall myndigheterna från att behandla känsliga personuppgifter och
uppgifter om lagöverträdelser vid dataanalyser och urval för att göra övergripande kontroller.225 Så är dock inte fallet för Skatteverkets folkbokföringsverksamhet avseende uppgifter som behandlas i analys- och urvalsdatabasen, även om de uppgifter som där behandlas i huvudsak inte avser sådana personuppgifter.226 Som ovan framgår i avsnitt 14.4 har samtliga berörda myndigheter uppgett att det finns ett behov av att behandla känsliga personuppgifter och uppgifter om lagöverträdelser även för dataanalyser och urval i de fall det är relevant för utförandet av respektive materiellt uppdrag.
Skatteverket, Tullverket och Kronofogdemyndigheten har ett behov av att behandla känsliga personuppgifter och uppgifter om lagöverträdelser för att utföra sina författningsreglerade uppdrag, t.ex. inom ärendehandläggningen. För att myndigheterna ska kunna göra adekvata dataanalyser och urval bedömer vi att det är nödvändigt att myndigheterna ges möjlighet att använda sådana kategorier av personuppgifter även när analyser och urval används. Om känsliga personuppgifter eller uppgifter om lagöverträdelser är nödvändiga att behandla för att utföra en viss uppgift, t.ex. för att Skatteverket ska kunna fatta beslut om befrielse från skattetillägg varvid omständigheten hälsa kan vara av betydelse för saken227, är det nämligen även av betydelse för myndigheternas förmåga att få fram träffsäkra urval. Vidare kan det av rättssäkerhetsskäl vara viktigt att myndigheternas träning av en urvalsmodell baserad på maskininlärda algoritmer sker med just den typ av data som sedan ska användas i skarpa fall för att minska risken för fel och rättsosäkerhet.228 När myndigheterna tillåts behandla personuppgifter för dataanalyser och urval bör vidare riskerna för att urvalsmodeller ger falska positiva träffar vara så liten som möjligt. En del i detta är att det ska vara möjligt att använda samtliga de uppgifter som är nödvändiga för det specifika ändamålet, även i de fall det inkluderar känsliga personuppgifter. Om känsliga personuppgifter och uppgifter om lagöverträdelser inte tillåts behandlas för att göra dataanalyser och urval, kommer myndigheterna inte att kunna använda sådana verktyg inom samtliga verksamhetsområden där den materiella rätten innebär att sådana uppgifter är relevanta att behandla för att exempelvis Skatteverket ska kunna säkerställa en riktig uppbörd.
225 Se t.ex. 1 kap. 7 § SdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbL. 226 Prop. 2022/23 :41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 29.
22751 kap. 1 § SFL. 228SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 212.
Myndigheter får enligt artikel 10 i dataskyddsförordningen behandla uppgifter om lagöverträdelser utan att det finns något särskilt stöd för det i nationell rätt. Vi anser att i huvudsak samma skäl som vi i avsnitt 10.8 fört fram för att det inte längre bör finnas någon från dataskyddsförordningen avvikande reglering i de nya lagarna som avser behandling av uppgifter om lagöverträdelser även gör sig gällande i fråga om dataanalyser och urval.
När det gäller känsliga personuppgifter är dataskyddsförordningens krav på sådan behandling högre för myndigheter i förhållande till vad som gäller för uppgifter om lagöverträdelser. En första förutsättning för att myndigheterna över huvud taget ska tillåtas behandla känsliga personuppgifter vid dataanalyser och urval är att behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i dataskyddsförordningen). Skatteverket, Tullverket och Kronofogdemyndigheten har ett ansvar för att respektive verksamhet bedrivs på ett korrekt sätt. I myndigheternas författningsreglerade uppdrag ingår att kunna utföra kontroller genom att bl.a. göra dataanalyser och urval. Det ingår även i myndigheternas uppdrag enligt respektive förordning med instruktion för myndigheterna. Förslagen i detta kapitel innebär också att myndigheterna ges tydligare rättsligt stöd och ramar för arbetet med dataanalyser och urval. Det övergripande syftet med den tillåtna behandlingen är att förebygga, förhindra och upptäcka felaktigheter. Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av de känsliga personuppgifter som är nödvändiga för att utföra dessa uppgifter får enligt vår mening anses vara en behandling som är av viktigt allmänt intresse.
En andra förutsättning för att undantaget i artikel 9.2 g ska vara tillämpligt när myndigheterna gör dataanalyser och urval är att behandlingen sker på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Vi bedömer att myndigheterna har stöd för den behandling som är nödvändig på grundval av unionsrätten eller nationell rätt som finns fastställd i materiell verksamhetsreglering. Vi anser vidare att den föreslagna bestämmelsen i de nya lagarna om tillåten behandling av känsliga personuppgifter kommer att ge tillräckligt rättsligt stöd för den behandling av känsliga personuppgifter som är nödvändig. Den materiella verksamhetsregleringen bedöms vara proportionerlig i förhållande till syftet. När det gäller behandlingen föreslår vi att ett flertal skyddsåtgärder införs i de nya lagarna samt att det ska införas nya
sekretessbestämmelser, som kommer att vara tillämpliga även på myndigheternas arbete med dataanalyser och urval.
Mot denna bakgrund bedömer vi sammantaget att den behandling av känsliga personuppgifter som är nödvändig vid dataanalyser och urval kommer att ha ett tillräckligt rättsligt stöd genom våra förslag till generell reglering.
Vi anser vidare att de ovan nämnda skälen för att ge myndigheterna tillgång till att behandla känsliga personuppgifter även för att göra dataanalyser och urval är sådana att möjligheterna till behandlingen inte bör begränsas ytterligare i förhållande till den generella reglering vi föreslår. Det kan här framhållas att vår bedömning inte förtar det förhållandet att myndigheternas behandling av känsliga personuppgifter vid dataanalyser och urval alltid bör ske med försiktighet och aldrig slentrianmässigt. Myndigheterna måste alltid noga överväga om förutsättningarna för sådan behandling är uppfylld, t.ex. genom en tillämpning av principen om uppgiftsminimering.
Myndigheterna ges genom våra förslag inte heller möjlighet att behandla känsliga personuppgifter som det saknas stöd i materiell verksamhetsreglering att behandla. Som framgår av avsnitt 14.4.2 har Skatteverket uppgett att myndigheten har ett behov av att kunna behandla biometriska uppgifter inom folkbokföringsverksamheten för att utföra analyser i syfte att upptäcka försök till att erhålla multipla identiteter. Möjligheten till sådan behandling kräver dock noggranna överväganden och ändringar i materiell verksamhetsreglering som enligt vår mening inte lämpar sig att utreda inom ramen för detta uppdrag.
Alternativa former av reglering som har övervägts
Under vårt arbete som lett till den ovan föreslagna regleringen av vilka personuppgifter som ska få behandlas för dataanalyser och urval har vi övervägt andra former av reglering av denna fråga.
I Skatteverkets, Tullverkets och Kronofogdemyndighetens nuvarande registerförfattningar finns särskilda bestämmelser om formen för behandling av uppgifter, genom benämningarna databas och gemensamt tillgängliga uppgifter. I avsnitt 9.4.2 föreslår vi att regleringen av berörda myndigheternas databaser slopas. Vi har trots detta övervägt om det är lämpligt att införa en reglering av särskilda databaser
eller uppgiftssamlingar som sätter gränser för vilka uppgifter som får behandlas för att göra dataanalyser och urval. Till en databas eller uppgiftssamling kan särskilda regler avseende en viss behandling av personuppgifter knytas, såsom bestämmelser som begränsar vilka uppgifter som berörs. För Utbetalningsmyndigheten har det genom lagen om behandling av personuppgifter vid Utbetalningsmyndigheten införts en särskilt reglerad uppgiftssamling kallad uppgiftssamlingen för dataanalyser och urval. Det har även för folkbokföringsverksamhetens analyser och urval införts en särskilt reglerad samling av uppgifter kallad analys- och urvalsdatabasen genom bestämmelser i folkbokföringsdatabaslagen.229
När det juridiska databasbegreppet infördes i Skatteverkets, Tullverkets och Kronofogdemyndighetens nuvarande registerförfattningar var de bakomliggande tankegångarna att en lag om behandling av personuppgifter inte ska reglera hur uppgifterna tekniskt organiseras, utan endast utgöra en ram för vilka uppgifter som får behandlas och på vilket sätt de får användas för att säkerställa ett gott integritetsskydd. Den nuvarande databasregleringen är alltså inte en reglering av indelningen av uppgifterna i databasen i t.ex. olika servrar eller i form av flera register.230 Trots detta har begreppet inneburit att tanken förs till en samling uppgifter som är avgränsade, systematiserade eller organiserade på ett visst tekniskt sätt. Myndigheternas behandling av personuppgifter sker dock inte på detta sätt i en helt automatiserad miljö. Uppgifter kan t.ex. finnas helt ostrukturerade i ett enskilt program eller filhanteringssystem. Begreppet databas har också en annan betydelse i just tekniska sammanhang. En reglering av en databas för myndigheternas dataanalyser och urval framstår mot denna bakgrund inte som det mest ändamålsenliga, teknikneutrala eller moderna valet av reglering. Av skäl 15 till dataskyddsförordningen framgår uttryckligen att skyddet för fysiska personer bör vara teknikneutralt och inte beroende av den teknik som används för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Även om den nuvarande databasregleringen inte utgör en teknisk avgränsning av en samling uppgifter har begreppet en stark teknisk anknytning.
229 Se vidare nedan avseende hur våra förslag påverkar den nuvarande analys- och urvalsdatabasen inom Skatteverkets folkbokföringsverksamhet. 230SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 212.
Inom Skatteverkets beskattningsverksamhet sker vidare en del av behandlingen av personuppgifter för analys- och urvalsverksamhet i dag utanför beskattningsdatabasen i de fall uppgifter behandlas som inte får göras gemensamt tillgängliga enligt den nuvarande regleringen i skattedatabaslagen. Det innebär att vissa skyddsåtgärder som i dag regleras för uppgifter som finns i beskattningsverksamheten inte är tillämpliga vid sådan behandling, trots att det kan röra sig om mycket integritetskänslig behandling. Den övergripande analys- och urvalsverksamheten sker dock avgränsat från övrig verksamhet utan möjlighet till åtkomst för andra medarbetare.
En reglering av en särskild databas har vidare ofta syftat till att avgränsa vilka uppgifter som får göras gemensamt tillgängliga i en verksamhet samt att göra det möjligt att knyta särskilda handlingsregler eller skyddsåtgärder till behandling av de uppgifter som ingår i en databas. Vi anser att de särskilda skyddsåtgärder som föreslås i de nya lagarna generellt sett ska gälla för all den behandling av personuppgifter som myndigheterna utför i den aktuella verksamheten. De ska därmed även gälla den behandling som sker vid analyser och urval, även om sådan behandling sker avgränsat från övrig verksamhet utan möjlighet till åtkomst för andra än ett fåtal tjänstemän. Detta mot bakgrund av att sådan behandling kan omfatta stora mängder personuppgifter. Vi anser generellt att det är möjligt att endast tala om behandling av personuppgifter i stället för databaser. I de fall särskilda regler bör gälla för en viss typ av behandling, kan detta ändå specificeras genom att t.ex. ange i vilken verksamhet behandlingen sker eller vad behandlingen syftar till.
Att införa en särskild databas för analys och urval riskerar vidare att försvåra tolkningen av och systematiken i vår föreslagna lagreglering i övrigt, och kan innebära att vissa skyddsregler inte gäller för behandlingen trots att det saknas skäl för det. Det kan också leda till att myndigheterna måste lägga tid på att bedöma vilken behandling som får ske i eller utanför en databas i stället för på bedömningen av vilken behandling som faktiskt är tillåten och vilka integritetshöjande åtgärder myndigheterna måste vidta. EU:s dataskyddsförordning ställer inte heller några krav på särskilda skyddsåtgärder för behandling av personuppgifter som används gemensamt i en verksamhet. Det är i stället behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter som
kraven på säkerhet för behandlingen utgår ifrån (artiklarna 25 och 32 i dataskyddsförordningen).
Att som i andra lagstiftningar som alternativ exempelvis välja att införa begreppen uppgiftssamling eller gemensamt tillgängliga uppgifter i stället för begreppet databas just för analyser och urval förtar inte de argument som förs fram ovan. Vidare skulle det enligt vår mening fortsatt innebära en mindre flexibel och teknikneutral reglering – oavsett om syftet med en sådan reglering inte bygger på tekniska avgränsningar av uppgiftssamlingen – eftersom tankarna ändå förs till sådana avgränsningar.
Sammantaget anser vi att det inte finns några bärande skäl att skilja på behandling av personuppgifter i en särskild databas eller uppgiftssamling för dataanalyser och urval i förhållande till annan behandling. Det finns i övrigt inte heller skäl att särskilt reglera uppgifter som får göras gemensamt tillgängliga.
Vi har också som alternativ till vår föreslagna reglering övervägt om det finns skäl att införa en mer detaljerad reglering som sätter gränser för vilka uppgifter som får användas för dataanalyser och urval utan att reglera en strukturerad samling av uppgifter. En sådan bestämmelse innehållandes en, i förhållande till vårt förslag, mer detaljerad ”lista” över tillåtna uppgifter för behandling skulle kunna placeras i förordning och vara avsedd att närmare fånga och avgränsa behandlingen till de kategorier av uppgifter vi bedömer att myndigheterna behöver använda för att göra adekvata analyser och urval. Bestämmelsen skulle kunna vara utformad i likhet med hur de nuvarande registerförfattningarna reglerar vilka uppgifter som får behandlas i respektive databas.231 I lag skulle det samtidigt kunna finnas en bredare bestämmelse som ger uttryck för principen om uppgiftsminimering232 genom att tydliggöra att myndigheterna för att göra dataanalyser och urval endast får behandla de personuppgifter som är nödvändiga för ändamålen med behandlingen. Lagbestämmelsen kan slutligen kompletteras med en upplysningsbestämmelse som tydliggör att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om vilka uppgifter som får behandlas.
En fördel med en sådan reglering är att det stärker skyddet för den personliga integriteten samt skapar en förutsebarhet för enskilda
231 Se t.ex. 2 kap. 3 § SdbL och 2 § SdbF. 232 Artikel 5.1 c i dataskyddsförordningen.
och de personuppgiftsansvariga myndigheterna. Dataskyddsregleringen skulle då i sig ge en uppfattning om vilka av myndigheternas egna uppgifter som samkörs med andra myndigheters uppgifter – samlat på ett ställe.
Enligt vår mening är det dock som ovan nämnts inte möjligt att förutse vilka kategorier av uppgifter som myndigheterna behöver behandla för att göra adekvata dataanalyser och urval. Våra försök att formulera en sådan detaljerad reglering har utmynnat i att det i slutänden finns en risk för att uppgifter myndigheterna behöver kunna behandla för att göra effektiva analyser och urval faller utanför, även om kategorierna formuleras relativt brett. En reglering som i hög grad avgränsar vilka uppgifter som myndigheterna ges tillgång till vid sådana analyser och urval riskerar därmed att styra inom vilka verksamhetsområden myndigheterna har störst möjlighet att förebygga, förhindra och upptäcka fel. Det är i sig inte önskvärt mot bakgrund av att medvetna, men även omedvetna, fel och fusk med allmänna medel som kostar välfärdsstaten och skattebetalarna pengar tenderar att variera i inriktning och upplägg över tid. Vidare sker relativt frekventa ändringar i myndigheternas materiella verksamhetsreglering vilket innebär att vilka uppgifter som är relevanta att behandla till viss del även förändras i takt med sådana ändringar. En konsekvens av en alltför detaljerad reglering kan därmed bli att dataskyddsregleringen kräver frekventa ändringar och snabbt anses vara föråldrad.
Om kategorierna formuleras på ett liknande sätt som i de gällande registerförfattningarnas bestämmelser om innehåll i databaserna kommer det vidare riskera att skära av myndigheternas möjligheter att behandla uppgifter i förhållande till vad som gäller i dag. I dag finns det nämligen enligt vår uppfattning inget i registerförfattningarna som hindrar att andra uppgifter behandlas för att göra dataanalyser och urval utanför databaserna, så länge övriga krav för behandlingen är uppfyllda, såsom att det ska finnas en rättslig grund för behandlingen. Vid sådan behandling gäller inte de särskilda uppräkningarna av vilka uppgifter som får behandlas i respektive databas.
En detaljerad uppräkning gör sig vidare bättre vid reglering av rena myndighetsregister, som t.ex. vägtrafikregistret233 eller belastningsregistret234, vilka främst syftar till att ge vissa aktörer tillgång till spe-
233 Se vägtrafikdatalagen (2019:369) med tillhörande förordning (2019:382). 234 Se lagen (1998:620) om belastningsregister.
cifik information. En sådan typ av reglering är dock inte ändamålsenlig när det gäller myndigheters möjligheter att handlägga ärenden och utföra kontroller i den egna verksamheten.
Vi menar alltså att en reglering som pekar ut vilka kategorier av uppgifter som är tillåtna att behandla för dataanalyser och urval riskerar att i hög grad begränsa myndigheternas möjligheter att på ett effektivt sätt göra relevanta urval. Om möjligheterna att behandla personuppgifter är för begränsad kommer det i praktiken leda till att förmågan att förebygga, förhindra och upptäcka felaktigheter blir avhängig det nationella rättsliga stödet för personuppgiftsbehandling i stället för att utgångspunkten ligger i myndigheternas materiella uppdrag och verksamhetsreglering. Myndigheterna hade därmed i vissa fall behövt att först gå till dataskyddsförfattningen för att hitta stöd för att utföra sitt uppdrag i stället för att gå till de författningar som faktiskt reglerar detta.
Det finns också en risk att en ”lista” med uppgifter uppfattas som att alla uppgifter som där står angivna alltid är tillåtna att behandla för dataanalyser och urval. Det kan i sin tur leda till att den personuppgiftsansvariga myndigheten inte gör den proportionalitetsbedömning och andra avvägningar som måste ske inför och under behandlingen. Vidare finns en risk för fler falska positiva urvalsträffar om myndigheterna inte ges möjlighet att använda ”rätt” typ av data, vilket kan vara svårt att fånga i en författningsreglering. Det kan innebära ett onödigt integritetsintrång om det leder till obehövliga kontroller för att avgöra om någon åtgärd ska vidtas. Vi ser med andra ord en risk för att en mer detaljerad reglering av vilka kategorier av uppgifter som ska få behandlas kommer utgöra ett förslag som inskränker snarare än utvidgar myndigheternas möjligheter att göra dataanalyser och urval.
Sammantaget gör vi bedömningen att det inte bör införas någon detaljerad eller uttömmande reglering av vilka kategorier av uppgifter myndigheterna får behandla för dataanalyser och urval.
En upplysning om regeringens restkompetens
Vi föreslår även att det i bestämmelsen som reglerar vilka uppgifter myndigheterna får behandla för att göra dataanalyser och urval tas in en bestämmelse som upplyser om regeringens restkompetens. Av denna ska framgå att regeringen eller den myndighet som regeringen
bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval.
Bestämmelser om vilka slags uppgifter det kan vara fråga om att behandla i en särskilt reglerad databas eller uppgiftssamling för dataanalyser och urval har av regeringen i andra sammanhang bedömts kunna finnas i förordning.235
Regeringen kan alltså med stöd av restkompetensen i förordning föreskriva vilka uppgifter som får behandlas, eller inte får behandlas, för att göra dataanalyser och urval och på så vis begränsa tillgången till uppgifter. Det kan t.ex. tänkas bli aktuellt om någon av myndigheterna får ett nytt uppdrag som innebär att myndigheten ges möjlighet att samla in nya kategorier av uppgifter som regeringen bedömer inte bör få användas för att göra övergripande analyser och urval.
Särskilt om den nuvarande analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet
I dag finns i folkbokföringsdatabaslagen sedan den 1 maj 2023 en reglering av en analys- och urvalsdatabas (2 a kap. FdbL). Analys- och urvalsdatabasen får användas gemensamt i folkbokföringsverksamheten för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten.236 I analys- och urvalsdatabasen får bosättnings- och familjerättsligt relaterade uppgifter samt de uppgifter som behövs för handläggning av ärenden behandlas.237De personkretsar som det får behandlas uppgifter om i analys- och urvalsdatabasen är också desamma som i folkbokföringsdatabasen.238
Utöver dessa uppgifter kan regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om vilka uppgifter som får behandlas i analys- och urvalsdatabasen.239 Sådana föreskrifter har meddelats av regeringen i folkbokföringsdatabasförordningen. Enligt 5 c § FdbF får i databasen sådana uppgifter behandlas som ska lämnas av andra
235Prop. 2022/23:34, Utbetalningsmyndigheten, s. 143 och prop. 2022/23:41, Bättre möjligheter
för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 27.
236 2 a kap. 1 § jämförd med 1 kap. 4 a § FdbL. 237 2 a kap. 3 § första stycket jämförd med 2 kap. 3 och 4 §§ FdbL. 238 2 a kap. 2 § jämförd med 2 kap. 2 § FdbL. 239 2 a kap. 3 § andra stycket FdbL.
myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten.240 Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.
När det gäller känsliga personuppgifter och uppgifter om lagöverträdelser avser de uppgifter från folkbokföringsdatabasen som får behandlas i databasen i huvudsak inte sådana uppgifter.241 I praktiken har Skatteverkets folkbokföringsverksamhet därför i dag begränsade möjligheter att behandla känsliga personuppgifter för att göra dataanalyser och urval.
Våra förslag innebär att den nuvarande folkbokföringsdatabaslagen ska upphävas och ersättas av en ny lag, folkbokföringsdatalagen (se avsnitt 6.2). Det får därmed följder på den relativt nya lagstiftning som har införts vilken ger folkbokföringsverksamheten bättre möjligheter att göra dataanalyser och urval. Vi anser att de förslag vi lämnar ovan avseende reglering av vilka uppgifter som ska få användas för dataanalyser och urval bör införas även i den nya folkbokföringsdatalagen. Den nya lagstiftningen innebär att vilka uppgifter folkbokföringsverksamheten får använda för att göra dataanalyser och urval inte längre kommer att vara uttryckligen begränsade till bl.a. särskilda personkretsar eller till de uppgifter som i dag får finnas i folkbokföringsdatabasen. Det kommer innebära en utvidgning t.ex. på så sätt att Skatteverket kommer att kunna behandla uppgifter om personer som har fått avslag på en ansökan eller begäran om tilldelning av personnummer för att göra dataanalyser och urval.242 I fråga om vilka uppgifter Skatteverket kommer att få använda för att göra dataanalyser och urval innefattar det samma uppgifter som får användas för dataanalyser och urval för kontroll enligt folkbokföringsverksamhetens registerförfattningar i dag. Den nuvarande databasregleringen innebär dock i praktiken begränsningar av vilka uppgifter som får behandlas för sådana ändamål. Dessa begränsningar kommer inte längre att finnas genom våra förslag. Det kommer att innebära en utvidgad möjlighet att behandla uppgifter för analyser och urval eftersom ytterligare uppgifter än de som i dag anges i folkbokföringsdatabaslagen med tillhörande förordning kommer att vara möjliga att använda i sådan verksamhet.
240 Se 12–15 §§folkbokföringsförordningen, 5 c § SdbF, 7 a § KFMdbF och 7 kap. 15 b § utlänningsförordningen. 241Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 28–29.
242 Jfr 2 a kap. 2 § och 2 kap. 2 § FdbL.
Även den nuvarande regleringen är dock anpassad till folkbokföringsverksamhetens behov, som utgår från den materiella verksamhetsregleringen i bl.a. folkbokföringslagen och lagen om samordningsnummer. Våra förslag kommer fortsatt innebära att Skatteverket t.ex. inte får behandla uppgifter om personer som inte är relevanta i myndighetens verksamhet. På samma sätt kommer myndigheten endast ha möjlighet att behandla personuppgifter i de fall det finns rättslig grund för det och övriga krav för att få behandla uppgifter är uppfyllda. Därmed bör de kategorier av uppgifter som myndigheterna kommer att kunna behandla för att göra analyser och urval i princip inte skilja sig så mycket åt i förhållande till den reglering som finns i dag. Den föreslagna regleringen kommer dock att rent faktiskt utöka Skatteverkets möjligheter att behandla personuppgifter för att göra dataanalyser och urval. Exempelvis kommer dataanalyserna och urvalen, till skillnad från i dag, att som nyss nämnts kunna omfatta uppgifter om personer som Skatteverket inte tilldelar samordningsnummer, dvs. när myndigheten avslår en begäran eller ansökan om samordningsnummer. Även känsliga personuppgifter kommer att kunna behandlas i högre utsträckning.
Sammanfattningsvis innebär våra förslag att tillgången till uppgifter vid dataanalyser och urval utvidgas i förhållande till vad som är tillåtet i dag.
14.9.3. Våra förslag i förhållande till bestämmelser om användningsbegränsningar i andra författningar
Vår bedömning: Våra förslag om vilka uppgifter som får behand-
las för att göra dataanalyser och urval påverkar inte bestämmelser i andra författningar som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat.
Skälen för vår bedömning
I avsnitt 8.4.5 har vi närmare redogjort för vad som avses med bestämmelser som innefattar s.k. användningsbegränsningar. Sådana bestämmelser finns ibland i internationella avtal och sektorspecifika
rättsakter och innebär att en svensk myndighet endast får använda uppgifter som myndigheten får enligt avtalet eller rättsakten för vissa angivna ändamål eller i viss verksamhet. Det rör sig inte alltid om uppgifter som innefattar personuppgifter, men kan göra det. Användningsbegränsningar som finns i EU-förordningar gäller direkt för svenska myndigheter utan att dess artiklar behöver genomföras i svensk rätt. Vissa användningsbegränsningar har införts i svenska författningar, t.ex. i de fall de regleras i EU-direktiv.
Vi föreslår ovan i avsnitt 14.9.2 en bestämmelse som reglerar vilka personuppgifter Skatteverket, Tullverket och Kronofogdemyndigheten får behandla för att göra dataanalyser och urval. I den mån Skatteverket, Tullverket eller Kronofogdemyndigheten får personuppgifter i enlighet med internationella avtal eller EU-rättsakter och uppgifterna omfattas av användningsbegränsningar, får myndigheterna inte utnyttja uppgifterna i sina respektive verksamheter på annat sätt än som anges i bestämmelsen. Vi bedömer att våra förslag om uppgifter som får behandlas för dataanalyser och urval i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen inte påverkar sådana användningsbegränsningar, vilka får anses vara lex specialis243 i förhållande till de nya lagarnas bestämmelser. Flera användningsbegränsningar finns vidare i direkt tillämpliga EU-rättsakter. Med andra ord ger de nya bestämmelserna om dataskydd inte något stöd för att behandla uppgifter i strid med användningsbegränsningar som följer av internationella avtal eller sektorspecifika rättsakter.
14.9.4. Särskilt om uppgifter som lämnas från betaltjänstleverantörer till Skatteverket
Vår bedömning: Det bör inte införas särskilda bestämmelser som
begränsar Skatteverkets möjligheter att behandla uppgifter som lämnas från betaltjänstleverantörer för att göra dataanalyser och urval.
243 Författningar som är specifika går före generella författningar.
Skälen för vår bedömning
I avsnitt 8.4.8 gör vi bedömningen att uppgifter som samlas in av Skatteverket från betaltjänstleverantörer med anledning av de nya kraven på betaltjänstleverantörer att lämna uppgifter inte ska omfattas av särskilda ändamålsbegränsningar i den föreslagna beskattningsdatalagen. Närmare redogörelser för vad den nya EU-rättsliga regleringen avseende krav på betaltjänstleverantörer att lämna uppgifter innebär och vad det handlar om för uppgifter finns i det avsnittet. Det kan här nämnas att insamlingen av de aktuella uppgifterna från betaltjänstleverantörer utgör en del av Skatteverkets beskattningsverksamhet.244
Lagstiftningsärendet om de nya kraven på betaltjänstleverantörer att lämna uppgifter behandlas i prop. 2022/23:121. Förslagen har omhändertagits och lagändringarna ska träda i kraft den 1 januari 2024.245
I samband med lagstiftningsärendet hade Skatteverket till den föregående utredningen, benämnd Utredningen om ny uppgiftsskyldighet för betaltjänstleverantörer, vars arbete redovisas i betänkandet Nya krav på betaltjänstleverantörer att lämna uppgifter (SOU 2022:25), uppgett att de aktuella uppgifterna skulle kunna förbättra myndighetens omvärlds- och riskanalyser och i sin tur bidra till att effektivisera myndighetens kontroll. Enligt Skatteverkets bedömning medgav dock inte gällande dataskyddsreglering att myndigheten utför analyser med ett mera allmänt och övergripande syfte, som exempelvis att upptäcka nya trender eller växande branscher. Regeringen uttalade att frågan om Skatteverket bör medges användning av uppgifterna för omvärlds- och riskanalyser av mer allmänt slag överlappar vissa frågor som behandlas av vår utredning mot bakgrund av uppdraget att analysera och bedöma lämpligheten och utformningen av en reglering som innebär en utökad möjlighet för Skatteverket att göra dataanalyser och urval, utan att det finns en koppling till ett ärende. Regeringen ansåg därför att det inte var lämpligt att inom ramen för det lagstiftningsarbetet utreda frågan om Skatteverket borde få använda de insamlade uppgifterna till analyser med ett mer allmänt och övergripande syfte.246 Regeringen tog därmed inte ställning till om Skatteverket borde få använda de insamlade uppgifterna från betaltjänstleverantörerna för sin omvärlds- och riskanalys.
244Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 107. 245Prop. 2022/23:121, bet. 2023/24:SkU2, rskr. 2023/24:12. 246Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 97–98.
Till följd av regeringens uttalanden i prop. 2022/23:121 finns det skäl att inom ramen för denna utredning särskilt behandla frågan om uppgifter som lämnas från betaltjänstleverantörer till Skatteverket ska få behandlas vid myndighetens dataanalyser och urval.
Inledningsvis kan vi konstatera att de hinder avseende den gällande dataskyddsregleringen som Skatteverket förde fram till den ovan nämnda utredningen inte längre kommer att finnas till följd av vårt förslag till ny beskattningsdatalag med tillhörande förordning. Frågan är om det trots det finns skäl att införa särskilda ändamålsbegränsningar för behandling av uppgifterna i någon av de nya författningarna.
Som nämnts i avsnitt 8.4.8 rör det sig i detta sammanhang inte om uppgifter som är av så integritetskänslig natur att vi generellt anser att uppgifterna bör omfattas av särskilda ändamålsbegränsningar i lag eller förordning. I sin verksamhet behandlar Skatteverket mängder med andra uppgifter som är mer integritetskänsliga än de som inhämtas från betaltjänstleverantörer för överföring till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektroniskt system, kallat Cesop. Skatteverket har vidare uppgett ett berättigat behov av att behandla uppgifterna för mer övergripande analyser. EU-rätten ställer inte upp några hinder mot att Skatteverket behandlar de insamlade uppgifterna från betaltjänstleverantörerna för andra ändamål än för överföring av informationen till Cesop. De användningsbegränsningar som finns i den EU-rättsliga regleringen avser uppgifter som medlemsstaterna hämtar in från Cesop. Så länge Skatteverkets efterföljande behandling av de insamlade uppgifterna inte strider mot den EU-rättsliga regleringen avseende kraven på betaltjänstleverantörer att lämna uppgifter, bör Skatteverket enligt vår mening få behandla uppgifterna även i syfte att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel inom myndighetens verksamhet. Att så tillåts innebär enligt vår mening inte i sig att det ger Skatteverket möjlighet att använda uppgifterna i strid med eller i större utsträckning än vad som framgår av användningsbegränsningarna i artikel 55 i EU-förordningen om administrativt samarbete.247 Användningsbegränsningarna rör nämligen som nyligen nämnts uppgifter som inhämtas från Cesop, och därmed inte uppgifter
247 Rådets förordning (EU) nr 904/2010 av den 7 oktober 2010 om administrativt samarbete och kampen mot mervärdesskattebedrägeri. Jfr prop. 2022/23:121, Nya krav på betaltjänst-
leverantörer att lämna uppgifter, s. 112.
som inhämtas från betaltjänstleverantörer.248 De skäl vi i avsnitt 8.4.8 för fram om varför vi anser att uppgifterna som inhämtas från betaltjänstleverantörer inte bör omfattas av särskilda ändamålsbegränsningar i den föreslagna lagen eller föreslagna förordningen gör sig sammantaget enligt vår mening gällande även avseende frågan om uppgifterna ska få behandlas för Skatteverkets dataanalyser och urval.
Vi gör mot denna bakgrund bedömningen att det inte rör sig om sådana särskilt integritetskänsliga uppgifter för vilka det bör införas särskilda ändamålsbegränsningar. Det finns därför ingen anledning att särreglera behandlingen av dessa uppgifter i förhållande till andra uppgiftskategorier. Att uppgifterna får behandlas med hjälp av sådana verktyg påverkar i sig inte denna bedömning. Uppgifter som betaltjänstleverantörer lämnar till Skatteverket bör alltså vara möjliga att behandla även för myndighetens dataanalyser och urval. Det kommer dock fortsatt, som vid all behandling, att finnas krav på att de uppgifter som behandlas är nödvändiga för att Skatteverket ska utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e i dataskyddsförordningen). Behandlingen måste också följa kraven i artikel 5 i dataskyddsförordningen, bl.a. att uppgifterna som behandlas är adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering, artikel 5.1 c i dataskyddsförordningen). Att vi inte föreslår några särskilda ändamålsbegränsningar för de aktuella uppgifterna innebär alltså inte att det kommer att vara tillåtet för Skatteverket att vid varje tillfälle behandla de aktuella uppgifterna för att göra övergripande dataanalyser och urval.
Det kan även tilläggas att regeringen har uttalat att de uppgifter som ska samlas in av betaltjänstleverantörerna är uppgifter som när de samlas in inte har något direkt samband med beskattningen och som dessutom med stor sannolikhet endast till en mycket liten del kan komma att få någon betydelse vid skattekontroll.249 Det kan därför antas att det i flera fall inte kommer att anses vara nödvändigt eller relevant för Skatteverket att använda de aktuella uppgifterna för mer övergripande analyser och urval.
248 Jfr regeringens bedömning i prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna
uppgifter, s. 84–88.
249Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 94.
14.10. Vissa uppgiftsskyldigheter ska utökas
14.10.1. Gällande rätt och myndigheternas behov
Allmänt om informationsutbyte mellan myndigheter
Det förekommer att den information som behövs för att myndigheter ska kunna utföra sina uppdrag finns hos en annan myndighet. Möjligheten att utbyta uppgifter är på grund av detta viktigt för att myndigheter ska kunna fullgöra sina uppgifter, men också för en fungerande samverkan mellan myndigheter i övrigt.
Många uppgifter som behandlas inom en myndighet skyddas av sekretessbestämmelser. Om en myndighet får en sekretessreglerad uppgift från en annan myndighet, gäller sekretess för uppgiften hos den mottagande myndigheten endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess.250 Som ovan nämnts råder sekretess inte bara gentemot enskilda, utan också i förhållande till andra myndigheter.251
Det finns dock ett antal bestämmelser i lag och förordning som bryter sekretessen mellan myndigheter, t.ex. genom en sekretessbrytande uppgiftsskyldighet. Det möjliggör att myndigheter och olika verksamhetsgrenar inom myndigheter utbyter information.
Det finns även möjligheter för myndigheter att utbyta uppgifter även om det saknas uttryckliga bestämmelser som tar sikte på informationsutbyte mellan två myndigheter, t.ex. avseende information i offentliga register såsom fastighetsregistret eller aktiebolagsregistret vilka ska ge offentlighet åt den information som ingår i registret.252Utöver detta spelar också bestämmelser om rätt att behandla de eventuella personuppgifter som innefattas i de utbytta uppgifterna in. Det innebär att ett flertal olika typer av författningar aktualiseras vid uppgiftsutbyte mellan myndigheter, t.ex. dataskyddsrättslig reglering, offentlighets- och sekretesslagen samt materiell lagstiftning. När förändringar i regleringen om uppgiftsutbyte mellan myndigheter övervägs krävs också noggranna avvägningar mellan viktiga allmänna intressen och skyddet för den personliga integriteten.
2507 kap. 2 § OSL. 2518 kap. 1 § OSL. 2521 § lagen (2000:224) om fastighetsregister och 2 kap. 1 § aktiebolagsförordningen (2005:559).
I avsnitten 13.2.1 och 13.2.2 finns närmare redogörelser för vad som rättsligt gäller vid informationsutbyte mellan myndigheter, bl.a. avseende sekretessreglering och den dataskyddsrättsliga regleringen. I avsnitten 3.3.4–3.3.6 finns vidare närmare redogörelser för de sekretessbestämmelser som är tillämpliga i specifikt Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter.
Kartläggning av myndigheternas behov
Möjligheten för Skatteverket, Tullverket och Kronofogdemyndigheten att utbyta uppgifter mellan varandra eller andra myndigheter kan ge bättre förutsättningar för träffsäkra dataanalyser och urval. I arbetet med att kartlägga vilken information som behövs för att möjliggöra adekvata analyser och urval har det kommit fram att det finns vissa behov av ändrade bestämmelser om sekretessbrytande uppgiftsskyldigheter. Skatteverket har uttryckt att det inom beskattningsverksamheten finns ett behov av utökat uppgiftsutbyte med Kronofogdemyndigheten. Tullverket har fört fram ett behov av utökade möjligheter till uppgiftsutbyte med Skatteverket. Närmare redogörelser för dessa myndigheters uttryckta behov samt våra förslag och bedömningar i dessa delar finns nedan i avsnitten 14.10.2 och 14.10.3.
Den nuvarande regleringen som avser utlämnande av uppgifter från andra myndigheter till Kronofogdemyndigheten begränsas i vissa fall till utlämnanden avseende en person som är gäldenär hos myndigheten, eller till att uppgifterna måste vara av betydelse för handläggning av ärenden.253 Så är dock inte fallet avseende andra uppgiftsskyldigheter.254 Vissa befintliga uppgiftsskyldigheter kan därmed hindra att Kronofogdemyndigheten inhämtar sådana sekretesskyddade uppgifter från andra myndigheter enbart för att göra dataanalyser och urval för kontrolländamål. Kronofogdemyndigheten har uttryckt att det kan finnas ett behov av att kunna hämta in uppgifter även när det inte finns något ärende. Myndigheten har dock uppgett att det i dagsläget är svårt att beskriva sådana behov på ett tillräckligt tydligt sätt innan myndigheten har hunnit utveckla användningen av dataanalyser och urval som verktyg för kontroll. Kronofogdemyndigheten har
253 Se t.ex. 59 § skuldsaneringslagen, 15 § studiestödsdataförordningen (2009:321) och 4 d § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration. 254 Se t.ex. 1 kap. 4 §§ TL.
därför fört fram till utredningen att myndigheten väljer att inte lägga fram någon konkret önskan om förändrade eller nya sekretessbrytande uppgiftsskyldigheter i syfte att göra dataanalyser och urval. Mot denna bakgrund finns det inget underlag för att inom ramen för denna utredning föreslå utökade uppgiftsskyldigheter från andra myndigheter gentemot Kronofogdemyndigheten.
I samband med att Skatteverket under 2023 fick bättre möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten har regeringen infört utökade uppgiftsskyldigheter i bl.a. folkbokföringsförordningen, skattedatabasförordningen och kronofogdedatabasförordningen. Tidigare kunde vissa uppgifter som ansågs kunna komma att behövas för dataanalyser och urval endast hämtas in från andra myndigheter och verksamhetsgrenar om det behövdes för handläggning av folkbokföringsärenden eller kontroll av uppgifter i folkbokföringsdatabasen. Det handlade t.ex. om uppgifter från beskattningsdatabasen255, Kronofogdemyndigheten256 och Migrationsverket.257 Ett flertal uppgiftsskyldigheter gentemot Skatteverkets folkbokföringsverksamhet har sedan den 1 maj 2023 ändrats så att de i stället för att avse bl.a. kontroll av uppgifter i folkbokföringsdatabasen avser kontroll av uppgifter i folkbokföringsverksamheten.258Uppgifter som omfattas av uppgiftsskyldigheter som möjliggör utlämnande till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten får i dag behandlas i analys- och urvalsdatabasen.259
Skatteverket har mot bakgrund av dessa ändringar som nyligen skett framfört att det för närvarande inte finns några behov av ytterligare ändrade bestämmelser om uppgiftsskyldighet gentemot folkbokföringsverksamheten. I likhet med Kronofogdemyndigheten arbetar även Skatteverket med att utveckla analys- och urvalsverksamheten inom folkbokföringsverksamheten, vilket enligt myndigheten också är ett skäl till att det är svårt att konkretisera något behov av ytterligare ändringar. Mot denna bakgrund finns det inte heller något underlag för att inom ramen för denna utredning föreslå utökade uppgiftsskyldigheter från andra myndigheter gentemot Skatteverkets folkbokföringsverksamhet.
255 5 c § SdbF i sin lydelse enligt SFS 2020:335. 256 7 a § KFMdbF i sin lydelse enligt SFS 2022:1283. 2577 kap. 15 b § utlänningsförordningen, i sin lydelse enligt SFS 2022:1285. 258 Se t.ex. 12–15 §§ FOF, 5 c § SdbF, 7 a § KFMdbL och 7 kap. 15 b § utlänningsförordningen. 259 5 c § FdbF.
Vi föreslår att den nuvarande folkbokföringsdatabaslagen med tillhörande förordning ska upphävas och ersättas av en ny folkbokföringsdatalag med tillhörande förordning (se avsnitten 6.2 och 6.4). Vi föreslår även vissa lagtekniska ändringar av uppgiftsskyldigheter från bl.a. Skatteverkets beskattningsverksamhet till folkbokföringsverksamheten (se avsnitt 13.5). Våra ändringsförslag bedöms dock inte innebära något hinder mot att Skatteverket fortsatt kommer att kunna inhämta och i övrigt behandla sådana uppgifter som ska lämnas av andra myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten för dataanalyser och urval. Mot denna bakgrund behöver inga författningsändringar göras i detta avseende med anledning av våra förslag.
14.10.2. En utökad uppgiftsskyldighet gentemot Skatteverket
Vårt förslag: Kronofogdemyndigheten ska lämna ut vissa upp-
gifter till Skatteverket i den utsträckning det behövs för Skatteverkets dataanalyser och urval. De uppgifter som ska lämnas ut är följande:
1. en fysisk persons identitet, bosättning och familjeförhållanden,
2. en juridisk persons identitet, säte, firmatecknare och andra före-
trädare,
3. en enskilds ekonomiska förhållanden,
4. näringsförbud,
5. egendom som berörs i ett mål,
6. yrkanden och grunder i ett mål eller ärende, och
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller
ärende.
Utlämnande av uppgifterna ska inte få ske på initiativ av Kronofogdemyndigheten.
Vår bedömning: Det behövs inga nya sekretessbestämmelser som
skyddar uppgifterna efter ett utlämnande till Skatteverket.
Det finns inget behov av ytterligare ändringar i myndigheternas dataskyddslagar för att nu aktuella personuppgifter ska få utbytas.
Förslaget är förenligt med skyddet för den enskildes personliga integritet.
Skälen för vårt förslag och vår bedömning
Skatteverkets behov av uppgifter från Kronofogdemyndigheten
I dag anges i 7 § KFMdbF att på begäran av Tullverket eller Skatteverket ska lämnas ut uppgifter som avses i 2 kap. 5 § 1–7 KFMdbL, om uppgifterna avser en person som förekommer i ett ärende hos den myndighet som begär att få ut uppgiften. I 2 kap. 5 § KFMdbL finns regler om innehållet i den nuvarande utsöknings- och indrivningsdatabasen vid Kronofogdemyndigheten. I bestämmelsens punkter 1–7 anges att följande uppgifter får behandlas i databasen: en fysisk persons identitet, bosättning och familjeförhållanden, en juridisk persons identitet, säte, firmatecknare och andra företrädare, en enskilds ekonomiska förhållanden, näringsförbud, egendom som berörs i ett mål, yrkanden och grunder i ett mål eller ärende, och beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
De aktuella uppgifterna kan i dag endast inhämtas av Skatteverket från Kronofogdemyndigheten om uppgifterna avser en person som förekommer i ett ärende hos Skatteverket.
Skatteverket har uppgett att det finns ett behov av att kunna inhämta uppgifterna även när det inte finns något ärende för att göra dataanalyser och urval. Ett skäl till detta hänger samman med möjligheten för Skatteverket att bevilja anstånd till fördel för det allmänna. Denna möjlighet regleras i 63 kap. 23 § SFL som föreskriver att om det kan antas vara till fördel för det allmänna, får Skatteverket bevilja anstånd med betalning av skatt eller avgift. Bestämmelsen infördes när Skatteverket tog över de s.k. offensiva borgenärsuppgifterna från Kronofogdemyndigheten, vilket innebär att det är Skatteverket som företräder det allmänna som borgenär i fråga om fordringar av offentligrättslig karaktär. Med andra ord företräder Skatteverket staten i fråga om vissa närmare angivna borgenärsuppgifter när det gäller ford-
ringar som vid verkställighet enligt utsökningsbalken handläggs som allmänna mål. Ett anstånd anses vara till fördel för det allmänna om det främjar utsikterna för att skatten eller avgiften kommer att betalas. Anståndet ska alltså framstå som ett bättre alternativ än att låta fordringen gå till indrivning. Så kan vara fallet om ett överlämnade till indrivning och registrering i utsöknings- och indrivningsdatabasen skulle försämra den skattskyldiges möjlighet att fortsätta sin verksamhet eller ta lån och därmed betala sin skuld. Om den skattskyldige redan har en eller flera restförda skatte- eller avgiftsskulder hos Kronofogdemyndigheten kan ett överlämnande för indrivning avseende ytterligare en skuld normalt inte anses påverka möjligheterna negativt att få betalt.260
När Skatteverket har initierat anståndsfrågan på grund av att myndigheten har övervägt att vidta en offensiv borgenärsåtgärd är det enligt myndigheten viktigt att skuldernas totala omfattning är klarlagd, att skuldorsaken är ordentligt utredd samt att en prognosbedömning har gjorts avseende hur skulderna ska betalas efter en anståndstids utgång. Skatteverket har uppgett att det offensiva borgenärsarbetet därmed förutsätter att myndigheten har en heltäckande bild av den enskildes restförda skulder hos Kronofogdemyndigheten när Skatteverket planlägger ärenden. I dagsläget har Skatteverket enbart tillgång till uppgifter om de skulder som Skatteverket har överlämnat till Kronofogdemyndigheten och inte till t.ex. skulder till underleverantörer som är restförda som enskilda mål vid Kronofogdemyndigheten. I avsaknad av sådana uppgifter kan Skatteverket inte starta en offensiv borgenärsåtgärd genom ett effektivt urval. Skatteverket agerar offensivt i borgenärsarbetet även i de fall skulder ännu inte har uppstått hos Skatteverket.
De aktuella uppgifterna från Kronofogdemyndigheten är alltså enligt Skatteverket betydelsefulla för att genomföra analyser och urval för att avgöra vilka som kan vara aktuella att beviljas anstånd till fördel för det allmänna. Uppgifter om stora skulder är t.ex. en indikation på att något inte står rätt till i ett bolag och kan vara en riskindikator för undandragande av olika skatter eller avgifter till det allmänna. Om anstånd med betalning av skatt eller avgift inte meddelas där det finns fog för det, finns det enligt Skatteverket en risk för att den skattskyldige prioriterar betalning av andra skulder än skulder till det allmänna. Till följd av att statliga fordringar är oprioriterade i
260Prop. 2010/11:164, Skatteförfarandet, s. 1043–1044.
en konkurs finns följaktligen en risk för att det allmänna inte får betalt. Uppgifterna från Kronofogdemyndigheten kan, om de används vid dataanalyser och urval, därmed bidra till att förhindra att staten går miste om sådana medel.
Skatteverket har även uppgett att aktuella uppgifter kan vara av betydelse för att upptäcka s.k. non-filers, dvs. företag som inte är registrerade för skatter eller avgifter men som möjligen borde vara det. Vissa skulder kan enligt Skatteverket nämligen vara en riskindikator för att fel begås gentemot Skatteverket. De uppgifter som Kronofogdemyndigheten innehar är vidare mer aktuella än de uppgifter som finns i t.ex. en årsredovisning. Därmed finns enligt Skatteverket ett behov av att för analyser och urval hämta in uppgifter om personer som förekommer hos Kronofogdemyndigheten men inte i ärenden vid Skatteverket.
En utvidgad bestämmelse om uppgiftsskyldighet
Av kartläggningen har det kommit fram att Skatteverket vid utförandet av sina uppgifter behöver ta del av ovan nämnda uppgifter om bl.a. enskildas ekonomiska förhållanden och uppgifter i enskilda ärenden vid Kronofogdemyndigheten. Vi bedömer att de uppgifterna från Kronofogdemyndigheten bör kunna lämnas ut utan hinder av sekretess eller ärendeanknytning för att förbättra Skatteverkets möjligheter att göra adekvata dataanalyser och urval. Uppgifterna bedöms vara nödvändiga för Skatteverkets verksamhet som borgenär för statens fordringar samt för sitt uppdrag att utreda och besluta om skatter och avgifter. En möjlighet att inhämta aktuella uppgifter kan därmed bidra till ökade förutsättningar för Skatteverket att fatta korrekta beslut i enlighet med sitt uppdrag. Eftersom uppgifter om t.ex. en enskilds ekonomiska förhållanden och befintliga skulder kan ändras är det ändamålsenligt att Skatteverket också löpande kan ta del av uppgifter om förändringar av sådana förhållanden. Uppgifterna anses också vara av värde även innan det finns ett enskilt ärende vid Skatteverket.
Uppgifterna bedöms alltså vara av betydelse för att Skatteverket på ett effektivt sätt ska kunna avgöra vilka borgenärsåtgärder som bör vidtas i syfte att förhindra att staten går miste om inbetalning av skatter och avgifter. De är också av betydelse för att Skatteverket ska
kunna upptäcka vilka företag som inte är registrerade för att betala skatter och avgifter i Sverige, men som borde vara det.
I förekommande fall omfattas de aktuella uppgifterna av sekretess i Kronofogdemyndighetens verksamhet. Bland annat gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men (34 kap. 1 § första stycket OSL). Sekretessen gäller dock inte beslut i mål eller ärende (34 kap. 1 § femte stycket OSL).
Vi bedömer att behovet av att Skatteverket ska kunna utföra sina uppgifter på ett effektivt och korrekt sätt, vilket i detta fall förhindrar potentiella skatteundandraganden, generellt sett kan anses väga tyngre än det intresse som sekretessen hos Kronofogdemyndigheten skyddar. Det rör sig även om ett uppgiftsutbyte som kan antas behöva ske återkommande. Vi anser därför att uppgiftsskyldigheten för Kronofogdemyndigheten gentemot Skatteverket bör utvidgas.
Som framgår ovan gäller uppgiftsskyldigheten i 7 § KFMdbL enbart om uppgifterna avser en person som förekommer i ett ärende hos Skatteverket. I avsnitt 13.8 föreslår vi att Kronofogdemyndighetens uppgiftsskyldigheter ska regleras i en ny förordning benämnd förordningen om utlämnande av uppgifter från Kronofogdemyndigheten. Genom förslaget förändras strukturen avseende befintliga uppgiftsskyldigheter som i dag regleras i bl.a. kronofogdedatabasförordningen. Därmed kommer vissa ändringar att göras av den befintliga 7 § KFMdbF redan av denna anledning. Ändringarna föreslås föras in i den nya 5 § i förordningen om utlämnande av uppgifter från Kronofogdemyndigheten.
För att Skatteverket ska kunna hämta in aktuella uppgifter även för analys- och urvalsändamål föreslår vi att uppgiftsskyldigheten i 5 § förordningen om utlämnande av uppgifter från Kronofogdemyndigheten ska formuleras så att uppgifter, utöver vid ärendehandläggning, får hämtas in om de behövs för Skatteverkets dataanalyser och urval. Det blir då även fortsatt tydligt att det ska finnas ett berättigat behov hos Skatteverket innan uppgifter får lämnas ut. Utlämnande av uppgifterna kommer inte att få ske på initiativ av Kronofogdemyndigheten (se 9 § förordningen om utlämnande av uppgifter från
Kronofogdemyndigheten). En närmare motivering av denna bestämmelse finns i avsnitt 13.4.4.
Frågor om sekretess
En av de grundläggande principerna för sekretessregleringen är att sekretess som huvudregel inte följer med en uppgift när den lämnas till en annan myndighet. När uppgifter som rör en enskilds personliga eller ekonomiska förhållanden lämnas från Kronofogdemyndigheten till Skatteverket kommer de sekretessregler som gäller hos Skatteverket att bli tillämpliga på uppgifterna.
I avsnitt 15.3 föreslår vi att absolut sekretess ska gälla i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Vidare regleras skattesekretessen hos Skatteverket i bl.a. 27 kap. 1 § OSL. Enligt första stycket gäller absolut sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess kommer även i enlighet med våra förslag i avsnitt 15.5.3 att gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden (27 kap. 1 § andra stycket 1 OSL). Vidare gäller enligt 27 kap. 2 § första stycket 3 OSL (absolut) sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i ärende om anstånd med erläggande av skatt. Sekretessen gäller dock inte beslut i ärende (27 kap. 2 § tredje stycket 1 OSL). Enligt 27 kap. 2 § andra stycket gäller sekretess i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Bestämmelsen har alltså ett omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. Inte heller här omfattar sekretessen beslut i ärende (27 kap. 2 § tredje stycket 1 OSL).
Det kan alltså konstateras att uppgifterna från Kronofogdemyndigheten till Skatteverket kommer att omfattas av bestämmelser om sekretess som har samma eller starkare skyddsnivå hos Skatteverket. Mot denna bakgrund gör vi bedömningen att uppgifterna kommer att ha ett tillräckligt skydd hos Skatteverket också efter ett utvidgat utlämnande. Det bedöms därmed inte behövas nya sekretessbestämmelser som skyddar uppgifterna efter ett utlämnande till Skatteverket.
Frågor om personuppgiftsbehandling
När det gäller den utvidgade uppgiftsskyldighet som är aktuell här handlar det om ett utlämnande av uppgifter från Kronofogdemyndigheten till Skatteverket. Både utlämnande och mottagande myndighet omfattas alltså av vårt uppdrag i fråga om att se över deras befintliga registerförfattningar.
Kronofogdemyndigheten kommer att ha stöd för den vidareanvändning av personuppgifter som den aktuella uppgiftsskyldigheten medför då skyldigheten följer av en förordningsbestämmelse i nationell rätt. Uppgiftsskyldigheten bedöms vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda bl.a. landets ekonomiska eller finansiella intressen i form av skattefrågor (jfr artikel 6.4 i dataskyddsförordningen). Behandlingen bedöms därmed vara förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in (artikel 5.1 b i dataskyddsförordningen). Vidare finns i den föreslagna kronofogdedatalagen en bestämmelse som förtydligar att personuppgifter som Kronofogdemyndigheten behandlar för att utföra sin verksamhet inom lagens tillämpningsområde också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (se avsnitt 8.4.4).
För Skatteverkets del gäller att myndigheten får behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom ramen för den föreslagna beskattningsdatalagens tillämpningsområde (se avsnitt 8.4.3). Vidare kommer Skatteverket genom den nya lagen att ha stöd för att behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i samma verksamhet (se avsnitt 14.8). Skatteverket kommer även ha stöd för att behandla eventuella känsliga personuppgifter, om det är nödvändigt med hänsyn till ändamålet med behandlingen (se avsnitt 10.7).
Mot denna bakgrund görs bedömningen att de inte krävs ytterligare överväganden för att Skatteverket som mottagande myndighet ska ha stöd för den behandling av personuppgifter som föranleds av det utökade uppgiftsutbytet.
Här kan också nämnas att det genom de föreslagna nya lagarna kommer att finnas förutsättningar för att uppgiftsutbytet kan ske elektroniskt då ett av våra förslag innebär att myndigheterna ska få lämna ut personuppgifter elektroniskt om det inte är olämpligt (se avsnitt 11.7.5).
Skyddet för den enskildes personliga integritet
Genom bestämmelser om uppgiftsskyldighet kan riskerna för otillbörlig spridning av personuppgifter öka, vilket i sin tur ökar risken för integritetsintrång. De uppgifter som omfattas av den utökade uppgiftsskyldigheten är dock redan i dag uppgifter som får lämnas ut från Kronofogdemyndigheten till Skatteverket, och som Skatteverket har stöd för att behandla inom beskattningsverksamheten.
Vi gör bedömningen att arten av de personuppgifter som omfattas av den utökade uppgiftsskyldigheten inte är sådan att det föranleder några större förändringar av de uppgifter som Skatteverket redan behandlar. Däremot kan omfattningen, dvs. mängden uppgifter, komma att öka. Syftet med förslagen är att Skatteverket ska kunna utföra adekvata dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Avsikten är att detta i förlängningen ska leda till att Skatteverket ges bättre möjligheter att utföra sitt uppdrag på ett korrekt och effektivt sätt till förmån för välfärdsstaten i stort. Vi anser att det av Skatteverkets uppgifter till oss framgår att det finns ett berättigat och konkret behov av att kunna inhämta aktuella uppgifter från Kronofogdemyndigheten för det nu nämnda syftet. När Skatteverket väl har hämtat in uppgifterna för att göra dataanalyser och urval måste det, trots den utvidgade sekretessbrytande uppgiftsskyldigheten, som vid varje behandling, finnas en tillämplig rättslig grund vilken måste sökas någon annanstans. Det kommer att finnas ett uttryckligt krav på att uppgifterna behövs för utförandet av Skatteverkets verksamhet i detta avseende. Kravet innebär att behandlingen får anses vara en nödvändig och proportionerlig åtgärd för att säkerställa aktuella allmänna intressen. Vidare måste de grundläggande prin-
ciperna om behandling följas, såsom principen om uppgiftsminimering (artikel 5.1 c i dataskyddsförordningen) och lagringsminimering (artikel 5.1 e i dataskyddsförordningen). Någon risk för att fler uppgifter inhämtas än vad som behövs, eller sparas längre än nödvändigt, föreligger därmed inte. Dessutom gäller kraven på inbyggt dataskydd och dataskydd som standard (artikel 25). Utöver detta kommer, som framgår ovan, sekretesskyddet hos Skatteverket att vara mycket starkt efter överlämnandet av uppgifterna.
Vid en intresseavvägning gör vi sammantaget bedömningen att det integritetsintrång förslaget innebär är godtagbart.
14.10.3. En utökad uppgiftsskyldighet gentemot Tullverket
Vårt förslag: Skatteverket ska lämna ut vissa uppgifter till Tull-
verket i den utsträckning det behövs för Tullverkets dataanalyser och urval. De uppgifter som ska lämnas ut är följande:
1. en fysisk persons identitet, medborgarskap, bosättning och
familjeförhållanden,
2. en juridisk persons identitet, säte, ägarförhållanden samt
firmatecknare och andra företrädare,
3. registrering för skatter och avgifter,
4. underlag för fastställande av skatter och avgifter,
5. bestämmande av skatter och avgifter,
6. yrkanden och grunder i ett ärende, och
7. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Utlämnande av uppgifterna ska inte få ske på initiativ av Skatteverket.
Vår bedömning: Det behövs inga nya sekretessbestämmelser
som skyddar uppgifterna efter ett utlämnande till Tullverket.
Det finns inget behov av ytterligare ändringar i myndigheternas dataskyddslagar för att nu aktuella personuppgifter ska få utbytas för dataanalyser och urval.
Förslaget är förenligt med skyddet för den enskildes personliga integritet.
Skälen för vårt förslag och vår bedömning
Tullverkets behov av uppgifter från Skatteverket
I 5 § första stycket SdbF anges följande.
På begäran av Tullverket ska sådana uppgifter lämnas ut som avses i 2 kap. 3 § första stycket 1–5, 10 och 11 lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet om en person som
1. är eller kan antas vara gäldenär enligt tullagstiftningen,
2. är eller kan antas vara skyldig att betala skatt för vara vid import,
3. är eller kan antas vara skattskyldig enligt lagen (1994:1776) om skatt på energi, lagen (2016:1067) om skatt på kemikalier i viss elektronik, lagen (2018:696) om skatt på vissa nikotinhaltiga produkter, lagen (2020:32) om skatt på plastbärkassar, lagen (2022:155) om tobaksskatt eller lagen (2022:156) om alkoholskatt,
4. avses i 3 §, eller
5. annars är föremål för Tullverkets kontrollverksamhet.
I 3 § SdbF anges att i beskattningsdatabasen ska även de uppgifter behandlas som anges i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004.
De uppgifter som avses genom hänvisningen till 2 kap. 3 § första stycket 1–5, 10 och 11 SdbL är en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, registrering för skatter och avgifter, underlag för fastställande av skatter och avgifter, bestämmande av skatter och avgifter, yrkanden och grunder i ett ärende samt beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Enligt 5 a § första stycket SdbF ska på begäran av Tullverket sådana uppgifter lämnas ut som avses i 2 kap. 4 a § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
I 2 kap. 4 a § SdbL anges att i databasen får uppgifter och handlingar behandlas som ingår i det datoriserade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor.
Tullverkets bedömning är att bestämmelserna i 5 § första stycket och 5 a § första stycket SdbF innebär att Tullverket endast kan hämta in uppgifterna när det finns ett pågående ärende i någon form. Myn-
digheten anser dock att det skulle vara värdefullt om uppgifterna även fick hämtas in för analys- och urvalsändamål.
När Tullverket har hämtat in aktuella uppgifter från Skatteverket inom ramen för ett ärende får de enligt myndighetens bedömning senare vidareanvändas för att hitta samband, avvikelser och företeelser som indikerar att det finns felaktigheter. Sådana analyser används för att välja ut objekt för ytterligare analys, i ett skede då det inte finns något ärende i förvaltningsrättslig mening. Eftersom Tullverket enbart kan använda uppgifter som redan har samlats in är möjligheterna till en mer omfattande jämförelseanalys enligt myndigheten ytterst begränsad. Såväl bredden på urvalet som kvaliteten på analyserna påverkas enligt Tullverket eftersom analysen enbart kan avse ett fåtal utvalda aktörer. Om Tullverket hade haft möjlighet att i en övergripande analys använda ett bredare underlag för jämförelser, skulle resultatet enligt myndighetens bedömning ge mer information och ha högre kvalitet. Tullverket har därför uppgett att det finns ett behov av att hämta in aktuella uppgifter för analys även utan att det finns ett pågående ärende.
Mer konkret handlar behovet om att när Tullverket utför olika former av analyser, bl.a. mönsteranalyser för att hitta mönster i importflödet, är det relevant att titta på vilka gemensamma nämnare respektive olikheter som finns inom olika branscher. Sådana analyser kan bidra till att identifiera var det finns högre risk för avvikelser och fel. För att förbättra indelningen av företag i olika branscher eller storlekar behöver Tullverket data som beskriver olika verksamheter och omfattningen av företags ekonomiska aktivitet. För att dela in företagen i branscher kan både SNI-koder261 och de beskrivningar företag lämnar vid registrering för F-skatt och mervärdesskatt hos Skatteverket användas. Att ha en tydlig och detaljerad branschindelning av företag gör enligt Tullverket att mönsteranalyserna blir mer precisa. Avseende företags storlek kan uppgifter om intäkter och kostnader ge en bild av omfattningen av företagens ekonomiska aktivitet. Tullverket har uppgett att myndigheten skulle kunna leta mönster med hjälp av uppgifter om t.ex. hur mycket kostnader ett importföretag i en viss bransch har i förhållande till nettoomsättningen eller hur höga personalkostnader som är normala.
261 SNI är en förkortning för svensk näringsgrensindelning, vilket används för att klassificera företag och arbetsställen efter vilken verksamhet som bedrivs. Det är Skatteverket som samlar in SNI-koder från företag, medan SCB ansvarar för klassifikationen SNI.
Tullverket bedömer att det skulle finnas ett stort värde i att uppgifter i mervärdesskattedeklarationer avseende importmoms skulle kunna jämföras med Tullverkets uppgifter i tulldeklarationer för att avvikelser avseende värdet på varor som importeras på så sätt ska kunna identifieras. Sådana avvikelser kan vara indikationer på fel och fusk.
Ett annat exempel är att Tullverket enligt myndigheten kan använda aktuella uppgifter för att se om företag som har fått negativa ändringsbeslut hos Skatteverket även har fått det hos Tullverket, och vice versa. Att ett företag är mindre nogräknat med att göra korrekta skatteavdrag eller sköta sin bokföring kan enligt Tullverket vara en indikation på att detsamma gäller avseende tullfrågor. Negativa ändringsbeslut vid Skatteverket kan också vara en riskindikator vid ett företags första import. Tullverket anser att uppgifter från Skatteverket om beslut samt underlagen för dessa därmed behövs för att eventuella korrelationer ska kunna upptäckas.
En utvidgad bestämmelse om uppgiftsskyldighet
Det kan först konstateras att den nu gällande bestämmelsen i 5 a § första stycket SdbF inte är formulerad så att det krävs att aktuella uppgifter hämtas in för ärendehandläggning eller avseende en viss person som är aktuell hos Tullverket. Vi gör därmed bedömningen att denna uppgiftsskyldighet inte hindrar att Tullverket hämtar in där aktuella uppgifter för att göra dataanalyser och urval även innan det finns ett pågående ärende. Våra förslag i avsnitt 13.7 kommer inte heller att medföra att uppgiftsskyldigheten ändras i sak.
Bestämmelsen i 5 § första stycket SdbF är dock i dag formulerad så att uppgifter endast får lämnas ut från Skatteverket om de avser en viss person som t.ex. är eller kan antas vara gäldenär enlig tullagstiftningen, eller annars är föremål för Tullverkets kontrollverksamhet. Det har ovan kommit fram att Tullverket vid utförandet av sina uppgifter har ett behov av att ta del av de uppgifter som omfattas av denna bestämmelse även när det inte finns något pågående ärende eller kontrollinsats avseende ett företag eller en privatperson vid Tullverket, men där det finns uppgifter hos Tullverket om en viss sådan aktör att jämföra med. Som framgår ovan avser det uppgifter i bl.a. beslut och skattedeklarationer vid Skatteverket.
Vi bedömer att det är befogat och nödvändigt att aktuella uppgifter från Skatteverket kan lämnas ut utan hinder av sekretess för att
förbättra Tullverkets möjligheter att göra adekvata dataanalyser och urval. Uppgifterna bedöms vara nödvändiga för Tullverkets verksamhet med att fastställa och ta ut tullar, skatter och avgifter samt med att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. En möjlighet att hämta in aktuella uppgifter kan därmed bidra till ökade förutsättningar för Tullverket att identifiera felaktigheter och fatta korrekta beslut i enlighet med myndighetens uppdrag. Uppgifterna är av värde även innan det finns ett enskilt ärende vid Tullverket. Genom att Tullverket kan få del av uppgifterna innan ett ärende påbörjats ges myndigheten möjlighet att i ett tidigare skede identifiera var resurserna avseende olika former av kontroller bör riktas i det stora varuflöde som myndigheten ansvarar för att kontrollera.
Uppgifterna är alltså av betydelse för att Tullverket på ett effektivt sätt ska kunna avgöra vilka objekt som bör kontrolleras ytterligare i syfte att förhindra att staten inte går miste om inbetalning av tullar, skatter och andra avgifter.
De aktuella uppgifterna omfattas av sekretess i Skatteverkets verksamhet. Enligt 27 kap. 1 § första stycket OSL gäller absolut sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Vissa undantag från sekretessen finns avseende beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs (27 kap. 6 § OSL).
Vi bedömer att behovet av att Tullverket ska kunna utföra sina uppgifter på ett effektivt sätt, vilket i detta fall förhindrar potentiella tull- och skatteundandraganden, generellt sett kan anses väga tyngre än det intresse som sekretessen hos Skatteverket skyddar. Det rör sig även om ett uppgiftsutbyte som kan antas behöva ske återkommande. Vi anser därför att uppgiftsskyldigheten för Skatteverket gentemot Tullverket bör utvidgas.
Som framgår ovan gäller uppgiftsskyldigheten i 5 § första stycket SdbF enbart om uppgifterna avser en person som har eller kan antas ha en skyldighet gentemot Tullverket och som därmed också förekommer i ett pågående ärende vid myndigheten. I avsnitt 13.5.1 föreslår vi att Skatteverkets uppgiftsskyldigheter ska regleras i en ny förordning benämnd förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet. Genom förslaget ändras struk-
turen avseende befintliga uppgiftsskyldigheter som i dag regleras i bl.a. skattedatabasförordningen. Vissa ändringar av den befintliga 5 § SdbF kommer därmed redan av denna anledning behövas. Ändringarna föreslås föras in i 5 kap. 1 och 2 §§ förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet.
För att Tullverket ska kunna hämta in aktuella uppgifter även för analys- och urvalsändamål föreslår vi att uppgiftsskyldigheten i 5 kap. 1 § förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet ska formuleras så att uppgifter, utöver vid bl.a. ärendehandläggning, får hämtas in om de behövs för Tullverkets dataanalyser och urval. Det blir då även fortsatt tydligt att det ska finnas ett berättigat behov hos Tullverket innan uppgifter får lämnas ut. Utlämnande av uppgifterna kommer inte att få ske på initiativ av Skatteverket (se 5 kap. 5 § förordningen om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet). En närmare motivering av denna bestämmelse finns i avsnitt 13.4.4.
Frågor om sekretess
Som ovan beskrivits är en av de grundläggande principerna för sekretessregleringen att sekretess som huvudregel inte följer med en uppgift när den lämnas till en annan myndighet. När sekretessbelagda uppgifter som rör en enskilds personliga eller ekonomiska förhållanden lämnas från Skatteverket till Tullverket kommer de sekretessregler som gäller hos Tullverket att bli tillämpliga på uppgifterna.
I avsnitt 15.3 föreslår vi att absolut sekretess ska gälla i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Vidare regleras sekretessen hos Tullverket i bl.a. 27 kap. 3 § OSL. Enligt första stycket gäller sekretessen enligt 27 kap. 1 och 2 §§ OSL för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Bestämmelsen har alltså ett omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. I 27 kap. 6 § OSL finns vissa undantag från sekretessen avseende bl.a. vissa beslut varigenom skatt bestäms eller underlag för bestämmande av skatt fastställs.
I avsnitt 15.5.3 föreslår vi att bestämmelsen i 27 kap. 3 § andra stycket OSL i fortsättningen bör ha en lydelse som innebär att motsvarande sekretess som anges i 27 kap. 3 § första stycket OSL gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen för uppgift som finns i den uppgiftssamlingen.
Det kan alltså konstateras att uppgifterna från Skatteverket till Tullverket kommer att omfattas av bestämmelser om sekretess som har samma eller något svagare skyddsnivå hos Tullverket. Även om uppgifterna i vissa fall inte kommer att omfattas av absolut sekretess hos Tullverket, kommer det i sådana situationer att finnas en presumtion för sekretess. Det innebär i de allra flesta fall att sekretess alltjämt kommer att gälla för uppgifterna vid Tullverket. Det rör sig även om en typ av uppgifter som Tullverket redan i dag har möjlighet att hämta in från Skatteverket – om än i mindre omfattning – samt genom direktåtkomst, varvid sekretessen i 27 kap. 1 § andra stycket 1 OSL gäller med absolut sekretess.
Trots att uppgifterna efter ett utlämnande i vissa fall kan komma att få ett något svagare sekretesskydd vid Tullverket gör vi bedömningen att sekretesskyddet kommer att vara tillräckligt även efter ett utvidgat utlämnande till Tullverket. Vid denna bedömning har vi beaktat att uppgifterna fortsatt kommer att omfattas av sekretess vid Tullverket, att Tullverket är i behov av uppgifterna samt att uppgiftsutlämnandet får anses vara nödvändigt och proportionerligt för att förebygga och förhindra tull- och skatteundandragande, företeelser som påverkar välfärdssystemen negativt. Ett något svagare sekretessskydd i vissa situationer kan därmed godtas. I övrigt kommer uppgifterna, t.ex. vid dataanalyser och urval, fortsatt att omfattas av absolut sekretess. Det bedöms mot denna bakgrund inte behövas nya sekretessbestämmelser som skyddar uppgifterna efter ett utlämnande till Tullverket.
Frågor om personuppgiftsbehandling
När det gäller den uppgiftsskyldighet som här är aktuell handlar det om ett utlämnande av uppgifter från Skatteverket till Tullverket. Både utlämnande och mottagande myndighet omfattas alltså av vårt uppdrag i fråga om att se över deras befintliga registerförfattningar.
Skatteverket kommer att ha stöd för den vidareanvändning av personuppgifter som den aktuella uppgiftsskyldigheten medför eftersom skyldigheten följer av en förordningsbestämmelse i nationell rätt. Uppgiftsskyldigheten bedöms vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda bl.a. landets ekonomiska eller finansiella intressen i form av penning- och skattefrågor (jfr artikel 6.4 i dataskyddsförordningen). Behandlingen bedöms därmed vara förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in (artikel 5.1 b i dataskyddsförordningen). Vidare finns i den föreslagna beskattningsdatalagen en bestämmelse som förtydligar att personuppgifter som Skatteverket behandlar för att utföra sin verksamhet inom lagens tillämpningsområde också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (se avsnitt 8.4.4).
För Tullverkets del gäller att myndigheten får behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom ramen för den föreslagna tulldatalagens tillämpningsområde (se avsnitt 8.4.3). Vidare kommer Tullverket genom den nya lagen att ha stöd för att behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i samma verksamhet (se avsnitt 14.8). Sådant stöd finns även för Tullverkets del genom unionsrättslig reglering, såsom tullkodexen. Tullverket kommer även ha stöd för att behandla eventuella känsliga personuppgifter, om det är nödvändigt med hänsyn till ändamålet med behandlingen (se avsnitt 10.7). Mot denna bakgrund görs bedömningen att det inte krävs ytterligare överväganden för att Tullverket som mottagande myndighet ska ha stöd för den behandling av personuppgifter som föranleds av det utökade uppgiftsutbytet.
Här kan också nämnas att det genom de föreslagna nya lagarna kommer att finnas förutsättningar för att uppgiftsutbytet kan ske elektroniskt då ett av våra förslag innebär att myndigheterna ska få lämna ut personuppgifter elektroniskt om det inte är olämpligt (se avsnitt 11.7.5).
Skyddet för den enskildes personliga integritet
Genom bestämmelser om uppgiftsskyldighet kan riskerna för otillbörlig spridning av personuppgifter anses öka, vilket i sin tur ökar risken för integritetsintrång. De uppgifter som omfattas av den ut-
ökade uppgiftsskyldigheten för dataanalyser och urval är dock redan i dag uppgifter som får lämnas ut från Skatteverket till Tullverket, och som Tullverket har stöd för att behandla inom tullverksamheten.
Vi gör bedömningen att arten av de personuppgifter som omfattas av uppgiftsskyldigheten inte är sådan att det föranleder några större förändringar av de uppgifter som Tullverket redan behandlar. Däremot kan omfattningen, dvs. mängden uppgifter, komma att öka. Syftet med förslagen är att Tullverket ska kunna utföra adekvata dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Avsikten är att detta i förlängningen ska leda till att Tullverket ges bättre möjligheter att utföra sitt uppdrag på ett effektivt sätt till förmån för välfärdsstaten i stort. Vi anser att det av Tullverkets uppgifter till oss framgår att det finns ett berättigat och konkret behov av att kunna inhämta aktuella uppgifter från Skatteverket för det nu nämnda syftet. När Tullverket väl har hämtat in uppgifterna för att göra dataanalyser och urval måste det, trots den sekretessbrytande uppgiftsskyldigheten, som vid varje behandling, finnas en tillämplig rättslig grund vilken måste sökas någon annanstans. Det kommer att finnas ett uttryckligt krav på att uppgifterna behövs för utförandet av Tullverkets verksamhet i detta avseende. Kravet innebär att behandlingen får anses vara en nödvändig och proportionerlig åtgärd för att säkerställa aktuella allmänna intressen. Vidare måste de grundläggande principerna om behandling följas, såsom principen om uppgiftsminimering (artikel 5.1 c i dataskyddsförordningen) och lagringsminimering (artikel 5.1 e i dataskyddsförordningen). Regelverket medger således inte att fler uppgifter hämtas in än vad som behövs, eller sparas längre än nödvändigt. Dessutom gäller kraven på inbyggt dataskydd och dataskydd som standard (artikel 25). Utöver detta kommer, som framgår ovan, det fortfarande finnas ett starkt sekretessskydd hos Tullverket efter överlämnandet av uppgifterna.
Vid en intresseavvägning gör vi sammantaget bedömningen att det integritetsintrång förslaget innebär är godtagbart.
14.11. Särskilda skydds- och säkerhetsåtgärder
14.11.1. Något om vilka skyddsåtgärder som kommer att vara tillämpliga vid dataanalyser och urval
Vår bedömning: De generella skydds- och säkerhetsåtgärderna i
EU:s dataskyddsförordning, dataskyddslagen samt i förslagen till beskattningsdatalag, folkbokföringsdatalag, tulldatalag och kronofogdedatalag med tillhörande förordningar kommer att vara tilllämpliga även vid behandling av personuppgifter för dataanalyser och urval.
Vissa ytterligare bestämmelser om särskilda skydds- och säkerhetsåtgärder avseende dataanalyser och urval bör införas i de föreslagna lagarna respektive förordningarna.
Skälen för vår bedömning
Dataskyddsregleringarnas generella skydds- och säkerhetsåtgärder kommer att vara tillämpliga
När Skatteverket, Tullverket och Kronofogdemyndigheten behandlar personuppgifter vid dataanalyser och urval uppkommer vissa särskilda integritetsrisker. Uppgifter som i sig inte är särskilt känsliga till sin art eller omfattning kan vid sambearbetning med andra uppgifter inom myndigheterna eller från andra myndigheter komma att få en betydligt mer integritetskänslig karaktär än när de behandlas inom t.ex. ett enskilt ärende. EU:s dataskyddsförordning och dataskyddslagen innehåller ett flertal bestämmelser om olika åtgärder som ska tillämpas vid all automatiserad behandling av personuppgifter i syfte att skydda fysiska personers personliga integritet. Det innebär att bestämmelser om bl.a. grundläggande principer för behandling, rättslig grund, personuppgiftsansvar, känsliga personuppgifter samt inbyggt dataskydd och dataskydd som standard ska tillämpas av berörda myndigheter även när dataanalyser och urval utförs. I artikel 32 i dataskyddsförordningen finns bl.a. en skyldighet för den person-
uppgiftsansvarige att överväga pseudonymisering262 och kryptering av personuppgifter när det är lämpligt. Dataskyddslagens bestämmelser kommer att gälla för myndigheternas personuppgiftsbehandling om inte annat följer av de föreslagna lagarna eller föreskrifter som har meddelats i anslutning till dessa (se avsnitt 7.5.1).
Vi föreslår vidare att det ska införas vissa särskilda skydds- och säkerhetsåtgärder i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen med tillhörande förordningar. Det är bl.a. bestämmelser om sökbegränsningar, tillgång till personuppgifter, elektroniskt utlämnande av personuppgifter och längsta tid för behandling. Den lagtekniska systematik som föreslås i de nämnda författningarna, som innebär att det inte längre kommer finnas en reglering av särskilda databaser, är avsedd att medföra att samtliga särskilt föreskrivna skydds- och säkerhetsåtgärder kommer att vara tillämpliga även vid behandling av personuppgifter vid dataanalyser och urval. Det kommer inte att spela någon roll om de personuppgifter som behandlas kan anses vara gemensamt tillgängliga inom verksamheten eller inte.
Vissa ytterligare skydds- och säkerhetsåtgärder bör tas in i de föreslagna lagarna och förordningarna
Med anledning av att behandlingen av personuppgifter vid dataanalyser och urval kan få en mer integritetskänslig karaktär än annan behandling anser vi att det är nödvändigt att behandlingen i det sammanhanget omfattas av vissa särskilda skydds- och säkerhetsåtgärder. Sådana åtgärder syftar till att minska risken för onödiga integritetsintrång. Vid behandling av känsliga personuppgifter enligt artikel 9.2 g i dataskyddsförordningen är det även ett krav att det ska finnas bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Den behandling som myndigheterna kommer att utföra vid dataanalyser och urval kommer att se olika ut vid de olika myndigheterna. Exempelvis kommer Skatteverket att behandla uppgifter om en större del av
262 Med pseudonymisering avses enligt artikel 4.5 i dataskyddsförordningen behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
befolkningen än Tullverket och Kronofogdemyndigheten. De uppgifter som behandlas vid myndigheterna kommer dock behöriga tjänstemän vid respektive myndighet att kunna ta del av. Även om myndigheterna redan nu har möjlighet att sammanställa personuppgifter i sina respektive verksamheter, kommer den samling av information från verksamheterna och i förekommande fall från andra myndigheter vid t.ex. utvecklingen av en urvalsmodell med hjälp av AI att innebära särskilda risker.
Det bör alltså ställas höga krav på skydds- och säkerhetsåtgärder vid behandling av personuppgifter som sker för dataanalyser och urval. Vi anser att de flesta och viktigaste bestämmelserna om särskilda skydds- och säkerhetsåtgärder i detta sammanhang bör tas in i lag. Andra åtgärder bör dock kunna tas in i förordning.
14.11.2. Proportionalitetsprincipen
Vår bedömning: Proportionalitetsprincipen behöver inte uttryck-
ligen regleras i lag avseende behandling av personuppgifter som görs för att utföra dataanalyser och urval.
Skälen för vår bedömning
Vissa tillämpliga allmänna principer
Vid all personuppgiftsbehandling gäller de allmänna principer för behandling av personuppgifter som föreskrivs i artikel 5.1 i dataskyddsförordningen. Där anges principerna om laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, korrekthet, lagringsminimering samt integritet och konfidentialitet. I artikel 5.2 anges att den personuppgiftsansvarige ska ansvara för och kunna visa att samtliga principer efterlevs. Samtliga dessa principer gäller alltså även vid den personuppgiftsbehandling som sker när Skatteverket, Tullverket och Kronofogdemyndigheten utför dataanalyser och urval. Dataskyddsförordningen är uppbyggd så att den kräver att den behandling som utförs är proportionerlig i förhållande till behandlingens syfte.263
263 Se bl.a. skäl 4 till dataskyddsförordningen.
Utöver dataskyddsrättsliga principer finns vissa allmänna principer, varav vissa lagfästa, som myndigheter alltid måste iaktta när åtgärder vidtas. Exempelvis regleras legalitetsprincipen i 1 kap. 1 § tredje stycket RF där det anges att den offentliga makten utövas under lagarna. Vidare har legalitetsprincipen, objektivitetsprincipen och proportionalitetsprincipen lagfästs i förvaltningslagen.
Enligt 5 § första stycket FL får en myndighet endast vidta åtgärder som har stöd i rättsordningen (legalitetsprincipen). I bestämmelsens andra stycke föreskrivs att i sin verksamhet ska myndigheten vara saklig och opartisk (objektivitetsprincipen). Slutligen anges i tredje stycket att myndigheten får ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (proportionalitetsprincipen). Dessa principer gäller för handläggning av ärenden hos förvaltningsmyndigheterna samt i annan förvaltningsverksamhet hos förvaltningsmyndigheter (1 § FL). Dessa grundläggande principer gäller alltså även när myndigheterna utför dataanalyser och urval inom ramen för sina uppdrag.
Proportionalitetsprincipen bör inte lagfästas särskilt
Såvitt vi känner till finns det inga lagar om personuppgiftsbehandling som innehåller en bestämmelse som uttryckligen lagfäster proportionalitetsprincipen. Så har inte heller föreslagits eller införts avseende Skatteverkets dataanalyser och urval i den nuvarande folkbokföringsdatabaslagen eller i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Principen gäller dock som ovan nämns vid all personuppgiftsbehandling som myndigheter utför.
Vi har övervägt om det trots detta finns skäl att reglera proportionalitetsprincipen direkt i lagtext avseende behandling av personuppgifter som görs för att utföra dataanalyser och urval. Detta mot bakgrund av de särskilda risker för enskildas personliga integritet som finns när dataanalyser och urval utförs, framför allt till följd av den sambearbetning av stora mängder uppgifter som kan göras med sådana verktyg. Det kan därför framstå som särskilt viktigt att principen av integritetsskyddande skäl får en framträdande plats i de
föreslagna lagarna, även om principen gäller oavsett om den finns uttryckt direkt i lag i detta sammanhang eller inte. Möjligheten att införa en sådan bestämmelse bedömer vi finns genom artiklarna 6.2 och 6.3 i dataskyddsförordningen. En sådan bestämmelse hade kunnat utformas på så sätt att behandling av personuppgifter för att göra dataanalyser och urval endast får utföras om skälen för sådan behandling väger tyngre än intrånget i enskildas personliga integritet.
När det gäller proportionalitetsavvägningen i samband med utförande av dataanalyser och urval bör särskilt framhållas vikten av att myndigheterna noggrant prövar samtliga skäl som talar för, respektive de som talar emot att behandla personuppgifter för att göra dataanalyser och urval för kontrolländamål. Denna prövning kan enligt vår mening leda till att en åtgärd inte tillåts trots att de krav som de föreslagna lagarna samt övrig dataskyddsreglering uppställer för att behandling av personuppgifter vid användning av sådana verktyg ska vara tillåten är uppfyllda. Så kan t.ex. vara fallet om en mycket stor mängd personuppgifter, som även innehåller känsliga personuppgifter, behandlas vid dataanalyser för att göra ett urval som i slutändan endast förväntas kunna resultera i ett fåtal adekvata och relevanta urvalsträffar för att förhindra fel eller fusk (se vidare nedan).
Myndigheterna måste också säkerställa att användandet av dataanalyser och urval över huvud taget kan antas leda till det avsedda resultatet. Om det t.ex. finns en risk för att behandlingen av vissa uppgifter helt saknar betydelse för det avsedda resultatet, eller att de kan leda till ett snedvridet eller diskriminerande resultat, får detta vägas in i proportionalitetsbedömningen vilket kan resultera i att sådana uppgifter inte får behandlas. Myndigheterna ska ta hänsyn till principen under hela den tid som uppgifterna används för dataanalyser och urval. Det kan tänkas uppstå situationer då behandlingen till en början bedömts vara proportionerlig, men där t.ex. utvecklingen och tillämpningen av en viss urvalsmodell måste avbrytas till följd av en tillämpning av proportionalitetsprincipen, trots att åtgärden fortsatt kan bedömas behövas för att effektivisera kontrollverksamheten i ett visst avseende.
När Skatteverket, Tullverket och Kronofogdemyndigheten bedömer om personuppgifter ska behandlas för ett visst ändamål inom kontrollverksamhet med hjälp av verktygen dataanalyser och urval, bör proportionalitetsprincipen vidare få betydelse när en planerad behandling innefattar känsliga personuppgifter eller en mycket om-
fattande mängd personuppgifter. Även syftet med det enskilda analys- och urvalsprojektet bör spela in. I den mån t.ex. mycket känsliga uppgifter kommer att behandlas eller det skulle röra sig om personuppgifter om en mycket stor del av befolkningen, kommer åtgärden troligen att bedömas som mycket integritetskänslig. Det resultat som myndigheterna avser att uppnå med ett analys- och urvalsprojekt av sådan karaktär måste stå i rimligt förhållande till det bedömda integritetsintrånget. Det krävs i ett sådant fall enligt vår mening att åtgärderna förväntas leda till stora effektivitetsvinster eller goda resultat avseende att förebygga, förhindra eller upptäcka fel i verksamheterna. Detsamma gör sig gällande när Kronofogdemyndigheten gör dataanalyser och urval i syfte att motverka överskuldsättning.
Vid tillämpningen av proportionalitetsprincipen kommer det även att spela roll om de uppgifter som används har pseudonymiserats eller anonymiserats. I ett sådant fall kan integritetsintrånget förväntas bli mindre genom användandet av sådana säkerhetsåtgärder. Det ska med andra ord alltid vägas in om andra åtgärder än att behandla personuppgifter avseende identifierbara fysiska personer kan användas för att uppnå samma resultat.
Behandling av personuppgifter i enskilda ärenden för att utföra kontroll bör typiskt sett bedömas vara mindre integritetskänsligt än när myndigheterna behandlar uppgifter för att göra stora dataanalyser i syfte att identifiera och välja ut ärenden där det finns större risk för fel eller fusk. Som en utgångspunkt för proportionalitetsbedömningen bör därmed gälla att användningen av personuppgifter för att göra dataanalyser och urval endast är proportionerlig om andra åtgärder för att effektivisera eller utföra kontrollverksamhet inte är tillräckliga för att myndigheterna ska kunna utföra sina uppdrag på ett bra sätt, skulle vara väsentligen svårare och dyrare att genomföra än vad dataanalyser och urval kan förväntas vara eller om det av någon anledning kan leda till större integritetsintrång än vad dataanalyser och urval kan göra.
Det kan visserligen diskuteras i vilka situationer en proportionalitetsprövning kan tänkas leda till att personuppgifter inte får behandlas för att göra dataanalyser och urval i de fall övriga krav på bl.a. rättslig grund, uppgiftsminimering och särskilda skydds- och säkerhetsåtgärder är uppfyllda i enlighet med den allmänna dataskyddsregleringen och de föreslagna lagarna. Proportionalitetsprincipen är dock en redan befintlig grundläggande förvaltningsrättslig princip som myndig-
heter ska ta hänsyn till vid alla åtgärder som utförs i myndigheternas förvaltningsverksamhet. Det är av förklarliga skäl svårt att på ett närmare sätt än vad som ovan gjorts beskriva hur myndigheterna ska gå till väga vid en proportionalitetsprövning i samband med att dataanalyser och urval utförs, och i vilka fall den kan utmynna i att behandling inte får utföras.
Ett exempel kan dock vara om en av de berörda myndigheterna bedömer att det finns ett behov av att hämta in större mängder uppgifter, även förhållandevis integritetskänsliga sådana, om enskilda för att behandla i ett visst analys- och urvalsprojekt. Myndigheten bedömer att det finns rättslig grund för att behandla uppgifterna då de är nödvändiga för att utföra en uppgift av allmänt intresse. Uppgifterna bedöms även vara adekvata, relevanta och inte för omfattande i förhållande till det tilltänkta ändamålet med behandlingen. Även övriga krav för att få behandla uppgifterna bedöms vara uppfyllda. En proportionalitetsprövning kan dock i en sådan situation komma att utmynna i att behandlingen ändå inte bör utföras i de fall skälen för behandlingen, dvs. syftet med analys- och urvalsprojektet, inte kan anses uppväga det intrång som behandlingen innebär i enskildas personliga integritet i de fall uppgifterna innefattar en stor mängd information om enskildas privatliv.
Sammantaget kan vi konstatera att proportionalitetsprincipen får stor betydelse när myndigheterna behandlar personuppgifter för att göra dataanalyser och urval, också i det fall den inte lagfästs särskilt. Även om en särskild bestämmelse om proportionalitetsprincipen i de nya lagarna hade förstärkt vikten av att personuppgiftsbehandlingen hela tiden präglas av en proportionalitetstanke finns det dock skäl som talar emot ett sådant förslag. Eftersom sådana uttryckliga bestämmelser hade utgjort just ett tydliggörande av vad som redan gäller, hade de inte på något sätt ersatt det faktum att myndigheterna måste ta hänsyn till principen vid all personuppgiftsbehandling. Sådana bestämmelser hade alltså inte nödvändigtvis stärkt integritetsskyddet. Tvärtom riskerar sådana bestämmelser att ge intrycket av att proportionalitetsprincipen främst ska tillämpas när myndigheterna behandlar personuppgifter för att göra dataanalyser och urval, och inte vid all den övriga personuppgiftsbehandling som kommer att utföras med stöd av lagarna.
Mot denna bakgrund anser vi att det inte finns skäl att införa uttryckliga bestämmelser om proportionalitetsprincipen i de nya lagarna
som föreskriver att behandling av personuppgifter för att göra dataanalyser och urval endast får utföras om skälen för sådan behandling väger tyngre än intrånget i enskildas personliga integritet. Som ovan framgår har myndigheterna redan en skyldighet att se till att all behandling av personuppgifter sker i enlighet med proportionalitetsprincipen, dvs. även när dataanalyser och urval utförs.
Även om vi bedömer att det inte finns skäl att införa en särskild bestämmelse om proportionalitetsprincipen, lämnar vi i avsnitt 14.11.3 förslag om krav på viss dokumentation av myndigheternas proportionalitetsbedömningar.
14.11.3. Krav på dokumentation
Vårt förslag: När personuppgifter behandlas för att göra data-
analyser och urval ska Skatteverket, Tullverket och Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Skälen för vårt förslag
Genom dataanalyser och urval kommer uppgifter från myndigheterna samt andra myndigheter att sambearbetas på ett sätt som kan innebära att uppgifternas karaktär bli mer integritetskänsliga än i de fall uppgifterna behandlas inom ramen för ett ärende. Urvalsträffar kan komma att användas av myndigheterna för att vidta kontrollåtgärder mot ett enskilt subjekt. Dessa omständigheter innebär att det bör vara möjligt att i efterhand kontrollera vilka faktorer som har legat till grund för användningen av verktygen och urvalet. Det är viktigt för att kunna se till att Skatteverket, Tullverket och Kronofogdemyndigheten följer den generella och sektorspecifika dataskyddsregleringen vid sådan behandling. Det bidrar även till att göra det tydligt att myndigheterna behöver göra noggranna överväganden innan person-
uppgifter behandlas för att göra dataanalyser och urval för sådana ändamål som anges i de nya lagarna.
För skyddet av den personliga integriteten anser vi att det är av vikt att det i efterhand går att kontrollera myndigheternas proportionalitetsbedömningar samt vilka metoder och sökbegrepp för urval som har använts. Det ska genom dokumentationen gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål och inte behandlas under längre tid än vad som behövs.264 Vi föreslår därför att det ska införas särskilda bestämmelser i de nya lagarna som innebär att när dataanalyser och urval utförs ska myndigheternas proportionalitetsbedömningar samt de metoder och sökbegrepp som används för att ta fram urval dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Då det är av vikt att denna särskilda skydds- och säkerhetsåtgärd efterlevs anser vi att bestämmelserna ska föras in i lag.
Vi anser att kravet på dokumentation för det första ska omfatta avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Detta innebär att myndigheterna behöver dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning behöver myndigheterna ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheterna behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat. Myndigheternas bedömning av behandlingens proportionalitet och de omständigheter som har beaktats ska gå att utläsa ur dokumentationen i efterhand. Det är inte möjligt att på förhand ange exakt vilka omständigheter som ska dokumenteras då det skiljer sig från fall till fall. Det viktiga är att det i efterhand går att kontrollera den gjorda avvägningen mellan de aktuella intressena.
Av artikel 35.1 i dataskyddsförordningen framgår att den personuppgiftsansvarige ska göra en konsekvensbedömning avseende dataskydd om en typ av behandling, särskilt med användning av ny teknik, och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Om den personuppgiftsansvarige behöver utföra
264 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 61.
en konsekvensbedömning enligt dataskyddsförordningen ska denna innehålla åtminstone en systematisk beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena och en bedömning av riskerna för de registrerades rättigheter och friheter. Bedömningen ska också innehålla de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att dataskyddsförordningen efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen (artikel 35.7 i dataskyddsförordningen). Om behandling enligt artikel 6.1 c eller e har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, gäller inte bestämmelserna om konsekvensbedömning i artikel 35.1–7, om inte medlemsstaterna anser det nödvändigt att utföra en sådan bedömning före behandlingen.265
Redan av artikel 35 i dataskyddsförordningen framgår alltså att myndigheterna behöver ta hänsyn till och bedöma behandlingens proportionalitet i förhållande till syftena. Det kan därför ifrågasättas om det behöver införas en särskild regel som avser ett krav på dokumentation av en liknande bedömning i de nya lagarna. En konsekvensbedömning enligt artikel 35 i dataskyddsförordningen behöver dock endast göras av myndigheterna i vissa specifika situationer. Även om den behandling som myndigheterna utför vid dataanalyser och urval sannolikt kräver en sådan bedömning, kan det inte uteslutas att det kommer finnas situationer då en mindre mängd uppgifter används på ett sätt som innebär att en konsekvensbedömning enligt dataskyddsförordningen inte behöver göras. Vi bedömer därför att det finns skäl att införa det föreslagna kravet på dokumentation som en särskild skyddsåtgärd vid dataanalyser och urval.
I de fall myndigheterna är skyldiga att göra en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och de därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som
265 Artikel 35.10 i dataskyddsförordningen.
gör att det går att kontrollera i efterhand, har myndigheterna samtidigt uppfyllt det föreslagna dokumentationskravet.
Det kan vidare konstateras att det av de föreslagna lagarna inte kommer att framgå något uttryckligt krav på att myndigheterna ska göra en proportionalitetsbedömning inför utförandet av dataanalyser och urval. Detta hindrar dock inte enligt vår mening att lagarna innehåller ett krav på dokumentation av myndigheternas avvägning mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Att myndigheterna vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår nämligen redan av andra författningar, såsom förvaltningslagen och dataskyddsförordningen (jfr avsnitt 14.11.2). Den föreslagna bestämmelsen om krav på dokumentation ställer alltså inte upp några nya materiella krav på att en proportionalitetsbedömning som inte alltid måste göras nu ska göras, eftersom så är fallet redan i dag.
Även de metoder som används för att ta fram urval ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som myndigheterna tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel, eller motverka överskuldsättning för Kronofogdemyndighetens del, i de verksamheter som omfattas av respektive lags tillämpningsområde. Kravet är inte tänkt att tolkas så att en urvalsmodell som bygger på AI-teknik behöver förklaras i detalj. Det ska dock vara möjligt att i efterhand kontrollera vilka metoder och tekniker som har använts vid utvecklingen av en sådan urvalsmodell, vilka typer av uppgifter som har använts för att ”träna” och utforma modellen, vilket syfte den har, vilket resultat den gett i form av urvalsträffar samt andra liknande omständigheter.
Kravet på dokumentation av sökbegrepp syftar till att det i efterhand ska gå att kontrollera vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information.266 Utöver detta kan det handla om sökningar som görs för att sortera fram den information
266 Jfr prop. 2006/07:63, En anpassad försvarsunderrättelseverksamhet, s. 138 och SOU 2020:35,
Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 384.
som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare. Kravet säkerställer att myndigheterna inte gör sökningar som är otillåtna enligt de särskilda sökbegränsningar som föreslås i avsnitt 10.9 eller att uppgifter som inte får behandlas, ändå behandlas.
Dokumentationskravet innebär inte att myndigheterna måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Avseende formen för den dokumentation som ska göras bör det vara upp till myndigheterna att avgöra denna mot bakgrund av vilka tekniska möjligheter som vid varje tid finns. Det ska dock ske på ett sådant sätt att det är möjligt att göra efterhandskontroller av de omständigheter som omfattas av kravet. Dokumentationskravet avser även att underlätta för tillsynsmyndigheternas kontroll.
Vi bedömer att den föreslagna utformningen av kravet på dokumentation innebär att de bedömningar och åtgärder som myndigheterna har vidtagit för att få fram ett visst urval, vilket sedan kan komma att ligga till grund för myndighetsutövning mot enskilda, möjliggör adekvata kontroller av arbetet med analyser och urval i efterhand. Detta stärker i sig skyddet för den personliga integriteten. Dokumentationskravet bedöms samtidigt inte vara utformat så att det medför att myndigheterna behöver lägga allt för stora resurser på att uppfylla kravet i förhållande till vad som är rimligt med hänsyn till syftet med dokumentationen. Detta bl.a. då det kommer att vara upp till myndigheterna att avgöra i vilken form dokumentationen ska göras.
Det föreslagna kravet på dokumentation i den nya folkbokföringsdatalagen ersätter det nuvarande kravet på dokumentation avseende metoder för att ta fram urval som sökbegrepp som används vid sökningar i analys- och urvalsdatabasen inom folkbokföringsverksamheten som i dag regleras i 2 a kap. 5 § FdbL. Enligt vår bedömning innebär det inget försvagat skydd för den personliga integriteten, utan snarare ett förstärkt skydd eftersom den föreslagna bestämmelsen tillför ett krav på dokumentation av avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
14.11.4. Längsta tid som personuppgifter får behandlas
Vår bedömning: Den generella bestämmelsen om att person-
uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen bör gälla även för utförandet av dataanalyser och urval. Det bör inte införas någon yttersta tidsgräns för hur länge personuppgifter får behandlas i sådan verksamhet.
Skälen för vår bedömning
Huvudregeln om längsta tid för behandling bör gälla vid dataanalyser och urval
I avsnitten 12.2 och 12.3 finns närmare redogörelser för arkivrättsliga bestämmelser om bevarande och gallring, för dataskyddsregleringens regler om lagringsminimering och behandling för arkivändamål samt för de nu gällande bestämmelserna för Skatteverket, Tullverket och Kronofogdemyndigheten. Här kan endast nämnas att enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (principen om lagringsminimering).
Vi föreslår i avsnitt 12.4.3 att de nuvarande registerförfattningarnas regler om gallring ska ersättas av generella bestämmelser om längsta tid för behandling av personuppgifter. Det görs därmed en tydlig åtskillnad mellan dataskyddsregler och arkivrättslig reglering. I linje med detta bör begreppen bevarande och gallring inte heller användas i de föreslagna lagarna i den betydelse de har i arkivlagstiftningen avseende behandling för att göra dataanalyser och urval. De eventuella föreskrifter om gallring av uppgifter i arkivrättslig mening som fram-
över kan bedömas behövas i detta sammanhang får meddelas i enlighet med den arkivrättsliga regleringen.267
Vad gäller dataanalyser och urval i andra lagstiftningsärenden har det nyligen införts regler om längsta tid för behandling av personuppgifter vid dataanalyser och urval i Skatteverkets folkbokföringsverksamhet samt i Utbetalningsmyndigetens verksamhet. I Skatteverkets folkbokföringsverksamhet gäller att uppgifter som behandlas i analys- och urvalsdatabasen inte får behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen.268 I Utbetalningsmyndighetens verksamhet kommer en allmän bestämmelse om längsta tid för behandling att som huvudregel vara tillämplig vid den myndighetens dataanalyser och urval. Enligt denna bestämmelse får personuppgifter inte behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen, dock som längst den tid som följer av 4 kap. 2 och 3 §§.269 De senare paragraferna är inte relevanta för myndighetens uppgiftssamling för dataanalyser och urval. Regleringarna vid dessa myndigheter skiljer sig alltså åt på det sättet att det i folkbokföringsverksamheten föreskrivs en yttersta tidsgräns för behandlingen.
De dataanalyser och urval som Skatteverket, Tullverket och Kronofogdemyndigheten kommer att ges möjlighet att utföra medför behov av att kunna behandla personuppgifter för sådana ändamål under varierande tidslängder. Insamlingen av uppgifter kan i vissa fall vara mycket omfattande. Efter insamlingen av underlaget kommer uppgifterna att sambearbetas, t.ex. genom olika former av automatiserade analyser eller vid utvecklingen och tillämpningen av en urvalsmodell. Olika uppgifter kommer att vara relevanta att analysera beroende på syftet med ett enskilt projekt. Om uppgifterna inte är relevanta för ändamålet får de inte behandlas270, och det skulle även ge ett mindre träffsäkert urval.
När det gäller behovet av att fortsatt behandla uppgifterna varierar detta, bl.a. beroende på hur länge ett visst analys- och urvalsprojekt
267 Se bl.a. 14 § arkivförordningen (1991:446) som föreskriver att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. 268 2 a kap. 6 § FdbL. Särskilda överväganden av vad som bör gälla inom Skatteverkets folkbokföringsverksamhet finns nedan med anledning av den nyligen införda regleringen. 269 4 kap. 1 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 270 Jfr artikel 5.1 c i dataskyddsförordningen.
pågår. Det innebär att det är svårt att på förhand avgöra under hur lång tid det kan vara relevant att behandla uppgifter. De för projektet aktuella uppgifterna måste kunna behandlas under hela den tid som analyserna och urvalen genomförs. I annat fall riskerar syftet med åtgärderna att gå förlorat. När ett visst analys- och urvalsprojekt är avslutat är vår uppfattning att uppgifterna inte längre ska behandlas.271
I avsnitt 12.4.3 föreslår vi att det ska finnas generella bestämmelser om längsta tid för behandling i de nya lagarna. Det kommer även att finnas en möjlighet för regeringen eller den myndighet som regeringen bestämmer att med stöd av 8 kap. 7 § RF meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Vi gör bedömningen att de föreslagna generella bestämmelserna om längsta tid för behandling av personuppgifter, vilka ger uttryck för principen om lagringsminimering, bör gälla som huvudregel även vid behandling av uppgifter för dataanalyser och urval. Enligt vår mening är denna typ av reglering, som liknar den som kommer att gälla vid Utbetalningsmyndigheten, att föredra framför att införa en yttersta tidsgräns för behandlingen. En sådan generell bestämmelse säkerställer den grundläggande principen om att endast uppgifter som behöver behandlas ska behandlas. Bestämmelsen möjliggör samtidigt att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter under den tid som behandling är nödvändig, t.ex. för att vid dataanalyser och urval kunna analysera historiska företeelser i olika avseenden272, eller för att se till att en urvalsmodell inte ger ett skevt eller diskriminerande resultat. Sådan behandling får enligt vår mening anses omfattas av ändamålet.
En i lag föreskriven yttersta tidsgräns har visserligen den fördelen att det blir tydligt för både de registrerade och myndigheterna under hur lång tid personuppgifter får behandlas vid dataanalyser och urval från insamlingstidpunkten. I vissa fall kan en sådan reglering troligen även leda till att uppgifter behandlas under kortare tid än vad som annars skulle ha varit fallet vid en tillämpning av huvudregeln. Vi har därför övervägt att i lagarna införa bestämmelser som innefattar yttersta tidsgränser för behandling av personuppgifter för dataanalyser och urval.
Enligt vår mening skulle sådana tidsgränser dock behöva sättas så att det görs en rimlig avvägning mellan myndigheternas behov av be-
271 Jfr artikel 5.1 e i dataskyddsförordningen. 272 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.
handling och skyddet för den personliga integriteten. En eventuell tidsgräns kan enligt vår mening inte sättas alltför kort. Exempelvis gäller enligt skattedatabaslagen i dag att uppgifter och handlingar i beskattningsdatabasen ska gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller handlingarna kan hänföras till gick ut.273 Det har bl.a. motiverats med att det i efterhand ska vara möjligt att fastställa vilka omständigheter som varit avgörande för ett beslut, särskilt så länge beslutet kan bli föremål för omprövning.274 Liknande argument skulle göra sig gällande vid avgörandet av vad som är en rimlig yttersta tidsgräns inom vilken personuppgifter får behandlas vid dataanalyser och urval, då omständigheter som är relevanta vid ärendehandläggning även är relevanta vid användningen av sådana verktyg för att kunna utföra kontrollverksamhet. Det skulle enligt vår mening dock vara mycket svårt att närmare utreda vilka tidsfrister som bör gälla för olika typer av analys- och urvalsprojekt. Även om det är möjligt att ge exempel är det svårt att på förhand slå fast dels vilka typer av analyser som myndigheterna kommer att utföra, dels vilka uppgifter som kommer att användas på vilket sätt. Vi bedömer även att preciseringar i lag avseende vilka olika tidsfrister som uppgifter får behandlas inte heller generellt krävs enligt dataskyddsförordningen. Att behandlingen är laglig, rättvis och proportionerlig säkerställs enligt vår mening av den föreslagna bestämmelsen om längsta tid för behandling, övrig befintlig och föreslagen dataskyddsreglering samt sekretessreglering.
De hänsyn som måste tas vid bestämmandet av en yttersta tidsgräns kan vidare antingen komma att leda till att en del av syftet med myndigheternas utökade dataanalyser och urval går förlorat, eller att vissa uppgifter behandlas under längre tid än vad som egentligen behövs för ändamålet. Detta mot bakgrund av hur svårt det är att förutse behovet. Eftersom en tidsgräns hade gällt just som en yttersta tidsgräns, vilket inte fråntar giltigheten av huvudregeln om att uppgifter inte får behandlas under längre tid än vad som behövs för ändamålet, anser vi att en sådan lagteknisk utformning inte nödvändigtvis stärker integritetsskyddet. Tvärtom riskerar det alltså att leda till att uppgifter behandlas under längre tid än vad som behövs med hänsyn till ändamålet genom att tidsgränsen kan ses som en möjlighet att göra så. Vi har inte heller funnit skäl att införa någon yttersta tids-
273 2 kap. 11 § SdbL. Från regeln finns dock undantag i bl.a. 18 § SdbF. 274Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 135.
gräns för behandling av vissa särskilda uppgifter, såsom t.ex. känsliga personuppgifter.
Mot denna bakgrund anser vi att det är att föredra att låta den generella bestämmelsen om längsta tid för behandling gälla även för behandling vid dataanalyser och urval. En sådan bestämmelse ställer höga krav på den personuppgiftsansvarige som löpande måste pröva om personuppgifter ska behandlas eller inte. Fortsatt behandling måste alltid kunna motiveras med hänsyn till det ändamål för vilket behandlingen sker. Om behov av behandling saknas, ska uppgifterna upphöra att vara tillgängliga i de verksamhetssystem som används för aktuella ändamål. Det hindrar dock inte att vissa motsvarande uppgifter behandlas för en efterföljande kontrollåtgärd eller liknande som har initierats i ett ärende som ett resultat av analys- och urvalsprojektet.
Det bör även nämnas att myndigheterna har dataskyddsombud samt att de står under bl.a. Integritetsskyddsmyndighetens tillsyn. All behandling måste därmed kunna motiveras inför dessa, och höga krav ställs på en sådan motivering. Vidare gäller artikel 25.2 i dataskyddsförordningen avseende bl.a. tiden för uppgifternas lagring. I denna bestämmelse regleras den personuppgiftsansvariges skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas.275
Att personuppgifter upphör att behandlas innebär inte nödvändigtvis att de raderas. Det innebär som ovan nämnts enbart att de inte längre är tillgängliga i verksamhetssystemet. Den bestämmelse vi föreslår ska gälla även för uppgifter som behandlas vid dataanalyser och urval reglerar enbart frågan om hur länge personuppgifter får behandlas ur ett dataskyddsrättsligt perspektiv. När det gäller allmänna handlingar som inte ska gallras med stöd av gällande regelverk ska dessa bevaras i enlighet med arkivlagstiftningens krav.276 Det kan förekomma att behovet av att behandla personuppgifter kan upphöra avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål, t.ex. för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel. Den generella bestämmelsen om längsta tid för behandling innebär inte något krav på att all behandling ska upphöra, och att uppgifterna i en sådan situation därför inte
275 Jfr prop. 2022/23, Utbetalningsmyndigheten, s. 150–151. 276Prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.
får behandlas vid dataanalyser och urval. De uppgifter för vilket behov av behandling har upphört ska dock tas bort ur berört verksamhetssystem.277
Eftersom de föreslagna lagarnas systematik kommer att vara sådan att bestämmelserna om längsta tid för behandling gäller vid all behandling hos myndigheterna, behöver någon särskild regel om detta inte tas in avseende vad som gäller vid just dataanalyser och urval.
Kompletterande bestämmelser om viss längsta tid för behandling kan finnas i förordning eller myndighetsföreskrifter
Av artikel 6.3 i dataskyddsförordningen framgår att den rättsliga grunden för behandling kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. lagringstid. För personuppgifter som behandlas vid dataanalyser och urval kan det uppkomma ett behov av att fastställa en viss tid som sätter en gräns för hur lång tid personuppgifter får behandlas. Så kan tänkas vara fallet särskilt för känsliga personuppgifter, uppgifter om lagöverträdelser eller för andra särskilda kategorier av uppgifter inom respektive myndighets verksamhetsområde. Detsamma kan även gälla för uppgifter som behandlas vid dataanalyser och urval.
Föreskrifter om mer preciserade tidsfrister för behandling av uppgifter i vissa fall kommer, med stöd av regeringens restkompetens, att kunna meddelas av regeringen eller den myndighet som regeringen bestämmer. I den generella bestämmelsen om längsta tid för behandling som föreslås kommer det även att finnas en upplysning om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sammanfattningsvis kommer det att vara möjligt att i förordning eller myndighetsföreskrifter ange fasta tidsgränser för hur lång tid uppgifter får behandlas vid dataanalyser och urval. Som framgår ovan har vi dock för närvarande inte funnit några skäl för att föreslå sådana bestämmelser om yttersta tidsfrister.
Det kan noteras att om särskilda föreskrifter om yttersta tidsgränser införs, ska dessa inte medföra avsteg från huvudregeln om
277 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 151.
att uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen.
Särskilt om Skatteverkets folkbokföringsverksamhet
Som tidigare framgått har Skatteverket sedan den 1 maj 2023 fått utökade möjligheter till att göra dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten.278 Regleringen innebär att behandlingen av personuppgifter vid dataanalyser och urval ska ske i en särskild samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § FdbL angivna ändamålen (analys- och urvalsdatabas).279 Uppgifterna i analys- och urvalsdatabasen får inte behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen.280 Vi föreslår nu att databasregleringen ska upphävas. Fråga uppkommer då om det mot bakgrund av den befintliga regleringen om längsta tid för behandling finns skäl att göra en annan bedömning för folkbokföringsverksamheten i förhållande till den bedömning som gjorts ovan.
I samband med motiveringen till bestämmelsen om en yttersta tidsgräns för behandling av personuppgifter i analys- och urvalsdatabasen uttalade regeringen att det i databasen kommer att behandlas stora mängder personuppgifter. Den föreslagna bestämmelsen om att uppgifter inte får behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen säkerställer enligt regeringen ytterligare den grundläggande principen om att endast uppgifter som behöver behandlas, ska behandlas. Som yttersta tidsgräns skulle dock enligt regeringen gälla att uppgifterna inte får behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen. Denna yttersta tidsgräns utgör enligt samma motiv inte någon generell utgångspunkt för hur länge personuppgiftsbehandling får ske i data-
278Prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156. 279 2 a kap. 1 § FdbL. 280 2 a kap. 6 § FdbL.
basen, utan det måste fortlöpande göras en bedömning av hur länge en uppgift är nödvändig för ändamålet med behandlingen.281
Någon särskild bestämmelse som avviker från huvudregeln om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet kommer dock inte att gälla för behandling i uppgiftssamlingen för dataanalyser och urval vid Utbetalningsmyndigheten.282 I motiveringen till denna reglering förde regeringen fram att även utan tidsfrister som anges i författning, kommer genom en bestämmelse om längsta tid för behandling högt ställda krav gälla på att behandlingen ska kunna motiveras.283
Både folkbokföringens och Utbetalningsmyndighetens dataanalyser och urval kommer att röra en stor mängd uppgifter om i stort sett hela Sveriges befolkning. Mot bakgrund av Utbetalningsmyndighetens kommande uppdrag kan det dock antas att den myndighetens uppgiftssamling vid dataanalyser och urval kommer att innehålla en större mängd uppgifter av känslig art, såsom t.ex. uppgifter om hälsa. Utöver detta finns det många fördelar med en sådan reglering som valts för Utbetalningsmyndigheten. Det möjliggör ändamålsenlig behandling för myndigheten, samtidigt som höga krav gäller för hur länge uppgifter får behandlas i syfte att skydda den personliga integriteten. Vidare infördes de i dag gällande bestämmelserna om yttersta tidsfrist för behandling i folkbokföringsverksamhetens analys- och urvalsdatabas då de gallringsregler som finns i Skatteverkets övriga verksamhetsområden innehöll tidsbestämda gallringsfrister. Den reglering vi föreslår avseende hur länge personuppgifter får behandlas i övrigt i folkbokföringsverksamheten kommer dock inte att innehålla några tidsbestämda frister.
Även om det nyligen har införts reglering som innebär att en yttersta tidsgräns gäller för hur länge uppgifterna i folkbokföringsverksamhetens analys- och urvalsdatabas får behandlas, gör vi bedömningen att någon sådan reglering inte bör införas i den nya föreslagna folkbokföringsdatalagen. Vi anser därför att frågan om längsta tid för behandling av uppgifter inte ska regleras annorlunda vid dataanalyser och urval i folkbokföringsverksamheten än för övriga verksamheter.
281Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 35.
282 Se 4 kap. 1 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 283Prop. 2022/23:34, Utbetalningsmyndigheten, s. 150.
14.11.5. En bestämmelse om särskilda rutiner vid dataanalyser och urval bör tas in i förordning
Vårt förslag: I förordning ska det regleras att Skatteverket, Tull-
verket respektive Kronofogdemyndigheten ansvarar för att det inom respektive myndighet finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Skälen för vårt förslag
När det gäller det krav på dokumentation som vi föreslår i avsnitt 14.11.3 avseende metoder för att ta fram urval eller vilka sökbegrepp som använts kan det finnas skäl att i myndighetsspecifika rutiner närmare ange t.ex. vilka sökbegrepp som regelmässigt får användas eller hur urvalsmodeller generellt sett ska eller inte ska utformas. Vi anser att det ska vara respektive myndighets uppgift att ta fram sådana rutiner. Detta då det är svårt att på förhand förutse vilka närmare behov som finns vid respektive myndighets arbete med dataanalyser och urval.
Ett krav på sådana rutiner säkerställer att myndigheterna på förhand noggrant överväger vilka sökbegrepp som är tillåtna och som därmed bör användas vid dataanalyser och urval samt att urvalsmodeller utformas på ett sätt som är i enlighet med dataskyddsregleringen. På detta sätt utgör rutiner en begränsning för den behandling som får utföras, vilket i syftar till att minska riskerna för obefogat intrång i den personliga integriteten. Genom att det kommer att vara möjligt att i efterhand följa upp vilka sökbegrepp och metoder för urval som har använts vid dataanalyser och urval enligt våra förslag i avsnitt 14.11.3, kommer det även vara möjligt att kontrollera att fastställa rutiner följs. Vi bedömer att det är tillräckligt att sådana krav på rutiner införs i förordning.284
284 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 32.
14.11.6. Särskilt om sökbegrepp vid Skatteverkets dataanalyser och urval inom folkbokföringsverksamheten
Vår bedömning: De förändrade bestämmelserna om sökbegrepp
som våra förslag utgör i förhållande till vad som gäller vid sökning i analys- och urvalsdatabasen inom Skatteverkets folkbokföringsverksamhet i dag innebär inte att skyddet för enskildas personliga integritet försvagas.
Skälen för vår bedömning
I dag gäller den sökbegränsning som anges i 2 kap. 10 § FdbL även vid sökningar som görs i analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet (2 a kap. 4 § FdbL). I 2 kap. 10 § FdbL anges att uppgifter som avses i 2 kap. 3 § första stycket 5, 11, 12 och 17 FdbL, dvs. födelseort, familjesamband som är grundat på adoption, inflyttning från utlandet respektive uppehållsrätt för en person som är folkbokförd, inte får användas som sökbegrepp i folkbokföringsdatabasen. Medborgarskap får användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
I förarbetena avseende regleringen av analys- och urvalsdatabasen uttalar regeringen att eftersom en handling som enligt den nuvarande 2 kap. 5 § FdbL kommit in i ett ärende eller upprättats i ett ärende inte ska få behandlas i analys- och urvalsdatabasen aktualiseras inte den andra sökbegränsning som enligt 2 kap. 11 § FdbL gäller för folkbokföringsdatabasen i dag. Regeringen föreslog därför inte att nämnda bestämmelse även skulle gälla för sökningar i analys- och urvalsdatabasen.285
Vi föreslår i avsnitt 10.9.3 att bestämmelsen i 2 kap. 10 § FdbL inte ska ha någon motsvarighet i den nya folkbokföringsdatalagen, med undantag för sökbegrepp om familjesamband som är grundat på adoption. Övriga uppgifter som omfattas av sökförbudet kommer i stället att träffas av en ny sekretessbestämmelse (se avsnitt 15.2). Vidare föreslår vi i avsnitt 10.9.1 att det ska införas en ny bestämmelse om sökbegränsningar i folkbokföringsdatalagen som inte har någon
285Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 30–31.
motsvarighet till det nuvarande sökförbudet i 2 kap. 11 § FdbL. Enligt våra förslag ska det som huvudregel vara förbjudet att inom folkbokföringsverksamheten utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska dock inte omfatta sökningar i en viss handling eller i ett visst ärende.
Den föreslagna lagtekniska utformningen av den nya folkbokföringsdatalagen är sådan att föreslagna generella skydds- och säkerhetsåtgärder kommer att gälla även vid behandling av personuppgifter för att göra dataanalyser och urval, dvs. även de föreslagna bestämmelserna om sökbegränsningar. Våra förslag innefattar inte heller någon reglering av en särskild databas eller uppgiftssamling. Det kommer vidare inte att finnas några särregler om vad som gäller för handlingar som har kommit in i eller upprättats i ett ärende. Sådana handlingar kommer därmed få behandlas även för dataanalyser och urval enligt våra förslag. Våra förslag innebär sammantaget att den nya lagen inte kommer att ha någon bestämmelse som motsvarar den nuvarande regeln i 2 a kap. 4 § FdbL avseende sökbegrepp.
Det kommer dock fortsatt att finnas regler om vilka sökningar som får utföras för att ta fram ett urval av personer grundat på känsliga personuppgifter samt en särskild kategori av uppgifter som specifikt träffar folkbokföringsverksamheten. Vidare finns bestämmelser om sekretess, och vi föreslår även nya sekretessbestämmelser som omfattar uppgifter som behandlas vid dataanalyser och urval samt de övriga särskilda kategorier av uppgifter som i dag avses i 2 kap. 10 § FdbL. Vi bedömer att dessa åtgärder, tillsammans med övriga förslag och den generella dataskyddsregleringen, innebär att skyddet för den enskildes personliga integritet inte försvagas vid Skatteverkets dataanalyser och urval som är hänförliga till folkbokföringsverksamheten, trots den förändring av tillåtna sökbegrepp som föreslås.
14.12. Samlad dataskydds- och integritetsbedömning
Vår bedömning: Vid en avvägning mellan behovet av att per-
sonuppgifter behandlas för att göra dataanalyser och urval och rätten till skydd för den personliga integriteten framstår förslagen som motiverade och proportionerliga. Förslagen är även förenliga med EU:s dataskyddsförordning och annan övergripande reglering till skydd för den personliga integriteten.
Skälen för vår bedömning
Inledning
Våra förslag innebär inte att myndigheterna får ytterligare uppgifter att utföra i sina respektive verksamheter än vad som i dag framgår av den materiella verksamhetsregleringen. Dessutom har myndigheterna redan möjlighet att behandla personuppgifter för att göra dataanalyser och urval inom ramen för sina respektive verksamheter. Den föreslagna regleringen innebär dock att myndigheterna får ett tydligare rättsligt stöd för och därmed utökade möjligheter att behandla personuppgifter för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom respektive verksamhet, samt för att motverka överskuldsättning i Kronofogdemyndighetens verksamhet. I vilken mån möjligheterna utökas för respektive myndighet skiljer sig åt med anledning av att regleringen i de nuvarande registerförfattningarna samt den materiella verksamhetsregleringen ser olika ut för de berörda myndigheterna. I kapitlet har vi därför särskilt angett de skillnader som finns mellan myndigheternas nuvarande reglering och personuppgiftsbehandling där det bedömts nödvändigt.
Det kan också konstateras att regleringen av behandling av personuppgifter vid dataanalyser och urval föreslås införas i nya lagar. Regleringen utgår därför från helt andra förutsättningar än vad som gäller enligt den nuvarande regleringen. Den föreslagna regleringen bör enligt vår mening ses som en helhet, dvs. hänsyn ska tas till samtliga bestämmelser som föreslås i de nya lagarna.
Det ska framhållas att de utökade möjligheter till behandling av personuppgifter vid dataanalyser och urval som nyligen införts för folkbokföringsverksamheten utgår från den reglering som i dag gäller enligt folkbokföringsdatabaslagen. Enligt denna gäller bl.a. en särskild databasreglering som inte längre kommer att finnas kvar genom våra förslag till en ny folkbokföringsdatalag. De förslag vi lägger fram avseende regleringen av Skatteverkets möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten har därmed andra utgångspunkter än den reglering som nyligen införts i bl.a. 2 a kap. FdbL. Det är därför svårt att göra en precis bedömning av förslagens påverkan på den personliga integriteten i förhållande till regeringens tidigare bedömningar i dessa delar.286 Avsikten är dock inte att Skatte-
286 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 37–45.
verkets möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten ska inskränkas i förhållande till vad som gäller i dag. Vidare finns särskilda överväganden genomgående i kapitlet samt nedan när det gäller hur våra förslag förhåller sig till den nuvarande regleringen om behandling av personuppgifter vid dataanalyser och urval inom folkbokföringsverksamheten.
Förslagen har påverkan på den personliga integriteten
De förslag som lämnas i detta kapitel, tillsammans med den nya regleringen av Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling som i övrigt föreslås införas i nya lagar, påverkar enskildas integritet. Genom våra förslag kommer det att finnas särskilda ändamålsbestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som ger uttryckligt lagstöd för den personuppgiftsbehandling myndigheterna får utföra vid dataanalyser och urval för att förebygga, förhindra och upptäcka fel, samt för att motverka överskuldsättning i Kronofogdemyndighetens verksamhet. En uttrycklig lagreglering som innebär att myndigheterna får behandla personuppgifter om det är nödvändigt för att göra sådana dataanalyser och urval finns inte i skattedatabaslagen, tulldatabaslagen eller kronofogdedatabaslagen i dag, men däremot i folkbokföringsdatabaslagen. Även för folkbokföringsverksamheten kan dock våra förslag förväntas innebära viss ytterligare personuppgiftsbehandling, se vidare nedan.
Det förhållandet att det i dag inte finns en uttrycklig lagreglering om personuppgiftsbehandling vid dataanalyser och urval har inneburit att det, med undantag från folkbokföringsverksamheten, funnits en viss osäkerhet om i vilken omfattning personuppgifter får behandlas för att göra mer omfattande dataanalyser och urval även då det inte finns ett ärende. Det beror till synes bl.a. på att olika tolkningar kan göras av den nuvarande regleringen i registerförfattningarna, databasregleringens utformning, den materiella verksamhetsregleringens koppling till ärendehandläggning samt regeringsformens skydd för enskildas personliga integritet i detta sammanhang. Myndigheterna har olika uppfattningar om i vilken mån regleringen är ett problem i dag, framför allt till följd av att den materiella verksamhetsregleringen skiljer sig åt mellan myndigheterna. Exempelvis har Tullverket
i stora delar ett tydligare stöd i den materiella verksamhetsregleringen för att behandla personuppgifter i syfte att göra riskanalyser i kontrollverksamhet.
Genom att myndigheterna ges ett tydligare rättsligt stöd för personuppgiftsbehandling vid dataanalyser och urval kommer en del av de oklarheter som finns till följd av den nu gällande regleringen att undanröjas. Det kan i sig förväntas innebära en utökad behandling av personuppgifter i fråga om bl.a. i vilka situationer dataanalyser och urval kan användas och hur stora mängder personuppgifter som kan behandlas. Detta kan innebära risker för enskildas personliga integritet genom att enskilda kartläggs i större utsträckning.
Våra förslag innebär även att det inte längre kommer att finnas en reglering av särskilda databaser i myndigheternas verksamheter. Det kommer därmed inte att finnas en reglering av vilka uppgifter som med hjälp av automatiserad behandling får användas gemensamt i verksamheterna för de i registerlagarna angivna ändamålen. Förslagen i dessa delar innebär att vissa oklarheter i fråga om vilka uppgifter som får behandlas för dataanalyser och urval undanröjs. Det kan leda till att myndigheterna i vissa fall kommer att behandla fler kategorier av personuppgifter än vad som görs för analyser och urval i dag till följd av hur den nuvarande regleringen ibland har tillämpats.
Det är svårt att närmare precisera vilka kategorier av personuppgifter myndigheterna kommer att behandla för att göra analyser och urval. En stor del avser dock sådana kategorier av uppgifter som myndigheterna redan i dag kan behandla. Det handlar om uppgifter om enskildas personliga och ekonomiska förhållanden, såsom t.ex. identitetsuppgifter, adress och andra kontaktuppgifter, familjeförhållanden, anställning, inkomster, skulder, hälsa och lagöverträdelser. En närmare exemplifiering av vilka uppgifter det rör sig om för de olika myndigheterna finns i avsnitt 14.9.2.
Det kan också konstateras att det rör sig om behandling av en stor mängd personuppgifter till följd av de omfattande verksamheter Skatteverket, Tullverket och Kronofogdemyndigheten bedriver. Till viss del kommer förslagen även tydliggöra att myndigheterna får behandla uppgifter från andra källor än den egna verksamheten, bl.a. från andra myndigheter. Det kan nämligen i dag finnas situationer då det uppstår tveksamheter kring vilka uppgifter från andra myndigheter som får behandlas vid dataanalyser och urval i de fall det inte framgår
uttryckligen att uppgifterna får behandlas inom ramen för de nuvarande databaserna.
Att myndigheterna har stöd för att behandla personuppgifter – som är nödvändiga för att de ska kunna utföra sina uppdrag – även för att göra dataanalyser och urval kommer att framgå genom särskilda bestämmelser om dataanalyser och urval i de nya lagarna. Genom bestämmelserna kommer det också att finnas uttryckligt stöd för myndigheterna att behandla uppgifter som har överlämnats av andra myndigheter med stöd av uppgiftsskyldigheter i lag eller förordning. Även denna reglering kan innebära en utökad personuppgiftsbehandling som ökar riskerna för integritetsintrång. Vidare kan det förhållandet att det inte kommer att finnas någon uttrycklig reglering av vilka personer som uppgifter får behandlas om komma att innebära en utökad personuppgiftsbehandling, även om myndigheterna behöver se till att det finns rättslig grund för behandlingen. Vi föreslår också vissa utökade uppgiftsskyldigheter gentemot Skatteverkets beskattningsverksamhet och Tullverket som avser utförandet av dataanalyser och urval. I övrigt bedömer vi inte att den nya regleringen i sig bidrar till ett ökat informationsflöde från Skatteverket, Tullverket och Kronofogdemyndigheten, framför allt då uppgifterna primärt ska behandlas för myndigheternas egna behov.
En särskild risk är vidare att våra förslag innebär en utökad möjlighet att behandla känsliga personuppgifter och uppgifter om lagöverträdelser för att göra dataanalyser och urval, även vad gäller folkbokföringsverksamheten. Så kommer exempelvis vara fallet om de uppgifter som behandlas avslöjar uppgifter om hälsa, religiös övertygelse eller begångna brott för att utföra kontroller där sådana omständigheter är av betydelse mot bakgrund av den materiella verksamhetsregleringen. I dag får sådana uppgifter endast behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det, och i databaserna får uppgifterna i annat fall bara behandlas om det särskilt anges i registerlagarna.
Vi föreslår att det fortsatt kommer att finnas särskilda sökförbud i de nya lagarna avseende känsliga personuppgifter. Förslagen innebär dock vissa utökade möjligheter att göra sökningar genom att använda känsliga personuppgifter och uppgifter om lagöverträdelser som sökbegrepp vid dataanalyser och urval. Undantagen innebär därför även vissa ökade risker för enskildas personliga integritet i detta sammanhang.
Myndigheterna kommer också att ges ett tydligare rättsligt stöd för att göra dataanalyser och urval även då det inte finns något ärende, dvs. i större utsträckning för att kunna förebygga och förhindra fel och i Kronofogdemyndighetens verksamhet för att motverka överskuldsättning. Det kan antas medföra viss utökad personuppgiftsbehandling.
De mer omfattande urval som förväntas kunna göras genom våra förslag kan vidare antas leda till att myndigheterna vidtar ytterligare kontrollåtgärder som innebär myndighetsutövning mot enskilda. Användningen av verktygen kan leda till att myndigheterna inleder ett kontrollärende avseende en enskild fysisk person. I vissa fall förväntas dock behandlingen vid dataanalyser och urval inte i sig leda till myndighetsutövning, t.ex. om Kronofogdemyndigheten använder analyser och urval i syfte att motverka överskuldsättning.
Ytterligare en risk för enskildas personliga integritet är att våra förslag sammantaget kommer att innebära utökade möjligheter för berörda myndigheter att samköra uppgifter, inklusive sådana uppgifter som även har lämnats från andra myndigheter. Det gäller även i vissa delar för folkbokföringsverksamheten, bl.a. till följd av slopad databasreglering och reglering av personkrets samt föreslagen reglering av känsliga personuppgifter och uppgifter om lagöverträdelser. När uppgifter från flera olika källor samkörs innebär det att de kan sammanställas på ett sätt som utgör kartläggning av den enskilde. Det bedöms också kunna uppkomma informationssäkerhetsrisker genom att många personuppgifter samlas på ett ställe för att myndigheterna bl.a. ska kunna göra olika former av analyser. En utökad möjlighet att behandla personuppgifter för att göra dataanalyser och urval ökar också riskerna för att uppgifter sprids på ett olämpligt sätt.
Sammantaget kan det konstateras att förslagen avseende dataanalyser och urval medför vissa ökade risker för intrång i enskildas integritet. Förslagen innebär att Skatteverket, Tullverket och Kronofogdemyndigheten kommer att få utökade möjligheter att behandla personuppgifter, även känsliga sådana, vid användning av dataanalyser och urval vilket medför att enskilda kartläggs. Personuppgiftsbehandlingen kommer i vissa fall att innebära ett betydande intrång i enskildas personliga integritet (se även avsnitt 6.2).
Behovet av den föreslagna regleringen
I flera av avsnitten i detta kapitel redovisar vi de behov som ligger till grund för den föreslagna regleringen. Myndigheternas behov av en ändrad reglering skiljer sig åt till följd av att den nuvarande regleringen ser olika ut för de olika verksamheterna.
Vad gäller Skatteverkets beskattningsverksamhet har det kommit fram att behovet framför allt är hänförligt till att det är oklart om den nuvarande regleringen i registerförfattningarna och den materiella verksamhetsregleringen kan utgöra ett tillräckligt rättsligt stöd för mer omfattande analyser och urval i syfte att förebygga, förhindra och upptäcka fel, särskilt utan koppling till ett visst ärende. Behoven i Skatteverkets folkbokföringsverksamhet är inte lika stora till följd av att det nyligen införts reglering som ger Skatteverket utökade möjligheter att använda dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i den verksamheten. Även inom folkbokföringsverksamheten innebär dock den nuvarande regleringen vissa begränsningar som bedöms kunna hindra Skatteverket från att bedriva en effektiv kontrollverksamhet, bl.a. på grund av den nuvarande regleringen av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser.287 Tullverket har redan i stora delar av verksamheten ett tydligt stöd för att använda dataanalyser och urval som verktyg för kontroll, särskilt genom unionsrättslig reglering. Det finns dock ett behov av utökade möjligheter att behandla personuppgifter i denna del av Tullverkets verksamhet i förhållande till den nuvarande regleringen i registerförfattningarna, vilken kan hindra myndigheten att utföra sina uppgifter på ett effektivt sätt i enlighet med den materiella verksamhetsregleringen. Kronofogdemyndigheten har ett behov av utökade möjligheter att arbeta med analyser och urval och myndigheten har uppgett att framför allt den nuvarande databasregleringen är ett hinder mot ett sådant arbete. För att Kronofogdemyndigheten ska kunna bedriva en effektiv analys- och kontrollverksamhet behöver emellertid även möjligheterna att kunna behandla personuppgifter med hjälp av sådana verktyg tydliggöras i de fall det inte finns någon direkt koppling till ärendehandläggning.
Det kan konstateras att de uppgifter Skatteverket, Tullverket och Kronofogdemyndigheten utför är uppgifter som tillgodoser flera all-
287 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 28–29.
mänintressen. Bland annat har Skatteverket till uppdrag att säkerställa en riktig uppbörd och ansvara för frågor om folkbokföring och personnamn och då se till att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder.288 Även Tullverket har i uppdrag att säkerställa en riktig uppbörd. Tullverket ska också övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs.289Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Kronofogdemyndigheten ska även verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas.290 Skatteverket och Kronofogdemyndigheten ska förebygga och motverka ekonomisk brottslighet samt delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.291 Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor samt delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten.292
Tydligare och utökade möjligheter att göra dataanalyser och urval för effektivare kontrollverksamhet innebär för Skatteverket positiva effekter på uppbörd och registrering av uppgifter inom folkbokföringsverksamheten. Bättre verktyg i form av dataanalyser och urval behövs för att förebygga och motverka skatteundandragande och ekonomisk brottslighet. Felaktiga uppgifter i beskattnings- och folkbokföringsverksamheterna kan även ligga till grund för felaktiga utbetalningar vid andra myndigheter som är beroende av uppgifter från Skatteverket. Även riskerna för otillbörlig konkurrens och risker för utnyttjanden av arbetskraft kan förväntas kunna motverkas på ett mer effektivt sätt genom förslagen. När Skatteverkets urval med stöd av den nya regleringen blir mer träffsäkra förväntas det även leda till besparingar genom att myndigheten inte behöver avsätta resurser till utredningar som t.ex. inte leder till någon beloppsmässig ändring i ett ärende.
288 1 och 2 §§ förordningen med instruktion för Skatteverket. 289 1 och 2 §§ förordningen med instruktion för Tullverket. 290 1 och 2 §§ förordningen med instruktion för Kronofogdemyndigheten. 291 6 § förordningen med instruktion för Skatteverket och 4 § förordningen med instruktion för Kronofogdemyndigheten. 292 3 § förordningen med instruktion för Tullverket.
Den nya regleringen i sin helhet förväntas också bidra till att Tullverket kan få högre träffsäkerhet vid urval för kontroll och att även den myndigheten kan fullgöra sina uppdrag på ett effektivt sätt. Möjligheter till högre träffsäkerhet vid urval för kontroll kan för Tullverkets del förväntas leda till att mer uppbörd kan tas in till de offentliga finanserna, att tullfelet minskar samt att konkurrensen mellan företag blir mer rättvis. Vidare kan Tullverkets förmåga att förhindra restriktionsvaror från att föras in eller ut ur EU eller landet i strid med gällande regler öka. Det medför i sin tur ett bättre skydd för skyddsvärda växter, djur och kulturföremål, säkrare konsumentprodukter och att farliga varor hindras från att spridas på EU:s inre marknad. Handel med restriktionsvaror, t.ex. kulturföremål, kan också ske för att tvätta pengar med ursprung i brottslig verksamhet och för att finansiera terrorism. Överträdelser av restriktionsregler kan därmed utgöra ett hot mot samhället i en vidare bemärkelse. En bättre träffsäkerhet vid urval för kontroll innebär dessutom att laglig och korrekt in- och utförsel i mindre utsträckning störs av onödiga kontroller. I ett större perspektiv kan det också stärka allmänhetens förtroende för myndigheten och i förlängningen tilltron till rättsstaten som helhet. Förslagen förväntas utöver detta öka Tullverkets förmåga att identifiera komplicerade mönster i handelsflödet samt strukturer och företeelser som utgör risker för fel, regelöverträdelser och minskad säkerhet. Även vid Tullverket är det viktigt att myndigheten har en god förmåga att kunna identifiera samband och mönster för att kunna prioritera hur myndighetens resurser kan användas på bästa sätt. Effektiva granskningar av legala handelsflöden kan vidare leda till upptäckter av illegala sådana. Det förekommer också att det finns kopplingar mellan aktörer som medvetet begår administrativa överträdelser och aktörer som begår brott. Genom att Tullverket blir bättre på att upptäcka andra fel än brott kan myndigheten uppmärksammas även på brottsliga aktiviteter.
Utökade möjligheter att göra dataanalyser och urval inom Kronofogdemyndighetens verksamhet kan förväntas leda till effektivitetsvinster inom arbetet med verkställighet, vilket i sin tur kan leda till att fler borgenärer får betalt och att gäldenärers skulder minskar. En effektivisering av de utredningar som företas inom verksamheten med verkställighet kan vidare antas försvåra för gäldenärer att undandra tillgångar. Verktygen ökar också Kronofogdemyndighetens möjligheter att kunna arbeta mer preciserat i fråga om att motverka över-
skuldsättning i samhället. Kronofogdemyndigheten bedöms genom förslagen också få bättre förutsättningar för att kunna bidra i det myndighetsgemensamma arbetet mot organiserad brottslighet genom att exempelvis myndighetens förmåga att identifiera företag som används som brottsverktyg ökar. Kronofogdemyndigheten förväntas också ges större möjligheter att upptäcka brottslighet inom myndighetens verksamhet, såsom lönegarantibedrägerier och penningtvätt, samt de fall då myndigheten används i brottslig verksamhet för att fastställa, driva in och sanera oriktiga fordringar. Utan den föreslagna regleringen kommer det att kvarstå begränsningar i Kronofogdemyndighetens möjligheter att arbeta med analyser och urval även då det inte finns ett ärende. Det innebär minskade möjligheter att uppnå effektivitetsvinster i verksamheten och leder till sämre förutsättningar att utveckla myndighetens kontrollverksamhet.
För att utföra sina respektive författningsreglerade uppgifter är det tydligt att myndigheterna behöver arbeta med flera olika åtgärder och rikta insatser och resurser dit de kan förväntas göra störst nytta. Det är viktigt att myndigheterna ges möjlighet att vidta åtgärder för att förebygga, förhindra och upptäcka felaktigheter i syfte att minska risken för felaktiga beslut och fusk, och därmed inte endast genom efterhandskontroller. Vid kontroller i efterhand kan det i vissa fall vara mycket svårt att t.ex. återfinna medel som någon har undandragit eller tillskansat sig på felaktiga grunder. Myndigheterna har begränsade resurser att fördela för att utföra kontroller i syfte att förebygga, förhindra och upptäcka fel inom respektive verksamhet i förhållande till de stora ärendeflöden som myndigheterna har att hantera. Det är därför viktigt att myndigheterna ges möjlighet att på ett adekvat sätt använda och vidareutveckla de effektiva verktyg som finns, däribland dataanalyser och urval, för att i så hög grad som möjligt kunna fördela sina resurser till de områden och för de ändamål där de gör som mest nytta. Därmed kan de fel som orsakar störst problem för samhället förebyggas och åtgärdas. Förslagen kan genom detta också förväntas leda till att myndigheternas ärendehandläggning effektiviseras.
Det är ur ett samhällsekonomiskt perspektiv viktigt att det inom myndigheter såsom Skatteverket, Tullverket och Kronofogdemyndigheten finns ett träffsäkert och effektivt kontrollsystem som säkerställer en korrekt uppbörd, motverkar ekonomisk brottslighet och andra felaktigheter och fusk. Felaktiga beslut vid berörda myndig-
heter och missbruk av de offentliga medlen medför nämligen ekonomiska förluster för det allmänna och riskerar att skada legitimiteten i välfärdssystemet. Skatteverket, Tullverket och Kronofogdemyndigheten måste därför enligt vår mening kunna behandla personuppgifter vid användning av dataanalyser och urval för att myndigheterna ska kunna bedriva en effektivare kontrollverksamhet för de angivna syftena. Möjligheten att använda dataanalyser och urval för kontroll i större utsträckning kan även förväntas ha en viktig brottsförebyggande funktion genom att det ger myndigheterna möjlighet att på ett bättre sätt använda verktyg för att kunna motverka avsiktliga fel eller avsiktligt fusk.293
För att kunna använda dataanalyser och urval för kontroll på ett effektivt sätt behöver myndigheterna ha möjlighet att behandla personuppgifter, även känsliga sådana, vid analyserna och framtagandet av urvalsmodeller och i förlängningen urvalsträffar. Detta mot bakgrund av att även uppgifts- och ärendeflödena in till myndigheterna innefattar sådana uppgifter. I annat fall kommer inte verktygen att kunna medföra mer träffsäkra urval för att identifiera de ärenden eller subjekt där det finns högre risk för fel eller fusk och inte heller för att motverka överskuldsättning i Kronofogdemyndighetens verksamhet.
Föreslagna integritetsstärkande åtgärder
För att motverka de integritetsrisker som utökade möjligheter att göra dataanalyser och urval m.m. kan medföra, föreslår vi en reglering av myndigheternas personuppgiftsbehandling i lag och förordning som innehåller flera skyddsåtgärder. Lagarna kommer bl.a. att innehålla ändamålsbestämmelser, bestämmelser om personuppgiftsansvar, bestämmelser om vilka uppgifter som får behandlas för att göra dataanalyser och urval, sökbegränsningar, särskilda dokumentationskrav vid dataanalyser och urval, bestämmelser om tillgång till personuppgifter samt regler om längsta tid för behandling av personuppgifter.
Utöver detta föreslår vi en reglering i de förordningar som hör till lagarna som innebär att myndigheterna ansvarar för att det inom respektive myndighet finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personupp-
293 Jfr SOU 2017:37, Kvalificerad välfärdsbrottslighet – förebygga, förhindra, upptäcka och beivra, s. 122.
gifter. Vi föreslår också att det i förordningarna ska finnas bestämmelser om att myndigheterna ansvarar för att det finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter. Dessutom föreslår vi bestämmelser i förordning som innebär att myndigheterna ansvarar för att det finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Kraven på dokumentation och rutiner innebär att myndigheterna måste formulera och sammanställa sina överväganden avseende den behandling av personuppgifter som kommer att utföras vid dataanalyser och urval. Det innebär att det i större utsträckning i efterhand kommer att gå att kontrollera att behandlingen är författningsenlig och i enlighet med dataskyddsförordningens krav. Detta minskar också i sig riskerna för ogenomtänkt, omotiverad eller oproportionerlig behandling av personuppgifter. Den dokumentation som ska göras ska ge en tydlig bild av den helhetsbedömning som myndigheterna har gjort.
Krav på inbyggt dataskydd och dataskydd som standard samt krav på att vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa en lämplig säkerhetsnivå följer direkt av dataskyddsförordningen (artiklarna 25 och 32). Den föreslagna sekretessregleringen till skydd för enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval utgör utöver detta en betydelsefull skyddsåtgärd i syfte att minska spridningsrisken.
Samlad avvägning mellan behov och risk för integritetsintrång
En förutsättning för att utöka Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att behandla personuppgifter för att göra dataanalyser och urval i bl.a. kontrollverksamhet är att förslagen bedöms vara proportionerliga vid en avvägning mellan myndigheternas behov och enskildas personliga integritet. Nyttan med åtgärderna ska väga tyngre än intresset av skydd för den personliga integriteten.
Även om vi föreslår reglering i lag, vilken inkluderar särskilda skyddsåtgärder som syftar till att uppnå en rimlig balans mellan myndigheternas behov av effektiva verktyg och de effekter på den personliga integriteten som förslagen kan komma att få, kommer det att kvarstå vissa risker för integritetsintrång. När myndigheterna be-
handlar personuppgifter för att göra dataanalyser och urval kommer enskilda att kartläggas. Särskilt Skatteverket behandlar personuppgifter om i stort sett hela landets befolkning.
Syftet med våra förslag är huvudsakligen att Skatteverket, Tullverket och Kronofogdemyndigheten på ett effektivt och adekvat sätt ska kunna förebygga, förhindra och upptäcka fel i respektive verksamhet med hjälp av dataanalyser och urval, samt för Kronofogdemyndighetens del även motverka överskuldsättning. Vi bedömer att dataanalyser och urval är effektiva verktyg i myndigheternas verksamheter för att dessa ska kunna rikta sina resurser i de mycket omfattande ärendeflödena rätt, dvs. till de ärenden som har hög risk för felaktigheter.294
Vi har ovan beskrivit den förväntade nytta förslagen kan medföra i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. Förslagen förväntas bl.a. kunna leda till ökade möjligheter att förhindra och upptäcka felaktigheter och fusk i ett tidigt skede, vilket kan leda till framför allt ekonomiska samhällsvinster, men även till att myndigheterna ges bättre förutsättningar att motverka ekonomisk brottslighet. Skatteverket, Tullverket och Kronofogdemyndigheten är myndigheter som har en central och viktig roll i välfärdssystemet. För att uppnå syftet med våra förslag är det enligt vår bedömning nödvändigt att dessa myndigheter ges möjlighet att behandla personuppgifter som är av betydelse för att handlägga och kontrollera uppgifter i ärenden och i andra sammanhang inom myndigheternas verksamheter. Goda förutsättningar att kunna kontrollera uppgifter som enskilda och i vissa fall andra aktörer lämnar till myndigheterna är en förutsättning för att de berörda myndigheterna ska kunna förebygga, förhindra och upptäcka felaktigheter. Utökade möjligheter för Kronofogdemyndigheten att arbeta för att motverka överskuldsättning förväntas vidare innebära vinster både för enskilda individer och samhället i stort.
De uppgifter som det kommer att vara aktuellt för myndigheterna att behandla vid dataanalyser och urval i enlighet med våra förslag utgör till stor del sådana uppgifter som myndigheterna redan har rättsligt stöd för att behandla genom de nuvarande registerförfattningarna och den materiella verksamhetsregleringen. Vi bedömer att det är befogat att sådana uppgifter som myndigheterna förfogar över till följd av utförandet av sina uppgifter samt som myndigheterna har
294 Se avsnitt 14.6.1.
möjlighet att samla in också kan användas för att utföra dataanalyser och urval i de fall det bedöms nödvändigt. De ytterligare kategorier av personuppgifter som myndigheterna kommer ges möjlighet att behandla, såsom känsliga personuppgifter och uppgifter om lagöverträdelser, bedömer vi också behövs.295 Regleringen kommer att innefatta sådana skyddsåtgärder som krävs för att undantaget från förbudet mot behandling av känsliga personuppgifter i artikel 9.1 i dataskyddsförordningen kan bedömas vara uppfyllt. Vi bedömer att det inte är ett rimligt alternativ att införa en särskild reglering som räknar upp vilka närmare kategorier av personuppgifter som får behandlas, eller att införa en databasreglering för just den behandling som utförs vid dataanalyser och urval.296 En sådan reglering krävs enligt vår mening inte heller för att uppfylla kraven i EU:s dataskyddsförordning och riskerar att förhindra att myndigheterna faktiskt ges utökade möjligheter att göra utökade dataanalyser och urval.
Det är i detta sammanhang också av betydelse att myndigheterna kan samköra uppgifter från enskilda eller uppgifter som de har hämtat in från andra myndigheter i syfte att bl.a. kunna göra adekvata analyser och jämförelser. Myndigheterna behöver också kunna samla in uppgifter primärt för de angivna ändamålen om det är nödvändigt för att uppnå dessa. De uppgifter som är nödvändiga att behandla behöver motsvara de uppgifter som faktiskt används i myndigheternas verksamheter med bl.a. ärendehandläggning eller som annars är av betydelse i förhållande till den materiella verksamhetsregleringen. I annat fall finns det en risk att urvalsträffarna inte blir träffsäkra om exempelvis inte alla kategorier av uppgifter som vanligen finns i de ärendetyper som myndigheterna har att handlägga får behandlas även för att göra analyser och urval. Det inkluderar även känsliga personuppgifter och uppgifter om lagöverträdelser. Av motsvarande skäl är det ofta inte ett alternativ för myndigheterna att använda anonymiserade eller pseudonymiserade uppgifter för att göra dataanalyser och urval, även om sådana metoder ska användas i de fall det krävs för att en viss behandling ska vara proportionerlig. Vi bedömer att det inte heller skulle vara möjligt för myndigheterna att åstadkomma samma resultat genom manuella urval av ärenden eller subjekt för kontroll för samma syfte mot bakgrund av de mycket omfattande verksamheter som respektive myndighet bedriver.
295 Se avsnitt 14.9.2. 296 Se avsnitt 14.9.2 för en närmare redogörelse av dessa alternativa förslag.
Möjligheten att använda analyser och urval bedöms vidare kunna minska risken för att personer som inte behöver kontrolleras ytterligare blir utsatta för omfattande kontroller av myndigheterna. Den föreslagna regleringen bedöms även undanröja de oklarheter som i dag finns avseende i vilken mån myndigheterna får behandla personuppgifter för att göra dataanalyser och urval för kontrolländamål, vilket enligt vår mening ökar regleringens förutsebarhet och ger myndigheterna tydligare lagstöd för åtgärderna.
För det fall att förslagen inte genomförs kan den nuvarande regleringen utgöra ett hinder för myndigheternas digitala utveckling, däribland möjligheten att använda dataanalyser och urval i verksamheterna. De oklarheter och andra begränsningar som finns i den reglering som gäller i dag bedöms i förlängningen begränsa berörda myndigheters förutsättningar att fullgöra sina författningsreglerade uppgifter på ett korrekt, effektivt och rättssäkert sätt. Det kan även påverka den befintliga kontrollverksamheten negativt. Vidare finns det risk för att exempelvis inkomster undanhålls från staten i högre grad i takt med att oseriösa aktörer blir effektivare på att utnyttja välfärdssystemet på ett otillbörligt sätt om inte myndigheterna ges möjlighet att använda uppgifter vid bruk av digitala verktyg i kontrollverksamhet.
Det kan i detta sammanhang nämnas att regeringen tidigare har godtagit inskränkningar i skyddet för den personliga integriteten för att myndigheter ska ges bättre förutsättningar att förebygga, förhindra och upptäcka felaktigheter genom användning av analys- och urvalsverktyg, däribland för Skatteverkets folkbokföringsverksamhet.297
Det är å ena sidan viktigt att skydda den personliga integriteten. Å andra sidan är det viktigt att säkerställa välfärdssystemets funktion, legitimitet och förtroende för detta. Den personuppgiftsbehandling som kommer att vara nödvändig vid dataanalyser och urval kommer att omfattas av en särskild nationell reglering i lag som också innefattar ett flertal skyddsåtgärder. De uppgifter om enskildas personliga och ekonomiska förhållanden som behandlas kommer också att omfattas av absolut sekretess. Vissa skyddsåtgärder samt den föreslagna sekretessen utgör ett skydd som inte finns i dag när myndigheterna behandlar personuppgifter för att göra dataanalyser och urval. Myndigheterna måste också följa de krav som finns i annan reglering
297Prop. 2022/23:34, Utbetalningsmyndigheten, s. 161–167 och prop. 2022/23:41, Bättre möjlig-
heter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 37–45. Jfr även
prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 35–44.
som syftar till att skydda enskildas personliga integritet, såsom EU:s dataskyddsförordning och dataskyddslagen.
Vid en avvägning mellan intresset av att upprätthålla skyddet för den personliga integriteten och det allmänintresse som ligger till grund för förslagen anser vi att intrånget är motiverat och proportionerligt. Det är dock självfallet alltid viktigt att Skatteverket, Tullverket och Kronofogdemyndigheten följer den tillämpliga dataskyddsregleringen vid all behandling av personuppgifter.
Förslagens förenlighet med kraven i EU:s dataskyddsförordning
Den reglering som vi föreslår bedöms tillsammans med den befintliga materiella verksamhetsregleringen vara förenlig med kraven i dataskyddsförordningen. Personuppgiftsbehandlingen som är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive uppgifter ryms inom den rättsliga grunden uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Behandlingen av personuppgifter som behövs för att berörda myndigheter ska kunna utföra dataanalyser och urval är alltså uppgifter av allmänt intresse. Grunden för behandlingen bedöms också vara fastställd i unionsrätten eller i den nationella rätten på det sätt som krävs enligt artikel 6.3 i dataskyddsförordningen genom myndigheternas respektive materiella verksamhetsreglering och den reglering som vi föreslår. Vi bedömer även att den behandling av personuppgifter som kan komma att ske är proportionell i förhållande till de mål som eftersträvas. Det kommer alltså sammantaget att finnas rättslig grund för den personuppgiftsbehandling som våra förslag medför.
Vi föreslår också flera bestämmelser i de nya lagarna som en följd av de krav som ställs i dataskyddsförordningen. Det handlar om de grundläggande principerna i artikel 5 om bl.a. ändamålsbegränsning, uppgiftsminimering och lagringsminimering samt kraven på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen vid behandling av känsliga personuppgifter. Utöver detta föreslår vi ytterligare skyddsåtgärder för att motverka riskerna för obefogade intrång i den personliga integriteten (se avsnitt 14.11).
Vi anser sammantaget att den föreslagna regleringen är förenlig med dataskyddsförordningen.
Förslagens förenlighet med annan reglering till skydd för den personliga integriteten
I regeringsformen, Europakonventionen och EU-stadgan finns viss reglering som syftar till att skydda den personliga integriteten (se vidare avsnitten 3.2.2–3.2.4). Genom denna reglering är den enskilde skyddad mot betydande intrång i den personliga integriteten och har en rätt till respekt för sitt privatliv. Den enskildes personuppgifter ska skyddas. I de fall en myndighet vill behandla personuppgifter måste den beakta dessa rättigheter.298
Rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket RF och rätten till respekt för privatlivet enligt artikel 8 i Europakonventionen är inte absoluta rättigheter, utan kan inskränkas genom lag. Även i EU-stadgan är utgångspunkten att en inskränkning endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).
Vi har i avsnitt 6.2 bedömt att behandlingen av personuppgifter vid Skatteverkets, Tullverkets och Kronofogdemyndighetens dataanalyser och urval kan innebära ett betydande intrång i den personliga integriteten. Behandlingen omfattas därför av regeringsformens skydd mot sådana intrång. Det övergripande syftet med myndigheternas dataanalyser och urval är att förebygga, förhindra och upptäcka fel i respektive myndighets verksamhet, samt att motverka överskuldsättning i Kronofogdemyndighetens verksamhet. Vad detta närmare innebär har beskrivits ovan samt i övrigt genomgående i detta kapitel. Ändamålen är enligt vår bedömning godtagbara i ett demokratiskt samhälle och kan därför rättfärdiga en inskränkning av skyddet för den personliga integriteten i bl.a. regeringsformen.
Regleringen av behandlingen av personuppgifter vid dataanalyser och urval föreslås tas in i särskilda lagar som ska gälla hos Skatte-
298Prop. 2022/23:34, Utbetalningsmyndigheten, s. 162.
verket, Tullverket respektive Kronofogdemyndigheten. Ramarna för personuppgiftsbehandlingen tillsammans med de bestämmelser som är av central betydelse för integritetsskyddet kommer därmed att slås fast i lag. Viss annan reglering till skydd för enskildas personliga integritet vid personuppgiftsbehandlingen föreslås också finnas i förordning. Vi har ovan gjort bedömningen att den personuppgiftsbehandling som är nödvändig vid myndigheternas dataanalyser och urval är proportionerlig. Begränsningen av rätten till skydd för den personliga integriteten bedöms därmed inte gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. I detta ligger då också att begränsningen svarar mot sådana intressen som räknas upp i artikel 8.2 i Europakonventionen, dvs. landets ekonomiska välstånd och förebyggande av oordning eller brott.
Sammanfattande bedömning
Vi har ovan redovisat våra överväganden i fråga om förslagens risker för den personliga integriteten, behovet av den föreslagna regleringen, integritetsstärkande åtgärder och proportionalitet. Vi har även redogjort för förslagens förenlighet med kraven i EU:s dataskyddsförordning samt de begränsningar i annan reglering till skydd för enskildas personliga integritet som våra förslag innebär.
Vår slutsats är att det integritetsintrång som kan uppkomma genom våra förslag är motiverat och proportionerligt.
15. Offentlighet och sekretessfrågor
15.1. Inledning
I detta kapitel föreslår vi att absolut sekretess ska gälla i Skatteverkets folkbokföringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Undantag från sekretessen ska dock gälla för vissa uppgifter om medborgarskap.
Vi föreslår även att absolut sekretess ska gälla till skydd för uppgifter om enskildas personliga och ekonomiska förhållanden vid Skatteverkets, Tullverkets och Kronofogdemyndighetens dataanalyser och urval. Sekretess föreslås också gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till myndigheternas dataanalyser och urval om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs.
I kapitlet föreslår vi också vissa ändringar av befintliga sekretessbestämmelser som krävs till följd av våra övriga förslag.
I avsnitt 3.3 finns en genomgång av relevant reglering avseende sekretess.
15.2. Sekretess för uppgifter som ingår i vissa sammanställningar i Skatteverkets folkbokföringsverksamhet
15.2.1. Uppgifter som ingår i vissa sammanställningar i Skatteverkets folkbokföringsverksamhet ska omfattas av sekretess
Vårt förslag: Absolut sekretess ska gälla i Skatteverkets folkbok-
föringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt.
Sekretessen ska dock inte gälla för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
Skälen för vårt förslag
Behovet av en sekretessbestämmelse
I dag finns en bestämmelse i 2 kap. 10 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), som föreskriver att vid sökning i folkbokföringsdatabasen får följande uppgifter inte användas som sökbegrepp:
- födelseort
- make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen som är grundat på adoption
- inflyttning från utlandet
- uppehållsrätt för en person som är folkbokförd
- medborgarskap med undantag för uppgifter om medborgarskap i
Sverige, Danmark, Norge, Finland eller Island samt inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
Bestämmelsen innebär att Skatteverket inte har någon möjlighet att göra sammanställningar av samtliga ärenden som t.ex. rör personer där en viss födelseort finns registrerad. Den innebär även att Skatteverket inte kan söka fram redan befintliga handlingar med hjälp av de sökbegrepp som räknas upp i bestämmelsen. Regleringen får betydelse vid tillämpningen av den s.k. begränsningsregeln i 2 kap. 7 § tryckfrihetsförordningen, TF. Begränsningsregeln innebär att en sammanställning av uppgifter ur en upptagning för automatiserad behandling som innehåller personuppgifter inte anses förvarad hos en myndighet om myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Syftet med denna bestämmelse är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksamhet.1
I avsnitt 10.9.3 föreslår vi att det ska införas en sökbegränsning i den nya folkbokföringsdatalagen som innebär att det fortsatt kommer att vara förbjudet för Skatteverket att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption. Vidare gör vi i det avsnittet bedömningen att nuvarande bestämmelser i 2 kap. 10 § FdbL som förbjuder Skatteverket från att använda uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd samt vissa uppgifter om medborgarskap som sökbegrepp inte bör ha någon motsvarighet i den nya folkbokföringsdatalagen. Bedömningen grundar sig på att Skatteverket har ett stort behov av att kunna göra sådana sökningar för att utföra sina uppdrag på ett så effektivt, korrekt och rättssäkert sätt som möjligt. I nämnda avsnitt uttalar vi också att även om de aktuella uppgifterna i normal-
1Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23.
fallet inte utgör känsliga personuppgifter i dataskyddsförordningens2mening kan de anses vara särskilt integritetskänsliga i vissa situationer. Exempelvis kan möjligheten att ta fram och därigenom kunna lämna ut sammanställningar av personer på grundval av uppgifter om i vilket land de är medborgare, födelseort eller varifrån de flyttat t.ex. utnyttjas för att kartlägga och förfölja vissa grupper av personer av utländsk härkomst.3 Särskilda sökbegränsningar avseende uppgifter om nationell anknytning finns vidare i t.ex. 14 § första stycket domstolsdatalagen (2015:728).
Våra bedömningar i avsnitt 10.9.3 innebär att Skatteverket kommer att ges större möjligheter att söka fram vissa uppgifter och göra vissa sammanställningar som av integritetsskäl inte är möjliga att göra i dag till följd av det absoluta sökförbudet. Även i dag kan dock sådana uppgifter komma att lämnas ut på begäran om den t.ex. avser utfående av beslut eller inkomna handlingar i ärenden mellan en viss tidsperiod.
Möjligheterna för allmänheten att ta del av sådana uppgifter som här är aktuella begränsas dock redan i viss utsträckning av befintliga bestämmelser om sekretess. Enligt 22 kap. 1 § första stycket offentlighets- och sekretesslagen (2009:400), OSL, gäller sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföring m.m. Bestämmelsen innehåller ett rakt kvalificerat skaderekvisit vilket innebär att det krävs särskilt mycket för att sekretessen ska gälla. Vidare föreskrivs i 21 kap. 5 § OSL att sekretess gäller för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Bestämmelsen innehåller ett rakt skaderekvisit och är, till skillnad från 22 kap. 1 § OSL, inte avgränsad till folkbokföringsverksamhet utan gäller oavsett i vilket sammanhang uppgiften förekommer. Sekretessen enligt 21 kap. 5 § OSL har dock ett begränsat tillämpningsområde på så sätt att menbedömningen ska göras i förhållande till omständigheter som föranleds av förhållandet
2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 3 Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35.
mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Vid sidan av dessa sekretessbestämmelser föreskrivs i 21 kap. 7 § OSL att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen kan bl.a. tillämpas vid s.k. massuttag av uppgifter. Också här föreskrivs ett rakt skaderekvisit.
Det kan konstateras att även om det finns tillämpliga sekretessregler för de aktuella uppgifterna, kommer de i många fall att vara offentliga till följd av utformningen av befintliga sekretessbestämmelser. En begäran hos Skatteverket om utfående av aktuella uppgifter, eller sammanställningar grundade på sådana uppgifter, kommer enligt vår bedömning i högre grad att behöva tillgodoses av myndigheten till följd av att det nuvarande absoluta sökförbudet inte överförs till den föreslagna folkbokföringsdatalagen i sin helhet. Vidare finns det i dag väl utvecklade tekniska möjligheter att relativt snabbt och enkelt söka fram och sammanställa uppgifter, vilket är en utveckling som kan förutspås öka även framöver.4
I praktiken innebär alltså våra förslag att skyddet för uppgifterna försvagas. Vår avsikt med förändringarna av vilka sökbegränsningar som ska gälla i Skatteverkets folkbokföringsverksamhet är dock inte att försvaga integritetsskyddet för de uppgifter som föreskrivs i det särskilda sökförbudet i 2 kap. 10 § FdbL, utan det är att föreslå en ändamålsenlig och flexibel dataskyddsreglering för myndigheten. Vi anser också att de aktuella uppgifterna fortsatt bör betraktas som integritetskänsliga i vissa fall och att offentliggörande av sammanställningar som grundar sig på uppgifterna kan medföra skada eller men som resultat av att de lämnas ut. Det rör sig även om uppgifter som enskilda är skyldiga att uppge till Skatteverket till följd av den materiella regleringen om vad som ska registreras i folkbokföringsverksamheten. För att åstadkomma ett fortsatt skydd för uppgifterna i integritetshöjande syfte, samtidigt som Skatteverkets möjligheter att utföra sina författningsreglerade uppgifter inte begränsas på ett sätt som inte är ändamålsenligt, kan en särskild bestämmelse om sekretess för aktuella uppgifter införas i offentlighets- och sekretesslagen.
Av de skäl som nu har anförts anser vi att det finns ett behov av att införa en ny bestämmelse om sekretess i offentlighets- och sekretesslagen som gäller i Skatteverkets verksamhet som avses i 2 § folkbok-
4 Jfr 2 kap. 6 § andra stycket TF.
föringsdatalagen för uppgift som ingår i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap och uppehållsrätt, med undantag för uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). En närmare motivering till utformningen av en sådan ny sekretessbestämmelse finns nedan.
Tillämplig sekretessgrund
Huvudregeln är att allmänna handlingar är offentliga.5 Rätten att ta del av allmänna handlingar kan dock begränsas genom sekretess. Sådana begränsningar får göras endast om det krävs med hänsyn till vissa särskilt angivna intressen, bl.a. skyddet för enskildas personliga eller ekonomiska förhållanden (2 kap. 2 § första stycket 6 TF). En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till.6 Den särskilda lag som avses är offentlighets- och sekretesslagen.
De aktuella uppgifterna rör uppgifter om en enskilds födelseort, födelseland, inflyttning från utlandet, uppehållsrätt eller medborgarskap i vissa fall. Enligt vår bedömning bör en sekretessbestämmelse till skydd för den enskildes personliga förhållanden mot denna bakgrund vara tillåten i enlighet med 2 kap. 2 § första stycket 6 TF.
Intresseavvägning
Införandet av en ny sekretessbestämmelse innebär att allmänhetens grundlagsfästa rätt att ta del av allmänna handlingar begränsas. En avvägning måste därför göras mellan behovet av sekretess och allmänhetens intresse av insyn i fråga om de aktuella uppgifterna.
Det kan konstateras att det rör sig om uppgifter om enskildas nationella anknytning som registreras i folkbokföringen enligt folkbokföringslagen (1991:481). Uppgifterna rör visserligen inte i sig sådana särskilda kategorier av personuppgifter som räknas upp i arti-
5 Jfr 2 kap. TF. 62 kap. 2 § andra stycket TF.
kel 9.1 i EU:s dataskyddsförordning, dvs. känsliga personuppgifter. Enligt 22 kap. 1 § OSL är huvudregeln dessutom att uppgifter om bl.a. nationalitet är offentliga. I förarbetena anges dock att även sådana uppgifter i vissa särskilda fall kan sekretessbeläggas med stöd av denna sekretessbestämmelse, t.ex. i fall då uppgifter begärs ut om utlänningar med viss nationalitet. I förarbetena anges vidare att om omständigheterna tyder på att utlämnande av en dylik förteckning kan leda till aktioner mot invandrarna som dessa uppfattar som hotande eller påtagligt obehagliga bör utlämnande av det begärda valet vägras.7 Som nämns ovan kan uppgifter om nationell anknytning även omfattas av sekretess enligt 21 kap. 5 § OSL eller 21 kap. 7 § OSL. I dag finns det inte heller någon möjlighet för Skatteverket att göra sammanställningar baserade på aktuella uppgifter till följd av de gällande bestämmelserna om sökförbud, vilka infördes av integritetsskäl.8 Enligt vår mening finns det sammantaget ett behov av skydd för de aktuella uppgifterna.
Mot detta kan det konstateras att allmänheten har ett intresse av insyn i folkbokföringsverksamheten. Detta framgår bl.a. av att det i 22 kap. 1 § OSL föreskrivs att det krävs särskild anledning att anta att den enskilde eller någon närstående till denne lider men om en uppgift röjs för att kunna sekretessbelägga uppgifter hänförliga till folkbokföringen m.m. Ett grundläggande syfte med folkbokföringsverksamheten anses ofta vara att tillgodose samhällets behov av uppgifter om fysiska personer bosatta i Sverige. En del av insynsintresset är vidare hänförligt till att det ska finnas möjlighet att granska Skatteverkets folkbokföringsverksamhet.
Intresset av insyn gör sig dock i allmänhet inte lika starkt gällande i förhållande till uppgifter om en enskilds personliga förhållanden som avseende uppgifter om en myndighets verksamhet. Allmänheten har inte heller i dag möjlighet att begära att Skatteverket gör en sammanställning baserad på aktuella uppgifter för utfående av denna. Vid en avvägning bedömer vi att behovet av skydd för aktuella uppgifter väger tyngre än behovet av insyn i verksamheten och att en ny sekretessbestämmelse bör införas som ska utformas i enlighet med vad som anges nedan. På detta sätt anser vi att det nuvarande skyddet för uppgifterna fortsatt upprätthålls.
7Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 211. 8Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 145–146.
Utformningen av en ny sekretessbestämmelse
Vi anser för det första att den nya sekretessbestämmelsen ska gälla i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen. På detta sätt blir räckvidden av sekretessen densamma som det nu gällande sökförbudet träffar.
Vidare ska den nya sekretessen gälla för uppgift som ingår i en sammanställning om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgift som ingår i en sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Sekretessens föremål utformas därmed efter vilka uppgifter som omfattas av det nuvarande sökförbudet i 2 kap. 10 § FdbL.
Födelseort anges i folkbokföringsverksamheten för personer som är födda utomlands.9 Innehållet i den nuvarande regleringen av folkbokföringsdatabasen, som sökförbudet i 2 kap. 10 § FdbL hänvisar till, har sin grund i lagen (1990:1536) om folkbokföringsregister. När databasregleringen tillkom fördes bestämmelser om vilka uppgifter det tidigare folkbokföringsregistret fick innehålla enligt lagen i stort sett över oförändrade till regleringen av vilka uppgifter databasen fick innehålla.10 I förarbetena till lagen om folkbokföringsregister angav regeringen att med födelseort avsågs både födelseort och land för en person som var född i utlandet.11 I avsnitt 9.4.5 gör vi därför bedömningen att med begreppet födelseort i folkbokföringsdatabaslagen får även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl föreslår vi därför i det avsnittet att det uttryckligen ska framgå av folkbokföringslagen att Skatteverket får registrera uppgifter om födelseort och födelseland om en person. Mot denna bakgrund och till följd av syftet med den nya sekretessbestämmelsen gör vi bedömningen att det även i den nya bestämmelsen om sekretess uttryckligen bör anges att den aktuella sekretessen gäller om sammanställningen grundar sig på uppgifter om födelseland.
9Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146. 10Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141. 11Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.
När det gäller uppgifter om inflyttning från utlandet registreras uppgift om datum och från vilket land personen i anmälan har uppgett att han eller hon har flyttat.
I fråga om uppgifter om uppehållsrätt för en person som är folkbokförd registreras det förhållandet att en person har uppehållsrätt, men inte på vilken grund. Omständigheterna som ligger till grund för personens uppehållsrätt finns i ärendet genom bl.a. beslutet om folkbokföring. I avsnitt 9.4.5 gör vi bedömningen att den nya bestämmelsen i folkbokföringslagen – som föreslås reglera vad folkbokföring innebär i fråga om registrering av uppgifter – bör avse uppehållsrätt, dvs. utan tillägget ”för en person som är folkbokförd”. Mot den bakgrunden, samt mot bakgrund av syftet med sekretessbestämmelsen, framstår det som överflödigt att det i den nya sekretessbestämmelsen anges ”uppehållsrätt för en person som är folkbokförd”. Bestämmelsen bör enligt vår mening i stället utformas i enlighet med den nya bestämmelsen i folkbokföringslagen. Sekretess ska därför gälla för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om bl.a. uppehållsrätt.
När det gäller undantaget för vissa uppgifter om medborgarskap är detta hänförligt till att uppgifterna behövs för bl.a. framställning av röstlängder och för avisering till vissa myndigheter.12
Utformningen av den föreslagna sekretessbestämmelsen innebär att det räcker att någon av de uppräknade uppgifterna är en uppgift av flera andra som har använts för att göra sammanställningen tillgänglig genom t.ex. en sökning för att sammanställningen i sin helhet ska omfattas av sekretess. Om ingen av de uppräknade uppgifterna används när sammanställningen görs kommer den dock inte att omfattas av sekretessbestämmelsen. Utformningen av regleringen innebär vidare att eventuella redan befintliga sammanställningar som har grundats på aktuella uppgifter kommer att omfattas av sekretess. Däremot kommer sekretessbestämmelsen inte att omfatta enskilda uppgifter om exempelvis en viss persons födelseort i ett ärende. I ett sådant fall får en prövning i stället göras enligt bl.a. de redan befintliga sekretessbestämmelser som nämns ovan.
När det gäller avvägningen av vilken sekretessnivå som ska gälla bör inte mer sekretess än vad som är oundgängligen nödvändigt för att skydda det intresse som har föranlett bestämmelsen åstadkom-
12Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146.
mas.13 Bestämmelser om sekretess innehåller ofta skaderekvisit som anger sekretessens styrka. Dessa kallas bl.a. raka eller omvända skaderekvisit. Om en bestämmelse har ett rakt skaderekvisit finns en presumtion för offentlighet medan ett omvänt skaderekvisit innebär en presumtion för sekretess. Vid ett rakt kvalificerat skaderekvisit är huvudregeln att uppgifterna ska vara offentliga och att sekretess endast gäller i undantagsfall.14 I vissa fall gäller absolut sekretess, vilket framgår genom sekretessbestämmelser som saknar skaderekvisit. Sådan absolut sekretess gäller t.ex. inom Skatteverkets beskattningsverksamhet.15
Syftet med den föreslagna sekretessbestämmelsen är att sammanställningar över uppgifter om enskildas nationella anknytning inte ska bli offentliga vid Skatteverket. På detta sätt kommer regleringen i praktiken även att innebära ett likvärdigt skydd för de aktuella uppgifterna som gäller i dag genom 2 kap. 10 § FdbL. I dag finns det över huvud taget ingen möjlighet att begära att Skatteverket gör sökningar på de aktuella uppgifterna för utfående av sammanställningar över dessa. De aktuella sammanställningarna är i dag inte allmänna handlingar på grund av sökbegränsningarna. För att i princip uppnå samma skydd när sammanställningarna kan bli allmänna bedömer vi att det krävs att sekretessen är absolut, dvs. att någon skadeprövning inte ska göras vid begäran om utlämnande av handlingen. Att det i dag är möjligt att få ut samma uppgifter på annat sätt föranleder ingen annan bedömning.
Även om vår avsikt är att åstadkomma samma skydd för uppgifterna som de har i dag, finns dock vissa sekretessbrytande bestämmelser i offentlighets- och sekretesslagen som innebär att uppgifter, trots föreskriven absolut sekretess, i vissa fall kan lämnas ut till andra myndigheter. Enligt 10 kap. 2 § OSL hindrar inte sekretess att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Det är därmed den utlämnande myndighetens intresse av att lämna uppgiften som är avgörande. Bestämmelsen ska dock tillämpas restriktivt.16
13 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78. 14 Jfr 22 kap. 1 § första stycket OSL där det krävs att det finns särskild anledning att anta att den enskilde eller någon närstående till denne lider men om uppgiften röjs för att uppgiften ska kunna hemlighållas. 15 Se 27 kap. 1 § OSL. 16Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465.
Vidare anges i 10 kap. 27 § första stycket OSL, den s.k. generalklausulen, att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Eftersom bestämmelsen kräver att det är uppenbart att intresset av utlämnande har företräde framför det intresse som sekretessen ska skydda, och då vi föreslår att den nya sekretessbestämmelsen ska föreskriva absolut sekretess, bör det enligt vår uppfattning relativt sällan komma i fråga att Skatteverket kan lämna ut aktuella uppgifter till andra myndigheter med stöd av generalklausulen. Mot denna bakgrund bedömer vi att det inte behöver införas något undantag från generalklausulen i 10 kap. 27 § andra stycket OSL.
I de fall det kan komma att finnas behov av särskilda sekretessbrytande bestämmelser får överväganden om införandet av sådana bestämmelser göras när behov av det uppstår.
Sammanfattningsvis innebär våra överväganden ovan att det ska införas en ny sekretessbestämmelse i offentlighets- och sekretesslagen som föreskriver att absolut sekretess gäller i Skatteverkets folkbokföringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
Skatteverket bör i vissa fall kunna lämna ut uppgifter som avses i den nya sekretessbestämmelsen om uppgifterna har avidentifierats. Detta dock under förutsättning att Skatteverket iakttar stor försiktighet när myndigheten prövar om de avidentifierade uppgifterna är av sådant slag att det inte går att hänföra dem till en enskild person. Det är särskilt viktigt eftersom uppgifterna omfattas av mycket stark sekretess.17 För att ett utlämnande av uppgifterna ska kunna ske i ett avidentifierat skick för t.ex. statistiska syften måste det alltså stå klart att sambandet mellan uppgifterna och enskilda individer inte kan spåras.18 Detta medför en viss skillnad mot vad som gäller i dag. Om sådana avidentifierade uppgifter bedöms kunna lämnas ut,
17 Jfr JO 1984/85, dnr 3268-1982, s. 269. 18 Jfr Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 179.
innebär det dock inte enligt vår uppfattning att enskilda har fått ett svagare skydd i förhållande till vad som gäller enligt den nuvarande regleringen i folkbokföringsdatabaslagen.
Vi anser att den nya sekretessbestämmelsen ska införas i anslutning till övriga sekretessregler som i dag gäller i folkbokföringen m.m. Sekretessbestämmelsen ska därför enligt vår mening införas som en ny paragraf i 22 kap. 1 b § OSL.
15.2.2. Sekretessen ska gälla i högst 70 år
Vårt förslag: Sekretessen för uppgift i allmän handling ska gälla i
högst sjuttio år.
Skälen för vårt förslag
Uppgifter om enskildas ekonomiska förhållanden hålls i allmänhet hemliga i maximalt 20 år.19 När det gäller uppgifter om enskildas personliga förhållanden förekommer sekretessperioder upp till 70 år.20Sekretessen till skydd för enskilds personliga förhållanden vid folkbokföring m.m. gäller i högst 70 år.21 För uppgift om enskilds personliga eller ekonomiska förhållanden som har tillförts analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet gäller dock sekretessen i högst 20 år.22
De uppgifter om enskildas personliga förhållanden som nu föreslås omfattas av sekretess är sådana uppgifter som förekommer i verksamhet med folkbokföring och som därmed kan omfattas av sekretess enligt 22 kap. 1 § OSL. Vi anser mot denna bakgrund att sekretesstidens längd bör följa vad som annars gäller i folkbokföringsverksamheten. Vi föreslår därför att för uppgift i en allmän handling ska sekretessen hos Skatteverket gälla i högst 70 år.
19 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 87. Se även prop. 2022/23:41,
Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten,
s. 48 och Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182. 20 Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182. 2122 kap. 1 § OSL. 2222 kap. 1 a § OSL.
15.2.3. Tystnadsplikten ska ha företräde framför meddelarfriheten
Vårt förslag: Tystnadsplikten som följer av den nya sekretess-
bestämmelsen avseende vissa uppgifter som ingår i sammanställningar i Skatteverkets folkbokföringsverksamhet ska ha företräde framför meddelarfriheten.
Skälen för vårt förslag
Meddelarfriheten regleras i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Rätten att meddela uppgifter till grundlagsskyddade medier för offentliggörande och publicering går i regel före den tystnadsplikt som sekretess innebär.23 Det innebär att det i vissa fall är möjligt att straffritt lämna ut normalt sekretessbelagda uppgifter för publicering i t.ex. tryckt skrift, radio eller tv.24 Meddelarfriheten har sin grund i att de vanliga sekretessbestämmelserna ger uttryck för ganska allmänna avvägningar mellan insyns- och sekretessintressena på de berörda områdena. Det innebär att önskemålet om insyn i ett särskilt fall kan vara starkare än det sekretessintresse som har föranlett den aktuella sekretessregeln. Det kan vidare förhålla sig så att en regel om skydd t.ex. för ett enskilt intresse ibland på ett olämpligt sätt hindrar insyn i en myndighets sätt att fullgöra sina uppgifter. Offentlighetsprincipen skulle inte fullt ut förverkligas om de offentliga funktionärerna i sådana situationer var förhindrade att bidra med uppgifter till den allmänna debatten. Reglerna om meddelarfrihet är alltså avsedda att motverka sådana icke önskade resultat av sekretessregleringen.25 Bestämmelser om tystnadsplikt kan dock genom föreskrifter i offentlighets- och sekretesslagen ges företräde framför meddelarfriheten.26
Som grundprincip gäller att stor återhållsamhet alltid bör iakttas vid prövningen av om undantag från meddelarfriheten ska göras i ett särskilt fall. En avvägning ska göras mellan intresset av sekretess och intresset av offentlig insyn. I fråga om sekretessregler utan skaderekvisit kan det finnas större anledning att överväga undantag från
231 kap. 7 § TF och 1 kap. 10 § YGL. 24Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 104. 25Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 104–105. 26 7 kap. 22 § första stycket 3 TF och 5 kap. 4 § första stycket 3 YGL.
meddelarfriheten än i andra fall. Det bör också beaktas om en uppgift har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till ett ärende om myndighetsutövning. I det förra fallet bör meddelarfrihet normalt vara utesluten. När det gäller uppgifter av det senare slaget bör däremot meddelarfrihet oftast föreligga.27
Vi föreslår ovan att absolut sekretess ska gälla enligt den nya sekretessbestämmelsen i Skatteverkets folkbokföringsverksamhet. Uppgifterna som ingår i en sådan sammanställning som föreslås omfattas av sekretess hänför sig visserligen ofta till ärenden om myndighetsutövning. Det rör sig dock om sammanställningar av uppgifter som har lämnats av enskilda i enlighet med de krav för registrering som gäller enligt den materiella reglering som gäller i folkbokföringsverksamheten.
Vid en sammantagen bedömning anser vi att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska ha företräde framför meddelarfriheten.
15.3. Sekretess till skydd för enskildas intressen vid dataanalyser och urval
15.3.1. Uppgifter om enskildas personliga eller ekonomiska förhållanden ska omfattas av sekretess
Vårt förslag: Absolut sekretess ska gälla vid dataanalyser och ur-
val i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet samt i Tullverkets verksamhet och Kronofogdemyndighetens verksamhet för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretessen ska även gälla i Kronofogdemyndighetens verksamhet med dataanalyser och urval i syfte att motverka överskuldsättning.
27Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 111–112.
Skälen för vårt förslag
Det finns ett behov av att skydda uppgifter om enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval
Vi lämnar i kapitel 14 förslag som innebär att Skatteverket, Tullverket och Kronofogdemyndigheten ges ett tydligare rättsligt stöd att behandla personuppgifter vid dataanalyser och urval i kontrollverksamhet och, för Kronofogdemyndighetens del, även för att motverka överskuldsättning. I berörda myndigheters verksamheter behandlas, dock i varierande grad, stora mängder uppgifter om enskildas personliga eller ekonomiska förhållanden.28 Dessa uppgifter kommer genom våra förslag att i högre utsträckning även kunna behandlas vid dataanalyser och urval. Vilka kategorier av uppgifter det närmare rör sig om skiljer sig åt i de olika verksamheterna. Det kan dock i samtliga berörda myndigheters verksamheter vara fråga om mindre integritetskänsliga uppgifter, såsom namn, adress och andra kontaktuppgifter. Andra uppgifter kan vara mer integritetskänsliga. Exempelvis behandlar Skatteverket uppgifter som avslöjar religiös tillhörighet och uppgifter om hälsa och Tullverket uppgifter om hälsa eller tidigare brottslighet. Kronofogdemyndigheten behandlar t.ex. uppgifter om fällande domar i brottmål eller beviljade sjukförsäkringsförmåner. Även om vissa av de uppgifter som myndigheterna behandlar inom respektive verksamhet är mindre känsliga, antingen till följd av vilka typer av uppgifter det rör sig om eller att uppgifterna var för sig inte kan anses vara så känsliga, kan de tillsammans och genom en användning av dataanalyser och urval komma att ge myndigheterna möjlighet att skapa en mer omfattande bild av enskildas personliga eller ekonomiska förhållanden.
Myndigheterna kommer också att kunna behandla uppgifter vid dataanalyser och urval som har hämtats in från andra myndigheter. När handlingar med sådana uppgifter kommer in till myndigheterna blir de allmänna handlingar om kriterierna för detta i 2 kap. TF är uppfyllda och det inte finns något tillämpligt undantag. Detsamma
28 Med begreppet enskilda avses i offentlighets- och sekretesslagen såväl fysiska som juridiska personer, se prop. 2008/09:150, Offentlighets- och sekretesslag, s. 349. Vad som avses med begreppet personliga förhållanden i sekretesslagstiftningen ska bestämmas med ledning av vanligt språkbruk. Uttrycket avser vitt skilda förhållanden som t.ex. en persons adress eller yttringarna av ett psykiskt sjukdomstillstånd. Även uppgift om en persons ekonomi faller under begreppet personliga förhållanden. Juridiska personer kan inte sägas ha några personliga förhållanden. En exakt gränsdragning mellan begreppen personliga och ekonomiska förhållanden har dock inte gjorts i lagstiftningen, se prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84.
gäller handlingar med uppgifter om enskilda som inkommer från andra aktörer eller som är att anse som upprättade hos myndigheterna. Huvudregeln är att allmänna handlingar är offentliga. Rätten att ta del av allmänna handlingar kan dock begränsas genom sekretess. Sådana begränsningar får göras endast om det krävs med hänsyn till vissa särskilt angivna intressen, bl.a. myndigheters verksamhet för inspektion, kontroll eller annan tillsyn, det allmännas ekonomiska intresse eller skyddet för enskildas personliga eller ekonomiska förhållanden.29En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till.30Den särskilda lag som avses är offentlighets- och sekretesslagen.
De sambearbetningar av stora uppgiftsmängder som kommer att göras vid dataanalyser och urval innebär att integritetsintresset är påtagligt för uppgifterna. Vidare kan de sammanställningar som kan göras med hjälp av verktygen i vissa fall innebära betydande integritetsrisker om de skulle bli offentliga. Mot denna bakgrund anser vi att det är angeläget att det finns sekretessbestämmelser som säkerställer ett tillräckligt skydd för enskildas personliga och ekonomiska förhållanden.31
I berörda myndigheters verksamheter gäller skilda sekretessbestämmelser som har olika föremål, räckvidd och styrka.32 I det följande diskuteras om vissa befintliga sekretessbestämmelser är tillräckliga för att uppfylla det behov av skydd för enskildas personliga och ekonomiska förhållanden som vi anser behövs när myndigheterna utför dataanalyser och urval.
292 kap. 2 § första stycket TF. 302 kap. 2 § andra stycket TF. Efter bemyndigande i en sådan bestämmelse får regeringen genom förordning meddela närmare föreskrifter om bestämmelsens tillämplighet. 31 I detta sammanhang kan nämnas att särskilda sekretessbestämmelser relativt nyligen har införts för uppgifter i den befintliga analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet, se 22 kap. 1 a § OSL. En liknande sekretess kommer även att gälla i Utbetalningsmyndighetens verksamhet enligt en ny bestämmelse i 40 kap. 7 d § OSL vilken träder i kraft den 1 januari 2024, se prop. 2022/23:34, bet. 2022/23:FiU35, rskr. 2022/23:266. 32 Se avsnitt 3.3 för en närmare redogörelse om gällande sekretessbestämmelser i berörda myndigheters verksamhet.
Skatteverkets beskattningsverksamhet
I 27 kap. 1 och 2 §§ OSL finns sekretessbestämmelser som omfattar verksamhet som avser bestämmande av skatt m.m. Enligt 27 kap. 1 § första stycket OSL gäller s.k. absolut sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om enskilds personliga eller ekonomiska förhållanden, s.k. skattesekretess.33
Sekretess gäller vidare enligt 27 kap. 1 § andra stycket 1 OSL i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet34 för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, s.k. databassekretess. Vi föreslår dock att den bestämmelsens lydelse ska ändras så att sekretess gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska dock inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket (se avsnitt 15.5).
Enligt 27 kap. 2 § OSL gäller sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i vissa angivna ärenden, t.ex. avseende skattekontroll eller anstånd med erläggande av skatt. Enligt bestämmelsen gäller absolut sekretess eller sekretess med ett omvänt skaderekvisit beroende på i vilket ärende uppgiften förekommer.
Dataanalyser och urval avser inte någon ny verksamhet vid myndigheten. Vid de dataanalyser och urval som Skatteverket har möjlighet att utföra i dag tillämpar myndigheten befintliga sekretessregler.
Sekretessen i 27 kap. 1 § första stycket OSL innebär enligt förarbetena att inte bara själva ärendena etc. täcks av uttrycket verksamhet som avser bestämmande av skatt osv. utan också t.ex. registerföring och annan verksamhet som har anknytning till förfarandet men saknar ärendekaraktär. Ärenden om sådan skattekontroll som utförs utanför ramen för ett skatteärende avser dock inte bestämmande av skatt eller fastställande av underlag för bestämmande av skatt, utan
33 Vad som avses med skatt anges i 27 kap. 1 § tredje stycket OSL. 34 Skattedatabaslagen, förkortad SdbL.
de faller i stället under 2 §.35 Det finns vidare vissa förarbetsuttalanden som gjordes i samband med genomförandet av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang som behandlar sekretessbestämmelsernas tillämplighet vid vissa av Skatteverkets riskbaserade urval. Regeringen uttalade då bl.a. att Skatteverket ska kunna använda uppgifter om rapporteringspliktiga arrangemang för skattekontroll, t.ex. för att göra riskbaserade urval för skatterevisioner eller andra utredningsåtgärder för kontroll. Vidare bedömde regeringen att det i sådan verksamhet gäller sekretess för uppgifterna antingen enligt 27 kap. 1 § första stycket eller enligt 27 kap. 2 § 1 OSL, beroende på om åtgärderna ingår som ett led i ett ärende om t.ex. bestämmande av skatt eller om det är ett fristående förfarande.36 Detta talar sammantaget för att nämnda bestämmelser om skattesekretess skulle kunna anses vara tillräckliga för att utgöra ett adekvat skydd för enskildas personliga och ekonomiska förhållanden vid de utökade dataanalyser och urval Skatteverket kommer att kunna göra enligt våra förslag.
Våra förslag avseende Skatteverkets utökade möjligheter till dataanalyser och urval omfattar dock fler verksamheter än de som omfattas av skattesekretessen. Exempelvis kommer Skatteverkets handläggning enligt lagen (2013:948) om stöd vid korttidsarbete att omfattas.37Enligt 28 kap. 11–12 §§ OSL gäller sekretess i den arbetsmarknadspolitiska verksamheten för uppgift om en enskilds personliga förhållanden och om en enskilds affärs- eller driftsförhållanden. Dessa sekretessbestämmelser innehåller s.k. raka skaderekvisit vilket innebär att sekretess endast gäller om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs, respektive om det kan antas att den enskilde lider skada om uppgiften röjs. Det finns alltså en presumtion för offentlighet. Skaderekvisit finns även vad gäller sekretess i andra här aktuella verksamheter, nämligen ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter38, i verksamhet enligt lagen (2020:548) om omställnings-
35Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 258. 36Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som
rör rapporteringspliktiga gränsöverskridande arrangemang, s. 171.
37 Utöver detta kommer även Skatteverkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, verksamhet enligt lagen (1991:1047) om sjuklön, verksamhet enligt lagen (2020:548) om omställningsstöd samt verksamhet enligt lagen (2023:230) om förfarande för elstöd till företag fortsatt att omfattas, jfr förslag till 2 § beskattningsdatalag. 3827 kap. 2 § andra stycket OSL.
stöd samt i verksamhet enligt lagen (2023:230) om förfarande för elstöd till företag.39 Så är dock inte fallet avseende uppgifter i verksamhet enligt lagen (1991:1047) om sjuklön. Det rör uppgifter om sjuklönekostnader som arbetsgivare lämnar till Skatteverket i arbetsgivardeklarationer vilka Skatteverket i sin tur månatligen vidarebefordrar till Försäkringskassan som prövar rätten till ersättning för höga sjuklönekostnader.40 För sådana uppgifter som Skatteverket har i beskattningsdatabasen gäller i dag absolut sekretess enligt 27 kap. 1 § andra stycket 1 OSL.41
Som framgår av redogörelsen ovan gäller alltså olika nivåer av sekretesskydd i olika verksamheter eller ärendetyper vid Skatteverket. Lagstiftaren har därmed gjort olika avvägningar mellan insyns- och skyddsintresset för respektive verksamhet. I de fall det finns ett starkt insynsintresse i en verksamhet, kan det tala för att det bör införas ett svagare sekretesskydd när analyser och urval utförs i verksamheten än i en annan verksamhet där insynsintresset inte har bedömts vara lika starkt. Som ovan beskrivits innebär dock den sambearbetning av uppgifter om enskilda som kan göras genom verktygen att det finns ett påtagligt integritetsintresse för uppgifterna. De sammanställningar av uppgifter som kan göras med rutinbetonade åtgärder innebär med andra ord i sig att integritetsintresset är mycket starkt, även om uppgifterna var för sig inte är lika integritetskänsliga i vissa verksamheter. Det rör sig inte heller om uppgifter i förhållande till myndighetens verksamhet utan om enskilda. Vi anser mot denna bakgrund att det är lämpligt att ett likvärdigt sekretesskydd gäller för uppgifter om enskildas personliga eller ekonomiska förhållanden när Skatteverket utför dataanalyser och urval, oavsett i vilken av de verksamheter som omfattas av den föreslagna nya beskattningsdatalagen det sker. Ett likvärdigt sekretesskydd skulle också göra det tydligare för myndigheten och enskilda vilka sekretessbestämmelser som är tillämpliga när sådana verktyg används.
Vi ser också att det kan uppstå situationer vid utförandet av vissa analys- och urvalsprojekt där det oaktat ovan nämnda förarbetsuttalanden inte står lika klart att det finns tillämpliga sekretessbestämmelser inom beskattningsverksamheten, trots att det finns skyddsvärda uppgifter om enskildas personliga eller ekonomiska förhållanden.
3930 kap. 23 § OSL samt 9 § OSF jämte punkterna 78 och 160 i bilagan till OSF. 40 Se 17–17 e §§ lagen om sjuklön. 41 Se prop. 2014/15:1, Budgetpropositionen för 2015 – Förslag till statens budget för 2015, finansplan
och skattefrågor, s. 389–390.
Så kan exempelvis tänkas vara fallet avseende vissa riskanalyser som inte i första hand leder till bestämmande av skatt eller fastställande av underlag för skatter eller andra avgifter, utan kanske endast utmynnar i påståenden om att ett företag sannolikt kommer att anses som arbetsgivare med åtföljande skyldighet att betala preliminär skatt och arbetsgivaravgifter. Ett annat exempel är uppgifter som behandlas för att identifiera aktörer som inte är registrerade hos Skatteverket trots att de möjligen borde betala skatter och avgifter, s.k. nonfilers.42 Eftersom dataanalyser och urval är något som utförs för olika ändamål inom kontrollverksamheten, kan det enligt vår bedömning också tänkas uppkomma andra situationer då det är tveksamt om det kan sägas omfatta verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt (27 kap. 1 § OSL).
Det kan sammantaget konstateras att det finns vissa möjligheter för Skatteverket att sekretessbelägga uppgifter om enskildas personliga eller ekonomiska förhållanden vid dataanalyser och urval. I många fall skyddas även uppgifter inom beskattningsverksamheten av absolut sekretess. Enligt vår bedömning finns det dock inte någon sekretessbestämmelse som ger ett heltäckande starkt sekretesskydd för sådana uppgifter. En särskild sekretessregel bör därför införas för de uppgifter om enskildas personliga eller ekonomiska förhållanden som behandlas vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel inom Skatteverkets verksamhet som avses i 2 § i den föreslagna beskattningsdatalagen. På detta sätt blir det även tydligt att samma sekretesskydd gäller oavsett inom vilken verksamhet dataanalyserna och urvalen utförs. Vilken styrka sekretessen bör ha redogörs för nedan.
Skatteverkets folkbokföringsverksamhet
Sedan den 1 maj 2023 finns en särskild sekretessbestämmelse i 22 kap. 1 a § OSL i Skatteverkets folkbokföringsverksamhet. Enligt denna gäller absolut sekretess i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt folkbokföringsdatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Bestämmelsen infördes i samband med att folk-
42 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123–124.
bokföringsverksamheten gavs utökade möjligheter att göra dataanalyser och urval.43
I förarbetena har regeringen angett att det inom folkbokföringsverksamheten finns en presumtion för offentlighet (22 kap. 1 § OSL). Vidare har regeringen uttalat att även om de aktuella uppgifterna som behandlas inom dataanalyser och urval var för sig framstår som mindre integritetskänsliga kan de tillsammans ge myndigheten tillgång till en mer omfattande bild av den enskildes personliga eller ekonomiska förhållanden. Mot denna bakgrund har regeringen ansett att det är angeläget att uppgifterna ges ett sekretesskydd utöver det som finns i folkbokföringsverksamheten i övrigt.44
Vi anser att en sekretessbestämmelse som omfattar dataanalyser och urval inom Skatteverkets folkbokföringsverksamhet fortsatt bör finnas i 22 kap. 1 a § OSL. Den nuvarande 22 kap. 1 a § OSL innehåller som ovan nämnts bestämmelser om sekretess i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt folkbokföringsdatabaslagen. Bestämmelsen innebär att det råder absolut sekretess för samtliga uppgifter om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen.45 Vi föreslår dock att den nämnda lagen ska upphöra att gälla och i stället ersättas med en ny lag; folkbokföringsdatalagen. Den nya lagen föreslås innehålla bestämmelser om dataanalyser och urval som bl.a. innebär att Skatteverket inte längre ska föra en särskild analys- och urvalsdatabas (se bl.a. avsnitt 14.9.2). De syften för vilka Skatteverket ska få behandla personuppgifter för att göra dataanalyser och urval kommer vara desamma som gäller i dag, dvs. att förebygga, förhindra och upptäcka fel i folkbokföringsverksamheten.46 Vilka uppgifter som kommer att få behandlas vid Skatteverkets dataanalyser och urval i folkbokföringsverksamheten kommer dock förändras något enligt våra förslag. I dag regleras vilka uppgifter som får behandlas i analys- och urvalsdatabasen i 2 a kap. 2–3 §§ FdbL. Något förenklat kommer Skatteverket genom våra förslag att kunna behandla samma uppgifter, och därtill vissa ytterligare uppgifter, som är nödvändiga för att utföra dataanalyser och urval (se avsnitt 14.9).
43 Se prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156. 44Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 46–47.
45Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 63.
46 Jfr nuvarande 1 kap. 4 a § folkbokföringsdatabaslagen. Att begreppet ”felaktiga uppgifter” byts ut mot ”fel” genom våra förslag är inte avsett att innebära någon ändring i sak.
Med anledning av de ändringar som sker genom den föreslagna nya folkbokföringsdatalagen, krävs vissa ändringar av bestämmelsen i 22 kap. 1 a § OSL. Sekretessbestämmelsen bör därför ändras till att omfatta verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som anges i 2 § folkbokföringsdatalagen. Bestämmelsen bör fortsatt omfatta uppgifter om enskildas personliga eller ekonomiska förhållanden och vara utformad så att absolut sekretess gäller.47 Även sekretesstiden bör bestå oförändrad.
Eftersom Skatteverket genom våra förslag ges möjlighet att vid behov behandla vissa ytterligare uppgifter för dataanalyser och urval genom att databasregleringen tas bort samt genom den nya folkbokföringsdatalagen med tillhörande förordning, kommer även sekretessbestämmelsen i 22 kap. 1 a § OSL att omfatta fler uppgifter än vad som är fallet i dag, t.ex. vad gäller känsliga personuppgifter. Det är dock svårt att närmare definiera vilka uppgifter det rör sig om eftersom det är Skatteverket som kommer att behöva göra en bedömning av vilka uppgifter som är nödvändiga att behandla för att göra dataanalyser och urval. Det föreslås alltså inte någon mer precis uppräkning i lag eller förordning av vilka typer av uppgifter som ska få behandlas. Med anledning av att Skatteverkets uppdrag inom folkbokföringsverksamheten är detsamma, kommer det dock enligt vår bedömning inte att röra sig om några större skillnader av vilka uppgifter som kommer att omfattas av sekretess i förhållande till den nuvarande regleringen.48 Även de nya bestämmelserna om dataanalyser och urval ställer upp ramar för vilka uppgifter som kommer att vara tillåtna att behandla och det måste alltid finnas rättslig grund för behandlingen. Dessa ramar kommer även att avgöra vilka uppgifter som kan komma att omfattas av sekretess enligt 22 kap. 1 a § OSL. I likhet med vad regeringen förde fram vid införandet av 22 kap. 1 a § OSL anser vi att det är viktigt att uppgifterna ges ett sekretesskydd utöver det som finns i folkbokföringsverksamheten i övrigt. Integritetsintresset är enligt vår mening sådant att det är motiverat att genomföra de ändringar i sekretessbestämmelsen som vi här föreslår.
Sammanfattningsvis föreslår vi att 22 kap. 1 a § första stycket OSL ändras så att sekretess gäller vid dataanalyser och urval i syfte att före-
47 Se vidare nedan avseende sekretessens styrka. 48 Se avsnitt 14.9.2 för en exemplifiering av vilka uppgifter Skatteverket kommer att få behandla vid dataanalyser och urval genom våra förslag.
bygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsens andra stycke, som anger att för uppgift i en allmän handling gäller sekretessen i högst tjugo år, bör behållas oförändrad. Närmare överväganden avseende sekretessens styrka finns nedan.
Tullverkets verksamhet
När det gäller Tullverket anges i 27 kap. 3 § första stycket OSL att sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Det innebär att sekretessens föremål och räckvidd är densamma som avseende Skatteverket. Sekretessens styrka är dock svagare då bestämmelsen innehåller ett omvänt skaderekvisit, dvs. det finns en presumtion för sekretess. Enligt 27 kap. 3 § andra stycket OSL gäller motsvarande sekretess som anges i första stycket, dvs. ett omvänt skaderekvisit, i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet49 för uppgift som har tillförts databasen. I avsnitt 15.5 föreslår vi dock att bestämmelsens lydelse ska ändras så att motsvarande sekretess gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen för uppgift som finns i den uppgiftssamlingen. Sekretessen ska dock inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket.
Vi anser att i huvudsak samma skäl som ovan anförts vad gäller skattesekretessen inom Skatteverket gör sig gällande i fråga om Tullverket, även om den verksamhet som kommer att omfattas inte innehåller bestämmelser med skilda skaderekvisit. Det kan också i Tullverkets verksamhet inom ramen för den föreslagna tulldatalagen uppkomma situationer när uppgifter om enskilda behandlas för dataanalyser och urval där det inte står klart att det finns tillämpliga sekretessbestämmelser. Det kan t.ex. vara en följd av att förfarandet inte kan anses avse bestämmande av skatt eller fastställande av underlag
49 Tulldatabaslagen, förkortad TDL.
för bestämmande av skatt.50 Vi anser vidare att det är lämpligt att liknande sekretessbestämmelser som vi bedömt ska finnas i Skatteverkets beskattningsverksamhet också ska finnas i Tullverkets verksamhet då de båda förfarandena i princip inte skiljer sig från varandra.51Denna systematik gäller redan i offentlighets- och sekretesslagen avseende skattesekretessen.
Sammantaget anser vi att det bör införas en särskild bestämmelse om sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden som ska gälla vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet som avses i 2 § tulldatalagen.
Kronofogdemyndighetens verksamhet
I Kronofogdemyndighetens verksamhet gäller ett svagare sekretesskydd för uppgifter om enskildas personliga eller ekonomiska förhållanden än avseende skattesekretessen. Enligt 34 kap. 1 § första stycket OSL gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men.52 I likhet med vad som gäller i Tullverkets verksamhet enligt 27 kap. 3 § OSL gäller alltså här ett omvänt skaderekvisit.
I 34 kap. 1 a § OSL finns en bestämmelse som innebär att under motsvarande förutsättningar som anges i 1 § gäller sekretess för uppgift om enskildas personliga eller ekonomiska förhållanden i mål och ärenden om inhämtning av bankkontoinformation enligt den s.k. kvarstadsförordningen.53
I 34 kap. 2 § första stycket OSL anges att under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande
5027 kap. 3 § första stycket OSL jämförd med 27 kap. 1 § första stycket OSL. 51 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 254. 52 I 34 kap. 1 § OSL finns vissa undantag från sekretessen, som bl.a. enligt andra stycket inte gäller uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål, eller i ett avslutat mål, om verkställighet för någon annan förpliktelse söks inom två år eller om verkställighet tidigare sökts och uppgiften inte är äldre än två år. 53 Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur.
av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet54 för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. I likhet med motsvarande bestämmelse vid Skatteverket och Tullverket föreslår vi ändringar av denna bestämmelse. Våra förslag innebär att bestämmelsens lydelse ändras till att föreskriva att under motsvarande förutsättningar som i 1 § gäller sekretess vid förande av eller uttag ur en automatiserad uppgiftssamling som Kronofogdemyndigheten använder i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska dock inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten (se avsnitt 15.5).
Vidare gäller sekretess hos Kronofogdemyndigheten eller domstol i ärende om skuldsanering eller F-skuldsanering för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (34 kap. 6 § första stycket OSL). Paragrafen föreskriver ett rakt skaderekvisit, dvs. det finns en presumtion för offentlighet.
I 34 kap. 7–8 §§ OSL regleras sekretess vid tillsyn i konkurs. Enligt 34 kap. 7 § gäller sekretess hos tillsynsmyndigheten i konkurs och över rekonstruktörer för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs. Även här gäller alltså ett rakt skaderekvisit. Enligt 34 kap. 8 § gäller sekretess hos tillsynsmyndigheten i konkurs och över rekonstruktörer för uppgift som gäller misstanke om brott och som rör en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Här föreskrivs alltså ett omvänt skaderekvisit.55
Det kan konstateras att vissa delar av den sekretess som gäller i Kronofogdemyndighetens verksamhet är kopplad till enskilda ärenden. Vidare varierar sekretessens styrka beroende på i vilken verksamhet en viss sekretessbestämmelse ska tillämpas. Även om avsikten
54 Kronofogdedatabaslagen, förkortad KFMdbL. 55 Ytterligare sekretessbestämmelser än de som här nämnts finns i 34 kap. OSL vilka gäller i Kronofogdemyndighetens verksamhet.
har varit att en stor del av uppgifterna inom Kronofogdemyndighetens verksamhet ska vara offentliga till följd av det starka insynsintresse som har bedömts finnas, anser vi att det även för denna myndighets verksamhet finns skäl att införa ett särskilt sekretesskydd för uppgifter om enskilda som behandlas vid dataanalyser och urval. Den information som kommer att behandlas för att göra dataanalyser och urval kommer bl.a. från enskilda men även från andra myndigheter. Vid användningen av sådana verktyg kan myndigheten få en mer omfattande bild av enskildas förhållanden på ett sätt som innebär att uppgifterna tillsammans blir mer integritetskänsliga än de skulle vara var för sig. Mot denna bakgrund anser vi att sekretessen bör stärkas i förhållande till det sekretesskydd som gäller för de flesta uppgifter i Kronofogdemyndighetens verksamhet i övrigt. Samma sekretesskydd bör även gälla för uppgifter som behandlas vid dataanalyser och urval oavsett inom vilken av Kronofogdemyndighetens verksamheter det används, dvs. oavsett om verktygen t.ex. används i verksamheten med verkställighet eller i verksamheten med betalningsföreläggande och handräckning. En annan ordning hade gjort sekretessbestämmelsen svårtillämpad då det kanske kommer att förekomma uppgifter från olika verksamheter inom myndigheten vid ett och samma analys- och urvalsprojekt. Förutom verktygens karaktär motiverar även tydlighetsskäl en särskild sekretessbestämmelse.
Sammanfattningsvis anser vi alltså att det bör införas en särskild sekretessbestämmelse för att skydda uppgifter om enskildas personliga eller ekonomiska förhållanden vid dataanalyser och urval i Kronofogdemyndighetens verksamhet. Sekretessen bör omfatta både dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel och motverka överskuldsättning (jfr avsnitt 14.8).
Sekretessen ska vara absolut
Offentlighetsprincipen är en av de grundläggande förvaltningsrättsliga principerna i svensk rätt och det finns ett generellt intresse för insyn i myndigheters verksamhet. Vid avvägningen av vilken sekretessnivå som ska gälla till skydd för enskildas personliga eller ekonomiska förhållanden bör inte mer sekretess än vad som är oundgängligen nödvändigt för att skydda det intresse som har föranlett bestämmelsen
åstadkommas.56 Som exemplifierats ovan innehåller bestämmelser om sekretess ofta skaderekvisit som anger sekretessens styrka. Dessa kallas bl.a. raka eller omvända skaderekvisit. Om en bestämmelse har ett rakt skaderekvisit finns en presumtion för offentlighet57 medan ett omvänt skaderekvisit innebär en presumtion för sekretess.58 I vissa fall gäller absolut sekretess, vilket framgår genom sekretessbestämmelser som saknar skaderekvisit. Sådan absolut sekretess gäller t.ex. inom Skatteverkets beskattningsverksamhet.59
Uppgifter som används vid myndigheternas dataanalyser och urval kommer att hämtas in från de egna verksamheterna men de kan också härröra eller inhämtas från andra myndigheter. De uppgifter som hämtas in från andra myndigheter kan antingen vara offentliga eller omfattas av olika former av sekretess. Ett system med olika styrka på sekretessen, t.ex. med överföring av sekretess från respektive utlämnande myndighet, skulle vara svårt att hantera. Att vid myndigheters dataanalyser och urval hålla isär uppgifter med olika sekretesskydd bedöms inte vara genomförbart. Det gäller i likhet med regeringens bedömning avseende folkbokföringsverksamheten.60
Dataanalyser och urval är digitala verktyg genom vilka myndigheterna på ett effektivt sätt kan sammanställa uppgifter om enskilda. I tryckfrihetsförordningen finns bestämmelser om när sådana sammanställningar, dvs. potentiella handlingar, anses vara förvarade hos en myndighet vilket påverkar frågan om de är allmänna handlingar eller inte. Enligt 2 kap. 6 § första stycket TF anses en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. Enligt andra stycket anses dock en sammanställning av uppgifter ur en upptagning för automatiserad behandling förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 7 §. Enligt 2 kap. 7 § TF anses en sammanställning enligt 6 § andra stycket inte förvarad hos myndigheten om samman-
56 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78. 57 Se t.ex. 22 kap. 1 § OSL. 58 Se t.ex. 27 kap. 3 § OSL. 5927 kap. 1 § OSL. 60Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 47.
ställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person.
Kriteriet avseende rutinbetonade åtgärder i 2 kap. 6 § andra stycket TF, vilket alltså avser frågan om när avsedda s.k. potentiella handlingar ska anses förvarade hos en myndighet, innebär att en prövning ska göras som tar sikte på såväl nödvändiga arbetsinsatser och kostnader för en myndighet som de komplikationer i övrigt som en viss åtgärd kan föranleda.61 HFD har i ett fall ansett att en sammanställning av uppgifter ur en upptagning för automatiserad databehandling som kräver en arbetsinsats på 4–6 timmar inte är tillgänglig med rutinbetonade åtgärder (HFD 2015 ref. 25).
Det är svårt att på ett mer precist sätt göra uttalanden om vilka typer av sammanställningar som kan komma att anses vara förvarade vid berörda myndigheter i samband med utförandet av dataanalyser och urval. Det kan dock konstateras att den digitala teknik som finns i dag, och som kan förutses komma att utvecklas inom en snar framtid, med stor sannolikhet innebär att omfattande integritetskänsliga sammanställningar om enskilda kommer att kunna göras med rutinbetonade åtgärder.
Mot bakgrund av detta samt uppgifternas art anser vi att sekretesskyddet bör vara mycket starkt.62 Sekretessen bör därmed utformas antingen med ett omvänt skaderekvisit eller med absolut sekretess. Sekretessbestämmelser som innefattar ett omvänt skaderekvisit förekommer t.ex. inom socialtjänsten för uppgift om en enskilds personliga förhållanden och inom Tullverket för uppgift om enskilds personliga eller ekonomiska förhållanden.63 Omvända skaderekvisit ger i regel stöd för att uppgifter om t.ex. någons bostadsadress och anställning kan lämnas ut.64
Absolut sekretess föreskrivs i ett fåtal sekretessbestämmelser. Det förekommer t.ex. som nämnts i verksamhet som avser bestämmande av skatt m.m. för uppgifter om enskildas personliga eller ekonomiska förhållanden. Absolut sekretess finns också i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för upp-
61Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 22. 62 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 74–75 och prop. 2022/23:41, Bättre möjlig-
heter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 47.
63 26 kap. 1 § och 27 kap. 3 § OSL. 64 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 181.
gifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde, inom kommunal familjerådgivning för uppgift som en enskild har lämnat i förtroende eller som har inhämtats i samband med rådgivningen, i verksamhet som avser förande av eller uttag ur belastningsregistret eller andra register angående brott, samt för uppgifter om överläggningar hos domstol och annan myndighet.65
I förarbetena till statistiksekretessen i nuvarande 24 kap. 8 § OSL anfördes att offentlighetsintresset i fråga om statistiskt primärmaterial är förhållandevis svagt medan integritetsintresset är påtagligt. Vidare angavs att Statistiska centralbyråns (SCB) register visserligen kan innehålla uppgifter om den enskilde som var för sig är relativt harmlösa. En sammanställning av sådana uppgifter ansågs dock emellertid ofta vara integritetskänslig. Även praktiska skäl ansågs tala för en förhållandevis långtgående statistiksekretess då SCB samlar in uppgifter dels direkt från enskilda, dels från myndigheter hos vilka uppgifterna kan vara antingen offentliga eller sekretessbelagda.66
Regeringen har gjort motsvarande bedömningar som fördes fram om statistiksekretessen avseende sekretess hos Utbetalningsmyndigheten samt i fråga om Skatteverkets folkbokföringsverksamhet vid dataanalyser och urval.67 SCB samlar dock in uppgifter från hela den statliga förvaltningen och om en stor del av landets befolkning. Detsamma kan sägas gälla för den verksamhet som Utbetalningsmyndigheten ska bedriva. Våra förslag innebär inte att Skatteverket, Tullverket eller Kronofogdemyndigheten kommer att samla in uppgifter på samma omfattande sätt som dessa två myndigheter. Däremot behandlar Skatteverket redan inom ramen för sina uppdrag, genom inhämtning av uppgifter från enskilda och andra myndigheter, uppgifter om i princip hela Sveriges befolkning. Så är fallet både inom beskattningsverksamheten och folkbokföringsverksamheten. Skatteverket kommer genom våra förslag att kunna använda dessa uppgifter vid dataanalyser och urval, så länge de är nödvändiga för det specifika ändamålet i det enskilda fallet. Vi anser därför att motsvarande argument som fördes fram om statistiksekretessen även gör sig gällande avseende Skatteverkets dataanalyser och urval.
65 27 kap. 1 §, 27 kap. 2 § första stycket, 24 kap. 8 § första och andra styckena, 26 kap. 3 §, 35 kap. 3 och 4 §§ och 43 kap. 6 och 7 §§ OSL. 66Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 262–263. 67 Se prop. 2022/23:34, Utbetalningsmyndigheten, s. 74 och prop. 2022/23:41, Bättre möjligheter
för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 47.
Tullverket och Kronofogdemyndigheten behandlar inte uppgifter om en så stor del av befolkningen på det sätt som Skatteverket gör. Den personuppgiftsbehandling som kommer att ske vid dataanalyser och urval vid dessa myndigheter kan därför inte på samma sätt jämföras med den uppgiftsbehandling som sker hos SCB eller Skatteverket, eller som kommer att ske vid Utbetalningsmyndigheten. De föreslagna förbättrade möjligheterna att göra dataanalyser och urval innebär dock som ovan konstaterats att myndigheterna sannolikt kan göra mer omfattande sammanställningar av uppgifter med rutinbetonade åtgärder och att fler uppgifter om enskilda behandlas i ett sammanhang i stället för i enskilda ärenden. Även Tullverket och Kronofogdemyndigheten ges därför utökade möjligheter att skapa en mer omfattande bild av enskildas personliga eller ekonomiska förhållanden. Mot denna bakgrund finns det enligt vår mening skäl att införa starka sekretessbestämmelser även för uppgifter i Tullverkets och Kronofogdemyndighetens verksamheter med dataanalyser och urval.
Vidare är insynsintresset avseende uppgifter om enskildas personliga eller ekonomiska förhållanden som behandlas vid myndigheterna inte lika stort som i förhållande till myndigheternas verksamhet68 eller uppgifter i myndigheternas beslut.69 Dataanalyser och urval innebär inte heller i sig myndighetsutövning. Vid dataanalyser och urval kan vidare som nämnts en mängd uppgifter samköras, och stora sammanställningar kan göras med rutinbetonade åtgärder.70Om sådana sammanställningar, t.ex. en lista med urvalsträffar eller en lista över de uppgifter om enskilda som har behandlats vid en viss dataanalys, kan bli offentliga uppkommer stora risker för enskildas personliga integritet. Det kan antas att det av en stor del av befolkningen skulle upplevas som integritetskränkande att aktuella uppgifter skulle bli offentliga.71 Även om vissa enskilda uppgifter till sin art är harmlösa kan sambearbetningen av uppgifter ge myndigheterna tillgång till en mer omfattande bild av enskildas personliga eller ekonomiska förhållanden.72 Dataanalyserna och urvalen görs även främst för att förebygga, förhindra och upptäcka felaktigheter i myndigheternas
68 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 47.
69 Jfr Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 181. 70 Jfr 2 kap. 6 § andra stycket TF. 71 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 256. 72 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 48.
respektive verksamhet. Integritetsintresset är alltså påtagligt i detta sammanhang och bedöms väga tyngre än behovet av den insyn som ett lägre sekretesskydd skulle ge.
Efter en sammantagen bedömning föreslår vi att absolut sekretess till skydd för enskildas personliga eller ekonomiska förhållanden bör gälla vid berörda myndigheters dataanalyser och urval, även om det finns ett visst insynsintresse. Myndigheter kan trots att absolut sekretess råder i allmänhet lämna ut s.k. avidentifierade uppgifter utan att risk för skada eller men uppkommer, även om det i vissa fall inte är tillräckligt för att hindra att sambandet mellan individen och uppgiften spåras.73 Vidare tillgodoses insynsintresset genom att sekretess generellt sett inte gäller för beslut som fattats av myndigheterna.74Det uppstår inte heller några direkta konsekvenser för enskilda, som vid t.ex. betungande myndighetsbeslut, när myndigheterna utför dataanalyser och urval förrän ytterligare kontrollåtgärder eventuellt vidas i ett enskilt ärende. Dessutom gäller sekretessen inte heller i förhållande till den enskilde själv.75
Vårt förslag innebär att sekretesskyddet för enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval blir mer långtgående än vad som gäller i övrigt i Tullverkets och Kronofogdemyndighetens verksamheter. Detsamma gäller för de ovan nämnda verksamheterna vid Skatteverket i vilka absolut sekretess inte gäller, exempelvis i verksamhet enligt lagen om stöd vid korttidsarbete. Så blir också fallet avseende vissa uppgifter inom folkbokföringsverksamheten. Av de skäl som anförts anser vi trots detta att det är befogat att införa absolut sekretess för aktuella uppgifter i samtliga dessa verksamheter. För Skatteverkets beskattningsverksamhet gäller dessutom redan absolut sekretess i vissa delar och detsamma gäller motsvarande verksamhet i den nuvarande analys- och urvalsdatabasen vid Skatteverkets folkbokföringsverksamhet.
73 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84. 74 Se t.ex. 27 kap. 2 § tredje stycket, 27 kap. 6 §, 34 kap. 1 § femte stycket och 34 kap. 6 § andra stycket OSL. 75 Jfr 12 kap. 1 § OSL.
Närmare om den föreslagna sekretessens räckvidd och förhållande till befintlig sekretessreglering
Skatteverket, Tullverket och Kronofogdemyndigheten ska enligt våra förslag i kapitel 14 ges möjlighet att i högre grad behandla uppgifter för dataanalyser och urval. Vid dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel kommer enligt våra förslag till nya bestämmelser sekretess att gälla för uppgifter som då behandlas och som avser enskildas personliga eller ekonomiska förhållanden. Detsamma kommer att gälla för dataanalyser och urval som Kronofogdemyndigheten utför i syfte att motverka överskuldsättning.
Med dataanalyser och urval menas enligt vår uppfattning inte några nya, självständiga, verksamhetsgrenar eller verksamheter inom Skatteverket, Tullverket eller Kronofogdemyndigheten. Det utgör verktyg som används i andra verksamheter och som också får användas redan i dag. Formuleringen är avsedd att avgränsa sekretessen så att den gäller när myndigheterna arbetar med dataanalyser och urval för de syften som föreslås anges i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen. I detta innefattas all den behandling som krävs för att utföra sådana dataanalyser och urval, såsom insamling, organisering, strukturering, lagring, bearbetning, framtagning, läsning, användning eller annan hantering av uppgifterna.
Våra förslag i avsnitt 14.8 innebär vidare att dataanalyser och urval ska kunna utföras i Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet som faller under tillämpningsområdena för de föreslagna nya lagarna på dessa områden.76 Det är enligt vår bedömning mest ändamålsenligt att begränsa de föreslagna sekretessbestämmelsernas räckvidd till de aktuella materiella verksamheterna inom respektive myndighet på det sätt som vi nu föreslår. Det ska alltså föreskrivas att sekretessen gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, samt motverka överskuldsättning för Kronofogdemyndigheten, i respektive verksamhet som pekas ut i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen. Sekretessbestämmelserna ska därför hänvisa till respektive nu nämnda lagars 2 § i vilka lagarnas materiella tillämpningsområden regleras. På detta sätt
76 Se förslagen till beskattningsdatalag, folkbokföringsdatalag, tulldatalag och kronofogdedatalag.
tydliggörs inom vilka verksamheter sekretessbestämmelserna kommer att vara tillämpliga. Ordalydelsen innebär även att det är dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel respektive motverka överskuldsättning som avses, vilket vi även föreslår ska anges i de föreslagna särskilda bestämmelserna om dataanalyser och urval (se avsnitt 14.8).
Hänvisningarna är endast avsedda att vara ett utpekande av just de verksamheter som anges i 2 § i lagarna. De behövs för att avgränsa sekretessbestämmelsernas räckvidd, men även för att t.ex. avseende Skatteverket och Tullverket tydliggöra att de inte omfattar dessa myndigheters brottsbekämpande verksamheter. Hänvisningarna ska enligt vår uppfattning inte tolkas så att andra bestämmelser som föreslås i de nya lagarna ska tillämpas eller att de påverkar omfattningen av sekretessbestämmelsernas räckvidd. I beskattningsdatalagen, tulldatalagen och kronofogdemyndighetsdatalagen föreslås exempelvis införas en bestämmelse som innebär att regleringen i dessa lagar inte ska gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Dessa bestämmelser kommer dock sakna betydelse för sekretessbestämmelsernas räckvidd.
Vi har övervägt att i sekretessbestämmelserna i stället skriva ut vilka verksamheter som omfattas. Detta hade gjort det möjligt att direkt genom sekretessbestämmelserna kunna utläsa inom vilka verksamheter sekretessen gäller. För särskilt Skatteverkets beskattningsverksamhet hade dock bestämmelsen blivit omfattande och relativt svårläst med en sådan ordalydelse till följd av de verksamheter som omfattas av den nya beskattningsdatalagens tillämpningsområde. Eftersom sekretessen är avsedd att gälla i just de verksamheter som anges i 2 § beskattningsdatalagen, 2 § folkbokföringsdatalagen, 2 § tulldatalagen och 2 § kronofogdedatalagen anser vi bl.a. mot denna bakgrund att det är motiverat och mest tydligt att göra dessa hänvisningar i respektive sekretessbestämmelse. För att åstadkomma enhetlighet bör det göras avseende samtliga berörda myndigheter.
När myndigheterna arbetar med dataanalyser och urval kan samma uppgifter förekomma såväl i den verksamheten, som i enskilda ärenden. Vi har i avsnitt 14.9.2 bedömt att de uppgifter som behandlas vid dataanalyser och urval inte ska regleras genom en särskild databasreglering på det sätt som i dag gäller i t.ex. Skatteverkets folkbokföringsverksamhet.77 Att den juridiska konstruktionen databas inte
77 Se 2 a kap. FdbL.
längre kommer att användas för att reglera en viss samling uppgifter som används gemensamt i en verksamhet kan tyckas försvåra avgränsningen av de uppgifter som får behandlas i sådan verksamhet, och som därmed också kommer att omfattas av de föreslagna sekretessreglernas räckvidd. Med dataanalyser och urval avses dock här en särskild typ av behandling av personuppgifter som ofta sker avgränsat från övrig verksamhet, och som ofta utförs eller övervakas av en enskild medarbetare eller en begränsad grupp av medarbetare vid myndigheterna. Denna typ av behandling ska även ske utan möjlighet till åtkomst för andra medarbetare som inte arbetar med sådana analyser och urval. Vidare har vi i avsnitt 14.3.1 närmare beskrivit vad som avses med dataanalyser och urval. Dessa beskrivningar kommer även att gälla för att avgöra de föreslagna sekretessbestämmelsernas räckvidd. Med dataanalyser avses användning av digitala verktyg och tekniker för att analysera stora mängder data, bl.a. för att upptäcka avvikelser, mönster, samband och andra riskindikatorer. Urval avser processen genom vilken urvalsträffar tas fram. För att få fram en urvalsträff används urvalsmodeller som har utformats utifrån det som har identifierats med hjälp av dataanalyser och urval. Urvalsträffar kan beskrivas som uppgifter som myndigheterna upptäckt och som innebär att det kan finnas anledning att anta är felaktiga.
De här föreslagna sekretessbestämmelserna är alltså avsedda att gälla i sådan mer begränsad verksamhet, dvs. inte när en enskild medarbetare handlägger ett enskilt ärende som ska avgöras genom någon form av beslut. Att handläggaren genom utförda dataanalyser och urval kan ha fått en indikation på att ett visst ärende behöver kontrolleras närmare förändrar inte detta förhållande. När det gäller andra processer som inom myndigheterna kan beskrivas genom att använda ord som analyser eller urval kommer inte heller dessa att omfattas av sekretessreglerna. Det gäller t.ex. när en enskild medarbetare inom Tullverket gör en bedömning vid tullfiltret (passagerarflödet) på en flygplats eller i en hamn som innebär att urval görs för att välja ut vissa uttag för kontroll.
Att den form av lagstiftning vi har valt för att reglera den behandling av personuppgifter som sker vid dataanalyser och urval inte heller för tankarna till en viss teknisk avgränsning för uppgiftshanteringen genom t.ex. en utpekad databas eller en uppgiftssamling är enligt vår mening inte heller avgörande för att de föreslagna sekretessbestämmelserna ska anses ha en tillräckligt tydlig räckvidd. Det av-
görande för om sekretessen i 22 kap. 1 a, 27 kap. 2 a och 3 a samt 34 kap. 10 b §§ OSL är tillämplig är i vilket sammanhang uppgifterna finns. Om en begäran om att få ut allmänna handlingar t.ex. avser handlingar i ett visst enskilt ärende blir de föreslagna sekretessbestämmelserna inte aktuella att tillämpa på uppgifter i handlingarna, eftersom uppgifterna då inte finns vid dataanalyser och urval för de angivna syftena. Begärs det däremot ut handlingar eller uppgifter om enskildas personliga eller ekonomiska förhållanden som har legat till grund för att vissa enskilda ärenden har valts ut för ytterligare kontroller, och urvalet har skett med hjälp av dataanalyser och urval, blir de föreslagna sekretessreglerna tillämpliga.
Det kan i sammanhanget nämnas att samma uppgifter kan finnas tillgängliga i flera olika delar av en myndighets verksamhet. Exempelvis innebär den nya regleringen om dataanalyser och urval i folkbokföringsdatabaslagen att uppgifter från folkbokföringsdatabasen ska få finnas i analys- och urvalsdatabasen och därmed även få behandlas i folkbokföringsverksamheten för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter.78 I offentlighets- och sekretesslagen finns olika sekretessbestämmelser beroende på om uppgiften bl.a. förekommer i verksamhet som avser folkbokföringen, eller om uppgiften förekommer i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen enligt folkbokföringsdatabaslagen.79
På motsvarande sätt kommer enligt vår uppfattning de föreslagna sekretessbestämmelserna att i vissa sammanhang bli tillämpliga på uppgifter om enskildas personliga eller ekonomiska förhållanden som förekommer vid arbetet med dataanalyser och urval, samtidigt som samma uppgift kan förekomma någon annanstans i berörda myndigheters verksamhet, t.ex. i ett ärende om revision eller skuldsanering, varvid andra sekretessbestämmelser blir tillämpliga. En viss uppgift om en enskilds adress som är offentlig när den t.ex. förekommer i ett folkbokföringsärende vid Skatteverket80 kommer alltså att omfattas av sekretess om den förekommer i samband med Skatteverkets dataanalyser och urval.
78 1 kap. 4 a § och 2 a kap. 3 § första stycket FdbL. 79 22 kap. 1 § första stycket 1 och 22 kap. 1 a § OSL. 80 Jfr 22 kap. 1 § OSL.
I sammanhanget kan även frågor kring konkurrens mellan sekretessbestämmelser uppkomma. I 7 kap. 3 § OSL finns en bestämmelse som reglerar detta. Där anges att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag.
Våra förslag är utformade så att bestämmelserna om sekretess vid dataanalyser och urval inte bör anses vara tillämpliga vid handläggning av ett ärende eftersom en enskild medarbetare vid någon av myndigheterna inte använder sådana verktyg i det sammanhanget. Skulle det trots allt uppkomma en situation då de berörda myndigheterna behöver beakta fler än en sekretessregel, avgör enligt vår uppfattning 7 kap. 3 § OSL vilken av sekretessreglerna som ska tillämpas på en viss uppgift.
Det kan här nämnas att de undantag från sekretess som finns i 22 kap., 27 kap. och 34 kap. OSL, t.ex. avseende beslut i vissa angivna ärenden81, inte bedöms påverkas av våra förslag till sekretessbestämmelser i verksamhet med dataanalyser och urval. Om sådana beslut däremot förekommer vid dataanalyser och urval, kan dessa komma att omfattas av sekretess i det sammanhanget.
Den absoluta sekretess vi föreslår ska gälla för uppgifter om enskildas personliga eller ekonomiska förhållanden vid myndigheternas dataanalyser och urval kommer också att gälla i förhållande till enskilda och andra myndigheter samt mellan olika självständiga verksamhetsgrenar inom myndigheterna när sådana finns.82 Ibland måste dock myndigheter lämna ut uppgifter till andra. Det finns därför särskilda sekretessbrytande bestämmelser i lag eller förordning. I 10 kap. OSL finns allmänna bestämmelser som bryter sekretess. Enligt 10 kap. 2 § OSL hindrar inte sekretess att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. I 10 kap. 27 § första stycket OSL regleras vidare den s.k. generalklausulen som anger att utöver vad som följer av vissa angivna bestämmelser i 10 kap. får en sekretessbelagd uppgift lämnas till en myndighet, om
81 Se bl.a. 22 kap. 4 a § andra stycket, 27 kap. 2 § tredje stycket, 27 kap. 6 §, och 34 kap. 1 § femte stycket OSL. 82 8 kap. 1 och 2 §§ OSL.
det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.83 Utöver detta framgår av 10 kap. 28 § första stycket OSL att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Vidare finns i 12 kap. bestämmelser om sekretess i förhållande till den enskilde, där huvudregeln är att sekretess till skydd för en enskild inte gäller i förhållande till den enskilda själv.84 Därutöver finns vissa bestämmelser som bryter sekretessen enligt vissa angivna bestämmelser i 22 kap., 27 kap. och 34 kap. OSL.85
Trots att de föreslagna sekretessbestämmelserna föreskriver absolut sekretess kommer det alltså finnas vissa möjligheter för Skatteverket, Tullverket och Kronofogdemyndigheten att lämna ut sådana uppgifter till andra myndigheter samt enskilda. Några behov av att föreslå ytterligare sekretessbrytande bestämmelser för uppgifter som berörs av de föreslagna sekretessbestämmelserna har inte identifierats. Om möjligheten till sådana utlämnanden behövs i större utsträckning än vad som är tillåtet i dag, får sådana behov tillgodoses i ett annat sammanhang än inom ramen för denna utredning.
Ändringar i offentlighets- och sekretesslagen
Vi föreslår alltså att det ska införas nya sekretessbestämmelser som innebär att absolut sekretess ska gälla för uppgift om en enskilds personliga eller ekonomiska förhållanden vid dataanalyser och urval som görs i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter. Hos Kronofogdemyndigheten ska sekretessen även omfatta dataanalyser och urval som görs i syfte att motverka överskuldsättning. Bestämmelserna bör omfatta dataanalyser och urval som utförs inom ramen för samma verksamheter som omfattas av de av oss föreslagna nya lagarnas tillämpningsområden. De ska därför innehålla en hänvisning till 2 § beskattningsdatalagen, 2 § folkbokföringsdatalagen, 2 § tulldatalagen och 2 § kronofogdedatalagen. De nya bestämmelserna om sekretess föreslås föras in i anslutning till de redan befintliga bestämmelserna om sekretess till skydd för
83 Vissa undantag finns i 10 kap. 27 § andra och tredje styckena. 8412 kap. 1 § OSL. 85 Se t.ex. 22 kap. 3 a §, 27 kap. 7–9 §§ och 34 kap. 5 § OSL.
enskild vid respektive berörd verksamhet vid myndigheterna. Bestämmelserna bör därför föras in som nya 27 kap. 2 a och 3 a §§ samt 34 kap. 10 b § OSL. Närmast före 34 kap. 10 b § OSL bör även en ny rubrik införas.
När det gäller Skatteverkets folkbokföringsverksamhet bör den befintliga bestämmelsen om sekretess i verksamhet som avser förande av och uttag ur analys- och urvalsdatabasen i 22 kap. 1 a § OSL behållas men ändras i enlighet med vad som anförts ovan.
15.3.2. Sekretessen ska gälla i högst 20 eller 50 år
Vårt förslag: För uppgift om enskildas personliga eller ekono-
miska förhållanden i en allmän handling ska sekretessen hos Skatteverket och Tullverket gälla i högst tjugo år.
För uppgift om enskildas ekonomiska förhållanden i en allmän handling ska sekretessen hos Kronofogdemyndigheten gälla i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden ska dock sekretessen gälla i högst femtio år.
Skälen för vårt förslag
Skatteverket, Tullverket och Kronofogdemyndigheten kommer att behandla en stor mängd uppgifter om enskilda vid dataanalyser och urval som vi föreslår ska omfattas av absolut sekretess. Uppgifter om enskildas ekonomiska förhållanden hålls i allmänhet hemliga i maximalt 20 år.86 När det gäller uppgifter om enskildas personliga förhållanden förekommer sekretessperioder upp till 70 år.87
För uppgift om enskildas personliga eller ekonomiska förhållanden gäller sekretessen i Skatteverkets beskattningsverksamhet och hos Tullverket i högst 20 år.88 För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock skattesekretessen i högst 70 år.89 Hos Kronofogdemyndigheten förekommer sekretess som gäller i högst 20 år för enskildas ekonomiska förhållanden, och 50 år
86 Jfr prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 87. Se även prop. 2022/23:41,
Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten,
s. 48 och Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182. 87 Bohlin, Alf (2015), Offentlighetsprincipen, 9 u, s. 182. 88 27 kap. 1 § femte stycket och 27 kap. 3 § fjärde stycket OSL. 8927 kap. 1 § femte stycket OSL.
för enskildas personliga förhållanden beroende på i vilken verksamhet uppgifterna förekommer.90 Sekretessen till skydd för enskilds personliga förhållanden vid folkbokföring m.m. gäller i högst 70 år.91För uppgift om enskilds personliga eller ekonomiska förhållanden som har tillförts analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet gäller dock sekretessen i högst 20 år.92
Som jämförelse gäller sekretessen för uppgift om enskildas personliga förhållanden hos Försäkringskassan och Pensionsmyndigheten i högst 70 år.93 Försäkringskassan och Pensionsmyndigheten behandlar dock en stor mängd känsliga personuppgifter som rör enskilds personliga förhållanden, t.ex. uppgifter om sjukdomstillstånd.94Det kommer inte bli fråga för Skatteverket, Tullverket och Kronofogdemyndigheten att behandla sådana mängder känsliga personuppgifter vid dataanalyser och urval. En stor del av de uppgifter om enskilda som behandlas hos berörda myndigheter gäller enskildas ekonomiska förhållanden, med undantag för vissa uppgifter om t.ex. hälsotillstånd, tidigare brottslighet eller religiösa övertygelse. Flertalet av de uppgifter som kommer att behandlas vid dataanalyser och urval härrör vidare från myndigheternas egna verksamheter och de uppgifter som hämtas in måste vara nödvändiga för dessa. Uppgifterna kommer endast att få behandlas i verksamheten så länge de behövs för ändamålet med behandlingen (se avsnitt 14.11.4).95
Vid en sammantagen bedömning anser vi att den grundprincip som gäller för sekretesstidens längd vad gäller enskildas ekonomiska förhållanden bör gälla för sådana uppgifter även här. I fråga om uppgifter om enskildas personliga förhållanden bör sekretesstidens längd huvudsakligen följa vad som annars generellt sett gäller i myndigheternas verksamheter, då en stor del av uppgifterna kommer hämtas därifrån. För folkbokföringsverksamheten bör dock samma sekretesstid gälla för enskildas personliga eller ekonomiska förhållanden som nyligen införts avseende den nuvarande analys- och urvalsdatabasen, dvs. högst 20 år.
90 Se bl.a. 34 kap. 1 och 6 §§ OSL. 9122 kap. 1 § OSL. 9222 kap. 1 a § OSL. 9328 kap. 1 § OSL. 94Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbok-
föringsverksamheten, s. 48.
95 Personuppgifter får dock behandlas under längre tid för arkivändamål av allmänt intresse, se bl.a. artikel 5.1 e i dataskyddsförordningen.
Vi föreslår därför att för uppgift om enskildas personliga eller ekonomiska förhållanden i en allmän handling ska sekretessen hos Skatteverket och Tullverket gälla i högst 20 år. Att sekretess för uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller i 70 år enligt 27 kap. 1 § femte stycket OSL föranleder inte någon annan bedömning då det inte bör komma i fråga att behandla uppgifter vid aktuella dataanalyser och urval under så lång tid. Samma sekretesstid föreslås gälla hos Kronofogdemyndigheten för uppgift om enskildas ekonomiska förhållanden i en allmän handling. Om uppgiften avser den enskildes personliga förhållanden ska dock sekretessen hos Kronofogdemyndigheten gälla i högst 50 år.
15.3.3. Tystnadsplikten ska ha företräde framför meddelarfriheten
Vårt förslag: Tystnadsplikten som följer av de nya och ändrade
sekretessbestämmelserna avseende uppgifter om enskildas personliga eller ekonomiska förhållanden ska ha företräde framför meddelarfriheten.
Skälen för vårt förslag
Som nämns i avsnitt 15.2.3 ovan regleras meddelarfriheten i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Rätten att meddela uppgifter till grundlagsskyddade medier för offentliggörande och publicering går i regel före den tystnadsplikt som sekretess innebär.96 Bestämmelser om tystnadsplikt kan dock genom föreskrifter i offentlighets- och sekretesslagen ges företräde framför meddelarfriheten.97
Skatteverket, Tullverket och Kronofogdemyndigheten hanterar uppgifter om enskildas personliga och ekonomiska förhållanden som inhämtas från de egna verksamheterna samt från andra myndigheter. I vissa fall omfattas uppgifterna av tystnadsplikt hos myndigheterna. För Skatteverkets beskattningsverksamhet och Tullverket råder t.ex. i stor utsträckning en inskränkt meddelarfrihet98, medan det i Krono-
961 kap. 7 § TF och 1 kap. 10 § YGL. 97 7 kap. 22 § första stycket 3 TF och 5 kap. 4 § första stycket 3 YGL. 9827 kap. 10 § OSL.
fogdemyndighetens verksamhet, med vissa undantag, ofta råder meddelarfrihet.99
Vidare framgår av avsnitt 15.2.3 att det i fråga om sekretessregler utan skaderekvisit kan finnas större anledning att överväga undantag från meddelarfriheten än i andra fall. Det bör också beaktas om en uppgift har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till ett ärende om myndighetsutövning. I det förra fallet bör meddelarfrihet normalt vara utesluten. När det gäller uppgifter av det senare slaget bör däremot meddelarfrihet oftast föreligga.100
Vi föreslår ovan att absolut sekretess ska gälla för uppgifter om enskildas personliga eller ekonomiska förhållanden i myndigheternas verksamheter som avser dataanalyser och urval. Intresset av att offentliggöra uppgifter motiveras främst av behovet av insyn i och granskning av myndigheternas verksamhet. Uppgifterna hänför sig dock inte till ett ärende som innefattar myndighetsutövning. Vidare kommer tjänstemän vid myndigheterna inte att vara förhindrade att informera om missförhållanden vid dataanalyser och urval, t.ex. misstankar om att urval görs på grundval av etnicitet på ett sätt som inte är tillåtet.101 Det förhållandet att tystnadsplikten ges företräde framför meddelarfriheten hindrar endast myndighetens anställda från att lämna uppgifter om enskilda. Det innebär att en anställd inte skulle få lämna uppgifter om vilka enskilda som omfattas av en urvalsträff eller liknande.102
Vi bedömer mot denna bakgrund att den tystnadsplikt som följer av de föreslagna sekretessbestämmelserna ska ha företräde framför meddelarfriheten.
9934 kap. 11 § OSL. 100Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 111–112. 101 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 77 och SOU 2020:35, Kontroll för ökad
tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 401.
102 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 77.
15.3.4. Ändringar av vissa ytterligare bestämmelser i offentlighets- och sekretesslagen med anledning av våra förslag
Vårt förslag: Sekretessbestämmelserna till skydd för enskildas
intressen vid dataanalyser och urval i Skatteverkets beskattningsverksamhet och Tullverkets verksamhet ska inte omfattas av bestämmelsen i offentlighets- och sekretesslagen som reglerar vad som gäller för uppgift i mål hos domstol.
Sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattningsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet ska gälla avseende internationella avtal under de förutsättningar som anges om detta i offentlighets- och sekretesslagen.
Vidare ska de sekretessbrytande bestämmelserna i offentlighets- och sekretesslagen gentemot förvaltare i en enskilds konkurs som gäller i Skatteverkets beskattningsverksamhet samt hos Tullverket och Kronofogdemyndigheten inte omfatta de nya sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval.
Skälen för vårt förslag
Vissa bestämmelser i 27 och 34 kap. OSL påverkas av våra förslag
Genom att de nya sekretessbestämmelserna till skydd för enskildas intressen vid dataanalyser och urval i Skatteverkets beskattningsverksamhet samt i Tullverkets verksamhet föreslås placeras i 27 kap. 2 a och 3 a §§ OSL kommer vissa andra sekretessregler i samma kapitel att påverkas. Bestämmelserna i 27 kap. 4, 5 och 8 §§ innehåller nämligen hänvisningar till andra paragrafer i samma kapitel som får till följd att de föreslagna 27 kap. 2 a och 3 a §§ omfattas av dessa bestämmelser i enlighet med nuvarande lydelser. Detta får betydelse för bl.a. Skatteverkets och Tullverkets tillämpning av sekretessbestämmelserna i det aktuella kapitlet. Nedan görs bedömningar av om våra förslag kräver ändringar av 27 kap. 4, 5 eller 8 §§ OSL.
På motsvarande sätt innebär den föreslagna sekretessbestämmelsen i 34 kap. 10 b § OSL avseende Kronofogdemyndighetens dataanalyser och urval att vissa andra bestämmelser i 34 kap. OSL bör ses
över. Nedan görs även en bedömning av om några ändringar behöver genomföras även avseende sekretessregler i detta kapitel.
Det ska göras ändringar av hänvisningar i 27 kap. 4 § OSL som avser mål hos domstol
I 27 kap. 4 § OSL anges att sekretessen enligt 1–3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller enligt bestämmelsen uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller 4. Av bestämmelsen framgår också att om en domstol i ett mål får en sekretessreglerad uppgift från en annan myndighet och uppgiften saknar betydelse i målet, blir sekretessbestämmelsen tillämplig på uppgiften även hos domstolen.
Den aktuella paragrafen är tillämplig i skatteprocessen för domstolarnas del och innebär att ett rakt skaderekvisit då gäller. Det raka skaderekvisitet för uppgift i mål ska tillämpas på alla uppgifter som är av betydelse i målet. För att vara av betydelse i målet ska en uppgift hänföra sig till en fråga som är föremål för domstolens prövning. Att en inkomstbeskattning överklagas på någon punkt, t.ex. därför att ett yrkande i en inkomstdeklaration om avdrag inte har följts, medför alltså inte att alla uppgifter i deklarationen omfattas av den offentlighet som råder i skatteprocessen i domstol. Uppgifter, som inte på detta sätt har betydelse i målet och som har erhållits från en annan myndighet, där de är sekretessbelagda, behåller den sekretess som de har hos den andra myndigheten.103
Vi bedömer att det saknas anledning att låta 27 kap. 4 § OSL omfatta de föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL. Med stor sannolikhet kommer de uppgifter som behandlas vid myndigheternas dataanalyser och urval och som omfattas av sekretess enligt de föreslagna bestämmelserna inte att finnas i ett ärende vid myndigheterna, annat än t.ex. urvalsträffen som kan ha initierat ärendet. Om uppgifter som härrör från Skatteverkets eller Tullverkets dataanalyser och urval ändå tas in i ett ärende, kommer uppgifterna att omfattas av den sekretess som gäller för ärendet, dvs. exempelvis skattesekretessen i 27 kap. 1 § första stycket OSL eller sekretessen vid Tull-
103Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 258–259.
verket enligt 27 kap. 3 § första stycket OSL. Om ärendet sedan överlämnas till domstol efter överklagande kommer uppgifterna redan att omfattas av sekretessregeln i 27 kap. 4 § OSL till följd av att uppgiften i ett sådant fall omfattas av den sekretess som gäller i ärendet vid Skatteverket eller Tullverket. Om uppgifterna har betydelse i målet hos domstolen, kommer därmed ett rakt skaderekvisit att gälla vid domstolen – på samma sätt som för alla andra uppgifter som omfattas av sekretess enligt 27 kap. 1–3 §§ OSL. Om uppgiften däremot saknar betydelse i målet, blir sekretessbestämmelsen som gäller i ärendet vid myndigheterna tillämplig på uppgifterna även hos domstolen.
Mot denna bakgrund anser vi att bestämmelsen i 27 kap. 4 § OSL ska ändras så att det i stället anges att sekretessen enligt 1, 2 och 3 §§ gäller för de aktuella uppgifterna. På detta sätt kommer inte de nya föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL att omfattas av ordalydelsen.
Någon ändring av hänvisningar i 27 kap. 5 § OSL som avser internationella avtal ska inte göras
I 27 kap. 5 § första stycket anges att sekretessen enligt 1–4 §§ gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, i ärende om handräckning eller bistånd som en svensk myndighet lämnar åt en myndighet eller något annat organ i den staten eller inom den mellanfolkliga organisationen i verksamhet som motsvarar den som avses i nämnda paragrafer. Av andra stycket framgår att sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–4 §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. I tredje stycket anges att om sekretess gäller enligt andra stycket, får de sekretessbrytande bestämmelserna i 10 kap. 5 c §, 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. I fjärde stycket anges att för uppgift i en allmän handling gäller sekretessen enligt andra stycket i högst tjugo år.
Paragrafen reglerar när skattesekretess gäller i ärenden om handräckning eller bistånd där Sverige biträder en annan stat eller mellanfolklig organisation till följd av ett internationellt avtal, samt tar sikte på sekretessbelagda uppgifter som en myndighet förfogar över på
grund av ett internationellt avtal. Sekretessen enligt första stycket infördes genom 1980 års sekretesslag104 och grundade sig i att Sverige hade ingått avtal med de nordiska länderna och vissa andra stater, som innebar att Sverige hade åtagit sig att bl.a. driva in skatt åt de avtalsslutande staterna. Enligt dessa avtal skulle svenska sekretessbestämmelser tillämpas på uppgifter som enligt ett avtal lämnas till Sverige.105 I dag förutsätter bestämmelsen att det finns ett avtal som godkänts av riksdagen. Ett exempel på en överenskommelse där Sverige biträder en annan stat är Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden, vilken Sverige anslutit sig till.106 Sekretessen i andra stycket har bl.a. tillkommit för att underlätta ett uppgiftsutbyte med utländska stater.107 Om sekretess gäller enligt andra stycket får de sekretessbrytande bestämmelserna i 10 kap. 5 c §, 15–27 §§ och 28 § första stycket OSL inte tillämpas i strid med avtalet (27 kap. 5 § tredje stycket OSL).
De uppgifter som behandlas vid Skatteverkets och Tullverkets dataanalyser och urval kommer i princip inte att avse uppgifter som Sverige fått för att hjälpa andra stater, eller som Sverige förfogar över på grund av ett sådant internationellt avtal som avses i 27 kap. 5 § OSL. Det kan dock tänkas att Skatteverket eller Tullverket kommer att använda uppgifter vid dataanalyser och urval som myndigheterna förfogar över till följd av internationella avtal, vilket även innefattar olika EU-rättsakter, under förutsättning att särskilda användningsbegränsningar inte finns. För uppgifter enligt föreslagna 27 kap. 2 a och 3 a §§ OSL kommer absolut sekretess att gälla, på samma sätt som enligt 27 kap. 5 § OSL. En skillnad är dock att vissa sekretessbrytande bestämmelser inte gäller om sekretess gäller enligt 27 kap. 5 § andra stycket (se 27 kap. 5 § tredje stycket).
För att det inte ska råda några oklarheter kring vilka sekretessbestämmelser som gäller om uppgifter som används vid dataanalyser och urval bl.a. är sådana som myndigheterna förfogar över till följd av ett internationellt avtal, anser vi att bestämmelsen i 27 kap. 5 § OSL bör kvarstå oförändrad. Det kommer då inte heller att finnas några situationer där absolut sekretess inte råder. Det innebär följ-
104 Sekretesslag (1980:100). 105Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 262. 106 Se lag (1990:313) om Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden. Se även Lenberg m.fl., Offentlighets- och sekretesslagen (2023, version 27, JUNO), kommentaren till 27 kap. 5 § OSL. 107Prop. 1987/88:41, om sekretesskyddet för vissa myndighetsregister m.m., s. 15.
aktligen att de föreslagna sekretessreglerna i 27 kap. 2 a och 3 a §§ OSL kommer att omfattas av 27 kap. 5 § OSL. Vi har heller inte funnit några skäl för motsatt ståndpunkt, dvs. att 27 kap. 5 § OSL inte bör omfatta föreslagna sekretessregler avseende dataanalyser och urval.
Det ska göras ändringar av hänvisningar i 27 kap. 8 § OSL som avser sekretessbrytande bestämmelser
I 27 kap. 8 § första stycket anges att sekretessen enligt 1–4 §§ inte hindrar att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs. Enligt andra stycket hindrar inte sekretessen enligt 2–4 §§ att uppgift i ärende enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs. I tredje stycket anges att om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen.
Denna paragraf innebär att uppgifter som annars omfattas av sekretess i vissa fall får lämnas till en konkursförvaltare i den enskildes konkurs. Till skillnad från bestämmelserna i 27 kap. 4 och 5 §§ OSL innefattar 27 kap. 8 § alltså en sekretessbrytande bestämmelse.
Om uppgifter som behandlas vid myndigheternas dataanalyser och urval, och som omfattas av sekretess enligt de föreslagna bestämmelserna, förekommer i ett ärende om revision eller ärende enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter kommer uppgifterna att omfattas av den sekretess som gäller i dessa ärenden och inte av den särskilda sekretessen för uppgifter vid myndigheternas dataanalyser och urval. Mot denna bakgrund saknas det enligt vår mening skäl att låta sekretessbestämmelsen i 27 kap. 8 § OSL omfatta de föreslagna bestämmelserna i 27 kap. 2 a och 3 a §§ OSL.
Vi anser följaktligen att 27 kap. 8 § OSL ska ändras så att det i första stycket i stället anges att sekretessen enligt 1, 2, 3 och 4 §§ inte hindrar att aktuella uppgifter lämnas ut under de förutsättningar som där anges. Vidare ska andra stycket ändras så att det i stället anges att sekretessen enligt 2, 3 och 4 §§ inte hindrar att vissa uppgifter lämnas ut under de förutsättningar som där anges.
Det ska göras ändringar av hänvisningar i 34 kap. 4 § OSL som avser internationella avtal
I 34 kap. OSL finns bestämmelser om sekretess till skydd för enskild vid utsökning och indrivning, skuldsanering m.m. Enligt 34 kap. 4 § första stycket gäller sekretess i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. I andra stycket föreskrivs att om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet.
Bestämmelsen infördes 1987 i samma paragraf i 1980 års sekretesslag som föreskrev sekretess avseende internationella avtal för uppgifter i Skatteverkets och Tullverkets verksamheter, vilket i dag regleras i 27 kap. 5 § andra stycket OSL.108 Motiven till denna bestämmelse är alltså desamma som avseende motsvarande sekretess i verksamheter som bedrivs av Skatteverket och Tullverket. Vi anser därför, av samma skäl som vi anfört ovan avseende 27 kap. 5 § OSL, att bestämmelsen i 34 kap. 4 § även ska innefatta en hänvisning till den föreslagna sekretessregeln i 34 kap. 10 b §. Det kommer då inte att uppstå en situation i vilken det är oklart vilket sekretesskydd som gäller, utan sekretessen kommer vara absolut även i sådana situationer som anges i 34 kap. 4 § OSL. Därtill kommer vissa i 34 kap. 4 § andra stycket angivna sekretessbrytande bestämmelser inte att vara tillämpliga på det sätt som där anges om förutsättningarna i första stycket är uppfyllda.
Vi anser följaktligen att 34 kap. 4 § bör ändras så att det i första stycket anges att sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och 10 b §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet.
108 Se prop. 1987/88:41, om sekretesskyddet för vissa myndighetsregister m.m., s. 31.
Någon ändring av hänvisningar i den sekretessbrytande bestämmelsen i 34 kap. 5 § OSL ska inte göras
I 34 kap. 5 § första stycket OSL anges att sekretessen enligt 1–3 §§ inte hindrar att uppgifter om en enskild lämnas till förvaltare i den enskildes konkurs. I andra stycket föreskrivs att om en myndighet med stöd av första stycket lämnar uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen.
Bestämmelsen avser Kronofogdemyndighetens verksamhet med bl.a. utsökning och indrivning samt verksamhet enligt lagen om näringsförbud och motsvarar den som finns i 27 kap. 8 § OSL beträffande Skatteverket och Tullverket. Bestämmelsen bryter alltså sekretessen avseende vissa uppgifter om en enskild i de fall uppgifterna lämnas till förvaltare i den enskildes konkurs.
Av samma skäl som anges ovan avseende bestämmelsen i 27 kap. 8 § OSL anser vi att den nya sekretessbestämmelsen i 34 kap. 10 b § OSL inte ska omfattas av den sekretessbrytande bestämmelsen i 34 kap. 5 § OSL. Bestämmelsen i 34 kap. 5 § OSL behöver därför inte ändras till följd av förslaget till en ny sekretessbestämmelse i 34 kap. 10 b § OSL.
15.4. Sekretess till skydd för vissa allmänna intressen vid dataanalyser och urval
Vårt förslag: Sekretess ska gälla för uppgift om metoder, modeller
och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör Skatteverkets beskattnings- eller folkbokföringsverksamheter eller Tullverkets och Kronofogdemyndighetens verksamheter som omfattas av de nya lagarna.
Sekretessen ska också gälla i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.
Skälen för vårt förslag
Befintliga sekretessbestämmelser utgör inte ett tillräckligt skydd
I arbetet med dataanalyser och urval utformar myndigheterna olika analyser, tar fram riskfaktorer och utvecklar urvalsmodeller i syfte att få fram ett urval av bl.a. ärenden som det kan finnas anledning att kontrollera närmare på grund av identifierade risker för fel eller felaktiga uppgifter. Om allmänheten ges fullständig insyn i denna verksamhet riskerar det att leda till att t.ex. de riskfaktorer, metoder eller urvalsmodeller som identifierats och används kan komma att utnyttjas för att undvika ytterligare kontroll eller på ett sådant sätt att fel inte skulle fångas upp med hjälp av verktygen.109 Det riskerar att leda till att syftet med myndigheternas dataanalyser och urval, nämligen att förebygga, förhindra och upptäcka fel, går förlorat. För Kronofogdemyndighetens del avser det också dataanalyser och urval för att motverka överskuldsättning. Mot denna bakgrund finns det enligt vår mening ett behov av att till viss del begränsa insynen i denna verksamhet.
I offentlighets- och sekretesslagen finns vissa sekretessbestämmelser till skydd för allmänna intressen.110 I 17 kap. regleras sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn. Enligt 17 kap. 1 § OSL gäller sekretess för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs. Av skaderekvisitet följer att en uppgift som ska användas vid flera granskningstillfällen, t.ex. checklistor för revision, inte får lämnas ut så länge uppgiften används i granskningsverksamheten men att utlämnande ska ske, när uppgiften inte längre ska användas.111 Uppgifter som kan skyddas av sekretess är kontrolluppgifter och liknande uppgifter som samlas in för en skatterevision. Andra uppgifter som kan omfattas är t.ex. uppgifter som rör de personer eller myndigheter som ska bli föremål för granskning, tiden för granskningen och granskningsplaner.112 Om en myndighet samlar in specifika uppgifter om en enskild person, t.ex. genom tredjemans-
109 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 80. 110 Avdelning IV i OSL. 111Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 138. 112 Lenberg m.fl., Offentlighets- och sekretesslagen – En kommentar (2 december 2022, Version 26, JUNO), kommentaren till 17 kap. 1 §.
förelägganden eller beslut om revision hos tredje man, har det i kammarrättspraxis ansetts att myndigheten inte längre är i ett stadium av planläggning och förberedelse för inspektion, revision eller annan granskning beträffande den personen, utan att en pågående granskning då kan anses ha påbörjats. I sådana fall är bestämmelsen i 17 kap. 1 § OSL inte tillämplig.113
De uppgifter om bl.a. analysmetoder, riskindikatorer och urvalsmodeller som Skatteverket, Tullverket och Kronofogdemyndigheten innehar och kommer att inneha vid arbetet med dataanalyser och urval skulle kunna tänkas vara uppgifter om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra som avses i 17 kap. 1 § OSL. Berörda myndigheter utför själva sådan verksamhet i olika hänseenden och arbetet med dataanalyser och urval sker i syfte att bl.a. identifiera var det finns störst risk för fel, vilket sker före det att ett faktiskt ärende inleds mot t.ex. ett specifikt skattesubjekt.114 Uppgifter i form av t.ex. riskindikatorer är också sådana uppgifter som, i likhet med checklistor för revision eller liknande, kan användas för flera granskningstillfällen. I kammarrättspraxis har sekretessbestämmelsen tillämpats så att den har ansetts omfatta riskprofiler som utvecklas och används löpande i Försäkringskassans verksamhet med kontroll eller granskning av förmånsärenden samt utfallet av en riskprofil som visar på ett behov av att granska ett ärende. Profilerna och uppgifterna som hänför sig till arbetet med dem har ansetts utgöra sådana uppgifter om förberedelse för granskning som avses i 17 kap. 1 § OSL, och det har enligt Kammarrätten i Stockholm kunnat antas att syftet med granskningsverksamheten motverkas om uppgifterna röjs. Uppgifterna har alltså bedömts omfattas av sekretess, så länge de används i verksamheten.115
Regeringen har i propositionen Utbetalningsmyndigheten uttalat att det genom 17 kap. 1 § OSL finns vissa möjligheter för myndigheter som använder sig av riskbaserade urvalsmodeller i sin kontrollverksamhet att sekretessbelägga uppgifter om sådana urvalsmodeller. Eftersom den bestämmelsen tar sikte på förberedande åtgärder som vidtas av en myndighet som ska utföra en revision, inspektion eller
113 Kammarrätten i Stockholms beslut den 7 oktober 2010 i mål nr 3922-10. 114 När en viss granskning för bl.a. kontroll av skatt eller avgift till staten har påbörjats kan uppgifter som hänför sig till sådan verksamhet i stället bli aktuella att sekretessbelägga med stöd av 17 kap. 2 § OSL. 115 Se Kammarrätten i Stockholms domar den 4 februari 2022 i mål nr 8358-21 och 8359-21.
granskning som främst kan leda till en åtgärd med direkt effekt för den granskade, har regeringen dock bedömt att den bestämmelsen inte är tillämplig på Utbetalningsmyndighetens verksamhet. Regeringen har därefter konstaterat att det mot denna bakgrund inte fanns någon sekretessbestämmelse som ger ett starkt skydd för uppgifter om metoder, modeller och riskfaktorer hänförliga till myndigheternas dataanalyser och urval.116 Det har därefter införts en bestämmelse i 17 kap. 1 b § OSL som föreskriver att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar, om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs. Bestämmelsen träder i kraft den 1 januari 2024.
Regeringen har gjort en liknande bedömning i en proposition avseende dataanalyser och urval i Skatteverkets folkbokföringsverksamhet. I denna proposition har regeringen bedömt att bestämmelsen i 17 kap. 1 § OSL inte utgör ett tillräckligt skydd för det utvecklade arbetet med dataanalyser och urval som regeringen i samma proposition föreslog att Skatteverket skulle få bedriva inom folkbokföringsverksamheten.117 Det har därefter införts en sekretessbestämmelse i 17 kap. 1 a § OSL som gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten.
Mot denna bakgrund står det enligt vår uppfattning inte helt klart att Skatteverket, Tullverket och Kronofogdemyndigheten vid varje tillfälle kommer att ha möjlighet att med stöd av 17 kap. 1 § OSL sekretessbelägga uppgifter om t.ex. metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval på det sätt vi anser är nödvändigt. Samtliga dessa uppgifter skulle i vissa situationer möjligen inte kunna anses vara uppgifter om förberedelser för sådan inspektion, revision eller annan granskning som myndigheterna ska göra, t.ex. vid testning av en urvalsmodells funktionalitet. Detsamma gäller i de fall Kronofogdemyndigheten använder dataanalyser och urval i sitt arbete med att motverka överskuldsättning. Analyserna och urvalen kommer inte heller alltid leda till att Skatteverket, Tullverket
116Prop. 2022/23:34, Utbetalningsmyndigheten, s. 80–81. 117Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 51.
eller Kronofogdemyndigheten genomför, eller ens planlägger, en kontroll mot en viss enskild.
Vi bedömer sammantaget att sekretessbestämmelsen i 17 kap. 1 § OSL inte utgör ett tillräckligt skydd för de uppgifter som behandlas när berörda myndigheter utför dataanalyser och urval. Vi har inte heller identifierat någon annan sekretessbestämmelse till skydd för myndigheternas analys- och urvalsverksamhet som skulle kunna vara tillämplig på de aktuella uppgifterna.
Nya regler om sekretess för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten medan befintlig sekretess i Skatteverkets folkbokföringsverksamhet, med vissa ändringar, kan behållas
Vi anser att det behöver finnas sekretessbestämmelser som innebär att myndigheterna i vissa fall kan sekretessbelägga uppgifter hänförliga till myndigheternas arbete med dataanalyser och urval. Vid utformningen av sekretessbestämmelsen bör förebilden vara motsvarande bestämmelse som finns i 17 kap. 1 a § OSL samt den sekretessbestämmelse i 17 kap. 1 b § OSL som träder i kraft den 1 januari 2024, vilket är avsett att bidra till en enhetlighet avseende myndigheters verksamheter som är näraliggande varandra. Sekretess bör därför gälla för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretessen bör även gälla i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Bestämmelsen i 17 kap. 1 a § OSL avser redan i dag dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten. Motsvarande sekretess bör behållas, men med vissa ändringar för att anpassa sekretessen till våra förslag avseende dataanalyser och urval i kapitel 14.
Rätten att ta del av allmänna handlingar får begränsas endast om det krävs med hänsyn till de intressen som räknas upp i 2 kap. 2 § TF. Några av dessa intressen är myndigheters verksamhet för inspektion, kontroll eller annan tillsyn, intresset av att förbygga eller
beivra brott eller det allmännas ekonomiska intresse. Vi anser att det finns grund för att sekretessbelägga uppgifter om metoder, modeller och riskfaktorer som hänför sig till myndigheternas dataanalyser och urval. Detta mot bakgrund av att sådana uppgifter behövs för myndigheternas kontrollarbete inom respektive verksamhet samt för att motverka överskuldsättning inom Kronofogdemyndighetens verksamhet. Det finns också en risk att uppgifterna utnyttjas av enskilda bl.a. i syfte att systematiskt möjliggöra fel i respektive verksamhet. Uppgifterna bör därför också kunna sekretessbeläggas med hänsyn till intresset att förebygga brott och det allmännas ekonomiska intresse.118
De uppgifter som kommer att omfattas av de nya sekretessbestämmelserna hänförliga till Skatteverkets beskattningsverksamhet samt Tullverkets och Kronofogdemyndighetens verksamheter bör enligt vår mening vara desamma som avses i 17 kap. 1 a § OSL samt motsvarande bestämmelse som regeringen föreslagit i propositionen Utbetalningsmyndigheten.119 Sekretessbestämmelserna bör alltså omfatta uppgifter om metoder, modeller och riskfaktorer.
En närmare beskrivning av vilka uppgifter om metoder, modeller och riskfaktorer som kommer att vara aktuella att sekretessbelägga är svårt att ge, då det beror på myndigheternas användning av sådana. Exempelvis kan myndigheterna använda sig av metoder som innefattar jämförelser av olika ärenden, uppgifter eller företeelser för att identifiera riskfaktorer och lämpliga urval.120 Myndigheterna kommer vidare att kunna utveckla olika slags urvalsmodeller som kan bli aktuella att tillämpa i olika situationer och vid olika tidpunkter, vilket gör att det är svårt att förutse samtliga typer av urvalsmodeller som kommer att användas. Till exempel har Skatteverket inom beskattningsverksamheten i dag omkring 1 000 olika modeller som används, och flera av dessa används dagligen för att hitta olika risker för fel i samband med ärendehanteringen. De modeller som används utvecklas utifrån riskindikatorer och förändras kontinuerligt för att de ska bli så träffsäkra som möjligt.
När det gäller vad som utgör riskfaktorer är även detta något som kan vara olika beroende på för vilket ändamål myndigheten utför en
118 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 81 och prop. 2022/23:41, Bättre möjligheter
för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 52.
119Prop. 2022/23:34, Utbetalningsmyndigheten, s. 79–82. 120 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 53.
viss dataanalys och urval. Olika riskfaktorer används beroende på om t.ex. Skatteverket ska granska yrkanden om avdrag för resor till och från arbetet eller ansökningar om godkännande för F-skatt, eftersom den materiella verksamhetsregleringen skiljer sig åt i dessa fall. Vidare är kända riskfaktorer, som därför antagligen inte behöver sekretessbeläggas, olika i myndigheternas respektive verksamhet. Exempelvis skulle en viss typ av vara, avsändarland och mottagarland i vissa fall kunna vara sådana kända riskfaktorer i Tullverkets arbete med att identifiera ärenden med risk för otillåten in- och utförsel av varor som är belagda med särskilda restriktioner. Det kommer mot denna bakgrund vara upp till varje myndighet att vid sin skadebedömning bedöma exakt vilka metoder, modeller och riskfaktorer som kan komma att sekretessbeläggas med de nya föreslagna sekretessbestämmelserna. Vad som kan sekretessbeläggas bör också kunna förändras över tid.
När det gäller behovet av en sekretessbestämmelse, och styrkan i densamma, kan det inte enbart bestämmas med hänsyn till sekretessintresset. Detta måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet.121 Sekretess bör enligt vår mening endast gälla för uppgifterna om det kan antas att det allmännas möjligheter att förebygga, förhindra och upptäcka fel motverkas om uppgiften röjs. Bestämmelsen föreslås alltså ha ett rakt skaderekvisit, vilket innebär en presumtion för offentlighet. Mot bakgrund av uppgifternas karaktär kan det dock ofta antas att myndigheternas möjligheter att förebygga, förhindra och upptäcka fel eller motverka överskuldsättning kommer att motverkas om uppgifterna blir offentliga. För det fall uppgifter om utveckling, testning eller utvärdering av en viss metod eller modell kan antas innebära att syftet med det allmännas arbete i dessa delar går förlorat skulle därmed även sådana uppgifter kunna sekretessbeläggas med stöd av de föreslagna sekretessbestämmelserna. Test- och träningsdata som används för att t.ex. träna upp en urvalsmodell innefattar ofta uppgifter om enskildas personliga eller ekonomiska förhållanden. Sådana uppgifter är avsedda att kunna omfattas av sekretess enligt de bestämmelser vi föreslagit i avsnitt 15.3.1.
Vi anser att ett rakt skaderekvisit i detta sammanhang säkerställer en rimlig balans mellan behovet av sekretess och intresset av insyn i myndigheternas verksamhet med dataanalyser och urval. Samma skade-
121Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 75–76.
rekvisit har även valts i andra sekretessbestämmelser som avser att skydda allmänna intressen i liknande verksamheter.122 Vid raka skaderekvisit är det avgörande om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyddas genom bestämmelsen. Om uppgiften är sådan att den genomsnittligt sett måste betraktas som harmlös, ska den alltså normalt anses falla utanför sekretessen. Skulle uppgiften i stället vara av sådant slag att den lätt kan komma att missbrukas ska den i de flesta fall anses omfattas av sekretess.123 Sekretess kan därmed meddelas i den utsträckning det behövs, samtidigt som insynen i myndigheternas verksamhet inte inskränks mer än nödvändigt.124
I vissa fall har offentlighetsintresset ansetts väga tyngre på så sätt att det krävs en högre grad av skada för att uppgiften ska kunna sekretessbeläggas, t.ex. genom uttryck som ”avsevärd skada” eller ”allvarligt men” (s.k. kvalificerat skaderekvisit).125 En sådan bestämmelse finns t.ex. i 17 kap. 2 § OSL där det anges att sekretess gäller för uppgift som hänför sig till pågående granskning för kontroll av skatt eller avgift till staten eller kommun eller av bidrag, lån, kreditgaranti eller annan förmån, om det med hänsyn till syftet med kontrollen är av synnerlig vikt att uppgiften inte röjs för den som kontrollen avser. Vi har övervägt om offentlighetsintresset avseende myndigheternas dataanalyser och urval kan sägas väga så tungt att ett sådant kvalificerat rakt skaderekvisit bör väljas i stället. Enligt vår mening riskerar dock en sådan bestämmelse att innebära att allmänheten ges insyn i verksamheten till den grad att det kan utnyttjas för att på olika sätt undgå myndigheternas kontroll på det sätt som vi anser är viktigt att motverka med en särskild sekretessbestämmelse. Vi har därför vidhållit bedömningen att de föreslagna sekretessbestämmelserna bör innehålla ett vanligt rakt skaderekvisit och att det utgör en rimlig avvägning i detta fall. Insynsintresset tillgodoses även av att när myndigheterna inte längre har ett behov av att använda vissa metoder, modeller eller riskfaktorer, så gör sig sekretessen inte längre gällande. Sekretessbestämmelsen hindrar alltså endast att uppgifterna lämnas ut så länge de används. Efter denna tidpunkt upphör sekretessen vilket innebär att uppgifterna ska lämnas ut på begäran.
122 Se t.ex. 17 kap. 1 och 1 a §§ samt 18 kap. 13 § OSL. 123Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80–81. 124 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 54.
125 Jfr 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80 och 82.
I fråga om sekretessens räckvidd kommer bestämmelsen i första hand att gälla hos Skatteverket, Tullverket och Kronofogdemyndigheten.126 Bestämmelsen föreslås utformas så att den framöver kan utökas till att gälla även i andra verksamheter genom fler punkter.
Ändringar i offentlighets- och sekretesslagen
Vi föreslår alltså att det ska göras ändringar i offentlighets- och sekretesslagen som innebär att sekretess gäller för metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel eller felaktiga uppgifter i Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet samt Tullverkets och Kronofogdemyndighetens respektive verksamheter, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretessen ska även gälla i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.
När det gäller den sekretess som enligt 17 kap. 1 a § OSL gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten bör den sekretess som omfattas av bestämmelsen finnas kvar oförändrad i sak, men med vissa ändringar av vilka verksamheter paragrafen omfattar.
Den sekretess som vi föreslår ska gälla i ovan nämnda myndigheters verksamheter bör enligt vår mening regleras i en gemensam bestämmelse i offentlighets- och sekretesslagen. Det ligger då närmast till hands att genomföra ändringar av befintlig sekretessreglering i 17 kap. 1 a § OSL som redan i dag rör sekretess vid dataanalyser och urval i Skatteverkets folkbokföringsverksamhet. Vi föreslår därför att 17 kap. 1 a § ska ändras så att den även omfattar verksamhet med dataanalyser och urval som sker i Skatteverkets beskattningsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter. Bestämmelsen bör hänvisa till de föreslagna lagarna för att närmare avgränsa vilka verksamheter som omfattas, dvs. 2 § beskattnings-
126 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folk-
bokföringsverksamheten, s. 53.
datalagen, 2 § folkbokföringsdatalagen, 2 § tulldatalagen och 2 § kronofogdedatalagen.
Ett möjligt alternativ hade varit att i stället införa en generellt utformad bestämmelse som innebär att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval oavsett i vilken verksamhet den förekommer. Bestämmelsen hade då varit utformad på samma sätt som 17 kap. 1 § OSL om förberedelser för inspektion, revision eller annan granskning, vilket bidrar till en enhetlighet i lagstiftningen. En fördel med en sådan bestämmelse hade även varit att den hade kunnat tillämpas hos t.ex. Skatteverket såväl som Centrala studiestödsnämnden, Försäkringskassan eller Utbetalningsmyndigheten. Det hade då inte heller funnits något behov av att införa nya sekretessbestämmelser för varje myndighets verksamhet i de fall fler myndigheter skulle ges möjlighet att arbeta med dataanalyser och urval för kontrolländamål. Från och med den 1 januari 2024 kommer det som tidigare nämnts t.ex. finnas en bestämmelse i 17 kap. 1 b § OSL som anger att sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga utbetalningar, om det kan antas att det allmännas syfte med verksamheten motverkas om uppgiften röjs. Paragrafen är hänförlig till den nya Utbetalningsmyndigheten. Vi bedömer dock att det inte ligger inom ramen för vårt uppdrag att föreslå en generell sekretessbestämmelse som även kommer att gälla hos andra myndigheter än Skatteverket, Tullverket och Kronofogdemyndigheten.
Ytterligare ett alternativ som vi har övervägt är att föreslå en generell utformning av sekretessbestämmelsen i offentlighets- och sekretesslagen utan att peka ut vissa myndigheters verksamheter och samtidigt i lag ange att sekretessen i bestämmelsen omfattar de verksamheter som anges i förordning eller i bilaga till förordning. Även en sådan lagteknisk lösning är fördelaktig för det fall ytterligare myndigheters verksamheter bör omfattas av sekretessbestämmelsen. Då vårt förslag endast rör Skatteverket, Tullverket och Kronofogdemyndigheten anser vi dock att det av tydlighetsskäl är att föredra att reglera vilka verksamheter som omfattas av bestämmelsen direkt i lag.
De nya bestämmelserna avseende Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten bör alltså sammanfattningsvis föras in i den bestämmelse som i dag reglerar sekretess vid dataanalyser och urval i folkbokföringsverksamheten, dvs.
17 kap. 1 a § OSL. Vidare bör rubriken närmast 17 kap. 1 a § som en följd av det ändras så att den motsvarar innehållet i samtliga nu föreslagna efterföljande verksamheter.
15.5. Ändrade sekretessregler med anledning av att databasregleringen upphävs
15.5.1. Gällande rätt och bakgrund till den s.k. databassekretessen
Gällande regler och behovet av en översyn
Databassekretess m.m. hos Skatteverket, Tullverket och Kronofogdemyndigheten
I 27 kap. 1 § första stycket OSL anges att sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller vidare enligt 27 kap. 1 § andra stycket 1 OSL i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt skattedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (härefter benämnd databassekretess). Sekretessen är absolut, vilket innebär att sekretess gäller oavsett om ett utlämnande av uppgifterna kan tänkas medföra en viss skada eller men för den enskilde.
Begreppet skatt definieras i 27 kap. 1 § tredje stycket OSL som bl.a. skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt.
Enligt 27 kap. 2 § första stycket OSL gäller sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i vissa särskilda ärenden, t.ex. i särskilt ärende om revision eller annan kontroll i fråga om skatt samt annan verksamhet som avser tullkontroll och som inte omfattas av 1 §, ärende om kompensation för eller återbetalning av skatt och ärende om anstånd med erläggande av skatt.
I 27 kap. 3 § första stycket OSL anges att sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. I andra stycket föreskrivs att motsvarande sekretess gäller i en myndighets
verksamhet som avser förande av eller uttag ur tulldatabasen enligt tulldatabaslagen för uppgift som har tillförts databasen. Här föreskrivs alltså databassekretess för uppgifter som finns i tulldatabasen. Till skillnad från den absoluta sekretess som gäller i Skatteverkets beskattningsdatabas gäller ett omvänt skaderekvisit för uppgifter i tulldatabasen, vilket innebär en presumtion för sekretess.
I 27 kap. 6 § OSL föreskrivs vissa undantag från sekretess. Enligt bestämmelsen gäller sekretessen enligt 1 och 3 §§ inte beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs. Sekretessen gäller dock om beslutet meddelas i ärende om förhandsbesked i taxerings- eller skattefråga, beskattning av utländska experter, forskare eller andra nyckelpersoner när beslutet har fattats av Forskarskattenämnden, trängselskatt eller prissättningsbesked vid internationella transaktioner.
Enligt 34 kap. 1 § första stycket OSL gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men.
I 34 kap. 2 § OSL anges att under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt kronofogdedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen. Denna databassekretess, som alltså gäller utsöknings- och indrivningsdatabasen vid Kronofogdemyndigheten, föreskriver likt vad som gäller för tulldatabasen ett omvänt skaderekvisit.
Databassekretessen gäller i verksamhet som avser förande av eller uttag ur respektive databas enligt skattedatabaslagen, tulldatabaslagen respektive kronofogdedatabaslagen. Uttryckssättet innebär att databassekretessen är tillämplig också hos myndigheter som har direktåtkomst till uppgifter i en databas så länge som uppgifterna inte har tagits ut ur databasen, dvs. när uppgifterna bara är tekniskt tillgängliga hos den mottagande myndigheten oavsett om de syns på dataskärmen eller inte. När en uppgift ur databasen dras ut på papper eller på annat sätt används i den mottagande myndighetens verksamhet upphör dock databassekretessen att vara tillämplig hos den mot-
tagande myndigheten. Då blir i stället sekretessbestämmelserna som gäller i den mottagande myndighetens verksamhet tillämpliga.127
Bestämmelserna om databassekretess utgör vidare primära sekretessbestämmelser hos Skatteverket, Tullverket och Kronofogdemyndigheten samt hos andra myndigheter som har direktåtkomst till uppgifter i respektive databas.128
Andra relevanta bestämmelser i offentlighets- och sekretesslagen
I 7 kap. 3 § OSL föreskrivs att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag.
I 11 kap. 4 § första stycket OSL anges att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Bestämmelsen ska enligt andra stycket inte tilllämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Bestämmelsen i 11 kap. 4 § OSL är tillämplig när en myndighet har direktåtkomst till uppgifter hos en annan myndighet. Direktåtkomst förutsätter ofta att den mottagande myndigheten tekniskt sett får tillgång till fler uppgifter hos den utlämnande myndigheten än de som i konkreta fall kommer att användas i vissa ärenden eller viss verksamhet hos den mottagande myndigheten. Sammanställningar av uppgifter ur upptagningar för automatiserad behandling, vilka i samband med direktåtkomst görs tekniskt tillgängliga för den mottagande myndigheten, utgör som huvudregel allmänna handlingar hos den myndigheten. Därutöver tillkommer att färdiga elektroniska handlingar som i samband med direktåtkomst gjorts tekniskt tillgängliga för den mottagande myndigheten alltid utgör allmänna handlingar hos den
127Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 27, prop. 2000/01:33, Behand-
ling av personuppgifter inom skatt, tull och exekution, s. 184, prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 95–96, prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 12 och prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 108.
128 Jfr prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 108.
myndigheten. Bestämmelsen i 11 kap. 4 § OSL innebär att om en myndighet har elektronisk tillgång till en annan myndighets upptagning för automatiserad behandling och om uppgift i denna upptagning är sekretessbelagd hos den andra myndigheten, så överförs sekretessen till den mottagande myndigheten.129
Enligt 11 kap. 8 § OSL ska bl.a. sekretessbestämmelsen i 11 kap. 4 §, med undantag från vad som anges i 7 kap. 3 §, inte tillämpas på en uppgift när det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. Bestämmelsen innebär att om det finns en sekretessbestämmelse som är primärt tillämplig hos den mottagande myndigheten är det den bestämmelsen som ska tillämpas i stället för den överförda sekretessen, och det oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen. Den överförda sekretessen gäller inte heller för uppgift som tas i beslut hos den mottagande myndigheten.130
Bestämmelserna om databassekretess i 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket och 34 kap. 2 § OSL, vilka utgör primära sekretessbestämmelser hos såväl Skatteverket, Tullverket och Kronofogdemyndigheten vilka innehar databaserna, som hos myndigheter som har direktåtkomst till de aktuella databaserna så länge uppgifterna finns kvar i dessa, har företräde framför sekretess som överförs med stöd av bestämmelsen om överföring av sekretess i 11 kap. 4 § OSL.131
Behovet av en översyn
I avsnitt 9.3 finns en närmare redogörelse för den befintliga databasregleringen som gäller för Skatteverket, Tullverket och Kronofogdemyndigheten. I det avsnittet gör vi bedömningen att det saknas skäl att i de nya lagarna, däribland beskattningsdatalagen, tulldatalagen och kronofogdedatalagen, införa bestämmelser om vilka uppgifter myndigheterna får behandla för att utföra sina uppgifter inom respektive lags materiella tillämpningsområde. Det innebär att regler-
129Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 164. 130Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 165. 131Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 165.
ingen av beskattningsdatabasen, tulldatabasen och kronofogdedatabasen inte kommer att ha någon motsvarighet i de nya lagarna.
Våra bedömningar i dessa delar får konsekvenser för de bestämmelser om databassekretess som regleras i 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket och 34 kap. 2 § OSL eftersom de avser förande av eller uttag ur beskattningsdatabasen, tulldatabasen respektive kronofogdedatabasen enligt de nu gällande registerförfattningarna. Den koppling som nu finns mellan bestämmelserna om databassekretess och registerförfattningarnas bestämmelser om bl.a. vilka uppgifter som får behandlas i respektive databas kommer nämligen inte att finnas kvar genom våra förslag till nya lagar.
Mot denna bakgrund krävs en översyn av den befintliga databassekretessen som i dag regleras i 27 kap. och 34 kap. OSL.
Sekretessregleringen när de tidigare registerlagarna gällde
Sekretess när de dåvarande kronofogdemyndigheterna fick terminalåtkomst till skatteregistret
Innan skattedatabaslagen, tulldatabaslagen och kronofogdedatabaslagen trädde i kraft 2001 gällde bl.a. skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregisterlagen (1990:137).
År 1982 fick de dåvarande kronofogdemyndigheterna möjlighet att ha s.k. terminalåtkomst till det centrala skatteregistret i fråga om vissa uppgifter. Terminalåtkomst är det tidigare begreppet för vad som i nyare registerförfattningar brukar benämnas som direktåtkomst.132Möjligheten infördes bl.a. för att förenkla och förbättra kronofogdemyndigheternas rutiner vid efterforskning av gäldenärers tillgångar. Vidare uttalas i förarbetena att indrivningen av skatter och avgifter hörde mycket nära ihop med den direkta beskattningsverksamheten och det var naturligt att kronofogdemyndigheterna kunde få tillgång till uppgifterna i skatteregistren i den mån uppgifterna behövdes för indrivningsverksamheten.133 I samband med att terminalåtkomst till skatteregistren möjliggjordes infördes även en ny sekretessbestämmelse i den då gällande 9 kap. 19 § andra stycket sekretesslagen (1980:100).134 Bestämmelsen utformades enligt följande.
132 Se avsnitt 11.2.2 för en närmare redogörelse av vad elektroniskt utlämnande av uppgifter genom direktåtkomst innebär. 133Prop. 1981/82:160, om ändring i skatteregisterlagen (1980:343) m.m., s. 7. 134 Bestämmelsen motsvaras i dag av 34 kap. 2 § första stycket OSL.
Sekretess gäller hos kronofogdemyndighet för uppgift i det centrala skatteregistret om enskilds personliga eller ekonomiska förhållanden. Har uppgiften tillförts ett mål gäller dock första stycket.
Bestämmelsen i 9 kap. 19 § första stycket sekretesslagen reglerade sekretess inom exekutionsväsendet i mål eller ärende angående exekutiv verksamhet för uppgift om enskilds personliga eller ekonomiska förhållanden.
I förarbetena till sekretessbestämmelsen i 9 kap. 19 § andra stycket sekretesslagen uttalas bl.a. att om kronofogdemyndigheterna fick terminalåtkomst till skatteuppgifter skulle uppgifternas sekretesskydd minska om någon ändring inte gjordes i sekretesslagen eftersom svagare sekretess gällde vid kronofogdemyndigheterna än inom skatteområdet. Vidare uttalas i förarbetena att den omständigheten att samma slag av uppgifter skulle kunna inhämtas via terminal inte i och för sig innebar att sekretesskyddet hos kronofogdemyndigheten bör stärkas. Däremot kunde det enligt förarbetena finnas ett behov av att förhindra ett obehörigt utnyttjande av den lättillgängliga informationen via terminal. Det ansågs kunna lösas så att det sekretesskydd som uppgifterna hade i skatteregistret bibehölls så länge uppgifterna inte hade tillförts ett mål. I den mån uppgifterna endast fanns tillgängliga på bildskärm behölls alltså den i princip absoluta sekretessen som gällde på skatteområdet. Om uppgifterna däremot genom en aktanteckning eller på annat sätt hade tillförts ett mål ansågs det sekretesskydd som fanns inom exekutionsväsendet gälla.135
Sekretess när bl.a. skattemyndigheterna och Tullverket fick terminalåtkomst till utsökningsregistret
När utsökningsregisterlagen infördes 1986 fick bl.a. dåvarande Riksskatteverket, kronofogdemyndigheterna och Generaltullstyrelsen terminalåtkomst till uppgifter i utsökningsregistret.136
I samband med detta gjordes ändringar i den då gällande sekretesslagen som syftade till att för enhetlighetens skull ge reglerna om sekretess hos myndigheter som hade terminalåtkomst till det centrala skatteregistret samma redaktionella utformning som samtidigt föreslogs i fråga om sekretessen för vid terminalåtkomst till utsöknings-
135Prop. 1981/82:160, om ändring i skatteregisterlagen (1980:343) m.m., s. 11–12. 136Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 22.
registret.137 Genom ändringar i dåvarande 9 kap. 1 § första stycket sekretesslagen föreskrevs följande, med ändringarna kursiverade.
Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet
som avser förande av eller uttag ur register som avses i skatteregisterlagen (1980:343) för uppgift som har tillförts sådant register. Uppgift hos tull-
verket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos domstol gäller sekretessen endast om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Har uppgifter erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet.
Vidare ändrades den dåvarande bestämmelsen i 9 kap. 19 § andra stycket sekretesslagen. Tillsammans med första stycket fick bestämmelsen följande lydelse, med ändringen kursiverad.
Sekretess gäller inom exekutionsväsendet i mål eller ärende angående exekutiv verksamhet för uppgift om enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon honom närstående lider avsevärd skada eller betydande men om uppgiften röjs. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten och inte heller beslut i målet eller ärendet.
Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur utsökningsregistret för uppgift som har tillförts registret.
138
Av förarbetena framgår att reglerna om skattesekretess i allmänhet gav ett bättre skydd än de regler som gällde inom exekutionsväsendet för uppgift om enskildas personliga eller ekonomiska förhållanden. Även hos Tullverket var sekretesskyddet starkare än hos kronofogdemyndigheterna. Den omständigheten att uppgifterna i registret i något enstaka fall kunde komma till användning i ej sekretessbelagd verksamhet medförde att det var oklart vilket sekretesskydd som gällde för uppgifterna så länge de fanns i ADB-registret139. Ett särskilt sekretesskydd skulle därför tillskapas för de uppgifter i utsökningsregistret som fanns på terminal hos skattemyndigheterna. Övervägande skäl ansågs tala för en ordning som innebar att samma sekretess för uppgifterna i registret skulle gälla oavsett var uppgifterna fanns till-
137Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 8. 138 Genom SFS 1995:1371 byttes ordet ”utsökningsregistret” ut mot ”ett utsökningsregister”, se prop. 1995/96:56, bet. 1995/96:SkU14, rskr. 1995/96:73. 139 ADB stod för automatisk databehandling.
gängliga. En ordning som innebar att uppgifterna så länge de fanns i registret behöll den sekretess som gällde hos den registerförande myndigheten ansågs också vara bäst förenlig med den lösning som tidigare hade valts i fråga om kronofogdemyndigheternas terminalåtkomst till det centrala skatteregistret. Det infördes därför en bestämmelse som gav uppgifter i utsökningsregistret som var tillgängliga på terminal hos bl.a. generaltullstyrelsen och de lokala skattemyndigheterna samma sekretesskydd som gällde för dessa uppgifter i den exekutiva verksamheten. Lagtekniskt skulle detta uttryckas så att sekretessen för uppgifterna i utsökningsregistret gällde i myndighets verksamhet som avsåg förande av eller uttag ur registret. Detta uttryckssätt, som också användes i fråga om allmänt kriminalregister m.m. (dåvarande 7 kap. 17 § sekretesslagen), innebar att den sekretess som gällde hos den registerförande myndigheten blev tillämplig också hos terminalanslutna myndigheter, så länge uppgifterna var kvar i registret. Gjordes ett utdrag ur registret eller användes uppgifter ur detta på annat sätt i den terminalanslutna myndighetens verksamhet blev sekretessbestämmelserna för denna verksamhet i stället tillämpliga. Av redaktionella skäl borde enligt regeringen samma uttryckssätt också användas i fråga om sekretessen vid kronofogdemyndigheternas terminalåtkomst till det centrala skatteregistret.140
Ändringar av sekretessbestämmelserna med anledning av införandet av särskilt reglerade databaser
I samband med att skattedatabaslagen, tulldatabaslagen och kronofogdedatabaslagen infördes gjordes ändringar i den hittills gällande sekretessen för förande av eller uttag ur skatteregistret och utsökningsregistret. Sekretess infördes även för uppgifter vid Tullverket.
Bestämmelsen i 9 kap. 1 § första stycket OSL fick följande lydelse, med ändringarna kursiverade.
Sekretess gäller i myndighets verksamhet, som avser bestämmande av skatt eller som avser taxering eller i övrigt fastställande av underlag för bestämmande av skatt, för uppgift om enskilds personliga eller ekonomiska förhållanden. Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt lagen
( 2001:181 ) om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet och tulldatabasen enligt lagen ( 2001:185 ) om behandling av
140Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 26–27.
uppgifter i Tullverkets verksamhet för uppgift som har tillförts databaserna samt hos kommun eller landsting för uppgift som har lämnats dit i ett
ärende om förhandsbesked i skatte- eller taxeringsfråga. Uppgift hos Tullverket får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. För uppgift i mål hos domstol gäller sekretessen endast om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av överklagande hos domstol registreras hos annan myndighet enligt 15 kap. 2 § första stycket 3 eller 4. Har uppgift i mål hos domstol erhållits från annan myndighet och är den sekretessbelagd där, gäller dock denna sekretess hos domstolen, om uppgiften saknar betydelse i målet.
När det gäller bestämmelsen i 9 kap. 19 § andra stycket sekretesslagen ändrades denna till följande lydelse.
Motsvarande sekretess gäller i myndighets verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt lagen (2001:184)
om behandling av uppgifter i kronofogdemyndigheternas verksamhet för
uppgift som har tillförts databasen.
Samtidigt ändrades 9 kap. 19 § första stycket första meningen så att sekretessen inom exekutionsväsendet gällde i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt lagen (1986:436) om näringsförbud, för uppgift om enskilds personliga eller ekonomiska förhållanden, om det inte stod klart att uppgiften kunde röjas utan att den enskilde eller någon honom närstående lider skada eller men.141 Sekretessbestämmelsen kom därmed att innehålla ett omvänt skaderekvisit, dvs. presumtion för sekretess, i stället för det tidigare raka skaderekvisitet. Ändringen skärpte därmed även den sekretess som tidigare hade gällt för förande av eller uttag ur utsökningsregistret.
Avseende ändringen av 9 kap. 1 § sekretesslagen uttalades i förarbetena att den föranleddes av införandet av lagen om behandling av uppgifter i skatteförvaltningens beskattningsverksamhet och lagen om behandling av uppgifter i Tullverkets verksamhet. Vidare angavs att sekretess också skulle gälla för förande av eller uttag av uppgifter ur tulldatabasen. I samband härmed gavs dåvarande Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna direktåtkomst till tulldatabasen.142
141Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 185–188. 142Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 179–180 och 224.
Det kan här nämnas att i samband med att den numera upphävda lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet infördes, gjordes ändringar av ordalydelsen i då gällande 9 kap. 1 § första sekretesslagen avseende bl.a. databassekretessen. Ändringarna gjordes så att det tydligt skulle framgå att sekretess med omvänt skaderekvisit gällde för uppgifter i tulldatabasen samt att motsvarande sekretess skulle gälla för de uppgifter som andra myndigheter än Tullverket hade tillgång till genom direktåtkomst till tulldatabasen.143
Databassekretessen efter införandet av offentlighets- och sekretesslagen
När den nu gällande offentlighets- och sekretesslagen trädde i kraft 2009, genom vilken sekretesslagen upphävdes, infördes bestämmelserna om databassekretess i 27 kap. 1 § andra stycket 1144, 27 kap. 3 § andra stycket145 och 34 kap. 2 § första stycket OSL146.
De nuvarande bestämmelserna om databassekretessen har samma placeringar och innehåll som vid införandet av offentlighets- och sekretesslagen.
15.5.2. Utvecklingen efter införandet av databassekretessen
Lagstiftarens senare uttalanden om databassekretessens räckvidd
Sedan införandet av databassekretessen har lagstiftaren gjort olika uttalanden i fråga om vad som omfattas av denna. Uttalandena rör framför allt Skatteverkets beskattningsverksamhet.
I samband med att Kronofogdemyndighetens offensiva borgenärsuppgifter fördes över till Skatteverket, dvs. bl.a. uppgiften att ansöka om likvidation och ansöka om konkurs och bevaka det allmännas fordran i konkurs, gjordes vissa uttalanden i förarbetena om sekretess och dataskydd. De uppgifter som behövde finnas vid utförandet av de offensiva borgenärsåtgärderna fanns tidigare hos Kronofogde-
143Prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 107–108 och 128. 144 Motsvarar 9 kap. 1 § första stycket andra meningen sekretesslagen. 145 Motsvarar 9 kap. 1 § första stycket femte meningen sekretesslagen. 146 Motsvarar 9 kap. 19 § tredje stycket sekretesslagen.
myndigheten, där de omfattades av sekretess enligt dåvarande 9 kap. 19 § sekretesslagen vilken omfattade Kronofogdemyndighetens verksamhet med utsökning och indrivning. För uppgifterna gällde alltså sekretess med omvänt skaderekvisit. När Skatteverket tog över de offensiva borgenärsuppgifterna skulle motsvarande information i stället finnas hos Skatteverket. En fråga som då uppkom var om uppgifterna skulle omfattas av absolut sekretess eller sekretess med ett omvänt skaderekvisit. Regeringen ansåg att sekretess med ett omvänt skaderekvisit fortsatt skulle gälla. Vidare anfördes att i ett speciellt hänseende var det av bl.a. såväl tekniska som systematiska skäl svårt att undvika en skärpning av sekretessen. Det gällde enligt regeringen de fall då uppgifter ur ärenden enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter kunde komma att behandlas i beskattningsdatabasen vari absolut sekretess gällde. Regeringen ansåg att insynsintresset vad gällde de uppgifter ur ärenden av det aktuella slaget som lades in i databasen var tillgodosett i tillräcklig mån genom att uppgifterna kunde begäras ut ur ärendet, där omvänt skaderekvisit skulle gälla. I den utsträckning som uppgifter i ärenden tillfördes beskattningsdatabasen skulle de alltså att vid behandlingen i denna komma att omfattas av absolut sekretess.147
När det ursprungliga systemet för stöd vid korttidsarbete infördes, för vilket Skatteverket var handläggande myndighet, uttalade regeringen att i det fall uppgifter i ärenden om stöd vid korttidsarbete behandlades i beskattningsdatabasen skulle 27 kap. 1 § andra stycket 1 OSL aktualiseras, dvs. databassekretessen. Regeringen bedömde, i likhet med vad som uttalades avseende ärenden om vissa borgenärsuppgifter, att insynsintresset vad gäller de uppgifter i ärenden om stöd vid korttidsarbete som lades in i databasen fick anses tillgodosett i tillräcklig mån genom att uppgifterna kunde begäras ut ur ärendet, där omvänt skaderekvisit skulle gälla.148
I samband med att det i 28 kap. 12 § OSL infördes ett undantag från sekretessen i den bestämmelsen avseende beslut om stöd i ärende enligt lagen (2013:948) om stöd vid korttidsarbete eller föreskrifter som har meddelats i anslutning till den lagen aktualiserades vissa frågor om databassekretessen i Skatteverkets beskattningsverksamhet. Enligt 28 kap. 12 § OSL gällde då sekretess med ett omvänt
147Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s. 34–36. 148Prop. 2013/14:1, Förslag till statens budget för 2014, finansplan och skattefrågor, s. 380.
skaderekvisit.149 Skatteverket hade i remissvar ansett att ändringen av 28 kap. 12 § OSL inte skulle få avsedd effekt för beslut om stöd vid korttidsarbete som fattades av Skatteverket. Vid dessa förhållanden bedömde Skatteverket att det skulle uppkomma en regelkonkurrens mellan sekretessen i 28 kap. 12 § och databassekretessen i 27 kap. 1 § andra stycket 1 OSL. Eftersom denna databassekretess var absolut hade den enligt Skatteverket företräde framför den svagare sekretessen i 28 kap. 12 § OSL (jfr 7 kap. 3 § OSL). Då det tillägg som föreslogs i 28 kap. 1 § OSL om undantag från sekretess för vissa beslut inte gällde i förhållande till databassekretessen i 27 kap. 1 § andra stycket 1 OSL, menade Skatteverket att besluten inte skulle vara undantagna från sekretess hos Skatteverket. Skatteverket grundade sin bedömning av databassekretessens räckvidd bl.a. på Högsta förvaltningsdomstolens uttalanden i avgörandet HFD 2020 ref. 36 (se nedan).150
Regeringen ansåg dock att det fanns stöd i tidigare förarbeten gällande stöd vid korttidsarbete och Skatteverkets hantering av vissa borgenärsuppgifter för att databassekretessen inte skulle tillämpas när en uppgift användes i en annan del av Skatteverkets verksamhet – dvs. i verksamhet som avsåg ärendehantering och som omfattades av sekretessbestämmelser med skaderekvisit som avvek från den absoluta databassekretessen. Enligt regeringen kunde slutsatsen att de angivna förarbetsuttalandena saknar giltighet inte dras av avgörandet i HFD 2020 ref. 36 då det rörde uppgifter på ett skattekonto och hade, såvitt framgick, inte samband med något särskilt ärende. Regeringens uppfattning var mot denna bakgrund att det inte fanns någon konkurrens mellan den föreslagna lydelsen av 28 kap. 12 § OSL och bestämmelsen om databassekretess i 27 kap. 1 § andra stycket 1 OSL, som kunde aktualiseras för det fall Skatteverket var handläggande myndighet för stödet. Någon ytterligare bestämmelse än den föreslagna lagändringen i 28 kap. OSL krävdes därför inte för att säkerställa att beslut i ärenden om korttidsstöd inte omfattades av sekretess hos Skatteverket.151 Motsvarande bedömningar har gjorts av regeringen även i senare lagstiftningsärenden.152 Vad gäller exempelvis uppgifter som behövs för handläggning av elstöd till företag får
149 I dag gäller sekretess enligt 28 kap. 12 § OSL med ett rakt skaderekvisit, jfr prop. 2021/22:216,
Förbättrade förutsättningar för den arbetsmarknadspolitiska verksamheten, s. 97–98.
150Prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s. 14. 151Prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s. 14–15. 152 Se prop. 2021/22:77, Handläggande myndighet för ärenden om stöd vid korttidsarbete, s. 22–23 och prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 33.
dessa i dag behandlas i beskattningsdatabasen.153 Regeringen uttalade i en proposition att handläggning av ärenden om sådana elstöd omfattas av sekretessreglerna i 30 kap. 23 § OSL. Vidare uttalade regeringen i detta sammanhang att databassekretessen i 27 kap. 1 § andra stycket 1 OSL omfattar uppgifter som Skatteverket lagrar i databasen, men som inte ingår i handläggningen av ett ärende, exempelvis uppgifter om elförbrukning för företag som väljer att inte söka elstöd.154
Vidare har regeringen bedömt att vissa analyser som Skatteverket ska utföra i beskattningsdatabasen med hjälp av uppgifter som Skatteverket får med stöd av rådets direktiv (EU) 2018/822 av den 25 maj 2018 om ändring av direktiv 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplysningar i fråga om beskattning som rör rapporteringspliktiga gränsöverskridande arrangemang (DAC 6) och lagen (2020:434) om rapporteringspliktiga arrangemang omfattas av databassekretessen i 27 kap. 1 § andra stycket OSL när analysarbetet utförs i databasen.155
I ett avgörande från Högsta förvaltningsdomstolen, HFD 2020 ref. 36, var frågan i vilken utsträckning uppgifter på ett skattekonto omfattades av sekretess. De bakomliggande omständigheterna var att en person hade begärt att hos Skatteverket få ta del av allmänna handlingar i form av utskrift från skattekontot avseende en viss angiven period för dels en fysisk, dels en juridisk person. Ett sådant utdrag kunde innehålla uppgifter om t.ex. debiterade skatter och avgifter liksom skatteinbetalningar och tillgodoförda belopp samt ränta.
HFD konstaterade att de uppgifter som Skatteverket hade sekretessbelagt var registrerade på skattekonton och avsåg enskilds personliga eller ekonomiska förhållanden i den mening som avses i 27 kap. 1 § andra stycket 1 OSL. Enligt Högsta förvaltningsdomstolen omfattades därför uppgifterna av databassekretess enligt den bestämmelsen. Vidare uttalade domstolen att eftersom samtliga uppgifter som hade begärts ut omfattades av databassekretess fanns det
153 2 kap. 3 § första stycket 13 SdbL. 154Prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 33. 155Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar
som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 171.
inte någon anledning att pröva om någon av de begärda uppgifterna också omfattades av skattesekretess enligt 27 kap. 1 § första stycket.
15.5.3. Ändringar av den sekretess som i dag avser förande av eller uttag ur databaser
Vårt förslag: De bestämmelser om sekretess i offentlighets- och
sekretesslagen som i dag omfattar verksamhet som avser förande av eller uttag ur Skatteverkets beskattningsdatabas, Tullverkets tulldatabas och Kronofogdemyndighetens utsöknings- och indrivningsdatabas ska ändras så att sekretessen gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som respektive myndighet använder i viss verksamhet som avses i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen.
Sekretessen ska avseende Kronofogdemyndigheten endast vara tillämplig i myndighetens verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud.
Sekretessen ska inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten.
Skälen för vårt förslag
En sekretessreglering i förändring
Det kan konstateras att de nuvarande bestämmelserna om databassekretess ursprungligen infördes i samband med att andra myndigheter fick möjlighet att ha direktåtkomst till det dåvarande skatteregistret, tullregistret och utsökningsregistret. Såvitt framgår av förarbetena har tanken inte varit att i någon högre grad ändra detta förhållande när sekretessbestämmelserna om förande av eller uttag ur beskattningsdatabasen, tulldatabasen respektive utsöknings- och indrivningsdatabasen infördes. Införandet av sekretessbestämmelserna har alltså till synes inte i första hand varit att tillskapa sekretessregler med ett visst skaderekvisit som gäller primärt hos de myndigheter som innehar respektive databas. Utformningen av bestämmelserna
är dock sådan att sekretessen även gäller primärt hos Skatteverket, Tullverket och Kronofogdemyndigheten.
Begreppet förande av eller uttag ur ett visst register hade ursprungligen innebörden att den sekretess som gällde hos den registerförande myndigheten blev tillämplig också hos myndigheter som hade direktåtkomst till registret, så länge uppgifterna var kvar i registret. Gjordes ett utdrag ur registret eller användes uppgifter ur detta på annat sätt i den myndighets verksamhet som hade direktåtkomst till uppgifterna blev sekretessbestämmelserna för denna verksamhet i stället tillämpliga.156 I dåvarande 9 kap. 1 § och 9 kap. 19 § OSL formulerades detta bl.a. som att ”motsvarande” sekretess som gällde i beskattningsverksamheten, Tullverkets verksamhet respektive utsökningsverksamheten skulle gälla hos myndigheter som hade direktåtkomst till registren. Den huvudsakliga tanken med regleringen har alltså, såvitt vi kan bedöma, varit att de uppgifter i t.ex. skatteregistret som omfattades av absolut sekretess också skulle omfattas av absolut sekretess vid de myndigheter som hade direktåtkomst till uppgifterna så länge de fanns kvar i registret och inte hade plockats ut för att användas i de mottagande myndigheternas verksamheter. Motsvarande gällde för tullregistret och utsökningsregistret. Systematiken synes alltså från början ha varit att alla de uppgifter som t.ex. Tullverket och Kronofogdemyndigheten hade tillgång till i skatteregistret redan omfattades av absolut sekretess.
I dag får det emellertid finnas fler uppgifter i beskattningsdatabasen än vad som fanns i skatteregistret.157 Vissa av de uppgifter som i dag finns i beskattningsdatabasen omfattas dock, när de förekommer i ärenden, av sekretess med skaderekvisit. Exempelvis omfattas uppgifter som behandlas vid handläggning enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter av sekretess med ett omvänt skaderekvisit (27 kap. 2 § andra stycket OSL). Detta får möjligen till följd att den ursprungliga tanken avseende sekretess vid förande av och uttag ur register, dvs. att samma sekretess som gällde hos registerförande myndigheter också skulle gälla vid myndigheter som hade direktåtkomst till uppgifterna i registret, inte fullt ut kan anses gälla i fråga om databassekretessen som i dag regleras i 27 kap. och 34 kap. OSL. Detta gäller framför allt avseende Skatteverkets
156Prop. 1985/86:155, med förslag till utsökningsregisterlag m.m., s. 27. 157 Jfr SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 422–423.
beskattningsdatabas som innehåller flera uppgifter som inte omfattas av absolut skattesekretess enligt 27 kap. 1 § OSL. Det kan här även nämnas att lagstiftaren verkar ha förutsatt att uppgifter som behandlas i syfte att handlägga ärenden också ska utgöra en del av de reglerade databaserna.158
Vi har inte kunnat identifiera att motsvarande gäller i lika hög grad för Tullverket eller Kronofogdemyndigheten eftersom de uppgifter som omfattas av respektive bestämmelse om databassekretess också omfattas av sekretessen i 27 kap. 3 § första stycket respektive 34 kap. 1 § OSL.
Den möjliga förändring, eller förskjutning, av databassekretessen som vi här har uppmärksammat har i andra lagstiftningsärenden såvitt framgår hanterats så att lagstiftaren konstaterat att databassekretessen inte ska tillämpas när en uppgift används i en annan del av Skatteverkets verksamhet – dvs. i verksamhet som avser ärendehandläggning och som omfattas av sekretessbestämmelser med skaderekvisit som avviker från den absoluta databassekretessen.159 Det har även uttalats att Högsta förvaltningsdomstolens avgörande i HFD 2020 ref. 36 rörde uppgifter på ett skattekonto och hade, såvitt framgick, inte samband med något särskilt ärende. Regeringen har därför anfört att slutsatsen att tidigare förarbetsuttalanden saknar giltighet inte kan dras av detta avgörande.160
Mot bakgrund av lagstiftarens intentioner som kommer till uttryck i olika förarbeten får rättsläget enligt vår uppfattning anses vara sådant att det inte bör uppstå konkurrens mellan primära sekretessbestämmelser som gäller i myndigheternas verksamhet med ärendehandläggning, och därtill hörande undantag, och bestämmelserna om databassekretess. Uttalandena i förarbetena har gjorts i samband med ändringar eller tillförande av uppgifter till Skatteverket, men bör anses ha giltighet även i förhållande till den databassekretess som gäller i Tullverkets och Kronofogdemyndighetens verksamheter då databasregleringen är konstruerad på samma sätt för berörda myndigheter. Det kan dock ifrågasättas om lagstiftarens intentioner tydligt kommer till uttryck genom den nuvarande regleringen i offentlighets- och sekretesslagen.
158Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 128–130. 159 Se t.ex. prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s. 14–15 och prop. 2021/22:77, Handläggande myndighet för ärenden om stöd vid korttidsarbete, s. 22–23. 160Prop. 2020/21:168, Undantag från sekretess för beslut om stöd vid korttidsarbete, s. 14.
Ändrade sekretessbestämmelser i offentlighets- och sekretesslagen
Vår uppfattning är att motsvarande sekretess som i dag gäller vid förande av eller uttag ur beskattningsdatabasen, tulldatabasen och kronofogdedatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som i dag behandlas i databaserna vid respektive myndighet. Vår avsikt är alltså inte att våra övriga förslag ska innebära någon saklig förändring med avseende på den sekretess som gäller vid sådan direktåtkomst. Vi avser inte heller att försvaga den primära sekretess som i dag gäller vid Skatteverket, Tullverket och Kronofogdemyndigheten genom bestämmelserna om databassekretess.
Våra förslag till beskattningsdatalag, tulldatalag och kronofogdedatalag kommer dock till skillnad från i dag inte att innefatta någon reglering av särskilda samlingar uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheterna, s.k. databaser. Det innebär att den nuvarande sekretessen i 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket och 34 kap. 2 § första stycket OSL inte enbart kan ändras genom att byta ut hänvisningarna till skattedatabaslagen, tulldatabaslagen och kronofogdedatabaslagen mot hänvisningar till beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Bestämmelserna kan nämligen inte längre avse förande av eller uttag ur beskattningsdatabasen, tulldatabasen och kronofogdedatabasen. Frågan är hur de nuvarande reglerna om databassekretess kan ändras utan att det medför några egentliga sakliga förändringar av bestämmelsernas innehåll och betydelse.
Inledningsvis kan nämnas att sekretessbestämmelsen i 11 kap. 4 § OSL om direktåtkomst är en bestämmelse om överföring av sekretess. Den bestämmelsen utgör alltså inte en primär sekretessbestämmelse vid Skatteverket, Tullverket och Kronofogdemyndigheten. Dessutom går andra primära sekretessbestämmelser till skydd för samma intresse som är tillämpliga på uppgifterna hos de mottagande myndigheter som har direktåtkomst till uppgifter vid berörda myndigheter före sekretessen som gäller enligt 11 kap. 4 § OSL.161 Bestämmelsen är därmed inte tillräcklig för att uppnå ett adekvat och likvärdigt skydd för uppgifterna på det sätt som gäller i dag. Vi bedömer därför att det särskilda sekretesskyddet som gäller för uppgif-
16111 kap. 8 § OSL.
ter i beskattningsdatabasen, tulldatabasen och utsöknings- och indrivningsdatabasen bör finnas kvar.
Vi anser att de nuvarande sekretessbestämmelserna som reglerar databassekretessen ska ändras så att sekretess gäller vid förande av eller uttag ur en automatiserad uppgiftssamling som respektive myndighet använder i viss verksamhet som avses i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Sekretessreglernas föremål ska i övrigt inte ändras, och inte heller dess styrka. Vidare ska sekretessen avseende Kronofogdemyndigheten endast vara tillämplig i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud (se nedan).
Med uttryckssättet ”vid förande av eller uttag ur en automatiserad uppgiftssamling” avses ingen egentlig förändring av innebörd i förhållande till förande av eller uttag ur beskattningsdatabasen, tulldatabasen eller utsöknings- och indrivningsdatabasen. Formuleringen innebär alltså att den sekretess som gäller hos berörda myndigheter blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Skatteverket, Tullverket och Kronofogdemyndigheten i uppgiftssamlingar som är gemensamt tillgängliga, så länge de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Vid direktåtkomst till uppgifter i Skatteverkets beskattningsverksamhet kommer alltså absolut sekretess att gälla, och till uppgifter i Tullverkets verksamhet och Kronofogdemyndighetens verksamhet med utsökning och indrivning samt näringsförbud kommer sekretess med ett omvänt skaderekvisit att gälla. På samma sätt som gäller i dag kommer bestämmelserna även att gälla som primära sekretessbestämmelser vid Skatteverket, Tullverket och Kronofogdemyndigheten, likväl som hos direktanslutna myndigheter.
Uttrycket ”förande av eller uttag ur” har visserligen vanligen använts för förande av eller uttag ur olika regelrätta register, eller som för Skatteverket, Tullverket och Kronofogdemyndigheten, databaser.162 Vi har därför övervägt om det är mindre lämpligt att använda detta uttryckssätt för att avgränsa sekretessen efter upphävandet av den särskilda databasregleringen i de nuvarande registerförfattningarna. Vi anser dock att det fortsatt är ett adekvat och ändamålsenligt uttryckssätt för att det tydligt ska framgå vad som gäller i sekretess-
162 Se t.ex. 18 kap. 10 §, 22 kap. 1 § första stycket 2 och 35 kap. 3 § första stycket OSL.
hänseende när andra myndigheter har direktåtkomst till de berörda myndigheternas automatiserade uppgiftssamlingar. Begreppen ”förande av och uttag ur” korresponderar nämligen med varandra på så sätt att det är en viss myndighet som utför ”förandet” av uppgifterna som en annan myndighet kan ges tillgång till genom uttag av samma uppgifter.
Med ”automatiserad uppgiftssamling” avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer avgränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av myndigheternas respektive verksamhet till vilken andra myndigheter kan ha direktåtkomst. Genom lydelsen en automatiserad uppgiftssamling som Skatteverket, Tullverket respektive Kronofogdemyndigheten använder i viss verksamhet är avsikten att de ändrade sekretessbestämmelserna ska ha samma räckvidd som de nu gällande bestämmelserna om databassekretess. Sekretessen omfattar alltså inte automatiserade uppgiftssamlingar som har tagits fram av enskilda medarbetare och som normalt endast är åtkomliga för den enskilde medarbetaren och t.ex. systemadministratörer vid myndigheterna. Sekretessbestämmelserna omfattar i stället större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndigheterna, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. De gäller därmed inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lagringsutrymme på en server eller i en dator, eller för en mindre arbetsgrupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument.163 Det är Skatteverket, Tullverket eller Kronofogdemyndigheten som myndigheter som ska ha tagit fram uppgiftssamlingarna för användning i respektive verksamhet.
Genom att sekretessreglerna föreslås innehålla uttryckssättet ”i verksamhet som avses i 2 § beskattningsdatalagen, 2 § tulldatalagen respektive 2 § kronofogdedatalagen” blir det tydligt att sekretessen gäller i samma verksamheter som i dag. Formuleringen innebär vidare att även uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer (jfr RÅ 2007 ref. 16) kommer att omfattas av sekretessbestämmelserna på samma sätt som gäller i dag.164
163 Jfr prop. 2000/03:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 88–91. 164 Jfr 1 kap. 1 § andra stycket SdbL, 1 kap. 1 § andra stycket TDL och 1 kap. 1 § andra stycket KFMdbL.
De aktuella hänvisningarna bedöms vara nödvändiga eftersom vi föreslår att beskattningsdatalagen, tulldatalagen och kronofogdedatalagen som utgångspunkt inte ska omfatta uppgifter om juridiska personer eller avlidna (se avsnitten 7.4.2 och 7.4.3).
Vidare kommer den ändrade lydelsen enligt vår uppfattning inte att påverka befintliga undantag från sekretess eller sekretessbrytande bestämmelser som föreskrivs i t.ex. 27 kap. 6 och 7 §§ OSL.
Nya undantag från sekretessen
Som ovan framgår har lagstiftaren i flera lagstiftningsärenden gett uttryck för att det inte uppstår konkurrens mellan databassekretessen enligt 27 kap. 1 § andra stycket 1 OSL och andra primära sekretessbestämmelser som gäller vid handläggning av vissa ärenden i verksamhet vid Skatteverket. Att databassekretessen i dag är tillämplig på ”förande av eller uttag ur beskattningsdatabasen” innebär vidare enligt regeringen att sekretessen omfattar uppgifter som Skatteverket lagrar i databasen, men som inte ingår i handläggningen av ett ärende, exempelvis uppgifter om elförbrukning för företag som väljer att inte söka elstöd. Databassekretessen ska dock inte tillämpas när en uppgift används i en annan del av Skatteverkets verksamhet – dvs. i verksamhet som avser ärendehantering och som omfattas av sekretessbestämmelser med skaderekvisit som avviker från den absoluta databassekretessen.165 Uttalandena stämmer överens med vad som gäller avseende sekretess för uppgifter som andra myndigheter har tillgång till i t.ex. beskattningsdatabasen.
Vi anser att det bör införas nya undantag från de ändrade sekretessreglerna för Skatteverket, Tullverket och Kronofogdemyndigheten. Undantagen ska formuleras så att sekretessen vid förande av eller uttag ur en automatiserad uppgiftssamling inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Dessa undantag kommer därmed att reglera vad som gäller vid berörda myndigheters egen hantering av aktuella uppgifter när de finns hos myndigheterna. Avsikten är att lagfästa och därigenom tydliggöra vad som redan får anses gälla enligt lagstiftarens uttalanden i
165Prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 33.
olika förarbeten (se avsnitt 15.5.2 ovan). Genom undantagen kommer det även att vara tydligt att eventuella undantag från den primära sekretessen i sekretessregler som ska tillämpas i verksamhet med ärendehandläggning kan tillämpas trots den aktuella sekretessen, såsom t.ex. undantaget i 28 kap. 12 § andra stycket OSL.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. OSL innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § OSL är tillämplig i ett ärende, då gäller ändå sekretessen i tillämpliga fall enligt 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket eller 34 kap. 2 § första stycket OSL, vilka föreskriver starkare eller lika stark sekretess som de aktuella bestämmelserna i 21 kap. OSL. På detta sätt försvagas inte det skydd som redan kan finnas för sådana uppgifter i myndigheternas ärendehandläggning.
Vi anser att undantagen ska införas avseende samtliga tre myndigheter även om uttalandena i förarbetena har gjorts avseende Skatteverkets beskattningsverksamhet. Vi har inte funnit att det föreligger någon saklig skillnad mellan den nu gällande regleringen av databassekretessen för de olika databaserna som föranleder att någon skillnad görs myndigheterna emellan.
De föreslagna bestämmelserna om undantag bör införas i 27 kap. 1 § fjärde stycket, 27 kap. 3 § andra stycket och 34 kap. 2 § andra stycket OSL, dvs. i samband med andra redan befintliga undantag respektive i nära anslutning till bestämmelserna som undantagen gäller i förhållande till.
Särskilt om sekretessen vid Kronofogdemyndigheten
I dag gäller som nämnts sekretessen i 34 kap. 2 § första stycket OSL i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt kronofogdedatabaslagen. Sekretessen är således inte tillämplig på uppgifter i t.ex. skuldsaneringsdatabasen eller konkurstillsynsdatabasen.
När det gäller Kronofogdemyndigheten blir det mot denna bakgrund viktigt att avgränsa den ändrade sekretessen till bl.a. myndighetens verksamhet med utsökning och indrivning för att inte åstadkomma några sakliga förändringar. Av den ändrade lydelsen av 34 kap. 2 § första stycket OSL ska det därför framgå att sekretessen gäller i verksamhet med utsökning och indrivning som omfattas av
kronofogdedatalagen. Det avgörande för sekretessens räckvidd blir därmed vad som avses med utsökning och indrivning, på samma sätt som innehållet i utsöknings- och indrivningsdatabasen avgör räckvidden i dag.
I förarbetena till den nu gällande kronofogdedatabaslagen angavs emellertid även att i utsöknings- och indrivningsdatabasen skulle behandlas uppgifter avseende ansökan om och tillsyn över näringsförbud. Därmed skulle även dessa uppgifter komma att omfattas av sekretessen enligt den tidigare bestämmelsen i 9 kap. 19 § andra stycket sekretesslagen när de ingick i databasen. Enligt regeringens mening borde det råda överensstämmelse mellan vilken sekretess som gäller för uppgifter i databasen respektive för uppgifter i den verksamhet för vilken databasen förs.166 Detta borde innebära att databassekretessen motsvarar den sekretess som i dag omfattas av 34 kap. 1 § första stycket OSL vilken omfattar mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen om näringsförbud.
Med utsökning och indrivning ska i den ändrade sekretessregeln i 34 kap. 2 § OSL avses samma verksamhet som i dag omfattas av databassekretessen i utsöknings- och indrivningsdatabasen – vilken alltså i sig har en koppling till den sekretess som gäller enligt 34 kap. 1 § första stycket OSL. Vidare anser vi att sekretessen ska motsvara Kronofogdemyndighetens verksamhet med utsökning och indrivning såsom det anges i den föreslagna bestämmelsen i 2 § första stycket i kronofogdedatalagen. Det ska även anges att sekretessen gäller myndighetens verksamhet med ansökan om och tillsyn över näringsförbud för att det inte ska ske några förändringar av sekretessen i sak. Den föreslagna bestämmelsen i 2 § kronofogdedatalagen är i sin tur inte avsedd att omfatta någon annan verksamhet än vad som anges i 1 kap. 1 § KFMdbL i dag (se avsnitt 7.4.8).
I dag får uppgifter i utsöknings- och indrivningsdatabasen behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m., avräkning vid återbetalning av skatter och avgifter, ansökan om och tillsyn över näringsförbud, förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och
166Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 192.
tillsyn, kontroll, uppföljning och planering av verksamheten. Samtliga uppgifter som behandlas inom ramen för dessa verksamheter kommer därmed att omfattas av den ändrade sekretessbestämmelsen. Det handlar om uppgifter om en fysisk persons identitet, bosättning och familjeförhållanden, en juridisk persons identitet, säte, firmatecknare och andra företrädare, en enskilds ekonomiska förhållanden, näringsförbud, egendom som berörs i ett mål, yrkanden och grunder i ett mål eller ärende, beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende, och Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål. Vidare innefattas uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande.167 Också uppgifter som i dag räknas upp i 2 § förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet kommer fortsatt att omfattas av sekretess enligt den ändrade lydelsen eftersom lagstiftaren redan har bedömt att uppgifterna har koppling till Kronofogdemyndighetens verksamhet med utsökning och indrivning.
I de fall andra myndigheter har direktåtkomst till Kronofogdemyndighetens automatiserade uppgiftssamlingar som innefattar sådana uppgifter som nu har nämnts kommer de alltså fortsatt att omfattas av sekretess med ett omvänt skaderekvisit så länge uppgifterna inte tas ut och används i den mottagande myndighetens verksamhet. Uppgifterna kommer vidare, likt i dag, att omfattas av motsvarande sekretess i Kronofogdemyndighetens egen verksamhet.
Ytterst kommer det att vara upp till rättstillämpningen att avgöra vad som hör till framför allt verksamhet med utsökning och indrivning i de fall det föreligger tveksamhet om detta. Om Kronofogdemyndigheten framöver får ytterligare uppgifter som inte tydligt hör till verksamheten med utsökning och indrivning, får lagstiftaren göra denna bedömning om så är fallet i respektive lagstiftningsärende där detta kan bli aktuellt.
167 Jfr 2 kap. 5 § KFMdbL.
Konsekvenser av ändrade sekretessregler
En fråga som uppkommer med anledning av våra förslag till ändrade sekretessregler är om sekretessens räckvidd som primära sekretessbestämmelser i de aktuella verksamheterna vid Skatteverket, Tullverket och Kronofogdemyndigheten blir vidare genom att bestämmelserna inte längre kommer att ha en koppling till en reglering likt den nu gällande databasregleringen som räknar upp vilka uppgifter som får finnas i respektive databas.
Mot bakgrund av hur databasregleringen är utformad i dag, behandlas den absoluta majoriteten av uppgifter i Skatteverkets beskattningsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet som här är aktuella i beskattningsdatabasen, tulldatabasen respektive utsöknings- och indrivningsdatabasen. Det förekommer dock att vissa uppgifter behandlas utanför databaserna. Till exempel har Skatteverket beskrivit den situationen då en mindre grupp tjänstemän arbetar med ett särskilt ärende avseende revision på ett sätt som innebär att uppgifterna inte bedöms vara gemensamt tillgängliga.168 En stor del av de uppgifter som då behandlas hämtas dock in från beskattningsdatabasen och behandlingen är ofta tillfällig. Vidare kan frågan ställas om t.ex. även uppgifter på enskilda tjänstemäns datorer och lagringsytor på dessa kommer att omfattas av databassekretessen på ett sätt som inte gäller i dag.
Enligt vår bedömning bör förslagen inte innebära någon större saklig skillnad i fråga om vilka uppgifter som kommer att omfattas av den aktuella sekretessen. Som nämnts behandlas redan den största delen av alla uppgifter vid myndigheterna i dag automatiserat inom myndigheternas databaser. Myndigheterna får vidare, liksom i dag, endast behandla uppgifter som är nödvändiga att behandla för att utföra sina författningsreglerade uppgifter. Utöver detta är lydelsen i fråga om att de automatiserade uppgiftssamlingarna ska användas av myndigheterna för de aktuella verksamheterna avsedd att förtydliga att sekretessen inte heller fortsättningsvis omfattar sådana uppgiftssamlingar som endast en eller ett fåtal tjänstemän har tillgång till. I fråga om uppgifter i t.ex. föredragningspromemorior, utkast till beslut eller liknande som finns på enskilda tjänstemäns datorer är dessa inte heller i regel att betrakta som allmänna handlingar enligt reglerna i 2 kap. TF. Uppgifter som enskilda medarbetare i övrigt
168 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 91.
kan ha på sina lokala lagringsutrymmen i datorer och som utgör allmänna handlingar hör i regel till ärendehandläggningen vid myndigheterna vilka alltså omfattas av den sekretess som gäller i det aktuella ärendet. Uppgifter som behandlas av en vidare krets av tjänstemän i t.ex. ett mappsystem i operativsystemet omfattas vidare redan i dag av databassekretessen då de är gemensamt tillgängliga, och så kommer fortfarande vara fallet enligt den föreslagna lydelsen.
Vårt förslag till undantag från den aktuella sekretessbestämmelsen innebär också att sekretessen i 27 kap. 1 § andra stycket 1, 27 kap. 3 § andra stycket och 34 kap. 2 § första stycket inte ska tillämpas om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos respektive myndighet. Det innebär t.ex. att uppgifter som Skatteverket i dag behandlar i ett särskilt ärende om revision utanför beskattningsdatabasen kommer att omfattas av sekretess enligt vad som gäller för ett sådant ärende, dvs. enligt 27 kap. 2 § första stycket 1 OSL. Det föreslagna undantaget bör alltså innebära att inte fler uppgifter än nödvändigt kommer att omfattas av de ändrade sekretessbestämmelserna.
Sådana exempel som nu nämnts saknar betydelse för vilken sekretess som gäller vid andra myndigheters direktåtkomst till uppgifter vid Skatteverket, Tullverket och Kronofogdemyndigheten.
Mot denna bakgrund anser vi att de föreslagna ändringarna inte kommer att medföra någon väsentlig utvidgning av vilka uppgifter som omfattas av sekretess. Detta särskilt inte vid andra myndigheters tillgång till uppgifter hos de berörda myndigheterna genom direktåtkomst. Vidare kommer de uppgifter som i dag endast omfattas av databassekretess enligt vår uppfattning fortsatt omfattas av den aktuella sekretessen när uppgifterna behandlas i en automatiserad uppgiftssamling som någon av myndigheterna använder i sådan verksamhet som föreslås omfattas av sekretessbestämmelserna. Exempelvis innebär det för Skatteverkets del att vissa uppgifter som rör elstöd till företag i de fall företaget inte ansöker om stödet så att sekretessen som gäller vid ärendehandläggningen i 30 kap. 23 § OSL blir tillämplig kommer att omfattas av sådan sekretess trots den ändrade ordalydelsen eftersom den omfattar samma verksamhet som i dag.169
169 Jfr prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 33.
16. Statens personadressregister
16.1. Inledning
Skatteverkets verksamhet med det statliga personadressregistret, SPAR, är en särpräglad verksamhet som sammanfattningsvis syftar till att tillhandahålla information till myndigheter och enskilda. Den information som tillhandahålls är vissa folkbokföringsuppgifter, uppgifter om personer som har tilldelats samordningsnummer, samt uppgifter om inkomst och taxeringsvärde från beskattningsverksamheten. Informationen lämnas ut elektroniskt. Lagen (1998:527) om det statliga personadressregistret, SPAR-lagen, och den tillhörande förordningen (1998:1234) om det statliga personadressregistret, SPARförordningen, skiljer sig därför på flera sätt från övriga författningar som ingår i vår översyn. Bedömningar och överväganden vi redogjort för i andra sammanhang är därför inte med självklarhet giltiga även för SPAR-verksamhetens del.
Liksom för övriga verksamheter omfattar dock vårt uppdrag avseende Skatteverkets SPAR-verksamhet att föreslå ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EUrättsliga dataskyddsregleringen, samtidigt som den enskildas personliga integritet värnas. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag. En översyn av struktur och terminologi ingår också i uppdraget, bl.a. i syfte att modernisera språket och att använda enhetliga begrepp i förhållande till främst annan dataskyddsreglering. Vårt uppdrag omfattar även att se över bl.a. bestämmelser om sökbegrepp och överväga frågor som rör längsta tid för behandling av personuppgifter.
I detta kapitel redogör vi för verksamheten med SPAR, Skatteverkets ansvar för verksamheten, samt befintlig reglering av registret och personuppgiftsbehandling i det. Slutligen gör vi bedömningar av
i vilka avseende befintlig reglering behöver förändras och lämnar förslag på en uppdaterad och mer ändamålsenlig reglering.
En redogörelse för den allmänna dataskyddsregleringen finns i avsnitten 3.2.5 och 3.2.6.
16.2. SPAR-verksamheten
16.2.1. Allmänt om SPAR
Ett offentligt register
SPAR är ett offentligt register som bl.a. omfattar uppgifter om alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret finns även uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik.
Syftet med SPAR är att lämna ut uppgifter om personer som omfattas av registret elektroniskt under förutsättning att mottagaren uppfyller vissa villkor. Grunden för utlämnande av uppgifter ur SPAR är offentlighetsprincipen. Uppgifterna i SPAR får behandlas (lämnas ut) för två olika ändamål. Dels kontrolländamål, dvs. att aktualisera, komplettera och kontrollera personuppgifter, dels urvalsändamål, dvs. att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet.
SPAR finansieras uteslutande via försäljningsintäkter som över tid motsvarar verksamhetens självkostnad. Bland SPAR:s kunder återfinns de flesta stora banker, försäkringsbolag och flera av landets kreditupplysningsföretag. Under 2022 lämnade SPAR ut cirka 106 miljoner adressposter via tjänsten personsökning, som används av närmare 3 000 olika företag och institutioner i Sverige. Under samma år lämnade SPAR ut cirka 150 miljoner adressposter via aviseringstjänster som nyttjas av ungefär 600 företag för att hålla sina register uppdaterade.
SPAR och sekretess
SPAR innehåller i dag enbart uppgifter som hämtas från Skatteverkets folkbokförings- och beskattningsverksamheter. SPAR-verksamheten har dock organisatoriskt sett en så fristående ställning inom Skatteverket att den i sekretesshänseende utgör en självständig verksamhetsgren.
En grundläggande princip i offentlighets- och sekretesslagen (2009:400), OSL, är att sekretess inte enbart gäller mot enskilda utan också mellan myndigheter och mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Sekretess hindrar dock inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § OSL). För att sekretessbelagda uppgifter ska kunna lämnas ut från olika självständiga verksamhetsgrenar inom en myndighet krävs alltså att det finns en sekretessbrytande bestämmelse i författning.
Som utgångspunkt gäller absolut sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden i Skatteverkets beskattningsverksamhet och för uppgifter som behandlas i beskattningsdatabasen.1 För uppgift om en enskilds personliga förhållanden i Skatteverkets folkbokföringsverksamhet finns en presumtion för offentlighet.2 För vissa särskilt angivna uppgifter eller ärenden gäller dock absolut sekretess eller en presumtion för detsamma.3 I SPARförordningen finns en sekretessbrytande bestämmelse som möjliggör utlämnande av uppgifter från Skatteverkets beskattnings- och folkbokföringsverksamheter till SPAR-verksamheten.4
Bestämmelsen om folkbokföringssekretess gäller i första hand inom folkbokföringsverksamheten. För att sekretessen inte ska kunna kringgås när uppgifterna behandlas i andra register är bestämmelsen tilllämplig även på annat befolkningsregister, t.ex. SPAR.5 Det innebär att när uppgifter från folkbokföringsverksamheten och beskattningsverksamheten överförs till SPAR skyddas dessa av folkbokföringssekretess. Sekretess gäller då för uppgifter om enskilds personliga förhållanden endast om det av särskild anledning kan antas att den
1 27 kap. 1 och 2 §§ OSL. 222 kap. 1 § första stycket OSL. 322 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL. 4 4 § SPAR-förordningen. 5Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 210–211.
enskilde eller någon närstående till denne lider men om uppgiften röjs.
16.2.2. Historik
Ett skäl som motiverade införandet av datalagen (1973:289) var att olika aktörer hade inrättat kommersiella register över hela den svenska befolkningen för bl.a. personkontroll och urvalsdragningar.6 Även inom den offentliga sektorn fanns vid tidpunkten ett stort antal offentliga befolkningsregister. Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) föreslog därför att ett centralt, statligt, ADBbaserat7 personregister skulle bildas i syfte att minimera behovet av omfattande befolkningsregister och därigenom reducera riskerna för otillbörliga integritetsintrång. Riksdagen beslutade 1976 om inrättandet av Samordnat Person- och AdressRegister, och att privata befolkningsregister inte längre skulle få föras för bl.a. personkontroll och urvalsdragningar.
Ändamålet med SPAR skulle vara registeruppdatering, personnummerkontroll, personnummersökning och urvalsdragningar. Den statliga myndigheten Datacentralen för administrativ databehandling, DAFA, tilldelades totalansvaret för SPAR, som togs i drift 1978.
1981 lagreglerades SPAR genom att bestämmelser om registret infördes i 26–28 §§datalagen. Bestämmelserna avsåg bl.a. för vilka ändamål uppgifterna i SPAR fick användas, var uppgifterna hämtades från samt att den som begärde att få uppgifter ur en myndighets personregister skulle hänvisas till SPAR. Datalagens bestämmelser kompletterades från samma år genom bestämmelserna i förordningen (1981:4) om det statliga person- och adressregistret. I förordningen fanns bl.a. bestämmelser om vilka uppgifter SPAR fick innehålla, samt begränsningar av utlämnande av uppgifter från och sökning i SPAR.
När DAFA ombildades till bolag år 1986 inrättades myndigheten Statens person- och adressregisternämnd (SPAR-nämnden). Nämnden övertog huvudmannaskapet och registeransvaret för SPAR. Riksdagen gjorde bedömningen att den myndighet som övertog ansvaret för SPAR skulle vara fristående från såväl de sakansvariga myndig-
6 Avsnitt 16.2.2 är baserat på SPAR-utredningens slutbetänkande SOU 2005:61, Personuppgifter
för samhällets behov, s. 33–36.
7 ADB är en förkortning för automatisk databehandling.
heterna (Datainspektionen och dåvarande Riksskatteverket) som från drift- och försäljningsorganisationen. SPAR-nämnden skapades i syfte att tillfälligt lösa frågan om huvudmannaskapet för SPAR. Själva nämnden fick en parlamentarisk sammansättning och kansligöromålen sköttes av en värdmyndighet.
Aviseringsutredningen, som tillsattes 1992 med uppdrag att utreda frågan om den framtida aviseringen av folkbokföringsuppgifter, föreslog att ett nytt centralt aviseringsregister skulle inrättas inom dåvarande Riksskatteverket och att detta register skulle överta SPARs funktioner.8 Ansvaret för ett register med den viktiga samhällsfunktionen att förse alla myndigheter med nödvändiga befolkningsuppgifter borde enligt utredningen ligga hos den myndighet inom vilken uppgifterna samlades in. Utredningens förslag mötte dock motstånd hos såväl några av utredningens egna experter som hos vissa remissinstanser och regeringen tog inte ställning till frågan om det nya aviseringsregistret även skulle ta över SPAR:s funktioner.
Grunddatabasutredningen tillkallades våren 1996 med uppdrag att överväga hur vissa databasers tillgänglighet, service och kvalitet skulle kunna förbättras. Utredningen föreslog inrättandet av en ny myndighet; Nämnden för utveckling av samhällets grunddata. Den nya nämnden skulle bl.a. bli huvudman för SPAR och överta SPARnämndens funktioner.9 Grunddatabasutredningens förslag behandlades i den s.k. förvaltningspolitiska propositionen10 där regeringen konstaterade att frågan om en ny myndighet för samhällets grunddata krävde ytterligare beredning. I propositionen uttalade regeringen dock att det borde vara ett offentligt åtagande att hålla ett register med befolkningsuppgifter av hög kvalitet för att tillgodose behovet av kontroll av personuppgifter. Sammanfattningsvis ansåg regeringen att SPAR fortsatt hade en viktig samhällsfunktion att fylla och att det skulle finnas kvar tills vidare.
För att se över SPAR och bl.a. förbereda ett byte av värdmyndighet för SPAR-nämnden tillsattes SPAR-utredningen 2004 (Fi 2004:06). Utredningens uppdrag var bl.a. att utreda och föreslå hur myndigheters, företags och andra organisationers behov av folkbokföringsuppgifter skulle tillgodoses i framtiden. SPAR-utredningen föreslog att det statliga åtagandet skulle fullgöras med utgångspunkt från
8SOU 1994:44, Folkbokföringsuppgifterna i samhället. 9SOU 1997:146, Grunddata – i samhällets tjänst. 10Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst.
Skatteverkets folkbokföringsdatabas och att den särskilda databasen SPAR borde avvecklas. Det statliga åtagandet att tillhandahålla folkbokföringsuppgifter för samhällets behov borde enligt utredningen fullgöras av Skatteverket, och SPAR-nämnden borde avvecklas. Utredningen föreslog därför att uppdraget i sin helhet skulle föras över till Skatteverket.11 Förslaget genomfördes dock inte.
16.2.3. Skatteverkets ansvar för SPAR
Skatteverket ansvarar för SPAR sedan 2009
Som framgår ovan har det över tid funnits olika förslag i fråga om hur det offentliga åtagandet att försörja myndigheter och enskilda med information ska utformas. SPAR-utredningens förslag om att föra över verksamheten i dess helhet till Skatteverkets folkbokföringsverksamhet och att upphäva SPAR-lagen har inte genomförts. Verksamheten med SPAR utgör alltså en självständig verksamhetsgren inom Skatteverket och SPAR utgör ett från folkbokföringsdatabasen skilt register. Uppgifterna hämtas dock huvudsakligen från folkbokföringsdatabasen och i mindre utsträckning från beskattningsdatabasen.
Av SPAR-lagen framgår inte att det är Skatteverkets ansvar att bedriva verksamheten med det statliga personadressregistret. Ansvaret framgår i stället av SPAR-förordningens bestämmelse om personuppgiftsansvar. År 2009 fick Skatteverket överta ansvaret för SPAR från den tidigare myndigheten Statens personadressregisternämnd, och hade då redan varit värdmyndighet för nämnden sedan 2005.
När Skatteverket tog över ansvaret för SPAR tog myndigheten också fram ett nytt tekniskt system för registret. Drift och förvaltning av SPAR har dock upphandlats och sköts i dag av ett privat bolag som även bemannar SPAR:s kundtjänst.12 Utöver kundtjänst består den upphandlade driften av förvaltning av registret, utveckling och underhåll av de elektroniska tjänsterna, kundsupport samt verkställande av utlämnande efter beslut av Skatteverket. Skatteverket har dock beslutat att driva SPAR-verksamheten i egen regi efter att nuvarande avtal med driftleverantören löper ut.
11 Se SOU 2005:61, Personuppgifter för samhällets behov. 12 Bolaget är Tieto Sweden AB. Nuvarande avtal går dock ut sommaren 2024. Fram till att Skatteverket övertog ansvaret för SPAR var det bolaget InfoData AB, tidigare statligt ägda DAFA AB, som i sin tur ursprungligen var en statlig myndighet, som driftade SPAR.
Skatteverkets tjänster i SPAR
Skatteverket erbjuder flera olika tjänster som innebär utlämnande av personuppgifter från SPAR.13
Tjänsten Urval kan erhållas för uttag vid ett tillfälle eller som prenumeration. Resultatet av tjänsten är en fil med namn och adressuppgifter som kunden hämtar elektroniskt och får använda i upp till tre månader. Syftet med tjänsten är att ge aktörer på marknaden möjlighet att från SPAR få namn och adressuppgifter att användas vid direktreklam, marknadsundersökning, opinionsbildning, samhällsinformation, forskning eller liknande.
Tjänsten Urvalssimulering är kostnadsfri och ger en ungefärlig uppgift om vad ett visst urval resulterar i avseende antal personposter och kostnad.
Tjänsten Personsökning erbjuder åtkomst till SPAR för att aktualisera, komplettera och kontrollera personuppgifter. Tjänsten består av två delar. En del är möjligheten att slå upp enskild person genom att ange personnummer. Under förutsättning att personens identitet är styrkt eller sannolik kan en person även slås upp genom att ange samordningsnummer. Om personen finns i SPAR visas personinformationen, om inte visas ett felmeddelande. Den andra delen är möjligheten till sökning efter personer genom att ange namn och adress, alternativt födelsetidsintervall eller en kombination av födelsetidsintervall, namn och adress. Alla personer i SPAR som matchar sökningen visas i en lista, alternativt visas ett felmeddelande om antalet träffar är för stort. Listan visar personnummer, namn och adress. När sökning görs med namn och adress utförs sökningen även mot historiska uppgifter tre år bakåt i tiden.
Aviseringstjänsterna förser kunder med personuppgifter från SPAR
för att aktualisera, komplettera och kontrollera personuppgifter i egna register. Detta sker genom att uppgifter ur SPAR aviseras via fil till kunden. Uppgifter som lämnas ut är i regel endast namn och adress. Myndigheter, banker och försäkringsbolag har tillgång till ytterligare några uppgifter. Beskattningsuppgifter för enskilda personer lämnas endast ut till polis- och tullmyndighet.
13 Informationen i detta stycke framgår av SPAR-verksamhetens webbsida tillgänglig: https://www.statenspersonadressregister.se/master/start/vaara-tjaenster [hämtad: 2023-02-01].
Tjänsten Bruttoavisering utgör en möjlighet till en särskild leveransmetod från SPAR som är riktad till de företag som hanterar personuppgifter för en betydande del av befolkningen. Kunden erhåller genom tjänsten aktuella uppgifter för alla personposter i SPAR som har ändrats sedan ett angivet datum eller vid prenumeration sedan föregående avisering. En förutsättning för att få bruttoavisering är att registret omfattar minst cirka 2,5 miljoner personer (dvs. en betydande del av befolkningen). Den som får tillgång till bruttoavisering måste förbinda sig att genast gallra de uppgifter som rör personer som inte är mottagarens kunder eller medlemmar.
Tjänsten Personnummerersättning syftar till att ge kunden möjlighet att kvalitetssäkra personuppgifter i sina befintliga register. Kunden lämnar in en fil som innehåller namn- och adressuppgifter till SPAR och tjänsten söker ut de personer som matchar de inlämnade uppgifterna och kompletterar dem med personnummer. För varje inlämnad uppgift anges om matchning kunnat göras. En träff kan vara unik eller ge flera alternativa personposter att välja mellan.
Tjänsten Utlämnande av Reklamspärr syftar till att ge aktörer på marknaden möjlighet att komplettera sina egna register med uppgift om vilka personer som i SPAR angivit att de inte vill ha direktadresserad reklam. För att denna uppgift ska kunna lämnas ut elektroniskt måste respektive person ha gett sitt samtycke till det.
16.2.4. SPAR-nämnden
SPAR-nämnden är i dag en av regeringen utsedd nämnd inom Skatteverket.14 Nämnden beslutar i vissa frågor kring SPAR och ska särskilt vaka över frågor som har att göra med den personliga integriteten och användandet av SPAR. Nämnden fattar bl.a. beslut i frågor som rör s.k. bruttoavisering, dvs. en avisering av aktuella uppgifter för alla personposter i SPAR som har ändrats sedan ett angivet datum eller vid prenumeration sedan föregående avisering. Nämndens sammansättning regleras i Skatteverkets instruktion och den består av
14 Den statliga myndigheten Statens person- och adressregisternämnd kom under 1998 att byta namn till Statens personadressregisternämnd (även kallad SPAR-nämnden). Myndigheten var ansvarig och personuppgiftsansvarig för registret innan Skatteverket tog över uppgiften. Jfr förordningen (2007:874) med instruktion för Statens personadressregisternämnd.
en ordförande och ytterligare fem ledamöter. Fyra av nämndens ledamöter ska vara riksdagsledamöter eller före detta riksdagsledamöter.15
16.3. Nuvarande reglering av behandling av personuppgifter i SPAR
16.3.1. Bakgrund
Fram till SPAR-lagens tillkomst reglerades SPAR genom bestämmelser i datalagen, samt i en särskild förordning. I samband med SPARlagens tillkomst skulle datalagen upphävas och ersättas av personuppgiftslagen (1998:204) som skulle genomföra dåvarande EG:s nya dataskyddsdirektiv.16
Regeringen konstaterade i SPAR-lagens förarbeten att personuppgiftslagen skulle komma att omfatta all automatiserad behandling av personuppgifter och det väckte frågan om en särskild lagreglering av SPAR. Med hänsyn till att särregler i annan lagstiftning skulle ta över bestämmelserna i personuppgiftslagen behövde frågan om SPAR och dess reglering ses direkt i ljuset av dataskyddsdirektivet.17 Grundförutsättningarna för SPAR behövde enligt regeringen regleras på ett utförligare sätt än tidigare, i en särskild lag. Vilka uppgifter registret fick innehålla var vid tidpunkten reglerat i förordning, men enligt regeringen skulle bestämmelserna ges lagform.18
Vad gällde utformningen av lagens bestämmelser ansåg regeringen att vissa skärpningar i förhållande till vad som tidigare gällde skulle införas gällande urvalsdragningar, bl.a. av integritetsskäl, och att lagen skulle anpassas genom hänvisningar till personuppgiftslagen. Däremot skulle samma ändamålsbestämmelser gälla som i datalagen.
Utlämnandet av uppgifter bedömdes vara en viktig fråga som enligt regeringen aktualiserade allmänna integritetsaspekter men också principerna i dataskyddsdirektivet. En effekt av detta var att det enligt regeringen behövde ses noggrannare på utlämnande av uppgifter i SPAR och för folkbokföringsuppgifterna i SPAR behövdes exempelvis vissa inskränkningar beträffande utlämnandet. Regeringen skulle
1527–29 §§ förordningen (2017:154) med instruktion för Skatteverket. 16 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 17Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 69 och 72. 18Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 74.
dock genom ett särskilt bemyndigande ges rätt att meddela föreskrifter om dessa inskränkningar i förordning.
Integritetsskäl motiverade även att sökningar i SPAR inte skulle vara helt fritt. Regeringen skulle även här ges ett särskilt bemyndigande att besluta dessa inskränkningar i förordning19 Sammanfattningsvis ansåg regeringen att behandlingen av personuppgifter i SPAR i de former som framgick av förslaget till lagreglering var förenlig med dataskyddsdirektivet.20
Efter SPAR-lagens ikraftträdande har den genomgått ett flertal förändringar varav några aktuella redogörs för nedan.
Anpassning till dataskyddsförordningen
Inför att EU:s dataskyddsförordning skulle börja tillämpas gjordes en allmän översyn av samtliga författningar som omfattas av vårt uppdrag. Vad avser SPAR-verksamheten genomfördes det generella förändringar i lagen som innebar att hänvisningar till personuppgiftslagen togs bort och bestämmelser om lagens förhållande till dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, infördes. Det infördes också en bestämmelse med en begränsning av rätten att göra invändningar mot behandlingen och en upplysning om att den registrerades rätt att invända mot behandling av personuppgifter för direkt marknadsföring enligt dataskyddsförordningen.21
Förändringar med anledning av ny reglering kring samordningsnummer
Samordningsnummer är i dag en av de uppgifter som får behandlas i SPAR. Tidigare var förutsättningen för behandlingen i registret att det inte rådde osäkerhet om de aktuella personernas identitet.
Systemet med samordningsnummer har dock nyligen förändrats och bestämmelser om samordningsnummer regleras sedan september 2023 i lagen (2022:1697) om samordningsnummer. Samordningsnummer kan numera tilldelas i tre nivåer beroende på vilken identitets-
19Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 76–78. 20Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 73. 21Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 104–105.
kontroll som föregått tilldelningen och uppgift om detta registreras i folkbokföringsdatabasen. Indelningen av samordningsnummer i tre nivåer innebär även att mottagare av uppgifter från folkbokföringsdatabasen får tydlig information om vilken kontroll som föregått tilldelningen. Informationen utgör en helhetsbedömning av om den enskildes identitet är styrkt, sannolik eller osäker. Den högsta nivån tilldelas den som har styrkt sin identitet vid personlig inställelse.
I samband med den nya lagens tillkomst uttalade regeringen att det var centralt att mottagare av uppgifter från SPAR får information om vilken kontroll som föregått tilldelningen och med vilket mått av säkerhet registrerade uppgifter stämmer överens med verkliga förhållanden. Regeringen bedömde att samordningsnummer som tilldelats efter att den enskilde har styrkt sin identitet eller gjort sin identitet sannolik skulle få behandlas i SPAR, och att sannolik i praktiken kommer att motsvara de styrkta samordningsnummer som tidigare fick behandlas i SPAR. Regeringen föreslog att det i SPAR, utöver vad som dittills gällt, även skulle få anges uppgift om den enskildes identitet var styrkt eller sannolik i ärenden om tilldelning eller förnyelse av samordningsnummer. Samordningsnummer med uppgift om osäker identitet skulle dock inte få behandlas i SPAR. Privata aktörer som tar emot uppgifter från SPAR kan alltså inte få uppgifter om en person som innehar ett sådant nummer.22
16.3.2. Regleringen av SPAR
SPAR-lagen
Allmänna bestämmelser
I 1 § SPAR-lagen anges att för de ändamål som anges i 3 § ska det med hjälp av automatiserad behandling föras ett statligt personadressregister (SPAR). Registret får användas av myndigheter och enskilda.
Enligt 2 § första stycket SPAR-lagen innehåller lagen bestämmelser som kompletterar EU:s dataskyddsförordning. Av 2 § andra stycket framgår att vid behandling av personuppgifter gäller dataskyddslagen och föreskrifter som meddelats med anslutning av den, om inte
22Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 90–91.
annat följer av SPAR-lagen eller föreskrifter som meddelats i anslutning till den.
Registerändamål
I 3 § SPAR-lagen anges de ändamål som uppgifterna i SPAR får behandlas för. Enligt 3 § 1 får uppgifter behandlas för att aktualisera, komplettera och kontrollera personuppgifter (det s.k. kontrolländamålet). Enligt 3 § 2 får uppgifter behandlas för att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (det s.k. urvalsändamålet).
Rätten att göra invändningar
Av 3 a § första stycket SPAR-lagen framgår att rätten att göra invändningar enligt 21.1 i dataskyddsförordningen inte gäller för behandling som är tillåten enligt lagen, eller föreskrifter som meddelats i anslutning till den. I 3 a § andra stycket finns en upplysningsbestämmelse som anger att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.
Registerinnehåll
I 4 § första stycket SPAR-lagen finns en förteckning över vilka uppgifter SPAR får innehålla, bl.a. namn, adress, make eller vårdnadshavare samt vissa uppgifter om inkomst och ägande av fastighet. I bestämmelsen regleras även vilka personer uppgifter får registreras om. Det är personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Av 4 § andra stycket framgår att på begäran av en registrerad ska det i SPAR också anges att uppgifter om denne inte får behandlas vid urvalsdragningar enligt 3 § 2 för direktreklam.
Av 5 § SPAR-lagen framgår att uppgifter som avses i 4 § första stycket ska hämtas från folkbokföringsdatabasen enligt lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, FdbL, samt från beskattningsdatabasen enligt lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Utlämnande av uppgifter
I 6 § SPAR-lagen anges att en enskild som begär att en myndighet ska lämna ut personuppgifter för kontroll- eller urvalsändamål som avses i 3 § ska hänvisas till SPAR, om inte annat följer av lag eller förordning.
Enligt 7 § första stycket SPAR-lagen får uppgifter från beskattningsdatabasen enligt lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet i elektronisk form endast lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket.
Enligt 7 § andra stycket får regeringen meddela föreskrifter om ytterligare begränsningar när det gäller utlämnande av uppgifter i elektronisk form.
Sökbegrepp
Av 8 § SPAR-lagen framgår att regeringen får föreskriva om begränsningar av sökbegreppen för SPAR.
SPAR-förordningen
Allmänna bestämmelser
Av 1 § SPAR-förordningen framgår att förordningen innehåller föreskrifter om behandlingen av personuppgifter som avses i SPAR-lagen.
I 2 § SPAR-förordningen anges att Skatteverket är personuppgiftsansvarigt för SPAR och att driften av SPAR får vara förlagd till servicebyråer.
I 2 a § SPAR-förordningen regleras SPAR-nämndens uppgifter. Av bestämmelsen framgår att Skatteverkets beslut i frågor som avses i 8 a § och 12 § första stycket i förordningen (dvs. bruttoavisering
och viss sökning för urvalsändamål) ska fattas av en särskild nämnd inom verket. Om det finns skäl för det, får Skatteverket bestämma att nämnden ska fatta beslut även i annat enskilt ärende enligt SPARlagen eller förordningen.
Av 3 § SPAR-förordningen framgår att användningen av SPAR får vara avgiftsbelagd.23
Inhämtande av uppgifter
I 4 § SPAR-förordningen anges att de uppgifter som avses i 5 § SPAR-lagen ska lämnas i elektronisk form till verksamheten med SPAR. Av bestämmelsen framgår även att sekretess inte hindrar att uppgifterna lämnas ut.
Utlämnande av uppgifter i elektronisk form
I 5–9 §§ SPAR-förordningen finns bestämmelser som begränsar utlämnandet av uppgifter från SPAR.
Exempelvis framgår av 5 § att uppgifter om adress och folkbokföringsort avseende en person under 16 år endast får lämnas ut för kontrolländamål. Av 7 § framgår att uppgifter om svenskt medborgarskap endast får lämnas ut till Centrala studiestödsnämnden, Bolagsverket, Polismyndigheten, Säkerhetspolisen och Tullverket, och i 8 a § regleras den särskilda form av utlämnande som kallas bruttoavisering.
Informationsskyldighet
Av 10 § SPAR-förordningen framgår att vid utlämnande av uppgifter om namn och adress för direktreklam enligt 3 § 2 SPAR-lagen ska Skatteverket se till att den som hämtar uppgifterna ur SPAR informerar de registrerade om att uppgifterna hämtats ur SPAR och om adress dit de kan vända sig i frågor rörande SPAR.
23 Avgifternas storlek regleras dock av 5 § andra stycket avgiftsförordningen (1992:191). Enligt 38 § förordningen (2017:154) med instruktion för Skatteverket ska Skatteverket disponera intäkterna från avgifterna.
Sökbegrepp
I 12–13 §§ SPAR-förordningen finns bestämmelser som begränsar möjligheten att använda vissa sökbegrepp.
Statistiska bearbetningar
Av 13 § SPAR-förordningen framgår att de uppgifter som får behandlas i SPAR enligt 4 § första stycket SPAR-lagen även får behandlas för statistiska bearbetningar med sökbegrepp som är tillåtna enligt 12 § i samma förordning, om resultaten redovisas i en avidentifierad form.
Misstanke om oriktig uppgift
1 14 § SPAR-förordningen anges att vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till Skatteverket.
Gallring
I 15–16 §§ SPAR-förordningen finns bestämmelser om när olika uppgifter i SPAR ska gallras.
Bemyndigande för Skatteverket
I 17 § SPAR-förordningen bemyndigas Skatteverket att meddela föreskrifter om giltighetstid för Skatteverkets beslut enligt SPARlagen och förordningen, giltighetstid för användning av uppgifter som har lämnats ut för urvalsändamål, och villkor för säkerhet och hantering vid utlämnande av uppgifter i elektronisk form ur SPAR.
Skatteverkets föreskrifter
Skatteverket har meddelat föreskrifter (SKVFS 2011:6) om utlämnande av uppgifter ur SPAR.24 I förskrifterna definieras olika begrepp, bl.a. SPAR-tjänst, dvs. en tjänst som erbjuds av SPAR inom ramen för de ändamål som anges i lagen.25
Vidare anges i föreskrifterna hur en ansökan om tillgång till SPAR ska göras och hur en begäran om direktreklamspärr går till.26 Även giltighetstid för vissa beslut om uttag regleras genom särskilda föreskrifter, liksom hur länge vissa uppgifter är giltiga och hur länge uppgifter är tillgängliga för registrets kunder.27
Skatteverket har även föreskrivit om viss informationsskyldighet för den som erhållit namn- och adressuppgifter ur SPAR för direktreklam, samt de i huvudsak tekniska villkor som gäller för att få tillgång till SPAR-tjänsterna.28
16.4. Överväganden och förslag
16.4.1. Verksamhetens särprägel
Vår bedömning: De generella överväganden och förslag som tidi-
gare redogjorts för är endast i begränsad utsträckning tillämpliga vid översynen av SPAR-verksamhetens reglering.
Skälen för vår bedömning
I förarbetena till anpassningen av SPAR-lagen till dataskyddsförordningen uttalade regeringen att det i och för sig borde kunna hävdas att det är en rättslig förpliktelse för Skatteverket att föra SPAR. Regeringen konstaterade dock även att regleringen i lagen och förordningen om SPAR inte fullt ut var utformad så att det tydligt framgår att Skatteverket har ålagts en sådan förpliktelse.29 Regleringen av SPAR-verksamheten är alltså särpräglad på det sättet att det inte med
24 Ändrade genom SKVFS 2021:1. 25 1 §. 26 2–3 §§. 27 4–9 §§. 28 10–14 §§. 29Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 87.
självklarhet ankommer på just Skatteverket att vidta de åtgärder som uppdraget kräver, till skillnad från exempelvis beskattningsverksamheten eller folkbokföringsverksamheten. I dag är Skatteverket ansvarigt för SPAR men under de drygt 45 år som registret funnits har olika aktörer haft ansvar för verksamheten. Uppdraget att tillhandahålla SPAR är vidare mycket avgränsat, och till skillnad från de övriga verksamheter som aktualiseras i vårt uppdrag finns det inte något inslag av kontrollverksamhet i det.
En avgörande skillnad mellan SPAR-författningarna och övriga registerförfattningar som omfattas av vår översyn är dock att SPARförfattningarna utgör en reglering av ett regelrätt register och inte personuppgiftsbehandling i en verksamhet.
Avseende registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten har vi gjort ett flertal gemensamma överväganden och bedömningar, samt lämnat förslag på bestämmelser som är i princip likalydande, se kapitel 5–14. Det har varit möjligt eftersom systematiken och strukturen i de befintliga författningarna har stora likheter. De verksamheter som omfattas av registerförfattningarnas tillämpningsområde regleras dessutom i sak i andra författningar. För SPARverksamheten finns dock ingen annan reglering i sak än den som redogjorts för ovan. Det innebär att flera av de överväganden och förslag vi lämnat i övrigt inte är aktuella i detta sammanhang. Att samma principiella frågor som aktualiserats i övriga registerförfattningar inte gör sig gällande avseende SPAR-författningarna innebär inte att det saknas behov av den allmänna översyn vårt uppdrag omfattar, vilket vi utvecklar i avsnitten nedan.
16.4.2. En ny lag och förordning
Vårt förslag: SPAR-lagen med tillhörande förordning ska ersättas
av nya författningar, lagen om det statliga personadressregistret och förordningen om det statliga personadressregistret.
Skälen för vårt förslag
Förändringsbehovet
SPAR-författningarna infördes för ungefär 25 år sedan och har inte genomgått någon grundlig översyn sedan dess. Enligt vår bedömning finns det därför ett generellt behov av modernisering och redaktionella ändringar i syfte att skapa ökad tydlighet (se bl.a. avsnitt 16.4.4). Det finns även ett behov av större enhetlighet med övrig dataskyddsreglering avseende lagens syfte (se avsnitt 16.4.5). Regleringen av personuppgiftsansvar bör dessutom förtydligas (se avsnitt 16.4.6) och vissa bestämmelser bör upphävas (se avsnitt 16.4.9). I syfte att anpassa regleringen av SPAR till övrig dataskyddsreglering bör det vidare införas bestämmelser i lag och förordning som reglerar längsta tid för behandling, och bestämmelser som reglerar gallring bör upphävas (se avsnitt 16.4.8).
Vi har dessutom identifierat vissa behov av materiella förändringar avseende myndigheters rätt att ta del av uppgifter i SPAR (avsnitt 16.4.12). Vissa bestämmelser som i dag finns i lag bör enligt vår bedömning dessutom regleras på förordningsnivå (avsnitt 16.4.11), och en bestämmelse som i dag finns i förordning bör lämpligen finnas i lag (avsnitt 16.4.7). Enligt vår mening bör vidare den sekretessbrytande bestämmelsen i SPAR-förordningen i fortsättningen motsvaras av bestämmelser i de nya förordningarna om utlämnande av uppgifter från Skatteverkets beskattnings- och folkbokföringsverksamheter, se avsnitten 16.4.9,13.5.3 och 13.6.2.
Finns det skäl att skilja dataskyddreglering från materiell reglering?
En av våra utgångspunkter är att dataskyddsregleringen inte bör omfatta materiell reglering (se avsnitt 5.2.6). Frågan är då om det finns skäl att skilja ut SPAR-lagens dataskyddsbestämmelser från den materiella regleringen. Sådana förändringar har genomförts eller utreds för närvarande avseende andra författningar som i likhet med SPARlagen reglerar faktiska register.
Regeringen har exempelvis i lagstiftningsärendet om att ersätta lagen (2001:558) om vägtrafikregister med två nya lagar (en vägtrafikdatalag och en lag om fordons registrering och användning) bedömt att krav på funktionalitet och effektivitet samt på skydd för enskildas
personliga integritet bättre tillgodoses genom att bestämmelser som avser behandling av personuppgifter skiljs från bestämmelser av materiell art.30 Under juni 2022 beslutades dessutom kommittédirektivet Ett säkrare och mer tillgängligt fastighetsregister.31 I direktiven anges att lagen (2000:224) om fastighetsregister reglerar förutsättningarna för åtkomst till personuppgifter i fastighetsregistret i digital form, men att den också innehåller materiella bestämmelser om bl.a. registrets innehåll. I direktiven konstateras att lagen om fastighetsregister i detta avseende skiljer sig från nyare lagstiftning där dataskyddsbestämmelserna har placerats i en särskild lag, skild från själva registerlagen. Utredningen bör därför enligt direktiven överväga motsvarande regleringsmodell för fastighetsregistret.32
Om samma regleringsmodell som i de två exemplen ovan även kunde motiveras för SPAR-verksamheten skulle vi alltså föreslå två nya lagar; en som reglerar registret och en som reglerar personuppgiftsbehandlingen i det. SPAR skiljer sig dock i centrala delar både från de två ovan nämnda registren. Vägtrafikområdet är exempelvis ett komplext område med en stor mängd olika verksamheter av varierande karaktär.33 Vägtrafikregistret används i huvuddelen av Transportstyrelsens totala verksamhet och personuppgifter får behandlas för flera olika ändamål.34 Även fastighetsregistret, som är Sveriges offentliga register över hur marken i landet är indelad och över vem som äger vad, förs av Lantmäteriet för flera olika ändamål.35 De två registrens funktion och omfattning har enligt vår bedömning större likheter med beskattningsdatabasen och folkbokföringsdatabasen än med SPAR (se avsnitten 9.3.1 och 9.3.2).
Som redan nämnts är verksamheten med SPAR avgränsad. Uppgifterna förändras eller förädlas inte inom verksamheten, utan förs genom SPAR enbart vidare från en myndighet till enskilda eller en annan myndighet. Registret förs dessutom för endast två ändamål av likartad karaktär. Vi bedömer därför att de skäl som i andra verksam-
30Prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon
på vägtrafikområdet, s. 61.
31 Dir. 2022:94. 32 Dir. 2022:94, Ett säkrare och mer tillgängligt fastighetsregister, s. 8. 33Prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon
på vägtrafikområdet, s. 41.
34 Se 2 kap.3, 7, 11, 14 och 16 §§vägtrafikdatalagen (2019:369) för de primära ändamålen. Se även 2 kap. 4–6, 8–10, 12–13, 15, och 17 §§ samma lag för de sekundära ändamålen. Jfr även prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon på
vägtrafikområdet, s. 81.
35 Se 7 § lagen om fastighetsregister.
heter starkt kan tala för att skilja dataskyddsbestämmelser från bestämmelser av materiell art inte gör sig gällande för SPAR-verksamheten.
En ny lag och förordning
I avsnitt 6.2 har vi redogjort för vår bedömning att personuppgiftsbehandlingen i SPAR-verksamheten även fortsättningsvis bör regleras i lagform. De förändringsbehov vi identifierat innebär dock ändringar i SPAR-lagen och SPAR-förordningen av både innehållsmässig, strukturell och redaktionell karaktär. Frågan är då om det finns skäl att genomföra förändringarna genom ändringar i de befintliga författningarna eller genom införandet av nya författningar.
I samband med införandet av nya lagar om personuppgiftsbehandling på brottsdatalagens område för bl.a. Tullverket och Skatteverket hade regeringen ursprungligen föreslagit förändringar av de då gällande lagarna. Lagrådet framhöll dock att om ändringarna skedde i de befintliga lagarna så skulle dessa komma att framstå som helt omarbetade eftersom i princip alla paragrafer skulle komma att vara försedda med ett SFS-nummer från 2018 i de konsoliderade versionerna. Enligt Lagrådet skulle det bli förvirrande när registerlagarna behöll sina gamla SFS-nummer. Mot den bakgrunden kunde Lagrådet inte tillstyrka att lagändringarna skedde genom ändringslagar utan förordade att samtliga lagar upphävdes och ersattes med nya lagar. Av de skäl som Lagrådet hade anfört ansåg regeringen att nackdelarna med att låta anpassningen till brottsdatalagen ske genom ändringslagar var så stora att myndigheternas registerförfattningar i stället borde upphävas och ersättas med nya lagar.36
Om de ändringar vi föreslår i avsnitten 16.4.3–16.4.12 genomförs i befintlig reglering så kommer flertalet paragrafer både i lagen och förordningen att vara försedda med ett SFS-nummer från 2025 i de konsoliderade versionerna. EU:s dataskyddsförordning, som SPARlagen kompletterar, började dessutom tillämpas under 2018, samma år som dataskyddslagen utfärdades. Det borde därför, i likhet med vad Lagrådet framhöll i samband med införandet av nya lagar om personuppgiftsbehandling på brottsdatalagens område, kunna bli förvirrande om SPAR-lagens och SPAR-förordningens SFS-nummer
36Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 97–98 och 601–602.
behålls. Sammantaget bedömer vi att de förändringar som vi anser bör göras är så omfattande att de nuvarande författningarna bör upphävas och ersättas av en ny lag och en ny förordning.37
De nya författningarnas namn
När författningar upphävs och ersätts av nya kan det vara lämpligt att de nya författningarnas namn skiljer sig från de gamla.
Eftersom regleringen av SPAR inte enbart är av dataskyddskaraktär förefaller det dock mindre lämpligt att den nya lagens namn utformas i likhet med namnen på övriga nya lagar vi föreslagit. Exempelvis skulle lagen om dataskydd i det statliga personadressregistret vara något missvisande.
Vi har övervägt om de nya författningarna kan ges namn som utgår från den förkortning som i dag anges för det statliga personadressregistret, dvs. att den nya lagens namn skulle vara lagen om
SPAR och den nya förordningens namn förordningen om SPAR. Det
förefaller dock vara mycket ovanligt att beteckningen på en författning innefattar en sådan förkortning. Det är inte heller lämpligt att byta namn på själva registret, eftersom begreppen statens personadressregister och SPAR är väletablerade. Skatteverket har dessutom uppgett till utredningen att SPAR och dess logotyp är varumärkesskyddat.
Mot bakgrund av att vi i huvudsak inte föreslår någon förändring av den materiella regleringen av SPAR bedömer vi att det lämpligaste är att de nya författningarna ges samma namn som de tidigare författningarna. Den nya lagens namn bör därför vara lagen om det stat-
liga personadressregistret och den nya förordningen namn bör vara förordningen om det statliga personadressregistret. De nya författningarna
benämns nedan den nya SPAR-lagen och den nya SPAR-förordningen.
37 Jfr även prop. 2016/17:180, En modern och rättssäker förvaltning – ny förvaltningslag, s. 23.
16.4.3. Vissa bestämmelser i SPAR-lagen ska föras över till den nya lagen med endast redaktionella ändringar
Vårt förslag: Följande bestämmelser i den nuvarande SPAR-lagen
ska flyttas till den nya SPAR-lagen med endast redaktionella ändringar: – om förhållandet till annan reglering, – om registerinnehåll, – om var uppgifterna i SPAR hämtas från, – om att enskilda ska hänvisas till SPAR, – om regeringens rätt att meddela vissa föreskrifter, och – om begränsning av rätten att göra invändningar.
Skälen för vårt förslag
Förhållandet till annan reglering
Som framgår av avsnitt 16.3.2 innehåller SPAR-lagen i dag en sådan bestämmelse om förhållandet till annan reglering som vi i avsnitt 7.5.1 har föreslagit ska finnas i de nya datalagarna för bl.a. Skatteverkets beskattnings- och folkbokföringsverksamheter. Vi gör i det kapitlet bedömningen att det i de nya datalagarna bör införas upplysningsbestämmelser för att tydliggöra att lagarna innehåller kompletterande bestämmelser till EU:s dataskyddsförordning. En sådan bestämmelse bör även finnas i den nya SPAR-lagen. Dataskyddsförordningen är i alla delar bindande och direkt tillämplig i samtliga medlemsländer inom EU. Förordningen förutsätter eller tillåter dock i vissa avseenden nationella bestämmelser som kompletterar förordningen, i form av preciseringar eller undantag. Bestämmelsen tydliggör förhållandet mellan den nya SPAR-lagen och förordningen, och klargör att lagen inte kan tillämpas fristående, utan ska tillämpas tillsammans med dataskyddsförordningen. Hänvisningen till dataskyddsförordningen är dynamisk, vilket innebär att hänvisningen avser förordningen i dess vid varje tidpunkt gällande lydelse.
För att det ska vara tydligt hur den nya SPAR-lagen förhåller sig till dataskyddslagen föreslår vi även att den ska innehålla en bestäm-
melse motsvarande den som gäller i dag, som tydliggör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid behandling av personuppgifter, om inte annat följer av den nya lagen eller den nya förordningen. Bestämmelsen tydliggör att dataskyddslagen är subsidiär i förhållande till den nya SPAR-lagen och förordningen.
Registrets innehåll och var uppgifterna hämtas från
Regleringen av vilka uppgifter som SPAR får innehålla utgör en del av den materiella regleringen av registret. Bestämmelsen i 4 § SPARlagen om registrets innehåll begränsar det statliga åtagandet att tillhandahålla personinformation för kontroll- och urvalsändamål till de uppgifter som anges i bestämmelsen. Det statliga åtagandet begränsas genom bestämmelsen till uppgifter om särskilda personkategorier och avseende vilka uppgifter om personerna som SPAR får innehålla. SPAR får endast innehålla vissa folkbokföringsuppgifter, uppgifter om personer som har tilldelats samordningsnummer, samt uppgifter om inkomst och taxeringsvärde. En förändring av vilka uppgifter SPAR får innehålla skulle därmed utgöra en förändring av vad SPAR är i sak. Överväganden om vilka uppgifter SPAR får innehålla, eller övriga frågor som förändrar det statliga åtagandet att tillhandahålla uppgifter för kontroll- och urvalsändamål, faller utanför ramen för vårt uppdrag. Vi har dock övervägt om bestämmelser som reglerar vilka uppgifter SPAR får innehålla lämpligen bör regleras på förordningsnivå.
Utöver de uppgifter som enskilda lämnar till SPAR avseende att hans eller hennes uppgifter inte får lämnas ut i urval för reklamändamål samlas uppgifterna i SPAR inte in från de registrerade, vilket i dag framgår av 5 § SPAR-lagen. I avsnitt 13.5 föreslår vi att det ska införas en ny förordning om utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet. Förordningen föreslås innehålla en sekretessbrytande bestämmelse som innebär att uppgifter kan lämnas ut till SPAR-verksamheten från folkbokföringsverksamheten utan hinder av sekretess. I avsnitt 13.6 föreslår vi även en ny förordning om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet. Även den förordningen föreslås innehålla en sekretessbrytande bestämmelse som innebär att uppgifter kan lämnas ut
till SPAR-verksamheten utan hinder av sekretess. Bestämmelsen i 5 § SPAR-lagen, liksom de föreslagna bestämmelserna i förordningarna om utlämnande av uppgifter, tydliggör att uppgifterna i SPAR hämtas från Skatteverkets beskattnings- och folkbokföringsverksamheter och att någon insamling av personuppgifter från enskilda inte förekommer. Det innebär att personuppgifter hämtas in till SPARverksamheten utan att de registrerade har en möjlighet att själva välja vilka uppgifter som ska lämnas till SPAR
Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige enligt artikel 14.1 i dataskyddsförordningen förse den registrerade med viss information, bl.a. om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen, de kategorier av personuppgifter som behandlingen gäller, och i förekommande fall mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna. Av artikel 14.5 i dataskyddsförordningen följer dock att någon sådan information inte behöver ges om erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen.
Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
Genom att bestämmelsen om vilka uppgifter SPAR får innehålla regleras i lag bör behandlingen kunna anses bli tydligare för de registrerade. En lagreglering innebär dessutom att en utvidgning av vilka uppgifter som SPAR får innehålla måste prövas av riksdagen. Att vilka uppgifter SPAR får innehålla, och även var de hämtas från, regleras i lag bör därför anses ha en stor betydelse för skyddet av den personliga integriteten. Det bör även vara den normgivningsnivå som bäst överensstämmer med dataskyddsförordningens krav på att det ska finnas lämpliga åtgärder för att skydda den registrerades berättigade intressen, som framgår av artikel 14.5. Reglering av SPAR:s innehåll i lag skulle också kunna anses krävas för att den rättsliga grunden för behandlingen av uppgifterna ska anses vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 i dataskyddsförordningen). Enligt vår bedömning finns det alltså inte skäl för att föreslå att regleringen av vilka uppgifter som SPAR får innehålla i fortsättningen ska finnas på förordningsnivå.
Vi föreslår att den nuvarande regleringen av vilka uppgifter SPAR får innehålla, samt var uppgifterna hämtas från, flyttas till den nya lagen utan annat än redaktionella ändringar.
Enskilda ska hänvisas till SPAR
Av 6 § SPAR-lagen följer att en enskild som begär att en myndighet ska lämna ut personuppgifter för kontroll- eller urvalsändamål ska hänvisas till SPAR om inte annat följer av lag eller förordning. Bestämmelsen är alltså subsidiär i förhållande till bestämmelser i annan författning.
Som framgår av avsnitten 16.2.1 och 16.2.2 var riksdagens ursprungliga beslut om att inrätta SPAR motiverat av integritetsskäl. I syfte att undvika att ett flertal register över befolkningen fördes skulle det införas ett statligt register som tillgodosåg samhällets behov av personuppgifter.
I förarbetena till bestämmelsen i 6 § SPAR-lagen konstaterade regeringen att det ursprungliga motivet till bestämmelsen var att fördelarna med centrala befolkningsregister endast hade ansetts kunna uppnås om såväl myndigheter som enskilda styrdes till dessa register. Sedan SPAR infördes hade dock aviseringsregistret byggts upp för att betjäna myndigheterna, varför bestämmelsen i SPAR-lagen endast borde gälla enskilda.38 Även i dag har ett centralt förvaltat register fördelar ur integritetshänseende. Genom att en statlig myndighet har kontrollen över registret, och lagstiftaren därmed kan förena användandet av det med vissa villkor, kan ett högre skydd för den personliga integriteten upprätthållas. Det illustreras särskilt av de bestämmelser i förordning som begränsar utlämnandet av uppgifter från SPAR för vissa ändamål, samt vilka sökbegrepp som får användas.
Det förhöjda integritetsskydd som ett centralt förvaltat register möjliggör förutsätter i dag liksom tidigare att framför allt enskilda styrs mot registret när uppgifter begärs ut från en myndighet för kontroll- och urvalsändamål. Bestämmelsen i 6 § SPAR-lagen är följaktligen av stor betydelse för att syftet med SPAR ska kunna uppnås. Vi föreslår därför att bestämmelsen flyttas till den nya lagen med endast redaktionella ändringar.
38Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 77.
Regeringens rätt att meddela vissa föreskrifter
I 7 § andra stycket och 8 § SPAR-lagen bemyndigas regeringen att meddela föreskrifter om begränsningar när det gäller utlämnande av uppgifter i elektronisk form, samt begränsningar av sökbegrepp som får användas vid sökning i SPAR. Bemyndigandena är införda av integritetsskäl. I förarbetena till bestämmelserna bedömde regeringen att utlämnande av uppgifter i elektronisk form var en fråga som aktualiserade allmänna integritetsaspekter men också dataskyddsrättsliga principer. Regeringen gavs därför ett särskilt bemyndigande att meddela föreskrifter om dessa inskränkningar i förordning. Av integritetsskäl borde sökning av uppgifter i SPAR inte heller vara helt fri. Regeringen gavs därför även ett särskilt bemyndigande att besluta dessa inskränkningar i förordning.39
I avsnitt 16.4.11 nedan föreslår vi att de begränsningar regeringen av integritetsskäl meddelat med stöd av dessa bemyndiganden i flera fall bör överföras till den nya förordningen. Bestämmelserna i 7 § andra stycket och 8 § SPAR-lagen som bemyndigar regeringen att meddela föreskrifter om begränsningar när det gäller utlämnande av uppgifter i elektronisk form, samt begränsningar av sökbegreppen för SPAR bör därför föras över till den nya lagen med endast redaktionella ändringar.
Begränsning av rätten att göra invändningar
Rätten att göra invändningar mot personuppgiftsbehandling regleras i artikel 21 i dataskyddsförordningen. Den innebär att när en myndighet behandlar av personuppgifter inom ska den registrerade ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna, om inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
Av artikel 21.2 framgår också att den registrerade ska ha rätt att när som helst invända mot behandling av personuppgifter som avser honom eller henne som sker för direkt marknadsföring.
39Prop. 1997/98: 136, Statlig förvaltning i medborgarnas tjänst, s. 77–78.
Enligt artikel 21.3 ska personuppgifterna inte längre behandlas för direkt marknadsföring, om den registrerade invänder mot det.
Begränsningar i rätten att göra invändningar får enligt dataskyddsförordningen endast göras under de förutsättningar som anges i artikel 23, eller i vissa situationer med stöd av artikel 89.2 och 89.3.
Av 3 a § första stycket SPAR-lagen framgår att artikel 21.1 inte gäller vid sådan behandling som är tillåten enligt lagen eller föreskrifter som har meddelats i anslutning till den. Bestämmelsen infördes i samband med den översyn som genomfördes inför att dataskyddsförordningen skulle börja tillämpas. Regeringen bedömde då att det fanns skäl att ha ett uttryckligt undantag från rätten att göra invändningar enligt artikel 21.1 när det gällde SPAR40.
Av 3 a § andra stycket SPAR-lagen framgår att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i dataskyddsförordningen. Undantaget från rätten att göra invändningar borde nämligen enligt regeringen inte gälla vid behandling som skedde vid urvalsdragning för direktreklam. I fråga om sådan behandling skulle det i stället fortfarande vara möjligt att göra invändningar. Eftersom den särskilda bestämmelsen vid behandling för direkt marknadsföring i artikel 21.2 i dataskyddsförordningen gav den enskilde större rättigheter räckte det dock enligt regeringen med att den bestämmelsen tillämpades vid behandling enligt SPAR-författningarna.41
I avsnitt 7.8.1 har vi bedömt att övriga verksamheter som omfattas av vårt uppdrag utgör sådana viktiga allmänna intressen som gör att det finns skäl att begränsa rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen. Den bedömningen gör sig även gällande avseende SPAR-verksamheten. Det bör dock fortsatt vara möjligt att göra invändningar mot behandling som sker vid urvalsdragning för direktreklam.42 Som regeringen tidigare konstaterat kan en sådan invändning göras med stöd av artikel 21.2 i dataskyddsförordningen.
Bestämmelserna i 3 a § SPAR-lagen som begränsar rätten att göra invändningar, och upplyser om möjligheten att göra invändningar
40Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 87.
41Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 87.
42 Skatteverket har uppgett att cirka 403 000 personer har ”reklamspärr” i SPAR (september 2023) och att enskilda via en e-tjänst kan sätta eller häva denna spärr.
mot behandling av personuppgifter för direkt marknadsföring enligt artikel 21.2 i dataskyddsförordningen, bör därför föras över till den nya lagen utan ändringar.
16.4.4. Förtydligande av syftet med och ändamålen för SPAR
Vårt förslag: Den nya SPAR-lagens portalparagraf ska ange att
det ska föras ett statligt personadressregister för kontroll- och urvalsändamål och att registret får användas för elektroniskt utlämnande av uppgifter.
Den nya SPAR-lagens ändamålsbestämmelser ska förtydligas.
Skälen för vårt förslag
Lagens portalparagraf
En grundläggande förutsättning för att personuppgiftsbehandling ska vara tillåten enligt dataskyddsförordningen är att det finns en rättslig grund för behandlingen (artikel 6.1). Behandlingen är endast laglig om och i den utsträckning vissa villkor är uppfyllda, bl.a. om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 c och e) Den rättsliga grunden ska vidare vara fastställd i unionsrätten eller den nationella rätten avseende behandling som sker enligt artikel 6.1 c eller e, vilket framgår av artikel 6.3.
I förarbetena till SPAR-lagen uttalade regeringen att SPAR tillgodosåg de behov av kontroll av personuppgifter som fanns framför allt på den privata marknaden. Regeringen uttalade att verksamheten med SPAR sammanfattningsvis fyllde en viktig samhällsfunktion, och att verksamheten med SPAR måste betraktas som ett allmänt och berättigat intresse.43
I 1 § SPAR-lagen fastställs det statliga åtagandet i förhållande till främst enskildas behov av personuppgifter för kontroll- och urvalsändamål. Bestämmelsen föreskriver att registret ska föras och utgör
43Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71–72.
därför den primära rättsliga grunden för förandet av registret. Genom bestämmelsen, samt bestämmelsen som styr enskilda mot registret när uppgifter begärs ut från en myndighet för kontroll- och urvalsändamål, uppnås syftet med SPAR. Något skäl att inom ramen för vårt uppdrag föreslå en förändring av bestämmelsen i sak finns därför inte. Däremot kan den nuvarande bestämmelsen uppfattas som omodern och inte ändamålsenlig. Eftersom uppgifterna i SPAR endast får användas för vissa avgränsade ändamål bör dessa enligt vår mening anges i lagens portalparagraf. På så sätt tydliggörs både varför registret förs och vad uppgifterna i SPAR får användas till. Vi föreslår därför att det i den nya lagens 1 § ska anges att registret ska föras för kontroll- och urvalsändamål.
Syftet med SPAR är att information ska lämnas ut elektroniskt, bl.a. för att undvika att privata digitala register över befolkningen upprättas. Mot bakgrund av att i princip all informationshantering i dag sker digitalt, särskilt när det är fråga om större informationsmängder, framstår det dock som överflödigt att som i dag ange att registret ska föras med hjälp av automatiserad behandling.
I dag anges i portalparagrafen att SPAR får användas av myndigheter och enskilda. Det är dock uppgifterna i registret som får användas av myndigheter och enskilda, inte registret som sådant. Som framgår av avsnitt 16.2.2 har ansvaret för SPAR och för att under vissa förutsättningar lämna ut information som finns i registret alltid vilat på en myndighet, vilken i dag är Skatteverket. Den nya lagens 1 § ska därför ange att SPAR får användas för att lämna ut uppgifter elektroniskt. Någon ändring i sak är som nämnts inte avsedd. Det rör sig i stället om att förtydliga hur SPAR får användas.
Lagens ändamålsbestämmelse
Vi har tidigare bedömt att det inte ligger inom ramen för vårt uppdrag att förändra den materiella regleringen av SPAR. Eftersom SPAR-lagens ändamålsbestämmelser (3 §) reglerar både varför registret förs och för vilka ändamål personuppgifter får behandlas i registret saknas det alltså skäl att inom ramen för vårt uppdrag förändra dessa i sak.
Enligt den s.k. finalitetsprincipen som framgår av artikel 5.1 b i dataskyddsförordningen får personuppgifter behandlas för andra ända-
mål än de för vilka de samlats in, under förutsättning att de tillkommande ändamålen inte är oförenliga med insamlingsändamålet. Enligt artikel 5.1 b ska ytterligare behandling för bl.a. statistiska ändamål inte anses vara oförenlig med de ursprungliga ändamålen. Att vissa uppgifter som får behandlas i SPAR enligt nuvarande 13 § SPARförordningen, en bestämmelse vi i avsnitt 16.4.9 föreslår ska finnas även i den nya förordningen, också får behandlas för statistiska bearbetningar bör enligt vår mening anses vara förenligt med finalitetsprincipen. Någon förändring av de befintliga ändamålsbestämmelserna för SPAR är därför inte motiverad av den anledningen. Skatteverket har dessutom uppgett att myndigheten i dag inte behandlar uppgifter för statistiska ändamål inom SPAR-verksamheten, utan hänvisar potentiella kunder till Statistiska centralbyrån, SCB, i dessa frågor.
Det som sägs ovan om förtydligande av den nya lagens portalparagraf bör dock av tydlighetsskäl även framgå av ändamålsbestämmelserna i den nya lagen. Vi föreslår därför att ändamålsbestämmelserna i SPAR-lagen ska föras över till den nya lagen med tillägg av de begrepp som föreslås framgå av den nya lagens portalparagraf, dvs. kontrolländamål och urvalsändamål.
16.4.5. Lagens dubbla syften ska tydliggöras
Vårt förslag: Syftet med den nya lagen ska vara att ge den myn-
dighet som regeringen utsett till ansvarig för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Skälen för vårt förslag
I flera moderna dataskyddsförfattningar anges det dubbla syftet med regleringen, dels att möjliggöra ändamålsenlig personuppgiftsbehandling inom ett visst område, dels att skydda människors integritet vid sådan behandling. I avsnitt 7.2 föreslår vi att en sådan bestämmelse ska finnas i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. I det kapitlet anför vi att syftesbestämmelser visserligen saknar
eget materiellt innehåll, men ändå kan fylla en viktig funktion eftersom de ger vägledning angående hur de materiella bestämmelserna i en författning ska tolkas. Någon syftesbestämmelse finns inte i den nuvarande SPAR-lagen.
Verksamheten med SPAR medför ett behov av en omfattande behandling av personuppgifter, och uppgifter från beskattningsverksamheten och folkbokföringsverksamheten sammanförs i registret. Det är därmed viktigt att den myndighet regeringen utser att ansvara för SPAR har de rättsliga förutsättningarna för att kunna utföra nödvändig personuppgiftsbehandling inom ramen för verksamheten. Samtidigt behöver det finnas ett skydd mot att de registrerades personliga integritet kränks vid sådan personuppgiftsbehandling. Av SPARlagens förarbeten framkommer att lagen syftar till att säkerställa en lämplig balans mellan behovet av att föra ett register med befolkningsuppgifter för att tillgodose behovet av kontroll av personuppgifter, och skyddet för den personliga integriteten genom att begränsa vilka uppgifter som får finnas i registret och för vilka ändamål de får behandlas.44
Vi anser att det i den nya SPAR-lagen bör införas en bestämmelse som tydliggör lagens tvådelade syfte, dvs. dels att ge ansvarig myndighet möjlighet att inom SPAR-verksamheten behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling. För att klargöra lagens dubbla syften föreslår alltså vi att den nya SPAR-lagen ska omfatta en syftesbestämmelse.
16.4.6. Ansvarig myndighet och personuppgiftsansvar
Vårt förslag: Den myndighet som regeringen utser att ansvara
för SPAR ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt den nya SPARlagen och föreskrifter som har meddelats i anslutning till lagen.
Bestämmelsen om personuppgiftsansvar i SPAR-förordningen ska i den nya förordningen ersättas av en bestämmelse som anger att Skatteverket ansvarar för SPAR.
44 Jfr prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71–74.
Skälen för vårt förslag
Personuppgiftsansvar bör regleras i lag
I avsnitt 7.6.1 har vi föreslagit att det i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska finnas en bestämmelse som pekar ut den myndighet som är personuppgiftsansvarig för behandling som sker enligt respektive lag. I avsnitt 17.4.2 har vi även föreslagit att en sådan bestämmelse ska finnas i den nya dataskyddsregleringen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Begreppet personuppgiftsansvarig är centralt i EU:s dataskyddsförordning. Det är den personuppgiftsansvarige som bl.a. ansvarar för och ska visa att de grundläggande principerna för behandling efterlevs, vilket framgår av artikel 5.2 i förordningen. Syftet med en bestämmelse om personuppgiftsansvar är att det ska vara tydligt vem som har ansvaret för den behandling av personuppgifter som en lag omfattar.45 Sådan reglering är möjlig enligt dataskyddsförordningen och gör det enkelt för den registrerade att identifiera vem som är personuppgiftsansvarig för viss behandling. Mot bakgrund av den stora betydelse personuppgiftsansvaret har i den allmänna dataskyddsregleringen anser att det vi att det bör finnas en bestämmelse som reglerar personuppgiftsansvar även i den nya SPAR-lagen.
Den myndighet som regeringen utser att ansvara för SPAR ska vara personuppgiftsansvarig
Som vi påpekat i avsnitt 16.4.1 framgår det inte tydligt av SPAR-lagen att Skatteverket ansvarar för SPAR. Det framgår i stället indirekt av 2 § SPAR-förordningen vari anges att Skatteverket är personuppgiftsansvarigt för SPAR och att driften av SPAR får vara förlagd till servicebyråer. Tidigare fanns bestämmelser om ansvaret för SPARverksamheten i förordningen (2007:874) med instruktion för Statens personadressregisternämnd. När ansvaret för SPAR överfördes till Skatteverket 2009 upphävdes den förordningen och i förordningen (2007:780) med instruktion för Skatteverket tillfördes en ny bestämmelse, 1 a §, med följande lydelse.
45 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 123.
Skatteverket ansvarar för det statliga personadressregistret (SPAR). Av förordningen (1998:1234) om det statliga personadressregistret framgår att Skatteverket också är personuppgiftsansvarigt för SPAR.46
2017 upphävdes dock 2007 års instruktion för Skatteverket och ersattes av förordningen (2017:154) med instruktion för Skatteverket. 2017 års instruktion för Skatteverket är gällande i dag och omfattar inte någon bestämmelse som slår fast att Skatteverket ansvarar för SPAR.
Att i oförändrat skick flytta bestämmelsen om personuppgiftsansvar till den nya SPAR-lagen framstår i och för sig som en förändring som skulle göra den nya SPAR-lagen mer lik annan dataskyddsreglering och samtidigt bidra till ökad tydlighet avseende vilken myndighet som för och ansvarar för registret. Skatteverkets ansvar för SPAR slås dock inte fast i någon annan författning, och inte heller i myndighetens instruktion. Att i den nya SPAR-lagen ange att Skatteverket är personuppgiftsansvarig för SPAR framstår, mot bakgrund av det som redogjorts för i avsnitt 16.2.2 om de olika aktörer som historiskt varit ansvariga för SPAR, som en förändring som inte faller inom ramen för vårt uppdrag.
Att Skatteverket ansvarar för SPAR bör dock även fortsättningsvis regleras i SPAR-författningarna. Vi har inte funnit något skäl som talar mot att bestämmelsen i förordningen som i dag reglerar personuppgiftsansvar i den nya förordningen motsvaras av en bestämmelse som anger vilken myndighet som ansvarar för SPAR. I den nya förordningen bör därför införas en bestämmelse som anger att Skatteverket ansvarar för SPAR.
Vi har ovan gjort bedömningen att personuppgiftsansvaret bör framgå av en bestämmelse i den nya SPAR-lagen. Vi föreslår därför att en bestämmelse införs i den nya SPAR-lagen som anger att den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för behandling som sker med stöd av lagen.
46 Förordning (2008:1309) om ändring i förordningen (2007:780) med instruktion för Skatteverket.
16.4.7. Misstanke om oriktig uppgift
Vårt förslag: I den nya lagen ska införas en bestämmelse som
anger att vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR.
Skälen för vårt förslag
En generell anmälningsskyldighet
Genom SPAR tillhandahålls på ett enkelt sätt en stor mängd uppgifter till ett flertal aktörer både inom den privata och den offentliga sektorn. För att uppnå syftet med SPAR måste uppgifterna i registret hålla en hög kvalitet.
Som redan nämnts får i huvudsak uppgifter som hämtas från Skatteverkets folkbokföringsdatabas behandlas i SPAR. Skatteverket har ett ansvar för att de uppgifter som behandlas i folkbokföringsdatabasen är riktiga.47 Av 32 c § första stycket folkbokföringslagen framgår att en myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringen om en person som är eller har varit folkbokförd är oriktig eller ofullständig. Underrättelseskyldigheten omfattar samtliga myndigheter med undantag för Skatteverkets brottsbekämpande verksamhet, och i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § OSL, den s.k. statistiksekretessen.48Genom underrättelseskyldigheten har alltså även övriga myndigheter ett visst ansvar för folkbokföringsuppgifternas riktighet. Såvitt avser uppgifter om någon som har tilldelats ett samordningsnummer finns motsvarande bestämmelser om uppgiftsskyldighet i 4 kap. 1 § lagen om samordningsnummer.
Även i regleringen av SPAR finns det en bestämmelse som kan bidra till att oriktiga uppgifter uppmärksammas. Av 14 § SPAR-förordningen framgår att vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till Skatteverket. En motsvarande bestämmelse fanns tidigare i 1981 års SPAR-förordning.49
47 2 § förordningen med instruktion för Skatteverket. 48 32 c § tredje stycket folkbokföringslagen. 49 9 § förordningen om det statliga person- och adressregistret.
Bestämmelsen innebär att det föreligger en anmälningsskyldighet för alla personer som i tjänsten tar del av uppgifter som är hämtade från SPAR vid misstanke om att en uppgift är oriktig. Anmälningsskyldigheten gäller alla uppgifter från SPAR och inträder genast, dvs. så snart det uppstår misstanke om att en uppgift som är hämtad från SPAR är oriktig. Tröskeln för att skyldigheten att göra en anmälan är dessutom låg, det räcker att det finns en misstanke.
Inom den privata sektorn kan anställda ha skyldighet gentemot arbetsgivaren att inte avslöja uppgifter han eller hon tar del av i tjänsten. Bestämmelserna i offentlighet- och sekretesslagen är tillämpliga i offentlig verksamhet.50 Det innebär att en person som är anställd inom offentlig verksamhet kan ha tystnadsplikt avseende uppgifter som han eller hon tar del av i tjänsten. Enligt 10 kap. 28 § OSL hindrar dock inte sekretess att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Anmälningsskyldigheten i 14 § SPAR-förordningen har alltså en sekretessbrytande funktion.
Det är främst mottagarna som har ett behov av att uppgifterna i SPAR håller en hög kvalitet. Trots att uppgiftsskyldigheten kan framstå som betungande, särskilt för personer inom den privata sektorn, framstår det därför som rimligt att kräva att mottagarna av uppgifterna har en skyldighet att anmäla eventuell misstanke om att en uppgift som hämtats från SPAR är oriktig. Anmälningsskyldigheten innebär vidare inte någon skyldighet att genomföra någon ytterligare utredning eller redovisa de förhållanden som misstanken grundar sig på. Vi anser därför att det inte finns skäl att förändra bestämmelsen i sak.
Anmälningsskyldigheten bör regleras i lag
En underrättelseskyldighet för vissa myndigheter avseende oriktiga eller ofullständiga folkbokföringsuppgifter reglerades tidigare i den numera upphävda 2 § folkbokföringsförordningen (1991:749). När underrättelseskyldigheten inom folkbokföringen under 2021 utvidgades till att omfatta i det närmaste samtliga myndigheter infördes bestämmelsen i stället i folkbokföringslagen. Eftersom anmälningsskyldigheten i SPAR-verksamheten inte bara gäller personer som är
anställda i offentlig verksamhet utan även personer i den privata sektorn bör den anses vara mer omfattande än underrättelseskyldigheten som följer av 32 c § första stycket folkbokföringslagen. Vi bedömer därför att anmälningsskyldigheten enligt 14 § SPAR-förordningen är av en sådan karaktär att den lämpligen bör motsvaras av en bestämmelse i den nya SPAR-lagen, i stället för i den nya förordningen. Mot bakgrund av de överväganden vi redogjort för i avsnitt 16.4.6 bör det i den nya bestämmelsen anges att anmälan ska göras till den myndighet som ansvarar för SPAR, i stället för till Skatteverket som i dag.
Vi föreslår därmed att det i den nya SPAR-lagen ska införas en bestämmelse med innebörden att vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR.
16.4.8. Längsta tid för behandling
Vårt förslag: Uppgifter ska inte få behandlas i SPAR under längre
tid än som behövs med hänsyn till ändamålet med behandlingen.
Hur länge uppgifter ska få behandlas i SPAR för kontroll- och urvalsändamål ska framgå av bestämmelser i den nya SPAR-förordningen.
Skälen för vårt förslag
En generell bestämmelse om längsta tid för behandling
En av de grundläggande principerna för behandling av personuppgifter enligt EU:s dataskyddsförordning är principen om lagringsminimering. Den framgår av artikel 5.1 e som anger att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Principen om lagringsminimering innebär att personuppgifter ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Om uppgiften behandlas för flera olika
ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen ställer krav på den personuppgiftsansvarige att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet.
Av artikel 5.1 e i dataskyddsförordningen framgår även att personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt förordningen genomförs för att säkerställa den registrerades rättigheter och friheter. Principen om lagringsminimering hindrar alltså inte att uppgifter behandlas för arkivändamål under vissa förutsättningar.
I dag finns det inte någon bestämmelse i SPAR-lagen eller förordningen som uttrycker principen om lagringsminimering. I avsnitt 12.4.3 föreslår vi att en bestämmelse som motsvarar principen om lagringsminimering ska finnas i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. I avsnitt 12.4.5 har vi även bedömt att regeringen eller den myndighet regeringen bestämmer kan komma att behöva föreskriva om yttersta tidsgränser för behandling, av integritetsskäl eller i syfte att skapa tydlighet för tillämpare och registrerade.
De överväganden och bedömningar som framgår av de nyss nämnda avsnitten är enligt vår mening giltiga även för SPAR-verksamheten. Av samma skäl som framgår där föreslår vi därför att det införs en bestämmelse i den nya SPAR-lagen som tydliggör att personuppgifter inte får behandlas under en längre tid än som är nödvändigt med hänsyn till ändamålet för behandlingen. Bestämmelsen ska i likhet med vad som föreslås i avsnitt 12.4.5 förenas med en upplysningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om personuppgifter längst får behandlas under en viss tid.
Tidsfrister för behandlingen
Av artikel 6.3 i dataskyddsförordningen framgår att den rättsliga grunden för behandling av personuppgifter kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i för-
ordningen, bl.a. om lagringstid. Det är också vanligt förekommande att det finns bestämmelser om gallring av personuppgifter i dataskyddsreglering. Gallring är dock ett förfarande som främst aktualiseras inom det arkivrättsliga regelverket, där utgångspunkten är att allmänna handlingar ska bevaras. Syftet med att införa bestämmelser om gallring i dataskyddsförfattningar har dock framför allt varit att skydda den enskildes personliga integritet.
I avsnitt 12.2 har vi redogjort för förhållandet mellan den det dataskyddsrättsliga regelverket och det arkivrättsliga regelverket. I avsnitt 12.4.2 har vi även bedömt att det bör göras en tydlig åtskillnad mellan arkivrättsliga bestämmelser å ena sidan och dataskyddsbestämmelser å andra sidan. Vi har därför föreslagit att gallring inte ska regleras i de nya dataskyddsförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Vi har även föreslagit att det i den nya regleringen inte ska finnas uttalade tidsfrister som anger den längsta tid som uppgifter får behandlas för olika ändamål.
Liksom i de nu gällande registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten finns det i dag bestämmelser som reglerar när uppgifter i SPAR ska gallras. Bestämmelserna finns i 15–16 §§ SPAR-förordningen och anger att personuppgifter ska gallras när de inte längre är nödvändiga för ändamålen med behandlingen. Beroende på var uppgifterna hämtats från ska olika gallringsfrister tillämpas.51 Av 1981 års SPAR-förordning framgick att om en personuppgift i SPAR inte längre behövdes för att tillgodose registrets ändamål, skulle uppgiften utgå ur registret.52
Till skillnad från övriga verksamheter är gallringsbestämmelserna för SPAR-verksamheten också en del av regleringen av verksamheten med SPAR i sak. De tidsfrister som framgår av 15–16 §§ SPAR-förordningen avgör vilka uppgifter som registret får innehålla och därmed vilka uppgifter som SPAR:s kunder kan få tillgång till för kontroll- och urvalsändamål. En förändring av de tidsfrister som i dag gäller skulle därmed innebära en förändring av omfattningen av det statliga åtagandet att hålla ett register med befolkningsuppgifter. Att föreslå sådana förändringar ligger enligt vår mening utanför vårt upp-
51 Riksarkivet har även meddelat föreskrifter om gallring i SPAR-verksamheten hos Skatteverket (RA-MS 2012:63). I bilaga till föreskrifterna finns detaljerade bestämmelser för hur pappershandlingar och elektroniska handlingar i SPAR-verksamheten får gallras. 52 10 § första stycket förordningen om det statliga person- och adressregistret.
drag och de frister som i dag framgår av 15–16 §§ SPAR-förordningen bör därför föras in i den nya SPAR-förordningen.
Ska uppgifterna få behandlas för något ändamål efter tidsfristernas utgång?
Uppgifterna i SPAR finns i allmänna handlingar, och utgångspunkten är att allmänna handlingar ska bevaras, se avsnitt 12.2.1. Att allmänna handlingar får gallras framgår av 10 § första stycket (1990:782) arkivlagen. Av 14 § arkivförordningen (1991:446) framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. Av 10 § tredje stycket arkivlagen framgår också att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser framför det arkivrättsliga regelverket. Vi har i avsnitt 12.4.4 föreslagit att gallring inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska ske i enlighet med föreskrifter eller beslut av Riksarkivet.
SPAR förs enbart i syfte att försörja myndigheter och enskilda med information från folkbokförings- och beskattningsverksamheten. Samtliga uppgifter i registret hämtas ur befintliga allmänna handlingar från dessa verksamheter. Uppgifterna i registret borde därmed inte behövas för att tillgodose allmänhetens rätt till insyn och de övriga ändamålen för bevarande enligt 3 § tredje stycket arkivlagen, när de inte längre får behandlas för kontroll- och urvalsändamål. Vår bedömning är att det inte finns skäl till fortsatt behandling för arkivändamål efter det att behandlingen för kontroll- och urvalsändamål har upphört. Vi har därför övervägt om bestämmelser om tidsfrister i den nya SPAR-förordningen även bör ange att uppgifterna inte får behandlas för något ändamål efter de reglerade tidsfristerna löpt ut. En sådan bestämmelse skulle kräva att uppgifterna togs bort eller avidentifierades på ett sådant sätt att alla identifieringsmöjligheter försvann efter tidsfristernas utgång, vilket motsvarar att uppgifterna gallras, se avsnitt 12.4.5. Uppgifterna skulle då kunna gallras med stöd av bestämmelserna i arkivlagen och arkivförordningen utan föreskrift eller beslut från Riksarkivet.
I avsnitt 12.4.5 har vi dock gjort bedömningen att bestämmelser i dataskyddsreglering som motsvarar gallringsbestämmelser huvudsakligen bör vara motiverade vid särskilt integritetskänslig behandling. Uppgifterna i SPAR är dock i huvudsak inte av integritetskänslig natur.
Det kan vidare inte uteslutas att det även inom SPAR-verksamheten kan uppkomma behov av behandling för andra ändamål än kontroll- och urvalsändamål. Redan i dag får uppgifterna behandlas i SPAR för vissa statistiska bearbetningar, vilket framgår av 13 § SPAR-förordningen. Regleringen av SPAR kan också förändras på ett sätt som gör att det uppstår ett behov av behandling för exempelvis arkivändamål. Regeringen kan exempelvis utse en annan myndighet än Skatteverket att ansvara för SPAR, riksdagen kan besluta att uppgifterna i SPAR får användas för andra ändamål än kontroll- och urvalsändamål eller så skulle SPAR-verksamheten kunna få nya uppgifter utöver att föra SPAR. De tidsfrister som i dag framgår av 15– 16 §§ SPAR-förordningen utgår dock från behandling för kontroll- och urvalsändamål, dvs. de enda ändamål uppgifter får behandlas för i dag.
Vår bedömning är att regleringen av den längsta tid uppgifter får behandlas i SPAR blir mer flexibel och ändamålsenlig om gallring av uppgifter i SPAR sker i enlighet med föreskrifter eller beslut av Riksarkivet, i likhet med vad vi föreslår för övriga verksamheter. Det innebär att uppgifterna i SPAR, efter respektive tidsfrists utgång, inte ska få behandlas för kontroll- och urvalsändamål. Bestämmelserna i den nya förordningen bör därför ange den längsta tid uppgifter får behandlas i SPAR för kontroll- och urvalsändamål.
16.4.9. Flera bestämmelser i SPAR-förordningen ska föras övertill den nya förordningen med enbart redaktionella ändringar
Vårt förslag: Följande bestämmelser i SPAR-förordningen ska
föras över till den nya förordningen med enbart redaktionella ändringar: – om förordningens förhållande till lagen, – om i vilka fall beslut ska fattas av SPAR-nämnden, – om att användningen av SPAR får vara avgiftsbelagd, – om begränsningar av utlämnande av vissa uppgifter i förhåll-
ande till enskilda, – om bruttoavisering, – om informationsskyldighet i vissa fall, – om sökbegrepp, – om statistiska bearbetningar och – bemyndigandet för Skatteverket att meddela vissa föreskrifter.
Någon motsvarighet till den sekretessbrytande bestämmelse som i dag finns i SPAR-förordningen ska inte föras in i den nya förordningen.
Skälen för vårt förslag
Flera bestämmelser bör föras över till den nya förordningen
Flera av SPAR-förordningens bestämmelser begränsar omfattningen av det statliga åtagandet att hålla ett register med befolkningsuppgifter. Genom bestämmelser i förordningen balanseras samhällets behov av enkel tillgång till personuppgifter för kontroll- och urvalsändamål mot skyddet för den personliga integriteten. I förordningen finns dessutom vissa övriga bestämmelser av stor betydelse för både skyddet för den personliga integriteten och själva verksamheten med SPAR, exempelvis om SPAR-nämndens uppgifter. Flera av de befint-
liga bestämmelserna i SPAR-förordningen bör därför föras över till den nya förordningen med enbart redaktionella ändringar.
Av 1 § SPAR-förordningen framgår att förordningen innehåller föreskrifter om behandlingen av personuppgifter som avses i SPARlagen. En sådan bestämmelse bör av tydlighetsskäl finnas även i den nya förordningen.
I 2 a § SPAR-förordningen regleras SPAR-nämndens uppgifter närmare. Av bestämmelsen framgår bl.a. att Skatteverkets beslut i frågor bruttoavisering och viss sökning för urvalsändamål ska fattas av en särskild nämnd inom verket. Bestämmelsen bör motsvaras av en bestämmelse i den nya förordningen.
Av 3 § SPAR-förordningen framgår att användningen av SPAR får vara avgiftsbelagd. En myndighet får bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen.53 SPAR finansieras uteslutande via försäljningsintäkter som över tid motsvarar verksamhetens självkostnad, och bestämmelsen bör därför föras över till den nya förordningen.
I 5–9 §§ SPAR-förordningen finns bestämmelser som begränsar utlämnandet av uppgifter från SPAR. Utöver ändamålsbestämmelserna och bestämmelserna i lagen om ändamål och vilka uppgifter SPAR får innehålla begränsas det statliga åtagandet att tillhandahålla personuppgifter genom dessa bestämmelser. Bestämmelserna i 5–9 §§ SPAR-förordningen är införda av integritetsskäl och bör därför, med undantag för vad som föreslås i avsnitt 16.4.12 nedan, föras över till den nya förordningen med endast redaktionella ändringar.
Av 10 § SPAR-förordningen framgår att vid utlämnande av uppgifter om namn och adress för direktreklam (urvalsändamål) ska Skatteverket se till att den som hämtar uppgifterna ur SPAR informerar de registrerade om att uppgifterna hämtats ur SPAR och om adress dit de kan vända sig i frågor rörande SPAR. Bestämmelsen fyller en viktig funktion eftersom enskilda har rätt att invända mot behandling i SPAR för direktreklam. Bestämmelsen bör därför föras över till den nya förordningen med endast redaktionella ändringar.
I 12–13 §§ SPAR-förordningen finns bestämmelser som begränsar möjligheten att använda vissa sökbegrepp. I likhet med bestämmelserna som begränsar utlämnandet från SPAR är bestämmelserna som begränsar vilka sökbegrepp som får användas införda av integritets-
533 § avgiftsförordningen (1992:191).
skäl. De begränsar ytterligare det statliga åtagandet att tillhandahålla personuppgifter, och bör föras över till den nya förordningen med endast redaktionella ändringar.
Av 13 § SPAR-förordningen framgår att de uppgifter som får behandlas i SPAR enligt 4 § första stycket SPAR-lagen även behandlas för statistiska bearbetningar med sökbegrepp som är tillåtna enligt 12 § i samma förordning, om resultaten redovisas i en avidentifierad form. Skatteverket har visserligen uppgett att myndigheten i dag hänvisar till SCB i statistikfrågor. Behandling för statistiska ändamål bör dessutom rymmas inom finalitetsprincipen. Bestämmelsen om statistiska bearbetningar kan dock anses begränsa möjligheten att behandla uppgifter i SPAR för sådana ändamål. I syfte att inte förändra den materiella regleringen av SPAR-verksamheten föreslår vi att bestämmelsen förs över till den nya förordningen.
I 17 § SPAR-förordningen bemyndigas Skatteverket att meddela föreskrifter om giltighetstid för Skatteverkets beslut enligt SPARlagen och förordningen, giltighetstid för användning av uppgifter som har lämnats ut för urvalsändamål, och villkor för säkerhet och hantering vid utlämnande av uppgifter i elektronisk form ur SPAR. Skatteverket får även meddela de föreskrifter som behövs för verkställigheten av SPAR-lagen och förordningen. Skatteverket har meddelat föreskrifter med stöd av bestämmelsen och den bör därför föras över till den nya förordningen med endast redaktionella ändringar.
Sekretessbrytande bestämmelser bör hållas samlade
Av 4 § SPAR-förordningen framgår att sekretess inte hindrar uppgiftslämnande från Skatteverkets beskattnings- och folkbokföringsverksamheter till SPAR-verksamheten. Som tidigare nämnts har vi föreslagit att nya förordningar om uppgiftslämnande från de verksamheterna ska införas. I det sammanhanget föreslår vi att den sekretessbrytande bestämmelsen i SPAR-förordningen motsvaras av bestämmelser i de nya förordningarna om utlämnande av uppgifter från respektive verksamhet utan någon förändring i sak.
16.4.10. Skatteverket får anlita ett personuppgiftsbiträde
Vår bedömning: Någon motsvarighet till bestämmelsen i SPAR-
förordningen om att Skatteverket får anlita en servicebyrå för driften av SPAR bör inte tas in i de nya författningarna.
Skälen för vår bedömning
Vår utgångspunkt
Av artikel 6.3 i EU:s dataskyddsförordning framgår att den rättsliga grunden för personuppgiftsbehandling kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Av skäl 8 till dataskyddsförordningen framgår vidare att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt.
I kapitel 5 redogör vi för våra utgångspunkter i arbetet med att ta fram en ändamålsenlig och modern dataskyddsreglering. En av dessa utgångspunkter är att enbart det som behöver regleras särskilt ska regleras i de nya författningarna. Om en viss bestämmelse hade gällt enligt överordnade normer, även utan motsvarande bestämmelse i kompletterande lagstiftning, anser vi att det bör finnas starka skäl för att införa motsvarande bestämmelse också i den kompletterade dataskyddsregleringen. Sådana skäl kan vara att det finns ett behov av tydlighet i frågor som är centrala i den allmänna dataskyddsregleringen, exempelvis i fråga om den längsta tid personuppgifter får behandlas, eller förutsättningarna för vidarebehandling av redan insamlade uppgifter.
Att en servicebyrå får anlitas behöver inte regleras särskilt
Som framgår av avsnitt 16.2.3 sköts drift och förvaltning av SPAR i dag av en privat aktör. I 2 § SPAR-förordningen finns en bestämmelse som anger att Skatteverket får anlita en servicebyrå för driften
av SPAR. Bestämmelsen har sitt ursprung i den förordning som kompletterade datalagens bestämmelser om SPAR.54 I förarbetena till SPAR-bestämmelserna i datalagen uttalade regeringen att enbart de centrala frågorna borde regleras i lag, att dåvarande DAFA (se avsnitt 16.2.2 ovan) skulle vara registeransvarig och att DAFA borde kunna anlita utomstående för teknisk bearbetning.55 I den föreslagna lagregleringen nämndes dock inget om driften av SPAR eller möjligheten att lägga ut denna på en extern aktör. Inte heller i betänkandet som föregick propositionen föreslogs någon reglering av möjligheten att anlita någon annan för driften, vare sig i lag eller förordning.56Möjligheten att anlita utomstående för driften av SPAR förefaller alltså inte ha ansetts vara en central fråga som krävde lagform.
Det faktiska tillhandahållandet av SPAR bör vidare vara en offentlig förvaltningsuppgift.57 Driften och förvaltningen av SPAR, dvs. den del av verksamheten som sköts av en privat aktör, innefattar inte myndighetsutövning. Statliga myndigheter har med stöd av 12 kap. 4 § regeringsformen möjlighet att överlämna förvaltningsuppgifter som inte innefattar myndighetsutövning åt kommuner, andra juridiska personer och enskilda individer. Det bör därmed inte finnas något hinder mot att Skatteverket anlitar en privat aktör för tillhandahållandet av SPAR även utan en bestämmelse i SPAR-förordningen. Vi föreslår därför att det inte ska finnas någon bestämmelse med motsvarande innebörd i den nya förordningen.
Skatteverket får anlita ett personuppgiftsbiträde
Den privata aktör som i dag tillhandahåller informationen i SPAR för Skatteverkets räkning är enligt dataskyddsförordningen ett s.k. personuppgiftsbiträde. Enligt artikel 4.8 i dataskyddsförordningen är ett personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det finns två grund-
54 1 § andra stycket förordningen om det statliga person- och adressregistret. 55Prop. 1980/81:62, om ändring i datalagen (1973:289), s. 9 och 15. Se även SOU 2005:61,
Personuppgifter för samhällets behov, s. 35 varav framgår att DAFA ombildades från myndighet
till bolag 1986 (DAFA Data AB). DAFA Data AB skulle på statens uppdrag sköta den tekniska driften och marknadsföringen av SPAR. DAFA Data AB ägdes fram till år 1993 av staten, då bolaget såldes till den fransk-brittiska företagsgruppen Sema Group. Ägarna har därefter skiftat, men den juridiska personen har från 1986 namnet InfoData AB. 56Prop. 1980/81:62, om ändring i datalagen (1973:289), s. 25. 57 Jfr SOU 2008:118, Styra och ställa – förslag till en effektivare statsförvaltning, s. 29.
läggande villkor för att kvalificeras som personuppgiftsbiträde. Dels ska det röra sig om en separat enhet i relation till den personuppgiftsansvarige, dels ska personuppgifter behandlas för den personuppgiftsansvariges räkning.58 När Skatteverket eller en annan myndighet anlitar ett personuppgiftsbiträde kräver dataskyddsförordningen att biträdet ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att de registrerades rättigheter skyddas. Personuppgiftsbiträdet får inte behandla uppgifterna på annat sätt än i enlighet med den personuppgiftsansvariges instruktioner. All behandling av personuppgifter av ett personuppgiftsbiträde måste dessutom styras av ett avtal eller annan juridisk handling som ska vara bindande.59
Vi har övervägt om det bör finnas en upplysningsbestämmelse i den nya förordningen som tydliggör att Skatteverket, eller den myndighet som regeringen utsett att ansvara för SPAR, får anlita ett personuppgiftsbiträde för tillhandahållandet av uppgifter i SPAR. På så sätt skulle det inte råda några tvivel om att Skatteverket, eller den myndighet som eventuellt övertar ansvaret för SPAR i framtiden, även fortsättningsvis kan förlägga driften av SPAR till en privat aktör. Vi anser dock att det saknas behov av att tydliggöra detta som kan motivera en sådan bestämmelse i enlighet med artikel 6.3 eller skäl 8 till dataskyddsförordningen. I den nya förordningen ska det därför inte införas någon upplysningsbestämmelse om att Skatteverket får anlita ett personuppgiftsbiträde.
16.4.11. Alla begränsningar av utlämnandet från SPAR ska regleras i den nya förordningen
Vårt förslag: Samtliga begränsningar av utlämnandet från SPAR
ska regleras i den nya förordningen.
58 Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 07/2020 angående begreppen personupp-
giftsansvarig och personuppgiftsbiträde i GDPR, Version 2.0, s. 4.
59 Se artiklarna 28–29 i dataskyddsförordningen.
Skälen för vårt förslag
Som framgår av avsnitt 16.2.2 reglerades SPAR tidigare genom bestämmelser i datalagen som kompletterades av bestämmelser i 1981 års SPAR-förordning. I förordningen reglerades samtliga då gällande begränsningar av utlämnande från SPAR. I samband med SPAR-lagens tillkomst ansåg dock regeringen att det behövde ses noggrannare på elektroniskt utlämnande av uppgifter från SPAR. Begränsningen avseende att inkomst- och fastighetstaxeringsuppgifter (dvs. uppgifter från beskattningsverksamheten) endast fick lämnas ut elektroniskt till polis- och tullmyndigheter skulle regleras i lag, i stället för som tidigare i förordning.60 Övriga begränsningar av utlämnandet skulle regeringen även i fortsättningen meddela föreskrifter om i förordning.
Samma systematik finns kvar även i dag. Av 7 § första stycket SPAR-lagen framgår att uppgifter från beskattningsdatabasen endast får lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket. Övriga begränsningar av utlämnandet av uppgifter från SPAR finns i 5–9 §§ SPAR-förordningen, se avsnitt 16.4.9.
Regeringens bedömning att enbart utlämnande av inkomst- och fastighetstaxeringsuppgifter skulle begränsas i lag motiverades inte närmare i SPAR-lagens förarbeten. Även om lagregleringen på ett övergripande plan motiverats av integritetsskäl bedömer vi att det finns nackdelar med att reglera begränsningar av utlämnandet både på lag- och förordningsnivå. En sådan ordning bidrar framför allt till att regleringen blir mer svåröverskådlig än vad som bör kunna motiveras om det inte finns starka integritetsskäl som talar för det.
De uppgifter som är aktuella är summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun, samt taxeringsvärde för småhusenhet. Skatteverkets beslut varigenom bl.a. skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs är inte skyddade av skattesekretessen, vilket framgår av 27 kap. 6 § OSL. Både privatpersoner och företag kan vidare hos Lantmäteriet kostnadsfritt beställa utdrag med standardinformation ur fastighetsregistret, där bl.a.
60Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 74. Begränsningen i fråga reglerades innan dess i 7 a § förordningen om det statliga person- och adressregistret.
vem som är lagfaren ägare av en fastighet och taxeringsuppgifter framgår.61
Mot bakgrund av uppgifternas karaktär, dvs. att de i vart fall delvis kan vara offentliga i andra sammanhang, bedömer vi att det saknas skäl som talar för utlämnandet av uppgifterna från SPAR av integritetsskäl bör regleras i lag. Vi föreslår därför att 7 § första stycket SPAR-lagen ska föras över till den nya förordningen med endast redaktionella ändringar.
16.4.12. Myndigheters tillgång till uppgifter från SPAR ska anpassas till myndigheters tillgång till uppgifter från Navet
Vårt förslag: Uppgifter om adress och folkbokföringsort för en
person under 16 år ska få lämnas ut till enskilda endast för kontrolländamål.
Nuvarande begränsningar av vilka myndigheter som får ta del av uppgifter om svenskt medborgarskap och födelsehemort ska inte ha någon motsvarighet i den nya förordningen.
Skälen för vårt förslag
Navet
Uppgifter som registreras vid folkbokföring och vid tilldelning av samordningsnummer ska ge olika samhällsfunktioner ett korrekt underlag för beslut och åtgärder.62 Av 2 kap. 8 § FdbL framgår sammanfattningsvis att en myndighet, om det inte är olämpligt ur integritetssynpunkt, får ha direktåtkomst till samtliga uppgifter i folkbokföringsdatabasen om myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem.63 I bestämmelsen görs dock undantag från myndigheters rätt att ta del av uppgifter genom direktåtkomst för uppgifter som avses i 2 kap. 3 § andra stycket FdbL,
61 Se Lantmäteriets webbsida Beställ information ur fastighetsregistret, tillgänglig https://www.lantmateriet.se/sv/fastighet-och-mark/information-omfastigheter/Fastighetsregistret/bestall-information-ur-fastighetsregistret/ [hämtad: 2023-10-08]. 62 Jfr 2 § förordningen med instruktion för Skatteverket. 63 Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (HFD 2015 ref. 61).
dvs. uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495).64
Skatteverkets system för distribution av uppgifter från folkbokföringsverksamheten till myndigheter kallas Navet. Navet är ett s.k. aviseringsregister som ingår som ett delsystem i folkbokföringsdatabasen. I likhet med SPAR är Navet ett register som förs i syfte att lämna ut personuppgifter i elektronisk form.65 Större delen av utlämnandet av uppgifter från folkbokföringsdatabasen sker alltså genom utskick (avisering) som inte utgör direktåtkomst.66 Förutsatt att den mottagande parten har rätt att ta del av uppgifterna, avgör mottagaren vilka uppgifter som hämtas och på vilket sätt från Navet.67I Navet kan alla offentliga aktörer hämta folkbokföringsuppgifter digitalt och uppgifterna är alltid aktuella eftersom ändringar i folkbokföringsdatabasen syns direkt. Från och med den 1 januari 2017 har Navet varit avgiftsfritt för statliga myndigheter.68
Eftersom uppgifter som registreras i folkbokföringsdatabasen som utgångspunkt är offentliga har även enskilda rätt att ta del av uppgifterna under förutsättning att någon sekretessbestämmelse inte är tillämplig. Enskilda har dock som utgångspunkt inte tillgång till Navet. Som framgår av avsnitt 16.4.3 ska enskilda dessutom hänvisas till SPAR om begäran sker för kontroll- eller urvalsändamål.
Begränsningar av utlämnandet från SPAR i förhållande till Navet
Uppgifterna i SPAR är med några undantag hämtade från Skatteverkets folkbokföringsdatabas. Möjligheten för offentliga aktörer att hämta folkbokföringsuppgifter från SPAR är dock mer begränsad än om uppgifterna skulle hämtas direkt från Navet.
Av 5 § SPAR-förordningen framgår att uppgifter om adress och folkbokföringsort för en person under 16 år endast får lämnas ut för
64 Bestämmelsen kom till i samband med att ansvaret för folkbokföringsverksamheten 1991 överfördes till Skatteverket och har karaktär av en övergångsbestämmelse, se prop.1990/91:53,
om lag om folkbokföringsregister, m.m., s. 41.
65 Skatteverkets promemoria Folkbokföring och SPAR – några registerfrågor, dnr 131 798320-12/113, Bilaga 1, s. 32. 66Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 48.
67Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 87. 68 Skatteverkets webbsida Navet – hämta uppgifter om folkbokföring, tillgänglig: https://www.skatteverket.se/offentligaaktorer/informationsutbyte/navethamtauppgifter omfolkbokforing.4.18e1b10334ebe8bc80001754.html?q=Navet [hämtad 2023-05-30].
kontrolländamål. I bestämmelsen görs ingen skillnad på om det är en myndighet eller en enskild som är mottagare av uppgiften. Av 6 § SPAR-förordningen framgår också att uppgifter om födelsehemort endast får lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket.69 Uppgifter om svenskt medborgarskap får vidare enligt 7 § SPAR-förordningen endast lämnas ut till Centrala studiestödsnämnden, Bolagsverket, Polismyndigheten, Säkerhetspolisen och Tullverket.
Såväl uppgifter om adress och folkbokföringsort för personer under 16 år, som uppgifter om födelsehemort och svenskt medborgarskap, är uppgifter som alla myndigheter kan ta del av direkt via Navet under de förutsättningar som i dag framgår av dataskyddsregleringen för folkbokföringsverksamheten.70 Som vi nyss konstaterat innebär det ett krav på att myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem, och det inte är olämpligt ur integritetssynpunkt.
En myndighet kan dock inte lagligen samla in eller på annat sätt behandla personuppgifter utan att det finns en rättslig grund för behandlingen i EU:s dataskyddsförordnings mening. Typfallet för när det är nödvändigt för myndigheter att behandla personuppgifter är när det görs som ett led i att utföra en uppgift av allmänt intresse som framgår av lag eller förordning, eller i vissa fall av regeringsbeslut.71 Det kan även finnas ytterligare begränsningar, ofta i registerförfattning eller dataskyddsreglering, av vilka uppgifter en myndighet får behandla i syfte att utföra sina uppgifter. Ett elektroniskt utlämnande som bedöms vara olämpligt ur integritetssynpunkt bör dessutom inte anses vara förenligt med dataskyddsförordningens bestämmelser (se avsnitt 11.7.5). I praktiken förefaller alltså regleringen av offentliga aktörers möjlighet att få uppgifter elektroniskt direkt från Skatteverkets folkbokföringsverksamhet (Navet) motsvara vad som redan gäller enligt överordnade alternativt sektorsspecifika normer. Begränsningarna av myndigheters rättsliga möjlighet att behandla uppgifter gäller därmed även om myndigheten skulle ha möjlighet att hämta samma uppgifter från SPAR.
69 Födelsehemorten anger till skillnad från födelseort inte var en person är född, utan var han eller hon var bosatt vid födseln. Detta uttrycks i förarbetena som den församling i vilken personens moder var folkbokförd när personen föddes, se prop. 1990/91:53, om lag om folkbok-
föringsregister, m.m., s. 40.
70 2 kap. 3 § 4–8, samt 8 § andra stycket lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. 71Prop. 2017/18:105, Ny dataskyddslag, s. 48–52.
Myndigheters tillgång till uppgifter från SPAR ska anpassas till myndigheters tillgång till uppgifter från Navet
Som framgår av avsnitt 16.2.2 har det i olika sammanhang ifrågasatts om det är ändamålsenligt att fullgöra det statliga åtagandet att tillhandahålla grunduppgifter om enskilda genom två olika system. Någon samordning av informationsförsörjningen har dock inte genomförts och myndigheter har i dag möjlighet att ta del av folkbokföringsuppgifter antingen via SPAR eller Navet. Uppdelningen i två olika informationsförsörjningssystem, där enskilda tydligt är hänvisade till SPAR, skulle kunna anses tyda på att regeringens avsikt varit att myndigheter främst ska använda sig av Navet. Myndigheters tillgång till personuppgifter från folkbokföringsverksamheten skedde tidigare via det som kallades aviseringsregistret. Aviseringsregistret fick användas av en myndighet för bl.a. aktualisering, komplettering och kontroll av uppgifter i personregister som myndigheten är registeransvarig för, och komplettering och kontroll av personuppgifter i övrigt, se 2 § andra stycket i den numera upphävda lagen (1995:743) om aviseringsregister. Att myndigheter skulle ges tillgång till uppgifter även via SPAR har i förarbetena bl.a. motiverats med att aviseringsregistret inte var fullt utbyggt.72 Något rättsligt hinder mot att offentliga aktörer använder sig av SPAR finns dock inte i dag. Det finns alltså inte någon bestämmelse i författning om att myndigheter ska hänvisas till Navet, motsvarande 6 § i SPAR-lagen för enskilda.
Navet och SPAR erbjuder dessutom olika sorters tjänster till olika kostnad. Det är därför inte otänkbart att myndigheter som länge använt SPAR har anpassat sina tekniska system eller arbetssätt efter de informationsmodeller som SPAR erbjuder.73 Att myndigheter gjort investeringar för att anpassa verksamheterna till SPAR har dessutom tidigare anförts som ett av skälen till att även myndigheter ska få hämta uppgifter från SPAR.74
Mot bakgrund av att det saknas rättsliga hinder mot att myndigheter använder SPAR i stället för Navet, samt då den allmänna dataskyddsregleringen och sektorspecifika dataskyddsbestämmelser gäller
72Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71. 73 Jämför avsnitt 16.2.3 och Skatteverkets webbsida Navets tjänster, tillgänglig: https://www.skatteverket.se/offentligaaktorer/informationsutbyte/navethamtauppgifter omfolkbokforing/navetstjanster.4.18e1b10334ebe8bc8000946.html [hämtad 2023-05-31]. 74Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71.
oavsett var uppgifterna hämtas från, förefaller det lämpligt att myndigheter ges en valfrihet avseende vilken informationskälla de ska använda. Vi anser därför att det mest ändamålensliga är att myndigheters möjlighet att ta del av folkbokföringsuppgifter via SPAR anpassas till möjligheten att ta del av samma uppgifter från Navet. Ändamålsbegränsningen avseende uppgifter om adress och folkbokföringsort för personer under 16 år bör därför enbart gälla för enskilda, och uppgifter om svenskt medborgarskap och födelsehemort ska kunna lämnas från SPAR till samtliga myndigheter.
Mot bakgrund av att de uppgifter som finns i SPAR även finns i Navet medför en sådan förändring inte en utökning av den möjliga personuppgiftsbehandlingen hos de mottagande myndigheterna. En sådan förändring kan däremot förväntas medföra en viss möjlighet till effektivisering hos myndigheter som i dag använder både SPAR och Navet för att hämta uppgifter från folkbokföringsverksamheten. I sammanhanget kan dock åter påpekas att användning av Navet är gratis för statliga myndigheter, vilket inte gäller för SPAR. Att myndigheter som i dag får sitt informationsbehov tillgodosett kostnadsfritt via Navet skulle välja att i stället börja betala för informationen via SPAR förefaller mindre sannolikt. För övriga myndigheter kan möjligheten att välja informationsförsörjningssystem, beroende på det behov av information som föreligger, eventuellt medföra en möjlighet till vissa besparingar.
En utökning av det statliga åtagandet?
Det skulle kunna ifrågasättas om vårt förslag inte innebär en sådan förändring av det statliga åtagandet att tillhandahålla befolkningsuppgifter som vi tidigare konstaterat ligger utanför vårt uppdrag. Förändringen medför nämligen att behandling (genom utlämnande) av vissa uppgifter inom SPAR-verksamheten kan komma att utökas som ett resultat av att offentliga aktörer i högre utsträckning efterfrågar uppgifter från SPAR som de tidigare fått via Navet. Det statliga åtagandet att tillhandahålla uppgifter från folkbokföringsverksamheten till offentliga aktörer är dock mer omfattande än det är i förhållande till enskilda. Detta framgår inte minst av regleringen av myndigheters möjlighet att ta del av uppgifter direkt från folkbokföringsverksamheten. I förhållande till offentliga aktörer bör åtagandet dess-
utom ses som ett sammanhållet åtagande, trots att uppgifter från folkbokföringsverksamheten kan hämtas både från SPAR och från Navet.
Eftersom det statliga åtagandet inte utökas eller förändras i sak genom den föreslagna förändringen bedömer vi att förslaget ryms inom vårt uppdrag. Regleringen blir genom den föreslagna ändringen i stället mer flexibel och ger myndigheter möjlighet att välja det informationsförsörjningssystem (avseende samma uppgifter) som de föredrar och som framstår som mest ändamålsenligt utifrån behovet av uppgifterna och eventuella ekonomiska aspekter.
Vi föreslår därför att det ska införas en ändamålsbegränsning som motsvarar nuvarande 5 § SPAR-förordningen i den nya förordningen, men att den inte ska gälla i förhållande till myndigheter. Begränsningarna av vilka myndigheter som enligt nuvarande 6 och 7 §§ SPARförordningen får ta del av uppgifter om svenskt medborgarskap och födelsehemort ska inte ha någon motsvarighet i den nya förordningen. Begränsningarna ska dock fortsatt gälla i förhållande till enskilda.
En översyn av begränsningar av enskildas tillgång till uppgifter bör göras i ett annat sammanhang
Vad gäller enskilda finns det mer omfattande begränsningar av vilka uppgifter som kan hämtas från SPAR än för myndigheter. Då enskilda inte på samma sätt som myndigheter har elektronisk tillgång till folkbokföringsuppgifter via Navet gör sig dock inte de överväganden som vi redogjort för ovan gällande. De befintliga begränsningarna av enskildas tillgång till uppgifter utgör i stället de faktiska gränserna för det statliga åtagandet att tillhandahålla uppgifter.
Bestämmelsen om att adress och folkbokföringsort för personer under 16 år inte får lämnas ut för urvalsändamål korresponderar exempelvis väl med barns bristande s.k. rättshandlingsförmåga.75 Enligt rådande praxis strider det dessutom mot god marknadsföringssed att skicka direktreklam till barn under 16 år utan samtycke från barnets förmyndare, och sådan direktadresserad reklam är normalt även att anse som otillbörlig enligt marknadsföringslagen (2008:486).76
Utöver de begränsningar som nyss redogjorts för (dvs. svenskt medborgarskap, födelsehemort och vissa uppgifter om barn under
75 Se 9 kap. föräldrabalken. 76 Se punkt 28 i tillkännagivande (2022:658) enligt marknadsföringslagen (2008:486) och Patent- och marknadsöverdomstolens dom den 21 juni 2017 i mål PMT 10485-16.
16 år) finns dock ytterligare begränsningar av enskildas möjligheter att ta del av uppgifter via SPAR där det finns skäl att ifrågasätta om bestämmelserna är ändamålsenliga.
Enligt 8 § SPAR-förordningen får uppgifter om make och vårdnadshavare endast lämnas ut till vissa angivna ekonomiska aktörer. Antalet aktörer som har tillgång till uppgifterna är i dag mycket högre än vid bestämmelsens tillkomst. Bestämmelsen i 8 § har ändrats elva gånger sedan 1998, vilket kan ställas i relation till att det totala antalet ändringar av SPAR-förordningen är tjugo.77 Bestämmelsen i 8 § ändras alltså mycket ofta. I dag får bl.a. banker, försäkringsföretag, pensionsstiftelser, inrättningar för detaljhandel med läkemedel, enskilda huvudmän i skolan och privata vårdgivare ta del av uppgifterna, dvs. ekonomiska aktörer som måste anses fylla en viktig funktion i samhället, eller som utför välfärdstjänster. I uppräkningen ingår dock även fondbolag, AIF-förvaltare, värdepappersbolag, betalningsinstitut, institut för elektroniska pengar och företag som på uppdrag av försäkringsföretag, tjänstepensionsföretag eller pensionsstiftelser administrerar försäkringar, pensioner eller liknande utfästelser. Även föreningar och stiftelser som sysslar med släktforskning har rätt att ta del av uppgifterna.
Regeringen har tidigare uttalat att det inte finns något principiellt hinder mot att enskilda kan få tillgång till uppgifterna om det anses tillräckligt motiverat för den verksamhet som företaget bedriver.78Någon rättslig begränsning avseende vilken typ av verksamhet som måste bedrivas, eller vilket behov av uppgifterna som måste föreligga finns dock inte i SPAR-lagen. Vilken slags verksamhet som kan motivera ett legitimt behov av och därmed tillgång till uppgifterna framgår inte heller av förarbeten. Enligt vår bedömning går det inte heller längre att utifrån bestämmelsen i 8 § SPAR-förordningen utläsa en tydlig linje från regeringens sida om vilka kategorier av enskilda aktörer som har rätt att ta del av uppgifter om make och vårdnadshavare.
Vår bedömning är att bestämmelsens ursprungliga syfte till viss del måste sägas ha urvattnats genom att allt fler aktörer lagts till i 8 § SPAR-förordningen. Sammanfattningsvis finns det alltså skäl att överväga om inte också vissa av de begränsningar i SPAR-förordningen
77 Regeringskansliets rättsdatabaser, SFS 1998:1234, tillgänglig: https://rkrattsbaser.gov.se/sfsr?bet=1998:1234 [hämtad 2023-06-01]. 78Prop. 2005/06:112, Viktigare än någonsin! Radio och TV i allmänhetens tjänst 2007–2012, s. 98.
som gäller i förhållande till enskilda bör förändras, i syfte att göra regleringen av SPAR mer ändamålsenlig och flexibel.
Då enskilda inte har samma tillgång till folkbokföringsuppgifter som myndigheter skulle en sådan förändring innebära en saklig förändring av det statliga åtagandet att tillhandahålla uppgifter till enskilda. Eftersom sådana frågor ligger utanför vårt uppdrag föreslår vi inte några sakliga förändringar av 8 § SPAR-förordningen.
16.4.13. Skyddet för den personliga integriteten
Vår bedömning: Förslagen om en ny SPAR-lag och en ny SPAR-
förordning är förenliga med skyddet för den personliga integriteten.
Skälen för vår bedömning
Språkliga, strukturella och redaktionella ändringar
Regleringen och begränsningarna av det statliga åtagandet att genom SPAR tillhandahålla personuppgifter för kontroll- och urvalsändamål har ofta utformats utifrån integritetshänsyn. Våra förslag om en ny lag och en ny förordning för SPAR-verksamheten innebär inte en förändring av verksamheten med SPAR i sak. Några utökade möjligheter att behandla personuppgifter föreslås exempelvis inte avseende vilka uppgifter registret får innehålla eller för vilka ändamål uppgifter får lämnas ut. Även i den nya lagen ska personuppgifter enbart få behandlas i SPAR för kontroll- och urvalsändamål, och samma uppgifter som i dag ska får behandlas i registret. Vi har dock föreslagit ett flertal språkliga, strukturella och redaktionella ändringar, och vissa förtydliganden.
I de fall de ändringar som föreslås enbart är redaktionella eller språkliga bör skyddet för den personliga integriteten inte påverkas av förlaget.
Vad avser förslaget om att samtliga begränsningar av utlämnandet av SPAR ska regleras på förordningsnivå skulle det i och för sig kunna argumenteras att integritetsskyddet för uppgifter som är hämtade från beskattningsverksamheten försvagas. Bestämmelsen förändras dock inte i sak. Motivet till den föreslagna förflyttningen är att skapa
en tydlighet och överskådlighet över begränsningarna av det statliga åtagandet att tillhandahålla uppgifter. Uppgifterna kan dessutom i vart fall delvis vara offentliga i andra sammanhang. Att begränsningen av utlämnandet i fortsättningen kommer att regleras på förordningsnivå bör därför inte anses vara av en så stor betydelse för integritetsskyddet att förändringen framstår som oproportionerlig och därmed oförenlig med skyddet för den personliga integriteten.
Förslagen om redaktionella och strukturella ändringar bör därför vara förenliga med skyddet för den personliga integriteten.
Längsta tid för behandling
Dagens gallringsbestämmelser innebär att uppgifter i SPAR ska gallras efter särskilda tidsfrister som anges i förordning. Vi har föreslagit att regleringen i stället ska avse hur länge personuppgifter får behandlas för ändamålen med SPAR, dvs. kontroll- och urvalsändamål. Den föreslagna förändringen anpassar regleringen till övrig dataskyddsreglering som vi föreslår. Att uppgifter inte längre ska gallras i enlighet med bestämmelser i författning innebär att uppgifterna i fortsättningen endast får gallras med stöd av föreskrifter eller beslut av Riksarkivet. Den förändring av reglerna som föreslås medför inte att uppgifterna får behandlas längre för kontroll- och urvalsändamål jämfört med i dag.
Mot bakgrund av att uppgifterna i SPAR i dag inte får behandlas för något annat ändamål än kontroll- och urvalsändamål innebär det att behandlingen av uppgifterna, enligt principen om lagringsminimering som framgår av artikel 5.1 e i dataskyddsförordningen, måste upphöra när respektive tidsfrist gått ut. För att uppgifterna ska kunna gallras krävs dock att Riksarkivet fattar beslut eller meddelar föreskrifter om gallring. Av 3 § arkivlagen framgår att myndigheternas arkiv som huvudregel ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov.
Att uppgifter som får behandlas i SPAR i fortsättningen endast får gallras med stöd av Riksarkivet bör därmed inte medföra att uppgifterna kommer att behandlas under längre tid än i dag. Däremot kan materiella förändringar av SPAR komma att innebära att uppgifterna
i SPAR behandlas under en längre tid. Förslaget syftar dock till att göra regleringen mer ändamålsenlig och flexibel i detta avseende och är enligt vår bedömning proportionerligt i förhållande till den målsättningen. Mot bakgrund av att uppgifterna inte kommer behandlas under en längre tid än i dag innan en eventuell förändring av den materiella regleringen av SPAR införs är vår bedömning är att det även är förenligt med skyddet för den personliga integriteten.
Utlämnande till myndigheter
Vi har föreslagit att fler uppgifter än i dag ska få lämnas ut från SPAR till myndigheter. Det innebär att myndigheter ges en möjlighet att hämta samma information som de i dag kan ta del av via Navet även från SPAR. Syftet med en sådan förändring är att myndigheter ska ha möjlighet att välja den informationskanal som är lämpligast för de behov som finns i den aktuella verksamheten, och inte vara hänvisade till att använda två olika system för informationsförsörjning. På så sätt kan myndigheter ges möjlighet att göra effektiviseringar och även hushålla bättre med sina ekonomiska resurser. Utökningen av uppgifter som ska få lämnas till SPAR kan komma att innebära en viss utökning av behandling av uppgifter inom den verksamheten. Den eventuella ökningen kommer dock sannolikt motsvaras av en minskning av behandling genom utlämnande från inom Navet. Någon egentlig förändring av den totala behandlingen genom utlämnande av uppgifter från Skatteverkets folkbokföringsverksamhet borde det därför inte röra sig om.
Att uppgifter som tidigare enbart kunnat hämtas in från Navet nu även ska kunna hämtas från SPAR bör mot den bakgrunden vara proportionerligt i förhållande till målsättningen att myndigheter ska kunna effektivisera sin verksamhet och bättre hushålla med sina ekonomiska resurser. Vårt förslag innebär dessutom inte en utökad möjlighet för de mottagande myndigheterna att behandla personuppgifter som de i dag saknar en rättslig grund för att behandla. Vår bedömning är därför att förslaget att utöka myndigheters möjlighet att samla in uppgifter från SPAR är förenligt med skyddet för den personliga integriteten.
Övriga förslag
Vi har föreslagit att lagens syfte och ändamålsbestämmelser ska tydliggöras och att principen om lagringsminimering ska framgå av lag. Motivet till förslagen om dessa bestämmelser är att regleringen av SPAR ska bli tydligare och utformas på ett mer enhetligt sätt i förhållande till annan dataskyddsreglering. Förslagen innebär inte en förändring av omfattningen av behandling av personuppgifter inom SPAR och bör inte påverka skyddet för den personliga integriteten på ett negativt sätt.
17. Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
17.1. Inledning
Liksom för övriga verksamheter omfattar vårt uppdrag avseende Skatteverkets äktenskapsregister- och bouppteckningsverksamheter att föreslå ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen, samtidigt som enskildas personliga integritet värnas. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag. En översyn av struktur och terminologi ingår också i uppdraget, bl.a. i syfte att modernisera språket och att använda enhetliga begrepp i förhållande till främst annan dataskyddsreglering. Vårt uppdrag omfattar att se över bestämmelser om tillämpningsområde, ta ställning till om bestämmelser om sökbegrepp är ändamålsenligt utformade och överväga frågor som rör längsta tid för behandling av personuppgifter.
I det här kapitlet redogör vi för olika aspekter av de frågor som aktualiseras av vårt uppdrag i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Vi gör en översiktlig beskrivning av den materiella regleringen av verksamheterna, Skatteverkets uppgifter och nuvarande bestämmelser om personuppgiftsbehandling. Vi redogör även för våra bedömningar av i vilka avseenden nuvarande reglering behöver anpassas till dagens förhållanden i enlighet med vårt uppdrag, samt lämnar förslag på ny reglering.
I avsnitt 3.2.5 och 3.2.6 lämnas en redogörelse över den allmänna dataskyddsregleringen.
17.2. Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
17.2.1. Övergripande om verksamheterna
Utöver de uppgifter som är hänförliga till Skatteverkets verksamheter med beskattning och folkbokföring, har myndigheten flera uppgifter av mer avgränsad karaktär som utförs i annan verksamhet. Exempel på sådan verksamhet är äktenskapsregistret och registreringsärenden enligt 16 kap. äktenskapsbalken samt registrering av bouppteckningar och handläggning av ärenden enligt 16 kap. ärvdabalken.1
Skatteverket tog över ansvaret för registrering av bouppteckningar från tingsrätterna 2001. Inledningsvis hanterades uppgifter från bouppteckningsverksamheten i beskattningsdatabasen, eftersom det togs ut arvsskatt och den debiteringen skedde i skattekontosystemet. Sedan arvs- och gåvoskatten slopades 2004 har Skatteverkets uppgift varit att bevaka att bouppteckningar blir förrättade, upprättade, ingivna och registrerade.2 Bouppteckningsverksamheten omfattar sedan 2015 även uppgiften att utfärda arvsintyg som i materiellt hänseende regleras på unionsrättslig nivå.3
Skatteverket övertog ansvaret för äktenskapsregistret från Statistiska centralbyrån 2011, och tog då samtidigt över tingsrätternas uppgift att handlägga ärenden enligt 16 kap. äktenskapsbalken, dvs. att registrera bl.a. äktenskapsförord, anmälningar om bodelning under äktenskap samt sedan 2019 lagvalsavtal.4
Några specifika sekretessbestämmelser som gäller för uppgifter i äktenskapsregistret eller i bouppteckningsverksamheten finns inte. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är de som är gemensamma för alla myndigheter, se avsnitt 3.3.2.
Behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter regleras i lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bo-
14 och 5 §§ förordningen (2017:154) med instruktion för Skatteverket. 2Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 28.
3Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 30.
4Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 25. Ett lagvalsavtal är ett avtal där makar i vissa gränsöver-
skridande situationer kan välja vilket lands lag som ska tillämpas på deras förmögenhetsförhållanden.
uppteckningsverksamheter, ÄrBu-lagen, och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, ÄrBu-förordningen.
17.2.2. Bouppteckningsverksamheten
Bouppteckningar
Bestämmelserna om bouppteckningar finns i 20 kap. ärvdabalken. När en person som har sin hemvist i Sverige avlider ska en bouppteckning som huvudregel förrättas, upprättas och lämnas in till Skatteverket.5 Bouppteckningen ska innehålla uppgifter om bl.a. den avlidna, arvingar och eventuella testamentstagare, tillgångar och skulder samt om eventuellt testamente eller äktenskapsförord.6 Av bouppteckningen ska det också framgå vem som är bouppgivare och vilka som har varit förrättningsmän.7 När en bouppteckning blir registrerad innebär det bl.a. att den har uppfyllt vissa formella krav. En inregistrerad bouppteckning fungerar i praktiken som en legitimationshandling för dödsboet och fyller också ett syfte för bl.a. dödsboets borgenärer, som ges förutsättningar att bedöma situationen i boet.8
Dödsboanmälan
I 20 kap. ärvdabalken finns också bestämmelser om s.k. dödsboanmälan, som i vissa fall kan ersätta en bouppteckning. Om den avlidnas tillgångar inte räcker till mer än begravningskostnader och andra utgifter med anledning av dödsfallet kan en dödsboanmälan göras i stället för en bouppteckning.9 Det är enbart kommunernas socialnämnder som får göra en dödsboanmälan och som ska pröva om det finns förutsättningar för att göra en sådan anmälan. Social-
5 Om en bouppteckning ska förrättas och lämnas in till Skatteverket för registrering beror på om Skatteverket är behörig myndighet och om svensk lag ska tillämpas på arvet. Detta bestäms av EU:s arvsförordning, se avsnittet om europeiskt arvsintyg nedan. 620 kap.3–5 §§ärvdabalken. 7 En bouppgivares roll vid bouppteckningsförrättningen är att på heder och samvete lämna uppgifter om dödsboet. Bouppgivaren ska lämna uppgifter bl.a. om den avlidnas tillgångar och skulder, testamenten, äktenskapsförord och släktförhållanden, 20 kap. 6 § ärvdabalken. En bouppteckning ska förrättas av två kunniga och trovärdiga gode män s.k. förrättningsmän, 20 kap. 2 § första stycket samt 20 kap. 6 §ärvdabalken. 8Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 29.
9 20 kap. 1 § andra stycket och 8 a § första stycket ärvdabalken.
nämnden ska i anmälan anteckna den avlidnas namn, personnummer, adress och dödsdag, samt under vissa förhållanden även dödsbodelägares namn och adress. Socialnämnden ska lämna in dödsboanmälan till Skatteverket för förvaring.10
Europeiskt arvsintyg
Genom inrättandet av EU:s arvsförordning, skapades ett gemensamt regelverk inom EU på arvsrättens område.11 Arvsförordningen är direkt tillämplig i Sverige och när den började tillämpas ersatte förordningen den svenska internationella privaträtten inom arvsrättens område. I arvsförordningen regleras bl.a. vilket lands domstolar och andra myndigheter som får besluta i frågor om arv med internationell anknytning och vilket lands lag som ska tillämpas på arvet. Förordningen innehåller även bestämmelser om s.k. europeiskt arvsintyg som möjliggör för arvingar, testamentstagare, testamentsexekutorer och boutredningsmän att styrka sin ställning eller sina rättigheter i andra medlemsstater.12
Lagen (2015:417) om arv i internationella situationer tillkom för att tillämpningen av förordningen skulle fungera i praktiken.13 Av 2 kap. 7 § i den lagen framgår att Skatteverket är behörig myndighet att utfärda europeiska arvsintyg i Sverige. De närmare bestämmelserna om europeiska arvsintyg finns dock i förordningen.
Skatteverkets uppgifter i bouppteckningsverksamheten
Bouppteckningar
När det finns en bouppteckningsskyldighet har Skatteverket i uppgift att se till att en bouppteckning förrättas och ges in. Skatteverket har inkommit med en hemställan till regeringen om att vidta åtgärder för att ändra bestämmelserna i ärvdabalken så att bouppteckningar
1020 kap. 8 a § första stycket ärvdabalken. 11 Europaparlamentets och rådets förordning (EU) nr 650/2012 av den 4 juli 2012 om behörighet, tillämplig lag, erkännande och verkställighet av domar samt godkännande och verkställighet av officiella handlingar i samband med arv och om inrättandet av ett europeiskt arvsintyg, se prop. 2014/15:105, Arv i internationella situationer, s. 1. 12 Prop. 2014/15;105, Arv i internationella situationer, s. 41. 13Prop. 2014/15:105, Arv i internationella situationer, s. 1 och 24.
kan ges in elektroniskt till Skatteverket. Hemställan bereds för närvarande inom Regeringskansliet.14
När en bouppteckning kommer in ska Skatteverket kontrollera att den innehåller samtliga uppgifter som ska antecknas och att det framgår att förrättningen gått till på det sätt som anges i 20 kap. ärvdabalken.
När en bouppteckningsskyldighet föreligger och någon bouppteckning inte har kommit in i rätt tid får Skatteverket förelägga den eller dem som är ansvariga för att en bouppteckning förrättas att vid vite lämna in en bouppteckning inom en viss tid. Om en uppgift saknas i en bouppteckning ska Skatteverket ge ingivaren en möjlighet att komplettera bouppteckningen. Skatteverket kan förelägga den eller de som företräder dödsboet att inom en viss tid komplettera en ofullständig bouppteckning.15 Om Skatteverket bedömer att alla obligatoriska uppgifter är antecknade, och att bouppteckningen förrättats i enlighet med bestämmelserna i 20 kap. ärvdabalken, registrerar Skatteverket bouppteckningen och förser den med bevis om registrering.
Efter registrering bevaras en bestyrkt kopia av handlingarna hos Skatteverket. Om det inte framgår att bouppteckningsförrättningen gått till på det sätt som anges i 20 kap. ärvdabalken får Skatteverket inte registrera bouppteckningen, utan fattar då besluta om att inte registrera den. Skyldigheten att förrätta och lämna in en bouppteckning till Skatteverket kvarstår dock även efter ett sådant beslut.16
Utöver att registrera bouppteckningar ska Skatteverket i vissa situationer kungöra om arv enligt lag eller testamente, förelägga arvingar eller testamentstagare att göra sin rätt gällande samt ta emot anmälningar om att ta arv i anspråk.17 I vissa fall när Skatteverket har beslutat om kungörelse ska Skatteverket underrätta Kammarkollegiet.18
I förordningen (2001:423) om vissa frågor rörande Skatteverkets handläggning enligt 20 kap. ärvdabalken finns ytterligare bestämmelser om Skatteverkets underrättelseskyldighet i vissa fall. Exempelvis ska Skatteverket underrätta överförmyndare om någon som är
14 Dnr Ju2023/01440. Se även Skatteverkets promemoria, E-tjänst för inlämning av bouppteck-
ningar, 2023-06-12, dnr 8-2367470.
1520 kap. 9 § ärvdabalken. 1620 kap. 9 § tredje stycket ärvdabalken. Se även Skatteverkets rättsliga vägledning, När ska en
bouppteckning förrättas? 2023.
Tillgänglig: https://www4.skatteverket.se/rattsligvagledning/edition/2023.3/340668.html [hämtad 2023-02-27]. 1716 kap.1–3 och 5–6 §§ärvdabalken. Vad kungörelsen ska innehålla framgår även av kungörelsen (1959:321) med närmare bestämmelser om kungörande enligt 16 kap. ärvdabalken, m.m. 186 kap. 2 § förordningen (2021:403) om Allmänna arvsfonden.
underårig eller har förvaltare har del i ett dödsbo.19 I förordningen finns även bestämmelser om att Skatteverket beslutar om och betalar ut ersättning till den som har förordnats till att föranstalta om bouppteckning.20
Dödsboanmälan
Skatteverket tar emot och förvarar dödsboanmälningar, och lämnar ut kopior av dessa om någon begär det. Skatteverket ska dock inte granska innehållet i en dödsboanmälan och till skillnad från vad som gäller för bouppteckningar fattar inte Skatteverket något beslut om registrering.21
Europeiskt arvsintyg
Skatteverket utfärdar arvsintyg efter ansökan från en behörig sökande. En ansökan ska innehålla en rad uppgifter bland annat uppgifter om arvingar och testamentstagare. Om Skatteverket bedömer att myndigheten kan intyga de omständigheter som sökanden vill ha bestyrkta, ska Skatteverket utfärda arvsintyget genom att fylla i ett för EU gemensamt formulär.22
17.2.3. Äktenskapsregisterverksamheten
Äktenskapsregistret
I 16 kap. 1 § äktenskapsbalken anges att Skatteverket ska föra ett äktenskapsregister för inskrivning av de uppgifter som ska registreras enligt äktenskapsbalken, eller som ska tas in i registret enligt andra bestämmelser. Det rör sig bl.a. om äktenskapsförord, gåva mellan makar, anmälan om bodelning under äktenskap och bodelningshandling.23
19 2 § förordningen om vissa frågor rörande Skatteverkets handläggning enligt 20 kap. ärvdabalken. 20 6 § förordningen om vissa frågor rörande Skatteverkets handläggning enligt 20 kap. ärvdabalken. 2120 kap. 8 a § ärvdabalken. 22 Se arvsförordningens kapitel VI, artiklarna 65–67. 237 kap. 3 §, 8 kap. 1 §, 9 kap. 1 § och 13 kap. 6 §äktenskapsbalken.
I förordningen (1987:1022) om äktenskapsregistret finns bestämmelser om vilka uppgifter tingsrätter, hovrätter och Högsta domstolen ska sända in till registret och bestämmelser om förfarandet. Det rör sig om bl.a. domar varigenom en vigsel har förklarats ogiltig eller domstolen har dömt till äktenskapsskillnad och vissa beslut som avser ett utländskt avgörande om upplösning av ett äktenskap.24
Skatteverkets registrering medför vissa rättsverkningar och kan vara nödvändig för att en handling ska vara giltig eller gällande mot borgenärer. Syftet är framför allt att ge tredje man insyn i sådana rättshandlingar mellan makar som typiskt sett kan innebära risker för fordringsägare.25 Förutom av privatpersoner används äktenskapsregistret av domstolar, sociala myndigheter, banker, fastighetsmäklare och försäkringsbolag med flera.26
Skatteverkets uppgifter i äktenskapsregisterverksamheten
Av 16 kap. 2 § äktenskapsbalken framgår bl.a. att ansökan om en registrering i äktenskapsregistret görs hos Skatteverket, samt vad som ska bifogas en sådan ansökan. När en maka eller make vill registrera exempelvis ett äktenskapsförord ska hon eller han skicka in handlingen i original till Skatteverket tillsammans med en ansökan om registrering. I förordningen (2011:976) om Skatteverkets handläggning av vissa registreringsärenden finns bestämmelser om Skatteverkets handläggning av en ansökan om registrering enligt 16 kap. 2 § äktenskapsbalken. Där framgår att en avgift ska tas ut, samt att en handling efter registrering ska förses med ett bevis därom och återlämnas till ingivaren.27 Av förordningen framgår även att registret ska vara ordnat så att de uppgifter som antecknats i registret lätt kan återfinnas.28
När en ansökan om registrering kommer in ska Skatteverket pröva om de formella förutsättningarna för registrering föreligger. Kontrol-
24 2–3 §§ förordningen om äktenskapsregistret. 25Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 25–26.
26 Skatteverket, Äktenskapsregistret. Tillgänglig: https://www.skatteverket.se/privat/folkbokforing/aktenskapochpartnerskap/akten skapsregiakten.4.8639d413207905e9480002095.html [hämtad 2023-02-27]. 27 1–2 §§ förordningen om Skatteverkets handläggning av vissa registreringsärenden. 28 7 § förordningen om äktenskapsregistret.
len är begränsad till vissa enklare formföreskrifter, t.ex. att formkraven för äktenskapsförord är uppfyllda.29
Om handlingen uppfyller de formella kraven för registrering ska Skatteverket besluta att registrera handlingen och förse den med bevis om registrering. Beviset består av den stämpel och underskrift av handläggare m.m. som sätts på originalhandlingen. Skatteverket kan även besluta om att avslå en ansökan om registrering i vissa fall, bl.a. om handlingen inte uppfyller de formella kraven för registrering.30
Skatteverket ska enligt 16 kap. 3 § äktenskapsbalken kungöra gåvor mellan makar, anmälan om bodelning under pågående äktenskap och bodelningshandlingar.
17.3. Nuvarande reglering av behandling av personuppgifter
17.3.1. Bakgrund
Behovet av en särskild lag
Som nämnts ovan reglerades behandling av personuppgifter i bouppteckningsverksamheten inledningsvis tillsammans med behandling av personuppgifter i Skatteverkets beskattningsverksamhet. I förarbetena till ÄrBu-lagen uttalade regeringen att personuppgiftsbehandling i bouppteckningsverksamheten på många sätt var av en annan karaktär än den behandling som skedde inom beskattningsverksamheten. Regeringen konstaterade också att absolut sekretess gällde i beskattningsverksamheten medan det för bouppteckningsverksamheten inte fanns någon särskild sekretessbestämmelse. Regeringen ansåg därför att det var lämpligt att den automatiska behandlingen av personuppgifter i bouppteckningsverksamheten reglerades i en särskild ny lag.31
Vid tidpunkten för lagens tillkomst hade Skatteverket uttalat sin avsikt att integrera arbetet med europeiska arvsintyg i bouppteckningsverksamheten, eftersom den då nya arbetsuppgiften hade många
29Prop. 2010/11:119, Domstolarnas handläggning av ärenden, s. 55 och 57. 30 Exempelvis framgår av 7 kap. 3 § äktenskapsbalken att ett äktenskapsförord ska upprättas skriftligen och det ska vara daterat och undertecknat av makarna eller av de blivande makarna personligen. 31Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 32.
beröringspunkter med handläggningen av bouppteckningar.32 Regeringen uttalade i förarbetena att Skatteverkets uppgifter som behörig myndighet för utfärdande av europeiska arvsintyg var hänförliga till bouppteckningsverksamheten.33
Bestämmelser om behandling av personuppgifter i äktenskapsregistret fanns fram till ÄrBu-lagens tillkomst i förordning. I lagens förarbeten konstaterade regeringen att det i äktenskapsregistret fanns omfattande information om bl.a. enskildas familjerättsliga förhållanden, och uppgifter som var av känslig karaktär. Skatteverket hade tidigare gjort bedömningen att stora delar av den personuppgiftsbehandling som skedde inom ramen för äktenskapsregistret innefattade sådan integritetskänslig informationshantering som enskilda är skyddade mot enligt 2 kap. 6 § andra stycket regeringsformen, RF, och hade hemställt om en lag som skulle reglera behandlingen av uppgifter i äktenskapsregistret (jfr avsnitt 6.2). Mot bakgrund av arten och omfattningen av de uppgifter som behandlades ansåg regeringen att det var lämpligt att den personuppgiftsbehandling som skedde i äktenskapsregisterverksamheten reglerades i lag.
Regeringen konstaterade att både bouppteckningsverksamheten och äktenskapsregisterverksamheten avsåg behandling av uppgifter i enlighet med bestämmelser i familjerättslig lagstiftning. Verksamheterna ansågs av regeringen vara så pass besläktade med varandra att det var lämpligt att reglera den automatiska behandlingen i verksamheterna i en gemensam lag.34
Regeringens bedömning i vissa centrala frågor
Tillämpningsområde
Enligt regeringen skulle lagens bestämmelser om personuppgiftsansvar, tillåtna ändamål, behandling av känsliga personuppgifter, sökbegrepp och utlämnande av personuppgifter på medium för automatiserad behandling gälla även vid behandling av uppgifter om avlidna personer. Motiveringen var att det framför allt i boupptecknings-
32Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 30.
33Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 33.
34Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 33.
verksamheten behandlades en stor mängd uppgifter om avlidna personer, och de angivna bestämmelserna skulle därför gälla även vid behandling av uppgifter om avlidna.35
Ändamål och innehåll
Regeringen uttalade att vilka uppgifter som behövde behandlas i Skatteverkets verksamhet, och på vilket sätt, i mycket hög grad styrdes av bestämmelserna i andra författningar, främst äktenskapsbalken, ärvdabalken och arvsförordningen. Regeringen konstaterade att det följde direkt av bestämmelser i äktenskapsbalken och ärvdabalken att Skatteverket skulle föra äktenskapsregistret samt registrera och förvara kopior av bouppteckningar. Lagen skulle därför inte ha till syfte att reglera innehållet och ändamålet med äktenskapsregistret och registret över bouppteckningar, utan förslaget syftade till att närmare reglera den automatiska behandlingen. Mot den bakgrunden bedömde regeringen att det inte var lämpligt eller behövligt att i lagen reglera vilka uppgifter som fick behandlas eller att i detalj ange för vilka ändamål och arbetsuppgifter uppgifter fick behandlas.36 Genom att det i lagen angavs att uppgifter fick behandlas om det behövdes i Skatteverkets äktenskapsregister- och bouppteckningsverksamhet skulle all den behandling som var nödvändig i verksamheten täckas in.37
Känsliga personuppgifter och sökbegränsningar
Regeringen bedömde att det i vissa fall kunde vara nödvändigt att behandla känsliga personuppgifter i de verksamheter som lagen skulle omfatta. En del av de handlingar som Skatteverket registrerade konstaterades kunna innehålla känsliga uppgifter rörande t.ex. etnicitet och hälsa. Skatteverket skulle därför tillåtas behandla känsliga uppgifter i inkomna handlingar. Vidare bedömde regeringen att det kunde uppstå situationer när Skatteverket behövde beröra känsliga person-
35Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 33.
36Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 37.
37Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 38.
uppgifter i upprättade handlingar, t.ex. i ett beslut om registrering. Om det var nödvändigt för ärendets handläggning skulle därför känsliga personuppgifter få behandlas även i en handling som upprättades i ett ärende.
För att förhindra integritetskänsliga sammanställningar var det dock enligt regeringen mycket viktigt att införa begränsningar kring vilka uppgifter som skulle få användas som sökbegrepp. Regeringen ansåg att känsliga personuppgifter inte skulle få användas som sökbegrepp utan endast sådana registreringsuppgifter som angavs i 5 kap. 2 § offentlighets- och sekretesslagen (2009:400), OSL.38 Vid sökning efter handlingar skulle dock även namn och person- eller samordningsnummer få användas som sökbegrepp.39
Elektroniskt utlämnande
Regeringen konstaterade att personuppgifter som förekommer i verksamheterna normalt var offentliga, och att ett syfte med registreringen var att tillhandahålla information både till andra myndigheter och privata aktörer. Utlämnande på medium för automatiserad behandling40 möjliggjorde enligt regeringen en hantering som skulle vara effektiv både för Skatteverket och för mottagarna. Regeringen påpekade dock även att den föreslagna regleringen inte innebar någon rätt för mottagarna att få ut uppgifter elektroniskt, utan Skatteverket behövde avgöra om ett utlämnande på medium för automatiserad behandling var lämpligt. Lämplighetsprövningen skulle enligt regeringen komma att bli särskilt viktig när utlämnandet skulle ske till enskild. Det var dock enligt regeringens mening inte lämpligt eller behövligt att närmare ange villkor för när uppgifter skulle få lämnas ut på medium för automatiserad behandling.41
38 Av 5 kap. 2 § första stycket OSL framgår att en handling som kommer in till eller upprättas i en myndighet ska den registreras och av registret ska framgå datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning handlingen fått vid registreringen, i förekommande fall uppgifter om handlingens avsändare eller mottagare, och i korthet vad handlingen rör. 39Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 38–40.
40 Begreppet medium för automatiserad behandling avser exempelvis e-post eller direkt överföring från ett datorsystem till ett annat, se avsnitt 11.2.3. 41Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 41–42.
Anpassningar till EU:s dataskyddsförordning
I samband med den översyn som skedde inför att EU:s dataskyddsförordning42 skulle börja tillämpas genomfördes vissa generella förändringar av lagen. Referenser till personuppgiftslagen, (1998:204), PUL, ersattes av referenser till dataskyddsförordningen och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. Vissa bestämmelser anpassades dessutom till dataskyddsförordningen och i övrigt genomfördes några redaktionella ändringar.43
17.3.2. Lagen och förordningen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Av 1 § framgår att lagens syfte är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i äktenskapsregister- och bouppteckningsverksamheterna och att skydda människor mot att deras personliga integritet kränks vid en sådan behandling.
Av 2 § framgår lagens tillämpningsområde, dvs. den ska tillämpas vid behandling av personuppgifter i äktenskapsregister- och bouppteckningsverksamheterna, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Av bestämmelsen framgår även att flera av lagens bestämmelser även gäller vid behandling av uppgifter om avlidna.
I 4 § anges att lagen kompletterar dataskyddsförordningen och att dataskyddslagen gäller om inte annat följer av lagen.
Att Skatteverket är personuppgiftsansvarigt för behandlingen som myndigheten utför framgår av 5 §.
42 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 43Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 119–121.
Lagens ändamålsbestämmelser finns i 6 §, där både primära och sekundära ändamål samt en bestämmelse som motsvarar finalitetsprincipen ryms.44 Det primära ändamålet är att personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Det sekundära ändamålet är att personuppgifter som behandlas enligt första stycket också får behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Av samma bestämmelse framgår att sådana uppgifter även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Behandling av känsliga personuppgifter är enligt 7 § tillåten i en handling som har lämnats i ett ärende, samt i en handling som har upprättats i ett ärende, om uppgifterna är nödvändiga för ärendets handläggning.
Enligt 8 § får endast uppgifter som avses i 5 kap. 2 § OSL användas som sökbegrepp vid sökning. Vid sökning efter handlingar får dessutom namn och person- eller samordningsnummer användas som sökbegrepp. Känsliga personuppgifter får dock inte användas som sökbegrepp.
Personuppgifter får lämnas ut på medium för automatiserad behandling om det inte är olämpligt, vilket framgår av lagens 9 §.
I 10 § anges att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte gäller vid behandling som är tillåten enligt lagen eller föreskrifter som meddelats i anslutning till den.
Av 11 § framgår att regeringen eller den myndighet regeringen bestämmer kan med stöd av 8 kap. 7 § RF meddela föreskrifter om avgifter för utlämnande.
44 Av lagens förarbeten framgår visserligen att syftet med bestämmelserna inte var att skapa en uppdelning mellan primära och sekundära ändamål, se prop. 2015/16:28, Vissa frågor om be-
handling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverket, s. 38 samt
nedan i avsnitt 17.4.4. Eftersom vi i kapitel 8 har använt begreppet sekundära ändamålsbestämmelser även avseende bestämmelser som tillåter uppgiftslämnande som sker i överensstämmelse med lag eller förordning används dock det begreppet även här.
Förordningen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
I förordningen finns kompletterande bestämmelser om sådan behandling av personuppgifter som omfattas av lagen (1 §).
Av förordningens bestämmelser framgår att Skatteverket får meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling (2 §), besluta om avgifter för utlämnande av uppgifter (3 §) och meddela de ytterligare föreskrifter som behövs för verkställighet av lagen (5 §). Vidare framgår att Riksarkivet, efter att ha inhämtat synpunkter från Skatteverket, får meddela föreskrifter om vilka uppgifter och handlingar som ska gallras (4 §).
17.4. Överväganden och förslag
17.4.1. En ny lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Vårt förslag: Lagen om behandling av personuppgifter i Skatte-
verkets äktenskapsregister- och bouppteckningsverksamheter ska upphävas och ersättas av en ny lag, lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Skälen för vårt förslag
Behovet av ändringar
Registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten infördes 2001. Som vi redogjort för i bl.a. avsnitt 8.4.1 och avsnitt 9.4.1 var de rättsliga och tekniska förhållanden som rådde när de författningarna infördes i många avseenden väsentligt annorlunda jämfört med de förhållanden som råder i dag. ÄrBu-lagen infördes långt senare, och har en annan struktur än de nyss nämnda registerlagarna. Exempelvis är ändamålsbestämmelserna brett formulerade och det finns ingen särskild reglering av en databas i ÄrBu-lagen. Till skillnad från de övriga författningar som vår översyn omfattar är ÄrBu-lagen
alltså en ganska ny och modern lag. Det skulle därför kunna argumenteras att lagen redan är så väl anpassad till rådande rättsliga och tekniska förutsättningar för automatiserad personuppgiftsbehandling att några ändringar inte behöver göras i den.
I avsnitt 5.2.7 gör vi dock bedömningen att nya sektorsspecifika dataskyddslagar som kompletterar den allmänna dataskyddsregleringen bör utformas på ett så enhetligt sätt som möjligt. Skälet till detta är bl.a. att det inte bör uppstå osäkerhet om bestämmelsernas betydelse vid en jämförelse mellan olika myndigheters dataskyddsreglering. I kapitel 10 och 11 har vi föreslagit vissa generella bestämmelser som vi bedömer bör införas i dataskyddsregleringen för samtliga övriga verksamheter, förutom Skatteverkets verksamhet med det statliga personadressregistret, SPAR. Det gäller frågor om behandling av känsliga personuppgifter, sökbegränsningar och elektroniskt utlämnande av personuppgifter. Våra bedömningar i dessa avseenden är tillämpliga även i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. I de nyss nämnda avseendena skiljer sig dock bestämmelserna i den nuvarande ÄrBu-lagen från de bestämmelser vi föreslår ska gälla i övriga verksamheter.
I kapitel 7 och 12 föreslår vi även att bestämmelser om längsta tid för behandling ska införas i de nya dataskyddslagarna för samtliga övriga verksamheter, och att bestämmelser om tillgången till personuppgifter ska införas i samtliga lagar förutom den nya SPAR-lagen. Någon motsvarighet till de föreslagna bestämmelserna finns inte i ÄrBu-lagen.
Utformningen av ÄrBu-lagens ändamålsbestämmelser skiljer sig dessutom från hur vi i kapitel 8 föreslår att ändamålsbestämmelserna i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska utformas.
I enlighet med vår målsättning om en enhetligt utformad dataskyddsreglering anser vi sammanfattningsvis att vissa bestämmelser i den nuvarande ÄrBu-lagen bör ändras, vissa bör upphävas och andra bör tillkomma, vilket utvecklas i avsnitt 17.4.3–17.4.9 nedan. Det finns därför ett behov av att ändra regleringen av personuppgiftsbehandling i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
En ny lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Anpassningen av dataskyddsregleringen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter till den struktur vi föreslår för övriga verksamheter kommer att innebära ändringar i ÄrBulagen av både innehållsmässig, strukturell och redaktionell karaktär. Frågan är då om anpassningen bör genomföras genom en ändringslag eller genom att ÄrBu-lagen upphävs och ersätts med en ny lag.
I samband med införandet av nya lagar om personuppgiftsbehandling på brottsdatalagens område för bl.a. Tullverket och Skatteverket hade regeringen ursprungligen föreslagit förändringar av de då gällande lagarna. Lagrådet framhöll dock att om ändringarna skedde i de befintliga lagarna så skulle dessa komma att framstå som helt omarbetade eftersom i princip alla paragrafer skulle komma att vara försedda med ett SFS-nummer från 2018 i de konsoliderade versionerna. Enligt Lagrådet skulle det bli förvirrande när registerlagarna behöll sina gamla SFS-nummer. Mot den bakgrunden kunde Lagrådet inte tillstyrka att lagändringarna skedde genom ändringslagar utan förordade att samtliga lagar upphävdes och ersattes med nya lagar. Av de skäl som Lagrådet anförde ansåg regeringen att nackdelarna med att låta anpassningen till brottsdatalagen ske genom ändringslagar var så stora att myndigheternas registerförfattningar i stället borde upphävas och ersättas med nya lagar.45
Om de ändringar vi föreslår i 17.4.3–17.4.9 genomförs i den befintliga lagen så kommer flertalet paragrafer att vara försedda med ett SFS-nummer från 2025 i de konsoliderade versionerna. Vissa paragrafer kommer dessutom vara upphävda, och andra kommer behöva få en bokstavsbeteckning utöver paragrafnumret. EU:s dataskyddsförordning, som ÄrBu-lagen kompletterar, började dessutom tillämpas under 2018, samma år som dataskyddslagen utfärdades. Det borde därför, i likhet med vad Lagrådet framhöll i samband med införandet av nya lagar om personuppgiftsbehandling på brottsdatalagens område, kunna bli förvirrande om ÄrBu-lagens SFS-nummer behålls.
Sammantaget bedömer vi att de förändringar som vi anser bör göras är så omfattande att den nuvarande ÄrBu-lagen bör upphävas och ersättas av en ny dataskyddslag, lagen om dataskydd i Skatteverkets
äktenskapsregister- och bouppteckningsverksamheter. Den sammantagna
45Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 97–98 och 601–602.
regleringen blir därmed framför allt mer lik de övriga nya dataskyddslagar vi föreslår. Att personuppgiftsbehandlingen även fortsättningsvis bör regleras i lag följer av de bedömningar vi redogör för i avsnitt 6.2.
17.4.2. Vissa bestämmelser kan flyttas till den nya lagen med endast redaktionella ändringar
Vårt förslag: Nuvarande bestämmelser om lagens syfte, mate-
riella tillämpningsområde, förhållandet till annan reglering, personuppgiftsansvar och begränsningen av rätten att göra invändningar ska motsvaras av bestämmelser i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, med endast vissa redaktionella ändringar.
Skälen för vårt förslag
Som framgår av avsnitt 17.3.2 innehåller ÄrBu-lagen redan flera bestämmelser som motsvarar bestämmelser som vi har föreslagit ska finnas i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Några av ÄrBu-lagens bestämmelser kan därför flyttas till den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med endast redaktionella ändringar och förtydliganden. Det gäller bestämmelserna om lagens syfte, förhållandet till annan reglering, personuppgiftsansvar och rätten att göra invändningar mot behandling som sker med stöd av lagen. De överväganden som framgår av kapitel 7 avseende motsvarande bestämmelser i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten är aktuella även i detta sammanhang. Bestämmelsen om personuppgiftsansvar, som i dag endast anger att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför, bör därför uttryckligen omfatta behandling som Skatteverkets utför enligt lagen och föreskrifter som meddelats i anslutning till lagen. Tillägget innebär ingen förändring i sak men förtydligar personuppgiftsansvarets omfattning.
Även bestämmelsen om ÄrBu-lagens materiella tillämpningsområde bör föras över till den nya lagen. Som framgår av avsnitt 17.2.2 och 17.2.3 omfattar äktenskapsregisterverksamheten förandet av äktenskapsregistret och handläggning av registreringsärenden enligt 16 kap. äktenskapsbalken. Bouppteckningsverksamheten omfattar registreringen av bouppteckningar och förvaring av dödsboanmälningar samt handläggning av ytterligare vissa typer av ärenden enligt ärvdabalken. Skatteverkets uppgifter som behörig myndighet för utfärdande av europeiska arvsintyg ingår också i bouppteckningsverksamheten.46 I enlighet med de överväganden som redogörs för i avsnitt 7.4 bör dock bestämmelsen ha en något annan utformning i den nya lagen. Vad gäller lagens tillämpningsområde och uppgifter om avlidna föreslås dessutom en ändring i avsnitt 17.4.3 nedan.
Däremot anser vi att upplysningsbestämmelsen i 11 § ÄrBu-lagen, som anger att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § RF kan meddela föreskrifter om avgifter för utlämnande inte bör ha någon motsvarighet i den nya lagen. Av förarbetena till bestämmelsen framgår att det rör sig om en ren upplysningsbestämmelse som motiverats av att sådana bestämmelser tidigare funnits i andra författningar.47 Vi har dock inte identifierat något fortsatt behov av en sådan upplysningsbestämmelse.
17.4.3. Uppgifter om avlidna ska inte omfattas av lagens tillämpningsområde
Vår bedömning: Lagen om dataskydd i Skatteverkets äktenskaps-
register- och bouppteckningsverksamheter bör inte gälla vid behandling av uppgifter om avlidna.
Skälen för vår bedömning
I dag gäller flera av bestämmelserna i ÄrBu-lagen vid behandling av uppgifter om avlidna. Det rör bestämmelserna personuppgiftsansvar, ändamål, behandling av känsliga personuppgifter, sökbegrepp och ut-
46Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 69–70.
47Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 43.
lämnande av personuppgifter på medium för automatiserad behandling.48
EU:s dataskyddsförordning gäller inte för uppgifter om avlidna men medlemsstaterna får enligt förordningen fastställa bestämmelser för behandling av sådana uppgifter.49 Något hinder mot att kompletterande dataskyddsreglering i tillämpliga delar även tillämpas vid behandling av uppgifter om avlidna personer finns därmed inte.
I avsnitt 7.4.3 föreslår vi att de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket, och Kronofogdemyndigheten inte ska vara tillämpliga vid behandling av uppgifter om avlidna. Frågan är då om det finns skäl att för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter göra en annan bedömning.
Särskilt i bouppteckningsverksamheten behandlas av naturliga skäl en stor mängd uppgifter om avlidna. Av motiven till ÄrBu-lagen framgår inte annat än att det enbart var omfattningen av behandlingen som låg till grund för regeringens bedömning att flera av lagens bestämmelser även skulle gälla vid behandling av uppgifter om avlidna.50
I andra sammanhang finns exempel på att kompletterande dataskyddsreglering även tillämpas vid behandling av uppgifter om avlidna. Vid behandling av sådana uppgifter hos Försäkringskassan och Pensionsmyndigheten har det huvudsakliga argumentet för att låta dataskyddsbestämmelser omfatta uppgifter om avlidna personer varit just den stora mängden uppgifter som behandlas.51 Vid behandling av uppgifter hos Rättsmedicinalverket har dock regeringen bedömt att dataskyddsregleringen ska gälla vid behandling av uppgifter om avlidna när det rör sig om uppgifter som är särskilt känsliga, t.ex. uppgifter om personer som utsatts för grov brottslighet eller uppgifter om allvarlig fysisk eller psykisk sjukdom, och där det för efterlevande kan vara betydelsefullt att sådana uppgifter skyddas.52
Regeringen har alltså tidigare å ena sidan ansett att redan omfattningen av behandlingen motiverat att dataskyddsregler ska tillämpas vid behandling av uppgifter om avlidna, och å andra sidan uttryckt att hänsyn till uppgifternas karaktär och respekten för efterlevande
48 2 § ÄrBu-lagen. 49 Skäl 27 till dataskyddsförordningen. 50Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 34.
51Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 45. 52Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 32.
motiverar en sådan reglering. Behovet av att låta sektorsspecifika författningar om myndigheters personuppgiftsbehandling vara tillämpliga vid behandling av uppgifter om avlidna kan självfallet variera mellan olika typer av verksamheter. Mot bakgrund av den allmänna dataskyddsregleringen anser vi dock att det framför allt bör vara uppgifternas karaktär och respekten för de efterlevande som ska vara avgörande vid bedömningen. Den avgörande frågan blir då om uppgifterna typiskt sett är känsliga trots att den registrerade är avliden, och vilken hänsyn efterlevande bör visas genom lagstiftningen.
Eftersom uppgifter av särskilt känslig karaktär typiskt sett inte behandlas vare sig i äktenskapsregisterverksamheten eller i bouppteckningsverksamheten saknas det enligt vår mening skäl för att utvidga den kompletterande dataskyddsregleringens tillämpningsområde till att även omfatta uppgifter om avlidna. Den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter bör därför inte i någon del vara tillämplig vid behandling av uppgifter om avlidna.
17.4.4. Ändamålsbestämmelserna ska utformas i överensstämmelse med övrig dataskyddsreglering
Vårt förslag: I den nya lagen om dataskydd vid Skatteverkets äkten-
skapsregister- och bouppteckningsverksamheter ska det finnas en primär ändamålsbestämmelse, en sekundär ändamålsbestämmelse och en bestämmelse som motsvarar finalitetsprincipen.
Skälen för vårt förslag
Syftet med en uppdelning i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndighetens egen verksamhet, dels behandlas för att lämnas ut till andra. Primära ändamål är beteckningen på de ändamål som aktualiseras i den egna verksamheten. Sekundära ändamål är sådana ändamål som redan insamlade uppgifter också får behandlas för, typiskt sett genom utlämnande av uppgifter till andra myndigheter. Den s.k. finalitetsprincipen framgår av artikel 5.1 b i EU:s dataskyddsförordning och innebär att uppgifter efter insamling inte får behandlas på ett sätt som är ofören-
ligt med de ändamål för vilka uppgifterna samlades in. I avsnitt 8.4.3– 8.4.5 har vi redogjort för vår bedömning att de nya datalagarna för Skatteverkets beskattnings- respektive folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten bör innehålla en brett formulerad ändamålsbestämmelse, en brett formulerad sekundär ändamålsbestämmelse och en bestämmelse som motsvarar finalitetsprincipen. De föreslagna ändamålsbestämmelsernas utformning har stora likheter med befintlig reglering i 6 § ÄrBu-lagen. Vi anser därför att nuvarande bestämmelser bör behållas i sak men att de ska ges en annan struktur.
I samband med de nuvarande ändamålsbestämmelsernas tillkomst bedömde regeringen visserligen att en indelning i primära och sekundära ändamål inte var lämplig, med hänvisning till att syftet med den registrering som skulle ske bland annat var att tillhandahålla information. Regeringen konstaterade dock att det i lag eller förordning ibland fanns bestämmelser om att en myndighet skulle eller fick lämna ut uppgifter. För att undvika osäkerhet kring hur sådant utlämnande förhöll sig till den föreslagna lagen borde det enligt regeringen anges i lagen att uppgifter fick behandlas för att fullgöra ett uppgiftslämnande som skedde i överensstämmelse med lag eller förordning. Det borde enligt regeringens mening även införas en uttrycklig hänvisning till den s.k. finalitetsprincipen, för att förtydliga att personuppgifter fick behandlas för andra ändamål än de ursprungliga, förutsatt att dessa ändamål inte var oförenliga med de ursprungliga ändamålen. Regeringen framhöll dock i sammanhanget att bestämmelserna inte kunde inskränka en myndighets skyldighet att lämna ut personuppgifter med stöd av 2 kap. tryckfrihetsförordningen.53
Regeringen har i flera senare lagstiftningsärenden uttalat att en sådan brett formulerad bestämmelse om vidarebehandling för uppgiftslämnande som vi föreslår i avsnitt 8.4.4 och som i dag finns i 6 § andra stycket ÄrBu-lagen utgör en sekundär ändamålsbestämmelse.54I dessa sammanhang uttalas ofta att en allmän förutsättning för sådan personuppgiftsbehandling som sker för utlämnande till andra bör vara att uppgiftslämnandet sker i överenstämmelse med stöd av
53Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 38.
54 Se bl.a. prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s data-
skyddsförordning, s. 23–24, prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets Verksamhet, s. 39 och prop. 2022/23:43, Utbetalningsmyndigheten, s. 127.
bestämmelser som påbjuder eller tillåter utlämnande.55 Det nyss sagda är giltigt även för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Som framgår av avsnitt 17.2.2 och 17.2.3 omfattar Skatteverkets uppgifter i verksamheterna dessutom inte enbart att tillhandahålla information till andra, utan även att kontrollera att vissa materiella bestämmelser följs, meddela förelägganden samt att fatta beslut, exempelvis om ersättning i vissa fall. Även i förarbetena till den nuvarande ändamålsbestämmelsen konstaterade regeringen att Skatteverket behandlar personuppgifter i ett flertal olika situationer som enligt vår mening inte kan klassas som uppgiftslämnande eller direkt hänförliga till förandet av register. Regeringen angav exempelvis att Skatteverket upprättar olika typer av skriftliga beslut, överväganden, yttranden m.m. och hanterar överklaganden.56 Skatteverkets uppgifter i äktenskapsregister- och bouppteckningsverksamheterna är alltså fler än att enbart föra register och lämna ut uppgifter från registren. Det finns därför skäl att ompröva regeringens tidigare ställningstagande att en uppdelning av primära och sekundära ändamål inte är lämplig i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Vi bedömer att den nya lagen bör innehålla en indelning i primära och sekundära ändamål i syfte att skapa ökad tydlighet och större enhetlighet med den nya dataskyddsreglering vi föreslår i övrigt. Mot den bakgrunden föreslår vi att det i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska införas en primär ändamålsbestämmelse, en sekundär ändamålsbestämmelse och en bestämmelse som motsvarar finalitetsprincipen. Bestämmelserna ska utformas i enhetlighet med motsvarande bestämmelser i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
55 Se bl.a. prop. 2014/15 :148, Domstolsdatalag, s. 41 och prop. 2017/18 :95, Anpassningar av
vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 57.
56Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 37.
17.4.5. Känsliga personuppgifter
Vårt förslag: Skatteverket ska få behandla personuppgifter som
avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Skälen för vårt förslag
Behandling av känsliga personuppgifter är som utgångspunkt förbjuden
Med känsliga personuppgifter avses i EU:s dataskyddsförordning personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.57I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskyddsförordningen definieras uppgifter om hälsa. I dag får Skatteverket enbart behandla sådana uppgifter i äktenskapsregister- och bouppteckningsverksamheterna i en handling som har lämnats i ett ärende, samt i en handling som har upprättats i ett ärende, om uppgifterna är nödvändiga för ärendets handläggning.58
I samband med ÄrBu-lagens tillkomst konstaterade regeringen att vilka uppgifter som behöver behandlas i mycket hög grad styrs av bestämmelserna i andra författningar, främst äktenskapsbalken, ärvdabalken och arvsförordningen. Regeringen konstaterade även att det i vissa fall kunde vara nödvändigt att behandla känsliga personuppgifter i de verksamheter som lagen omfattar, exempelvis om det fanns uppgifter om etnicitet eller hälsa i en handling som Skatteverket skulle registrera.59 Vid tidpunkten gällde personuppgiftslagen, som inte innehöll några särskilda undantag från det dåvarande dataskyddsdirektivets förbud mot behandling av känsliga personuppgif-
57 Artikel 9.1 i dataskyddsförordningen. 58 7 § ÄrBu-lagen. 59Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 39.
ter som kunde tillämpas i de aktuella verksamheterna.60 Den generella dataskyddsregleringen vid den tidpunkten innebar därmed att det behövde finnas uttryckliga bestämmelser som tillät behandling av känsliga personuppgifter för att möjliggöra nödvändig behandling.
Enligt artikel 9.1 i dataskyddsförordningen är det också i dag förbjudet att behandla s.k. känsliga personuppgifter. Förbudet är dock förenat med vissa undantag. Behandling av känsliga personuppgifter är exempelvis tillåten om den är nödvändig av hänsyn till ett viktigt allmänt intresse, vilket framgår av artikel 9.2 g. Regeringen har i detta sammanhang ansett att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse.61 Inom myndigheters verksamhet kan alltså det undantaget tillämpas.
Av 3 kap. 3 § dataskyddslagen, som kompletterar dataskyddsförordningen i detta avseende, framgår att en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen får behandla känsliga personuppgifter om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
Behandling av känsliga personuppgifter ska vara tillåtet om det är nödvändigt med hänsyn till ändamålet med behandlingen
I avsnitt 10.6 och 10.7 har vi redogjort för våra bedömningar avseende nuvarande begränsningar av möjligheten att behandla känsliga personuppgifter inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Bedömningen som redovisas där är sammanfattningsvis att det till följd av den allmänna dataskyddsregleringen, dvs. EU:s dataskyddsförordning och dataskyddslagen, finns utrymme för en mindre detaljerad reglering av behandling av känsliga uppgifter än tidigare. Vi har även bedömt att en stor del av myndigheternas behandling av känsliga personuppgifter kan ske med stöd av den allmänna dataskyddsregleringen. Vi har därför övervägt om det över huvud taget finns behov av kompletterande reglering i detta avseende.
6013 § PUL. 61Prop. 2017/18:105, Ny dataskyddslag, s. 83.
Vår sammantagna bedömning är dock att dataskyddslagens bestämmelser inte säkerställer att det finns det rättsliga stöd som krävs för nödvändig behandling i den löpande faktiska verksamheten som sker i myndigheternas verksamhet. Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten föreslås därför få ett uttryckligt stöd för att behandla känsliga personuppgifter i de nya datalagarna. Sådan behandling ska dock endast få ske under förutsättning att det är nödvändigt med hänsyn till ändamålet med behandlingen.
På grund av verksamheternas karaktär är Skatteverkets behov av att behandla känsliga personuppgifter i äktenskapsregister- och bouppteckningsverksamheterna delvis annorlunda än i övriga verksamheter som omfattas av vårt uppdrag. Samma behov av att behandla känsliga personuppgifter som förelåg vid tidpunkten för ÄrBu-lagens tillkomst föreligger även i dag. Behovet är alltså förhållandevis litet och uppstår som en följd av att Skatteverket måste iaktta de bestämmelser som reglerar verksamheten, främst äktenskapsbalken, ärvdabalken och arvsförordningen.
Trots att det inte är nödvändigt att behandla känsliga personuppgifter i särskilt hög utsträckning i äktenskapsregister- och bouppteckningsverksamheterna anser vi att det inte finns skäl för att i detta sammanhang göra en annan bedömning än den som framkommer av avsnitt 10.6 och 10.7. Av samma skäl som förs fram där förslår vi därför att det i den nya dataskyddslagen för äktenskapsregister- och bouppteckningsverksamheterna ska införas en bestämmelse som ger Skatteverket stöd för att behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.62 Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter Skatteverket har att utföra inom äktenskapsregister- och bouppteckningsverksamheterna. Bestämmelsen ersätter varken artikel 6, dvs. kravet på att det ska finnas en rättslig grund för behandlingen, eller artikel 9.2 g i dataskyddsförordningen. I kravet på nödvändighet ligger dock att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
62 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.
17.4.6. Sökbegränsningar
Vårt förslag: Det ska som huvudregel vara förbjudet att utföra
sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet ska inte omfatta sökningar i en viss handling eller i ett visst ärende.
Skälen för vårt förslag
Dataskydd och sökbegränsningar
Sökning är en form av behandling i EU:s dataskyddsförordnings mening i de fall en sökning innefattar personuppgifter.63 Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och ett sökförbud kan vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker.64 En vanligt förekommande skyddsåtgärd är sökbegränsningar, vilka även förekommer i dataskyddsregleringen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Enligt 8 § ÄrBu-lagen får endast sådana registreringsuppgifter som avses i 5 kap. 2 § OSL användas som sökbegrepp. Det innebär att datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning handlingen fått vid registreringen, uppgifter om handlingens avsändare eller mottagare, och i korthet vad handlingen rör får användas vid sökning. Vid sökning efter handlingar får även namn och person- eller samordningsnummer användas som sökbegrepp. Det är dock förbjudet att använda känsliga personuppgifter som sökbegrepp.
Liknande sökbegränsningar som i 8 § ÄrBu-lagen finns i dag i registerlagarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten. Även för Skatteverkets folkbokföringsverksamhet finns sökbegränsningar, dock något annorlunda utformade. I avsnitt 10.9.1 har vi konstaterat att nuvarande bestämmelser om sökbegrepp har det gemensamt att de går längre än vad som krävs enligt dataskyddsförordningen och vad som anges i dataskyddslagen. Vi har även bedömt att det i vissa fall kan vara befogat att myndigheter använder känsliga personuppgifter vid sökningar som
63 Artikel 4.2 i dataskyddsförordningen. 64Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48.
ett led i utförandet av sina uppgifter. Vi har bl.a. därför föreslagit att det inte ska finnas någon motsvarighet till de nuvarande sökbegränsningarna i de nya datalagarna. Däremot har vi föreslagit att det ska införas bestämmelser om sökförbud för känsliga personuppgifter.
Den i avsnitt 10.9.1 föreslagna bestämmelsen är utformad efter det sökförbud som gäller enligt 3 kap. 3 § andra stycket dataskyddslagen. En sådan typ av sökbegränsning innebär att det som utgångspunkt är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. En sökbegränsning som utgår från syftet med en sökning omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.65
Om syftet med sökningen inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen.66 Bestämmelsen hindrar därmed inte sökningar som görs för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka fram ett namn. Genom en sådan bestämmelse är det dock som huvudregel inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av uppgifter om t.ex. etniskt ursprung.67 En sådan utformning innebär alltså inte större möjligheter att använda känsliga personuppgifter som sökbegrepp vid sådana sökningar som de tidigare sökförbuden varit avsedda att hindra, såsom kartläggning av personer på grundval av känsliga personuppgifter.68 Den underlättar dock för myndigheterna att kunna behandla personuppgifter på ett för verksamheterna ändamålsenligt sätt.
Behovet av en uppdaterad reglering
För att åstadkomma en mer enhetlig och ändamålsenlig reglering anser vi att det finns skäl att se över och uppdatera den nuvarande regleringen av sökbegränsningar även för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. I förarbetena motiverades den nuvarande bestämmelsen med att äktenskapsregistret och
65 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195. 66 Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178. 67 Se t.ex. prop. 2017/18:105, Ny dataskyddslag, s. 91. 68 Jfr prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 38.
registret över bouppteckningar innehöll stora mängder uppgifter om personliga förhållanden. I syfte att förhindra integritetskänsliga sammanställningar ansåg regeringen att det var mycket viktigt att det skulle gälla begränsningar kring vilka uppgifter som fick användas som sökbegrepp.69 I dag måste dock dataskyddsförordningens krav på bl.a. rättslig grund för behandling, uppgiftsminimering och tekniska och organisatoriska säkerhetsåtgärder anses utgöra ett skydd mot obefogade sökningar (se avsnitt 3.2.5). Behovet av sådan begränsande reglering som nuvarande bestämmelser innebär har alltså minskat efter att dataskyddsförordningen började tillämpas. Som vi konstaterat i avsnitt 10.9.1 kan det dessutom finnas situationer där det framstår som motiverat och nödvändigt att en myndighet använder känsliga personuppgifter i syfte att utföra sina uppgifter. Sådan sökning bör vara tillåten. I det sammanhanget har vi dessutom konstaterat att dataskyddsförordningen inte innehåller något krav på att det i nationell rätt ska föreskrivas förbud mot att använda känsliga personuppgifter vid sökning. Om behandlingen grundar sig på artikel 9.2 g, dvs. den är nödvändig av hänsyn till ett viktigt allmänt intresse, krävs dock att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Dagens reglering av sökbegrepp bör sammanfattningsvis inte oförändrad föras över till den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Däremot finns det skäl att, liksom för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten, överväga en sökbegränsning avseende känsliga personuppgifter. Rättsliga begränsningar av hur känsliga personuppgifter får behandlas, t.ex. i fråga om sökningar efter uppgifter, fyller nämligen en viktig funktion och stärker skyddet för enskildas personliga integritet. Regeringen har tidigare bedömt att de nu gällande bestämmelserna om sökbegrepp i ÄrBu-lagen uppfyller dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.70
69Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 39.
70Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s
dataskyddsförordning, s. 62–63. Se även Ds 2017:41, En omarbetad domstolsdatalag – Anpassning till EU:s dataskyddsförordning, s. 210 där det anförs att sökbegränsningar utgör en skydds-
åtgärd i dataskyddsförordningens mening.
Det ska som huvudregel vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter
Som vi konstaterat ovan behandlas känsliga personuppgifter i förhållandevis liten utsträckning inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Behovet av att använda sådana typer av personuppgifter vid sökningar bör mot den bakgrunden vara begränsat och endast hänföra sig till situationer då uppgifterna utgör relevanta omständigheter vid fullgörande av en uppgift som Skatteverket har att utföra. I avsnitt 10.9.1 har vi bedömt att en sådan sökning exempelvis kan vara aktuell vid sökning efter ett tidigare beslut. Trots det begränsade behovet av att inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter använda känsliga personuppgifter vid sökning anser vi att regleringen bör utformas på samma sätt i detta sammanhang som i övriga verksamheter.
För Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten har de föreslagna sökbegränsningarna förenats med vissa undantag som är motiverade av de behov som finns i verksamheterna. Skatteverket har uppgett att några sådana behov inte föreligger i äktenskapsregister- och bouppteckningsverksamheterna. I detta sammanhang bör sökförbudet därför inte bör ha något sådant verksamhetsspecifikt undantag.
Vi föreslår alltså att det ska föras in en bestämmelse i den nya lagen om dataskydd i Skatteverkets äktenskapsregister och bouppteckningsverksamheter som anger att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Av samma skäl som förts fram i avsnitt 10.9.1 bör det dock även för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter finnas ett undantag som innebär att sökförbudet inte omfattar sökningar i en viss handling eller i ett visst ärende. Den enskilde medarbetaren vid Skatteverket kan därmed göra sökningar på känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Dagens sökbegränsningar innebär att Skatteverket inom äktenskapsregister- och bouppteckningsverksamheterna inte uttryckligen har möjlighet att utföra sökningar som innefattar uppgifter om olika lagöverträdelser, om en sådan uppgift inte ingår i de uppgifter som registreras enligt 5 kap. 2 § OSL. Även uppgifter om lagöverträdelser kan vara integritetskänsliga. Behovet av att behandla uppgifter om lagöverträdelser inom verksamheterna borde dock vara begränsat,
och i likhet med behovet av att behandla känsliga personuppgifter uppstå först om de handlingar som ska registreras innehåller sådana uppgifter. Frågan om sökning efter lagöverträdelser berördes dock inte särskilt i förarbetena till de nu gällande bestämmelserna.71
Av artikel 10 i dataskyddsförordningen framgår att det inte finns några hinder mot att en myndighet behandlar personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Enligt vår bedömning finns det därför inte skäl för att även sådana uppgifter ska omfattas av det föreslagna sökförbudet.
Offentlighetsprincipen
I avsnitt 10.9.1 redogör vi för förhållandet mellan absoluta sökförbud och tryckfrihetsförordningens, TF, bestämmelser som avser offentlighetsprincipen. Offentlighetsprincipen omfattar uppgifter som ännu inte har sammanställts men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder, t.ex. en sökning (2 kap. 6 § andra stycket TF), s.k. potentiella handlingar. En potentiell handling anses enligt den s.k. begränsningsregeln i 2 kap. 7 § TF inte förvarad hos en myndighet om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig.
Syftet med begränsningsregeln i 2 kap. 7 § TF är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksamhet.72 Att en handling inte anses förvarad hos en myndighet, t.ex. på grund av att kraven i begränsningsregeln är uppfylld, innebär att den inte är en allmän handling (2 kap. 4 § TF). Det innebär i sin tur att handlingen inte omfattas av allmänhetens rätt att ta del av densamma enligt offentlighetsprincipen (2 kap. 1 § TF). Sammanfattningsvis kan ett författningsreglerat förbud att utföra vissa sökningar till följd av begränsningsregeln få betydelse för i vilken omfattning potentiella handlingar, såsom t.ex. sammanställningar som görs genom sökningar grundade på känsliga personuppgifter, utgör allmänna handlingar vid en myndighet.
71 Jfr prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 39–40.
72Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23.
Vårt förslag innebär att det kommer att bli möjligt för Skatteverket att under vissa förutsättningar göra sammanställningar av känsliga personuppgifter. I avsnitt 10.9.1 bedömer vi att det inte är helt klart hur de föreslagna sökförbuden skulle anses förhålla sig till begränsningsregeln i rättstillämpningen och att myndigheter i varje enskilt fall har att bedöma om den sammanställning av uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Om sammanställningen utgör en allmän handling ska den lämnas ut, såvida inte uppgifterna i den omfattas av sekretess. Detta gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning.73 I samma kapitel redogör vi även för vissa sekretessbestämmelser som gäller oavsett var uppgifterna förekommer och konstaterar att någon förändring av befintlig sekretessreglering inte är påkallad.
Uppgifter som behandlas inom äktenskaps- och bouppteckningsverksamheterna är som utgångspunkt offentliga. Syftet med den registreringen m.m. som Skatteverket ska utföra inom verksamheterna är också till stor del att uppgifterna ska kunna lämnas ut, vilket sker i stor utsträckning. Redan i dag finns det alltså stora möjligheter för enskilda att begära ut uppgifter och på egen hand göra sammanställningar av informationen utifrån de parametrar som den enskilde är intresserad av. I den mån uppgifter är sekretessbelagda med stöd av någon av de bestämmelser om sekretess som gäller oavsett i vilket sammanhang uppgifterna behandlas lämnas de dock inte ut. Det nyss sagda kommer även gälla fortsättningsvis. Enligt vår mening finns det därför inte heller något behov av nya sekretessbestämmelser för äktenskapsregister- och bouppteckningsverksamheten.
17.4.7. Tillgången till personuppgifter ska begränsas
Vårt förslag: I den nya lagen ska det finnas bestämmelser som
anger att tillgången till personuppgifter ska begränsas till vad var och en behöver för att utföra sina arbetsuppgifter, och att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp.
73Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskydds-
förordning, s. 27.
Skälen för vårt förslag
Enligt artikel 24 i EU:s dataskyddsförordning ska den personuppgiftsansvariga myndigheten vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa, och kunna visa, att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Det innebär bl.a. att myndigheten löpande ska vidta de åtgärder som behövs för att säkerställa att principen om uppgiftsminimering i artikel 5.1 c efterlevs.
I artikel 25 tydliggörs bl.a. att it-stöd ska utformas på ett sådant sätt att uppgiftsminimering uppnås (inbyggt dataskydd) och att standardinställningar medför att bara de personuppgifter som är nödvändiga utifrån specifika ändamål behandlas (dataskydd som standard). I detta sammanhang kan även principen om integritet och konfidentialitet i artikel 5.1 f och de särskilda kraven om säkerhet enligt artikel 32 nämnas, som rör tillgång till personuppgifter och kontinuerlig uppföljning. Det innebär sammantaget att handläggare och andra medarbetare vid Skatteverkets äktenskapsregister- och bouppteckningsverksamheter enbart får behandla personuppgifter om det krävs för dennas arbetsuppgifter. Behandling av personuppgifter som inte sker för att utföra arbetsuppgifterna är alltså inte tillåten.
I avsnitt 7.7 gör vi bedömningen att en begränsning av tillgången till personuppgifter är en viktig åtgärd för att säkerställa de registrerades grundläggande rättigheter och intressen. Vi föreslår därför att det ska finnas bestämmelser i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten som anger att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. En sådan bestämmelse anger en av de centrala principer som vi anser bör uttryckas i en modern dataskyddslag. Vi bedömer därför att det även i den nya dataskyddslagen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter finns skäl för att införa en bestämmelse med motsvarande innebörd.
Av de skäl som framgår av avsnitt 7.7 föreslår vi därför att en bestämmelse förs in i den nya lagen om dataskydd i Skatteverkets äktenskapsregister och bouppteckningsverksamheter som anger att tillgången till personuppgifter ska begränsas till vad var och en behöver för att utföra sina arbetsuppgifter. För att det ska vara tydligt att det är en bestämmelse som ställer vissa krav på Skatteverket som
personuppgiftsansvarig ska bestämmelsen kompletteras av en bestämmelse som omfattar en skyldighet att regelbundet kontrollera och följa upp åtkomsten.
Bestämmelserna tydliggör ytterligare vad som redan gäller enligt dataskyddsförordningen, dvs. att myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter. Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd inom Skatteverket äktenskapsregister- och bouppteckningsverksamheter ska inte ges obegränsad tillgång till alla personuppgifter som behandlas inom verksamheterna. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Att Skatteverket ska kontrollera och följa upp åtkomsten till personuppgifter regelbundet innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Detta är av särskild betydelse vid behandling av känsliga personuppgifter. Det är dock upp till Skatteverket att närmare bestämma formerna för kontrollen. Någon närmare reglering av hur den löpande kontrollen eller åtkomsten ska utformas är alltså inte nödvändig, vilket vi utvecklar i avsnitt 7.7. Däremot bör lagen kompletteras i detta avseende av vissa bestämmelser i den nya förordningen, se avsnitt 17.4.10.
17.4.8. Elektroniskt utlämnande
Vårt förslag: Personuppgifter ska få lämnas ut elektroniskt om
det inte är olämpligt.
Av tydlighetsskäl ska det finnas en bestämmelse som upplyser om att regeringen eller den myndighet regeringen bestämmer har möjlighet att meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Skälen för vårt förslag
Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt
I dag får Skatteverket inom äktenskapsregister- och bouppteckningsverksamheterna lämna ut personuppgifter på s.k. medium för automatiserad behandling om det inte är olämpligt, vilket framgår av 9 § ÄrBu-lagen. Begreppet medium för automatiserad behandling kan avse flera olika tekniska lösningar för informationsöverföring, och dess innebörd har förändrats i takt med den tekniska utvecklingen. I dag avses ofta helautomatiserade fråga-svar-tjänster, direkt överföring från ett datorsystem till ett annat eller e-post.
Utlämnande på medium för automatiserad behandling särskiljs alltid från s.k. direktåtkomst. Med direktåtkomst avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av informationen (HFD 2015 ref. 61). Uppgiftslämnande genom direktåtkomst har under en lång tid ansetts utgöra en särskilt integritetskänslig form av utlämnande, vilket vi utvecklar närmare i 11.2.2 och därför inte återger här. Mot bakgrund av de särskilda integritetsrisker som direktåtkomst har förknippats med har sådan informationsöverföring ansetts behöva regleras särskilt för att vara tillåten. ÄrBu-lagens bestämmelse som tillåter utlämnande på medium för automatiserad behandling får alltså tolkas som att Skatteverket i dag saknar rättslig möjlighet att lämna ut uppgifter genom direktåtkomst inom äktenskapsregister- och bouppteckningsverksamheterna.74 Vid tidpunkten för lagens tillkomst utreddes eller berördes dock inte frågan om direktåtkomst.
I avsnitt 11.7.2–11.7.4 gör vi sammanfattningsvis bedömningen att den rättsliga och tekniska utvecklingen har medfört att lagstiftaren inte längre bör eller behöver särreglera olika former av elektroniskt utlämnande från Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Enligt vår bedömning tillgodoser nämligen EU:s dataskyddförordning, som är den primära rättskällan för dataskyddsfrågor, de behov av enhetlighet, integritetsskydd och säkerhetsåtgärder m.m. som tidigare motiverat att direktåtkomst särreglerats i förhållande till annat elektroniskt utlämnande. Vi bedömer i det sammanhanget även att skillnaderna mellan direktåtkomst och andra former av elektroniskt utlämnandet
74Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-korts-
verksamheten hos Skatteverket, s. 41.
vad avser integritetsrisker inte längre är så stora, samt att ett utlämnande genom direktåtkomst i dag kan medföra ett högre integritetsskydd än vid andra former av elektroniskt utlämnande. Vi har därför föreslagit att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt, och att någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande inte ska finnas i de nya dataskyddslagarna för de ovan nämnda verksamheterna.
Vi har inte funnit något skäl att avseende elektroniskt utlämnande från äktenskapsregister- och bouppteckningsverksamheterna göra en annan bedömning än den som framgår av avsnitt 11.7.2–11.7.4. Av de skäl som framgår där föreslår vi därför att en motsvarande bestämmelse, som tillåter elektroniskt utlämnande om det inte är olämpligt, ska införas i den nya dataskyddslagen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Jämfört med dagens reglering föreslår vi alltså att möjligheten att lämna ut uppgifter genom direktåtkomst ska finnas, och inte kringgärdas av ytterligare begränsningar än olämplighetrekvisitet.
I avsnitt 11.7.5 redogör vi för vad en sådan bestämmelse innebär samt den prövning som ska föregå valet av utlämnandeform. En central aspekt av bestämmelsen är att den inte ska förstås medföra en rätt för mottagaren eller en skyldighet för Skatteverket att över huvud taget lämna ut uppgifter elektroniskt, och ännu mindre genom ett särskilt tekniskt förfarande. I stället ansvarar Skatteverket för att överväga vilken teknisk lösning som i det enskilda fallet uppfyller dataskyddsförordningens krav. I normalfallet bör dock annat elektroniskt utlämnande än direktåtkomst anses lämpligt när mottagaren är en annan myndighet. När direktåtkomst övervägs är dock större restriktivitet påkallad. När utlämnande genom direktåtkomst övervägs bör prövningen omfatta vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära. Övervägandena inför upprättande av en direktåtkomst kan dessutom komma att kräva en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen, och att samråd hålls med Integritetsskyddsmyndigheten, IMY, enligt artikel 36 i dataskyddsförordningen.
En upplysningsbestämmelse
I 11.7.5 har vi konstaterat att det inte går att utesluta att det kan uppstå ett behov av att meddela föreskrifter som begränsar myndigheternas möjligheter att lämna ut personuppgifter elektroniskt. En konsekvens av vårt förslag är dock att direktåtkomst eller andra former av elektroniskt utlämnande endast bör regleras i författning om sådan åtkomst behöver begränsas. Sådana bestämmelser kan meddelas i förordning med stöd av regeringens restkompetens enligt 8 kap. 7 § RF. Det finns därmed utrymme för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter som begränsar myndigheternas möjlighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt. En sådan bestämmelse bör även införas i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
17.4.9. Längsta tid för behandling
Vårt förslag: I den nya lagen ska införas en bestämmelse som
reglerar längsta tid för behandling.
Av tydlighetsskäl ska det finnas en bestämmelse som upplyser om att regeringen eller den myndighet regeringen bestämmer har möjlighet att meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Skälen för vårt förslag
Personuppgifter ska inte få behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen
I den nuvarande ÄrBu-lagen finns inga bestämmelser som reglerar vare sig gallring eller längsta tid som personuppgifter får behandlas. Däremot får Riksarkivet föreskriva om gallring av uppgifter och handlingar, vilket framgår av en bestämmelse i ÄrBu-förordningen. Det innebär att de grundläggande bestämmelserna om bevarande och gallring i verksamheterna finns i arkivlagen (1990:782), arkivförordningen (1991:446) och i Riksarkivets föreskrifter, RA-FS och RA-MS, se
avsnitt 12.2.1–12.2.2 för en beskrivning av det arkivrättsliga regelverket.75
Enligt artikel 5.1 e i EU:s dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (principen om lagringsminimering). Personuppgifter får alltså inte behandlas om det inte längre finns ett behov av det. Principen om lagringminimering är en av de grundläggande principerna för behandling enligt dataskyddsförordningen. I enlighet med den s.k. ansvarsprincipen i artikel 5.2 måste Skatteverket som personuppgiftsansvarig myndighet kunna visa att de grundläggande principerna för behandling efterlevs.
I avsnitt 12.4.3 föreslår vi att de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten inte ska innehålla bestämmelser om gallring, utan enbart bestämmelser som reglerar längsta tid för behandling. Dessa bestämmelser motsvarar principen om lagringsminimering i dataskyddsförordningen. Den principen bör också komma till uttryck i den nya dataskyddslagen för äktenskapsregister- och bouppteckningsverksamheterna, och utgöra en huvudregel för personuppgiftsbehandlingen där. Vi föreslår därför att en bestämmelse om att personuppgifter inte ska få behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen ska införas i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Syftet med bestämmelsen är att tydliggöra den grundläggande principen om att endast personuppgifter som behöver behandlas ska behandlas. Bestämmelsen innebär alltså ingen inskränkning i förhållande till vad som i dag redan gäller enligt den allmänna dataskyddsregleringen. Däremot blir det tydligt att Skatteverket som personuppgiftsansvarig myndighet kontinuerligt måste bedöma och motivera behovet av fortsatt behandling utifrån de ändamål som personuppgifterna behandlas för. När det inte längre finns något behov av att behandla personuppgifter ska de tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Om en uppgift behandlas för flera olika ändamål får den dock fortsätta behandlas för de ändamål där behovet fortfarande kvarstår. Skatteverket måste
75 Se även Riksarkivets föreskrifter om gallring i äktenskapsregister- och bouppteckningsverksamheterna hos Skatteverket, RA-MS 2018:28, ändrade genom RA-MS 2021:31.
även kunna visa att principen om lagringsminimering efterlevs, exempelvis inför sitt dataskyddsombud eller IMY.
I avsnitt 12.4.4 bedömer vi även att avgränsningen till den tid som behövs med hänsyn till ändamålet med behandlingen innebär att det inte finns något hinder mot att handlingar arkiveras och gallras enligt arkivlagens bestämmelser, och att det saknas behov av en upplysningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om gallring. Det finns inte skäl att i frågan om behovet av en sådan upplysningsbestämmelse göra en annan bedömning för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
En upplysningsbestämmelse
Som framgår av avsnitt 17.2.2 och 17.2.3 omfattar Skatteverkets äktenskapsregister och bouppteckningsverksamheter fler uppgifter än enbart registerföring. I avsnitt 12.4.5 har vi bedömt att det kan uppkomma situationer där den längsta tiden för behandling för ett visst ändamål kan behöva preciseras ytterligare. En sådan precisering av när behandling för ett särskilt ändamål senast ska upphöra bör främst ses främst en särskilt integritetshöjande åtgärd. Det kan aktualiseras om behandling av särskilt känsliga uppgifter motiveras av ny materiell reglering, eller som ett resultat av den tekniska utvecklingen. Även om en yttersta tidsfrist för behandling främst är en integritetshöjande åtgärd kan det inte uteslutas att också effektivitetsskäl talar för att införa ett formaliserat stöd för hur länge behandling för ett visst ändamål är behövlig. En sådan bestämmelse kan alltså också motiveras av en önskan att undvika att det på myndighetsnivå läggs alltför stora resurser på kontinuerliga överväganden om en viss fortsatt behandling för ett särskilt ändamål är tillåten. Regeringen eller den myndighet som regeringen bestämmer kan då med stöd av 8 kap. 7 § RF meddela föreskrifter om mer preciserade tidsfrister för behandlingen i vissa fall. I avsnitt 12.4.5 har vi bedömt att det nyss sagda av tydlighetsskäl bör framgå av lag, vilket även gör sig gällande i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Vi föreslår därför att en upplysningsbestämmelse tas in i den nya lagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får behandlas under viss tid.
Denna yttersta tidsgräns som regeringen eller den myndighet
regeringen bestämmer kan meddela föreskrifter om bör normalt inte utgöra bestämmelser om gallring, om det inte särskilt föreskrivs. Det är i stället fråga om hur länge en viss kategori av uppgifter får behandlas för ändamålet med behandlingen, och den arkivrättsliga frågan om samma uppgifter ska gallras eller bevaras bör normalt lösas inom det arkivrättsliga regelverket.
I avsnitt 12.4.5 föreslår vi dessutom att bestämmelsen om längsta tid för behandling i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten i förordning ska kompletteras med ett bemyndigande för myndigheterna att meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid. Se avsnitt 17.4.10 avseende motsvarande bestämmelse i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
17.4.10. En ny förordning
Vårt förslag: Den nya lagen ska kompletteras av en ny förord-
ning, förordningen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Den nya förordningen ska innehålla – en upplysningsbestämmelse om förordningens funktion, om
att ord och har samma betydelse som i lagen, samt om med vilket stöd förordningen är meddelad, – bestämmelser om att Skatteverket ska ha rutiner för kontroll
av behörigheter för åtkomst till personuppgifter, kontroll av åtkomst till personuppgifter samt för kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt, – en bestämmelse med bemyndigande för Skatteverket att med-
dela föreskrifter om att personuppgifter längst får behandlas under en viss tid, – en bestämmelse om att Skatteverket får besluta om avgifter för
utlämnande, samt – en bestämmelse med bemyndigande för Skatteverket att med-
dela de övriga föreskrifter som behövs för verkställighet av lagen.
Skälen för vårt förslag
En ny förordning
Vi bedömer att den föreslagna nya lagen, som har ett nytt namn och som föreslås utfärdas under 2025, behöver kompletteras med bestämmelser i förordning. Av samma skäl som anges i avsnitt 17.4.1 bör den nuvarande förordningen upphävas och ersättas av en ny förordning. Förordningens namn bör ansluta till den nya lagens namn och bör därför vara förordning om dataskydd i Skatteverkets äktenskaps-
register- och bouppteckningsverksamheter.
En upplysningsbestämmelse
1 § ÄrBu-förordningen innehåller en upplysningsbestämmelse som anger dess förhållande till lagen, samt en bestämmelse om termer och uttryck. Vi anser att en sådan upplysningsbestämmelse av tydlighetsskäl även bör finnas i den nya förordningen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Liksom i dag bör också anges i förordningen att termer och uttryck som används i förordningen har samma innebörd och tillämpningsområde som lagen. I förordningen bör även anges med vilket stöd den är meddelad.
Begränsningar av möjligheten att lämna ut personuppgifter på medium för automatiserad behandling
I dag bemyndigas Skatteverket att föreskriva om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling i 2 § ÄrBu-förordningen. I avsnitt 17.4.8 har vi föreslagit att uppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Det görs i den föreslagna bestämmelsen ingen skillnad mellan olika former av elektroniskt utlämnande. Något behov av att i den nya förordningen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter bemyndiga Skatteverket att meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling finns därför inte. Bestämmelsen ska därför inte ha någon motsvarighet i den nya förordningen.
Krav på vissa rutiner
Vi har föreslagit att det i de nya förordningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska införas bestämmelser som anger att myndigheterna är skyldiga att ha vissa rutiner för kontroll av behörighet för åtkomst till personuppgifter, samt kontroll av att elektroniskt utlämnande av personuppgifter kan ske på ett från integritetssynpunkt godtagbart sätt, se avsnitt 7.7 och avsnitt 11.7.6. Av samma skäl som förs fram i de nämnda avsnitten bör sådana bestämmelser införas även i den nya förordningen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Avgifter
I avsnitt 17.4.2 har vi bedömt att det saknas skäl att införa en upplysningsbestämmelse i den nya lagen om att regeringen eller den myndighet regeringen bestämmer ska kunna meddela föreskrifter om avgifter för utlämnande. Frågan är då om den bestämmelse som finns i 3 § ÄrBu-förordningen om att Skatteverket får bestämma avgifter för utlämnande ska motsvaras av en bestämmelse i den nya förordningen.
Skatteverket har uppgett att det finns ett behov av att fortsatt kunna ta ut avgifter, exempelvis vid utlämnande till aktörer som prenumererar på uppgifter som registreras i äktenskapsregistret eller i bouppteckningsverksamheten. En myndighet får bara ta ut avgifter för varor och tjänster som den tillhandahåller om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen.76 Någonstans måste det därför finnas en bestämmelse med motsvarande innebörd som i 3 § ÄrBu-förordningen.
Vi har övervägt om bestämmelsen kan flyttas till en annan lag eller förordning, exempelvis förordningen om äktenskapsregistret och förordningen om vissa frågor rörande Skatteverkets handläggning enligt 20 kap. ärvdabalken. Bestämmelserna i de båda förordningarna är dock av en sådan karaktär att bemyndigandet att bestämma avgifter för utlämnande framstår som främmande i sammanhanget. I den föreslagna nya lagen om dataskydd regleras dessutom elektroniskt utlämnande, vilket ger en koppling till avgiftsbemyndigandet
763 § avgiftsförordningen (1992:191).
som saknas i de ovan nämnda förordningarna. Vår bedömning är därför att bemyndigandet, trots att det inte med självklarhet hör hemma i ett dataskyddssammanhang, bör införas i en bestämmelse den nya förordningen.
Bemyndigande för Riksarkivet
I avsnitt 12.2.1 och 12.2.2 har vi redogjort för det arkivrättsliga regelverket och Riksarkivets uppgifter. Av 14 § arkivförordningen framgår exempelvis att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning. I dag finns i 4 § ÄrBu-förordningen ett bemyndigande för Riksarkivet att meddela föreskrifter om vilka uppgifter och handlingar som ska gallras. Mot bakgrund av den myndighetens allmänna ansvar och uppgifter framstår det som en överflödig reglering. Något bemyndigande motsvarande det som i dag finns i 4 § ÄrBu-förordningen ska därför inte finnas i den nya förordningen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Bemyndiganden för Skatteverket
I avsnitt 12.4.5 har vi föreslagit att bestämmelsen om längsta tid för behandling i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska kompletteras av ett bemyndigande i förordning för myndigheterna att meddela föreskrifter om att uppgifter längst får behandlas under en viss tid. Skälen till detta framgår av det nämnda avsnittet samt avsnitt 1.4.9. Ett sådant bemyndigande bör även finnas i den nya förordningen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
5 § ÄrBu-förordningen innehåller i dag ett bemyndigande för Skatteverket att meddela de ytterligare föreskrifter som behövs för verkställighet av lagen och förordningen. Några sådana föreskrifter har dock inte meddelats och Skatteverket har uppgett att myndigheten inte heller har kunnat identifiera något aktuellt behov av att kunna meddela föreskrifter. Skatteverket har i sammanhanget uppgett att myndigheten har kompetens att besluta om exempelvis an-
vändarvillkor (som rör behandling av personuppgifter) för att nyttja en e-tjänst, vilket som utgångspunkt inte bör ske genom föreskrifter. Vi bedömer dock att det inte kan uteslutas att ett behov kan uppstå för Skatteverket att ta fram faktiska föreskrifter avseende verkställighet, särskilt med tanke på den snabba tekniska utvecklingen. Som nämnts i avsnitt 17.2.2 har Skatteverket exempelvis hemställt om ändrade bestämmelser i ärvdabalken så att bouppteckningar och dödsboanmälningar kan ges in elektroniskt till Skatteverket. Det kan inte uteslutas att det finnas behov av att föreskriva om villkor som rör behandling av personuppgifter i en sådan tjänst. Vi anser därför att bemyndigandet i 5 § ÄrBu-förordningen bör motsvaras av en bestämmelse den nya förordningen om dataskydd Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
17.4.11. Skyddet för den personliga integriteten
Vår bedömning: Förslagen om en ny lag och en ny förordning
om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter är förenliga med skyddet för den personliga integriteten.
Skälen för vår bedömning
Redaktionella och strukturella förändringar
I avsnitten ovan har vi föreslagit att ÄrBu-lagen och ÄrBu-förordningen ska upphävas och ersättas av en ny lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och en ny förordning. Flera av de förändringar vi föreslår, exempelvis avseende lagens materiella tillämpningsområde, personuppgiftsansvar och för vilka ändamål uppgifter får behandlas innebär inte någon förändring i sak. Dessa ändringar är alltså enbart redaktionella och strukturella. I dessa avseenden innebär våra förslag ingen saklig förändring i förhållande till nuvarande reglering. Förslagen i dessa delar bör därmed anses vara förenliga med skyddet för den personliga integriteten.
Känsliga personuppgifter
Vårt förslag om reglering av känsliga personuppgifter innebär att Skatteverket får utökade möjligheter att behandla sådana uppgifter i äktenskapsregister- och bouppteckningsverksamheterna jämfört med i dag.
Det är enligt vår bedömning nödvändigt att Skatteverket ges möjlighet att behandla känsliga personuppgifter i de situationer som den allmänna dataskyddsregleringen föreskriver och i syfte att utföra sina författningsreglerade uppgifter på ett effektivt och ändamålsenligt sätt. Att behandling av känsliga personuppgifter ska vara tillåtet om det är nödvändigt med hänsyn till ändamålet med behandlingen innebär att den rättsliga grunden för behandling av känsliga personuppgifter måste sökas någon annanstans än i den föreslagna nya bestämmelsen.77
Som framgår av avsnitt 17.2.2, 17.2.3 och 17.3.1 regleras Skatteverkets uppgifter i äktenskapsregister- och bouppteckningsverksamheterna i olika nationella eller unionsrättsliga bestämmelser. Det innebär att Skatteverket enbart kommer få behandla känsliga personuppgifter om det är nödvändigt för att utföra sina arbetsuppgifter som följer av unionsrätten eller nationell rätt. Bestämmelsen påverkar vidare inte Skatteverkets skyldighet att se till att de grundläggande principerna för behandling enligt artikel 5 i dataskyddsförordningen är uppfyllda, bl.a. avseende uppgiftminimering.
En reglering som ger ett tydligt rättsligt stöd för Skatteverkets behandling av känsliga personuppgifter under de nyss nämnda förutsättningarna bör, vid en avvägning mellan Skatteverkets behov av att utföra de arbetsuppgifter som bl.a. riksdag och regering har bestämt eller som framgår av unionsrätten, och skyddet för den personliga integriteten, inte anses vara oproportionerlig.
Den nya dataskyddsregleringen för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter föreslås dessutom innehålla skyddsbestämmelser som begränsar behandlingen. Förutom begränsningar och krav på rutiner i fråga om enskilda medarbetares tillgång till personuppgifter och vid elektroniskt utlämnande (se avsnitt 17.4.7 och 17.4.10) kommer bestämmelser om sökbegränsningar (se avsnitt 17.4.6) och längsta tid för behandling (se avsnitt 17.4.9) att gälla. Den föreslagna förändringen bör därför enligt vår bedöm-
77 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 91.
ning inte medföra att det finns ett otillräckligt integritetsskydd för enskilda registrerade. Den omständigheten att Skatteverket nu föreslås ges utökade rättsliga möjligheter att behandla känsliga personuppgifter bör därför vara förenligt med skyddet för den personliga integriteten.
Sökbegränsningar
De nu gällande sökbegränsningarna i ÄrBu-lagen är mer långtgående än den föreslagna sökbegränsningen, som utgår från syftet med en sökning. Vårt förslag kan därför leda till utvidgade möjligheter för Skatteverket att behandla både känsliga personuppgifter och andra uppgifter, exempelvis om lagöverträdelser, inom äktenskapsregister- och bouppteckningsverksamheterna. Sökbegränsningen kommer exempelvis inte att avse ett förbud mot att i varje situation använda vissa sökbegrepp vid sökning efter handlingar. Den föreslagna bestämmelsen innebär även att det inte kommer att finnas några hinder mot sökningar som görs för andra ändamål än att identifiera ett urval av personer.78 Det kommer dessutom att vara tillåtet att göra sökningar som inbegriper känsliga personuppgifter som avser en enda person, eftersom sökresultatet då inte kommer att utvisa något urval av personer.79 Sökbegränsningen föreslås dessutom inte heller gälla vid sökning i ett ärende eller i en handling.
Vi bedömer dock att de sökningar som kommer att vara tillåtna inte kommer att medföra några väsentlig ökade integritetsrisker i förhållande till de risker som även de nuvarande sökbegränsningarna avser att förhindra. Skatteverkets behov av att behandla känsliga personuppgifter och uppgifter om lagöverträdelser inom äktenskapsregister- och bouppteckningsverksamheterna är som redan nämnts begränsat. Att Skatteverket ges möjlighet att utföra sökningar som inbegriper känsliga personuppgifter och uppgifter om bl.a. lagöverträdelser bör inte förändra detta behov. Liksom nuvarande sökbegränsningar är den föreslagna begränsningen dessutom avsedd att förhindra sammanställningar av integritetskänsliga sökresultat, vilka skulle möjliggöra kartläggning av personer på grundval av t.ex. etnicitet eller politiska åsikter.80 Något undantag från sökbegränsningen,
78 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 56. 79 Jfr lagrådsremiss, En modern dataskyddsreglering på socialförsäkringsområdet, s. 69. 80 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 89.
avseende vissa uppgifter eller för vissa ändamål, är dessutom inte föreslaget.
Vid en avvägning mellan å ena sidan Skatteverkets behov av att på ett effektivt och rättssäkert sätt kunna fullgöra sina uppgifter inom äktenskapsregister- och bouppteckningsverksamheterna, och å andra sidan de integritetsrisker som vidare sökmöjligheter kan innebära, bedömer vi att det är rimligt att Skatteverket tillåts att utföra sökningar på känsliga uppgifter i enskilda handlingar och ärenden, eller om syftet är ett annat än att identifiera ett urval av personer. Vi bedömer att bestämmelsens utformning står i proportion till det eftersträvade syftet, dvs. att Skatteverkets ska kunna fullgöra sina författningsreglerade uppgifter på ett effektivt och rättssäkert sätt.
Övriga skyddsåtgärder som föreslås i den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter exempelvis avseende tillgång till personuppgifter, och när känsliga personuppgifter får behandlas, kommer att behöva iakttas vid sökningar. I offentlighets- och sekretesslagen finns dessutom sekretessreglering som kan komma att tillämpas på uppgifterna. Det kommer därmed att finnas bestämmelser om lämpliga och särskilda åtgärder i den nationella rätten (artikel 9.2 g i dataskyddsförordningen). I fråga om uppgifter om lagöverträdelser bör möjligheten att utföra sökningar kunna anses vara proportionerlig även utan särskilda begränsningar.
Även de krav som framgår av den allmänna dataskyddsregleringen kommer att behöva iakttas. Det innebär att det som vid all personuppgiftsbehandling kommer behöva finnas en tillämplig rättslig grund för att utföra sökningen och de grundläggande principerna för behandling av personuppgifter kommer behöva iakttas.
Vi bedömer sammantaget att den föreslagna bestämmelsen om sökbegränsning i lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter är utformad på ett sätt som innebär att regleringen av Skatteverkets behandling av personuppgifter vid sökning är proportionerlig. Bestämmelsen bör därmed anses vara förenlig med skyddet för den personliga integriteten.
Elektroniskt utlämnande
Den nu gällande regleringen av Skatteverkets möjligheter att lämna ut uppgifter elektroniskt inom äktenskapsregister- och bouppteckningsverksamheterna är mer begränsande än den vi föreslår. I dag får
Skatteverket lämna ut uppgifter elektroniskt på medium för automatiserad behandling om det inte är olämpligt. Vi har dock föreslagit att uppgifter ska få lämnas ut elektroniskt om det inte är olämpligt utan någon begränsning till sådan överföring som sker på medium för automatiserad behandling. Det innebär att Skatteverket kommer att ha rättslig möjlighet att lämna ut uppgifter även genom direktåtkomst.
Vi föreslår dock inte att någon ny uppgiftsskyldighet ska införas. Att uppgifter ska få lämnas ut även genom direktåtkomst om det inte är olämpligt avser alltså sådant uppgiftslämnande redan förekommer, ofta i elektronisk form.
Bestämmelser som begränsar myndigheters möjlighet lämna ut information genom direktåtkomst är motiverade av integritetsskäl. I avsnitt 11.7 har vi dock sammanfattningsvis bedömt att den rättsliga och tekniska utvecklingen har medfört att det inte längre är motiverat med sådana begränsningar inom de övriga verksamheter som vår översyn omfattar. Vi gör i det kapitlet i stället bedömningen att det inte längre finns någon stor skillnad mellan utlämnande genom direktåtkomst och moderna former av utlämnande på medium för automatiserad behandling vad avser risken för integritetsintrång.81I stället kan att utlämnande genom direktåtkomst komma att innebära ett starkare integritetsskydd, under förutsättning att upprättandet av åtkomsten är väl förberedd, frågor som rör sekretesskydd och dataskydd på båda sidor är lösta, behövliga säkerhetsåtgärder är vidtagna och eventuell överskottsinformation begränsats.82 Att dessa åtgärder vidtas innan en direktåtkomst kan upprättas följer i dag primärt av dataskyddsförordningens krav på uppgiftsminimering, krav på säkerhetsåtgärder och krav på inbyggt dataskydd och dataskydd som standard.83 När det övervägs på vilket sätt information ska överföras måste det enligt dataskyddsförordningen, som vid all annan personuppgiftsbehandling, göras ett flertal avvägningar mellan de intressen som talar för en viss teknisk lösning, och de integritetsskäl som talar emot, vilket vi utvecklar i avsnitt 11.7. Den tekniska lösning som den personuppgiftsansvariga myndigheten väljer ska kunna utformas så att principerna för dataskydd genomförs i den aktuella behandlingen. I den mån principerna för dataskydd inte bedöms kunna
81Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79. 82 Jfr SOU 2015:39, Myndighetsdatalag, s. 151. 83 Artiklarna 5.1 b, 32 och 25 i dataskyddsförordningen.
genomföras vid en särskild form av informationsöverföring måste en annan form väljas. För att direktåtkomst ska anses vara en lämplig form av överföring krävs följaktligen ett omfattande förberedelsearbete. Även kravet på att göra en konsekvensbedömning inför en övervägd behandling som kan medföra en hög risk för fysiska personers rättigheter och friheter, där även samråd med IMY kan krävas, medför att integritetsriskerna vid ett utlämnande genom direktåtkomst bör anses vara avsevärt mindre i dag än tidigare.84
I den nya förordningen om dataskydd i Skatteverkets äktenskapsregisterbouppteckningsverksamheter har vi dessutom förslagit en bestämmelse med innebörden att Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt. Bestämmelsen tydliggör myndighetens ansvar för att elektroniskt utlämnande sker i enlighet med dataskyddsförordningens bestämmelser.
I avsnitt 11.7.4 har vi även bedömt att lagstiftning som möjliggör elektroniskt utlämnande genom direktåtkomst dels är förenligt med kravet på att den rättsliga grunden ska vara proportionell mot det legitima mål som eftersträvas som framgår av artikel 6.3 i EU:s dataskyddsförordningen, dels är förenlig med skyddet mot betydande intrång i den personliga integriteten som framgår av 2 kap. 6 § andra stycket RF. I det nyss nämnda sammanhanget har vi i dessutom gjort bedömningen att det är av stor vikt att myndigheterna ges möjlighet att utnyttja den form av informationsöverföring som ger det bästa integritetsskyddet och de största effektivitetsvinsterna i det enskilda fallet.
En rättslig möjlighet att för Skatteverket att medge direktåtkomst medför vidare inget krav på att sådan åtkomst eller tillgång måste medges. Det går därför inte att med säkerhet säga om, och i sådant fall när och i vilken omfattning, ett utökat uppgiftslämnande genom direktåtkomst från Skatteverkets äktenskapsregister- och bouppteckningsverksamheter faktiskt kommer att genomföras. Mot bakgrund av de stora krav som ställs på myndigheter på båda sidor vid upprättandet av ett system för direktåtkomst, och som följer av dataskyddsförordningen, förefaller det nämligen troligt att uppgiftslämnande i första hand kommer ske genom andra former av elektronisk informationsöverföring.
84 Artiklarna 35 och 36 i dataskyddsförordningen.
Även om de överväganden som redogörs för i kapitel 11 inte särskilt avser Skatteverkets äktenskapsregister- och bouppteckningsverksamheter bedömer vi att de är giltiga även för den verksamheten. Vår sammantagna bedömning är alltså att förslaget om att elektroniskt utlämnande ska får ske om det inte är olämpligt är förenligt med skyddet för den personliga integriteten.
Övriga förslag
I den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter har vi föreslagit att det ska införas vissa bestämmelser som inte har någon motsvarighet i dagens reglering. Det rör bestämmelserna om tillgång till personuppgifter och längsta tid för behandling. Syftet med bestämmelserna är att stärka skyddet för den personliga integriteten. Förlaget i dessa delar bör därför vara förenligt med skyddet för den personliga integriteten.
18. Ikraftträdande- och övergångsbestämmelser
Vårt förslag: De nya författningarna och övriga författnings-
förslag ska träda i kraft den 1 januari 2026.
Samtidigt som de nya författningarna träder i kraft ska de nuvarande registerförfattningarna upphävas.
Den upphävda lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska dock fortfarande gälla för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före ikraftträdandet.
Vidare ska äldre bestämmelser i kreditupplysningslagen, offentlighets- och sekretesslagen, förordningen om betalningsföreläggande och handräckning samt förordningen om europeiskt betalningsföreläggande fortfarande gälla såvitt avser uppgifter som har blockerats av Kronofogdemyndigheten med stöd av lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Vår bedömning: Det finns inget behov av särskilda övergångs-
bestämmelser i övrigt.
Skälen för vårt förslag och vår bedömning
Ikraftträdande
Den nya regleringen bör träda i kraft så snart som möjligt för att förslagen i största möjliga utsträckning ska kunna leda till effektivare kontrollverksamhet vid Skatteverket, Tullverket och Kronofogdemyndigheten. Innan ikraftträdandet behövs dock sedvanlig tid för remissbehandling och beredning inom Regeringskansliet. Författningsförslagen är sammantaget omfattande. Vi bedömer även att Skatte-
verket, Tullverket och Kronofogdemyndigheten samt andra berörda myndigheter såsom Riksarkivet kommer att behöva viss tid att förbereda sig. Myndigheterna kommer bl.a. att behöva göra en översyn av befintliga rutiner och införa nya. Vidare kommer nya gallringsregler att behöva införas i myndighetsspecifika föreskrifter från Riksarkivet. Mot denna bakgrund bedömer vi att regleringen bör träda i kraft som tidigast den 1 januari 2026. Det gäller samtliga förslag till nya författningar och de förslag till ändringar av redan befintliga författningar som läggs fram i betänkandet.
Vid samma tidpunkt ska nuvarande lagar och förordningar som reglerar behandling av uppgifter vid Skatteverket, Tullverket och Kronofogdemyndigheten upphöra att gälla.
Övergångsbestämmelser angående enskildas begäran om rättelse m.m. enligt kronofogdedatabaslagen
Som huvudregel gäller enligt allmänna förvaltningsrättsliga principer att de föreskrifter som är i kraft när prövningen hos en myndighet eller förvaltningsdomstol sker ska tillämpas. Det gäller i fråga om både förfarandet och prövningen i sak samt även om ett överklagat beslut har fattats före ikraftträdandet. Principen är emellertid inte utan undantag, se t.ex. 2 kap. 10 § regeringsformen. Det kan också följa av övergångsbestämmelser eller motiven till lagstiftningen att en annan ordning är avsedd (jfr bl.a. RÅ 1988 ref. 132, RÅ 1996 ref. 57 och HFD 2021 ref. 12).
Särskilda bestämmelser om begäran om rättelse m.m. och överklagande av sådana beslut finns i dag i 3 kap.3 a och 4 §§ lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL). Vi bedömer att det är lämpligt att redan inledda ärenden om rättelse m.m. handläggs enligt den lagen till dess att beslut i ett sådant ärende har vunnit laga kraft. Detta särskilt mot bakgrund av att vi i den nya kronofogdedatalagen, i förhållande till kronofogdedatabaslagen, föreslår vissa materiella ändringar av bestämmelsen om rättelse m.m. vid Kronofogdemyndigheten (se avsnitt 7.8.3). Det finns därför ett behov av en övergångsbestämmelse i den nya kronofogdedatalagen som tydliggör att kronofogdedatabaslagen fortfarande gäller för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före den 1 januari 2026.
Övergångsbestämmelser med anledning av en ny rättelsebestämmelse i 18 § kronofogdedatalagen
I dag föreskrivs i 8 § fjärde stycket kreditupplysningslagen (1973:1173) att en uppgift som har inhämtats från Kronofogdemyndigheten ska gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § KFMdbL.
Vårt förslag om att 18 § kronofogdedatalagen ska ersätta 3 kap. 3 a § KFMdbL (se avsnitt 7.8.3) medför att hänvisningen i 8 § kreditupplysningslagen till den nuvarande bestämmelsen i 3 kap. 3 a § KFMdbL föreslås ändras till den nya bestämmelsen i kronofogdedatalagen. Ändringen i kreditupplysningslagen föreslås träda i kraft den 1 januari 2026.
Vi föreslår ovan att den upphävda kronofogdedatabaslagen fortfarande ska gälla för en begäran om rättelse som har kommit in till Kronofogdemyndigheten före den 1 januari 2026. För att uppgifter som har blockerats av Kronofogdemyndigheten enligt 3 kap. 3 a § KFMdbL under en övergångsperiod inte ska falla utanför bestämmelsen om gallring i 8 § fjärde stycket kreditupplysningslagen anser vi att det ska införas en särskild övergångsbestämmelse i kreditupplysningslagen. Bestämmelsen ska enligt vår mening utformas så att för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § kronofogdedatabaslagen gäller äldre bestämmelser i kreditupplysningslagen.
Vidare finns i 34 kap. 3 § offentlighets- och sekretesslagen (2009:400), OSL, en bestämmelse om att uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ samma lag och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § KFMdbL omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vi föreslår att hänvisningen till kronofogdedatabaslagen i 34 kap. 3 § OSL ska ändras till 18 § kronofogdedatalagen. Ändringen föreslås träda i kraft den 1 januari 2026. Av motsvarande skäl som vi för fram ovan i fråga om kreditupplysningslagen gör vi bedömningen att det bör införas en övergångsbestämmelse också i förhållande till ändringarna i offentlighets- och sekretesslagen. En sådan bestämmelse ska utformas så att uppgifter som har blockerats med stöd av 3 kap. 3 a § KFMdbL efter ikraftträdandet av den ändrade sekretessregeln i 34 kap. 3 § OSL fortfarande kommer att omfattas av sekretess enligt den tidigare lydelsen av 34 kap. 3 § OSL.
Utöver detta anges i 17 § förordningen (1991:1339) om betalningsföreläggande och handräckning att om en uppgift i ett mål om betalningsföreläggande eller handräckning har lämnats ut till ett kreditupplysningsföretag, ska Kronofogdemyndigheten genast underrätta kreditupplysningsföretaget om uppgiften blockeras med stöd av 3 kap. 3 a § KFMdbL. Motsvarande bestämmelse finns i 15 § förordningen (2008:892) om europeiskt betalningsföreläggande. Vi föreslår att hänvisningarna till kronofogdedatabaslagen i dessa förordningar ska bytas ut till 18 § kronofogdedatalagen och att ändringarna ska börja gälla den 1 januari 2026. Av motsvarande skäl som vi för fram ovan bedömer vi att det bör införas övergångsbestämmelser även i förhållande till ändringarna i aktuella förordningar. Innebörden av också dessa övergångsbestämmelser ska vara att äldre bestämmelser gäller för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § KFMdbL.
Det behövs inga övergångsbestämmelser i fråga om gallring
Vi föreslår i avsnitt 12.4 att samtliga bestämmelser om gallring, undantag från gallring och bevarande som finns i nuvarande registerförfattningar ska upphävas och inte ersättas av nya bestämmelser med motsvarande innebörd. Huvudprincipen enligt arkivlagen (1990:782) är att allmänna handlingar ska bevaras. Gallring får dock ske enligt föreskrifter eller beslut som meddelas av Riksarkivet med stöd av arkivförordningen (1991:446). Vårt förslag innebär att det kommer att vara dessa föreskrifter eller beslut som ska tillämpas i gallringsfrågor. En konsekvens av vårt förslag är alltså att det i många fall helt kommer att saknas tillämpliga bestämmelser i författning som tillåter gallring. I de fall Riksarkivets nuvarande föreskrifter som tillåter gallring förutsätter och utgår från dagens registerlagar, exempelvis särreglering för uppgifter i och utanför olika databaser, kommer de inte heller att kunna tillämpas. En aspekt av digitaliseringen är dessutom att antalet allmänna handlingar ökar. Det är exempelvis enklare för enskilda att kontakta myndigheterna digitalt och lämna in även omfattande material via e-post, än det är att posta in samma handlingar eller att uppsöka ett kontor och kopiera upp samma handlingar på papper. Dessutom har många processer inom myndigheterna i dag internationella kopplingar, vilket i sig genererar stora dokumentflöden. En digital
informationsförvaltning innebär också att helt nya typer av handlingar tillkommer.
För att syftena med myndigheternas arkiv ska värnas krävs det följaktligen en ny värdering av vilken information som ska bevaras, och bestämmelser som tillåter att handlingar som saknar bevarandevärde gallras. Till skillnad från Riksarkivets generella gallringsföreskrifter är det dock myndigheterna själva som initierar myndighetsspecifika föreskrifter om gallring. Myndigheterna utreder och framställer om gallring till Riksarkivet som sedan bedömer och beslutar. Vårt förslag kommer följaktligen ställa stora krav på myndigheterna att utreda vilka behov av föreskrifter som tillåter gallring som finns i respektive verksamhet. Det krävs en ny värdering av samtliga informationsslag som myndigheterna hanterar inom de nya lagarnas tillämpningsområden, och inte bara avseende personuppgifter. Mot bakgrund av de stora förändringar som digitaliseringen innebär för arkivsektorn kan det antas att den omställning som vi föreslår kommer att väcka flera komplexa frågor som måste ges tillräcklig tid att utredas.
En fråga som då uppkommer är om de nya reglerna enbart bör gälla för uppgifter som genereras framöver eller om de ska gälla för all information som myndigheterna förfogar över från och med ikraftträdandet av de nya författningarna. När dagens gallringsbestämmelser beslutades valde regeringen att införa särskilda övergångsbestämmelser om gallring. Dessa innebar att äldre bestämmelser om gallring skulle gälla för uppgifter och handlingar som hade tillförts ett register före de då nya lagarnas ikraftträdande. Några särskilda motiv till den ordningen presenterades inte.
Att ha olika system för gallring och bevarande måste antas vara både komplicerat och kräva onödigt stora resurser. Till skillnad från den bedömning som gjordes vid millennieskiftet är vår utgångspunkt därför att det i dag inte är motiverat att föreslå några särskilda övergångsbestämmelser för skiftet från gallring till längsta tid för behandling. När bestämmelserna om längsta tid för behandling börjar tillämpas ska behandling av uppgifter som inte längre är nödvändiga för ändamålet med behandlingen i kärnverksamheten upphöra. Som vi redogjort för i avsnitt 12.4.4 innebär det att uppgifterna kan fortsätta behandlas för arkivändamål.
Om nya föreskrifter som tillåter gallring inte är beslutade vid tidpunkten för de nya lagarnas ikraftträdande kan uppgifter i allmänna handlingar komma att bevaras under en något längre tid än vad som
egentligen är motiverat utifrån bevarandeändamålen i arkivlagen. Fördelarna med att inte ha parallella system för gallring och bevarande överväger enligt vår mening den risken. Vi har inte heller funnit att det av integritetsskäl eller rättssäkerhetsskäl finns grund för att låta äldre bestämmelser gälla för uppgifter som myndigheterna redan förfogar över. De nya bestämmelserna om längsta tid för behandling ska därför gälla direkt och även omfatta de handlingar som myndigheterna redan behandlar vid ikraftträdandet. Enligt vår mening saknas det därmed skäl att meddela särskilda övergångsbestämmelser avseende de nu gällande bestämmelserna om gallring.
Det saknas i övrigt behov av övergångsbestämmelser
Utöver våra förslag till övergångsbestämmelser har vi inte funnit att det finns något behov av övergångsbestämmelser. Vi föreslår därför inte några ytterligare övergångsbestämmelser.
19. Konsekvenser
19.1. Inledning
I 14 § kommittéförordningen (1998:1474) anges att om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller regioner, ska kommittén föreslå en finansiering.
Av 15 § kommittéförordningen framgår att om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, ska konsekvenserna i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
Om ett betänkande innehåller förslag till nya eller ändrade regler ska, enligt 15 a § kommittéförordningen, förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Enligt 16 § kommittéförordningen anger regeringen närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande.
Enligt utredningsdirektiven ska vi analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Vidare ska vi redovisa hur moderna registerförfattningar som innebär en mer ända-
målsenlig reglering och förbättrade förutsättningar för en effektiv kontrollverksamhet kan påverka myndigheternas verksamheter. Om förslagen kan förväntas leda till kostnadsökningar för det offentliga ska vi föreslå hur dessa ska finansieras.
Vi har efterfrågat underlag från berörda myndigheter för att på ett adekvat sätt kunna analysera eventuella konsekvenser av våra förslag och för att närmare beräkna eventuella kostnader eller intäkter. Vi redogör i vissa delar för det underlag som vi har fått in och redovisar utifrån detta och i övrigt tillgängligt underlag vår bedömning av förslagens ekonomiska och andra konsekvenser.
19.2. Allmänna konsekvenser
En mer flexibel, modern och ändamålsenlig dataskyddsreglering
En kompletterande reglering som både innebär ett adekvat integritetsskydd och en möjlighet till ökad effektivitet
Syftet med våra förslag är att ge Skatteverket, Tullverket och Kronofogdemyndigheten möjligheter att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Våra förslag syftar alltså till att åstadkomma en ändamålsenlig kompletterande dataskyddsreglering som ger enskilda ett adekvat integritetsskydd. Regleringen ska dock också ge Skatteverket, Tullverket och Kronofogdemyndigheten förutsättningar att utföra sina samhällsviktiga uppgifter så som de kommer till uttryck i den materiella verksamhetsregleringen. EU:s dataskyddsförordning1 ska tillämpas av myndigheterna som vore det en svensk författning. De berörda myndigheterna har redan genom dataskyddsförordningens bestämmelser långtgående skyldigheter i fråga om att säkerställa ett adekvat integritetsskydd. Förslagen är utformade utifrån att den sektorsspecifika dataskyddsregleringen ska komplettera dataskyddsförordningen, men inte utgöra en dubbelreglering eller försvåra digitala arbetssätt utöver vad som krävs för att åstadkomma ett adekvat integritetsskydd.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Den kompletterande dataskyddsregleringen ska enligt våra förslag vara ändamålsenlig, tydlig och enhetligt utformad, och endast omfatta sådana bestämmelser som är motiverade i syfte att åstadkomma ett adekvat integritetsskydd. Det som redan framgår av lag och förordning, av dataskyddsförordningen eller av unionsrätten i övrigt behöver därför som utgångspunkt inte regleras ytterligare i den kompletterande dataskyddsregleringen.
Myndigheterna kommer därigenom få möjlighet att i högre utsträckning koncentrera sina överväganden i fråga om tillåtligheten av personuppgiftsbehandling till vad som är motiverat med hänsyn den materiella verksamhetsregleringen och dataskyddsförordningens bestämmelser, i stället för en omodern regleringsmodell som utgår från väsentligen andra tekniska och rättsliga förutsättningar för informationshantering än dagens. Tydlighet och enhetlighet kommer att bidra till att tillämpningen blir både enklare och effektivare. Det kommer även innebära att enskilda ges större möjligheter att förstå lagstiftningen och därmed enklare kan tillvarata sina rättigheter. En ökad enhetlighet, lägre detaljeringsgrad och mindre dubbelreglering kommer att underlätta myndigheternas samverkan med varandra och andra aktörer.
Dagens bestämmelser riskerar att försämra myndigheternas funktionalitet i en helt digitaliserad informationshanteringsmiljö. Våra förslag ska i stället möjliggöra användningen av nya tekniska lösningar för informationshantering och inte låsa myndigheterna till teknik som redan är eller riskerar att snabbt bli utdaterad. Den kompletterande dataskyddsregleringen ska alltså vara teknikneutral, vilket innebär en förflyttning från dagens lagstiftning. Med den teknikneutrala och ändamålsenliga reglering vi föreslår ges myndigheterna möjlighet att hålla jämna steg med samhällets utveckling i övrigt. Den kompletterande dataskyddsregleringen kommer därmed inte att hindra myndigheterna från att utföra sina uppgifter på ett ändamålsenligt och effektivt sätt, vilket dagens reglering i viss utsträckning gör. Förslagen innebär därmed att statens resurser kommer att kunna användas mer effektivt genom att omotiverade hinder för myndigheterna att utnyttja den moderna teknikens fördelar tas bort. En konsekvens av detta blir att ärendehantering, service till enskilda och informationsutbyte kan ske på ett mer ändamålsenligt, säkert och effektivt sätt än i dag.
Förslaget om att dataskyddsbestämmelser enbart ska gälla för personuppgifter innebär en anpassning till den allmänna dataskyddsregleringen som kan komma att förenkla myndigheternas arbete. Att bestämmelser till skydd för den personliga integriteten inte längre kommer att behöva tillämpas på uppgifter om juridiska personer eller andra uppgifter som inte utgör personuppgifter innebär att myndigheterna ges bättre möjligheter att samverka och utbyta information inom det unionsgemensamma samarbetet. Även om personuppgifter och andra uppgifter i många fall kommer att behandlas på ett likartat sätt kan den föreslagna förändringen komma att medföra effektivitetsvinster och en utökad möjlighet för myndigheterna att utföra sina respektive uppgifter.
De föreslagna breda ändamålsbestämmelserna innebär att myndigheterna kommer att kunna utgå från de behov av personuppgiftsbehandling som följer av den processuella och materiella verksamhetsregleringen. Det blir alltså enklare för myndigheterna att utföra sina respektive verksamheter i enlighet med lagstiftningen.
Tydliggörande av det rättsliga stödet medför en effektivare och mer kontrollerad och säker utveckling av dataanalyser och urval för kontrolländamål. Den nya regleringen ger en tydlighet om att ny teknik får och kan användas för dataanalyser och urval i kontrollverksamheten. Med ny teknik kan mer avancerade och omfattande urval göras när det bedöms vara proportionerligt. Med bättre möjligheter för ändamålsenlig hantering av uppgifter ökar förutsättningarna att använda resurser på ett bättre sätt och åtgärder kan i högre grad riktas mot de aktörer där risken för fel är störst. När myndigheternas urval med stöd av den nya regleringen blir mer träffsäker förväntas det även leda till besparingar genom att myndigheterna i mindre utsträckning lägger resurser på utredningar som inte leder till något. I förlängningen kan även omprövningsförfaranden och olika domstolsförfaranden komma att effektiviseras genom de föreslagna förändringarna. Genom de föreslagna bestämmelserna ges myndigheterna bättre möjligheter att koncentrera verksamheten på att åtgärda de fel som orsakar störst problem för samhället. Därigenom kan förslagen också förväntas minska den brottslighet som har ett samband med fel i berörda verksamheter. Förslagen kan därmed även ha en påverkan på brott, exempelvis en brottsförebyggande effekt (se vidare avsnitt 19.5 nedan).
Förslaget om att databasregleringen ska upphöra ger myndigheterna bättre möjligheter att behandla de uppgifter som behövs i berörda verksamheter, bl.a. för att förebygga, förhindra och upptäcka fel, och utföra sin verksamhet i övrigt. Förslaget om att regleringen av särskilda databaser ska upphöra innebär också att samma dataskyddsregler ska gälla för all personuppgiftsbehandling inom författningarnas materiella tillämpningsområde, vilket ger ett utökat integritetsskydd vid viss behandling av uppgifter som sker utanför den rena ärendehandläggningen.
Förslagen om att myndigheterna ska få behandla känsliga personuppgifter om det är nödvändigt för ändamålet med behandlingen och de föreslagna sökbegränsningarna ger myndigheterna bättre möjligheter att behandla de uppgifter som behövs i berörda verksamheter, bl.a. för att förebygga, förhindra och upptäcka fel, och utföra sin verksamhet i övrigt.
Förslaget om att elektroniskt utlämnande ska få ske om det inte är olämpligt ger myndigheterna bättre möjligheter att genom ny teknik åstadkomma ett säkert, ändamålsenligt och effektivt informationsutbyte både med andra myndigheter och med enskilda. Myndigheterna ges därmed rättsliga möjligheter att utveckla sin digitala service till företag och fysiska personer. Ett resultat av det kan komma att bli att det blir enklare för enskilda att komma i kontakt med myndigheterna, att skaffa eller lämna relevant information och utföra övriga ärenden vid myndigheterna. En sådan utveckling kan möjliggöra besparingar både inom myndigheterna och inom den privata sfären. Att myndigheterna i vissa fall inte längre kommer att vara hänvisade till att kommunicera med enskilda via vanlig post kommer att innebära besparingar avseende material och porto. Det kommer också att vara enklare för myndigheterna att bedöma om mottagaren har tagit del av de uppgifter som lämnats ut, eftersom elektroniska tjänster för informationsöverföring kan förenas med ett läskvitto. Förslaget ger sammanfattningsvis myndigheterna bättre förutsättningar att ge medborgare och företag god service digitalt. Även informationsutbyte med aktörer i den offentliga sektorn kan komma att effektiviseras. Myndigheterna ska kunna utgå från att en annan myndighet som samverkas med följer de regler och uppfyller de krav som gäller för den verksamheten. Om personuppgifter får lämnas ut till en annan myndighet saknas det därför skäl att från integritetsskyddssynpunkt begränsa i vilken utsträckning eller på vilket sätt det kan
ske i elektronisk form. Det kommer alltså att stå myndigheterna fritt att utifrån den allmänna dataskyddsregleringen samt de processuella och materiella regelverk som styr deras verksamheter avgöra på vilket sätt personuppgifter lämpligen bör utbytas.
Förslaget om att bestämmelser om myndigheternas uppgiftslämnande flyttas till nya förordningar och utformas på ett teknikneutralt sätt kommer innebära att bestämmelserna blir mer överskådliga och enhetliga. Bestämmelser kommer inte som i dag innebära hinder mot att myndigheterna nyttjar den form av överföring som är bäst lämpad utifrån informationsutbytets karaktär och syfte och utifrån de integritetsaspekter som aktualiseras. Vidare kommer myndigheterna att ha möjlighet att utarbeta nya tekniker för informationsöverföring som kan bidra till högre effektivitet och starkare integritetsskydd än dagens, utan att vara begränsade av bestämmelsernas utformning vad avser utlämnandet av uppgifter i sak.
Förslaget om att gallringsbestämmelser av arkivrättslig karaktär inte ska finnas i den kompletterande dataskyddsregleringen kommer att ge myndigheterna en bättre möjlighet att vårda sina arkiv. Fler uppgifter än i dag kan komma att bevaras i arkiven. Det kommer att innebära att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov kan bli tillgodosedda i högre grad än i dag.
Om regleringen inte kommer till stånd
Att myndigheterna kan utföra sina uppgifter på ett effektivt sätt med bibehållet integritetsskydd, bl.a. genom att dra nytta av den moderna tekniken, är ett viktigt allmänt intresse. Om förslagen inte genomförs kommer detta viktiga allmänna intresse inte tillgodoses. De positiva förväntade konsekvenser som redogjorts för ovan kommer då i vissa fall inte vara möjliga att uppnå, och i andra fall försvåras avsevärt. Myndigheterna kommer i stället fortsatt vara tvungna att följa svårtolkade och omoderna bestämmelser som utgår från att digital informationshantering är ett komplement till pappershantering.
I dag utför myndigheterna sina respektive uppgifter och bedriver sina verksamheter genom digital informationshantering. Eftersom nu gällande bestämmelser är utformade utifrån väsentligt andra tekniska och rättsliga förutsättningar för personuppgiftsbehandling än
de rådande bidrar de i flera fall inte med någon självklarhet till ett adekvat integritetsskydd. Ett exempel är bestämmelserna om gallring för uppgifter i databaser. Bestämmelserna är införda av integritetsskäl men har blivit omoderna eftersom digital hantering numer är utgångspunkten för all verksamhet, uppgifter behandlas digitalt redan när de kommer in till myndigheterna och pappershantering har i flera fall upphört. I flera fall har Riksarkivet därför meddelat föreskrifter om undantag från gallringsbestämmelserna, för att myndigheterna ska kunna utföra sina uppgifter och vårda sina arkiv. Undantagen är omfattande vilket även medfört att regleringen blivit svåröverskådlig.
Om förslagen inte genomförs innebär det en risk för att myndigheterna behöver iaktta bestämmelser som inte längre bidrar till ett adekvat integritetsskydd och som är svårtolkade utifrån de förutsättningar för informationshantering som föreligger i dag. Det kan också leda till att åtgärder som hade inneburit ett högre integritetsskydd inte vidtas. Om förslagen inte genomförs kan det också medföra att myndigheterna i framtiden kommer vara förhindrade att organisera sin verksamhet på ett sådant sätt som tillgodoser berättigade krav på en god hushållning med offentliga resurser. Myndigheterna kommer i stället att hindras från att effektivisera sin verksamhet. I det fall nuvarande kompletterande dataskyddsreglering behålls riskerar den att i framtiden ytterligare försämra myndigheternas funktionalitet i en helt digitaliserad informationshanteringsmiljö. Detta kan leda till att allmänhetens förtroende för myndigheterna försvagas genom att myndigheterna framstår som byråkratiska och omoderna, eller inte kan erbjuda god service till medborgare och företag.
Digitaliseringen av myndigheternas verksamhet och samhället i övrigt, exempelvis utvecklandet av olika e-tjänster som inte kräver personlig kontakt eller inställelse, innebär stora effektivitetsvinster. Det kan också innebära att uppgifter som lämnas av enskilda i högre grad är riktiga, exempelvis genom att uppgifter är förifyllda med utgångspunkt i information från tredje part och bank-id, i jämförelse med en blankett som skickas via brev. I vissa fall kan det dock även innebära att det är enklare för enskilda att både avsiktligt och oavsiktligt lämna felaktiga uppgifter till myndigheterna. Oriktiga uppgifter i myndigheternas verksamheter kan ligga till grund för felaktiga utbetalningar från välfärdssystemet och i övrigt påverka beslut hos andra myndigheter som grundar sig på felaktiga uppgifter som lämnats ut från myndigheterna. Om förslagen inte genomförs, och myndig-
heterna inte ges utökade möjligheter att förebygga, förhindra och upptäcka fel i sina verksamheter kan spridningen av sådan felaktig information i berörda verksamheter inte motverkas på ett effektivt sätt. Om de utmaningar som nuvarande reglering medför kvarstår, och förmågan att förebygga, förhindra och upptäcka fel inte förbättras, kan myndigheterna komma att framstå som oförmögna att komma till rätta med fel i verksamheterna. Det innebär en stor risk för att allmänhetens förtroende för myndigheter i allmänhet försämras. Även allmänhetens vilja att göra rätt i förhållande till bestämmelser om bl.a. skatter och avgifter kan komma att försvagas om felaktigheter tillåts pågå utan att myndigheterna har någon möjlighet att på ett effektivt sätt förebygga, förhindra och upptäcka dessa.
19.3. Konsekvenser för den personliga integriteten
Vår bedömning: Förslagen medför ett visst intrång i enskildas
personliga integritet. Integritetsintrånget är motiverat och proportionerligt.
Skälen för vår bedömning
Utgångspunkter för bedömningen av förslagens påverkan på den personliga integriteten
Vi ska enligt våra direktiv särskilt analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Som vi har konstaterat i avsnitt 3.1 finns det ingen entydig definition av begreppet personlig integritet. Regeringen har i andra sammanhang uttryckt att kränkningar av den personliga integriteten möjligen kan sägas utgöra intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där oönskade intrång bör kunna avvisas.2 I samband med att bestämmelsen i 2 kap. 6 § andra stycket regeringsformen, RF, infördes i sin nuvarande lydelse har regeringen även uttryckt att det är en rimlig utgångspunkt för behovet av ett utökat skydd för
2Prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2009/10:80, En reformerad
grundlag, s. 175.
den personliga integriteten att utgå från den enskildes intresse av att skydda information om sina personliga förhållanden.3
Bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter finns i EU:s dataskyddsförordning.4Utöver detta finns det ytterligare reglering som syftar till att skydda enskildas personliga integritet i regeringsformen och i olika internationella rättsakter (se avsnitten 3.2.1–3.2.4). Rätten till skydd för den personliga integriteten enligt 2 kap. 6 § andra stycket RF är inte absolut, utan kan inskränkas genom lag (se avsnitt 6.2).
Behandling av personuppgifter berör också rätten till respekt för privatlivet enligt artikel 8.1 i Europakonventionen. Enligt denna artikel har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter (artikel 8.2). Europakonventionen gäller som svensk lag, se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen.
I artiklarna 3, 7 och 8 i EU:s rättighetsstadga slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen, men att bestämmelsen inte hindrar unionsrätten från att tillförsäkra ett mer långtgående skydd. Varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av
3Prop. 2009/10:80, En reformerad grundlag, s. 175. 4 Se avsnitt 3.2.5 för en närmare redogörelse av regleringen i dataskyddsförordningen.
allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).
Vi har i avsnitt 6.2 bedömt att i vart fall delar av Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter innebär ett betydande intrång i den personliga integriteten. Behandlingen omfattas därför av regeringsformens skydd mot sådana intrång. Vi har också bedömt att kriterierna för när skyddet får begränsas är uppfyllda. I detta ligger också att begränsningen svarar mot sådana intressen som räknas upp i artikel 8.2 i Europakonventionen (landets ekonomiska välstånd och förebyggande av oordning eller brott).
Våra överväganden
Skatteverket, Tullverket och Kronofogdemyndigheten har redan i dag möjligheter att behandla personuppgifter inom ramen för sina verksamheter i enlighet med sektorspecifika registerförfattningar och det övriga dataskyddsrättsliga regelverket. Förslagen i detta betänkande innebär inte att myndigheterna ges utökade eller nya materiella uppgifter. Våra förslag medför dock en viss utvidgning av myndigheternas möjligheter att behandla personuppgifter. En utvidgad personuppgiftsbehandling innebär ett intrång i enskildas personliga integritet. Mot integritetsintrånget ska myndigheternas behov av att kunna bedriva en effektiv och ändamålsenlig verksamhet ställas. Myndigheterna måste ges tillräckliga möjligheter att behandla personuppgifter och använda digitala verktyg vid sådan behandling för att utföra sina uppgifter, fatta materiellt korrekta beslut och upprätthålla en effektiv kontrollverksamhet för att förebygga, förhindra och upptäcka felaktigheter och fusk. Det är också viktigt att myndigheterna ges möjligheter att utveckla välfungerande system för informationshantering samt e-tjänster och andra it-lösningar som bidrar till att öka effektiviteten, tillgängligheten och servicen till allmänheten. Genom våra lagförslag möjliggörs en ändamålsenlig personuppgiftsbehandling vid Skatteverket, Tullverket och Kronofogdemyndigheten samtidigt som det säkerställs att dataskyddsförordningens krav efterlevs.
De krav på skydd för enskildas personliga integritet som finns kommer att tillgodoses genom flera olika skyddsåtgärder som föreslås regleras i lag och förordning. Den föreslagna regleringen i beskatt-
ningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen innehåller förutom ändamålsbestämmelser, som ställer upp ramarna för tillåten behandling, en reglering av behandling av känsliga personuppgifter, sökbegränsningar, särskilda bestämmelser om vilka uppgifter som får behandlas vid dataanalyser och urval och dokumentationskrav vid sådan behandling, bestämmelser om tillgång till personuppgifter, under vilka förutsättningar personuppgifter får lämnas ut elektroniskt och bestämmelser om längsta tid för behandling av personuppgifter. I de tillhörande förordningarna föreslås särskilda bestämmelser om rutiner för tillgång till personuppgifter och särskilda rutiner vid dataanalyser och urval samt elektroniskt utlämnande av personuppgifter. En liknande reglering föreslås även gälla enligt den nya lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med tillhörande förordning, med undantag för den särskilda regleringen om dataanalyser och urval.
Utöver den dataskyddsrättsliga regleringen till skydd för integriteten föreslår vi också nya sekretessbestämmelser till skydd för uppgifter om enskilda i vissa sammanställningar i Skatteverkets folkbokföringsverksamhet samt för uppgifter till skydd för enskildas personliga och ekonomiska förhållanden vid dataanalyser och urval. Dessutom ställer dataskyddsförordningen krav på bl.a. lämpliga tekniska och organisatoriska åtgärder för att säkerställa en tillräckligt hög säkerhetsnivå. Den föreslagna regleringen tillsammans med det dataskyddsrättsliga regelverket i övrigt och befintlig och ny sekretessreglering utgör enligt vår bedömning ett tillfredsställande skydd för den personliga integriteten.
Även med de skyddsåtgärder vi föreslår kommer berörda myndigheters personuppgiftsbehandling dock att medföra ett integritetsintrång. Vid en avvägning mellan det allmänintresse som finns i fråga om att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina uppgifter på ett ändamålsenligt sätt och intresset av att upprätthålla skyddet för den personliga integriteten anser vi att intrånget är motiverat och proportionerligt.
I flera av de tidigare avsnitten utvecklar vi på ett mer detaljerat sätt våra bedömningar av effekterna på den personliga integriteten i anslutning till respektive förslag. Dessa upprepas därför inte här. Vi hänvisar i stället till de avsnitt som särskilt berör våra analyser av konsekvenser för den personliga integriteten enligt följande.
– Avsnitt 8.4.9 för de föreslagna ändamålsbestämmelserna. – Avsnitten 10.7 och 10.8 för en reglering som innebär en utvidg-
ning av myndigheternas möjligheter att behandla känsliga personuppgifter och uppgifter om lagöverträdelser. – Avsnitt 10.9.5 för förändrade bestämmelser om sökbegränsningar. – Avsnitten 11.7.2–11.7.4 för en ny reglering av myndigheternas
möjligheter att lämna ut uppgifter elektroniskt. – Avsnitt 12.4.9 för bestämmelser om längsta tid som person-
uppgifter får behandlas i stället för gallringsbestämmelser. – Avsnitt 13.9 för nya bestämmelser om uppgiftslämnande från
myndigheterna. – Avsnitten 14.10.2 och 14.10.3 för utvidgade sekretessbrytande
bestämmelser för Kronofogdemyndigheten och Skatteverket. – Avsnitt 14.12 för utökade möjligheter att göra dataanalyser och
urval i myndigheternas verksamheter. – Avsnitt 16.4.13 för en ny reglering av det statliga personadress-
registret. – Avsnitt 17.4.11 för en ny dataskyddsreglering för Skatteverkets
äktenskapsregister- och bouppteckningsregisterverksamheter.
Resonemang av våra förslags påverkan på den personliga integriteten finns även i mindre utsträckning i vissa ytterligare avsnitt även om de inte särskilt har angetts ovan.
19.4. Ekonomiska konsekvenser för det allmänna
Vår bedömning: Förslagen bedöms inte leda till några sådana
kostnadsökningar som avses i kommittéförordningen.
Skälen för vår bedömning
Inledning
Våra förslag innebär inte att Skatteverket, Tullverket eller Kronofogdemyndigheten får några egentliga nya eller ändrade uppgifter att utföra enligt myndigheternas materiella verksamhetsreglering. Förslagen är i stället tänkta att förenkla för lagstiftaren och berörda myndigheter som ska tillämpa regleringen vid sidan av det allmänna dataskyddsrättsliga regelverket. Detta genom att göra den sektorspecifika nationella regleringen om dataskydd tydligare, mer enhetlig och i högre grad anpassad till dataskyddsförordningen. På detta sätt förväntas myndigheternas effektivitet att öka genom att de ges bättre förutsättningar att utföra sina uppgifter med elektroniska hjälpmedel.
It-system och ändrade arbetssätt
Våra generella förslag innebär inte några krav på att Skatteverket, Tullverket och Kronofogdemyndigheten ska införa eller utveckla nya it-system eller ändra sina arbetssätt. Vi bedömer därför att några kostnader för sådana åtgärder inte behöver beräknas.
Vårt förslag om att myndigheter även ska kunna få motsvarande uppgifter som finns i det statliga personadressregistret (SPAR), som de i dag kan få från folkbokföringsverksamheten via Navet, genom SPAR, kommer att kräva systemutveckling. Enligt preliminära beräkningar från Skatteverket kommer utveckling av en urvalstjänst riktad enbart till myndigheter innebära kostnader om cirka 500 000 kronor. SPAR finansieras dock uteslutande via försäljningsintäkter som över tid motsvarar verksamhetens självkostnad. Kostnaden för utvecklingen av urvalstjänsten bör därmed över tid finansieras av försäljningsintäkterna.
Utbildningsinsatser
Ny lagstiftning kan medföra ett behov av utbildning. Enligt preliminära beräkningar från Tullverket kan ändringar av befintlig grundutbildning i dataskydd innebära kostnader om cirka 545 000 kronor. De föreslagna lagarna kommer, i likhet med i dag, att komplettera den allmänna dataskyddsregleringen i EU:s dataskyddsförordning
och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. Det kan noteras att utbildningsinsatser är nödvändiga redan i dag till följd av den gällande dataskyddsregleringen. Våra förslag innebär alltså endast en viss ökning av planerade utbildningsinsatser. Vi bedömer därför att behovet av utbildning till följd av våra förslag inte kommer att vara så stort i förhållande till i dag. Det rör sig därmed i dessa delar om begränsade kostnader för myndigheterna som bör rymmas inom befintliga ekonomiska ramar.
Krav på rutiner och dokumentation
Våra förslag innebär att myndigheterna ansvarar för att ta fram vissa rutiner. Vi föreslår också att det ska införas ett särskilt dokumentationskrav vid dataanalyser och urval. Skatteverket har till utredningen uppgett att förslaget om dokumentation vid dataanalyser och urval föranleder behov av systemstöd vilket uppskattas kosta cirka 2 miljoner kronor. Tullverket uppskattar att förslagens krav på särskilda rutiner och dokumentation samt nödvändiga uppdateringar av befintliga rutiner och andra styrande och stödjande dokument preliminärt innebär kostnader om cirka 500 000 kronor. Utöver detta uppskattar Tullverket att uppdateringar av myndighetens register över personuppgiftsbehandlingar kommer att kosta cirka 1,7 miljoner kronor. Kronofogdemyndigheten uppskattar att kostnader för att införa nya rutiner och dokumentation, nödvändiga informationsinsatser och uppdateringar av befintliga rutiner och myndighetens register över personuppgiftsbehandlingar tillkommer med cirka 760 000 kronor.
Våra förslag förväntas på sikt innebära en effektivare verksamhet och minskade kostnader hos berörda myndigheter. Att ta fram nya myndighetsföreskrifter och styrande dokument samt genomföra informationsinsatser som kan komma att krävas till följd av en ny och ändrad reglering får enligt vår bedömning anses ingå i myndigheternas ordinarie uppgifter. Detsamma bör gälla i fråga om myndigheternas behov av att uppdatera befintliga register över behandling som förs i enlighet med dataskyddsförordningen. Mot denna bakgrund bedömer vi att även de nu nämnda kostnaderna bör täckas av myndigheternas befintliga anslag.
Regler om gallring ersätts av bestämmelser om längsta tid för behandling av personuppgifter
Vi föreslår att nuvarande bestämmelser om gallring i arkivrättslig mening som finns i registerlagarna ska ersättas av regler om längsta tid för behandling av personuppgifter. Den föreslagna regleringen ställer högre krav på Skatteverket, Tullverket och Kronofogdemyndigheten eftersom de löpande kommer att behöva göra prövningar av om det är motiverat att personuppgifter behandlas. Den förändrade regleringen ställer inte några direkta krav på att berörda myndigheter i stället måste göra framställningar om gallringsföreskrifter eller beslut till Riksarkivet. Enligt arkivlagen (1990:782) gäller dock att myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov (3 § tredje stycket).
För att myndigheterna ska kunna uppfylla arkivlagens krav kommer de behöva göra framställningar om gallringsföreskrifter eller beslut till Riksarkivet, eftersom alla allmänna handlingar annars ska bevaras. Riksarkivet har till utredningen uppgett att förslagen initialt kommer att innebära en ökad arbetsinsats både för Riksarkivet och berörda myndigheter när gallringsregler i stället behöver införas i myndighetsspecifika föreskrifter (RA-MS) eller beslut. Det kommer enligt Riksarkivet innebära kostnader för myndigheten att utreda och utfärda myndighetsföreskrifter, främst i form av längre handläggningstider under en period. Enligt Riksarkivet bör detta ställas i relation till att det är en engångsföreteelse med stort värde på längre sikt.
Skatteverket uppskattar att kostnaderna till följd av våra förslag i fråga om gallring kommer uppgå till cirka 3,5 miljoner kronor. Enligt preliminära beräkningar från Tullverket kommer kostnaderna att uppgå till cirka 2,4 miljoner kronor. Dessutom har Tullverket till utredningen uppgett att lagändringarna i dessa delar kommer att medföra ett behov av tekniska anpassningar i it-systemen vilka i nuläget beräknas uppgå till cirka 3,7 miljoner kronor. Kronofogdemyndigheten uppskattar kostnaderna till följd av de nya förslagen avseende gallring och längsta tid för behandling av personuppgifter till preliminärt cirka 635 000 kronor och har till utredningen uppgett att kostnader för it-utveckling med anledning av ändringarna inte kan beräknas i dagsläget.
Vi gör bedömningen att våra förslag i dessa delar kommer att leda till indirekta kostnader för Riksarkivet, Skatteverket, Tullverket och Kronofogdemyndigheten fram till dess att nya myndighetsspecifika föreskrifter eller beslut om gallring finns på plats. Som nämnts ovan är det inte fråga om kostnader som är en direkt konsekvens av våra förslag eftersom de följer av den redan befintliga arkivrättsliga regleringen. Det är också kostnader som kommer att uppstå under en kortare period. Myndigheterna behöver även i dag göra framställningar till Riksarkivet, men då avseende behovet av undantag från de lagreglerade gallringsfristerna. Vi bedömer att de kostnadsmässiga konsekvenserna för berörda myndigheter i denna del får anses ingå i myndigheternas ordinarie uppgifter. Detsamma gäller framtagandet av eventuella nya myndighetsföreskrifter. Vidare gör vi bedömningen att de kostnader som kan uppstå till följd av att överväganden behöver göras om hur lång tid personuppgifter får behandlas, samt eventuella ändringar i befintliga it-system som myndigheterna själva bedömer vara lämpliga att genomföra, inte är större än att de ryms inom befintliga anslag, eller att det inte rör sådana kostnader som behöver beräknas i detta sammanhang.
Dataanalyser och urval
Förslagen om utökade möjligheter för Skatteverket, Tullverket och Kronofogdemyndigheten att göra dataanalyser och urval syftar till att myndigheterna ska ges bättre möjligheter att koncentrera utförandet av sina respektive verksamheter på att identifiera och åtgärda de fel som orsakar störst problem för samhället. Genom förslagen förväntas myndigheterna kunna koncentrera sina resurser till de områden där risken för fel och fusk är som störst. Det kan i ett längre perspektiv innebära minskade kostnader för myndigheterna genom att färre onödiga kontroller behöver göras. Om myndigheterna ges förutsättningar att öka träffsäkerheten vid urval förväntas det i förlängningen leda till en ökad uppbörd och indrivning av fordringar till staten.
Våra förslag till tydligare och utökade möjligheter för Skatteverket att inom beskattningsverksamheten göra dataanalyser och urval förväntas leda till positiva effekter på uppbörd genom att myndighetens möjligheter att förebygga och motverka skatteundandragande och
ekonomisk brottslighet blir bättre. Detsamma förväntas för Tullverket. Möjligheter att göra mer träffsäkra urval för kontroll kan för Tullverket också förväntas leda till att myndighetens förmåga att förhindra restriktionsvaror från att föras in eller ut ur EU eller landet i strid med gällande regler ökar.
Såvitt avser folkbokföringsverksamheten förväntas förslagen på sikt leda till en högre grad av korrekta uppgifter i folkbokföringen. Kvalitetsbrister i folkbokföringen kan få stora spridningseffekter och bl.a. bidra till felaktiga utbetalningar från välfärdssystemen. Förslagen väntas leda till att kvaliteten på uppgifterna stärks och att förutsättningarna för att olika samhällsfunktioner ska få ett korrekt underlag för beslut och åtgärder därmed ökar.
Utökade möjligheter att göra dataanalyser och urval inom Kronofogdemyndighetens verksamhet kan förväntas leda till effektivitetsvinster inom arbetet med verkställighet, vilket i sin tur kan leda till att fler borgenärer får betalt och att gäldenärers skulder minskar. Verktygen ökar också Kronofogdemyndighetens möjligheter att kunna arbeta mer preciserat i fråga om att motverka överskuldsättning i samhället. Vidare bedöms Kronofogdemyndigheten ges bättre förutsättningar att bidra i det myndighetsgemensamma arbetet mot organiserad brottslighet.
Förslagen bedöms dock inte i sig medföra några mätbara offentligfinansiella effekter eller samhällsekonomiska konsekvenser.
Nya sekretessbestämmelser
Våra förslag till nya sekretessbestämmelser i Skatteverkets folkbokföringsverksamhet och som avser Skatteverkets, Tullverkets och Kronofogdemyndighetens arbete med dataanalyser och urval kan komma att medföra att myndigheterna behöver ta ställning till och fatta fler beslut om utlämnande av allmänna handlingar. Om myndigheterna fattar fler beslut kan det i sin tur leda till fler avslagsbeslut som kan överklagas till domstol. I vilken omfattning detta kommer att öka beror till viss del bl.a. på i vilken utsträckning myndigheterna behandlar aktuella uppgifter för att göra dataanalyser och urval. Vi gör sammantaget bedömningen att detta inte kommer att vara aktuellt i någon större utsträckning som kan leda till några mätbara kostnader. Förslagen bör därför inte påverka myndigheterna eller dom-
stolar i någon utsträckning som inte är möjlig att hantera inom befintliga ekonomiska ramar.
Det statliga personadressregistret
Våra förslag som rör SPAR innebär att nuvarande begränsningar av utlämnande av uppgifter om svenskt medborgarskap och födelsehemort till offentliga aktörer från SPAR i förhållande till Navet tas bort. Detsamma gäller nuvarande begränsningar om att utlämnande av uppgifter om adress och folkbokföringsort för en person under 16 år endast får lämnas ut för kontrolländamål. Att få uppgifter från Navet är avgiftsfritt för statliga myndigheter. Sådana uppgifter som myndigheter enligt våra förslag kommer att kunna ta del av via SPAR kan myndigheterna i dag redan ta del av gratis via Navet under de förutsättningar som framgår av den nuvarande dataskyddsregleringen för folkbokföringsverksamheten. Vi har tidigare bedömt att det förefaller mindre sannolikt att myndigheter som i dag får sitt informationsbehov tillgodosett kostnadsfritt via Navet skulle välja att i stället börja betala för informationen via SPAR när de nuvarande begränsningarna i SPAR tas bort (se avsnitt 16.4.12).
Mot denna bakgrund kan det ifrågasättas om det finns offentligfinansiella skäl till att behålla de nuvarande begränsningarna i SPAR för myndigheter i syfte att styra myndigheter till att använda Navet i stället för SPAR. Detta eftersom det motsatta innebär en ekonomisk belastning för det offentliga. Det är dock inte otänkbart att myndigheter som under lång tid har använt SPAR för att tillgodose sitt informationsbehov har anpassat sina it-system eller arbetssätt efter de informationsmodeller som SPAR erbjuder. Att så är fallet har tidigare varit ett skäl till att även myndigheter ska få hämta in uppgifter från SPAR.5 Mot denna bakgrund anser vi att behovet av att dessa myndigheter ska kunna få adekvat och ändamålsenlig information även från SPAR, i dagsläget motiverar att ovan nämnda begränsningar tas bort så att myndigheters möjlighet att ta del av folkbokföringsuppgifter via SPAR anpassas till möjligheten att ta del av samma uppgifter från Navet. Det bör enligt vår uppfattning inte leda till att myndigheter som redan i dag tar del av uppgifter utan kostnad via Navet i stället börjar hämta in uppgifter via SPAR.
5Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 71.
Sammantagen bedömning
Sammantaget är det vår bedömning att förslagen kommer att medföra vissa kostnader initialt, främst till följd av förändrade regler om gallring och nya regler om längsta tid för behandling samt på grund av att det krävs vissa utbildningsinsatser och framtagande av styrande dokument hos berörda myndigheter. Dessa kostnader bedömer vi inte vara större än att de kan täckas av myndigheternas ordinarie anslag. På längre sikt gör vi dessutom bedömningen att våra förslag bör medföra besparingar för berörda myndigheter och ökade statsintäkter till följd av att verksamheterna vid ärendehanteringen och med kontroll kan bedrivas mer effektivt.
Slutligen bedömer vi att våra förslag inte har några ekonomiska konsekvenser för andra statliga myndigheter, kommuner, regioner, företag eller andra. Förslagen kommer därför enligt vår bedömning inte att medföra några övriga kostnadsmässiga eller andra ekonomiska konsekvenser.
19.5. Övriga konsekvenser enligt kommittéförordningen
Vår bedömning: Förslagen förväntas inte få några konsekvenser
för regioner eller kommuner. De kommer inte heller att påverka den kommunala självstyrelsen. Några direkta konsekvenser förväntas inte heller uppstå för sysselsättningen och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män, för miljön eller för möjligheterna att nå de integrationspolitiska målen.
Förslagen förväntas ha viss betydelse för brottsligheten och det brottsförebyggande arbetet och indirekt för offentlig service samt företags konkurrensförmåga.
Förslagen är förenliga med EU-rätten och andra relevanta internationella rättsakter till skydd för den personliga integriteten.
Skälen för vår bedömning
Vi bedömer att förslagen inte kommer att få några konsekvenser för regioner eller kommuner och att de inte heller kommer påverka det kommunala självstyret.
Syftet med våra förslag i de delar som rör dataanalyser och urval är framför allt att åstadkomma en reglering som förhindrar felaktigheter och fusk inom Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. Förslagen ger myndigheterna möjligheter att bedriva en mer effektiv kontrollverksamhet. Om fel kan identifieras i ett tidigt skede kan det leda till att berörda myndigheter ges bättre möjligheter att motverka och upptäcka framför allt ekonomisk brottslighet men även annan typ av brottslighet i framför allt Tullverkets verksamhet (se vidare avsnitt 14.12). Sammantaget bedömer vi att våra förslag kan förväntas minska den brottslighet inom välfärdssystemet som kan förekomma i berörda myndigheters verksamheter och bidra till att det brottsförebyggande arbetet inom dessa områden förstärks. De kan också bidra till att myndigheterna ges bättre förutsättningar för en mer effektiv samverkan med andra brottsbekämpande verksamheter och myndigheter. I övrigt bedömer vi att de nya lagar vi föreslår inte kan antas få några negativa effekter på myndigheternas möjligheter att motverka och upptäcka brottlighet.
Vi bedömer att förslagen inte påverkar sysselsättningen eller offentlig service i olika delar av landet på det sätt som anges i kommittéförordningen. Genom våra förslag kommer det dock inte att finnas någon särskild reglering av på vilket sätt uppgifter får lämnas ut till bl.a. enskilda, såsom dagens reglering av utlämnande av uppgifter på medium för automatiserad behandling eller genom direktåtkomst. Vi föreslår i stället att personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Det kan leda till att myndigheterna generellt ges utökade möjligheter att kunna ge bättre service till enskilda vid utlämnande av uppgifter med hjälp av elektronisk kommunikation. Det är dock svårt att på ett mer konkret sätt bedöma effekterna av förslagen i dessa delar.
Inte heller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag bör påverkas direkt av förslagen. Däremot kan förslagen om utökade möjligheter att göra dataanalyser och urval inom Skatteverkets beskattningsverksamhet och Tullverkets verksamhet komma att leda till att fler
åtgärder kan vidtas mot oseriösa företag som t.ex. undandrar skatt, tull eller avgifter från det allmänna. Det bör då indirekt kunna leda till att konkurrensen mellan företag generellt blir mer rättvis. För Kronofogdemyndighetens del kan förslagen innebära utökade möjligheter att effektivisera arbetet inom verksamheten med verkställighet. Det kan leda till att fler enskilda borgenärer, såsom företag, får betalt. En annan positiv effekt för företag är att eftersom myndigheterna ges möjligheter att göra mer träffsäkra urval för kontroll, kan seriösa företag gynnas genom att dessa inte behöver utsättas för kontroller i lika hög utsträckning.
Förslagen förväntas inte få några konsekvenser för jämställdheten mellan kvinnor och män, integrationen eller miljön. Enligt vår bedömning kommer förslagen, utöver vad som har angetts i detta kapitel, inte att få några andra konsekvenser som anges i 14–15 a §§kommittéförordningen.
Vi har i utformningen av förslagen tagit hänsyn till regeringsformen, Europakonventionen, de åtaganden som följer av Sveriges anslutning till Europeiska unionen och Sveriges övriga internationella åtaganden. Vi bedömer att förslagen är förenliga med dessa. Mer utförliga bedömningar av förslagens förenlighet med sådan reglering finns genomgående i betänkandet i de avsnitt där det bedömts nödvändigt och relevant (se bl.a. avsnitten 6.2, 8.4.9 och 14.12).
20. Författningskommentar
20.1. Förslaget till beskattningsdatalag
Genom förslaget upphävs lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet (skattedatabaslagen), och ersätts av en ny lag om dataskydd i Skatteverkets beskattningsverksamhet och övrig verksamhet som omfattas av skattedatabaslagens tillämpningsområde, beskattningsdatalagen.
Innehållet i beskattningsdatalagen motsvarar i vissa delar innehållet i skattedatabaslagen. I förhållande till skattedatabaslagen har beskattningsdatalagen i högre grad anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya paragrafer har tillkommit och att andra inte har någon motsvarighet i lagen. Den nya lagen har renodlats så att den enbart omfattar personuppgiftsbehandling, och inte behandling av uppgifter om juridiska personer eller avlidna. I den nya lagen finns inte några bestämmelser som reglerar Skatteverkets personuppgiftsbehandling inom en gemensamt tillgänglig databas, eller bestämmelser om gallring. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I beskattningsdatalagen finns också nya bestämmelser om Skatteverkets dataanalyser och urval och den längsta tid som personuppgifter får behandlas.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Skatteverket möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet.
Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt
1. lagen (1991:1047) om sjuklön,
2. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
3. lagen (2013:948) om stöd vid korttidsarbete,
4. lagen (2020:548) om omställningsstöd, och
5. lagen (2023:230) om förfarande för elstöd till företag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten 7.4.1–7.4.3 och 7.4.5.
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket skattedatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskyddsförordningen följer att behandling av uppgifter som rör avlidna eller juridiska personer inte omfattas av lagens bestämmelser.
Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Vad som avses med Skatteverkets beskattningsverksamhet framgår av 3 §.
I andra stycket punkt 1–5 anges vilken personuppgiftsbehandling i ytterligare verksamheter som omfattas av lagen, vid sidan av Skatteverkets beskattningsverksamhet.
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av lagen genom 2 och 3 §§. Däremot omfattar lagens tillämpningsområde inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer.
Lagens materiella tillämpningsområde, dvs. att lagen enligt första stycket ska tillämpas vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet samt enligt andra stycket i de verksamheter som där anges, är inte avsett att skilja sig från det tillämpningsområde som anges i 1 kap. 1 § första stycket skattedatabaslagen.
I paragrafens tredje stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket skattedatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att behandling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteckningar som enbart förs på papper.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser
1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
2. bestämmande av pensionsgrundande inkomst,
3. fastighetstaxering,
4. revision och annan analys eller kontroll,
5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning,
6. fullgörande av förpliktelser som följer av internationella åtaganden, och
7. annan liknande uppgift som Skatteverket ska utföra.
Av paragrafen, som inte har någon motsvarighet i skattedatabaslagen, framgår vad som avses med begreppet beskattningsverksamhet i 2 § första stycket. Övervägandena finns i avsnitt 7.4.5.
Enligt punkt 1 avses med beskattningsverksamhet fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Detta knyter tydligt an till sådan verksamhet som är ett led i beskattningsförfarandet. Begreppet betalning av skatt omfattar även ärenden om ackord.
Av punkterna 2 och 3 följer att bestämmande av pensionsgrundande inkomst och fastighetstaxering omfattas av begreppet beskattningsverksamhet även om Skatteverkets uppgifter i dessa delar inte alltid utgör ett led i beskattningsförfarandet.
I punkt 4 anges att revision och annan analys eller kontroll ingår i begreppet beskattningsverksamhet, vilket utgör verksamhet som ofta ligger till grund för bl.a. myndighetens bestämmande av skatter och avgifter.
Enligt punkt 5 avses med beskattningsverksamhet i lagen även tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Med sådan verksamhet avses t.ex. Skatteverkets uppgifter med viss tillsyn enligt alkohollagen (2010:1622) eller Skatteverkets ansvar för att fatta beslut om godkännande av upplagshavare, registrerad varumottagare, tillfälligt registrerad varumottagare, registrerad avsändare eller skatteupplag enligt lagen (2022:155) om tobaksskatt. Det omfattar även vissa uppgifter som Skatteverket ska utföra enligt skatteförfarandelagen (2011:1244), t.ex. i fråga om att pröva och godkänna den som uppger sig bedriva eller ha för avsikt att bedriva näringsverksamhet i Sverige för F-skatt, vari ingår en viss lämplighetsprövning. Även lämplighetsprövningar inför godkännande av deklarationsombud omfattas av punkten.
Punkt 6 innebär att Skatteverkets fullgörande av förpliktelser som
följer av internationella åtaganden omfattas av begreppet beskattningsverksamhet. Med sådan verksamhet avses Skatteverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning, såsom på mervärdesskatteområdet och punktskatteområdet.
Slutligen framgår av punkt 7 att även annan liknande uppgift som Skatteverket ska utföra är en del av Skatteverkets beskattningsverksamhet och därmed omfattas av lagen. Med annan liknande uppgift åsyftas andra uppgifter som är näraliggande Skatteverkets beskattningsverksamhet enligt övriga punkter. Det kan t.ex. avse uppgifter såsom
handläggning av andra frågor om ansvar för någon annans skatter och avgifter, handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen eller hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige. Punkten omfattar också uppgifter med koppling till beskattningsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515).
4 § Bestämmelserna i denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, föreskrivs ett undantag från lagens tillämpningsområde i fråga om behandling av personuppgifter som Skatteverket utför i Europeiska unionens gemensamma informationssystem. Övervägandena finns i avsnitt 7.4.4.
Med EU:s gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana EU-gemensamma informationssystem avses sådan behandling som Skatteverket utför i systemen av t.ex. uppgifter som myndigheten eller andra medlemsstaters myndigheter lämnar eller har lämnat över till informationssystemen och som sedan finns i dessa.
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Skatteverkets egna interna system som inte är förvaltade och utformade av EU-kommissionen, något annat EU-organ eller av EUkommissionen och medlemsstaterna gemensamt där myndigheten kan bestämma ändamålen och medlen för behandlingen. Undantaget omfattar inte heller behandling av uppgifter som Skatteverket hämtar in från de EU-gemensamma informationssystemen i syfte att behandlas inom myndighetens egna verksamhetssystem i enlighet med EU-rättslig reglering. När uppgifterna däremot övergår till sådana EU-gemensamma informationssystem och behandlas i dessa gäller inte lagen. Det kan dock fortfarande vara så att Skatteverket anses personuppgiftsansvarig för behandlingen även i de EU-gemensamma informationssystemen enligt t.ex. bestämmelser i materiell EU-rätts-
lig reglering. Undantaget är alltså inte nödvändigtvis knutet till personuppgiftsansvaret. Det väsentliga för lagens tillämplighet är om uppgifterna behandlas i de EU-gemensamma informationssystemen. Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i EU-gemensamma informationssystem och i de egna verksamhetssystemen samtidigt. Lagen kan alltså vara tillämplig på samma uppgifter som egentligen samlats in enbart för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i myndighetens egna verksamhetssystem.
För behandling av personuppgifter som inte omfattas av lagen kommer i första hand EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet i stället att gälla för behandlingen.
Förhållandet till annan reglering
5 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Övervägandena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § skattedatabaslagen, upp-
lyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 105).
Andra stycket, som motsvarar 1 kap. 3 § skattedatabaslagen, tyd-
liggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 106).
Personuppgiftsansvar
6 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 1 kap. 6 § skattedatabaslagen, regleras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 199). Övervägandena finns i avsnitt 7.6.1.
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i dataskyddsförordningen. Att Skatteverket är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Ändamål
7 § Skatteverket får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Skatteverket får behandla personuppgifter enligt lagen. Övervägandena finns i avsnitten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Skatteverket ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nöd-
vändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 1 kap. 4 § skattedatabaslagen, får Skatteverket behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr bl.a. prop. 2000/01:33 s.197 och 198 samt prop. 2022/ 23:107 s. 48). Till skillnad från 1 kap. 4 § skattedatabaslagen anges inte några detaljerade ändamål. Ändamålet omfattar samtliga de ändamål som anges i de nuvarande bestämmelserna om detta i skattedatabaslagen. Som exempel på sådan behandling kan nämnas att fastställa underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, bestämmande av pensionsgrundande inkomst, fastighetstaxering och revision och annan analys- eller kontrollverksamhet. Även behandling som är nödvändig för exempelvis tillsyn, kontroll, uppföljning och planering av verksamheten och för utveckling av nya digitala arbetssätt såsom testning av befintlig eller ny it-struktur omfattas av ändamålet.
Av andra punkten, som inte har någon motsvarighet i skattedatabaslagen, framgår att Skatteverket får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 §. Ändamålet omfattar alltså Skatteverkets dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Skatteverkets dataanalyser och urval. Det innebär att personuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestämmelsen. Ändamålet omfattar också exempelvis uppföljning, utveckling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen, som motsvarar 1 kap. 5 § 3 skattedatabaslagen, är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 7 §, (jfr prop. 2017/18:95 s. 107). Övervägandena finns i avsnitt 8.4.4.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 1 kap. 5 § 4 skattedatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 107). Övervägandena finns i avsnitt 8.4.5.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 1 kap. 7 § skattedatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter (jfr prop. 2017/18:95 s. 107). Till skillnad från 1 kap. 7 § skattedatabaslagen omfattar bestämmelsen inte behandling av uppgifter om lagöverträdelser. Bestämmelsen är inte heller avgränsad till om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den innehåller inte heller något krav på att tillåtligheten av behandling av sådana uppgifter annars särskilt ska anges i lagen. Övervägandena finns i avsnitt 10.7.
Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i dataskyddsförordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskyddsförordningen definieras uppgifter om hälsa.
Skatteverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 10 § skattedatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr
prop. 2000/01:33 s. 203). Till skillnad från 2 kap. 10 § skattedatabaslagen utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträdelser. Den innehåller vidare vissa undantag hänförliga till behovet av att kunna göra vissa sökningar som inte har någon motsvarighet i dag. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 10 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Skatteverket inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss politisk åsikt eller sexuell läggning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Skatteverket att ta fram ett urval baserat på uppgifter om t.ex. avgifter till trossamfund eller åberopande av sjukdom som grund för ett yrkande om skatteavdrag för kostnader till följd av resor med egen bil. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Begreppet nödvändigt i förevarande paragraf har samma innebörd som enligt bestämmelsen om känsliga personuppgifter, se kommentaren till 10 §.
Förbudet omfattar inte heller sökningar som sker i en viss handling eller i ett visst ärende. Den enskilde medarbetaren vid Skatteverket kan alltså göra sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande om det sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Skatteverket inte får behandla uppgifter
som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehandling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och urval följer av den materiella verksamhetsregleringen. Skatteverket behöver alltid säkerställa att behandlingen är förenlig med dataskyddsförordningen.
Enligt första punkten får Skatteverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Med uppgifter som Skatteverket förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om handläggning av ärenden. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som Skatteverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Insam-
lingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Enligt andra punkten får Skatteverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfattar uppgifter som t.ex. en annan myndighet eller självständig verksamhetsgren inom Skatteverket lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av Skatteverket, uppgifter som lämnas till Skatteverket med stöd av den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning. Det kan röra sig om både sekretessbelagda uppgifter och uppgifter som är offentliga hos den överlämnande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att uppgifterna endast får lämnas ut om det behövs i ett ärende hos Skatteverket kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 7 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, innehåller krav på dokumentation och är en särskild skyddsåtgärd vid behandling av personuppgifter för att göra dataanalyser och urval. Övervägandena finns i avsnitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Skatteverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Skatteverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat.
I de fall Skatteverket är skyldigt att göra en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som Skatteverket tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumen-
tationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Det är upp till Skatteverket att bedöma i vilken form dokumentationen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitetsbedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I paragrafen, som inte har någon motsvarighet i skattedatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Skatteverket ska begränsa tillgången till
personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Skatteverket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att närmare bestämma formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i skattedatabaslagen, reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom e-post eller direkt överföring från ett datorsystem till ett annat.
Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedömningen bör innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i skattedatabaslagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Skatteverket. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Skatteverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsning av information m.m. till den registrerade
17 § Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett
viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Paragrafen motsvarar i stort bestämmelsen i 3 kap. 2 a § skattedatabaslagen vilken infördes med anledning av artikel 25 i rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EG (direktivet om administrativt samarbete) (jfr prop. 2012/13:4 s. 89 och 90 samt prop. 2017/18:95 s. 107 och 108). Vissa ändringar har gjorts i fråga om vilka artiklar i dataskyddsförordningen som i vissa fall inte behöver tillämpas med anledning av att artikel 25 i direktivet om administrativt samarbete har ändrats sedan bestämmelsen ursprungligen infördes. Övervägandena finns i avsnitt 7.8.2.
Bestämmelsen anger under vilka förutsättningar tillämpningen av artiklarna 13, 14.1 och 15 i dataskyddsförordningen kan begränsas. Sådana begränsningar får göras om de är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Utöver de ändrade hänvisningarna till dataskyddsförordningen innebär bestämmelsen inte några förändringar i sak i förhållande till 3 kap. 2 a § skattedatabaslagen.
Begränsning av rätten att göra invändningar
18 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 3 § skattedatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 108). Övervägandena finns i avsnitt 7.8.1.
20.2. Förslaget till folkbokföringsdatalag
Genom förslaget upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet (folkbokföringsdatabaslagen), och ersätts av en ny lag om dataskydd i Skatteverkets
folkbokföringsverksamhet som omfattas av folkbokföringsdatabaslagens tillämpningsområde, folkbokföringsdatalagen.
Innehållet i folkbokföringsdatalagen motsvarar i vissa delar innehållet i folkbokföringsdatabaslagen. I förhållande till folkbokföringsdatabaslagen har folkbokföringsdatalagen i högre grad anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya paragrafer har tillkommit och att andra inte har någon motsvarighet i lagen. Den nya lagen har renodlats så att den enbart omfattar personuppgiftsbehandling, och inte behandling av uppgifter om avlidna. I den nya lagen finns inte några bestämmelser som reglerar Skatteverkets personuppgiftsbehandling inom en gemensamt tillgänglig databas. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I folkbokföringsdatalagen finns också nya bestämmelser om Skatteverkets dataanalyser och urval och den längsta tid som personuppgifter får behandlas.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Skatteverket möjlighet att inom folkbokföringsverksamheten behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten 7.4.1–7.4.3 och 7.4.6.
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket folkbokföringsdatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskyddsförordningen följer att behandling av uppgifter som rör avlidna eller juridiska personer inte omfattas av lagens bestämmelser.
Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Vad som avses med Skatteverkets folkbokföringsverksamhet framgår av 3 §. Lagens materiella tillämpningsområde, dvs. att lagen ska tillämpas vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, är inte avsett att skilja sig från det tillämpningsområde som anges i 1 kap. 1 § första stycket folkbokföringsdatabaslagen, med undantag för behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen (2022:1697) om samordningsnummer.
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av lagen genom 2 och 3 §§. Däremot omfattar lagens tillämpningsområde inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer.
I paragrafens andra stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket folkbokföringsdatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet regis-
ter finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att behandling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteckningar som enbart förs på papper.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser
1. folkbokföring,
2. samordningsnummer,
3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter,
4. framställning av personbevis och andra registerutdrag,
5. aktualisering, komplettering och kontroll av personuppgifter,
6. uttag av urval av personuppgifter, och
7. annan liknande uppgift som Skatteverket ska utföra.
Av paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, framgår vad som avses med begreppet folkbokföringsverksamhet i 2 § första stycket. Övervägandena finns i avsnitt 7.4.6.
Enligt punkterna 1 och 2 avses med folkbokföringsverksamhet folkbokföring och samordningsnummer. Begreppet folkbokföring har samma innebörd som i folkbokföringslagen (1991:481). Med samordningsnummer avses detsamma som i 1 kap. 1 § första stycket lagen (2022:1697) om samordningsnummer.
Av punkt 3 framgår att med folkbokföringsverksamhet avses samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Med detta avses Skatteverkets uppgifter att fullgöra vissa kvalitetskontroller när uppgifter ska registreras och att göra kontroller och analyser av riktigheten av registrerade uppgifter.
Enligt punkt 4 avses med folkbokföringsverksamhet också framställning av personbevis och andra registerutdrag.
Med folkbokföringsverksamhet avses också enligt punkterna 5 och 6 aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter. Lagen omfattar alltså bl.a. Skatteverkets verksamhet i fråga om att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Den omfattar också myndighetens uppgift att förse andra med uppgifter från folkbokföringsverksamheten.
Slutligen framgår av punkt 7 att även annan liknande uppgift som Skatteverket ska utföra är en del av folkbokföringsverksamheten och därmed omfattas av lagen. Med annan liknande uppgift åsyftas andra
uppgifter som är näraliggande övriga punkter. Det kan avse ärenden som Skatteverket handlägger inom ramen för folkbokföringsverksamheten vilka har sin materiella grund i annan lagstiftning än folkbokföringslagen. Det handlar exempelvis om bestämmelser i lagen (2016:1013) om personnamn avseende myndighetens prövning av frågor rörande personnamn och i äktenskapsbalken i fråga om myndighetens prövning av äktenskapshinder. Punkten omfattar också uppgifter med koppling till folkbokföringsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515).
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparla-
mentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd
för fysiska personer med avseende på behandling av person-
uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Övervägandena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § folkbokföringsdatabas-
lagen, upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 108).
Andra stycket, som motsvarar 1 kap. 3 § lagen om behandling av
personuppgifter i Skatteverkets folkbokföringsverksamhet, tydliggör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 109).
Personuppgiftsansvar
5 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak delvis motsvarar 1 kap. 5 § folkbokföringsdatabaslagen, regleras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 206). Övervägandena finns i avsnitt 7.6.1 och 7.6.2.
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i dataskyddsförordningen. Att Skatteverket är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Ändamål
6 § Skatteverket får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Skatteverket får behandla personuppgifter enligt lagen. Övervägandena finns i avsnitten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Skatteverket ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nöd-
vändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 1 kap. 4 § fösta stycket folkbokföringsdatabaslagen, får Skatteverket behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr prop. 2000/01:33 s. 205 och 206). Till skillnad från 1 kap. 4 § folkbokföringsdatabaslagen anges inte några detaljerade ändamål. Ändamålet omfattar samtliga de ändamål som anges i de nuvarande bestämmelserna om detta i folkbokföringsdatabaslagen. Som exempel på sådan behandling kan nämnas att utföra samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden och aktualisering, komplettering och kontroll av personuppgifter. Även behandling som är nödvändig för exempelvis tillsyn, kontroll, uppföljning och planering av verksamheten och för utveckling av nya digitala arbetssätt såsom testning av befintlig eller ny it-struktur omfattas av ändamålet.
Av andra punkten, som delvis motsvarar 1 kap. 4 a § folkbokföringsdatabaslagen, framgår att Skatteverket får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 § (jfr prop. 2022/23:41 s. 59 och 60). Ändamålet omfattar alltså Skatteverkets dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Skatteverkets dataanalyser och urval. Det innebär att personuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestämmelsen. Ändamålet omfattar också exempelvis uppföljning, utveckling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande
till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen, som motsvarar 1 kap. 4 § andra stycket första meningen folkbokföringsdatabaslagen, är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 6 §, (jfr prop. 2017/18:95 s. 109). Övervägandena finns i avsnitt 8.4.4.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 1 kap. 4 § andra stycket andra meningen folkbokföringsdatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 109). Övervägandena finns i avsnitt 8.4.5.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 1 kap. 6 § folkbokföringsdatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter (prop. 2017/18:95 s. 109 och 110). Till skillnad från 1 kap. 7 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet omfattar bestämmelsen inte behandling av uppgifter om lagöverträdelser. Bestämmelsen är inte heller avgränsad till om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den innehåller inte heller något krav på att tillåt-
ligheten av behandling av sådana uppgifter annars särskilt ska anges i lagen. Övervägandena finns i avsnitt 10.7.
Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i dataskyddsförordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskyddsförordningen definieras uppgifter om hälsa.
Skatteverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 11 § folkbokföringsdatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/01:33 s. 208). Till skillnad från 2 kap. 11 § lagen om
behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträdelser. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 9 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Skatteverket inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar som sker i en viss handling eller i ett visst ärende. Undantaget innebär att den enskilde medarbetaren vid Skatteverket kan göra sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
11 § Det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption.
Paragrafen, som delvis motsvarar 2 kap. 10 § folkbokföringsdatabaslagen, reglerar vilka sökbegrepp som är förbjudet att använda inom Skatteverkets folkbokföringsverksamhet (jfr prop. 2000/01:33 s. 208). Övervägandena finns i avsnitt 10.9.3.
Bestämmelsen innebär att det under alla förhållanden är förbjudet att använda uppgifter om vissa relationssamband som är grundat på
adoption som sökbegrepp. Paragrafen kompletterar därmed sökförbudet i 10 § och är till skillnad från den senare bestämmelsen utformad som ett absolut sökförbud då den inte utgår från syftet med en sökning. Till följd av systematiken i den nya lagen är bestämmelsen generellt utformad i förhållande till 2 kap. 10 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Det innebär att den är tillämplig vid varje slags sökning som utförs, dvs. den är inte begränsad till sökning i en viss databas.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Skatteverket inte får behandla uppgif-
ter som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehandling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och urval följer av den materiella verksamhetsregleringen. Skatteverket behöver alltid säkerställa att behandlingen är förenlig med dataskyddsförordningen.
Enligt första punkten får Skatteverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Med uppgifter som Skatteverket förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om handläggning av ärenden. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende
hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som Skatteverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Insamlingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Enligt andra punkten får Skatteverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfattar uppgifter som t.ex. en annan myndighet eller självständig verksamhetsgren inom Skatteverket lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av Skatteverket, uppgifter som lämnas till Skatteverket med stöd av den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning. Det kan röra sig om både sekretessbelagda uppgifter och uppgifter som är offentliga hos den överlämnande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att uppgifterna endast får lämnas ut om det behövs i ett ärende hos Skatteverket kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 6 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Paragrafen, som delvis motsvarar 2 a kap. 5 § folkbokföringsdatabaslagen, innehåller krav på dokumentation och är en särskild skyddsåtgärd vid behandling av personuppgifter för att göra dataanalyser och urval (jfr prop. 2022/23:41 s. 61). Övervägandena finns i avsnitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Skatteverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Skatteverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat.
I de fall Skatteverket är skyldigt att göra en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som Skatteverket tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att
sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Det är upp till Skatteverket att bedöma i vilken form dokumentationen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitetsbedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Skatteverket ska begränsa tillgången till
personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Skatteverket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegrän-
sad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att bestämma de närmare formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i folkbokföringsdatabaslagen, reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom e-post eller direkt överföring från ett datorsystem till ett annat.
Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedömningen bör innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs
med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i folkbokföringsdatabaslagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Skatteverket. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Skatteverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invänd-
ningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 1 § folkbokföringsdatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 110). Övervägandena finns i avsnitt 7.8.1.
20.3. Förslaget till tulldatalag
Genom förslaget upphävs lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet (tulldatabaslagen), och ersätts av en ny lag om dataskydd i Tullverkets verksamhet som omfattas av tulldatabaslagens tillämpningsområde, tulldatalagen.
Innehållet i tulldatalagen motsvarar i vissa delar innehållet i tulldatabaslagen. I förhållande till tulldatabaslagen har tulldatalagen i högre grad anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya paragrafer har tillkommit och att andra inte har någon motsvarighet i lagen. Den nya lagen har renodlats så att den enbart omfattar personuppgiftsbehandling, och inte behandling av uppgifter om juridiska personer. I den nya lagen finns inte några bestämmelser som reglerar Tullverkets personuppgiftsbehandling inom en gemensamt tillgänglig databas, eller bestämmelser om gallring. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I tulldatalagen finns också nya bestämmelser om Tullverkets dataanalyser och urval och den längsta tid som personuppgifter får behandlas.
Lagens syfte
1 § Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i tulldatabaslagen, anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Tullverket möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet
1. med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter,
2. med övervakning, revision och annan analys eller kontroll,
3. i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande,
4. med fullgörande av förpliktelser som följer av internationella åtaganden, och
5. med annan liknande uppgift som Tullverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten 7.4.1–7.4.3 och 7.4.7.
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket tulldatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskyddsförordningen följer att behandling av uppgifter som rör avlidna eller juridiska personer inte omfattas av lagens bestämmelser.
Lagen är tillämplig vid behandling av personuppgifter i vissa delar av Tullverkets verksamhet. Lagens materiella tillämpningsområde, dvs. att lagen ska tillämpas vid behandling av personuppgifter i Tull-
verkets verksamhet, är inte avsett att skilja sig från det tillämpningsområde som anges i 1 kap. 1 § första stycket tulldatabaslagen.
Enligt punkt 1 ska lagen tillämpas vid behandling av personuppgifter i Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Lagen omfattar alltså myndighetens utförande av sådana uppgifter som är ett led i Tullverkets fiskala verksamhet.
Av punkt 2 framgår att lagen ska tillämpas i Tullverkets verksamhet med övervakning, revision och annan analys eller kontroll. Det utgör en stor och mycket nödvändig del av Tullverkets verksamhet och utfallet av sådana åtgärder ligger ofta till grund för bl.a. myndighetens bestämmande av tull, skatt och avgifter.
I punkt 3 anges att lagen omfattar Tullverkets verksamhet i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande. Av bestämmelsen följer att lagen omfattar Tullverkets uppgifter som följer av de särskilda import- eller exportbestämmelser, dvs. restriktioner, som finns för vissa varor och som främst härrör från EU-rättslig reglering.
Punkt 4 innebär att Tullverkets behandling av personuppgifter vid
fullgörande av förpliktelser som följer av internationella åtaganden omfattas av lagen. Med sådan verksamhet avses Tullverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning, såsom inom bl.a. tull- och punktskatteområdet.
Slutligen framgår av punkt 5 att även annan liknande uppgift som Tullverket ska utföra omfattas av lagen. Med annan liknande uppgift åsyftas andra uppgifter som är näraliggande Tullverkets verksamhet enligt övriga punkter. Det kan t.ex. avse myndighetens uppgifter att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer och förebyggande informationsinsatser och service som förklarar hur tullproceduren går till. Punkten omfattar också uppgifter med koppling till Tullverkets verksamhet på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515).
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av lagen genom 2 §. Däremot omfattar lagens tillämpningsområde inte behandling av personuppgifter vid t.ex. löpande admi-
nistration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer.
I paragrafens andra stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket tulldatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att behandling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteckningar som enbart förs på papper.
3 § Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Bestämmelserna i denna lag gäller inte heller vid Tullverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
I paragrafen föreskrivs att lagen inte gäller vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Vidare föreskrivs ett undantag från lagens tillämpningsområde i fråga om behandling av personuppgifter som Tullverket utför i Europeiska unionens gemensamma informationssystem. Övervägandena finns i avsnitten 7.4.4 och 7.4.7.
Första stycket motsvarar i sak 1 kap. 1 § tredje stycket tulldatabas-
lagen (jfr prop. 2017/18:269 s. 385). Av bestämmelsen följer att lagen inte gäller vid behandling av personuppgifter som Tullverket utför inom den brottsbekämpande verksamheten.
I paragrafens andra stycke, som inte har någon motsvarighet i tulldatabaslagen, utesluts behandling av personuppgifter i Europeiska unionens gemensamma informationssystem från lagens tillämpningsområde. Med EU:s gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana EU-gemensamma informationssystem avses sådan behandling som Tullverket utför i systemen av t.ex. uppgifter som
myndigheten eller andra medlemsstaters myndigheter lämnar eller har lämnat över till informationssystemen och som sedan finns i dessa.
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Tullverkets egna interna system som inte är förvaltade och utformade av EU-kommissionen, något annat EU-organ eller av EUkommissionen och medlemsstaterna gemensamt där myndigheten kan bestämma ändamålen och medlen för behandlingen. Undantaget omfattar inte heller behandling av uppgifter som Tullverket hämtar in från de EU-gemensamma informationssystemen i syfte att behandlas inom myndighetens egna verksamhetssystem i enlighet med EU-rättslig reglering. När uppgifterna däremot övergår till sådana EU-gemensamma informationssystem och behandlas i dessa gäller inte lagen. Det kan dock fortfarande vara så att Tullverket anses personuppgiftsansvarig för behandlingen även i de EU-gemensamma informationssystemen enligt t.ex. bestämmelser i materiell EU-rättslig reglering. Undantaget är alltså inte nödvändigtvis knutet till personuppgiftsansvaret. Det väsentliga för lagens tillämplighet är om uppgifterna behandlas i de EU-gemensamma informationssystemen. Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i EU-gemensamma informationssystem och i de egna verksamhetssystemen samtidigt. Lagen kan alltså vara tillämplig på samma uppgifter som egentligen samlats in enbart för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i myndighetens egna verksamhetssystem.
För behandling av personuppgifter som inte omfattas av lagen kommer i första hand EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet i stället att gälla för behandlingen.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord-
ning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Övervägandena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § tulldatabaslagen, upplyser
om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 117).
Andra stycket, som motsvarar 1 kap. 3 § tulldatabaslagen, tydlig-
gör lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 117).
Personuppgiftsansvar
5 § Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 1 kap. 6 § tulldatabaslagen, regleras att Tullverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 221). Övervägandena finns i avsnitt 7.6.1.
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i dataskyddsförordningen. Att Tullverket är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Ändamål
6 § Tullverket får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Tullverket får behandla personuppgifter enligt lagen. Övervägandena finns i avsnitten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Tullverket ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 1 kap. 4 § tulldatabaslagen, får Tullverket behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr prop. 2000/01:33 s. 220 och 221). Till skillnad från 1 kap. 4 § tulldatabaslagen anges inte några detaljerade ändamål. Ändamålet omfattar samtliga de ändamål som anges i de nuvarande bestämmelserna om detta i tulldatabaslagen. Som exempel på sådan behandling kan nämnas bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter och övervakning, revision och annan analys- eller kontrollverksamhet. Även behandling som är nödvändig för exempelvis tillsyn, kontroll, uppföljning och planering av verksamheten och för utveckling av nya digitala arbetssätt såsom testning av befintlig eller ny it-struktur omfattas av ändamålet.
Av andra punkten, som inte har någon motsvarighet i tulldatabaslagen, framgår att Tullverket får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 §. Ändamålet omfattar alltså Tullverkets dataanalyser och urval i kontrollverksamhet. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Tullverkets dataanalyser och urval. Det
innebär att personuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestämmelsen. Ändamålet omfattar också exempelvis uppföljning, utveckling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen, som motsvarar 1 kap. 5 § 3 tulldatabaslagen, är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 6 § (jfr prop. 2017/18:95 s. 118). Övervägandena finns i avsnitt 8.4.4.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 1 kap. 5 § 4 tulldatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 118). Övervägandena finns i avsnitt 8.4.5.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 1 kap. 7 § tulldatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter (prop. 2017/ 18:95 s. 118 och 119). Till skillnad från 1 kap. 7 § tulldatabaslagen omfattar bestämmelsen inte behandling av uppgifter om lagöverträdelser. Bestämmelsen är inte heller avgränsad till om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den innehåller inte heller något krav på att tillåtligheten av behandling av sådana uppgifter annars särskilt ska anges i lagen. Övervägandena finns i avsnitt 10.7.
Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i dataskyddsförordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskyddsförordningen definieras uppgifter om hälsa.
Tullverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 9 § tulldatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/ 01:33 s. 223 och 224). Till skillnad från 2 kap. 9 § tulldatabaslagen utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträdelser. Den innehåller vidare vissa undantag hänförliga till behovet av att kunna göra vissa sökningar som inte har någon motsvarighet i dag. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 9 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Tullverket inte får utföra sökningar i syfte att få fram ett urval av personer grundat på t.ex. biometriska uppgifter för att entydigt identifiera en fysisk person. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/ 23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med-
lemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Tullverket att ta fram ett urval baserat på uppgifter om t.ex. varor i form av läkemedel, som kan ge viss information om enskildas hälsa. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Begreppet nödvändigt i förevarande paragraf har samma innebörd som enligt bestämmelsen om känsliga personuppgifter, se kommentaren till 9 §.
Förbudet omfattar inte heller sökningar som sker i en viss handling eller i ett visst ärende. Den enskilde medarbetaren vid Tullverket kan alltså göra sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Särskilda bestämmelser om dataanalyser och urval
11 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Tullverket inte får behandla uppgifter
som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehandling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och urval följer av den materiella verksamhetsregleringen. Tullverket be-
höver alltid säkerställa att behandlingen är förenlig med dataskyddsförordningen.
Enligt första punkten får Tullverket behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Med uppgifter som Tullverket förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om handläggning av ärenden. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som Tullverket samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Insamlingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Enligt andra punkten får Tullverket behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfattar uppgifter som t.ex. en annan myndighet lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av Tullverket, uppgifter som lämnas till Tullverket med stöd av den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning. Det kan röra sig om både sekretessbelagda uppgifter och uppgifter som är offentliga hos den överlämnande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att uppgifterna endast får lämnas ut om det behövs i ett ärende hos Tullverket kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 6 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
12 § När personuppgifter behandlas för att göra dataanalyser och urval ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, innehåller krav på dokumentation och är en särskild skyddsåtgärd vid behandling av personuppgifter för att göra dataanalyser och urval. Övervägandena finns i avsnitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Tullverket ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Tullverket ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat.
I de fall Tullverket är skyldigt att göra en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som Tullverket tar fram, utvecklar
och tillämpar för att förebygga, förhindra och upptäcka fel i den verksamhet som omfattas av lagens tillämpningsområde. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Det är upp till Tullverket att bedöma i vilken form dokumentationen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitetsbedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I paragrafen, som inte har någon motsvarighet i tulldatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Tullverkets verksamhet. Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Tullverket ska begränsa tillgången till
personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säker-
ställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Tullverket ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Tullverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Tullverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Tullverket att bestämma de närmare formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
14 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom e-post eller direkt överföring från ett datorsystem till ett annat.
Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedömningen bör innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
15 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Paragrafen, som inte har någon motsvarighet i tulldatabaslagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Tullverket. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Tullverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Tullverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs
för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsning av rätten att göra invändningar
16 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 1 § tulldatalagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 119). Övervägandena finns i avsnitt 7.8.1.
20.4. Förslaget till kronofogdedatalag
Genom förslaget upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet (kronofogdedatabaslagen), och ersätts av en ny lag om dataskydd i Kronofogdemyndighetens verksamhet som omfattas av kronofogdedatabaslagens tillämpningsområde, kronofogdedatalagen.
Innehållet i kronofogdedatalagen motsvarar i vissa delar innehållet i kronofogdedatabaslagen. I förhållande till kronofogdedatabaslagen har kronofogdedatalagen i högre grad anpassats till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning. Det innebär att nya paragrafer har tillkommit och att andra inte har någon motsvarighet i
lagen. Den nya lagen har renodlats så att den enbart omfattar personuppgiftsbehandling, och som utgångspunkt inte behandling av uppgifter om juridiska personer eller avlidna, med ett undantag avseende juridiska personer. I den nya lagen finns inte några bestämmelser som reglerar Kronofogdemyndighetens personuppgiftsbehandling inom gemensamt tillgängliga databaser, eller bestämmelser om gallring. Den nya lagen innehåller inte heller någon särreglering av uppgiftslämnande genom direktåtkomst.
I övrigt är lagen inte längre kapitelindelad. Med hänsyn till detta har några nya rubriker tillkommit och vissa andra har utgått. I kronofogdedatalagen finns också nya bestämmelser om Kronofogdemyndighetens dataanalyser och urval och den längsta tid som personuppgifter får behandlas.
Lagens syfte
1 § Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.2.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge Kronofogdemyndigheten möjlighet att inom den verksamhet som omfattas av lagens tillämpningsområde enligt 2 § behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med
1. utsökning och indrivning,
2. skuldsanering och F-skuldsanering,
3. betalningsföreläggande och handräckning,
4. europeiskt betalningsföreläggande,
5. ansökan om och tillsyn över näringsförbud,
6. tillsyn i konkurs och över rekonstruktörer,
7. att motverka överskuldsättning,
8. analys eller kontroll,
9. fullgörande av förpliktelser som följer av internationella åtaganden, och
10. annan liknande uppgift som Kronofogdemyndigheten ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer.
I paragrafen anges lagens tillämpningsområde. Övervägandena finns i avsnitten 7.4.1–7.4.3 och 7.4.8.
Av första stycket framgår att lagen är tillämplig vid behandling av personuppgifter. Det motsvarar nuvarande 1 kap. 1 § första stycket kronofogdedatabaslagen.
I artikel 4.1 och 4.2. i EU:s dataskyddsförordning finns definitioner av begreppen personuppgifter och behandling. Av definitionen av begreppet personuppgifter samt skäl 14 och 27 till dataskyddsförordningen följer att behandling av uppgifter som rör avlidna eller juridiska personer som utgångspunkt inte omfattas av lagens bestämmelser.
Lagen är tillämplig vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet. Lagens materiella tillämpningsområde, dvs. att lagen ska tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet, är inte avsett att skilja sig från det tillämpningsområde som anges i 1 kap. 1 § första stycket kronofogdedatabaslagen.
Enligt punkt 1 ska lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning. Med utsökning och indrivning avses bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m. och avräkning vid återbetalning av skatter och avgifter. Till denna verksamhet kan också hänföras t.ex. myndighetens uppgift att lämna underrättelser till målsäganden i brottmål, anmäla misstanke om brott och att fullgöra sina uppgifter enligt bötesverkställighetslagen (1979:189) med tillhörande förordning.
Av punkt 2 framgår att lagen ska tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med skuldsanering och F-skuldsanering. Det omfattar bl.a. handläggning av ärenden om skuldsanering och F-skuldsanering.
I punkterna 3 och 4 anges att lagen omfattar Kronofogdemyndighetens verksamhet med betalningsföreläggande och handräckning och europeiskt betalningsföreläggande. Dessa punkter omfattar t.ex. personuppgiftsbehandling vid handläggning av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande, tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande.
Enligt punkt 5 omfattas ansökan om och tillsyn över näringsförbud av lagen. Med detta avses Kronofogdemyndighetens personuppgiftsbehandling vid utförandet av sina uppgifter enligt lagen (2014:836) om näringsförbud.
Av punkt 6 framgår att Kronofogdemyndighetens behandling av personuppgifter vid utförandet av sina uppgifter avseende tillsyn i konkurs och över rekonstruktörer omfattas av lagen. Med sådan verksamhet avses t.ex. myndighetens handläggning av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer enligt lagen (2022:964) om företagsrekonstruktion och mål enligt lönegarantilagen (1992:497).
Vidare omfattas enligt punkt 7 myndighetens verksamhet med att motverka överskuldsättning. Bestämmelsen gör det tydligt att personuppgiftsbehandling vid sådan verksamhet, vilken kan anses utgöra en kompletterande och integrerad del av myndighetens verksamhet med utsökning och indrivning (verkställighet), betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande (summarisk process), skuldsanering och konkurstillsyn, omfattas av lagen.
Av punkt 8 framgår att myndighetens behandling av personuppgifter i verksamhet med analys och kontroll omfattas av lagen. Exempelvis ingår personuppgiftsbehandling vid sådan analysverksamhet som myndigheten utför i syfte att identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling och de kontroller myndigheten vidtar inom ramen för utförandet av sina uppgifter, bl.a. för att säkerställa att beslut fattas på korrekta grunder samt för att förebygga och motverka ekonomisk brottslighet.
Punkt 9 innebär att Kronofogdemyndighetens behandling av per-
sonuppgifter vid fullgörande av förpliktelser som följer av internationella åtaganden omfattas av lagen. Med sådan verksamhet avses t.ex. sådana åtaganden som följer av Sveriges medlemskap i EU och som regleras i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, men också sådana som
följer av exempelvis det nordiska handräckningsavtalet och Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden.
Slutligen framgår av punkt 10 att även annan liknande uppgift som Kronofogdemyndigheten ska utföra omfattas av lagen. Med annan liknande uppgift åsyftas andra uppgifter som är näraliggande Kronofogdemyndighetens verksamhet enligt övriga punkter. Det kan t.ex. avse uppgifter såsom att förebygga och motverka ekonomisk brottslighet (jfr 4 § första stycket förordningen (2016:1333) med instruktion för Kronofogdemyndigheten). Punkten omfattar också uppgifter med koppling till Kronofogdemyndighetens verksamhet på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515).
Personuppgiftsbehandling som utförs i verksamhet såsom intern tillsyn, kontroll, uppföljning och planering av den egna verksamheten omfattas av lagen genom 2 §. Däremot omfattar lagens tillämpningsområde inte behandling av personuppgifter vid t.ex. löpande administration och liknande, såsom hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer.
I paragrafens andra stycke, som i sak delvis motsvarar 1 kap. 1 § första stycket kronofogdedatabaslagen, begränsas tillämpningsområdet till en viss typ av behandling av personuppgifter (jfr prop. 2000/01:33 s. 85 och 86). Lagen gäller endast då behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelsen är utformad i nära anslutning till artikel 2.1 i dataskyddsförordningen och bör tolkas på samma sätt som den bestämmelsen. En definition av begreppet register finns i artikel 4.6 i dataskyddsförordningen. Bestämmelsen innebär att behandling som inte omfattas av lagens tillämpningsområde t.ex. är minnesanteckningar som enbart förs på papper.
Enligt tredje stycket gäller bestämmelserna i 18 § första stycket 2 och andra stycket samt 19 § även vid behandling av uppgifter om juridiska personer. Dessa bestämmelser avser rättelse m.m. och överklagande av sådana beslut om rättelse som särskilt gäller i Kronofogdemyndighetens verksamhet.
3 § Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning.
Bestämmelserna i denna lag gäller inte heller vid Kronofogdemyndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
I paragrafen föreskrivs att lagen inte gäller vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Vidare föreskrivs ett undantag från lagens tillämpningsområde i fråga om behandling av personuppgifter som Kronofogdemyndigheten utför i Europeiska unionens gemensamma informationssystem. Övervägandena finns i avsnitten 7.4.4 och 7.4.8.
Av första stycket följer att lagen inte gäller vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar. En bestämmelse med motsvarande innebörd finns i dag i 1 kap. 1 § första stycket kronofogdedatabaslagen (jfr prop. 2018/19:48 s. 37).
I paragrafens andra stycke, som inte har någon motsvarighet i kronofogdedatabaslagen, utesluts behandling av personuppgifter i Europeiska unionens gemensamma informationssystem från lagens tillämpningsområde. Med EU:s gemensamma informationssystem avses system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana EU-gemensamma informationssystem avses sådan behandling som Kronofogdemyndigheten kan komma att utföra i systemen av t.ex. uppgifter som myndigheten eller andra medlemsstaters myndigheter lämnar eller har lämnat över till informationssystemen och som sedan finns i dessa.
Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Kronofogdemyndighetens egna interna system som inte är förvaltade och utformade av EU-kommissionen, något annat EUorgan eller av EU-kommissionen och medlemsstaterna gemensamt där myndigheten kan bestämma ändamålen och medlen för behandlingen. Undantaget omfattar inte heller behandling av uppgifter som Kronofogdemyndigheten kan komma att hämta in från de EUgemensamma informationssystemen i syfte att behandlas inom myndighetens egna verksamhetssystem i enlighet med EU-rättslig reglering. Om uppgifterna däremot övergår till sådana EU-gemensamma informationssystem och behandlas i dessa gäller inte lagen. Det kan
dock fortfarande vara så att Kronofogdemyndigheten i sådana fall anses personuppgiftsansvarig för behandlingen även i de EU-gemensamma informationssystemen enligt t.ex. bestämmelser i materiell EU-rättslig reglering. Undantaget är alltså inte nödvändigtvis knutet till personuppgiftsansvaret. Det väsentliga för lagens tillämplighet är om uppgifterna behandlas i de EU-gemensamma informationssystemen. Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i EU-gemensamma informationssystem och i de egna verksamhetssystemen samtidigt. Lagen kan alltså vara tillämplig på samma uppgifter som samlats in egentligen bara för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i myndighetens egna verksamhetssystem.
För behandling av personuppgifter som inte omfattas av lagen kommer i första hand EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet i stället att gälla för behandlingen.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen anges lagens förhållande till annan reglering. Övervägandena finns i avsnitt 7.5.1.
Första stycket, som motsvarar 1 kap. 2 § kronofogdedatabaslagen,
upplyser om att lagens bestämmelser kompletterar den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 110 och 111).
Andra stycket, som motsvarar 1 kap. 3 § kronofogdedatabaslagen,
tydliggör lagens förhållande till lagen (2018:218) med kompletterande
bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 111).
5 § De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag.
Enligt paragrafen, som motsvarar 1 kap. 3 b § kronofogdedatabaslagen, gäller de avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur i stället för lagen (jfr prop. 2015/16:148 s. 61 och 62). Övervägandena finns i avsnitt 7.5.2.
Personuppgiftsansvar
6 § Kronofogdemyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 1 kap. 5 § kronofogdedatabaslagen, regleras att Kronofogdemyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2000/01:33 s. 213). Övervägandena finns i avsnitt 7.6.1.
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i dataskyddsförordningen. Att Kronofogdemyndigheten är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att
säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Ändamål
7 § Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för
1. att utföra verksamhet enligt 2 §, eller
2. att göra dataanalyser och urval i syfte att
a) förebygga, förhindra och upptäcka fel i den verksamheten, och
b) motverka överskuldsättning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
I paragrafen anges för vilka primära ändamål Kronofogdemyndigheten får behandla personuppgifter enligt lagen. Övervägandena finns i avsnitten 8.4.3 och 14.8.
Av första stycket framgår att en förutsättning för att Kronofogdemyndigheten ska få behandla personuppgifter är att det är nödvändigt för att utföra viss verksamhet som myndigheten ansvarar för. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.
Enligt första punkten, som delvis motsvarar 2 kap. 2, 8, 14 och 20 §§ kronofogdedatabaslagen, får Kronofogdemyndigheten behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra den verksamhet som anges i 2 § (jfr bl.a. prop. 2000/01:33 s. 214–217 och prop. 2018/19:48 s. 38). Till skillnad från 2 kap. 2, 8, 14 och 20 §§ kronofogdedatabaslagen anges inte några detaljerade ändamål. Ändamålet omfattar samtliga de ändamål som anges i de nuvarande bestämmelserna om detta i kronofogdedatabaslagen. Som exempel på sådan behandling kan nämnas verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, ansökan om och tillsyn över näringsförbud, handläggning av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande, handläggning av ärenden om skuldsanering och F-skuldsanering, handläggning av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497) samt förebyggande av överskuldsättning. Även behandling som är nödvändig för exempelvis tillsyn,
kontroll, uppföljning och planering av verksamheten och för utveckling av nya digitala arbetssätt såsom testning av befintlig eller ny itstruktur omfattas av ändamålet.
Av andra punkten, som inte har någon motsvarighet i kronofogdedatabaslagen, framgår att Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i verksamhet enligt 2 § och i syfte att motverka överskuldsättning. Ändamålet omfattar alltså Kronofogdemyndighetens dataanalyser och urval. Arbetet med dataanalyser och urval kan t.ex. avse att analysera avvikelser, mönster och samband för att identifiera ärenden eller subjekt där det finns störst risk för fel och som därför behöver kontrolleras särskilt. Det kan också göras för att identifiera var i samhället det finns störst risk för att enskilda hamnar i överskuldsättning, vilket kan behöva bemötas med t.ex. särskilda informationsinsatser. Ändamålet omfattar all den personuppgiftsbehandling som kan vara nödvändig vid Kronofogdemyndighetens dataanalyser och urval. Det innebär att personuppgiftsbehandling i form av t.ex. inhämtning av uppgifter och fortsatt behandling av sådana uppgifter kommer att rymmas i bestämmelsen. Ändamålet omfattar också exempelvis uppföljning, utveckling och testning av analys- och urvalsmodeller.
Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att verktygen dataanalyser och urval inte enbart är möjliga att använda för efterhandskontroller utan också för att på ett så tidigt stadium som möjligt identifiera olika risker för felaktigheter redan innan det finns ett ärende. Begreppet fel ska tolkas brett i detta sammanhang. Det omfattar t.ex. avvikelser i förhållande till materiella rättsregler, oegentligheter samt felaktigheter som beror på avsiktligt fusk eller misstag.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen, som motsvarar 2 kap. 3 § 3, 9 § 3, 15 § 2 och 20 a § 2 kronofogdedatabaslagen, är en s.k. sekundär ändamålsbestämmelse
om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 7 § (jfr prop. 2017/ 18:95 s. 112–115). Övervägandena finns i avsnitt 8.4.4.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 2 kap. 3 § 4, 9 § 4, 15 § 3 och 20 a § 3 kronofogdedatabaslagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 112–115). Övervägandena finns i avsnitt 8.4.5.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 1 kap. 6 § kronofogdedatabaslagen, reglerar möjligheten till behandling av känsliga personuppgifter (prop. 2017/18:95 s. 111). Till skillnad från 1 kap. 6 § kronofogdedatabaslagen omfattar bestämmelsen inte behandling av uppgifter om lagöverträdelser. Bestämmelsen är inte heller avgränsad till om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Den innehåller inte heller något krav på att tillåtligheten av behandling av sådana uppgifter annars särskilt ska anges i lagen. Övervägandena finns i avsnitt 10.7.
Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i dataskyddsförordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen.
De kategorier av personuppgifter som får behandlas med stöd av bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp-
gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskyddsförordningen definieras uppgifter om hälsa.
Kronofogdemyndigheten får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter myndigheten har att utföra. I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 2 kap. 29 § första stycket kronofogdedatabaslagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2000/01:33 s. 219). Till skillnad från 2 kap. 29 § första stycket kronofogdedatabaslagen utgår bestämmelsen från syftet med en sökning. Bestämmelsen är inte heller begränsad till sökning i en viss databas och omfattar inte uppgifter om lagöverträdelser. Den innehåller vidare vissa undantag hänförliga till behovet av att kunna göra vissa sökningar som inte har någon motsvarighet i dag. Övervägandena finns i avsnitten 10.9.1 och 10.9.2.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 10 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Kronofogdemyndigheten inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös
åskådning eller sexuell läggning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/ 23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av lagen. Genom detta undantag är det möjligt för Kronofogdemyndigheten att ta fram ett urval baserat på uppgifter om t.ex. sjukförsäkringsförmåner eller sjukdom som framkommer i läkarintyg vilket har åberopats som grund för betalningssvårigheter. Uppgifter om hälsa definieras i artikel 4.15 i EU:s dataskyddsförordning. Förutsättningen för att det ska vara tillåtet att göra sökningar i enlighet med undantaget är att sökningen är nödvändig för att utföra en uppgift i myndighetens verksamhet som omfattas av lagens tillämpningsområde. Begreppet nödvändigt i förevarande paragraf har samma innebörd som enligt bestämmelsen om känsliga personuppgifter, se kommentaren till 10 §.
Förbudet omfattar inte heller sökningar som sker i en viss handling eller i ett visst ärende. Den enskilde medarbetaren vid Kronofogdemyndigheten kan alltså göra sökningar på t.ex. känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas:
1. uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
2. uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
Paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, innehåller en begränsning av vilka personuppgifter som får behandlas för att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel och för att motverka överskuldsättning. Övervägandena finns i avsnitt 14.9.2.
Första stycket tydliggör att Kronofogdemyndigheten inte får be-
handla uppgifter som det inte finns stöd för att behandla till följd av myndighetens uppdrag. Regleringen möjliggör dock insamling och vidarebehandling av personuppgifter för att göra aktuella dataanalyser och urval. Vilka uppgifter som är relevanta att behandla för dataanalyser och urval följer av den materiella verksamhetsregleringen. Kronofogdemyndigheten behöver alltid säkerställa att behandlingen är förenlig med dataskyddsförordningen.
Enligt första punkten får Kronofogdemyndigheten behandla personuppgifter som myndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §. Med uppgifter som Kronofogdemyndigheten förfogar över avses sådana uppgifter som myndigheten redan har tillgång till som en följd av sin verksamhet, t.ex. i fråga om handläggning av ärenden. Uppgifterna kan exempelvis ha samlats in från enskilda som har ett ärende hos myndigheten eller så kan uppgifter ha överlämnats från andra myndigheter.
Med uppgifter som Kronofogdemyndigheten samlar in till följd av verksamhet enligt 2 § avses uppgifter som myndigheten har stöd för att samla in i sin verksamhet till följd av utförandet av sina uppgifter. Insamlingen kan t.ex. ske i syfte att handlägga ärenden eller direkt för att göra dataanalyser urval i syfte att förebygga, förhindra och upptäcka fel eller motverka överskuldsättning. Det rör sig med andra ord om uppgifter som myndigheten ännu inte har samlat in och den därför inte heller förfogar över till följd av t.ex. handläggning av ärenden. Det kan exempelvis vara uppgifter som hämtas in från öppna källor hos andra myndigheter vilka i förekommande fall innehåller personuppgifter.
Enligt andra punkten får Kronofogdemyndigheten behandla personuppgifter som lämnas till myndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Bestämmelsen omfattar uppgifter som t.ex. en annan myndighet lämnar i enlighet med en i lag eller förordning föreskriven uppgiftsskyldighet på begäran av Kronofogdemyndigheten, uppgifter som lämnas till Kronofogdemyndigheten med stöd av den s.k. general-
klausulen i 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) eller uppgifter som i övrigt lämnas till myndigheten med stöd av bestämmelser i lag eller förordning. Det kan röra sig om både sekretessbelagda uppgifter och uppgifter som är offentliga hos den överlämnande myndigheten.
I de fall en bestämmelse om uppgiftsskyldighet innebär att uppgifterna endast får lämnas ut om det behövs i ett ärende hos Kronofogdemyndigheten kommer uppgifterna inte att kunna hämtas in i syfte att göra analyser och urval. Om sådana uppgifter väl finns i ett ärende kommer uppgifterna dock efter en prövning enligt föreslagen reglering och kraven i dataskyddsförordningen kunna behandlas även för att göra dataanalyser och urval.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om vilka uppgifter som får behandlas för dataanalyser och urval enligt 7 § första stycket 2. Begränsningar kan därmed finnas i förordning eller myndighetsföreskrifter.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet.
Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras.
All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, innehåller krav på dokumentation och är en särskild skyddsåtgärd vid behandling av personuppgifter för att göra dataanalyser och urval. Övervägandena finns i avsnitt 14.11.3.
Enligt första stycket ska avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet dokumenteras. Det innebär att Kronofogdemyndigheten ska dokumentera bedömningen av vilka konsekvenser behandlingen kan få för personuppgiftsskyddet. I denna bedömning ska Kronofogdemyndigheten ta hänsyn till omständigheter såsom bl.a. uppgifternas art, omfattning och syftet med analyserna och urvalen. Myndigheten behöver även dokumentera det avsedda resultatet med åtgärden, dvs. vad dataanalyserna och urvalen förväntas leda till för resultat.
I de fall Kronofogdemyndigheten är skyldig att göra en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen och myndigheten därför redan har dokumenterat avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet på ett sätt som gör att det går att kontrollera i efterhand, har myndigheten även uppfyllt det aktuella dokumentationskravet.
Att myndigheten vid behandling av personuppgifter för att göra dataanalyser och urval behöver se till att åtgärden är proportionerlig framgår av andra författningar, såsom 5 § förvaltningslagen (2017:900) och dataskyddsförordningen.
Enligt andra stycket ska de metoder och sökbegrepp som används för att ta fram urval dokumenteras. Med metoder för att ta fram urval menas t.ex. urvalsmodeller som Kronofogdemyndigheten tar fram, utvecklar och tillämpar för att förebygga, förhindra och upptäcka fel eller motverka överskuldsättning i den verksamhet som omfattas av lagens tillämpningsområde. Dokumentationen ska vidare innebära att det i efterhand kan kontrolleras vilka sökbegrepp som har använts för att ta fram ett urval. Sökningar kan i detta sammanhang göras för att t.ex. söka igenom en informationsmängd och hitta de poster eller uppgiftskonstellationer där begreppet förekommer. Sökbegrepp kan också användas för att välja bort information. Utöver detta kan det handla om sökningar som görs för att sortera fram den information som kommer användas som underlag för en viss dataanalys, eller sökningar som görs bland urvalsträffar för att prioritera vilka av dessa som bör kontrolleras närmare.
Av tredje stycket framgår att all dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Genom dokumentationen ska det gå att följa upp att behandlingen endast avser uppgifter som får behandlas vid dataanalyser och urval samt att uppgifterna används för rätt ändamål. Dokumentationskravet innebär dock inte att myndigheterna måste redovisa exakt vilka uppgifter som behandlas. Det är tillräckligt att det framgår vilka kategorier av uppgifter som behandlas och uppgifternas art.
Det är upp till Kronofogdemyndigheten att bedöma i vilken form dokumentationen som bestämmelsen ställer krav på ska ske. Det avgörande är att det i efterhand går att kontrollera den gjorda proportionalitetsbedömningen samt vilka metoder och sökbegrepp som har använts för att ta fram urval.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I paragrafen, som delvis motsvarar 2 kap. 26 § kronofogdedatabaslagen, finns en bestämmelse om den interna tillgången till personuppgifter i Kronofogdemyndighetens verksamhet (jfr prop. 2010/11:78 s. 35). Övervägandena finns i avsnitt 7.7.
Första stycket innebär att Kronofogdemyndigheten ska begränsa
tillgången till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen).
Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid Kronofogdemyndigheten ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Kronofogdemyndigheten kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Kronofogdemyndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan till exempel ske genom uppföljning av loggar. Det är dock upp till Kronofogdemyndigheten att bestämma de närmare formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som inte har någon motsvarighet i kronofogdedatabaslagen, reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 11.7.5.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom e-post eller direkt överföring från ett datorsystem till ett annat.
Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedömningen bör innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i kronofogdedatabaslagen, innehåller en huvudregel om längsta tid för behandling
av personuppgifter vid Kronofogdemyndigheten. Övervägandena finns i avsnitten 12.4.3 och 12.4.5.
Bestämmelsen i första stycket innebär en skyldighet för Kronofogdemyndigheten att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Kronofogdemyndigheten att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen, som motsvarar 3 kap. 3 § kronofogdedatabaslagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 115 och 116). Övervägandena finns i avsnitt 7.8.1.
Rättelse av uppgifter och överklagande
18 § På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som
1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller
2. vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser.
Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.
Paragrafen, som delvis motsvarar 3 kap. 3 a § kronofogdedatabaslagen, reglerar enskildas rätt till rättelse m.m. av uppgifter som behandlas i Kronofogdemyndighetens verksamhet (jfr prop. 2017/18:95 s. 116). Övervägandena finns i avsnitt 7.8.3.
Till skillnad från 3 kap. 3 a § kronofogdedatabaslagen är bestämmelsen inte tillämplig vid behandling av uppgifter om avlidna personer. Vidare är bestämmelsen endast tillämplig på uppgifter om juridiska personer gällande uppgifter som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, vilket följer av 2 § tredje stycket. Begreppet ”den registrerade” i 3 kap. 3 a § kronofogdedatabaslagen har ersatts med begreppet ”enskild”. Med begreppet enskild avses i tillämpliga fall både fysiska och juridiska personer. Vidare framgår nu uttryckligen av lagen att prövningen enligt 18 § första stycket andra punkten ska göras med utgångspunkt från förhållandena vid tidpunkten för registreringen (jfr prop. 2007/08:116 s. 29).
19 § Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Paragrafen, som delvis motsvarar 3 kap. 4 § kronofogdedatabaslagen, innehåller bestämmelser om överklagande (jfr prop. 2017/18:95 s. 116). Övervägandena finns i avsnitt 7.8.3.
Enligt första stycket får beslut om rättelse som Kronofogdemyndigheten har fattat enligt 18 § första stycket överklagas till allmän förvaltningsdomstol. Bestämmelsen omfattar beslut om rättelse enligt både punkt 1 och 2 i den särskilda bestämmelsen om rättelse
m.m. Av 2 § tredje stycket framgår att bestämmelsen även gäller vid behandling av uppgifter om juridiska personer.
Enligt andra stycket krävs prövningstillstånd vid överklagande till kammarrätten.
1 Denna lag träder i kraft den 1 januari 2026.
2. Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
3. Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före den ikraftträdandet.
Ikraftträdande- och övergångsbestämmelser
Enligt punkten 1 träder lagen i kraft den 1 januari 2026. Punkten behandlas i kapitel 18.
Enligt punkten 2 upphävs den nu gällande kronofogdedatabaslagen genom kronofogdedatalagen (0000:00). Övervägandena finns i avsnitt 6.2.
Enligt tredje punkten gäller den upphävda kronofogdedatabaslagen fortfarande för en begäran om rättelse som har kommit in till myndigheten före ikraftträdandet av lagen, dvs. den 1 januari 2026. Det innebär att sådana ärenden om rättelse m.m. ska handläggas enligt den lagen till dess att de har vunnit laga kraft. De särskilda bestämmelserna om rättelse och överklagande av sådana beslut enligt kronofogdedatabaslagen finns i den lagens 3 kap. 3 a och 4 §§.
Övervägandena finns i kapitel 18.
20.5. Förslaget till lag om det statliga personadressregistret
Genom lagen upphävs lagen (1998:527) om det statliga personadressregistret, SPAR-lagen, och ersätts av en ny lag om det statliga personadressregistret, den nya SPAR-lagen. Innehållet i den nya lagen motsvarar till stora delar innehållet i SPAR-lagen. Anpassningen till övrig dataskyddsreglering innebär dock att redaktionella och strukturella ändringar görs i förhållande till dagens reglering.
Inledande bestämmelser
1 § För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter.
I paragrafen, som i sak motsvarar 1 § SPAR-lagen, anges att ett statligt register ska föras för kontroll- och urvalsändamål och att det får användas för elektroniskt utlämnande av uppgifter (jfr prop. 1997/98:136 s. 76). Ändringarna är endast språkliga och redaktionella. Övervägandena finns i avsnitt 16.4.4.
2 § Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Paragrafen, som inte har någon motsvarighet i SPAR-lagen, anger det övergripande syftet med lagen. Övervägandena finns i 16.4.5.
Bestämmelsen tydliggör lagens tvådelade syfte, dvs. att dels ge ansvarig myndighet möjlighet att inom SPAR-verksamheten behandla personuppgifter på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som motsvarar 2 § SPAR-lagen, anges lagens förhållande till annan reglering. Övervägandena finns i avsnitt 16.4.3.
Första stycket upplyser om att lagens bestämmelser kompletterar
den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/ 18:95 s. 104).
Andra stycket, tydliggör lagens förhållande till lagen (2018:218)
med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 104 och 105).
Personuppgiftsansvar
4 § Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som delvis motsvarar 2 § förordningen (1998:1234) om det statliga personadressregistret (SPAR-förordningen) anges att den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen. Övervägandena finns i avsnitt 16.4.6.
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i dataskyddsförordningen. Att den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Ändamål
5 § Uppgifterna i SPAR får behandlas för att
1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamål), och
2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål).
I paragrafen, som i sak motsvarar 3 § SPAR-lagen anges för vilka ändamål uppgifter får behandlas i SPAR (jfr prop. 1997/98:136 s. 76). Ändringar är endast språkliga och redaktionella.
Övervägandena finns i avsnitt 16.4.4. Med kontrolländamål avses enligt första punkten att aktualisera, komplettera och kontrollera personuppgifter.
Med urvalsändamål avses enligt andra punkten att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet.
Registerinnehåll
6 § SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges:
1. namn,
2. person- eller samordningsnummer,
3. födelsetid,
4. adress,
5. folkbokföringsort och distrikt,
6. födelsehemort,
7. svenskt medborgarskap,
8. make eller vårdnadshavare,
9. avregistrering enligt 19–22 §§folkbokföringslagen, med angivande av tidpunkt,
10. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor,
11. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet),
12. taxeringsvärde för småhusenhet, 13. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer,
14. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,
15. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och
16. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik.
På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2.
Paragrafen reglerar vilka uppgifter som får behandlas i SPAR Ändringarna är endast språkliga och redaktionella. Övervägandena finns i avsnitt 16.4.3.
I första stycket som motsvarar 4 § första stycket SPAR-lagen, anges att SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Vidare begränsas i första stycket vilka uppgifter om personerna som SPAR får innehålla till bl.a. vissa folkbokföringsuppgifter, uppgifter om personer som har tilldelats samordningsnummer, samt uppgifter om inkomst och taxeringsvärde (jfr prop. 2021/22:276 s. 149 och 150).
Av andra stycket, som motsvarar 4 § andra stycket SPAR-lagen, framgår att på begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar enligt 5 § 2 för direktreklam (jfr prop. 1997/98:136 s. 77).
7 § Uppgifter som avses i 6 § första stycket 1–9 och 13–16 hämtas från
Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattningsverksamhet.
Paragrafen, som i sak motsvarar 5 § SPAR-lagen, innehåller bestämmelser om varifrån uppgifterna i SPAR hämtas (jfr prop. 2021/22:276 s. 150). Ändringarna är endast språkliga och redaktionella. Övervägandena finns i avsnitt 16.4.3.
Utlämnande av uppgifter
8 § En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning.
Paragrafen, som i sak motsvarar 6 § SPAR-lagen, klargör att enskilda ska hänvisas till SPAR vid begäran om utlämnande av personuppgif-
ter för kontrolländamål eller urvalsändamål, om inte annat följer av lag eller förordning, (jfr prop. 1997/98:136 s. 77). Ändringarna är endast språkliga och redaktionella. Övervägandena finns i avsnitt 16.4.3.
9 § Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR.
Paragrafen, som delvis motsvarar 7 § andra stycket SPAR-lagen, innehåller ett bemyndigande för regeringen att meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR (prop. 1997/ 98:136 s. 77 och 78). Till skillnad från 7 § andra stycket SPAR-lagen avser bestämmelsen inte enbart begränsningar av utlämnande av uppgifter som hämtats från folkbokföringsverksamheten. Övervägandena finns i avsnitten 16.4.3 och 16.4.11.
Sökbegrepp
10 § Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR.
Paragrafen, som motsvarar 8 § SPAR-lagen, innehåller ett bemyndigande för regeringen att meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR (jfr prop. 1997/98:136 s. 78). Övervägandena finns i avsnitt 16.4.3.
Begränsning av rätten att göra invändningar
11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.
I paragrafen finns bestämmelser som rätten att göra invändningar. Övervägandena finns i avsnitt 16.4.3.
Första stycket, som motsvarar 3 a § första stycket SPAR-lagen,
innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 105).
I andra stycket, som motsvarar 3 a § andra stycket SPAR-lagen, upplyses om den rätt för den registrerade att invända mot behandling av personuppgifter för direkt marknadsföring som finns i artikel 21.2 i dataskyddsförordningen. Den rätten gäller vid sådan behandling som omfattas av lagen (jfr prop. 2017/18:95 s. 105).
Längsta tid för behandling
12 § Uppgifter får inte behandlas i SPAR under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i SPAR-lagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter i SPAR. Övervägandena finns i avsnitt 16.4.8.
Bestämmelsen i första stycket innebär en skyldighet för den myndighet som regeringen utser att ansvara för SPAR att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på den personuppgiftsansvariga myndigheten att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att person-
uppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Anmälan om misstänkt oriktig uppgift
13 § Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR.
Paragrafen, som delvis motsvarar 14 § SPAR-förordningen, innehåller en skyldighet för den som i tjänsten har tagit del av en uppgift som är hämtad från SPAR att anmäla misstanke att uppgiften är oriktig till den myndighet som ansvarar för SPAR. Till skillnad från 14 § SPAR-förordningen anges inte Skatteverket i bestämmelsen. Övervägandena finns i avsnitt 16.4.7.
Bestämmelsen innebär att det föreligger en generell anmälningsskyldighet, för samtliga som nyttjar SPAR:s tjänster och avseende alla uppgifter som är hämtade från SPAR, att vid misstanke om att en uppgift är oriktig genast anmäla det till den myndighet som ansvarar för SPAR. Anmälningsskyldigheten inträder genast, dvs. så snart det uppstår misstanke om att en uppgift som är hämtad från SPAR är oriktig. Tröskeln för att skyldigheten att göra en anmälan är dessutom låg, det räcker att det finns en misstanke. Anmälningsskyldigheten innebär dock inte någon skyldighet att genomföra någon ytterligare utredning eller redovisa de förhållanden som misstanken grundar sig på.
20.6. Förslaget till lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter
Genom lagen upphävs lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, ÄrBu-lagen, och ersätts av en ny lag om dataskydd i Skatteverkets verksamhet med äktenskapsregister och bouppteckningar. Innehållet i lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter motsvarar till stora delar innehållet i ÄrBu-lagen. Anpassningen till övrig dataskyddsreglering
innebär dock att redaktionella och strukturella ändringar görs i förhållande till dagens reglering.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Paragrafen, som i sak motsvarar 1 § ÄrBu-lagen, anger det övergripande syftet med lagen (jfr prop. 2015/16:28 s. 69). Övervägandena finns i avsnitt 17.4.2.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Paragrafen, som i sak motsvarar 2 § första och andra styckena ÄrBulagen, anger lagens tillämpningsområde (jfr prop. 2015/16:28 s. 69 och 70). Till skillnad från ÄrBu-lagen kommer den nya lagen inte vara tillämplig vid behandling av uppgifter om avlidna. Övervägandena finns i avsnitten 17.4.2 och 17.4.3.
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som motsvarar 4 § ÄrBu-lagen, anges lagens förhållande till annan reglering. Övervägandena finns i avsnitt 17.4.2.
Första stycket upplyser om att lagens bestämmelser kompletterar
den reglering som finns i EU:s dataskyddsförordning (jfr prop. 2017/ 18:95 s. 120).
Andra stycket, tydliggör lagens förhållande till lagen (2018:218)
med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen (jfr prop. 2017/18:95 s. 120).
Personuppgiftsansvar
4 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som Skatteverket utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
I paragrafen, som i sak motsvarar 5 § ÄrBu-lagen, regleras att Skatteverket är personuppgiftsansvarig för den behandling som myndigheten utför enligt lagen och föreskrifter som har meddelats i anslutning till lagen (jfr prop. 2015/16:28 s. 71). Övervägandena finns i avsnitt 17.4.2.
En definition av begreppet personuppgiftsansvarig finns i artikel 4.7 i dataskyddsförordningen. Att Skatteverket är personuppgiftsansvarig innebär att myndigheten har en rad skyldigheter som måste uppfyllas enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).
Ändamål
5 § Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §.
I paragrafen, som motsvarar 6 § första stycket ÄrBu-lagen, anges för vilka primära ändamål Skatteverket får behandla personuppgifter enligt lagen (jfr prop. 2015/16:28 s. 71). Övervägandena finns i avsnitt 17.4.4.
6 § Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen, som motsvarar 6 § andra stycket första meningen ÄrBulagen är en s.k. sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 5 § (jfr prop. 2015/16:28 s.71). Övervägandena finns i avsnitt 17.4.4.
7 § Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Paragrafen, som motsvarar 6 § andra stycket andra meningen ÄrBulagen, innehåller en bestämmelse om den s.k. finalitetsprincipen i dataskyddsförordningen (jfr prop. 2017/18:95 s. 120). Övervägandena finns i avsnitt 17.4.4.
Känsliga personuppgifter
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen, som delvis motsvarar 7 § ÄrBu-lagen, reglerar möjligheten till behandling av känsliga personuppgifter (jfr prop. 2017/18:95 s. 120). Till skillnad från 7 § ÄrBu-lagen är bestämmelsen inte avgränsad till behandling av sådana personuppgifter i en handling som har lämnats eller upprättats i ett ärende. Övervägandena finns i avsnitt 17.4.5.
Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i dataskyddsförordningen. Den ersätter den generella bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, vilken annars gäller där sektorspecifik reglering saknas (prop. 2017/18:105 s. 91). Bestämmelsen ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen.
De kategorier av personuppgifter som får behandlas med stöd av den nya bestämmelsen är de som avses i artikel 9.1 i dataskyddsförordningen, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I artikel 4.13 och 4.14 i dataskyddsförordningen finns definitioner av genetiska och biometriska uppgifter. I artikel 4.15 i dataskyddsförordningen definieras uppgifter om hälsa.
Skatteverket får enligt bestämmelsen behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig (jfr prop. 2017/18:105 s. 194). Behandlingen måste dock alltid kunna motiveras på grundval av de uppgifter Skatteverket har att utföra inom äktenskapsregister-och bouppteckningsverksamheterna. Ett behov av att behandla känsliga personuppgifter kan uppstå om handlingar som Skatteverket ska registrera innehåller känsliga uppgifter rörande t.ex. etnicitet och hälsa (prop. 2015/16:28 s. 39). I kravet på nödvändighet ligger även att känsliga personuppgifter inte får behandlas om syftet med behandlingen kan uppnås genom andra medel, t.ex. genom att anonymisera uppgifterna eller att i stället behandla andra typer av uppgifter.
Sökbegränsningar
9 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
Paragrafen, som delvis motsvarar 8 § ÄrBu-lagen, reglerar sökbegränsningar avseende känsliga personuppgifter (jfr prop. 2015/16:28 s. 72). Till skillnad från 8 § ÄrBu-lagen utgår bestämmelsen från syftet med en sökning. Övervägandena finns i 17.4.6.
Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Definitionen av känsliga personuppgifter finns i 8 §, som hänvisar till artikel 9.1 i EU:s dataskyddsförordning. Bestämmelsen innebär att Skatteverket inte får utföra sökningar i syfte att få fram ett urval av personer som t.ex. har en viss etnisk bakgrund. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Bestämmelsen hindrar därmed inte sökningar som görs t.ex. för att utöva tillsyn, ta fram verksamhetsstatistik, för registervård eller för att söka efter ett namn (prop. 2017/18:105 s. 91 och prop. 2022/23:34 s. 208). Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.
I andra stycket anges att förbudet inte omfattar sökningar som sker i en viss handling eller i ett visst ärende. Den enskilde medarbetaren vid Skatteverkets äktenskapsregister- och bouppteckningsverksamheter kan alltså göra sökningar på känsliga personuppgifter i en viss handling eller i ett visst enskilt ärende.
Tillgång till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
I paragrafen, som inte har någon motsvarighet i ÄrBu-lagen, finns en bestämmelse om den interna tillgången till personuppgifter i Skatteverkets verksamhet. Övervägandena finns i avsnitt 17.4.7.
Första stycket innebär att Skatteverket ska begränsa tillgången till
personuppgifter till vad var och en behöver för att kunna fullgöra
sina arbetsuppgifter. Myndigheten har härigenom ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas inom verksamheterna. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. En medarbetare vid myndigheten får därmed ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter.
Enligt andra stycket ska Skatteverket kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Skatteverket av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det är dock upp till Skatteverket att bestämma de närmare formerna för kontrollen.
Elektroniskt utlämnande av personuppgifter
11 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen, som delvis motsvarar 9 § ÄrBu-lagen, reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter (jfr prop. 2015/16:28 s. 72). Till skillnad från 9 § ÄrBu-lagen avser bestämmelsen alla former av elektroniskt utlämnande. Övervägandena finns i avsnitt 17.4.8.
Av första stycket framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst, varmed avses att en mottagare har
direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61), som annat elektroniskt utlämnande, varmed avses bl.a. utlämnande genom e-post eller direkt överföring från ett datorsystem till ett annat.
Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av eventuella bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Elektroniskt utlämnande på andra sätt än genom direktåtkomst till andra offentliga aktörer bör som utgångspunkt anses vara lämpligt. Vid utlämnande genom direktåtkomst är större restriktivitet påkallad och bedömningen bör innefatta en noggrann prövning av vilka särskilda integritetsrisker ett sådant elektroniskt utlämnande kan innebära.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
12 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Paragrafen, som inte som inte har någon motsvarighet i ÄrBu-lagen, innehåller en huvudregel om längsta tid för behandling av personuppgifter vid Skatteverket. Övervägandena finns i avsnitt 17.4.9.
Bestämmelsen i första stycket innebär en skyldighet för Skatteverket att upphöra med behandlingen av personuppgifter så snart personuppgifterna inte längre behövs med hänsyn till det ändamål för vilket de behandlas. Det innebär att personuppgifterna ska tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Bestämmelsen ställer krav på Skatteverket att kunna motivera fortsatt behandling av personuppgifter, t.ex. inför en tillsynsmyndighet. Om uppgiften behandlas för flera olika ändamål, får den dock fortsätta att behandlas för de andra ändamålen om behovet av behandling kvarstår för dessa. Bestämmelsen motsvarar principen om
lagringsminimering, artikel 5.1 e i dataskyddsförordningen, och utgör inte något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens (1990:782) bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål av allmänt intresse.
I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. Sådana tidsfrister ska inte medföra avsteg från det krav som följer av den generella bestämmelsen i första stycket om att personuppgifter inte får behandlas under längre tid än vad som behövs med hänsyn till ändamålet.
Begränsning av rätten att göra invändningar
13 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen.
Paragrafen, som motsvarar 10 § ÄrBu-lagen, innebär ett undantag från den rätt för registrerade att göra invändningar mot behandlingen av personuppgifter som regleras i artikel 21.1 i EU:s dataskyddsförordning (jfr prop. 2017/18:95 s. 120 och 121). Övervägandena finns i avsnitt 17.4.2.
20.7. Förslaget till lag om ändring i kreditupplysningslagen (1973:1173)
8 § En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen.
En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhållande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes.
En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F-skuldsanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut.
En uppgift som har inhämtats från Kronofogdemyndigheten i dess verksamhet med indrivning och utsökning ska gallras när den inte omfattas av undantaget från sekretess i 34 kap. 1 § andra stycket offentlighets- och sekretesslagen (2009:400). En uppgift som har inhämtats från Kronofogdemyndigheten ska också gallras när den har blockerats av Kronofogdemyndigheten med stöd av 18 § kronofogdedatalagen (0000:00).
Bestämmelsen reglerar gallring av uppgifter i kreditupplysningsverksamhet. Övervägandena finns i avsnitt 6.3.
Ändringen av fjärde stycket föranleds av förslaget om att lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska upphävas och ersättas av kronofogdedatalagen (0000:00). Någon ändring i sak är inte avsedd.
1. Denna lag träder i kraft den 1 januari 2026.
2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Ikraftträdande- och övergångsbestämmelser
Enligt punkten 1 träder lagen i kraft den 1 januari 2026.
Enligt punkten 2 gäller äldre bestämmelser i fråga om uppgifter som har blockerats av Kronofogdemyndigheten med stöd av den nuvarande 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet efter ikraftträdandet den 1 januari 2026. Det innebär att sådana uppgifter ska gallras enligt den tidigare lydelsen av 8 § fjärde stycket kreditupplysningslagen.
Övervägandena finns i kapitel 18.
20.8. Förslaget till lag om ändring i folkbokföringslagen (1991:481)
1 §
Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras
enligt 1 a §.
Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd.
Skatteverket ansvarar för folkbokföring och sådan registrering som avses
i andra stycket.
Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer.
Paragrafens första stycke innehåller en definition av begreppet folkbokföring. Folkbokföring innebär fastställande av en persons bosättning och registrering av de uppgifter om personen som får registreras om honom eller henne enligt 1 a §. Ändringen utgör en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs, och att de uppgifter som får registreras om en person vid folkbokföring i stället anges i folkbokföringslagen.
Ändringen i tredje stycket avser att tydliggöra att Skatteverket ansvarar för den registrering som ska ske enligt lagen.
Övervägandena finns i avsnitten 9.4.5 och 9.4.6.
1 a §
Skatteverket får registrera följande uppgifter om en person:
1. personnummer,
2. samordningsnummer,
3. namn,
4. födelsetid,
5. födelsehemort,
6. födelseort och födelseland,
7. adress,
8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt,
9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt,
12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering enligt 19–22 §§, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och
17. uppehållsrätt.
I paragrafen, som är ny, anges de uppgifter om en person som Skatteverket får registrera om honom eller henne vid folkbokföring. Övervägandena finns i avsnitt 9.4.5.
Uppräkningen i bestämmelsen motsvarar, med vissa redaktionella ändringar, de uppgifter om en person som enligt 2 kap. 3 § första stycket lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får behandlas i folkbokföringsdatabasen och som är relevanta vid folkbokföring. I bestämmelsens
punkt 6 har även ett förtydligande tillägg gjorts avseende vad som
avses med födelseort. Med födelseort avses även land för en person som inte är född i Sverige vilket genom förtydligandet uttryckligen framgår av punkt 6 (jfr prop. 1990/91:53 s. 40).
Bestämmelsen syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla. Att en uppgift inte anges i bestämmelsen innebär följaktligen inte att Skatteverket är förhindrat att behandla den uppgiften om behandlingen är nödvändig för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i bestämmelsen innebär endast att det inte är en sådan uppgift om en person som, om det är relevant, registreras om honom eller henne i samband med folkbokföring. Det innebär exempelvis att Skatteverket inte är förhindrat att fortsättningsvis behandla uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495). Skatteverket är vidare inte förhindrat att fortsättningsvis behandla uppgifter om anmälan enligt 5 kap. 2 § vallagen (2005:837).
26 c §
Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.
När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
Paragrafen innehåller bestämmelser om kontroll av bl.a. biometriska uppgifter i handlingar.
I det nya andra stycket har införts en ny bestämmelse om att när en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Bestämmelsen motsvarar 1 kap. 7 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och har överförts med endast redaktionella ändringar (jfr prop. 2021/22:276 s. 152).
Övervägandena finns i 9.4.6.
28 §
En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter:
1. namn och person- eller samordningsnummer,
2. datum för ändring av bostads- eller postadress,
3. ny bostads- och postadress samt beräknad giltighetstid,
4. registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och
5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser.
En anmälan enligt 26 § första stycket ska dessutom innehålla
1. uppgift om födelsetid och medborgarskap,
2. uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet,
3. uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och
4. övriga uppgifter som får registreras enligt 1 a §.
Paragrafens innehåller bestämmelser om vilka uppgifter en anmälan enligt 25 eller 26 §§ ska innehålla.
Ändringen i andra stycket punkt 4 är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter om en person som får registreras om honom eller henne vid folkbokföring i stället anges i 1 a §. Övervägandena finns i avsnitt 9.4.6.
31 §
Skatteverket får förelägga en person som kan antas vara skyldig att göra en anmälan enligt denna lag, att antingen göra en sådan anmälan eller lämna de uppgifter eller visa upp de handlingar som behövs för att fullgöra anmälnings-
skyldigheten. Skatteverket får även i annat fall förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av bosättningen enligt denna lag eller för kontroll eller komplettering av andra uppgifter om en person som får registreras enligt 1 a §. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp.
Paragrafen innehåller bestämmelser om Skatteverkets möjligheter att besluta om föreläggande om att göra anmälan eller lämna uppgifter m.m. för att fullgöra en anmälningsskyldighet.
Ändringen i paragrafens andra mening är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter om en person som får registreras om honom eller henne vid folkbokföring i stället anges i 1 a §. Övervägandena finns i avsnitt 9.4.6.
20.9. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
17 kap.
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i vissa verksamheter
1 a §
Sekretess gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör
1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) eller 2 § folkbokföringsdatalagen (0000:00) ,
2. Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00) , eller
3. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) . Sekretessen gäller även i verksamhet som avses i första stycket 3 för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.
Paragrafen reglerar sekretess för vissa uppgifter som hänför sig till dataanalyser och urval i syfte att skydda allmänna intressen. Paragrafen har ändrats så att den avser ytterligare verksamheter än Skatteverkets folkbokföringsverksamhet. Övervägandena finns i avsnitt 15.4.
I första stycket har ändringar gjorts som innebär att sekretessen gäller för uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) eller 2 § folkbokföringsdatalagen (0000:00), Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00). De uppgifter som omfattas av paragrafen är t.ex. uppgifter om vilka riskfaktorer som en myndighet har tagit fram för att identifiera misstänkta felaktigheter i verksamheterna. Andra uppgifter som kan omfattas av sekretess är t.ex. hur dataanalyserna och urvalsmodellerna har utformats eller utvecklats.
Sekretessen gäller om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs. Sekretessbestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för offentlighet. Det avgörande för om sekretess föreligger är därmed om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det allmännas syfte med sådana dataanalyser och urval som här avses. Mot bakgrund av de aktuella uppgifternas karaktär kan det ofta antas att myndigheternas möjligheter att förebygga, förhindra och upptäcka fel kommer att motverkas om uppgifterna blir offentliga.
Andra stycket, som är nytt, innebär att sekretessen enligt första
stycket även gäller i verksamhet som avses i första stycket 3 för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Den avser därmed sådana analyser och urval som görs för att motverka överskuldsättning i Kronofogdemyndighetens verksamhet.
Behovet av att sekretessbelägga uppgifter om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval finns så länge myndigheterna har ett behov av att använda sådana i berörda verksamheter. Sekretessen hindrar alltså endast att uppgifterna lämnas ut så länge de används. Efter denna tidpunkt upphör sekretessen, vilket innebär att uppgifterna ska lämnas ut på begäran.
22 kap.
1 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och
upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhål-
landen.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Paragrafen innehåller bestämmelser om sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden som hänför sig till Skatteverkets dataanalyser och urval inom folkbokföringsverksamheten. Övervägandena finns i avsnitt 15.3.
Enligt första stycket gäller sekretess vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Stycket har ändrats till följd av de nya bestämmelserna om dataanalyser och urval som föreslås gälla i Skatteverkets folkbokföringsverksamhet enligt folkbokföringsdatalagen. Ändringarna innebär att sekretessen inte längre knyts till en viss databas mot bakgrund av att den nuvarande lagen (2001:182) om behandling av uppgifter i Skatteverkets folkbokföringsverksamhet upphör att gälla genom den nya folkbokföringsdatalagen.
Bestämmelsen, som endast är tillämplig i Skatteverkets folkbokföringsverksamhet, innebär att det råder absolut sekretess för samtliga uppgifter om en enskilds personliga eller ekonomiska förhållanden i den aktuella verksamheten.
1 b §
Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt.
Sekretessen gäller inte för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap).
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Paragrafen, som är ny, reglerar sekretess för vissa uppgifter i sammanställningar inom Skatteverkets folkbokföringsverksamhet. Övervägandena finns i avsnitt 15.2.
Första stycket innebär att absolut sekretess gäller i Skatteverkets
verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Bestämmelsen är därmed tillämplig i Skatteverkets folkbokföringsverksamhet. Sekretessens föremål är utformat efter vilka uppgifter som omfattas av det nuvarande sökförbudet i 2 kap. 10 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet vilka inte har någon motsvarighet i folkbokföringsdatalagen. Ett uttryckligt tillägg har gjorts avseende uppgift om födelseland i förhållande till vad som anges i det nuvarande sökförbudet. Vidare anges endast uppgift om uppehållsrätt, till skillnad från uppehållsrätt för en person som är folkbokförd vilket i dag anges i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
I dag är de aktuella sammanställningarna inte allmänna handlingar på grund av sökbegränsningarna. För att i princip uppnå samma skydd när sammanställningarna kan bli allmänna föreskrivs absolut sekretess.
Enligt sekretessbestämmelsen räcker det att någon av de uppräknade uppgifterna är en uppgift bland flera andra som har använts för att göra sammanställningen tillgänglig genom t.ex. en sökning för att sammanställningen i sin helhet ska omfattas av sekretess. Om ingen av de uppräknade uppgifterna används när sammanställningen görs kommer den dock inte att omfattas av sekretessbestämmelsen. Regleringen innebär även att eventuella redan befintliga sammanställningar som har grundats på aktuella uppgifter kommer att omfattas av sekretess. Däremot omfattar sekretessbestämmelsen inte enskilda uppgifter om exempelvis en viss persons födelseort i ett ärende. I ett sådant fall får en prövning i stället göras enligt andra redan befintliga sekretessbestämmelser i offentlighets- och sekretesslagen (2009:400) som kan tillämpas på uppgifterna.
I andra stycket föreskrivs ett undantag från den sekretess som anges i första stycket. Enligt undantaget gäller inte sekretessen för uppgift som ingår i en sådan sammanställning som avses i första stycket
om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). De uppgifter som omfattas av undantaget är sådana som inte heller i dag omfattas av sökförbudet i 2 kap. 10 § lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Det hänför sig till att uppgifterna behövs för bl.a. framställning av röstlängder och för avisering till vissa myndigheter.
Tredje stycket innebär att för uppgift i en allmän handling gäller
sekretessen i högst sjuttio år.
6 §
Den tystnadsplikt som följer av 1 § första stycket och 1 a–2 §§ inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
I paragrafen finns bestämmelser om rätten att meddela och offentliggöra uppgifter. Övervägandena finns i avsnitten 15.2.3 och 15.3.3.
Ändringen i paragrafen är en följd av ändringarna av 1 a § och den nya bestämmelsen i 1 b §. Den innebär att tystnadsplikten som följer av de bestämmelserna inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
27 kap.
1 §
Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Sekretess gäller vidare
1. vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatte-
verket använder i verksamhet som avses i 2 § beskattningsdatalagen (0000:00)
för uppgift om en enskilds personliga eller ekonomiska förhållanden,
2. hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och
3. hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift.
Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, rapporteringsavgift, plattformsavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst.
Första och andra styckena gäller inte om annat följer av 3, 4 eller 6 §.
Andra stycket 1 gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket.
För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år.
I paragrafen finns bestämmelser om sekretess till skydd för enskild inom verksamhet som avser bestämmande av skatt, m.m., s.k. skattesekretess. Ändringarna innebär att sekretessen i 1 § andra stycket 1 inte längre knyts till en viss databas mot bakgrund av att den nuvarande lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet upphör att gälla genom den nya beskattningsdatalagen (0000:00). Övervägandena finns i avsnitt 15.5.
Ändringarna i andra stycket första punkten avser den s.k. databassekretessen. Den ändrade lydelsen innebär att absolut sekretess ska gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Avsikten är att motsvarande sekretess som i dag gäller vid förande av eller uttag ur beskattningsdatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som i dag behandlas i databasen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Skatteverket även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Skatteverket, så länge de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Avsikten är vidare
att den primära sekretess som i dag gäller vid Skatteverket genom bestämmelsen om databassekretess fortsatt ska gälla.
Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer avgränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Skatteverkets verksamhet till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en automatiserad uppgiftssamling som Skatteverket använder i verksamhet som avses i 2 § beskattningsdatalagen tydliggör att den ändrade sekretessbestämmelsen ges samma räckvidd som den nu gällande bestämmelsen om databassekretess. Sekretessen omfattar alltså inte automatiserade uppgiftssamlingar som har tagits fram av enskilda medarbetare och som normalt endast är åtkomliga för den enskilde medarbetaren och t.ex. systemadministratörer vid myndigheten. Sekretessbestämmelsen omfattar i stället större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Den gäller därmed inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lagringsutrymme på en server eller i en dator, eller för en mindre arbetsgrupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument. Det är Skatteverket som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten.
Genom uttryckssättet ”för verksamhet som avses i 2 § beskattningsdatalagen” tydliggörs att sekretessen gäller i samma verksamhet som i dag. Formuleringen innebär vidare att även uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer omfattas av sekretessbestämmelsen på samma sätt som gäller i dag.
I fjärde stycket föreskrivs ett nytt undantag från sekretessen i 1 § andra stycket 1. Undantaget innebär att sekretessen inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket. Sekretessen ska alltså inte tillämpas när en uppgift används i en annan del av Skatteverkets verksamhet, dvs. i verksamhet som avser ärendehantering och som omfattas av sekretessbestämmelser med skaderekvisit som avviker från den absoluta sekretessen i den aktuella sekretessbestämmelsen. Det rör t.ex. Skatteverkets handläggning av ärenden enligt lagen (2013:948) om stöd vid
korttidsarbete i vilka uppgifter omfattas av sekretess med ett s.k. rakt skaderekvisit (28 kap. 12 §). Bestämmelsen innebär vidare att eventuella undantag från den primära sekretessen i sekretessregler som ska tillämpas i verksamhet med ärendehandläggning, såsom t.ex. undantaget i 28 kap. 12 § andra stycket, kan tillämpas trots sekretessen i 27 kap. 1 § andra stycket 1.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § är tillämplig i ett ärende, då gäller ändå sekretessen enligt 27 kap. 1 § andra stycket 1 i tillämpliga fall vilken föreskriver starkare sekretess som de aktuella bestämmelserna i 21 kap.
Undantaget innebär en lagreglering av det som redan får anses gälla enligt förarbetsuttalanden i andra lagstiftningsärenden (se t.ex. prop. 2006/07:99 s. 34–36 och prop. 2022/23:107 s. 33).
2 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Paragrafen är ny och reglerar sekretess i verksamhet med dataanalyser och urval i Skatteverkets beskattningsverksamhet. Övervägandena finns i avsnitt 15.3.
Enligt första stycket gäller sekretess vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen innebär att det råder absolut sekretess för uppgifterna i den aktuella verksamheten.
Andra stycket innehåller en bestämmelse om att sekretessen gäller
i högst tjugo år för uppgift i en allmän handling.
3 §
Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.
Motsvarande sekretess gäller vid förande av eller uttag ur en auto-
matiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift som finns i den uppgiftssamlingen.
Första och andra styckena gäller inte om annat följer av 6 §. Andra stycket
gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
I paragrafen finns bestämmelser om sekretess till skydd för enskild inom verksamhet som rör tull m.m. hos Tullverket. Ändringarna innebär att sekretessen enligt 3 § andra stycket inte längre knyts till en viss databas mot bakgrund av att den nuvarande lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet upphör att gälla genom den nya tulldatalagen (0000:00). Övervägandena finns i avsnitt 15.5.
Ändringarna i andra stycket avser den s.k. databassekretessen. Den ändrade lydelsen innebär att motsvarande sekretess som anges i första stycket ska gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen för uppgift som finns i den uppgiftssamlingen.
Avsikten är att motsvarande sekretess som i dag gäller vid förande av eller uttag ur tulldatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som i dag behandlas i databasen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Tullverket även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Tullverket, så länge de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Avsikten är vidare att den primära sekretess som i dag gäller vid Tullverket genom bestämmelsen om databassekretess fortsatt ska gälla.
Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer avgränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Tullverkets verksamhet
till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en automatiserad uppgiftssamling som Tullverket använder i verksamhet som avses i 2 § tulldatalagen tydliggör att den ändrade sekretessbestämmelsen ges samma räckvidd som den nu gällande bestämmelsen om databassekretess. Sekretessen omfattar alltså inte automatiserade uppgiftssamlingar som har tagits fram av enskilda medarbetare och som normalt endast är åtkomliga för den enskilde medarbetaren och t.ex. systemadministratörer vid myndigheten. Sekretessbestämmelsen omfattar i stället större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Den gäller därmed inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lagringsutrymme på en server eller i en dator, eller för en mindre arbetsgrupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument. Det är Tullverket som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten.
Genom uttryckssättet ”för verksamhet som avses i 2 § tulldatalagen” tydliggörs att sekretessen gäller i samma verksamhet som i dag. Formuleringen innebär vidare att även uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer omfattas av sekretessbestämmelsen på samma sätt som gäller i dag.
I tredje stycket föreskrivs ett nytt undantag från sekretessen i 27 kap. 3 § andra stycket. Undantaget innebär att sekretessen inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket. Sekretessen ska alltså inte tilllämpas när en uppgift används i en annan del av Tullverkets verksamhet, dvs. i verksamhet som avser ärendehantering och som omfattas av sekretessbestämmelser med skaderekvisit som avviker från sekretessen i den aktuella sekretessbestämmelsen. Bestämmelsen innebär vidare att eventuella undantag från den primära sekretessen i sekretessregler som ska tillämpas i verksamhet med ärendehandläggning kan tillämpas trots sekretessen i 27 kap. 3 § andra stycket.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § är tillämplig i ett ärende, då gäller ändå sekretessen enligt 27 kap. 3 § andra stycket
i tillämpliga fall vilken föreskriver starkare eller lika stark sekretess som de aktuella bestämmelserna i 21 kap.
Undantaget innebär en lagreglering av det som redan får anses gälla enligt förarbetsuttalanden i andra lagstiftningsärenden (se t.ex. prop. 2006/07:99 s. 34–36 och prop. 2022/23:107 s. 33).
3 a §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som omfattas av 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Paragrafen är ny och reglerar sekretess i verksamhet med dataanalyser och urval i Tullverkets verksamhet. Övervägandena finns i avsnitt 15.3.
Enligt första stycket gäller sekretess i verksamhet med dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen innebär att det råder absolut sekretess för uppgifterna i den aktuella verksamheten.
Andra stycket innehåller en bestämmelse om att sekretessen gäller
i högst tjugo år för uppgift i en allmän handling.
4 §
Sekretessen enligt 1, 2 och 3 §§ gäller för uppgift i mål hos domstol, om det kan antas att den enskilde lider skada eller men om uppgiften röjs. Detsamma gäller uppgift som med anledning av ett överklagande hos domstol registreras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 eller
4. Får en domstol i ett mål från en annan myndighet en sekretessreglerad uppgift och saknar uppgiften betydelse i målet, blir dock sekretessbestämmelsen tillämplig på uppgiften även hos domstolen.
I paragrafen finns sekretessregler som gäller uppgifter i mål hos domstol. Övervägandena finns i avsnitt 15.3.4.
Ändringen är föranledd av att nya paragrafer förs in i 2 a och 3 a §§ och innebär att de nya sekretessreglerna inte kommer att omfattas
av bestämmelsen i 4 §. Den innebär ingen materiell förändring mot vad som gäller i dag.
7 §
Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i
1. lag om förfarande vid beskattning,
2. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider vid energi-
produktion,
3. förordningen ( 0000:00 ) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller
4. förordningen (0000:00) om utlämnande av uppgifter från Tullverket.
Paragrafen innehåller en sekretessbrytande bestämmelse. Ändringarna innebär inte några materiella förändringar mot vad som gäller i dag. Övervägandena finns i avsnitten 13.5.2 och 13.7.2.
Andra punkten har ändrats så att den hänvisar till lagen (1990:613)
om miljöavgift på utsläpp av kväveoxider vid energiproduktion. Detta angavs tidigare i punkt 3. Ändringen medför ingen materiell förändring utan görs för att de förordningar som paragrafen hänvisar till ska anges i kronologisk ordning.
I tredje punkten ändras hänvisningen till den föreslagna förordningen (0000:00) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet.
I fjärde punkten ändras hänvisningen till den föreslagna förordningen (0000:00) om utlämnande av uppgifter från Tullverket.
8 §
Sekretessen enligt 1, 2, 3 och 4 §§ hindrar inte att uppgift i ärende om revision lämnas till en förvaltare i den enskildes konkurs.
Sekretessen enligt 2, 3 och 4 §§ hindrar inte att uppgift i ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter lämnas till en förvaltare i den enskildes konkurs.
Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen.
I paragrafen finns sekretessbrytande bestämmelser som gäller uppgift i ärende om revision eller ärende enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter. Övervägandena finns i avsnitt 15.3.4.
Ändringarna i första och andra styckena är föranledda av att nya paragrafer förs in i 2 a och 3 a §§ och innebär att de nya sekretessreglerna inte kommer att omfattas av bestämmelsen i 8 §. Den innebär ingen materiell förändring mot vad som gäller i dag.
10 §
Den tystnadsplikt som följer av 1 §, 2 § första stycket, och 2 a–5 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 8 § tredje stycket inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och
offentliggöra uppgifter.I paragrafen finns bestämmelser om rätten att meddela och offentliggöra uppgifter. Övervägandena finns i avsnitt 15.3.3.
Ändringen i paragrafen är en följd av de nya bestämmelserna i 2 a och 3 a §§. Den innebär att tystnadsplikten som följer av de bestämmelserna inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
34 kap.
Uppgifter i automatiserade uppgiftssamlingar
2 §
Under motsvarande förutsättningar som i 1 § gäller sekretess vid förande av eller uttag ur en automatiserad uppgiftssamling som Kronofogdemyndigheten
använder i verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen (0000:00) för
uppgift om en enskilds personliga eller ekonomiska förhållanden.
Första stycket gäller inte om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
I paragrafen finns bestämmelser om sekretess till skydd för enskild i verksamhet med utsökning och indrivning och ansökan om och tillsyn över näringsförbud hos Kronofogdemyndigheten. Ändringarna innebär att sekretessen inte längre knyts till en viss databas mot bakgrund av att den nuvarande lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet upphör att gälla genom den nya kronofogdedatalagen (0000:00). Övervägandena finns i avsnitt 15.5.
Ändringarna i första stycket avser den s.k. databassekretessen. Den ändrade lydelsen innebär att under motsvarande förutsättningar som i 1 § ska sekretess gälla vid förande av eller uttag ur en automatiserad uppgiftssamling som Kronofogdemyndigheten använder i verksamhet med utsökning och indrivning och ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Avsikten är att motsvarande sekretess som i dag gäller vid förande av eller uttag ur utsöknings- och indrivningsdatabasen fortsatt ska gälla vid andra myndigheters direktåtkomst till sådana uppgifter som i dag behandlas i databasen. Den ändrade formuleringen innebär alltså att den sekretess som gäller hos Kronofogdemyndigheten även fortsättningsvis blir tillämplig också hos myndigheter som har direktåtkomst till uppgifter som behandlas automatiserat hos Kronofogdemyndigheten, så länge de anslutna myndigheterna inte tar ut uppgifter och använder dessa i sina egna verksamheter på något sätt. Då blir sekretessbestämmelserna för dessa verksamheter i stället tillämpliga. Avsikten är vidare att den primära sekretess som i dag gäller vid Kronofogdemyndigheten genom bestämmelsen om databassekretess fortsatt ska gälla.
Med automatiserad uppgiftssamling avses register som helt eller delvis företas på automatisk väg eller en i teknisk mening mer avgränsad databas eller uppgiftssamling i vilken uppgifter behandlas automatiserat och som avser en viss del av Kronofogdemyndighetens verksamhet till vilken andra myndigheter kan ha direktåtkomst. Lydelsen en automatiserad uppgiftssamling som Kronofogdemyndigheten använder i verksamhet som avses i 2 § kronofogdedatalagen tydliggör att den ändrade sekretessbestämmelsen ges samma räckvidd som den nu gällande bestämmelsen om databassekretess. Sekretessen omfattar alltså inte automatiserade uppgiftssamlingar som har tagits fram av enskilda medarbetare och som normalt endast är åtkomliga för
den enskilde medarbetaren och t.ex. systemadministratörer vid myndigheten. Sekretessbestämmelsen omfattar i stället större strukturerade och systematiserade automatiserade uppgiftssamlingar vid myndigheten, som det också kan bli aktuellt att ge andra myndigheter direktåtkomst till. Den gäller därmed inte tillfälliga uppgiftssamlingar som endast finns tillgängliga för en medarbetare på dennes enskilda lagringsutrymme på en server eller i en dator, eller för en mindre arbetsgrupp i samband med att gruppen hanterar vissa uppgifter vid arbete med t.ex. ordbehandling för framtagande av dokument. Det är Kronofogdemyndigheten som myndighet som ska ha tagit fram en viss uppgiftssamling för användning i den aktuella verksamheten.
Genom uttryckssättet ”för verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud som avses i 2 § kronofogdedatalagen” tydliggörs att sekretessen gäller i samma verksamhet som i dag. Formuleringen innebär vidare att även uppgifter om juridiska personer och i förekommande fall uppgifter om avlidna personer omfattas av sekretessbestämmelsen på samma sätt som gäller i dag. Med utsökning och indrivning avses i den ändrade sekretessregeln samma verksamhet som i dag omfattas av databassekretessen i utsöknings- och indrivningsdatabasen, vilken i sig har en koppling till den sekretess som gäller enligt 34 kap. 1 § första stycket. Vidare ska sekretessen motsvara Kronofogdemyndighetens verksamhet med utsökning och indrivning såsom det anges i den föreslagna bestämmelsen i 2 § första stycket kronofogdedatalagen. Sekretessen ska även uttryckligen gälla i myndighetens verksamhet med ansökan om och tillsyn över näringsförbud för att det inte ska ske några förändringar av sekretessen i sak. Den föreslagna bestämmelsen i 2 § kronofogdedatalagen är i sin tur inte avsedd att omfatta någon annan verksamhet än vad som anges i 1 kap. 1 § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet i dag.
I andra stycket föreskrivs ett nytt undantag från sekretessen i 34 kap. 2 §. Undantaget innebär att sekretessen inte gäller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten. Sekretessen ska alltså inte tillämpas när en uppgift används i en annan del av Kronofogdemyndighetens verksamhet, dvs. i verksamhet som avser ärendehantering och som omfattas av sekretessbestämmelser med skaderekvisit som avviker från sekretessen i den aktuella sekretessbestämmelsen. Bestämmelsen
innebär vidare att eventuella undantag från den primära sekretessen i sekretessregler som ska tillämpas i verksamhet med ärendehandläggning kan tillämpas trots sekretessen i 34 kap. 2 § första stycket.
Hänvisningen till vissa bestämmelser om primär sekretess i 21 kap. innebär att om t.ex. sekretessbestämmelsen i 21 kap. 1 § är tillämplig i ett ärende, då gäller ändå sekretessen enligt 34 kap. 2 § i tillämpliga fall vilken föreskriver starkare eller lika stark sekretess som de aktuella bestämmelserna i 21 kap.
Undantaget innebär en lagreglering av det som redan får anses gälla enligt förarbetsuttalanden i andra lagstiftningsärenden (se t.ex. prop. 2006/07:99 s. 34–36 och prop. 2022/23:107 s. 33).
3 §
Uppgift som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 18 § kronofogdedatalagen (0000:00)omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
I paragrafen regleras sekretess för vissa uppgifter som Kronofogdemyndigheten har beslutat att blockera. Övervägandena finns i avsnitt 6.2.
Ändringarna i första stycket är föranledda av att lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet upphävs, av våra föreslagna ändringar av sekretessbestämmelsen i 34 kap. 2 § och av att en ny paragraf om rättelse föreslås i 18 § kronofogdedatalagen vilken ersätter nuvarande 3 kap. 3 a § lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Bestämmelsen motsvarar den befintliga bestämmelsen om sekretess (jfr prop. 2007/08:116 s. 30).
4 §
Sekretess gäller, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 och 10 b §§ för sådan uppgift om en en-
skilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet.
Om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
I paragrafen finns sekretessregler som gäller uppgifter i hänförliga till internationella avtal. Övervägandena finns i avsnitt 15.3.4.
Ändringen är föranledd av att en ny paragraf förs in i 10 b § och innebär att den nya sekretessregeln kommer att omfattas av bestämmelsen i 4 §.
Dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel m.m. i Kronofogdemyndighetens verksamhet
10 b §
Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel samt motverka överskuldsättning i Kronofogdemyndighetens verksamhet som omfattas av 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden.
För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
Paragrafen är ny och reglerar sekretess i verksamhet som avser dataanalyser och urval i Kronofogdemyndighetens verksamhet. Övervägandena finns i avsnitten 15.3.1 och 15.3.2.
Enligt första stycket gäller sekretess i verksamhet som avser dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel samt motverka överskuldsättning i Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen innebär att det råder absolut sekretess för uppgifterna i den aktuella verksamheten.
Andra stycket innehåller en bestämmelse om att sekretessen gäller
i högst tjugo år för uppgift i en allmän handling. I de fall uppgiften avser en enskilds personliga förhållanden gäller dock sekretessen för uppgift i en allmän handling i högst femtio år.
11 §
Den tystnadsplikt som följer av 4 § och 10 b § och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 5 § andra stycket inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.
1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
I paragrafen finns bestämmelser om rätten att meddela och offentliggöra uppgifter. Övervägandena finns i avsnitt 15.3.3.
Ändringen i paragrafen är en följd av den nya bestämmelsen i 10 b §. Den innebär att tystnadsplikten som följer av de bestämmelserna inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
1. Denna lag träder i kraft den 1 januari 2026.
2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Ikraftträdande- och övergångsbestämmelser
Enligt punkt 1 träder lagen i kraft den 1 januari 2026.
Enligt punkt 2 gäller äldre bestämmelser i fråga om uppgifter som har blockerats av Kronofogdemyndigheten med stöd av den nuvarande 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet efter ikraftträdandet den 1 januari 2026. Det innebär att sådana uppgifter omfattas av sekretess enligt den tidigare lydelsen av 34 kap. 3 §.
Övervägandena finns i kapitel 18.
20.10. Förslaget till lag om ändring i lagen (2022:1697) om samordningsnummer
1 kap.
2 §
Skatteverket beslutar i ärenden enligt denna lag.
Skatteverket får registrera följande uppgifter om en person som har tilldelats samordningsnummer:
1. samordningsnummer,
2. personnummer,
3. namn,
4. födelsetid,
5. medborgarskap,
6. födelseort och födelseland
7. kontaktadress,
8. om personens identitet är styrkt, sannolik eller osäker,
9. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1, 10. vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och
11. tidpunkt för när en person har avlidit.
Bestämmelser om folkbokföring och personnummer finns i folkbokföringslagen (1991:481).
I paragrafen anges beslutande myndighet.
Genom ändringen i andra stycket anges de uppgifter om en person som har tilldelats samordningsnummer och som Skatteverket får registrera om honom eller henne. Övervägandena finns i 9.4.8.
Uppräkningen i bestämmelsen motsvarar, med vissa redaktionella ändringar, de uppgifter om en person som enligt 2 kap. 3 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får behandlas i folkbokföringsdatabasen och som är relevanta avseende en person som har tilldelats samordningsnummer. Det innebär att uppgiftskategorier som enbart registreras vid folkbokföring, eller uppgiftskategorier som inte avser en specifik uppgift om en person, inte anges i bestämmelsen.
I bestämmelsens punkt 6 har även ett förtydligande tillägg gjorts avseende vad som avses med födelseort. Med födelseort avses även land för en person som inte är född i Sverige vilket genom förtydligandet nu uttryckligen framgår i punkt 6 (jfr prop. 1990/91:53 s. 40).
Bestämmelsen syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla. Att en uppgift inte anges i bestämmelsen innebär följaktligen inte att Skatteverket är förhindrat att behandla den uppgiften om behandlingen är nödvändig för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i bestämmelsen innebär endast att det inte är en sådan uppgift om en person som har tilldelats samordningsnummer som, om det är relevant, registreras om honom eller henne. Det innebär exempelvis att Skatteverket inte är förhindrat att behandla uppgifter om vilka identitetshandlingar som har legat till grund för identifiering vid tilldelning av samordningsnummer. Skatteverket är vidare inte förhindrat att behandla de upp-
gifter om personer som före år 2000 tilldelats personnummer utan samband med folkbokföring som är nödvändiga för att utföra sin verksamhet enligt lagen om samordningsnummer.
2 kap.
4 §
Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen.
När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
Paragrafen innehåller bestämmelser om kontroll av bl.a. biometriska uppgifter i handlingar.
I det nya andra stycket har införts en bestämmelse om att när en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. Bestämmelsen motsvarar 1 kap. 7 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och har överförts med endast redaktionella ändringar (jfr prop. 2021/22:276 s. 152). Övervägandena finns i avsnitt 9.4.9.
4 kap.
1 §
En myndighet ska underrätta Skatteverket om det kan antas att en uppgift
som får registreras om någon som har tilldelats ett samordningsnummer är
oriktig eller ofullständig.
En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det. Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekämpande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400).
Paragrafens innehåller bestämmelser om myndigheters underrättelseskyldighet beträffande oriktiga eller ofullständiga uppgifter.
Ändringen i första stycket innebär att hänvisningen till folkbokföringsdatabasen utgår. Ändringen är en följd av att lagen (2001:182)
om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter som får registreras om en person som har tilldelats samordningsnummer i stället anges i 1 kap. 2 §. Övervägandena finns i 9.4.9.
2 §
Om en person med ett samordningsnummer har en kontaktadress registrerad, ska han eller hon anmäla ändringar av adressen till Skatteverket.
Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.
Paragrafen innehåller bestämmelser om skyldigheten att anmäla ändringar av registrerad kontaktadress till Skatteverket
Ändringen i första stycket innebär att hänvisningen till folkbokföringsdatabasen utgår. Ändringen är en följd av att lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet upphävs och att de uppgifter som får registreras om en person som har tilldelats samordningsnummer i stället anges i 1 kap. 2 §. Övervägandena finns i avsnitt 9.4.9.
20.11. Övriga lagförslag
Lagförslagen är en följd av införandet av beskattningsdatalagen (0000:00), folkbokföringsdatalagen (0000:00), lagen (0000:00) om det statliga personadressregistret, lagen (0000:00) om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, tulldatalagen (0000:00) och kronofogdedatalagen (0000:00). Genom dessa lagar upphävs lagen (1998:527) om det statliga personadressregistret, lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
I flera författningar ersätts hänvisningar till de upphävda lagarna av hänvisningar till de nya lagarna. Hänvisningar till de särskilda databaserna som finns i andra författningar ersätts i flera fall av hänvisningar till den verksamhet som avses. Vissa paragrafer i tullagen (2016:253) upphävs som en följd av införandet av förordningen (0000:00) om utlämnande av uppgifter från Tullverket. Övervägandena finns i avsnitten 6.3 och 13.7.1.
Kommittédirektiv 2021:104
En modern dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten och förbättrade förutsättningar för en effektiv kontrollverksamhet
Beslut vid regeringssammanträde den 3 november 2021
Sammanfattning
En särskild utredare ska göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag. En översyn av registerförfattningarnas struktur och terminologi ingår också i uppdraget.
Utredaren ska även se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. En utgångspunkt är att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt.
Utredaren ska noga väga myndigheternas behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. I uppdraget ingår att lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 31 maj 2023.
Den nuvarande regleringen för de berörda myndigheterna
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan endast göras genom lag och bara under de förutsättningar som anges i 2 kap.20–22 §§regeringsformen.
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad EU:s dataskyddsförordning, utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är i alla delar bindande och direkt tillämplig i samtliga EU:s medlemsländer, men tillåter och förutsätter ibland att medlemsstaterna kompletterar förordningen med nationell lagstiftning. Dataskyddsförordningen kompletteras i Sverige av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Dataskyddslagen är subsidiär till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i särskilda registerförfattningar.
För Skatteverket, Tullverket och Kronofogdemyndigheten finns särskilda registerförfattningar som kompletterar såväl EU:s dataskyddsförordning som dataskyddslagen. För Skatteverkets behandling av personuppgifter finns ett antal sådana registerförfattningar. Ett exempel är lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen (2001:588). Lagen tillämpas vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön och lagen (2020:548) om omställningsstöd, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I Skatteverkets folkbokföringsverksamhet gäller lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen (2001:589). Därutöver kan nämnas lagen (1998:527) och förordningen (1998:1234)
om det statliga personadressregistret som gäller i Skatteverkets verksamhet som avser det statliga personadressregistret, SPAR, och lagen (2015:898) och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
För Tullverkets personuppgiftsbehandling gäller lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen (2001:646). Lagen och förordningen gäller i all verksamhet som Tullverket bedriver, med undantag för den brottsbekämpande verksamheten och viss annan administrativ verksamhet.
För Kronofogdemyndighetens personuppgiftsbehandling gäller lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen (2001:590). Lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten.
De flesta av de nämnda författningarna är uppbyggda på samma sätt som lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet när det gäller automatiserad behandling. Alla dessa författningar är vidare uppbyggda så att dataskyddslagen gäller om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till denna. Några av författningarna gäller delvis även vid behandling av uppgifter om juridiska personer och avlidna. De flesta författningarna innehåller bestämmelser om behandling av uppgifter i särskilda databaser, bl.a. beskattningsdatabasen hos Skatteverket, tulldatabasen hos Tullverket och utsöknings- och indrivningsdatabasen hos Kronofogdemyndigheten.
Inom Skatteverket, Tullverket och Kronofogdemyndigheten förekommer också viss personuppgiftsbehandling som inte omfattas av registerförfattningarna. Sådan behandling sker då enbart med stöd av den generella dataskyddsregleringen i EU:s dataskyddsförordning och dataskyddslagen.
De registerförfattningar som gäller i Skatteverkets beskattnings- och folkbokföringsverksamheter, i Tullverkets verksamhet utanför det brottsbekämpande området och i Kronofogdemyndighetens verksamhet är uppbyggda på samma sätt. De tillkom för 20 år sedan (prop. 2000/01:33, bet. 2000/01:SkU20, rskr. 2000/01:176). Dessför-
innan hade en översyn gjorts av de dåvarande registerförfattningarna inom dessa områden, se betänkandet Skatt Tull Exekution Normer för behandling av personuppgifter (SOU 1999:105).
I samband med EU:s dataskyddsreform gjordes anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning (prop. 2017/18:95, bet. 2017/18:SkU15, rskr. 2017/18:234). Det var dock inte fråga om en generell översyn av registerförfattningarna, även om vissa justeringar gjordes i de berörda lagarna där behov uppmärksammats vid översynen som inte direkt hade samband med dataskyddsförordningen (se samma prop. s. 39 f.).
Vid sidan av denna dataskyddsreglering finns den reglering som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. I dessa verksamheter består dataskyddsregleringen främst av brottsdatalagen (2018:1177), lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Varför behövs det en utredning?
Någon allmän översyn av de registerförfattningar som gäller i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter har inte gjorts sedan registerförfattningarnas tillkomst. Den översyn som gjordes i samband med EU:s dataskyddsform var som anges ovan i stort sett begränsad till anpassningar till dataskyddsförordningen. Sedan millennieskiftet har förutsättningarna för myndigheternas digitalisering och personuppgiftsbehandling förändrats avsevärt med hänsyn till såväl den snabba tekniska utvecklingen som nya dataskyddsregler inom främst EU. Redan av dessa skäl framgår att det är nödvändigt med en systematisk genomgång av de aktuella registerförfattningarna. Myndigheterna har själva framställt detta önskemål vid ett flertal tillfällen.
I förarbetena till registerförfattningarna framgår att avsikten var att regleringen skulle vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår (prop. 2000/01:33 s. 81). Trots detta kan det konstateras att registerförfattningarna inte längre framstår som ändamålsenliga och
anpassade till dagens behov hos aktuella myndigheter. Till exempel togs registerförfattningarna fram under en tid då manuell handläggning av enskilda ärenden var det vanligaste arbetssättet. De är inte anpassade till den mer avancerade och omfattande automatiserade behandling av personuppgifter som är aktuell i dag när nya it-system byggs. Digitaliseringen innebär även att allt fler informationsflöden övergår till att enbart hanteras i elektronisk form. För att anpassa författningarnas regler om t.ex. elektroniskt utlämnande till denna utveckling krävs nya överväganden och en mer flexibel reglering, något som redan finns i flera andra registerförfattningar. Den tekniska utvecklingen har därutöver skapat nya möjligheter för myndigheterna att använda maskinella riskbaserade analyser och urval för att kunna koncentrera sin kontroll mot områden med hög risk för fel och fusk och där bästa möjliga effekt kan uppnås. För att myndigheterna ska kunna utnyttja dessa möjligheter bättre än i dag och därmed skapa förbättrade förutsättningar för en effektiv kontrollverksamhet krävs dock en ny reglering. Dessa frågor kräver överväganden där myndigheternas behov av att behandla personuppgifter noggrant vägs mot den enskildes rätt till skydd för sin personliga integritet.
Uppdraget att se över myndigheternas registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov
En utgångspunkt för en allmän översyn bör vara att skapa ändamålsenliga regler som är anpassade efter dagens behov hos Skatteverket, Tullverket och Kronofogdemyndigheten. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen samtidigt som enskildas personliga integritet värnas. Skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen ska särskilt beaktas. I uppdraget bör även ligga att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag, t.ex. när det gäller vilka uppgifter som får behandlas i de olika databaserna. En översyn av de nuvarande registerförfattningarnas struktur och terminologi bör också ingå i uppdraget, bl.a. i syfte att modernisera språket och att använda enhetliga begrepp i förhållande till främst annan dataskyddsreglering.
De registerförfattningar som omfattas av denna översyn är de som har angetts ovan under rubriken Den nuvarande regleringen för de berörda myndigheterna. Det ligger dock inte inom ramen för utredarens uppdrag att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. Dessa registerförfattningar tillkom så pass nyligen att det för närvarande inte finns något behov av en allmän översyn.
Utredaren ska därför
- göra en fullständig översyn av Skatteverkets, Tullverkets och
Kronofogdemyndighetens registerförfattningar och då bl.a. bedöma om det finns utrymme för minskad detaljreglering och se över registerförfattningarnas struktur och terminologi, och
- lämna nödvändiga författningsförslag.
I det följande anges några frågor av särskilt intresse som ska behandlas i samband med denna översyn.
Tillämpningsområden och ändamålsbestämmelser
I flera av registerförfattningarna gäller bestämmelserna om bl.a. tillåtna ändamål även vid behandling av uppgifter om juridiska personer. Enligt förarbetena var ett skäl till denna ordning att det genom den ökade användningen av elektroniska akter och elektroniska dokument i många fall skulle bli svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare (prop. 2000/01:33 s. 86). Det är dock allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer (prop. 2017/18:269 s. 113). Det finns därför skäl att på nytt ta ställning till frågan om juridiska personer bör omfattas. Det bör i det sammanhanget bl.a. beaktas om en sådan ordning skapar omotiverade hinder för digitalisering och för det internationella uppgiftsutbytet med andra EU-medlemsstater vars dataskyddsreglering inte omfattar juridiska personer. Tillämpningsområdet för registerförfattningarna bör även ses över i övrigt.
Registerförfattningarna innehåller bestämmelser om för vilka ändamål personuppgifter får behandlas. Sådana ändamålsbestämmelser anger den yttersta ram inom vilken personuppgifterna får behandlas.
För att säkerställa att ändamålsbestämmelserna är anpassade till den tekniska utvecklingen kan det finnas ett behov av en utvidgad ändamålsreglering jämfört med i dag.
Det finns även skäl att överväga en mindre detaljerad ändamålsreglering. Det gäller t.ex. de sekundära ändamålsbestämmelserna som reglerar i vilken utsträckning personuppgifter får behandlas för att lämnas ut till annan verksamhet inom den egna myndigheten, till enskilda eller till andra myndigheter för att tillgodose deras behov.
Utredaren ska därför
- ta ställning till om juridiska personer ska omfattas av registerförfattningarna och se över tillämpningsområdet i övrigt, och
- ta ställning till om det finns ett behov av en utvidgad ändamålsreglering för att den ska vara anpassad till den tekniska utvecklingen och om ändamålsregleringen kan vara mindre detaljerad, t.ex. när det gäller de sekundära ändamålsbestämmelserna.
Informationsutbyte och elektroniskt utlämnande av uppgifter
Många av de registerförfattningar som omfattas av översynen innehåller en reglering av utlämnande av uppgifter från de berörda verksamheterna. Det finns skäl att ta ställning till om denna reglering är väl avvägd eller om det finns behov av förändringar. Det ingår dock i huvudsak inte i utredarens uppdrag att föreslå ändringar kring omfattningen av det nuvarande informationsutbytet. I förordningen om behandling av uppgifter i Skatteverkets beskattningsverksamhet finns det ett stort antal bestämmelser om utlämnande till andra myndigheter och andra organ med delvis olika utformning. Det finns därför anledning att se över bl.a. dessa bestämmelser även med utgångspunkten att skapa en mer enhetlig reglering. Eventuella förslag om sekretessbrytande uppgiftsskyldigheter eller utökning av sådana förutsätter att integritetsaspekten har beaktats och att en bedömning gjorts av om behovet av utökad tillgång till information väger tyngre än behovet av skydd för den personliga integriteten.
I registerförfattningarna regleras även frågor om sättet för utlämnande av personuppgifter i elektronisk form. Ett vanligt sätt att skilja på olika former av elektroniskt utlämnande är att skilja mellan utlämnande på medium för automatiserad behandling, t.ex. genom e-post, och utlämnande genom direktåtkomst. Uttrycket ”på medium
för automatiserad behandling” har dock på vissa ställen fasats ut till förmån för uttrycket ”elektroniskt på annat sätt än genom direktåtkomst”, se t.ex. 16 § domstolsdatalagen (2015:728) och 2 kap. 9 § lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. Den grundläggande innebörden av direktåtkomst är att någon har direkt tillgång till någon annans uppgiftssamling och på egen hand kan söka efter information, men utan att kunna påverka innehållet i uppgiftssamlingen. Elektroniskt utlämnande genom direktåtkomst bedöms som mest integritetskänsligt, jfr t.ex. propositionen Tullbrottsdatalag (prop. 2016/17:91 s. 58).
Digitaliseringen medför att det ställs ökade krav på att myndigheter ska ha möjlighet att lämna uppgifter elektroniskt till framför allt enskilda. Det kan därför finnas ett behov av en mer flexibel reglering av möjligheten till elektroniskt utlämnande på annat sätt än genom direktåtkomst. Det är något som redan finns i annan dataskyddsreglering, bl.a. domstolsdatalagen.
En annan fråga som behöver utredas är om nuvarande regler om direktåtkomst är ändamålsenliga. Elektroniskt utlämnande på annat sätt än genom direktåtkomst bör i vissa fall, genom tillämpning av adekvat teknik, kunna tillgodose samma behov som direktåtkomst. Denna fråga behandlas i eSamverkansprogrammets (eSam) publikation Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016).
Ytterligare en fråga i detta sammanhang som bör utredas är om dagens regler om elektroniskt utlämnande till utländska myndigheter, som gäller vid elektroniskt informationsutbyte inom ramen för det internationella samarbetet, är utformade på ett ändamålsenligt sätt. Det är viktigt att regleringen inte skapar omotiverade hinder för detta samarbete.
Utredaren ska därför
- ta ställning till om regleringen av utlämnande av uppgifter är väl avvägd eller om det finns behov av förändringar, varvid behovet av skydd för den personliga integriteten ska beaktas, och
- ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt.
Sökbegränsningar och bestämmelser om bevarande och gallring
I de flesta registerförfattningar som omfattas av översynen finns särskilda bestämmelser om sökbegränsningar, som ofta tar sikte på den eller de databaser som regleras i respektive författning. Sökbegränsningarna tar sikte på känsliga personuppgifter och uppgifter om lagöverträdelser, men också på möjligheten att söka efter handlingar i databaserna. Bestämmelserna har införts av integritetsskäl (se t.ex. prop. 2000/01:33 s. 100–104). De nu aktuella registerförfattningarna innehåller mer långtgående och detaljerade sökbegränsningar än de som gäller enligt dataskyddslagen och brottsdatalagen och har en annorlunda utformning. Det finns mot denna bakgrund skäl att utreda om dagens bestämmelser om sökbegränsningar alltjämt kan anses vara ändamålsenligt utformade.
Det finns vidare skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhållande till gällande materiella regler och dagens behov. Det bör i samband därmed bedömas om nuvarande bestämmelser om gallring kan ersättas med regler om längsta tid som personuppgifter får behandlas automatiserat för att tydliggöra att det rör sig om dataskyddsbestämmelser och inte bestämmelser om gallring i arkivrättslig mening. En sådan ändring har gjorts i registerförfattningarna inom brottsdatalagens område (se prop. 2017/18:269 s. 122 f.). Oavsett vilken lösning som förordas är det viktigt att bestämmelserna utformas med hänsyn till att domstolsprocesser kan pågå under lång tid. Vidare kan det konstateras att bestämmelserna om gallring i dåvarande tullregisterlagen (1990:137) i stort sett oförändrade fördes över till lagen om behandling av uppgifter i Tullverkets verksamhet. Regeringen motiverade detta med att det pågick en översyn av EU:s tullagstiftning som kunde komma att påverka gallringsbestämmelserna (se prop. 2000/01:33 s. 180). Det finns därför skäl att nu göra en allmän översyn av Tullverkets gallringsbestämmelser. Slutligen finns det anledning att analysera och tydliggöra vilka gallringsbestämmelser som ska gälla när någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.
Utredaren ska därför
- ta ställning till om dagens bestämmelser om sökbegränsningar är ändamålsenligt utformade,
- ta ställning till om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga, varvid det bl.a. ska bedömas om gallringsbestämmelserna bör ersättas med regler om längsta tid som personuppgifter får behandlas, och
- analysera hur frågan om gallring av uppgifter lämpligen kan regleras i de fall någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna.
Uppdraget att se över förutsättningarna för att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet
Dagens regelverk behöver ses över och vässas
Skatteverket använder sig i sin beskattningsverksamhet i dag av ett maskinellt urval i syfte att välja ut de deklarationer som behöver granskas manuellt. Detta urval bygger på en riskanalys med utgångspunkt från olika data som Skatteverket har tillgång till i beskattningsdatabasen. Verksamheten syftar till att utförda manuella kontroller ska bli så träffsäkra och effektiva som möjligt. Det finns enligt nuvarande regelverk dock tydliga begränsningar av möjligheterna att använda dataanalyser och urval i fler situationer.
Dagens registerlagstiftning för Skatteverket, Tullverket och Kronofogdemyndigheten är till stora delar kopplad till ärendehantering. Även bestämmelserna i den materiella lagstiftningen har sin huvudsakliga utgångspunkt i handläggning av ärenden. Behovet av att kunna göra urval kan dock finnas även när det inte finns något ärende. Skatteverket har framfört att myndigheten, med en möjlighet att även göra urvalsanalyser på ett antal iakttagna företeelser utan någon koppling till specifika ärenden, skulle kunna koncentrera sin verksamhet på att åtgärda sådana fel som orsakar störst problem för samhället.
Det är mycket som talar för att det går att åstadkomma en effektivare kontrollverksamhet om det blir möjligt för de berörda myndigheterna att i större utsträckning använda maskinella riskbaserade
analyser och urval. Det framgår exempelvis av den effektivisering av arbetet med att granska deklarationer som möjligheten att använda dataanalyser och urval i den ärendeanknutna beskattningsverksamheten innebär. Detta kräver dock ett tydligt rättsligt stöd. En sådan reglering kräver också att skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen särskilt beaktas.
Det anförda har stora likheter med de utgångspunkter som ligger bakom förslagen som rör analyser och urval i folkbokföringsverksamheten i betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57).
Tidigare utredningar av relevans för uppdraget
I betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar (SOU 2020:35) föreslås att en ny myndighet för utbetalningskontroll inrättas som bl.a. ska ha till uppgift att göra dataanalyser och urval för att upptäcka felaktiga utbetalningar från välfärdssystemen. Som bakgrund till förslaget anges bl.a. att erfarenheter från myndigheter i Danmark, Norge och Storbritannien visar att dataanalyser och urval är effektiva för att upptäcka felaktiga utbetalningar och i många fall är den mest effektiva metoden (s. 213). I budgetpropositionen för 2022 (prop. 2021/22:1 utg.omr. 2 avsnitt 6.5.1) föreslås att en sådan ny myndighet bildas och inleder sin verksamhet under 2023.
I SOU 2021:57 föreslås att Skatteverkets folkbokföringsverksamhet genom dataanalyser och urval ska ges bättre förutsättningar att kunna koncentrera sin kontroll mot områden med hög risk för fel och fusk och områden där man kan uppnå bästa möjliga effekt med givna insatser. Förslagen har vissa likheter med förslagen i SOU 2020:35. I SOU 2021:57 föreslås att uppgifter ska få samlas in och behandlas i syfte att upptäcka och förhindra felaktiga uppgifter i folkbokföringsdatabasen. För de uppgifter som samlas in i detta syfte föreslås en särskild uppgiftssamling, analys- och urvalsdatabasen. Det föreslås även en rad bestämmelser som syftar till att minska det intrång i den personliga integriteten som uppgiftsbehandlingen bedöms innebära. I verksamheten som avser förande av och uttag ur analys- och urvalsdatabasen föreslås det gälla absolut sekretess. Som
bakgrund till förslagen anges bl.a. den kritik som Riksrevisionen framfört mot Skatteverkets arbete med riskanalys och urval i folkbokföringsverksamheten i sin rapport Folkbokföring – ett kvalitetsarbete i uppförsbacke (RiR 2017:23).
Utredaren ska se över om det bör införas ny reglering
Av det anförda framgår att det finns skäl att se över om det bör införas en reglering som innebär en utökad möjlighet att göra dataanalyser och urval i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter jämfört med vad som är tillåtet enligt dagens regler. Oavsett vad utredaren gör för bedömning i lämplighetsfrågan ska utredaren lämna de författningsförslag som krävs för en utökad möjlighet till dataanalyser och urval utan koppling till specifika ärenden. Utgångspunkten är att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna ska dessutom vara teknikneutrala och flexibla och ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt.
Uppdraget omfattar samma verksamheter som uppdraget att göra en översyn av de berörda myndigheternas registerlagstiftningar tar sikte på. Det ligger dock inte inom ramen för utredarens uppdrag att se över lämpligheten av en ny reglering och lämna författningsförslag som rör Skatteverkets folkbokföringsverksamhet till den del det omfattas av förslagen i SOU 2021:57. Om utredarens överväganden i övrigt får följder även på de förslag som lämnats i det betänkandet ska dock förslag lämnas även på folkbokföringsområdet.
Utredaren ska därför
- analysera och bedöma lämpligheten och utformningen av en reglering som innebär en utökad möjlighet att göra dataanalyser och urval för respektive myndighet,
- kartlägga vilken information som behövs för att möjliggöra adekvata analyser och urval och föreslå hur tillgång till sådan information bör ges,
- bedöma om det finns behov av ändringar i sekretessbestämmelserna eller nya sekretessbestämmelser och då även beakta insynsintresset,
- säkerställa behovet av skydd för den personliga integriteten och att EU:s dataskyddslagstiftning följs,
- bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som behandlas, och hur gjorda analyser och urval ska dokumenteras för att tillgodose såväl myndigheternas verksamhetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand, och
- lämna nödvändiga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Vidare ska utredaren redovisa hur moderna registerförfattningar som innebär en mer ändamålsenlig reglering och förbättrade förutsättningar för en effektiv kontrollverksamhet kan påverka myndigheternas verksamheter. Om förslagen kan förväntas leda till kostnadsökningar för det offentliga ska utredaren föreslå hur dessa ska finansieras.
Kontakter och redovisning av uppdraget
Utredaren ska, i den utsträckning som bedöms lämplig, samråda med och inhämta upplysningar från berörda myndigheter och andra organisationer som berörs av frågorna.
Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, särskilt beredningen av förslagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen (SOU 2020:35) och betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57).
Utredaren ska även hålla sig informerad om och beakta relevant arbete som bedrivs inom utredningsväsendet och inom EU. Förslagen som utredaren lämnar ska vara förenliga med EU-rätten och Sveriges övriga internationella åtaganden.
Om det bedöms nödvändigt får utredaren ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.
Uppdraget ska redovisas senast den 31 maj 2023.
(Finansdepartementet)
Kommittédirektiv 2023:24
Tilläggsdirektiv till Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11)
Beslut vid regeringssammanträde den 16 februari 2023
Förlängd tid för uppdraget
Regeringen beslutade den 3 november 2021 kommittédirektiv om en modern dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten och förbättrade förutsättningar för en effektiv kontrollverksamhet (dir. 2021:104). Uppdraget skulle enligt direktiven redovisas senast den 31 maj 2023.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 30 november 2023.
(Finansdepartementet)