SOU 2025:42
Säkerhetsskyddslagen – ytterligare kompletteringar
Till statsrådet och chefen för Justitiedepartementet
Regeringen beslutade den 26 oktober 2023 att tillkalla en särskild utredare med uppdrag att föreslå åtgärder för att stärka kontrollen av skyddsvärd verksamhet och öka förmågan att möta förändrade förhållanden som innebär ett hot mot Sveriges säkerhet (dir. 2023:152). Genom tilläggsdirektiv beslutade den 28 november 2024, förlängdes utredningstiden till den 26 mars 2025 (dir. 2024:118).
Som särskild utredare förordnades den 13 november 2023 f.d. lagmannen Stefan Strömberg.
Som sakkunniga att biträda utredningen förordnades den 16 januari 2024 rättssakkunniga vid Justitiedepartementet Johanna Sköld, kanslirådet vid Finansdepartementet Gustaf Hygrell, kanslirådet vid Försvarsdepartementet Carl-Johan Malmqvist och kanslirådet vid Miljö- och näringslivsdepartementet Leida Larkeus.
Som experter att biträda utredningen förordnades samma dag verksjuristen vid Säkerhetspolisen Hannes Beckman, stf. avdelningschefen vid Post- och telestyrelsen Roger Gustafsson, vice ordföranden vid Säkerhets- och försvarsföretagen Gudrun Hansson, enhetschefen vid Finansinspektionen Erik Johansson, juristen vid Länsstyrelsen Stockholm Elisabeth Larsson, säkerhetsskyddschefen vid Strålsäkerhetsmyndigheten Kristoffer Olofsson, juristen vid Försvarets materielverk Johan Strandman, enhetschefen vid Affärsverket svenska kraftnät Ylva Söderlund, bitr. chefsjuristen vid Inspektionen för strategiska produkter Jannice Westerholm, försvarsjuristen vid Försvarsmakten Sara Westerlund, handläggaren vid Energimyndigheten Kristin Willamo, verksjuristen vid Säkerhets- och integritetsskyddsnämnden Jessica Öhlund Andersson, och säkerhetsskyddsinspektören vid Transportstyrelsen Fredrik Örnfjäder.
Genom beslut den 7 mars 2024 entledigades Leida Larkeus som sakkunnig i utredningen och departementssekreteraren vid Klimat- och näringslivsdepartementet Gabriella Björnfot förordnades i hennes ställe samma dag.
Genom beslut den 7 mars 2024 entledigades Kristoffer Olofsson från uppdraget att vara expert i utredningen och enhetschefen vid Strålsäkerhetsmyndigheten Caroline Falkengren förordnades i hans ställe samma dag.
Som expert att biträda utredningen förordnades den 27 mars 2024 även professorn vid Stockholms universitet Mårten Schultz.
Genom beslut den 10 maj 2024 entledigades Gabriella Björnfot från uppdraget att vara sakkunnig i utredningen.
Som sekreterare i utredningen anställdes från och med den 13 november 2023 kammaråklagaren Karin Fogelström.
Arbetet har bedrivits i nära samråd med de sakkunniga och experterna. Betänkandet är därför skrivet med användande av vi-form, även om det inte har funnits fullständig samsyn i alla delar.
Utredningen överlämnar härmed betänkandet Säkerhetsskydds-
lagen – ytterligare kompletteringar (SOU 2025:42)
Utredningens uppdrag är med detta slutfört.
Stockholm i april 2025
Stefan Strömberg
Karin Fogelström
Sammanfattning
Uppdraget
Vårt uppdrag har föranletts av det kraftigt försämrade säkerhetspolitiska läget och har syftat till att stärka skyddet för Sveriges säkerhet. Med uttrycket Sveriges säkerhet avses förhållanden av grundläggande betydelse för Sverige. Uttrycket omfattar såväl den yttre säkerheten, till skydd för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet, som den inre säkerheten, till skydd för Sveriges demokratiska statsskick. De aktörer (verksamhetsutövare) som bedriver verksamhet som är av betydelse för att upprätthålla Sveriges säkerhet, s.k. säkerhetskänslig verksamhet, omfattas av reglerna i säkerhetsskyddslagen (2018:585). Vilka verksamheter som är av betydelse för Sveriges säkerhet och vad som behöver skyddas påverkas av samhällsutvecklingen och kan alltså förändras över tid.
Det försämrade omvärldsläget ställer särskilt höga krav på de aktörer som ansvarar för viktiga funktioner i samhället, och som löpande träffar avtal med andra aktörer (inte sällan utländska sådana), att vidta åtgärder för att skydda verksamheten. I våra direktiv framhålls emellertid också vikten av att det, i situationer där förhållanden snabbt förändras, finns möjlighet för staten att ingripa för att motverka skada för Sveriges säkerhet. Genom bestämmelsen i 4 kap. 12 § säkerhetsskyddslagen ges tillsynsmyndigheterna på säkerhetsskyddsområdet möjlighet att besluta om förelägganden mot en verksamhetsutövare eller dennes motpart i ett pågående förfarande. I våra direktiv konstateras att vissa förfaranden som kan vara skadliga för Sveriges säkerhet faller utanför bestämmelsens tillämpningsområde, och att det finns ett behov av att utreda möjligheten för staten att ingripa mot avtalsförhållanden och andra pågående förfaranden som inte omfattas av säkerhetsskyddslagens bestämmelser. Vi har därför fått
i uppdrag att utveckla möjligheten för staten att ingripa i förfaranden som kan vara skadliga för Sveriges säkerhet, i första hand genom en utvidgning av säkerhetsskyddslagens regler.
Vi har också haft i uppdrag att bedöma om det bör införas en möjlighet för enskilda verksamhetsutövare att få ersättning för kostnader som har uppstått vid ett statligt ingripande i ett pågående förfarande, och föreslå ett system med tvångsåtgärder som ska kunna tillämpas vid fara i dröjsmål i samband med förfaranden som kan skada Sveriges säkerhet.
Slutligen har vi haft i uppdrag att göra en översyn av den registerkontroll som görs inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen, och bedöma vilka andra register som skulle kunna vara aktuella att inhämta uppgifter från.
Enligt våra direktiv har vi varit oförhindrade att ta upp närliggande frågor.
Nedan följer en sammanfattande redovisning av våra huvudsakliga bedömningar och förslag.
Statliga ingripanden i förfaranden som kan vara skadliga för Sveriges säkerhet
Förbättrade möjligheter att upptäcka och ingripa mot pågående förfaranden som är olämpliga från säkerhetsskyddssynpunkt
Möjligheten att ingripa under ett pågående förfarande utvidgas
Förfaranden som innebär att utomstående aktörer får del av säkerhetskänslig verksamhet utgör en uppenbar säkerhetsrisk och regleras därför särskilt i 4 kap. säkerhetsskyddslagen. Vissa förfaranden omfattas emellertid inte av regleringen, och därmed inte heller av ingripandemöjligheten i 12 §. Det handlar om förfaranden som har inletts före den 1 december 2021 (när regelverket trädde i kraft) och förfaranden som har inletts innan verksamheten blivit säkerhetskänslig. Begränsningen av tillämpningsområdet för 12 § innebär att tillsynsmyndigheternas befogenheter att ingripa mot pågående förfaranden varierar beroende på när och under vilka förutsättningar förfarandet inleddes. Detta framstår, mot bakgrund av det säkerhetspolitiska läget och lagstiftningens skyddsintresse, inte som en godtagbar ordning. Avgörande för vilka åtgärder som ska vidtas i en situation där
ett förfarande kan skada Sveriges säkerhet måste i stället, enligt vår bedömning, vara vad som gäller när frågan om ett ingripande aktualiseras. Vi föreslår därför att tillämpningsområdet för ingripandemöjligheten i 12 § ska utvidgas. Förslaget innebär att tillsynsmyndigheterna ges möjlighet att ingripa mot sådana förfaranden som omfattas av bestämmelsen oavsett när förfarandet har inletts och även om förfarandet har inletts innan verksamheten blivit säkerhetskänslig. Detta är i grunden inte något nytt eftersom de grundläggande kraven i 2 kap. 1 § säkerhetsskyddslagen, som gäller för alla som bedriver säkerhetskänslig verksamhet, innebär att verksamhetsutövare har en skyldighet att vid varje givet tillfälle reagera och vidta relevanta åtgärder för att skydda verksamheten.
En särskild anmälningsplikt för vissa förfaranden
I 4 kap. säkerhetsskyddslagen finns bestämmelser som ställer krav på att verksamhetsutövare ska ingå säkerhetsskyddsavtal inför förfaranden som innebär att utomstående involveras i den säkerhetskänsliga verksamheten. Verksamhetsutövaren ska även göra en särskild säkerhetsskyddsbedömning och pröva lämpligheten av sådana förfaranden. Det uppställs också krav på att verksamhetsutövaren, under tiden som förfarandet pågår, ska kontrollera att motparten följer säkerhetsskyddsavtalet och vidta relevanta åtgärder när sådana behövs.
Äldre förfaranden och förfaranden som har inletts innan verksamheten blivit säkerhetskänslig omfattas inte av de särskilda krav som uppställs i 4 kap. säkerhetsskyddslagen. Även vid sådana förfaranden ska verksamheten skyddas. Vi bedömer emellertid att dessa förfaranden kan vara förenade med särskilda risker. Detta eftersom det (fortfarande) finns kunskapsbrister hos många verksamhetsutövare och att det – till skillnad från vad som gäller vid förfaranden som omfattas av ett krav på säkerhetsskyddsavtal – inte finns något uttryckligt krav på att verksamhetsutövaren ska pröva lämpligheten av förfarandet, eller göra uppföljningar och vidta relevanta åtgärder under tiden som förfarandet pågår.
Mot bakgrund av ovanstående bedömer vi att utvidgningen av ingripandemöjligheten i 12 § bör kompletteras med åtgärder som förbättrar möjligheterna för tillsynsmyndigheterna att upptäcka
förfaranden som är olämpliga från säkerhetsskyddssynpunkt, och som kan bidra till att öka medvetenheten om riskerna med förfarandena hos verksamhetsutövarna. Vi föreslår därför att det ska införas en särskild anmälningsplikt för pågående förfaranden som hade omfattats av 4 kap. säkerhetsskyddslagen om de hade inletts inom ramen för en säkerhetskänslig verksamhet i dag.
Vi föreslår att underlåtenhet att göra en anmälan till tillsynsmyndigheten ska kunna leda till sanktionsavgift.
Det kan finnas behov av ett nytt rättsligt verktyg för att kunna avvärja eller stoppa säkerhetshotande förfaranden och andra aktiviteter
Vi har under arbetet med utredningen kunnat konstaterat att det finns andra avtalsförhållanden och förfaranden, än sådana som regleras i säkerhetsskyddslagen, som skulle kunna vara skadliga för Sveriges säkerhet och som inte fångas upp genom befintlig eller planerad lagstiftning. Det kan t.ex. inte uteslutas att det finns äldre investeringar som har lett till att olämpliga aktörer har skaffat sig inflytande i säkerhetskänslig verksamhet, och som staten i dag inte kan ingripa mot. Det kan också finnas avtalsförhållanden och andra liknande förfaranden som är skadliga för Sveriges säkerhet men som inte har någon direkt eller tydlig koppling till skyddsvärda tillgångar, och som därför inte kan inordnas under de befintliga regelverk som ska skydda svenska säkerhetsintressen. Riskerna med sådana – mer fristående – säkerhetshotande aktiviteter har uppmärksammats i Norge, och föranlett införandet av en särskild bestämmelse som är tänkt att fungera som en säkerhetsventil när det inte finns någon annan rättslig grund för att förhindra en aktivitet som innebär en risk för nationella säkerhetsintressen. Vi anser att det finns anledning att överväga om ett liknande rättsligt verktyg, som alltså skulle göra det möjligt för staten att ingripa mot avtal och andra pågående förfaranden som innebär risker för Sveriges säkerhet och som inte har kunnat förutses eller inordnas under något särskilt regelverk, bör införas i svensk rätt. Frågan har emellertid varit för omfattande för att kunna hanteras inom ramen för vårt uppdrag.
Ersättning vid statliga ingripanden i pågående förfaranden
Ingripanden under pågående förfaranden med stöd av 4 kap. 12 § säkerhetsskyddslagen kan innebära inskränkningar i egendomsskyddet och näringsfriheten. Det finns emellertid ingen grundlagsstadgad rätt till ersättning vid inskränkningar av det nu aktuella slaget. Utgångspunkten i svensk rätt är i stället att inskränkningar i egendomsskyddet som har sin grund i säkerhetsskäl inte medför rätt till ersättning. Någon ovillkorlig rätt till ersättning vid inskränkningar av egendomsskyddet följer inte heller av Europakonventionen s1bestämmelser. Det är vår bedömning att omständigheterna vid ingripanden med stöd av 12 §, även efter den utvidgning av bestämmelsens tillämpningsområde som vi föreslår, endast i särpräglade undantagsfall kommer att vara sådana att det framstår som orimligt att verksamhetsutövaren ensam ska stå för hela kostnaden för åtgärden. Ingripanden som leder till att ett förfarande måste avslutas helt, vilket bör vara de beslut som får störst ekonomiska konsekvenser för de berörda aktörerna, bedöms även fortsättningsvis bli oerhört sällsynta.
En ersättningsbestämmelse skulle kunna fånga upp undantagsfallen. Det skulle emellertid vara mycket svårt att ringa in de specifika situationerna innan de uppkommer och ersättningsbestämmelsen skulle därför med nödvändighet bli mycket allmänt hållen. Vi bedömer att en sådan regel skulle bli svårtillämpad, och i alltför stor utsträckning skulle överlämna bedömningen av i vilka situationer ersättning ska ges till tillämparen. Införandet av en sådan bestämmelse skulle också innebära ett avsteg från gällande ordning där det i regel saknas särskild rätt till ersättning vid ingripanden som sker på grund av säkerhetsskäl, även om ingreppen är mycket betungande för enskilda. Med hänsyn till detta, och att ersättningsrätt i vissa särskilda undantagssituationer kan följa av allmänna principer, har vi gjort bedömningen att det inte bör införas särskilda bestämmelser om ersättning i säkerhetsskyddslagen. Vi lämnar därför inte något sådant förslag.
1 Den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.
Nya bestämmelser om åtgärder vid fara i dröjsmål
Det finns ett behov av att kunna vidta omedelbara åtgärder
Tillsynsmyndigheterna på säkerhetsskyddsområdet har getts kraftfulla verktyg för att säkerställa säkerhetsskyddslagens efterlevnad och för att förhindra skada för Sveriges säkerhet när utomstående aktörer kan få del av säkerhetskänslig verksamhet. Det kan emellertid inte uteslutas att det kan uppstå situationer där det av olika anledningar är fara i dröjsmål, och där det krävs omedelbara åtgärder för att frysa en händelseutveckling. I sådana situationer bedöms de verktyg som tillsynsmyndigheterna har att tillgå i dag inte vara tillräckligt effektiva. Vi menar därför att det finns ett behov av nya bestämmelser som möjliggör omedelbara åtgärder inom ramen för tillsynsärenden enligt säkerhetsskyddslagen.
Interimistiska förelägganden
Vi föreslår att tillsynsmyndigheterna ska ges möjlighet att meddela interimistiska förelägganden. Förslaget innebär att förelägganden under pågående förfaranden enligt 4 kap. 12 § säkerhetsskyddslagen och åtgärdsförelägganden enligt 6 kap. 6 § säkerhetsskyddslagen ska få meddelas för tiden till dess att frågan om åtgärder enligt nämnda bestämmelser slutligt har avgjorts eller något annat beslutats, om det finns särskilda skäl. Åtgärden måste dessutom vara proportionerlig.
Tvångsåtgärder
Vi föreslår att det införs ett system med tvångsåtgärder i säkerhetsskyddslagen. Förslaget innebär att Förvaltningsrätten i Stockholm, efter ansökan från tillsynsmyndigheten, ska kunna besluta om tvångsåtgärder mot en aktör som har blivit eller som kan antas bli föremål för ett föreläggande eller förbud enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §säkerhetsskyddslagen, om åtgärden behövs för att säkerställa ändamålet med föreläggandet eller förbudet. Åtgärden måste dessutom vara proportionerlig.
Ett beslut om tvångsåtgärder ska få avse eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom, eller försegling av lokal, förvaringsplats eller annat utrymme.
Tillsynsmyndigheterna föreslås få meddela interimistiska beslut om vissa tvångsåtgärder, om det är fara i dröjsmål. Om tillsynsmyndigheten fattar ett sådant beslut ska myndigheten skyndsamt ansöka om beslutade åtgärder hos Förvaltningsrätten i Stockholm. Görs inte någon ansökan eller avslår förvaltningsrätten ansökan ska vidtagna åtgärder återgå.
Registerkontroll vid säkerhetsprövning enligt säkerhetsskyddslagen
Ett försämrat säkerhetspolitiskt läge ställer högre krav på säkerhetsprövningen av personal
Den säkerhetshotande verksamhet som bedrivs mot Sverige har de senaste åren breddats och blivit alltmer komplex. Något som i dag är extra påtagligt är säkerhetshotet från främmande makt, som använder sig av alltmer offensiva metoder för att bl.a. stjäla information och kunskap. Ett exempel på detta är användandet av möjliggörare för att infiltrera den offentliga verksamheten. Det allvarliga säkerhetspolitiska läget gör det än mer viktigt att skydda säkerhetskänslig verksamhet. En del av skyddet för sådan verksamhet är den säkerhetsprövning som enligt säkerhetsskyddslagen ska göras av personer som genom anställning eller på annat sätt ska delta i säkerhetskänslig verksamhet. Säkerhetsprövningen innefattar olika moment, däribland – i vissa fall – en registerkontroll. Vi bedömer att registerkontrollen skulle kunna bli mer effektiv och ändamålsenlig om den utvidgas till att omfatta fler register och uppgifter än de som omfattas av kontrollen i dag.
Fler uppgifter ska få hämtas vid registerkontroll
Vi föreslår att Säkerhetspolisen vid registerkontroll, utöver de uppgifter som får hämtas i dag, även ska få hämta uppgifter om utländska domar, uppgifter som behandlas i Skatteverkets och Tullverkets brottsbekämpande verksamheter, uppgifter som behandlas i Skatteverkets folkbokföringsverksamhet, vissa uppgifter som behandlas hos Kriminalvården, uppgifter om omhändertaganden enligt lagen (1976:511) om omhändertagande av berusade personer m.m., vissa
uppgifter som behandlas hos Migrationsverket och uppgifter som behandlas i Kronofogdemyndighetens utsöknings- och indrivningsverksamhet.
Nämnda uppgifter föreslås få hämtas vid registerkontroll för säkerhetsklass 1, 2 och 3, och vid registerkontroll utan föregående placering i säkerhetsklass enligt 3 kap. 15 § säkerhetsskyddslagen.
Vid registerkontroll för säkerhetsklass 1 och 2 får uppgifter hämtas om den prövades närstående (make, maka eller sambo). Vi föreslår att registerkontrollen avseende närstående till prövade i säkerhetsklass 1 och 2 ska utvidgas på motsvarande sätt som för den prövade.
Vi föreslår också att uppgifter som behandlas hos Polismyndigheten, som i dag enbart får hämtas vid registerkontroll för säkerhetsklass 1 och 2, ska få hämtas även vid registerkontroll för säkerhetsklass 3, och vid registerkontroll enligt 3 kap. 15 § säkerhetsskyddslagen.
Vissa säkerhetsprövningsbeslut ska anmälas till Säkerhetspolisen
Säkerhetsprövningen enligt säkerhetsskyddslagen är kopplad till en viss anställning eller ett visst deltagande i verksamhet. En person kan därför bli föremål för säkerhetsprövning hos flera olika aktörer. Den information som har framkommit vid en säkerhetsprövning kan vara av betydelse även vid säkerhetsprövning för ett annat deltagande. Möjligheterna för de aktörer som ansvarar för säkerhetsprövningen att ta reda på om den prövade tidigare har bedömts utgöra en säkerhetsrisk och omständigheterna som legat till grund för den bedömningen är emellertid klart begränsade eftersom det inte sker någon registrering av säkerhetsprövningsbeslut på central nivå. Vi föreslår därför att vissa säkerhetsprövningsbeslut som innebär att en person inte har klarat säkerhetsprövningen, ska anmälas till Säkerhetspolisen. Förslaget innebär att uppgifterna kommer att kunna hämtas vid registerkontroll avseende samtliga tre säkerhetsklasser.
Vi föreslår att underlåtenhet att göra en anmälan till Säkerhetspolisen ska kunna leda till sanktionsavgift.
Konsekvenser av våra förslag
Våra förslag innebär att tillsynsmyndigheterna på säkerhetsskyddsområdet ges bättre förutsättningar att upptäcka och ingripa mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt, och att vidta omedelbara åtgärder för att förhindra skada för Sveriges säkerhet. Förslagen om en utvidgad registerkontroll ger bättre förutsättningar att identifiera sårbarheter och andra förhållanden som är av betydelse för bedömningen av om en person är pålitlig från säkerhetssynpunkt, och förhindra att personer som av olika skäl utgör säkerhetsrisker deltar i säkerhetskänslig verksamhet. Förslagen bedöms därigenom bidra till att stärka skyddet för Sveriges säkerhet.
Förslaget om en särskild anmälningsplikt för vissa förfaranden bedöms leda till en ökad arbetsbelastning för merparten av tillsynsmyndigheterna. För att förslaget ska få önskad effekt bör detta finansieras genom tillfälligt ökade anslag. Förslagen om att utvidga registerkontrollen kommer att leda till kostnader för Säkerhetspolisen och de myndigheter som Säkerhetspolisen ska få hämta uppgifter från och genom. Storleken på kostnaderna är i första hand beroende av vilka tekniska lösningar som förslagen kräver, och frågan behöver utredas vidare i samband med den fortsatta beredningen av vårt betänkande. Vår bedömning är emellertid att förslagen kommer att leda till kostnader som inte ryms inom befintliga ramar. Övriga kostnader som våra förslag medför är marginella och bedöms vara sådana att de kan hanteras inom ramen för tillgängliga medel.
1. Författningsförslag
1.1. Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585)
dels att 3 kap. 13, 14 och 17 §§, 4 kap. 12 §, 6 kap. 1 och 6 §§,
7 kap. 1 §, 8 kap. 4 § och rubriken närmast 4 kap. 1 a ska ha följande lydelse,
dels att det ska införas nitton nya paragrafer, 3 kap. 4 e §, 4 kap.
1 a § och 6 kap. 7–23 §§, och närmast före 6 kap. 7, 8, 17 och 19 §§ nya rubriker av följande lydelse,
dels att det ska införas nya ikraftträdande- och övergångsbestäm-
melser av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 kap.
4 e §
Om en person som deltar i säkerhetskänslig verksamhet, efter omprövning av säkerhetsprövningsbeslutet har bedömts vara opålitlig från säkerhetssynpunkt, ska den som enligt 4 och 4 a–d §§ ansvarar för säkerhetsprövningen utan dröjsmål underrätta Säkerhetspolisen om resultatet av säkerhetsprövningen och de omständigheter som har legat till grund för bedömningen.
13 §
Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med register-
kontroll avses också att uppgifter hämtas som behandlas med stöd av
1. lagen ( 2018:1693 ) om polisens behandling av personuppgifter inom brottsdatalagens område, eller
2. lagen ( 2019:1182 ) om Säkerhetspolisens behandling av personuppgifter.
Med registerkontroll avses att uppgifter hämtas från register som omfattas av
1. lagen (1998:620) om be-
lastningsregister,
2. lagen (1998:621) om miss-
tankeregister,
3. rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll, eller
4. Europaparlamentets och rådets förordning (EU) 2019/186 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726. Med registerkontroll avses också att följande uppgifter hämtas.
1. Uppgifter som behandlas med stöd av lagen ( 2001:182 ) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
2. Uppgifter som förekommer i Kronofogdemyndighetens utsöknings- och indrivningsverksamhet och som behandlas med stöd av lagen ( 2001:184 ) om behandling
av uppgifter i Kronofogdemyndighetens verksamhet.
3. Uppgifter om medborgarskap och uppgifter som behövs för att kunna bedöma rätten att vistas och arbeta i Sverige, som behandlas med stöd av utlänningsdatalagen (2016:27) .
4. Uppgifter som behandlas med stöd av lagen ( 2018:1693 ) om polisens behandling av personuppgifter inom brottsdatalagens område.
5. Uppgifter som behandlas med stöd av lagen ( 2018:1694 ) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
6. Uppgifter som behandlas med stöd av lagen ( 2018:1696 ) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.
7. Uppgifter som behandlas med stöd av lagen ( 2018:1699 ) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, dock inte uppgifter i Kriminalvårdens säkerhetsregister.
8. Uppgifter om omhändertagande enligt lagen ( 1976:511 ) om omhändertaganden av berusade personer m.m., som behandlas med stöd av vägtrafikdatalagen (2019:369) .
9. Uppgifter som behandlas med stöd av lagen ( 2019:1182 ) om Säkerhetspolisens behandling av personuppgifter.
14 §
Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
För säkerhetsklass 1 eller 2 får uppgifter om den kontrollerade som finns i belastningsregistret
eller misstankeregistret eller som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter hämtas. Motsvarande
uppgifter får även hämtas om den kontrollerades make eller sambo.
För säkerhetsklass 1 eller 2 får
sådana uppgifter om den kontrol-
lerade som anges i 13 § första och
andra stycket hämtas. Motsva-
rande uppgifter får även hämtas om den kontrollerades make,
maka eller sambo.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som finns i belastnings-
registret eller misstankeregistret eller som behandlas hos Säkerhetspolisen med stöd av lagen om polisens behandling av personuppgifter inom brottsdatalagens område eller lagen om Säkerhetspolisens behandling av personuppgifter hämtas.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som anges i 13 § första och
andra stycket hämtas.
Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.
17 §
En särskild personutredning ska göras vid en registerkontroll som avser sådan anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2. Utredningen ska om-
En särskild personutredning ska göras vid en registerkontroll som avser sådan anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2. Utredningen ska om-
fatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.
fatta en fördjupad undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs i det enskilda fallet.
4 kap.
Säkerhetsskyddsavtal Säkerhetsskyddsavtal
och anmälningsplikt
1 a §
En verksamhetsutövare som har genomfört en upphandling, ingått ett avtal, inlett en samverkan eller ett samarbete med en annan aktör ska utan dröjsmål anmäla detta till tillsynsmyndigheten, om
1. förfarandet innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, och
2. förfarandet inte omfattas av ett krav på säkerhetsskyddsavtal enligt 1 §.
Första stycket gäller inte för sådana förfaranden som har undantagits från skyldigheten att ingå säkerhetsskyddsavtal med stöd av 2 eller 6 §§.
12 §
Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.
Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § eller
anmälningsplikt enligt 1 a § är
olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut får förenas med vite.
6 kap.
1 §
Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.
Tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som
verksamhetsutövare har ingått säkerhetsskyddsavtal med.
Tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos den andra
aktören i ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 4 kap. 1 § eller anmälningsplikt enligt 4 kap. 1 a §.
6 §
Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om föreläggande får förenas med vite.
Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, om ett sådant underlag behövs för att tillsynsmyndigheten ska kunna bedöma om ett pågående förfarande som omfattas av anmälningsplikt enligt 4 kap. 1 a § är olämpligt från säkerhetsskyddssynpunkt. Ett sådant beslut om föreläggande får förenas med vite.
Åtgärder vid fara i dröjsmål
Interimistiska förelägganden
7 §
Om det finns särskilda skäl får ett föreläggande enligt 4 kap. 12 § eller 6 kap. 6 § beslutas för tiden till dess att frågan om åtgärder enligt denna lag slutligt har avgjorts eller något annat beslutats.
Tvångsåtgärder
8 §
Förvaltningsrätten i Stockholm får, på ansökan av tillsynsmyndigheten, besluta om tvångsåtgärder mot en aktör som har blivit eller som kan antas bli föremål för föreläggande eller förbud enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §, om åtgärden behövs för att säkerställa ändamålet med föreläggandet eller förbudet.
En åtgärd enligt första stycket får avse
– eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom, och
– försegling av lokal, förvaringsplats eller annat utrymme.
Med föreläggande enligt första stycket avses även interimistiska förelägganden som beslutas med stöd av 7 §.
9 §
Handling eller annan egendom får eftersökas i verksamhetslokaler som disponeras av aktören som beslutet gäller.
Eftersökning av handling eller annan egendom får dock även genomföras i andra lokaler, förvaringsplatser eller utrymmen om det finns särskild anledning att anta att handlingen eller egendomen finns i utrymmet.
10 §
Med handling avses framställning i skrift eller bild och upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas bara med tekniska hjälpmedel.
11 §
Om det är fara i dröjsmål och förutsättningarna för att besluta om tvångsåtgärder enligt 8 § är uppfyllda, får tillsynsmyndigheten besluta om
– eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom i verksamhetslokaler som disponeras av aktören som beslutet gäller, och
– försegling av lokal, förvaringsplats eller annat utrymme.
Om tillsynsmyndigheten har beslutat om tillfälligt omhändertagande av egendom eller försegling enligt första stycket, ska ansökan om beslutade åtgärder så snart som möjligt och senast inom fem dagar lämnas in till Förvaltningsrätten i Stockholm. Om tillsynsmyndigheten inte gör någon ansökan inom föreskriven tid eller om förvaltningsrätten avslår ansökan, ska omhändertagen egendom lämnas tillbaka och förseglingar hävas.
12 §
Tvångsåtgärder enligt 8 och 11 §§ får beslutas bara om skälen för beslutet uppväger det intrång eller men i övrigt som beslutet innebär för den som beslutet gäller eller för något annat motstående intresse.
13 §
Den som ett beslut om tvångsåtgärder gäller ska omedelbart underrättas om beslutet. Underrättelse får dock ske i samband med att åtgärden verkställs om det kan befaras att underrättelse avse-
värt skulle försvåra genomförandet av beslutet.
I 20 § finns bestämmelser om verkställighet av beslut om tvångsåtgärder utan att den som beslutet gäller har underrättats om beslutet.
14 §
Ett beslut om tvångsåtgärder enligt 8 § ska upphävas helt eller delvis om det inte längre finns förutsättningar för beslutet, eller beslutet av någon annan anledning inte bör kvarstå.
Förvaltningsrätten i Stockholm ska pröva om ett beslut om tvångsåtgärder ska upphävas helt eller delvis om tillsynsmyndigheten eller den som beslutet gäller begär det eller om det annars finns skäl för det. Förvaltningsrätten ska på eget initiativ ompröva ett beslut om tvångsåtgärder var sjätte vecka.
Innan ett beslut om tvångsåtgärder enligt 8 § upphävs helt eller delvis ska tillsynsmyndigheten ges tillfälle att yttra sig.
Den som ett beslut om tvångsåtgärder gäller ska upplysas om sin rätt att begära att ett beslut ska upphävas.
15 §
Tillsynsmyndigheten ska omedelbart begära att ett beslut om tvångsåtgärder enligt 8 § ska upphävas om det inte längre finns skäl för beslutet.
16 §
När ett beslut om tvångsåtgärder enligt 8 § upphävs ska omhändertagen egendom lämnas ut till den aktör som beslutet gäller. Omhändertagen egendom får dock lämnas ut till en annan aktör om tillsynsmyndigheten begär det, och det framgår av ett lagakraftvunnet beslut att egendomen ska överlämnas till den andra aktören.
Gemensamma bestämmelser
17 §
Beslut enligt 7, 8 och 11 §§ gäller omedelbart.
18 §
Ärenden och mål som rör åtgärder enligt 7, 8 och 11 §§ ska handläggas skyndsamt.
Verkställighet
19 §
Beslut om tvångsåtgärder enligt 8 och 11 §§ verkställs av Kronofogdemyndigheten på ansökan av tillsynsmyndigheten. Tillsynsmyndigheten får dock verkställa beslut enligt 11 §, om det kan ske obehindrat.
Om det är fara i dröjsmål eller om det av annan anledning bedöms vara lämpligt, får beslut om tvångsåtgärder enligt 8 och 11 §§ verkställas av Säkerhetspolisen.
20 §
Beslut om tvångsåtgärder enligt 8 och 11 §§ får verkställas utan att den som beslutet gäller har underrättats om beslutet om det finns synnerliga skäl för att avvakta med underrättelsen. Om den som beslutet gäller inte har underrättats om beslutet innan det verkställts, ska underrättelse lämnas omedelbart efter verkställigheten.
21 §
Ett beslut om tvångsåtgärder enligt 8 § upphör att gälla om verkställigheten inte har påbörjats inom en månad från dagen för beslutet.
22 §
Vid verkställighet enligt 19 § får Kronofogdemyndigheten och Säkerhetspolisen genomsöka en lokal, en förvaringsplats eller ett annat utrymme.
Om ett utrymme som behöver genomsökas är tillslutet får Kronofogdemyndigheten och Säkerhetspolisen öppna lås eller ta sig in på annat sätt. Myndigheterna får även i övrigt använda tvång om det kan anses befogat med hänsyn till omständigheterna. Våld mot person får dock användas bara om myndigheten möter motstånd och det med hänsyn till ändamålet med beslutet om tvångsåtgärder kan anses försvarligt.
23 §
Vid verkställighet får tekniska hjälpmedel som finns där beslutet verkställs användas om det är nödvändigt.
7 kap.
1 §
Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som
1. har åsidosatt sina skyldigheter enligt någon av
a) 2 kap. 1 § första eller andra stycket, 5 §, 6 § första stycket eller 7 § eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
b) 3 kap. 1–4 eller 6–9 §§ eller 11 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
b) 3 kap. 1–4, 4 e eller 6–9 §§ eller 11 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
c) 4 kap. 1 eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
c) 4 kap. 1, 1 a eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
2. inte har kontrollerat säkerhetsskyddet i den egna verksamheten enligt 2 kap. 1 § tredje stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
3. inte har kontrollerat att motparten följer säkerhetsskyddsavtalet enligt 4 kap. 5 § första stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
4. har inlett ett förfarande i strid med ett förbud som har meddelats med stöd av 4 kap. 11 § eller har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller
5. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 9 eller 15 § eller tillsyn.
8 kap.
4 §
Beslut om föreläggande enligt 4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§ eller sanktionsavgift enligt 7 kap. får överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten.
Beslut om föreläggande enligt 4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§, tvångsåtgärder enligt 6 kap.
11 § eller sanktionsavgift enligt
7 kap. får överklagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten, dock inte
vid överklagande av beslut om tvångsåtgärder enligt 6 kap. 11 §.
Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.
Vad som sägs om rätten att överklaga förelägganden enligt första och andra stycket gäller även för interimistiska förelägganden som har beslutats med stöd av 6 kap. 7 §.
Andra beslut enligt denna lag får inte överklagas.
1. Denna lag träder i kraft den dag som regeringen bestämmer i fråga om 3 kap. 13 § första stycket 4 och i övrigt den 1 juli 2026.
2. Regeringen får meddela de övergångsbestämmelser som behövs när 3 kap. 14 § första stycket 4 träder i kraft.
3. Bestämmelserna i 3 kap. 13 och 14 §§ i den nya lydelsen tillämpas även för registerkontroller som har påbörjats före ikraftträdandet.
4. Den som omfattas av 4 kap. 1 a § vid ikraftträdandet ska senast den 1 januari 2027 ha inkommit med anmälan till tillsynsmyndigheten.
5. Bestämmelsen i 4 kap. 12 § i den nya lydelsen tillämpas även för pågående förfaranden som har inletts före ikraftträdandet.
1.2. Förslag till förordning om ändring i säkerhetsskyddsförordningen (2021:955)
Härigenom föreskrivs att 8 kap.3 och 5 §§säkerhetsskyddsförordningen (2021:955) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 kap.
3 §
Säkerhetspolisen och Försvarsmakten får, om det finns särskilda skäl, ta över tillsynsansvaret för en verksamhetsutövare som hör till någon av de andra tillsynsmyndigheternas tillsynsområde eller för en aktör som
en sådan verksamhetsutövare har ingått säkerhetsskyddsavtal med enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585). När det inte
längre finns skäl för övertagandet ska tillsynsansvaret återgå till tillsynsmyndigheten. Tillsynsmyndigheten ska underrättas vid övertagandet och när tillsynsansvaret återgår.
Säkerhetspolisen och Försvarsmakten får, om det finns särskilda skäl, ta över tillsynsansvaret för en verksamhetsutövare som hör till någon av de andra tillsynsmyndigheternas tillsynsområde eller för den andra
aktören i ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585) eller av anmälningsplikt enligt 4 kap. 1 a § säkerhetsskyddslagen.
När det inte längre finns skäl för övertagandet ska tillsynsansvaret återgå till tillsynsmyndigheten. Tillsynsmyndigheten ska underrättas vid övertagandet och när tillsynsansvaret återgår.
5 §
Det som anges om undantag för brottsbekämpande verksamhet i 3 § förvaltningslagen (2017:900) gäller inte vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden och förbud enligt säkerhetsskyddslagen (2018:585). Det-
Det som anges om undantag för brottsbekämpande verksamhet i 3 § förvaltningslagen (2017:900) gäller inte vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden och förbud, och tvångs-
åtgärder enligt säkerhetsskydds-
samma gäller i fråga om tillsyn och sanktionsavgifter enligt säkerhetsskyddslagen.
lagen (2018:585). Detsamma gäller i fråga om tillsyn och sanktionsavgifter enligt säkerhetsskyddslagen.
Denna förordning träder i kraft den 1 juli 2026.
1.3. Förslag till förordning om ändring i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet
Härigenom föreskrivs att 8 § förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 §
På begäran av Säkerhetspolisen ska lämnas ut uppgifter som avses i 2 kap. 5 § 1–7 lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, om uppgifterna avser en person som förekommer i ett ärende om särskild person-
utredning enligt 3 kap. 17 § säker-
På begäran av Säkerhetspolisen ska lämnas ut uppgifter som avses i 2 kap. 5 § 1–7 lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, om uppgifterna avser en person som förekommer i ett ärende om registerkontroll enligt 3 kap. säkerhetsskyddslagen (2018:585). På begäran av
Säkerhetspolisen ska också lämnas ut uppgifter som avses i 2 kap. 11 § 1–5 och 17 § 1–5 lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, om uppgifterna avser en person som förekommer i ett ärende om särskild personutredning enligt 3 kap. säkerhetsskyddslagen .
Denna förordning träder i kraft den 1 juli 2026.
1.4. Förslag till förordning om ändring i vägtrafikdataförordningen (2019:382)
Härigenom föreskrivs i fråga om vägtrafikdataförordningen (2019:382) att det ska införas en ny paragraf, 5 kap. 13 b §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
13 b §
På begäran av Säkerhetspolisen ska uppgifter om anmälan enligt 7 kap. 9 § 3 körkortsförordningen (1998:980) lämnas ut, om uppgifterna avser en person som förekommer i ett ärende om registerkontroll enligt 3 kap. säkerhetsskyddslagen (2018:585) .
Denna förordning träder i kraft den 1 juli 2026.
2. Utredningens uppdrag och genomförande
2.1. Utredningens uppdrag
Regeringen beslutade den 26 oktober 2023 att ge en särskild utredare i uppdrag att föreslå åtgärder för att stärka kontrollen av skyddsvärd verksamhet. Syftet med uppdraget har varit att öka förmågan att möta förändrade förhållanden som innebär ett hot mot Sveriges säkerhet. Vi har bl.a. haft i uppdrag att
- föreslå en ordning för hur en statlig myndighet ska kunna ingripa i avtalsförhållanden och andra pågående förfaranden som av säkerhetsskäl behöver avslutas eller på annat sätt förändras,
- analysera förutsättningarna för ett system där enskilda verksamhetsutövare ska kunna få ersättning för kostnader som uppstått på grund av ett statligt ingripande i en avtalsrelation eller annat pågående förfarande,
- föreslå ett system med tvångsåtgärder i säkerhetsskyddslagen som ska kunna tillämpas vid fara i dröjsmål i samband med aktiviteter som kan skada Sveriges säkerhet,
- kartlägga och föreslå vilka register som Säkerhetspolisen bör kunna inhämta uppgifter från vid registerkontroll, och
- lämna nödvändiga författningsförslag.
En fullständig uppdragsbeskrivning finns i regeringens direktiv, som bifogas som bilaga 1 till betänkandet. Uppdragets olika delar beskrivs också i kapitel 4–7.
Enligt direktivet skulle uppdraget redovisas senast den 29 november 2024. Genom tilläggsdirektiv den 28 november 2024 förlängdes
emellertid utredningstiden till den 26 mars 2025, se bilaga 2 till betänkandet.
2.2. Utredningens arbete
Vårt arbete har bedrivits på sedvanligt sätt, med regelbundna sammanträden med sakkunniga och experter. Utredningen har haft sju protokollförda sammanträden, vara ett tvådagarssammanträde i internatform. Utöver dessa möten har underhandskontakter skett mellan den särskilde utredaren, sekretariatet samt utredningens sakkunniga och experter.
Vi har under arbetets gång, i varierande omfattning, samrått med Säkerhetspolisen, Registerkontrolldelegationen, Kronofogdemyndigheten, Migrationsverket, Transportstyrelsen, Skatteverket, Tullverket, Kriminalvården, Polismyndigheten och Integritetsskyddsmyndigheten.
Vi har också hållit oss informerade om och beaktat relevant arbete som pågår inom Regeringskansliet och kommittéväsendet. Vi har bl.a. haft möten och dialog med företrädare för Utredningen om kontroll vid överlåtelse och upplåtelse av egendom av väsentlig betydelse för totalförsvaret (Fö 2022:03), Utredningen om Säkerhetspolisens informationshantering (Ju 2023:02) och Utredningen om en förbättrad process för säkerhetsprövningar (Ju 2023:11).
2.3. Betänkandets disposition
Kapitel 3 är tänkt att ge en mer allmän bakgrund till kapitel 4–8 som innehåller våra överväganden, förslag och bedömningar. I kapitlet redogör vi för bakgrunden till vårt uppdrag och utvecklingen på säkerhetsskyddsområdet. I kapitlet finns också en översiktlig redogörelse för säkerhetsläget och hotbilden mot Sverige samt av säkerhetsskyddsregleringen. Kapitlet innehåller också en redogörelse för de grundläggande fri- och rättigheter som våra förslag aktualiserar.
I kapitel 4 behandlar vi frågan om statliga ingripanden i pågående förfaranden. Våra överväganden och bedömningar vad gäller frågan om rätten till ersättning vid sådana ingripanden behandlas i kapitel 5. Frågan om tvångsåtgärder behandlas i kapitel 6. Den del av vårt uppdrag som rör registerkontroll enligt säkerhetsskyddslagen behandlas
i kapitel 7. I kapitel 8 redovisas föreslagen tidpunkt för ikraftträdande av föreslagna ändringar och våra förslag om övergångsbestämmelser.
I efterföljande kapitel finns en konsekvensbeskrivning (kapitel 9) och en författningskommentar (kapitel 10).
3. Bakgrund och viss relevant reglering
3.1. Inledning
Det här kapitlet ska i första hand tjäna som en bakgrund till framställningarna i kapitel 4–7. I avsnitt 3.2 redogör vi för bakgrunden till vårt uppdrag och ger en kortfattad beskrivning av utvecklingen på säkerhetsskyddsområdet de senaste åren. Eftersom vårt uppdrag har föranletts av omvärldsläget innehåller detta kapitel även en beskrivning av det säkerhetspolitiska läget och hotbilden mot Sverige (avsnitt 3.3). Kapitlet innehåller vidare en översiktlig redogörelse för säkerhetsskyddslagstiftningen (avsnitt 3.4). Relevanta delar av lagstiftningen kommer att behandlas mer ingående i respektive övervägandekapitel. Slutligen redogör vi också, i avsnitt 3.5, för de grundläggande fri- och rättigheter som våra förslag aktualiserar.
3.2. Utvecklingen på säkerhetsskyddsområdet och bakgrunden till vårt uppdrag
Säkerhetsskydd är förebyggande åtgärder som ska skydda säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter mot i första hand antagonistiska angrepp (såsom spioneri, sabotage och terroristbrott). Genom säkerhetsskyddslagstiftningen uppställs krav på aktörer som bedriver säkerhetskänslig verksamhet, verksamhetsutövare, att kontinuerligt analysera behovet av säkerhetsskydd och vidta de säkerhetsskyddsåtgärder som krävs för att förhindra att verksamheten utsätts för risker. Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2021:955).
Under 2000-talet har det skett stora förändringar på säkerhetsskyddsområdet. Det försämrade säkerhetspolitiska läget både globalt och i Sveriges närhet, samhällsutvecklingen med digitalisering och en ökning av säkerhetskänslig verksamhet som bedrivs i enskild regi samt en ökad internationell samverkan har lett till att hotbilden mot Sverige har förändrats, och medfört andra krav på säkerhetsskyddet .1Som en följd av detta inleddes 2011 en stor översyn och omarbetning av den gamla säkerhetsskyddslagen (1996:627). Arbetet resulterade i en helt ny säkerhetsskyddslag (och en tillhörande förordning) som trädde i kraft den 1 april 2019. Omarbetningen av den gamla säkerhetsskyddslagen syftade till att förstärka, och bredda synen på, säkerhetsskydd. I det nya regelverket förtydligas att säkerhetsskyddslagstiftningen inte bara gäller i allmän utan också i enskilt bedriven verksamhet, såsom bolag och föreningar. Regelverket innebär också ett förbättrat skydd för bl.a. samhällsviktiga informationssystem och tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet.
Arbetet med att stärka skyddet för säkerhetskänslig verksamhet har fortsatt efter införandet av den nya säkerhetsskyddslagen. Under 2021 trädde flera lagändringar i kraft. Det huvudsakliga syftet med ändringarna var att komma till rätta med de risker för Sveriges säkerhet som exponering av säkerhetskänslig verksamhet för utomstående (t.ex. utkontrakteringar) kan innebära, och numera finns ett samlat regelverk för skyldigheter när en annan aktör kan få del av säkerhetskänslig verksamhet i 4 kap. säkerhetsskyddslagen. Regelverket innehåller bl.a. en möjlighet för tillsynsmyndigheterna på säkerhetsskyddsområdet att under vissa förutsättningar ingripa mot pågående förfaranden som är problematiska från säkerhetsskyddssynpunkt.
Ändringarna som gjordes 2021 innebar en kraftig ambitionshöjning för säkerhetsskyddet, bl.a. i och med att tillsynsverksamheten på området ändrades från i huvudsak rådgivande och stödjande verksamhet till tillsyn i mer traditionell mening. Detta genom att det infördes särskilda befogenheter för utövande av tillsyn och befogenheter att ingripa mot den som inte sköter sitt säkerhetsskydd. Det hastigt försämrade säkerhetspolitiska läget har emellertid visat
1Prop. 2017/18:89 s. 33 ff. Mer ingående beskrivningar av förändringsfaktorerna finns i betänkandena En ny säkerhetsskyddslag (SOU 2015:25) och Kompletteringar till den nya
säkerhetsskyddslagen (SOU 2018:82).
att säkerhetsskyddslagstiftningen inte fullt ut kan hantera de förhållanden som råder i dag. Av våra direktiv framgår att vårt uppdrag har föranletts av vissa händelser som har synliggjort begränsningar i möjligheten att ingripa mot förfaranden som kan vara skadliga för Sveriges säkerhet. Vårt uppdrag är emellertid också en del av det omfattande arbete som just nu pågår för att göra skyddet för svenska säkerhetsintressen så heltäckande som möjlig t.2Förutom uppdraget att se över möjligheterna för staten att ingripa mot förfaranden som kan vara skadliga för Sveriges säkerhet, har vi nämligen också haft i uppdrag att lämna förslag om ett system med tvångsåtgärder som ska kunna användas när det finns risk för skada för Sveriges säkerhet och det är fara i dröjsmål, samt göra en översyn av och lämna förslag som kan göra registerkontrollen som görs inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen mer effektiv och ändamålsenlig.
Eftersom ingripanden mot avtalsförhållanden och andra pågående förfaranden kan leda till stora kostnader för den som drabbas av en sådan åtgärd har vi också haft i uppdrag att bedöma om det bör införas en möjlighet att få ersättning för kostnader som uppstår vid ett statligt ingripande i ett pågående förfarande.
En närmare redogörelse för de olika delarna av vårt uppdrag finns i respektive övervägandekapitel.
2 Som exempel kan följande lagändringar och lagstiftningsärenden nämnas. Den 1 december 2023 infördes lagen (2023:560) om granskning av utländska direktinvesteringar som syftar till att hindra utländska direktinvesteringar i svensk skyddsvärd verksamhet som kan inverka skadligt på Sveriges säkerhet eller på allmän ordning eller allmän säkerhet i Sverige. I december 2024 lämnade Utredningen om kontroll vid överlåtelse och upplåtelse av egendom av väsentlig betydelse för totalförsvaret (Fö 2022:03) över sitt betänkande Skärpt kontroll av utländska
fastighetsförvärv (SOU 2024:84) till regeringen. I betänkandet lämnar utredningen förslag
om att det ska införas ett nytt kontrollsystem för vissa överlåtelser och upplåtelser av fast egendom som är av väsentlig betydelse för totalförsvaret. I december 2024 lämnade även Utredningen om en förbättrad process för säkerhetsprövningar (Ju 2023:11) över sitt betänkande (Säkerhetsprövningar – nya regler, SOU 2024:88) med förslag på ändringar i 3 kap. säkerhetsskyddslagen. Parallellt med vår utredning görs också en översyn av Säkerhetspolisens informationshantering och underrättelseverksamheten i Sverige (se dir. 2023:64 och 2023:150).
3.3. Närmare om det säkerhetspolitiska läget och hotbilden mot Sverige
Det säkerhetspolitiska läget både globalt och i Sveriges närhet har försämrats de senaste åren. Sverige och Europa befinner sig nu, enligt regeringen, i det allvarligaste säkerhetspolitiska läget sedan andra världskrigets slut.
I propositionen Totalförsvaret 2025–2030 konstaterar regeringen att Rysslands fullskaliga invasion av Ukraina har försämrat säkerhetsläget i Europa, Sverige och närområdet i grunden och för lång tid framåt. Vidare görs bedömningen att ett väpnat angrepp mot Sverige eller våra allierade inte kan uteslutas, och att det inte heller kan uteslutas att militära maktmedel eller hot om sådana kan komma att användas mot Sverige eller våra allierade. I propositionen uppges också att det finns en bred och alltmer komplex hotbild mot Sverige och svenska intressen samt ökade risker för svensk säkerhet. Hoten omfattar bl.a. otillbörlig informationspåverkan, cyberangrepp, illegal underrättelseinhämtning, terrorism och sabotage, hot mot samhällsviktig verksamhet och utnyttjande av ekonomiska beroenden .3
Säkerhetspolisen och den militära underrättelse- och säkerhetstjänsten ger i sina respektive årsrapporter för 2023/2024 också uttryck för ett bestående allvarligt säkerhetspolitiskt läge och ökade risker för Sveriges säkerhet. Av rapporterna framgår bl.a. följande. Hotbilden mot Sverige har sedan flera år tillbaka förhöjts och dessutom blivit alltmer komplex eftersom flera olika hot går in i, och förstärker, varandra. Det rör sig bl.a. om förnekbara angrepp, desinformation, systematiska systemhotande aktiviteter och ett fortsatt högt terrorhot. Något som är extra påtagligt är säkerhetshotet från främmande makt. Flera stater utmanar internationella normer och utför kontinuerligt operationer i syfte att påverka opinioner, politiska beslut eller ekonomiska förhållanden i andra länder, men också för att stjäla information och kunskap. Eftersom Sverige ligger långt fram inom utveckling, innovation och kunskap är vi ett attraktivt mål för sådana operationer och det allvarliga omvärldsläget gör det än mer viktigt att skydda säkerhetskänslig verksamhet och samhällsviktiga funktioner som t.ex. energiförsörjning, transporter, telekom och den finansiella sektorn, och förhindra att främmande
makt stärker sin egen förmåga på bekostnad av Sverige och andra länder.
Ryssland beskrivs i nämnda rapporter som det enskilt största hotet mot svenska säkerhetsintressen. Ryssland har en operativ militär planering som omfattar Sverige och närområdet, vilket gör att rysk underrättelseverksamhet riktas mot stora delar av Försvarsmakten, totalförsvaret och försvarsindustrin. Underrättelseverksamhet pågår också i förhållande till civila förmågor och civil infrastruktur som Försvarsmakten är beroende av, samt mot politiskt beslutsfattande. Även andra länder, framför allt Kina och Iran, beskrivs bedriva systematisk underrättelseverksamhet och annan säkerhetshotande verksamhet mot Sverige.
3.4. Översiktlig redogörelse för säkerhetsskyddslagstiftningen
Definitionen av säkerhetsskydd finns i 1 kap. 2 § säkerhetsskyddslagen. Med säkerhetsskydd avses enligt nämnda bestämmelse skydd av i första hand säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Uppgifter som rör säkerhetskänslig verksamhet och som därför är sekretessbelagd, eller som skulle ha varit det om offentlighets- och sekretesslagen (2009:400) hade varit tillämplig, kallas för säkerhetsskydds-
klassificerade uppgifter. Med säkerhetsskydd avses också skydd för
sådana uppgifter – inte bara mot brottsliga angrepp utan även mot andra oavsiktliga händelser som kan leda till att uppgifter röjs, ändras, förstörs eller görs otillgängliga.
”Säkerhetskänslig verksamhet” är, som framgår ovan, ett grundläggande begrepp i säkerhetsskyddslagen. Av 1 kap. 1 § säkerhetsskyddslagen framgår att en verksamhet är säkerhetskänslig om den har betydelse för Sveriges säkerhet eller om den omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige. Uttrycket Sveriges säkerhet tar sikte på förhållanden av grundläggande betydelse för Sverige och de särskilt skyddsvärda verksamheter som är tänkta att omfattas av lagstiftningen karaktäriseras av att de har betydelse för Sveriges säkerhet ur ett nationellt perspektiv. Det kan handla om både militär och civil verksamhet, så länge verksamheten har en sådan betydelse. Civila verksamheter av
sådan betydelse finns ofta inom sektorerna energiförsörjning, livsmedelsförsörjning, transporter, finansiella tjänster, elektroniska kommunikationer och vattenförsörjnin g.4
Säkerhetsskyddslagen innehåller inte någon exemplifiering av vilka sorters verksamheter som är eller kan vara säkerhetskänsliga. Anledningen till detta är att säkerhetsskyddslagstiftningen ska vara utformad på ett sätt som gör att den står sig över tid och kan skydda mot hot av olika karaktärer, även mot framtida hot som inte kan förutses. Lagen måste därför vara dynamisk och ska, enligt förarbetena, inte utformas med specifika hot eller verksamheter i åtanke. Vilka verksamheter som anses utgöra säkerhetskänslig verksamhet och därmed omfattas av säkerhetsskyddslagen kan således variera över tid .5
Det är den som till någon del bedriver säkerhetskänslig verksamhet, verksamhetsutövaren, som omfattas av säkerhetsskyddslagen och är skyldig att bedriva ett säkerhetsskyddsarbete. Grundläggande för lagstiftningen är att ansvaret för identifiering och bedömning av behovet av säkerhetsskydd är knutet till verksamhetsutövaren. Arbetet med säkerhetsskydd behöver alltså i princip föregås av ett aktivt ställningstagande från verksamhetsutövaren till frågan om man till någon del bedriver säkerhetskänslig verksamhet .6Den 1 december 2021 infördes en sanktionerad anmälningsplikt. Av 2 kap. 6 § säkerhetsskyddslagen följer att en verksamhetsutövare utan dröjsmål ska anmäla att den bedriver säkerhetskänslig verksamhet till tillsynsmyndigheten. Den som bedriver verksamhet som kan vara känslig ur ett nationellt perspektiv måste således, för att inte riskera att påföras sanktionsavgift, hålla sig informerad om lagstiftningen och kontinuerligt utvärdera och bedöma om någon del av verksamheten kan vara säkerhetskänslig.
Lagstiftningen uppställer flera olika krav på den som bedriver säkerhetskänslig verksamhet. De grundläggande skyldigheterna för verksamhetsutövarna framgår av 2 kap. 1 § säkerhetsskyddslagen. Kärnan i säkerhetsskyddarbetet är den säkerhetsskyddsanalys som alla verksamhetsutövare ska genomföra. Genom en sådan analys ska verksamhetsutövaren utreda behovet av säkerhetsskydd. Inom ramen för analysen ska bl.a. de säkerhetsskyddsklassificerade uppgifter som
4Prop. 2017/18:89 s. 40 och 44. 5 Jfr SOU 2015:25 s. 245. 6Prop. 2017/18:89 s. 43.
finns i verksamheten identifieras, och delas in i säkerhetsskyddsklasser (kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig) utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet (2 kap. 5 § säkerhetsskyddslagen).
Med utgångspunkt i säkerhetsskyddsanalysen ska verksamhetsutövaren vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Merparten av säkerhetsskyddsåtgärderna kan sorteras in under kategorierna informationssäkerhet, fysisk säkerhet eller personalsäkerhet, som beskrivs i 2 kap.2–4 §§säkerhetsskyddslagen. Informationssäkerhet tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter och ska bl.a. förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga personer får tillträde till säkerhetskänsliga områden, byggnader och andra anläggningar eller objekt. Personalsäkerhet handlar om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd. Gemensamt för samtliga säkerhetsskyddsåtgärder är att de syftar till att förebygga, upptäcka, fördröja (eller i bästa fall förhindra) samt hantera säkerhetshotande verksamhet .7
Verksamhetsutövarnas säkerhetsskyddsarbete granskas av ett flertal olika tillsynsmyndigheter (se 8 kap. 1 § säkerhetsskyddsförordningen). I 6 kap.2–5 §§säkerhetsskyddslagen regleras tillsynsmyndigheternas undersökningsbefogenheter. Tillsynsmyndigheterna har bl.a. rätt att få del av den information som behövs för tillsynen, samt att få tillträde till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av tillsyn. Tillsynsmyndigheterna har också befogenhet att ingripa mot en verksamhetsutövare som inte uppfyller säkerhetsskyddslagens krav, bl.a. genom att besluta om åtgärdsföreläggande förenat med vite (6 kap. 6 § säkerhetsskyddslagen) eller genom att besluta om att ta ut en administrativ sanktionsavgift (7 kap.1–8 §§säkerhetsskyddslagen). Tillsynsmyndigheternas befogenheter är inte beroende av att anmälan enligt 2 kap. 6 § säkerhetsskyddslagen har skett.
Av 8 kap. 2 § säkerhetsskyddsförordningen framgår att Säkerhetspolisen och Försvarsmakten är samordningsmyndigheter. Detta innebär bl.a. att de ska utveckla arbetet med tillsyn och samråd och tillhandahålla metodstöd för detta, samt förmedla relevant hotinformation till tillsynsmyndigheterna. Av 8 kap. 3 § säkerhetsskyddsförordningen framgår att Säkerhetspolisen och Försvarsmakten, om det finns särskilda skäl, också får ta över tillsynsansvaret från en annan tillsynsmyndighet.
3.5. Grundläggande fri- och rättigheter
3.5.1. Inledning
Av våra direktiv följer att förslag som kan påverka egendomsskyddet eller näringsfriheten ska analyseras i förhållande till bestämmelserna i 2 kap.15 och 17 §§regeringsformen. Av direktiven följer vidare att vi ska analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten och hur förslagen förhåller sig till 2 kap. 6 § andra stycket regeringsformen. Vi har även i uppdrag att analysera hur förslagen förhåller sig till bestämmelsen om forskningens frihet i 2 kap. 18 § andra stycket regeringsformen. De förslag som lämnas ska också vara förenliga med Sveriges internationella åtaganden, bl.a. den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). I det här avsnittet redogör vi för nämnda bestämmelser och vissa centrala regler som följer av internationella åtaganden. Analyserna av hur våra respektive förslag förhåller sig till de grundläggande fri- och rättigheterna återfinns i avsnitt 4.5, 6.5 och 7.11.
3.5.2. Egendomsskyddet
Regeringsformen
I 2 kap. 15 § regeringsformen regleras egendomsskyddet. Av bestämmelsens första stycke framgår att ingen kan tvingas avstå sin egendom till det allmänna eller till någon enskild genom expropriation eller något annat sådant förfogande eller tåla att det allmänna
inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen.
Det är två olika sorters ingrepp som omfattas av egendomsskyddet i regeringsformen. Dels expropriation eller annat sådant förfogande. Dels andra inskränkningar av det allmänna i användningen av mark och byggnader, s.k. rådighetsinskränkningar. Portalstadgandet (att var och ens egendom ska vara tryggad) anger det huvudsakliga syftet bakom egendomsskyddet, men har inte någon självständig rättslig betydelse.
Med expropriation eller annat sådant förfogande avses att en förmögenhetsrätt – dvs. äganderätt eller annan rätt med ett ekonomiskt värde, t.ex. nyttjanderätt, servitut eller vägrätt – tvångsvis överförs eller tas i anspråk .8Våra förslag rör inte expropriation eller annat sådant förfogande och vi kommer därför inte gå in närmare på sådana ingrepp i den fortsatta framställningen.
En rådighetsinskränkning i grundlagens mening är när det allmänna, utan att ta egendomen i anspråk, hindrar viss användning av densamma. Grundlagsskyddet mot rådighetsinskränkningar omfattar bara användningen av fast egendom, närmare bestämt mark eller bygg-
nad. Med inskränkningar i användningen av mark eller byggnad
avses, enligt förarbetena, allehanda inskränkningar i form av byggnadsförbud, användningsförbud, åtgärder enligt skogsvårdslagen (1979:429), strandskyddsförordnande, beslut om naturreservat m.m. Det är således inskränkningar genom byggnadsreglerande eller mark-
reglerande bestämmelser som omfattas av grundlagsskyddet .9Bestäm-
melsens ordalydelse och de exempel på åtgärder som anges i förarbetena ger stöd för tolkningen att bestämmelsen endast avser det
fysiska nyttjandet av mark eller byggnad, och att sådana rådighets-
inskränkningar där den enskilde hindras från att rättsligen förfoga över sin egendom genom att fritt överlåta eller upplåta egendom faller utanför tillämpningsområdet .10För att en åtgärd ska anses utgöra en rådighetsinskränkning i grundlagens mening bör det
8Prop. 2009/10:80 s. 163 f. 9Prop. 1993/94:117 s. 49. 10 Rådighetsinskränkningar beskrivs i bestämmelsen som en inskränkning av användningen av mark eller byggnad, och i bestämmelsens andra stycke talas om pågående användning av viss del av fastigheten. Avgränsningsfrågan har behandlats av Bertil Bengtsson i Grundlagen
och fastighetsrätten, 1996, s. 25 och i SOU 2013:59 s. 40. Inskränkningar i rätten att rättsligen
förfoga över sin egendom kan emellertid vara lika betungande för enskilda som inskränkningar i det egna nyttjandet av egendomen och sådana inskränkningar bör därför kunna jämföras med rådighetsinskränkningar vid bedömningen av frågan om det bör finnas särskild rätt till ersättning (jfr SOU 2019:34 s. 278 f.).
vidare krävas att ingreppet i den enskildes rätt att använda sin egendom är av viss dignitet. Rent bagatellartade åtgärder, som endast är av ringa betydelse för den enskilde, kan inte sägas utgöra en sådan inskränkning som avses i bestämmelsen .11
Det är inte bara den som innehar mark eller byggnader med äganderätt som omfattas av skyddet mot rådighetsinskränkningar, utan skyddet omfattar också den som innehar sådan egendom med någon form av nyttjanderätt .12
Egendomsskyddet i 2 kap. 15 § första stycket regeringsformen innebär inte att den enskildes egendom är ovillkorligt tryggad. Ingrepp av de slag som omfattas av bestämmelsen får ske, men endast om det krävs för att tillgodose angelägna allmänna intressen. Bedömningen av vad som är ett sådant intresse ska göras utifrån vad som kan anses vara godtagbart från rättssäkerhetssynpunkt i ett modernt och demokratiskt samhälle. Det kan t.ex. röra sig om samhällets behov av mark för naturvårds- och miljöintressen, totalförsvarsändamål och för bostadsbyggande, trafikleder, rekreation och andra liknande ändamål .13
Förutom de rekvisit som framgår direkt av bestämmelsen innefattar egendomsskyddet enligt 2 kap. 15 § regeringsformen också ett krav på att ingreppet – i varje enskilt fall – ska vara proportionerligt. Den proportionalitetsbedömning som ska göras tar sikte på ingreppets ändamålsenlighet och nödvändighet, samt om den fördel som det allmänna vinner står i rimlig proportion till den skada som ingreppet förorsakar den enskild e.14
I 2 kap. 15 § andra stycket regeringsformen finns också bestämmelser om rätten till ersättning för den som blir föremål för sådana ingrepp som avses i första stycket (expropriation eller liknande åtgärder samt rådighetsinskränkningar). Vi återkommer till frågan om ersättning vid ingrepp i egendomsskyddet i kapitel 5.
11SOU 2013:59 s. 40 f. Jfr kraven för att ersättning ska utgå för rådighetsinskränkningar (användningen ska försvåras avsevärt alternativt ska ingreppet ha lett till betydande skada) som följer av bestämmelsens andra stycke. 12Prop. 1993/94:117 s. 49. 13 A.a. s. 48. 14 Se bl.a. NJA 2018 s. 753.
Europakonventionen
Äganderätten skyddas också genom artikel 1 i första tilläggsprotokollet till Europakonventionen. Enligt första stycket i nämnda artikel ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom. Vidare föreskrivs att ingen får berövas sin egendom annat än i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grundsatser. Av andra stycket framgår att principen om respekt för äganderätten, som kommer till uttryck i första stycket, inte inskränker en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överensstämmelse med det allmännas intresse eller för att säkerställa betalning av skatter eller andra pålagor eller av böter och viten.
Begreppet ”egendom” ska i detta sammanhang ges en autonom och vidsträckt innebörd. Det omfattar inte bara fast och lös egendom av olika slag utan också begränsade sakrätter av ekonomiskt värde, fordringar och immateriella rättigheter. Även ekonomiska intressen och förväntningar avseende utövande av näringsverksamhet omfattas av skyddet. Europadomstolen har i ett flertal avgöranden uttalat att ett företags förvärvade rättigheter och goodwill kan utgöra sådan egendom som omfattas av artikel 1.15I linje med detta har t.ex. återkallande av tillstånd att bedriva viss ekonomisk verksamhet och åtgärder som lett till att en näringsidkare förlorat en upparbetad kundkrets bedömts kunna utgöra ingrepp i äganderätten .16Egendomsskyddet omfattar dock bara befintliga tillgångar. Rena affärsmöjligheter eller affärsintressen faller utanför artikelns tillämpningsområde. Detsamma gäller som utgångspunkt även framtida inkomst, som bara utgör egendom när den blivit intjänad eller om det finns ett verkställbart krav .17Förväntningar om att kunna bedriva en viss verksamhet skyddas bara i den utsträckning som förväntan är
legitim. Med detta avses att förväntan baseras på en konkret och
15 Se bl.a. Europadomstolens dom den 7 juli 1989, Tre traktörer Aktiebolag mot Sverige (no. 10873/84), den 13 mars 2012, Malik mot Förenade kungariket (no. 23780/08), p. 93, och den 26 juni 1986, Van Marle m.fl. mot Nederländerna (no. 8543/79 m.fl., serie A nr 101), p. 41. 16 H. Danelius m.fl., Mänskliga rättigheter i europeisk praxis, En kommentar till Europakonven-
tionen om de mänskliga rättigheterna (2023, version 6, JUNO), s. 696, SOU 2008:125 s. 431
och Europadomstolens dom den 16 oktober 2018, Könyv-Tár Kft m.fl. mot Ungern (no. 21623/13), p. 42 och 43. 17 Se bl.a. Europadomstolens dom den 13 mars 2012, Malik mot Förenade kungariket (no. 23780/08), p. 88 och 93.
reell rättslig grund, t.ex. en lagbestämmelse eller ett rättsligt avgörand e.18
Av Europadomstolens praxis följer att artikel 1 innehåller tre olika rättsregler. Den första regeln slår fast principen om respekt för äganderätten (första stycket första meningen), den andra uppställer villkoren för berövande av egendom (första stycket andra meningen) och den tredje behandlar förutsättningarna för att göra inskränkningar i rätten att använda egendom (andra stycket). De två sista reglerna avser särskilda fall av ingrepp i äganderätten och ska tolkas i ljuset av den allmänna principen om respekt för äganderätten .19I de fall där en åtgärd varken utgör ett egendomsberövande enligt första stycket andra meningen eller reglerar nyttjandet av egendom i det allmännas intresse enligt andra stycket, kan ett ingrepp i äganderätten under vissa omständigheter anses strida mot den allmänna bestämmelsen i första stycket första meningen. Den allmänna principen om respekt för äganderätten har alltså getts en självständig betydelse utöver vad som i övrigt föreskrivs i artikel 1 .20Det finns vissa gränsdragningsproblem vad gäller de olika rättsreglerna och det är inte helt lätt att avgöra under vilken rättsregel ett visst ingrepp kommer att sorteras in. De principer som gäller är emellertid desamma; ingreppet ska tjäna ett allmänt intresse, vara lagligt och proportionerligt.
Det är i första hand de nationella organen som har att bedöma vad som är ”i det allmännas intresse”, och vilka åtgärder som är nödvändiga för att tillgodose sådana intressen. I denna fråga har lagstiftaren ett stort bedömningsutrymme. Europadomstolen kan emellertid pröva om bedömningen framstår som rimlig utifrån de faktiska förhållanden som legat till grund för de nationella myndigheternas handlande, samt om ingreppet i den enskildes rätt varit proportionerligt .21
Av Europadomstolens praxis framgår att det finns ett krav på att
alla former av intrång i egendomsskyddet enligt artikel 1 ska vara
proportionerliga. Med detta avses att det ska finnas en rimlig balans mellan det allmännas intresse av en viss åtgärd och den enskildes rätt
18 Europadomstolens dom den 28 september 2004, Kopecký mot Slovakien (44912/98), p. 45–52. 19 Se bl.a. Europadomstolens dom den 21 februari 1986, James m.fl. mot Förenade kungariket (no. 8793/79), p. 94 och 95. 20 H. Danelius m.fl., Mänskliga rättigheter i europeisk praxis, En kommentar till Europakonven-
tionen om de mänskliga rättigheterna (2023, version 6, JUNO), s. 736.
21 A.a. s. 705 och Europadomstolens dom den 21 februari 1986, James m.fl. mot Förenade
kungariket (no. 8793/79), p. 134 och 135.
till respekt för sin egendom, samt att åtgärden inte får medföra en oskälig börda för den enskilde. Europadomstolens prövning av om ett ingrepp varit proportionerligt bygger på en helhetsbedömning utifrån omständigheterna i det enskilda fallet. Vid denna prövning beaktar domstolen normalt sett bl.a. ingreppets karaktär och möjligheten för den enskilde att få ersättnin g.22Staterna har getts ett förhållandevis omfattande handlingsutrymme även vid den intresseavvägning som ska göras vid tillämpningen av bestämmelsen .23
Konventionen gäller som lag i Sverige och av 2 kap. 19 § regeringsformen följer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av Europakonventionen.
3.5.3. Näringsfriheten
I 2 kap. 17 § regeringsformen regleras skyddet för närings- och yrkesfriheten. Av bestämmelsen framgår att begränsningar i rätten att driva näring eller utöva yrke får införas endast för att skydda angelägna allmänna intressen och aldrig i syfte att ekonomiskt enbart gynna vissa personer eller företag.
Bestämmelsen tar sin utgångspunkt i en ekonomisk likhetsprincip som innebär att alla ska ha möjlighet att konkurrera på lika villkor under förutsättning att de i övrigt uppfyller de krav som kan ställas på t.ex. kompetens. Näringsfriheten får bara begränsas om en sådan åtgärd behövs för att tillgodose ett från samhällets synpunkt skyddsvärt intresse såsom miljö, säkerhet, utbildning och andra liknande intressen, och aldrig i syfte att ekonomiskt gynna en enskild på någon annans bekostnad .24
Europakonventionen innehåller inte något specifikt skydd för rätten att bedriva näringsverksamhet. Som nämnts ovan gäller emellertid egendomsskyddet enligt konventionen även för juridiska personer och vissa intressen vid bedrivande av näringsverksamhet.
22 H. Danelius m.fl., Mänskliga rättigheter i europeisk praxis, En kommentar till Europakonven-
tionen om de mänskliga rättigheterna (2023, version 6, JUNO), s. 706 f.
23 Se bl.a. Europadomstolens dom den 15 december 2015, Matczýnski mot Polen (no. 32794/07), p. 104 och prop. 2003/04:65 s. 15. 24SOU 1993:40, del A, s. 118 f.
3.5.4. Skyddet för den personliga integriteten
Skyddet för den personliga integriteten följer av såväl nationell rätt som av internationella överenskommelser som Sverige har anslutit sig till.
Rätten till skydd av uppgifter om en fysisk person är en dimension av den grundläggande rätten till respekt för privatlivet, som regleras i flera internationella konventioner till skydd för de mänskliga rättigheterna. Det internationella arbetet för mänskliga rättigheter tar sin utgångspunkt i den allmänna förklaring om de mänskliga rättigheterna som FN antog 1948. I artikel 12 i förklaringen anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare anges att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I förklaringen anges också att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän väl (artikel 29). Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Sverige är därutöver folkrättsligt förpliktat att uppfylla de åtaganden som följer av 1966 års FN-konvention om medborgerliga och politiska rättigheter. I konventionen finns skyddet för den personliga integriteten i artikel 17, som till sitt innehåll är likvärdig med artikel 12 i den allmänna förklaringen som nämnts ovan.
Även Europakonventionen innehåller bestämmelser som skyddar rätten till privat- och familjeliv. Av betydelse för skyddet för den personliga integriteten är framför allt artikel 8 i konventionen. Där stadgas att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Rätten till skydd för privatlivet har av Europadomstolen getts en vid tolkning. Skyddet omfattar bl.a. uppgifter om den enskildes
identitet, uppgifter om hälsa och sexuell läggning samt information som rör den personliga utvecklingen och relationer till andra individer .25Rätten till respekt för privatlivet innefattar också ett skydd mot registrering och utlämnande av uppgifter ur allmänna register .26Kravet på att ingreppet ska vara nödvändigt innebär att detta föranleds av ett ”angeläget samhälleligt behov”. Inskränkningen i den grundläggande rättigheten måste vidare stå i rimlig proportion till det syfte som ska tillgodoses genom inskränkningen. Varje konventionsstat har själv en viss frihet att avgöra om en inskränkning är nödvändig. Europadomstolen förbehåller sig dock rätten att övervaka om denna frihet utnyttjas på ett rimligt sätt .27
EU:s medlemsstater har antagit Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) som, sedan Lissabonfördragets ikraftträdande i december 2009, är rättsligt bindande för EU-institutionerna och medlemsstaterna när de tillämpar unionsrätten. Enligt artikel 7 i EU-stadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och kommunikationer. Av artikel 8 i EU-stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Enligt artikel 52.1 i EU-stadgan ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Regeringsformen innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt bl.a. för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. I 2 kap. 2 § regeringsformen föreskrivs att ingen får av det allmänna tvingas att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Vidare anges i 2 kap. 3 § regeringsformen att ingen svensk
25 Europadomstolens dom den 4 maj 2000, Rotaru mot Rumänien (no. 28341/95). 26 Europadomstolens dom den 26 mars 1987, Leander mot Sverige (no. 9248/81) och dom den 6 juni 2006, Segerstedt-Wiberg m.fl. mot Sverige (no. 62332/00). 27 H. Danelius m.fl., Mänskliga rättigheter i europeisk praxis, En kommentar till Europakonven-
tionen om de mänskliga rättigheterna (2023, version 6, JUNO), s. 443 f.
medborgare får utan samtycke antecknas i ett allmänt register enbart på grund av sin politiska åskådning.
Av 2 kap. 6 § andra stycket regeringsformen följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen tar sikte på att skydda information om enskildas personliga förhållanden. Uttrycket personliga förhållanden har samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretessl agen.28Det innebär att regleringen kan komma att omfatta vitt skilda slag av information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Också uppgift om en persons ekonomi bör omfattas av uttrycket personliga förhållanden .29Vid bedömningen av vilka åtgärder som kan anses utgöra betydande intrång ska både åtgärdens omfattning och arten av det intrång som åtgärden innebär beaktas .30
Bestämmelsen gäller enbart sådana intrång som sker utan samtycke, dvs. inte sådana intrång som förutsätter den enskildes godkännande. Bestämmelsen tar sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande. Om åtgärderna förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta bör gälla oberoende av vilka slags uppgifter åtgärden eller behandlingen avser .31Bestämmelsens tillämpningsområde är dessutom begränsat till sådana intrång som innebär övervakning eller kartläggning av en enskilds personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte utan vilken effekt som åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp .32Regeringen har i ett tidigare lagstiftningsärende, som rörde säkerhetsprövning av totalförsvarspliktiga, gjort bedömningen att säkerhetsprövning enligt säkerhets-
28Prop. 2009/10:80 s. 177. 29 Jfr prop. 1975/76:160 s. 109 och prop. 1979/80:2 s. 84. 30Prop. 2009/10:80 s. 184. 31 A.a. s. 178 och 179. 32Prop. 2009/10:80 s. 250.
skyddslagen får anses innebära sådan kartläggning och övervakning av enskilda som avses i regeringsformen .33
Grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag (se 2 kap. 20 § regeringsformen) och under de förutsättningar som anges i 2 kap. 21 § regeringsformen. I 21 § anges att begränsningar får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
Den personliga integriteten skyddas också genom regleringen om sekretess för enskildas personliga förhållanden i offentlighets- och sekretesslagen och genom dataskyddslagstiftningen. Vi återkommer till dessa regleringar i kapitel 7.
3.5.5. Forskningens frihet
Enligt 2 kap. 18 § andra stycket regeringsformen är forskningens frihet skyddad enligt bestämmelser som meddelas i lag. Detta innebär att regler som medför inskränkningar eller som fastställer det närmare innehållet i denna rättighet måste beslutas genom lag. Bestämmelsen i regeringsformen anger inte vad forskningens frihet omfattar, utan innehållet i skyddet bestäms i lag. Det nuvarande skyddet, som finns i 1 kap. 6 § andra stycket högskolelagen (1992:1434), omfattar universitet och högskolor under statligt, kommunalt eller landstingskommunalt huvudmannaskap. I bestämmelsen anges att för forskningen ska som allmänna principer gälla att forskningsproblem får väljas fritt, forskningsmetoder får utvecklas fritt och forskningsresultat får publiceras fritt. Bestämmelsen innebär dock inte att envar som har forskning som sin uppgift är garanterad att få göra vad han eller hon vill. Allmänna samhälleliga regler gäller även för forskningen. Forskning som avser människor kan kräva godkännande vid en etikprövning innan den får utföras och vad gäller metoder är forskaren naturligen underkastad allmänna regler
som gäller till skydd för säkerhet och dylikt, såsom regler om hantering av radioaktivt material eller särskilda regler vid användande av genteknik .34
34Prop. 1998/99:94 s. 9 f. och L. Bejstam, Högskolelag (1992:1434) 1 kap. 6 § andra stycket, Karnov 22-01-01 (JUNO).
4. Statliga ingripanden i förfaranden som kan vara skadliga för Sveriges säkerhet
4.1. Vårt uppdrag
4.1.1. Inledning
Vi har haft i uppdrag att utveckla möjligheten för staten att ingripa i förfaranden som kan vara skadliga för Sveriges säkerhet. Detta genom att föreslå en ordning för hur en statlig myndighet ska kunna ingripa i avtalsförhållanden och andra pågående förfaranden som av
säkerhetsskäl behöver avslutas eller på annat sätt förändras. Vi ska ock-
så analysera vilka förutsättningar som ska vara uppfyllda för att åtgärder ska kunna vidtas mot ett pågående förfarande, föreslå vilken eller vilka statliga myndigheter som ska kunna fatta beslut om åtgärder och lämna nödvändiga författningsförslag.
I direktiven ges exempel på vissa förfaranden som våra förslag skulle kunna ta sikte på. Vi har emellertid också getts visst utrymme att själva bedöma vilka förfaranden som staten kan ha ett intresse av att kunna ingripa mot. Även om förslagen i första hand ska utgå från säkerhetsskyddslagen (2018:585) har vi inte varit förhindrade att lämna förslag som ligger utanför den lagstiftningen. Vi har dessutom getts möjlighet att ta upp närliggande frågor, som inte följer direkt av direktiven. Med anledning av detta har vi ägnat viss tid åt att analysera vårt uppdrag och försöka identifiera förfaranden som skulle kunna utgöra en säkerhetsrisk. Vi har även behövt överväga hur vårt uppdrag ska avgränsas och ta ställning till vilka frågor som vi har förutsättningar att behandla inom ramen för den här utredningen. Dessa överväganden redovisas i avsnitt 4.1.3. I avsnitt 4.1.4 redogör vi för kapitlets disposition. För att ge en bättre förståelse
för vårt uppdrag i den här delen ska vi emellertid först redogöra för bakgrunden till uppdraget.
4.1.2. Bakgrunden till vårt uppdrag
I 4 kap.1–12 §§säkerhetsskyddslagen finns bestämmelser som tar sikte på förfaranden (avtal och andra former av samverkan) som innebär att utomstående aktörer får del av säkerhetskänslig verksamhet, t.ex. utkontrakteringar. Syftet med regelverket är att se till att sådana förfaranden bara inleds om skyddet för verksamheten kan upprätthållas under tiden som förfarandet pågår. I regelverket finns även en ”nödbroms” som ger tillsynsmyndigheterna möjlighet att ingripa i pågående förfaranden som bedöms vara olämpliga från säkerhetsskyddssynpunkt, om en sådan åtgärd behövs för att förhindra skada för Sveriges säkerhet (12 §). Det hastigt försämrade säkerhetspolitiska läget har emellertid synliggjort vissa begränsningar i säkerhetsskyddslagen just vad gäller möjligheten att ingripa mot pågående förfaranden. Av våra direktiv framgår att det under senare tid har uppstått situationer där det har funnits behov av att ändra eller avsluta avtalsförhållanden som har inneburit risker för Sveriges säkerhet, men där det har visat sig att avtalsförhållandet inte har omfattats av ingripandemöjligheten i säkerhetsskyddslagen. Det kan, enligt direktiven, röra sig om avtal som har löpt under en längre tid och varit oproblematiska ur ett säkerhetsperspektiv när de ingicks, men som reglerar förhållanden som staten i ett senare skede – på grund av ändrade förhållanden – behövt kontrollera eller bevaka. De situationer som har uppstått har rest frågor kring statens möjlighet att ingripa i avtal och andra pågående förfaranden för att motverka skada för Sveriges säkerhet, och det är mot denna bakgrund som vårt uppdrag ska förstås.
4.1.3. Vår syn på uppdraget och avgränsningar
Uppdraget utgår från skyddet för Sveriges säkerhet och innefattar en översyn av ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen
Av direktiven framgår att våra förslag ska ta sikte på förfaranden som kan vara skadliga för Sveriges säkerhet. Uttrycket Sveriges säkerhet definieras inte i lag, men innebörden av detta har behandlats i flera lagstiftningsärenden .1Med Sveriges säkerhet avses förhållanden av grundläggande betydelse för Sverige. Det kan handla om både militär och civil verksamhet, så länge verksamheten har en sådan betydelse. Uttrycket omfattar såväl den yttre säkerheten – till skydd för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet, som den inre säkerheten – till skydd för Sveriges demokratiska statsskick.
Förfaranden som innebär att en utomstående aktör får del av säkerhetskänslig verksamhet (dvs. verksamhet av betydelse för Sveriges säkerhet) utgör en uppenbar säkerhetsrisk och regleras därför, som nämnts ovan, särskilt i säkerhetsskyddslagen. Mot bakgrund av problembeskrivningen i våra direktiv anser vi att en central del av vårt uppdrag är att göra en översyn av bestämmelsen i 4 kap. 12 § säkerhetsskyddslagen och lämna förslag som gör bestämmelsen mer ändamålsenlig.
Utländska direktinvesteringar
I direktiven lyfts, förutom att det finns vissa luckor i säkerhetsskyddslagstiftningen, också frågan huruvida det kan finnas andra avtalsförhållanden eller andra förfaranden som kan vara skadliga för Sveriges säkerhet och som staten inte kan ingripa mot. Som exempel nämns investeringar som har gjorts före den 1 december 2023 och som därför inte omfattas av lagen (2023:560) om granskning av utländska direktinvesteringar. Vi har därför behövt ta ställning till hur vårt uppdrag förhåller sig till sådana investeringar.
1 Se t.ex. prop. 2017/18:89, prop. 2020/21:13 och prop. 2020/21:194.
Översiktlig redogörelse för lagstiftningen
Lagen om granskning av utländska direktinvesteringar syftar till att hindra utländska direktinvesteringar i svensk skyddsvärd verksamhet som kan inverka skadligt på Sveriges säkerhet eller på allmän ordning eller allmän säkerhet i Sverige (1 §).
Uttrycket utländsk direktinvestering definieras i 4 §. Med utländsk direktinvestering avses en investering som görs av en fysisk person med medborgarskap i en stat utanför Europeiska unionen eller en juridisk person med säte i en sådan stat. Som utländsk direktinvestering räknas också en investering som görs av en juridisk person som direkt eller indirekt ägs eller kontrolleras av en stat utanför Europeiska unionen, av en juridisk person med säte i en stat utanför Europeiska unionen eller av en fysisk person med medborgarskap i en sådan stat. Med uttrycket avses även investeringar som genomförs av en investerare till förmån för någon av nämnda personer.
Med skyddsvärd verksamhet avses inte bara säkerhetskänslig verksamhet enligt säkerhetsskyddslagen, utan också bl.a. vissa samhällsviktiga verksamheter och verksamhet som rör kritiska råvaror eller strategiskt skyddsvärda produkter och teknologier (se 3 §).
Granskningssystemet utgår från en skyldighet att anmäla vissa investeringar till granskningsmyndigheten (Inspektionen för strategiska produkter) innan investeringen genomförs. Prövningen enligt granskningssystemet aktualiseras vid investeringar som medför att investeraren, någon i investerarens ägarstruktur eller någon för vars räkning investeraren handlar får ett visst direkt eller indirekt inflytande i skyddsvärd verksamhet, samt vid överlåtelser av hela eller delar av skyddsvärd verksamhet (7–10 §§). Detta oavsett på vilket sätt investeringen sker. Efter att anmälan har gjorts ska granskningsmyndigheten besluta om en granskning ska inledas eller inte och – om en sådan granskning inleds – om investeringen ska förbjudas eller godkännas (14 och 15 §§). En investering som omfattas av anmälningsskyldigheten får bara genomföras om anmälan har lämnats utan åtgärd eller om investeringen har godkänts vid en granskning (16 §).
Anmälningsskyldighet föreligger oavsett investerarens nationalitet eller säte. Det är alltså inte bara investeringar från tredjeland som ska anmälas, utan även inhemska och övriga unionsinterna investeringar. Det är emellertid bara sådana investeringar som omfattas av begrep-
pet utländska direktinvesteringar, dvs. investeringar från tredje land, som kan förbjudas eller godkännas med villkor (se 7–10 §§ jfr med 20 § och 21 § andra stycket). Ett förbud mot en investering innebär, som utgångspunkt, att en rättshandling som utgör en del i investeringen eller som har till syfte att genomföra investeringen blir ogiltig (23 §).
Det finns inte förutsättningar att hantera investeringar som inte omfattas av lagen om granskning av utländska direktinvesteringar inom ramen för det här uppdraget
Det kan, enligt vår bedömning, inte uteslutas att det finns äldre investeringar som har lett till att olämpliga aktörer har skaffat sig inflytande i säkerhetskänslig verksamhet (eller annan skyddsvärd verksamhet som omfattas av granskningssystemet), och som staten inte kan ingripa mot med stöd av lagen om granskning av utländska direktinvesteringar (eller regelverket gällande överlåtelse av säkerhetskänslig verksamhet och viss egendom i 4 kap.13–20 §§säkerhetsskyddslagen, som enbart omfattar överlåtelseförfaranden som har inletts efter den 1 januari 20212). Det är också osäkert i vilken utsträckning staten kan ingripa mot ”nya” investeringar (som har genomförts efter att lagen om granskning av utländska direktinvesteringar trädde i kraft) som varit oproblematiska ur ett säkerhetsperspektiv vid tidpunkten för investeringen, men som i ett senare skede har kommit att utgöra en säkerhetsrisk.
Lagen om granskning av utländska direktinvesteringar har emellertid ett mycket brett tillämpningsområde och omfattar inte bara olika förfaranden som leder till ett visst inflytande i skyddsvärd verksamhet ,3utan också investeringar som på olika sätt leder till ägande av hela eller delar av en skyddsvärd verksamhet .4En
2 Regelverken överlappar varandra i vissa delar, men har olika utgångspunkter och delvis olika tillämpningsområden och gäller därför parallellt. Genom bestämmelserna om överlåtelse av säkerhetskänslig verksamhet och viss egendom i säkerhetsskyddslagen åläggs överlåtaren att bedöma om överlåtelsen är lämplig från säkerhetsskyddssynpunkt. Om överlåtelsen bedöms vara lämplig ska överlåtaren samråda med samrådsmyndigheten som kan förbjuda överlåtelsen, om myndigheten bedömer att överlåtelsen är olämplig. En investering kan alltså i vissa fall bli föremål för två prövningar. För en närmare redogörelse för hur regelverken förhåller sig till varandra se SOU 2021:87 s. 569–573. 3 T.ex. avtal med ägare, medlem eller den juridiska personen eller enligt en föreskrift i bolagsordningen. Se 7 § första stycket 5 och 9 § lagen om granskning av utländska direktinvesteringar och SOU 2021:87 s. 305 f. 4 Se 7 § första stycket 1–3 och 10 § lagen om granskning av utländska direktinvesteringar.
ordning som tillåter staten att ingripa mot redan genomförda investeringar som har lett till ägande skulle kräva helt andra överväganden än ingripanden i pågående förfaranden, och frågan är enligt vår bedömning för omfattande och komplex för att kunna hanteras inom ramen för vårt uppdrag.
I sammanhanget kan emellertid nämnas att investeringar i säkerhetskänslig verksamhet som leder till inflytande på annat sätt än genom ägande också bör kunna omfattas av bestämmelserna i 4 kap.1–12 §§säkerhetsskyddslagen, om investeraren får del av säkerhetskänslig information eller annan verksamhet och inte anställs eller anlitas för att delta i den säkerhetskänsliga verksamheten (jfr 4 kap. 1 §). Vissa äldre investeringar kan därmed komma att omfattas av de förslag som vi lämnar angående ingripandemöjligheten i 4 kap. 12 §.
Sammanfattningsvis gör vi bedömningen att vårt uppdrag endast omfattar investeringar i den utsträckning som de utgör ett sådant förfarande som regleras i 4 kap. säkerhetsskyddslagen. Med anledning av hur direktiven har utformats har vi emellertid också försökt identifiera andra avtalsförhållanden och förfaranden som skulle kunna vara skadliga för Sveriges säkerhet och som inte fångas upp genom befintlig eller planerad lagstiftning.
Det kan finnas behov av ett nytt rättsligt verktyg för att kunna avvärja eller stoppa säkerhetshotande förfaranden och andra aktiviteter
Säkerhetsskyddslagen reglerar skyddet för verksamheter som är av betydelse för Sveriges säkerhet (och verksamheter som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd). Bestämmelserna i lagen riktar sig därför bara till de aktörer som till någon del bedriver sådan verksamhet samt tillsynsmyndigheterna på säkerhetsskyddsområdet, och tar uteslutande sikte på aktiviteter som rör skyddsvärda uppgifter, funktioner och andra tillgångar. Detta gäller även ingripandemöjligheten i 4 kap. 12 §, som enbart kan tillämpas för att ändra eller avsluta pågående förfaranden som innebär att en annan aktör får del av säkerhetskänslig information eller verksamhet i övrigt.
Avtalsförhållanden och andra liknande förfaranden kan emellertid vara skadliga för Sveriges säkerhet även om de inte har någon sådan direkt eller tydlig koppling till skyddsvärda tillgångar. Det
skulle exempelvis kunna finnas avtal som rör civil egendom, eller andra objekt som inte kan inordnas under säkerhetsskyddslagen men som hotaktörer kan använda sig av för att höja sina egna förmågor, t.ex. lokaler eller fastigheter i närheten av skyddsobjekt som kan användas för underrättelseinhämtning. Sådana avtal eller förfaranden, som alltså inte har någon direkt koppling till viss specifik egendom eller till vissa specifika objekt eller verksamheter, är svåra att peka ut på förhand och definiera rättsligt. Vilken egendom eller vilka objekt som antagonister kan ha ett intresse att använda sig av kommer sannolikt också variera över tid, bl.a. beroende på teknikutvecklingen.
Parallellt med vårt uppdrag har Utredningen om kontroll vid överlåtelse och upplåtelse av egendom av väsentlig betydelse för totalförsvaret (Fö 2022:03) haft i uppdrag att föreslå på vilket sätt statlig kontroll bör genomföras vid överlåtelser och upplåtelser av viss fast egendom. Utredningen överlämnade sitt betänkande Skärpt
kontroll av utländska fastighetsförvärv (SOU 2024:84) till regeringen
den 10 december 2024. De förslag som utredningen har lämnat innebär att staten ges möjlighet att ingripa mot vissa förfaranden som staten inte kan vidta åtgärder mot med stöd av säkerhetsskyddslagen. Förslagen omfattar emellertid enbart vissa överlåtelser och upplåtelser av fast egendom. Vi gör därför bedömningen att den problematik som beskrivs ovan inte fullt ut kommer att hanteras genom de förslag som utredningen har lämnat.
Riskerna med sådana – mer fristående – säkerhetshotande aktiviteter som vi har beskrivit ovan har uppmärksammats i Norge, och föranlett införandet av en särskild bestämmelse som är tänkt att fungera som en säkerhetsventil när det inte finns någon annan rättslig grund för att förhindra en aktivitet som innebär en risk för nationella säkerhetsintressen .5Bestämmelsen, som finns i § 2–5 i den norska motsvarigheten till säkerhetsskyddslagen (Lov om nasjonal sikkerhet, LOV-2018-06-01-24, härefter sikkerhetsloven), ger den norska regeringen möjlighet att fatta nödvändiga beslut för att förhindra säkerhetshotande verksamhet eller annan planerad eller pågående aktivitet som kan innebära en inte obetydlig risk för att nationella säkerhetsintressen hotas. Sådana beslut kan fattas utan hänsyn till tidigare meddelade förvaltningsbeslut och oavsett om aktiviteten är tillåten enligt annan lag eller annat beslut. Bestämmelsen syftar till att förhindra säkerhetshotande verksamheter och aktiviteter som
5 Prop. 153 L (2016–2017), Lov om nasjonal sikkerhet (sikkerhetsloven), s. 54.
inte är kopplade till säkerhetskänslig information eller skyddsvärda objekt, och som därför inte omfattas av säkerhetsskyddslagstiftningen i övrigt .6
Bestämmelsen är emellertid inte bara tänkt att användas för att stoppa pågående säkerhetshotande verksamhet, utan den möjliggör också för centrala myndigheter att avvärja eller stoppa aktiviteter som underlättar eller kan leda fram till att nationella säkerhetsintressen hotas. De beslut som tas med stöd av bestämmelsen kan därför riktas mot var och en som planerar eller utför aktiviteter som omfattas av bestämmelsen, dvs. även rättssubjekt och verksamheter som inte omfattas av sikkerhetsloven i övrigt .7
Vi anser att det finns anledning att överväga om ett liknande rättsligt verktyg bör införas i svensk rätt. En sådan säkerhetsventil, eller generalklausul, skulle göra det möjligt för staten att ingripa mot avtal och andra pågående förfaranden som innebär risker för Sveriges säkerhet och som inte har kunnat förutses eller inordnas under något särskilt regelverk. Eftersom ett sådant verktyg skulle syfta till att göra skyddet för svenska säkerhetsintressen så heltäckande som möjligt bör emellertid också övervägas om inte detta – likt den norska bestämmelsen – även ska kunna användas för att avvärja eller stoppa andra säkerhetshotande aktiviteter än just pågående förfaranden. Med ett sådant verktyg skulle staten t.ex. kunna ges möjlighet att vidta direkta åtgärder mot olämpliga aktörer som skaffat sig inflytande i skyddsvärd verksamhet genom förvärv eller andra avtal som av olika anledningar inte omfattas av befintlig eller planerad lagstiftning på området (jfr vad som anförts ovan angående utländska direktinvesteringar).
Införandet av ett rättsligt verktyg motsvarande eller liknande den bestämmelse som finns i norska sikkerhetsloven skulle ge staten långtgående befogenheter och möjliggöra åtgärder som kan vara mycket ingripande för enskilda. Behovet och effekterna av ett sådant verktyg måste därför utredas noggrant. Denna fråga är för omfattande för att kunna hanteras inom ramen för vårt uppdrag. Detta särskilt eftersom vi menar att man bör ta en bred ansats och inte begränsa frågan till att enbart avse avtal och andra pågående
6 Prop. 97 L (2015–2016), Endringer i sikkerhetsloven (reduksjon av antall klareringsmyndigheter
mv.), s. 14.
7 A.a. s. 15 och 19.
förfaranden, utan även andra säkerhetshotande aktiviteter. Frågan kommer därför inte beröras vidare i det här betänkandet.
Den fortsatta framställningen rör avtalsförhållanden och andra förfaranden som innebär exponering av säkerhetskänslig verksamhet
Vi har i det här avsnittet redogjort för vår syn på uppdraget och de avgränsningar som vi har gjort. Sammanfattningsvis har vi valt att begränsa oss till att behandla frågan om en eventuell utvidgning av ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen (och vissa andra närliggande frågor, se avsnitt 4.4.2 och 4.4.3). Bestämmelsen tar sikte på förfaranden som innebär att utomstående aktörer får del av säkerhetskänslig verksamhet och det är sådana förfaranden som den fortsatta framställningen avser.
Regelverket gällande förfaranden i 4 kap. omfattar vidare endast förfaranden som innebär att en annan aktör får tillgång till säkerhets-
skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Eftersom ingripandemöjligheten i
4 kap. 12 § är tänkt att användas restriktivt, och det dessutom framgår av våra direktiv att statliga ingripanden endast bör komma i fråga vid särskilt känsliga avtal och förfaranden, har vi inte tagit upp frågan om möjligheten att ingripa mot pågående förfaranden borde gälla vid en lägre säkerhetsskyddsklass än vad som följer av nuvarande regelverk. Några överväganden om detta finns alltså inte i betänkandet.
De förfaranden som den fortsatta framställningen tar sikte på är alltså förfaranden som innebär att en annan aktör får tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. För att underlätta läsningen använder vi oss härefter av begreppet förfaranden som
innebär exponering av säkerhetskänslig verksamhet för att beskriva
sådana förfaranden.
4.1.4. Disposition
I avsnitt 4.2 redogör vi för relevant reglering. I avsnitt 4.3 beskriver vi de problem som vi har identifierat och vår syn på behovet av lagändringar. Därefter övergår vi till att redogöra för våra överväganden och förslag (avsnitt 4.4). I avsnitt 4.5 behandlar vi frågan om hur våra förslag förhåller sig till de grundläggande fri- och rättigheterna.
4.2. Regleringen av förfaranden som innebär exponering av säkerhetskänslig verksamhet
4.2.1. Inledning
I det här avsnittet redogör vi för regleringen av förfaranden som innebär exponering av säkerhetskänslig verksamhet. Som nämnts ovan finns sedan den 1 december 2021 ett särskilt regelverk för sådana förfaranden i 4 kap.1–12 §§säkerhetsskyddslagen. Det är emellertid inte enbart dessa bestämmelser som en verksamhetsutövare behöver förhålla sig till vid samverkan med utomstående aktörer. Säkerhetsskyddslagen kan nämligen sägas bestå av två lager. Det första lagret utgörs av de grundläggande skyldigheter som alla som till någon del bedriver säkerhetskänslig verksamhet behöver förhålla sig till. De grundläggande skyldigheterna utgör ett slags minimikrav för säkerhetsskyddet som alla verksamhetsutövare måste leva upp till. Det andra lagret består av vissa särskilda krav som bara aktualiseras i vissa situationer. Dessa bestämmelser finns i 4 kap. och rör, förutom förfaranden som innebär exponering av säkerhetskänslig verksamhet, även överlåtelse av säkerhetskänslig verksamhet och viss egendom. Det här avsnittet innehåller därför både en redogörelse för regelverket i 4 kap. 1–12 §§, och en beskrivning av de grundläggande skyldigheterna för den som bedriver säkerhetskänslig verksamhet. I avsnittet redogör vi även för bakgrunden till och syftet med regelverket i 4 kap.
4.2.2. Grundläggande skyldigheter för den som bedriver säkerhetskänslig verksamhet
De grundläggande skyldigheterna för den som till någon del bedriver säkerhetskänslig verksamhet framgår av 2 kap. 1 § säkerhetsskyddslagen. Alla som omfattas av lagstiftningen ska leva upp till kraven och skydda sin verksamhet på det sätt som framgår av bestämmelsen.
Av bestämmelsens första stycke följer att verksamhetsutövaren ska utreda behovet av säkerhetsskydd genom en säkerhetsskyddsanalys. Med utgångspunkt i analysen ska verksamhetsutövaren, enligt andra stycket, planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Med säkerhetsskyddsåtgärder avses i bestämmelsen sådana förebyggande åtgärder gällande informationssäkerhet, fysisk säkerhet och personalsäkerhet som beskrivs i 2 kap. 2–4 §§ och därtill meddelade föreskrifter .8
Skyddet för säkerhetskänslig verksamhet – säkerhetsskyddet – skapas genom olika skyddsåtgärder som ska samverka och bilda ett heltäckande skydd för den information eller verksamhet i övrigt som är skyddsvärd. Säkerhetsskyddslagen omfattar verksamheter inom flera olika sektorer och behovet av säkerhetsskyddsåtgärder varierar därmed mellan olika verksamheter. Skyddsbehovet kan också variera över tid inom ramen för en och samma verksamhet. Detta eftersom bedömningen av vad som är av betydelse för Sveriges säkerhet – och därmed är skyddsvärt – kan förändras över tid. Säkerhetshoten mot, och sårbarheterna kopplade till, de identifierade skyddsvärdena är också föränderliga. Det finns därför ingen standardlösning för hur skyddet för en säkerhetskänslig verksamhet ska utformas, utan alla verksamhetsutövare har en skyldighet att utforma säkerhetsskyddet utifrån behoven och förutsättningarna i sin verksamhet .9
För att kunna leva upp till kraven i 2 kap. 1 § behöver verksamhetsutövaren bedriva ett kontinuerligt och systematiskt säkerhetsskyddsarbet e.10Av 2 kap. 1 § andra stycket säkerhetsskyddsförordningen (2021:955) framgår också att säkerhetsskyddsanalysen ska
8Prop. 2017/18:89 s. 137. 9 Se Säkerhetspolisens vägledning i säkerhetsskydd, Introduktion, version december 2023, s. 5–14. 10 A.a. s. 7.
uppdateras vid behov, och åtminstone vartannat år. Verksamhetsutövaren har alltså en skyldighet att utvärdera om en planerad åtgärd eller andra uppkomna situationer gör att det finns anledning att uppdatera analysen. Om en uppdatering av säkerhetsskyddsanalysen leder till slutsatsen att säkerhetsskyddet behöver utvidgas eller ändras, ska åtgärder vidtas. Verksamhetsutövaren har också en skyldighet att kontrollera säkerhetsskyddet i den egna verksamheten, samt anmäla och rapportera sådant som är av vikt för säkerhetsskyddet (2 kap. 1 § tredje stycket säkerhetsskyddslagen). Syftet med kontrollkravet är att verksamhetsutövaren ska förvissa sig om att säkerhetsskyddet fungerar som det är tänkt och tillgodoser de behov som har framkommit i säkerhetsskyddsanalysen .11Enligt 2 kap. 4 § säkerhetsskyddsförordningen ska anmälan göras till Säkerhetspolisen, och i vissa fall även till Försvarsmakten, vid vissa säkerhetshotande händelser eller viss säkerhetshotande verksamhet. Efterlevnad av dessa krav förutsätter också att verksamhetsutövaren arbetar aktivt med säkerhetsskyddet och reflekterar över hur detta påverkas vid ändrade förhållanden.
Mot bakgrund av vad som anförts ovan kan det konstateras att skyldigheterna enligt 2 kap. 1 § säkerhetsskyddslagen inte är begränsade till att verksamhetsutövaren vid en bestämd tidpunkt ska vidta vissa specifika åtgärder, utan bestämmelsen innebär att alla som till någon del bedriver säkerhetskänslig verksamhet har en skyldighet att vid varje givet tillfälle reagera och vidta relevanta åtgärder. Enligt vår bedömning bör ett sådant tillfälle kunna vara när en verksamhetsutövare överväger att exponera säkerhetskänslig information eller verksamhet i övrigt för en utomstående aktör. En sådan åtgärd kan aktualisera kravet på att uppdatera säkerhetsskyddsanalysen och vidta relevanta säkerhetsskyddsåtgärder i 2 kap. 1 § första och andra stycket. Det fanns därmed redan innan regelverket i 4 kap. säkerhetsskyddslagen infördes långtgående skyldigheter för verksamhetsutövare att skydda verksamheten vid förfaranden med andra aktörer.
Det är tillsynsmyndigheternas uppgift att utöva tillsyn över att verksamhetsutövarna följer lagen och de föreskrifter som meddelats i anslutning till denna. I det syftet får tillsynsmyndigheterna, enligt 6 kap. 6 § säkerhetsskyddslagen, besluta att förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt
11 M. Waern m.fl., Säkerhetsskyddslagen, En kommentar, kommentaren till 2 kap. 1 §, JUNO version 1, 2023-01-13.
lagen och föreskrifter som har meddelats i anslutning till denna (åtgärdsförelägganden). Sådana förelägganden får förenas med vite. Tillsynsmyndigheten får dessutom besluta att ta ut en sanktionsavgift av en verksamhetsutövare som har åsidosatt sina skyldigheter enligt vissa bestämmelser, däribland 2 kap. 1 § (se 7 kap.).
4.2.3. Regelverket gällande förfaranden som innebär exponering av säkerhetskänslig verksamhet (4 kap. 1– 12 §§)
Kort om bakgrunden till och syftet med regelverket
I samband med arbetet med betänkandet En ny säkerhetsskyddslag (SOU 2015:25), som till stor del ligger till grund för den nuvarande säkerhetsskyddslagen, uppmärksammades att utkontraktering av säkerhetskänslig verksamhet, och även andra förfaranden som innebär att utomstående involveras i säkerhetskänslig verksamhet, innebär ökade risker för Sveriges säkerhet. I den nya säkerhetsskyddslagen gjordes flera ändringar som innebar ett förstärkt skydd för säkerhetskänslig verksamhet. Den problematik som är kopplad till just exponering av säkerhetskänslig verksamhet för utomstående hanterades emellertid inte fullt ut genom det nya regelverket. Det ansågs därmed finnas behov av att ytterligare skärpa, och utveckla, säkerhetsskyddslagstiftningen för att bättre kunna hantera riskerna med utkontrakteringar och liknande förfaranden. Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08) fick därför i uppdrag att kartlägga behovet av, och lämna förslag på, åtgärder som skulle förebygga att säkerhetskänslig information eller verksamhet i övrigt utsätts för risker i samband med utkontraktering och upplåtelser .12
Utredningens arbete resulterade i betänkandet Kompletteringar
till den nya säkerhetsskyddslagen(SOU 2018:82). I betänkandet kon-
staterades att det fanns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet, men också vid upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Några av de brister som belystes var att många verksamhetsutövare saknade tillräcklig kunskap om de egna skyddsvärdena, att det fanns en okunskap hos verksamhetsutövare gällande riskerna med förfaranden som innebär
12SOU 2018:82 s. 159 f. samt dir. 2017:32 och 2018:2.
exponering av säkerhetskänslig verksamhet och att utkontrakteringar många gånger genomfördes utan någon föregående prövning av om det var lämpligt från säkerhetsskyddssynpunkt .13
I betänkandet lämnades förslag om att kravet på att ingå säkerhetsskyddsavtal, som tidigare endast gällt vid upphandlingar och andra anskaffningar, skulle utvidgas och inte längre begränsas till vissa avtalstyper. Mot bakgrund av de brister i säkerhetsskyddsarbetet som identifierats ansågs det emellertid också finnas behov av ytterligare förebyggande åtgärder och bättre verktyg för tillsynsmyndigheterna att vidta åtgärder mot förfaranden som innebär exponering av säkerhetskänslig verksamhet. Syftet med de förslag som lämnades, och som ligger till grund för regleringen i 4 kap. säkerhetsskyddslagen, var att medvetandegöra verksamhetsutövare om de risker som utkontrakteringar och andra förfaranden är förenade med och förhindra att förfaranden som är olämpliga från säkerhetsskyddssynpunkt inleds.
Regelverkets utformning och systematik
Regelverket utgår från skyldigheten att ingå säkerhetsskyddsavtal. Övriga åtgärder – skyldigheter för verksamhetsutövarna och befogenheter för tillsynsmyndigheterna – aktualiseras först om ett förfarande kräver ett sådant avtal.
Regelverket kan delas upp i tre olika delar. I 1–6 §§ finns bestämmelser om säkerhetsskyddsavtal, i 7–11 §§ finns bestämmelser om förebyggande åtgärder inför förfaranden som kräver säkerhetsskyddsavtal och i 12 § regleras ingripanden i pågående förfaranden (som kräver säkerhetsskyddsavtal).
Skyldigheten att ingå säkerhetsskyddsavtal
En grundläggande förutsättning för att säkerhetsskyddet ska kunna upprätthållas vid utkontrakteringar och andra former av samverkan med utomstående aktörer är att även den utomstående aktören – som får tillgång till säkerhetskänslig information eller verksamhet i övrigt – vidtar nödvändiga säkerhetsskyddsåtgärder. Skyddet för säkerhetskänslig verksamhet vid samverkan med andra aktörer grun-
dar sig därför i ett krav på att ingå säkerhetsskyddsavtal. Genom ett sådant avtal ska verksamhetsutövaren ställa krav på den utomstående aktören att vidta de säkerhetsskyddsåtgärder som krävs för att skyddet för verksamheten ska kunna tillgodoses även under förfarandet.
Skyldigheten att ingå säkerhetsskyddsavtal regleras i 4 kap. 1 § och av nämnda bestämmelse framgår att en verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till (1) säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller (2) annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Av bestämmelsens andra stycke framgår att verksamhetsutövaren även ska ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i bestämmelsens första stycke. Av bestämmelsens tredje stycke framgår att ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.
Skyldigheten att ingå säkerhetsskyddsavtal är som utgångspunkt inte begränsad till någon särskild typ av avtal eller samarbete. Avgörande för om ett förfarande omfattas av bestämmelsen i 1 § är i stället om en annan aktör kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Kravet på säkerhetsskyddsavtal kan således aktualiseras vid såväl upphandlingar och andra anskaffningar av vara, tjänst eller byggentreprenad, som vid andra former av samarbeten eller samverkan (t.ex. forskningssamarbeten eller samverkan inom ramen för arbetet med informations- och cybersäkerhet). Tvångsförfaranden såsom tvångsupplåtelser, beslag och husrannsakan är inte samarbeten eller samverkan och omfattas således inte av kravet. Detsamma gäller för t.ex. tillsynsåtgärder, tillståndsförfaranden och när enskilda verksamhetsutövare har en författningsreglerad uppgiftsskyldighet gentemot myndigheter .14
Eftersom bestämmelsen gäller oavsett vilken roll en verksamhetsutövare har i ett avtal eller samarbete kan i vissa fall båda parter i ett förfarande vara skyldiga att ställa krav på säkerhetsskyddet hos den
andre. Kravet på att ingå säkerhetsskyddsavtal gäller även i de fall då den andra aktören har sin juridiska hemvist i ett annat land .15
Det finns vissa undantag till huvudregeln i 1 §. Mellan statliga myndigheter gäller kravet på säkerhetsskyddsavtal endast vid anskaffning av vara, tjänst eller byggentreprenad (4 kap. 2 §). Annan samverkan mellan statliga myndigheter undantas alltså från kravet. Därutöver kan regeringen meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal, och om det finns särskilda skäl även besluta om sådana undantag i enskilda fall (4 kap. 6 §).
För att kravet på säkerhetsskyddsavtal ska aktualiseras krävs, förutom att det är fråga om ett sådant förfarande som omfattas av bestämmelsen, även att det handlar om ett förfarande som involverar en annan aktör. En annan juridisk person, statlig myndighet, kommun eller region än verksamhetsutövaren är en annan aktör. Däremot är det inte fråga om en annan aktör när verksamhetsutövaren anställer eller anlitar en person för att delta i den egna verksamheten. Den som anställs eller anlitas omfattas då av verksamheten och är därmed inte att betrakta som en annan aktör .16
Bestämmelserna om säkerhetsskyddsavtal tillämpas inte på förfaranden som har inletts före den 1 december 2021, då bestämmelsen trädde i kraft. För säkerhetsskyddsavtal som har ingåtts före ikraftträdandet gäller den numera upphävda bestämmelsen i 2 kap. 6 § och föreskrifter som har meddelats i anslutning till den paragrafen .17
I 4 kap. 3 § finns bestämmelser om vad säkerhetsskyddsavtalet ska innehålla. Av första stycket framgår att avtalet ska innehålla de krav på motparten som behövs för att säkerhetsskyddet ska kunna upprätthållas under tiden som förfarandet pågår. Av andra stycket framgår att avtalet ska reglera hur verksamhetsutövaren ska få kontrollera att motparten följer avtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden. Verksamhetsutövaren har, enligt 4 kap. 5 §, en skyldighet att kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden. Om motparten inte följer säkerhetsskyddsavtalet ska verksamhetsutövaren vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd. Det har inte införts något krav på att t.ex. rätten att
15 A.a. s. 30 ff. 16 A.a. s. 128. 17 Se punkt 3 i övergångsbestämmelserna till lagen (2021:952) om ändring i säkerhetsskyddslagen och prop. 2020/21:194 s. 120.
avbryta ett förfarande ska regleras i säkerhetsskyddsavtalet. Av förarbetena till bestämmelserna framgår emellertid att det är helt centralt att verksamhetsutövaren förvissar sig om att avtalen parterna emellan är utformade på ett sådant sätt att relevanta åtgärder kan vidtas för det fall motparten inte följer säkerhetsskyddsavtalet .18
En verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal ska utan dröjsmål anmäla det till den som beslutar om placering i säkerhetsklass och tillsynsmyndigheten. En sådan anmälan ska också göras när en verksamhetsutövare har ingått ett säkerhetsskyddsavtal (6 kap.4 och 5 §§säkerhetsskyddsförordningen).
Regleringen av förfaranden som kräver säkerhetsskyddsavtal
Skyldigheten att ingå säkerhetsskyddsavtal utgör en central del av säkerhetsskyddet vid exponering av säkerhetskänslig verksamhet. För att ett säkerhetsskyddsavtal ska fylla sin funktion krävs emellertid att verksamhetsutövaren noggrant har analyserat vilka skyddsvärden som finns i verksamheten, vilken information eller verksamhet i övrigt som kommer att exponeras genom det aktuella förfarandet och vilka åtgärder som behöver vidtas för att skydda verksamheten från de sårbarheter som uppstår i och med exponeringen. Den omständigheten att verksamhetsutövaren och den utomstående aktören har ingått ett säkerhetsskyddsavtal innebär inte heller per automatik att ett förfarande är lämpligt. I vissa fall kan inte ens ett optimalt utformat säkerhetsskyddsavtal motverka de säkerhetsskyddsproblem som uppstår genom ett förfarande med en utomstående aktör. Kravet på säkerhetsskyddsavtal har därför kompletterats med ytterligare skyldigheter för verksamhetsutövare som har för avsikt att inleda ett förfarande som kräver säkerhetsskyddsavtal, samt vissa befogenheter för tillsynsmyndigheterna. De aktuella bestämmelserna finns i 4 kap.7–11 §§säkerhetsskyddslagen och består av två olika ”kontrollstationer”.
Genom den första kontrollstationen åläggs verksamhetsutövare som har för avsikt att inleda ett förfarande som omfattas av ett krav på säkerhetsskyddsavtal att göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning (8 §). Skyldigheten att göra en särskild säkerhetskyddsbedömning innebär bl.a. att verksamhets-
utövaren inför förfarandet ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Verksamhetsutövaren ska därefter – med utgångspunkt i den särskilda säkerhetsskyddsbedömningen – pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt. Om lämplighetsprövningen leder till slutsatsen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt får det inte inledas.
Om verksamhetsutövaren kommer fram till att det planerade förfarandet är lämpligt kan den andra kontrollstationen aktualiseras. Denna innefattar ett krav på samråd med tillsynsmyndigheten och befogenheter för tillsynsmyndigheten att besluta om förelägganden och förbud (9–11 §§). Ett samrådsförfarande är ingripande för verksamhetsutövarna, och dessutom resurskrävande för tillsynsmyndigheten. Skyldigheten att samråda gäller därför bara för verksamhetsutövare som avser att inleda ett förfarande som innebär att den andra aktören kan få tillgång till (1) säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller (2) annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Kopplat till samrådsförfarandet finns vissa särskilda befogenheter för tillsynsmyndigheterna. Om en verksamhetsutövare inte samråder med tillsynsmyndigheten trots att det finns en skyldighet att göra det får tillsynsmyndigheten inleda samrådet. Tillsynsmyndigheten får också besluta att förelägga verksamhetsutövaren att vidta säkerhetsskyddsåtgärder. Om ett föreläggande inte följs eller om det planerade förfarandet bedöms vara olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att det planerade förfarandet inte får genomföras.
Tanken med regelverket är att en verksamhetsutövare inför ett sådant förfarande som avses i 4 kap. 1 § ska ”passera” kontrollstation 1 (särskild säkerhetsskyddsbedömning och lämplighetsprövning) och i vissa fall även kontrollstation 2 (samråd och eventuella förelägganden), och därefter inleda ett förfarande med ett väl avvägt säkerhetsskyddsavtal på plats.
Möjligheten att ingripa i pågående förfaranden
Genom 4 kap. 12 § ges tillsynsmyndigheterna möjlighet att ingripa i pågående förfaranden. Det rör sig alltså om ingripanden i efterhand, när ett förfarande redan har inletts.
Av förarbetena till bestämmelsen framgår att det trots de förebyggande åtgärderna i 4 kap. 7–11 §§ inte kan uteslutas att det ändå inträffar att förfaranden påbörjas och därefter bedöms som olämpliga. En sådan situation skulle, enligt förarbetena, kunna uppstå om en verksamhetsutövare felaktigt bedömer att förfarandet inte omfattas av samråd eller om väsentliga förhållanden, t.ex. hotbilder eller den säkerhetskänsliga verksamhetens karaktär, ändras efter att förfarandet har inlett s.19 Det ansågs därför även finnas behov av ett verktyg som ger tillsynsmyndigheterna möjlighet att ingripa i efterhand, när ett förfarande redan har inletts.
Enligt bestämmelsen i 12 § får tillsynsmyndigheten ingripa mot ett pågående förfarande om förfarandet omfattas av ett krav på säkerhetsskyddsavtal enligt 4 kap. 1 § och är olämpligt från säkerhetsskyddssynpunkt.
Ingripandeverktyget är utformat på så sätt att tillsynsmyndigheten får besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut får förenas med vite. Föreläggandena kan anpassas efter de behov som finns i det särskilda fallet. Ett föreläggande kan således innebära att ett förfarande avbryts helt eller delvis. Det kan emellertid också vara begränsat till att avse en viss åtgärd som krävs för att komma till rätta med säkerhetsrisken – t.ex. att verksamhetsutövaren ska ta kontrollen över vissa uppgifter som blivit känsli ga.20
Proportionalitet
Om tillsynsmyndighetens beslut om föreläggande eller förbud utgör ett ingrepp i ett enskilt intresse måste åtgärden vara proportionerlig (5 § tredje stycket förvaltningslagen [2017:900]). Med detta avses dels att den tilltänkta åtgärden kan antas leda till det avsedda resultatet. Dels att åtgärden inte får vara mer långtgående
19Prop. 2020/21:194 s. 64 f. 20 Jfr a.a. s. 65.
än vad som behövs och att åtgärden bara får vidtas om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot.
Den potentiella skadan för Sveriges säkerhet och de ekonomiska skadorna för verksamhetsutövaren och den andra aktören i ett tilltänkt eller pågående förfarande är viktiga kriterier vid proportionalitetsbedömningen. Ju mer ingripande åtgärd det handlar om, desto högre krav måste ställas i fråga om skadans allvar. En annan viktig faktor vid proportionalitetsbedömningen är om ingripandet faktiskt kommer att kunna leda till att skador förhindras. Av kravet på proportionalitet följer att möjligheten att på förhand förbjuda ett förfarande och att ingripa i ett redan pågående förfarande ska användas restriktivt .21
4.3. Problembeskrivning och behovet av lagändringar
4.3.1. Inledning
I det här avsnittet redogör vi för de problem som vi har identifierat och de överväganden som vi har gjort gällande behovet av lagändringar. Av våra direktiv framgår att det finns vissa förfaranden som innebär exponering av säkerhetskänslig verksamhet (och som därmed är förenade med särskilda risker) som inte omfattas av ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen. De förfaranden som nämns i våra direktiv är äldre förfaranden, och förfaranden som har varit oproblematiska ur säkerhetssynpunkt när de inleddes men som, på grund av ändrade förhållanden, i ett senare skede utgör en säkerhetsrisk. I avsnitt 4.3.2 utvecklar vi den problembeskrivning som finns i våra direktiv (och som vi ställer oss bakom). Eftersom de aktuella förfarandena kan bli föremål för andra tillsynsåtgärder har vi emellertid också behövt göra vissa överväganden vad gäller behovet av lagändringar. Denna fråga behandlar vi i avsnitt 4.3.3. I avsnitt 4.3.4 behandlar vi frågan om det finns behov av fler åtgärder för att komma till rätta med förfaranden som är skadliga för Sveriges säkerhet.
4.3.2. Vissa förfaranden som kan vara skadliga för Sveriges säkerhet omfattas inte av ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen
Förfaranden som har inletts före den 1 december 2021
Det finns ingen särskild övergångsbestämmelse knuten till ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen. Av förarbetena till övergångsbestämmelserna avseende 2021 års lagändringar framgår emellertid att ingripanden inte får ske i förfaranden som har inletts före ikraftträdandet. Detta anses följa direkt av paragrafens ordalydelse .22Bestämmelsen kan alltså bara tillämpas på förfaranden som har inletts efter den 1 december 2021.
Vår bedömning är att det kan finnas ett stort antal pågående förfaranden som rör säkerhetsskyddsklassificerade uppgifter på nivån konfidentiell eller högre eller annan verksamhet av motsvarande betydelse som har inletts före den 1 december 2021. Flera av tillsynsmyndigheterna har uppgett att det inom sektorer som de utövar tillsyn över är vanligt förekommande med avtal eller andra former av samverkan som löper över lång tid. I detta sammanhang kan också särskilt nämnas att tillämpningsområdet för säkerhetsskyddslagstiftningen utvidgades till att gälla fler aktörer i och med införandet av den nya säkerhetsskyddslagen i april 2019. Detta talar också för att mängden äldre förfaranden, som staten alltså inte kan ingripa mot, inte är obetydlig.
Förfaranden som har inletts innan verksamheten blivit säkerhetskänslig
Vilka verksamheter som är av betydelse för att upprätthålla Sveriges säkerhet och vilka tillgångar som har ett kvalificerat skyddsbehov beror på ett flertal olika faktorer – såsom Sveriges uppfattning om säkerhetsläget nationellt och internationellt, hur hotbilden mot Sverige ser ut samt större samhällsförändringar (t.ex. digitaliseringen) – och varierar därmed över tid. Säkerhetsskyddslagstiftningen är i grunden utformad för att kunna omfatta nya verksamheter eftersom tillämpningsområdet utgår från hur skyddsvärd en viss verk-
22Prop. 2020/21:194 s. 120. Rekvisitet ”ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 §” ska alltså förstås som att ingripanden bara får ske i förfaranden som omfattas av skyldigheten att ingå säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen.
samhet är, i stället för vissa på förhand utpekade sektorer eller andra specifika verksamhetstyper. Så fort en verksamhet bedöms vara säkerhetskänslig ska verksamhetsutövaren påbörja säkerhetsskyddsarbetet genom att göra en säkerhetsskyddsanalys och utifrån denna vidta relevanta säkerhetsskyddsåtgärder. Regelverket gällande förfaranden i 4 kap. följer emellertid inte denna systematik.
Bestämmelserna i 4 kap. gäller bara för förfaranden som kräver säkerhetsskyddsavtal. Skyldigheten att ingå säkerhetsskyddsavtal, som följer av 1 §, gäller för verksamhetsutövare som avser att samverka med en annan aktör. Bestämmelsen är alltså framåtsyftande och tanken är att parterna i förfarandet ska ha ingått ett säkerhetsskyddsavtal innan den andra aktören får tillgång till den säkerhetskänsliga verksamheten (se tredje stycket i nämnda paragraf). Av förarbetena till bestämmelsen framgår att bestämmelsen inte ska förstås som att skyldigheten att ingå säkerhetsskyddsavtal upphör efter att ett förfarande har inletts. Om en verksamhetsutövare
felaktigt har bedömt att ett visst förfarande inte kräver säkerhetsskyddsavtal finns det en skyldighet att ingå säkerhetsskyddsavtal i efter-
hand – efter att ett förfarande har inletts .23Hur långt skyldigheten att ingå säkerhetsskyddsavtal i efterhand sträcker sig har såvitt vi känner till ännu inte blivit föremål för prövning. Det kan emellertid konstateras att det inte finns något stöd – vare sig i paragrafens ordalydelse eller i förarbetena – för att skyldigheten att ingå säkerhetsskyddsavtal i efterhand även skulle gälla för förfaranden som har inletts innan en verksamhet blivit säkerhetskänslig. I en sådan situation har verksamhetsutövaren av naturliga skäl inte gjort någon bedömning av om förfarandet kräver säkerhetsskyddsavtal innan förfarandet inleddes (jfr ovan nämnda förarbetsuttalande). Vår bedömning är därför att förfaranden som en aktör har inlett innan verksamheten blivit säkerhetskänslig inte omfattas av regelverket i 4 kap. Det är därmed inte heller möjligt att ingripa mot sådana med stöd av 12 §.
4.3.3. Tillsynsmyndigheterna kan inte ställa samma krav på alla som bedriver säkerhetskänslig verksamhet
Vi har konstaterat att äldre förfaranden (som har inletts före den 1 december 2021) och förfaranden som har inletts innan den aktuella verksamheten blivit säkerhetskänslig inte omfattas av ingripandemöjligheten i 12 §. Detta trots att förfarandena är förenade med samma risker som sådana förfaranden som omfattas av 4 kap. säkerhetsskyddslagen. Det faktum att förfarandena inte omfattas av regelverket i 4 kap. innebär emellertid inte att de är oreglerade från säkerhetsskyddssynpunkt.
Vi har i avsnitt 4.2.2 redogjort för de grundläggande skyldigheter som följer av 2 kap. 1 § säkerhetsskyddslagen och som alla verksamhetsutövare måste förhålla sig, och leva upp, till. Bestämmelsen gäller även i situationen då en verksamhetsutövare avser att exponera säkerhetskänslig information eller verksamhet i övrigt för en utomstående aktör. Verksamhetsutövarna har därför långtgående skyldigheter att skydda verksamheten vid förfaranden med utomstående aktörer även om regelverket i 4 kap. inte är tillämpligt på förfarandet. Tillsynsmyndigheterna har också möjlighet att vidta åtgärder mot förfaranden som inte omfattas av 4 kap. Om en verksamhetsutövare utsätter verksamheten för risker vid samverkan med en utomstående aktör kan tillsynsmyndigheten t.ex. meddela åtgärdsföreläggande förenat med vite enligt 6 kap. 6 § säkerhetsskyddslagen. Även om det inte finns stöd för att tillsynsmyndigheterna genom ett åtgärdsföreläggande skulle kunna kräva att ett förfarande ska avslutas helt, kan det inte uteslutas att ett åtgärdsföreläggande i praktiken skulle kunna få den effekten. Eftersom beskrivningarna av de grundläggande skyldigheterna och säkerhetsskyddsåtgärderna i 2 kap.1–4 §§säkerhetsskyddslagen är mycket allmänt hållna har tillsynsmyndigheterna också getts stor frihet att bestämma vilka specifika åtgärder som behöver vidtas i olika situationer. Ett åtgärdsföreläggande skulle således t.ex. kunna innehålla ett krav på att vissa säkerhetsskyddsklassificerade uppgifter inte får exponeras för den andra aktören i ett pågående förfarande, vilket i sin tur skulle kunna leda till att förfarandet inte längre kan genomföras på ett meningsfullt sätt.
Eftersom tillsynsmyndigheterna redan i dag har befogenhet att ingripa mot sådana förfaranden som inte omfattas av 4 kap., kan
det ifrågasättas om begränsningarna i tillämpningsområdet för ingripandemöjligheten i 12 § som vi har redogjort för ovan är så problematiska att det finns ett behov av lagändringar. Vår uppfattning är emellertid att det finns ett sådant behov. Skälen för detta är följande.
Befogenheten att meddela åtgärdsförelägganden är, till skillnad från ingripandemöjligheten i 12 §, knuten till de skyldigheter som en verksamhetsutövare har enligt säkerhetsskyddslagen och tillhörande föreskrifter. Tillsynsmyndigheten kan därför inte med stöd av 6 kap. 6 § förelägga en verksamhetsutövare att ingå säkerhetsskyddsavtal eller vidta andra åtgärder enligt 4 kap., om det aktuella förfarandet inte omfattas av det regelverket. Med stöd av 4 kap. 12 § kan tillsynsmyndigheten förelägga om de åtgärder som
krävs för att förhindra skada för Sveriges säkerhet. Förelägganden
enligt den bestämmelsen kan alltså innehålla krav på att verksamhetsutövaren ska vidta åtgärder som inte följer direkt av lagstiftningen, och ingripandemöjligheten kan därför användas i situationer där de åtgärder som en verksamhetsutövare har en skyldighet att vidta enligt 2 kap. 1 § inte är tillräckliga för att skyddet för verksamheten ska kunna upprätthållas. Ett sådant föreläggande kan ytterst innehålla ett krav på att förfarandet ska avslutas helt. Förelägganden enligt 4 kap. 12 § kan dessutom riktas mot den andra parten i förfarandet.
Sammanfattningsvis kan det konstateras att möjligheten att meddela åtgärdsförelägganden inte är ett lika långtgående eller skarpt verktyg som ingripandemöjligheten i 12 §. Begränsningen av tillämpningsområdet för 12 § innebär således att tillsynsmyndigheternas befogenheter att ingripa mot pågående förfaranden varierar beroende på när och under vilka förutsättningar förfarandet inleddes. Detta framstår – med hänsyn till det säkerhetspolitiska läget och lagstiftningens skyddsintresse – inte som en rimlig ordning. Vi menar att utgångspunkten i stället måste vara att bedömningen av vilka åtgärder som ska vidtas i en situation där ett förfarande riskerar att skada Sveriges säkerhet ska utgå från den lagstiftning och de krav som gäller för en verksamhet som startas i dag. Det är därmed också vår uppfattning att det finns ett behov av lagändringar.
4.3.4. Det krävs fler åtgärder för att komma till rätta med förfaranden som är skadliga för Sveriges säkerhet
Även om förfaranden som inte omfattas av 4 kap. säkerhetsskyddslagen inte är oreglerade från säkerhetsskyddssynpunkt och verksamhetsutövare redan i dag har en skyldighet att se till att verksamheten inte utsätts för risker i samband med sådana förfaranden, ser vi att det finns en risk att verksamhetsutövare inte i tillräcklig utsträckning analyserar riskerna med och prövar lämpligheten av sådana förfaranden. Detta eftersom det – till skillnad från vad som gäller vid förfaranden som omfattas av ett krav på säkerhetsskyddsavtal – inte finns något uttryckligt krav på att sådana åtgärder ska vidtas vid en specifik tidpunkt (jfr 4 kap. 7 §). Det finns inte heller något uttryckligt krav på att verksamhetsutövaren ska göra uppföljningar och vidta relevanta åtgärder under tiden som ett sådant förfarande pågår (jfr 4 kap. 5 §).
Införandet av 4 kap. har sannolikt skapat en större generell medvetenhet om riskerna med förfaranden som innebär exponering av säkerhetskänslig verksamhet. Av Säkerhetspolisens årsbok för 2023/2024 framgår emellertid att verksamhetsutövare fortfarande har svårigheter med att identifiera sina skyddsvärden, vilka säkerhetshot som finns mot dessa och verksamhetens sårbarheter .24Med hänsyn till detta och de brister som uppmärksammades i 2018 års betänkande ,25finns det skäl att utgå från att det kan finnas pågående förfaranden – äldre eller som har inletts innan verksamheten blivit säkerhetskänslig – som är olämpliga från säkerhetsskyddssynpunkt. Eftersom fler eller andra verksamheter kan komma att omfattas av säkerhetsskyddslagstiftningen i framtiden är problemet med förfaranden som har inletts innan en verksamhet blivit säkerhetskänslig inte heller övergående.
En förutsättning för att tillsynsmyndigheterna ska kunna granska, och vid behov även ingripa mot, nu aktuella förfaranden är att de upptäcker dessa. Förfarandena fångas inte upp genom samråd med tillsynsmyndigheten, och det finns inte heller någon annan mekanism som gör att tillsynsmyndigheterna får kännedom om dessa (jfr anmälningsskyldigheten gällande säkerhetsskyddsavtal i 6 kap.4 och 5 §§säkerhetsskyddsförordningen). Av 2 kap. 4 §
24 Säkerhetspolisens årsbok 2023/2024 s. 18. 25SOU 2018:82 s. 176–190.
säkerhetsskyddsförordningen följer att verksamhetsutövare har en skyldighet att anmäla vissa säkerhetshotande händelser eller viss säkerhetshotande verksamhet till Säkerhetspolisen, och i vissa fall även till Försvarsmakten. I de fall förfaranden är eller blir problematiska på grund av okunskap hos verksamhetsutövaren kommer emellertid sannolikt inte någon sådan anmälan att göras till myndigheterna. Huruvida tillsynsmyndigheterna får kännedom om nu aktuella förfaranden eller inte beror i stället i första hand på vilka resurser som tillsynsmyndigheterna tilldelas och hur tillsynsverksamheten organiseras. Att genom tillsyn försöka identifiera och granska förfaranden som inte omfattas av 4 kap. är en mycket resurskrävande uppgift, som dessutom riskerar att ta fokus från andra viktiga tillsynsuppgifter. Vi ser därför ett behov av åtgärder som förbättrar möjligheterna för tillsynsmyndigheterna att upptäcka nu aktuella förfaranden och som också ökar medvetenheten hos verksamhetsutövarna om riskerna med dessa.
4.4. Förbättrade möjligheter att upptäcka och ingripa mot pågående förfaranden som är olämpliga från säkerhetsskyddssynpunkt
4.4.1. Möjligheten att ingripa under ett pågående förfarande bör utvidgas
Förslag: Möjligheten för tillsynsmyndigheterna att besluta om
förelägganden mot parterna i ett pågående förfarande, som för närvarande är begränsad till att gälla förfaranden som har inletts efter den 1 december 2021 och som kräver säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen, utvidgas till att gälla alla pågående förfaranden i form av upphandlingar, avtal, samverkan och samarbeten som en verksamhetsutövare har med en annan aktör, om aktören genom förfarandet kan få tillgång till
1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskydds-
klassen konfidentiell eller högre, eller
2. annan säkerhetskänslig verksamhet av motsvarande betydelse
för Sveriges säkerhet.
Sådana förfaranden som har undantagits från skyldigheten att ingå säkerhetsskyddsavtal med stöd av 4 kap.2 och 6 §§säkerhetsskyddslagen omfattas inte heller fortsättningsvis av ingripandemöjligheten.
Förutsättningarna för att meddela förelägganden med stöd av bestämmelsen är oförändrade, och ingripandemöjligheten begränsas även fortsättningsvis ytterst av kravet på proportionalitet.
Tillsynsmyndigheterna bör ges möjlighet att ställa samma krav på alla som bedriver säkerhetskänslig verksamhet
I avsnitt 4.3 har vi konstaterat att det finns ett behov av lagändringar vad gäller statens möjligheter att ingripa mot pågående förfaranden som är olämpliga från säkerhetsskyddssynpunkt. Det problem som vi har identifierat är att tillsynsmyndigheterna i dagsläget inte kan ställa samma krav på alla som bedriver säkerhetskänslig verksamhet, utan måste utgå från olika standarder när de utövar tillsyn över förfaranden som innebär exponering av säkerhetskänslig verksamhet.
Behovet av lagändringar måste emellertid vägas mot de negativa effekter som ändringarna skulle kunna få. I förarbetena till bestämmelsen i 4 kap. 12 § säkerhetsskyddslagen konstateras att frågan om ingripanden i efterhand måste betraktas i ljuset av verksamhetsutövarens kontraktuella förpliktelser, risken för negativa ekonomiska konsekvenser för de aktörer som åtgärden riktar sig mot och negativa effekter för marknaden. Det konstateras också att en reglering som ytterst möjliggör för staten att avsluta affärsförhållanden eller andra former av samarbeten eller samverkan kan skapa osäkerhet gällande risker och kostnader, vilket i sin tur kan leda till att avtal blir dyrare samt att tjänstetillgången och möjligheten att hitta samarbetspartners försämras .26Risken för dessa effekter måste beaktas även i förhållande till våra förslag.
En utvidgning av möjligheten att ingripa i pågående förfaranden till att även avse äldre förfaranden, som har inletts före det att bestämmelsen i 4 kap. 12 § trädde i kraft, aktualiserar också frågan om förutsebarhet och retroaktiv lagstiftning.
I svensk rätt finns inte något allmänt förbud mot retroaktiv lagstiftning. Det retroaktivitetsförbud som följer av 2 kap. 10 § regerings-
26SOU 2018:82 s. 248 och 249.
formen avser endast straff eller annan brottspåföljd, samt skatter och statliga avgifter. Förbudet anses också vara analogt tillämpligt på straffliknande administrativa påföljder såsom sanktionsavgifter .27De förslag som vi lämnar aktualiserar därmed inte retroaktivitetsförbudet. Det finns emellertid vissa allmänna rättsliga principer som ska beaktas när regler på olika sätt ges retroaktiv verkan. En sådan princip är att civilrättslig lagstiftning som utgångspunkt inte ska ges retroaktiv verkan. Den enskildes möjligheter att överblicka konsekvenserna av sina rättshandlingar anses vara en viktig rättssäkerhetsprincip och ny lagstiftning ska därmed som huvudregel inte rubba redan ingångna avtal. Endast tungt vägande skäl anses kunna motivera avsteg från denna princip .28Våra förslag rör statliga ingripanden som kan få civilrättsliga effekter och det bör därför, i enlighet med ovan nämnda princip, finnas starka skäl för att utvidga statens ingripandemöjligheter till att även avse förfaranden som har inletts innan regleringen trädde i kraft.
De ändringar som vi föreslår rör Sveriges säkerhet och syftar till att stärka skyddet för Sveriges allra mest skyddsvärda verksamheter. Detta i en tid då hotbilden mot Sverige och svenska intressen är både förhöjd och breddad. Säkerhetshotet från främmande makt, som bedriver en bred och systematisk säkerhetshotande verksamhet mot Sverige, är påtagligt och i Säkerhetspolisens årsbok för 2023/2024 framhålls särskilt att det allvarliga omvärldsläget gör det än mer viktigt att skydda säkerhetskänslig verksamhet genom att se till att det inte finns sårbarheter som kvalificerade hotaktörer kan utnyttja.
De särskilda risker som utkontrakteringar och andra former av samverkan med utomstående aktörer är förenade med uppmärksammades redan i samband med införandet av den nya säkerhetsskyddslagen 2019, och har också föranlett införandet av regelverket i 4 kap. 1–12 §§ genom vilket det uppställs särskilda krav på verksamhetsutövare som har för avsikt att inleda, eller som redan har inlett, förfaranden som innebär att säkerhetskänslig verksamhet exponeras för en utomstående aktör.
Mot bakgrund av vad som anförts ovan och det faktum att de nu aktuella förfarandena är förenade med precis samma risker som de förfaranden som omfattas av 4 kap., måste de potentiella negativa effekterna av ändringarna som föreslås anses vara godtagbara. De
27Prop. 1975/76:209 s. 125 f. 28 Se bl.a. Ds 2003:9 s. 51–54, SOU 1975:75 s. 158 och prop. 1992/93:56 s. 56.
samhällsekonomiska konsekvenserna av våra förslag bör inte heller överdrivas eftersom de förfaranden som förslagen tar sikte på inte är oreglerade ur säkerhetsskyddssynpunkt (se avsnitt 4.3.3). Vidare är vi av uppfattningen att det finns mycket starka skäl för att möjliggöra ingripanden även mot äldre förfaranden. Det framstår helt enkelt inte som acceptabelt att möjligheten att vidta åtgärder mot ett pågående förfarande som kan skada Sveriges säkerhet är beroende av vid vilken tidpunkt förfarandet inleddes. Avgörande för vilka åtgärder som ska vidtas måste i stället vara vad som gäller när frågan om ett ingripande aktualiseras.
Tillämpningsområdet för ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen bör utvidgas
Tillsynsmyndigheterna bör få ingripa mot fler förfaranden
Vårt förslag går ut på att möjligheten att ingripa mot pågående förfaranden utvidgas till att, som utgångspunkt, avse alla pågående förfaranden i form av avtal, samarbeten eller samverkan som medför att en annan aktör får tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsklassen konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet – oavsett när de har inletts och oavsett om det föreligger ett krav på säkerhetsskyddsavtal i det enskilda fallet eller inte. Avgörande för vilka förfaranden som tillsynsmyndigheten kan ingripa mot blir i stället om det sker en exponering av säkerhetskänslig verksamhet.
Vi föreslår inte några ändringar vad gäller vilka förfarandetyper som tillsynsmyndigheten ska få ingripa mot. Frågan om vilka förfaranden som ska omfattas av 4 kap., däribland 12 §, behandlades ingående i lagstiftningsärendet som ligger till grund för 2021 års lagändringar .29Det har inte framkommit några skäl att göra en annan bedömning av denna fråga i dag. Ingripanden kommer således inte heller fortsättningsvis få ske i sådana förfaranden som med stöd av 4 kap. 2 § eller med stöd av föreskrifter eller regeringsbeslut enligt 4 kap. 6 § undantas från skyldigheten att ingå säkerhetsskyddsavtal. Vi är av uppfattningen att denna bedömning också ligger i linje med våra direktiv.
29Prop. 2020/21:194 s. 30–33, 35–38 och 128.
I avsnitt 4.3.2 har vi berört frågan om skyldigheten att ingå säkerhetsskyddsavtal i efterhand, dvs. efter att ett förfarande har inletts, och konstaterat att rättsläget är oklart vad gäller hur långt den skyldigheten sträcker sig. Den föreslagna ändringen i 4 kap. 12 § gör emellertid att åtgärder kan vidtas mot förfaranden där det finns ett behov av säkerhetsskyddsavtal, oavsett om förfarandet omfattas av ett krav på säkerhetsskyddsavtal enligt 4 kap. 1 § eller inte.
Vi föreslår att paragrafen ska kunna tillämpas även på äldre förfaranden, som har inletts före ikraftträdandet. Detta bör framgå av en särskild övergångsbestämmelse. Förslag om en sådan bestämmelse finns i kapitel 8.
Förutsättningarna för att kunna ingripa i efterhand bör inte ändras
Vi har övervägt om det bör uppställas särskilda krav för att kunna meddela förelägganden mot aktörerna i äldre förfaranden och i förfaranden som har inletts innan verksamheten blivit säkerhetskänslig. Det som utmärker sådana förfaranden är att parterna inte har haft möjlighet, eller anledning, att anpassa sitt handlande efter regelverket i 4 kap. säkerhetsskyddslagen när förfarandet inleddes. Denna omständighet talar för att de negativa konsekvenserna av ett ingripande skulle kunna bli mer långtgående för parterna i ett sådant förfarande, än för parterna i ett förfarande som har inletts inom ramen för en säkerhetskänslig verksamhet efter att bestämmelsen i 12 § införts.
Ett ingripande med stöd av 12 § får ske om ett förfarande som omfattas av ett krav på säkerhetsskyddsavt al30är olämpligt från säkerhetsskyddsynpunkt. De grundläggande kraven för ett ingripande är således – med hänsyn till de negativa konsekvenser som ett ingripande kan få – ganska lågt ställda. Detta särskilt med beaktande av att förelägganden med stöd av bestämmelsen inte bara kan riktas mot verksamhetsutövaren utan även mot den andra aktören i förfarandet.
Vid införandet av bestämmelsen behandlades frågan om ingripandemöjligheten skulle begränsas till att enbart gälla förfaranden som omfattas av ett krav på samrå d31och om det skulle krävas viss
30 Dvs. ett förfarande som innebär exponering av uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan verksamhet av motsvarande betydelse för Sveriges säkerhet. 31 Dvs. förfaranden som innebär exponering av uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller verksamhet av motsvarande betydelse för Sveriges säkerhet.
nivå av potentiell skada för Sveriges säkerhet, t.ex. allvarlig eller synnerligen allvarlig skada. En begränsning utifrån kravet på samråd ansågs emellertid otillfredsställande eftersom alltför många förfaranden som skulle kunna bli problematiska från säkerhetsskyddssynpunkt inte skulle omfattas av ingripandemöjligheten. Det ansågs inte heller lämpligt att uppställa krav på potentiell skada på viss nivå. Detta eftersom det kan variera hur pass ingripande ett föreläggande behöver vara i det enskilda fallet och en sådan begränsning skulle göra verktyget alltför trubbigt. Enskildas intresse av att inte utsättas för onödiga eller orimliga ingrepp tillgodoses i stället genom kravet på att ett ingripande bara får beslutas om det är proportionerligt i det enskilda fallet. I förarbetena konstateras att den potentiella skadans allvar blir en viktig parameter vid en sådan bedömnin g.32
Vad som anfördes i det förra lagstiftningsärendet gör sig gällande även i förhållande till frågan om förutsättningarna för ingripanden i nu aktuella förfaranden. Om ribban för att använda ingripandeverktyget sätts för högt kommer verktyget inte bli tillräckligt effektivt. Med hänsyn till detta och att kravet på proportionalitet gör att tröskeln för ett ingripande automatiskt blir högre om åtgärden riskerar att medföra stora skador eller olägenheter för de drabbade aktörerna, anser vi att den föreslagna utvidgningen av 12 § inte bör föranleda någon ändring vad gäller förutsättningarna för ett ingripande i efterhand.
Tillsynsmyndigheterna bör även fortsättningsvis fatta beslut
Förslaget som vi lämnar kommer att leda till att fler förfaranden omfattas av ingripandemöjligheten. De frågor som den beslutande myndigheten kommer att behöva ta ställning till är emellertid desamma som tidigare. Det finns därför inte skäl att föreslå några ändringar vad gäller vilken eller vilka myndigheter som ska fatta beslut, utan besluten bör även fortsättningsvis fattas av tillsynsmyndigheterna.
Förslagen innebär en indirekt utvidgning av skyldigheterna i 4 kap. säkerhetsskyddslagen
Ett föreläggande enligt 4 kap. 12 § ska gå ut på att verksamhetsutövaren eller motparten åläggs att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Bestämmelsen innehåller inte några särskilda begränsningar av vad ett föreläggande får avse, förutom att syftet med föreläggandet ska vara att förhindra skada för Sveriges säkerhet. Möjligheten att besluta om förelägganden med stöd av 12 § är alltså inte begränsad till att avse sådana åtgärder som verksamhetsutövare är skyldiga att vidta enligt säkerhetsskyddslagstiftningen (jfr 6 kap. 6 § säkerhetsskyddslagen).
En effekt av vårt förslag om en utvidgning av ingripandemöjligheten skulle därför bli att tillsynsmyndigheterna ges möjlighet att ålägga verksamhetsutövare att vidta åtgärder enligt 4 kap. – t.ex. ingå säkerhetsskyddsavtal eller samråda med tillsynsmyndigheten – även om förfarandet inte kräver säkerhetsskyddsavtal enligt 4 kap. 1 §. Förslagen innebär därmed en indirekt utvidgning av skyldigheterna i 4 kap. En sådan ordning får emellertid anses vara godtagbar eftersom möjligheten att ingripa i efterhand endast ska användas i situationer då åtgärder behövs för att förhindra skada för Sveriges säkerhet, och ingripanden alltid ska föregås av en noggrann proportionalitetsbedömning.
Ett säkerhetsskyddsavtal som ingås till följd av ett föreläggande enligt 12 § bör i rättsligt hänseende likställas med säkerhetsskyddsavtal som ingås med stöd av 4 kap. 1 §. De bestämmelser och föreskrifter som gäller för säkerhetsskyddsavtal enligt 1 § ska därmed tillämpas även avseende säkerhetsskyddsavtal som ingås med stöd av ett föreläggande enligt 12 §. Detsamma bör gälla när en verksamhetsutövare med stöd av 12 § föreläggs att vidta andra åtgärder enligt 4 kap. (samråda med tillsynsmyndigheten, eller göra en särskild säkerhetsskyddsbedömning eller lämplighetsprövning).
4.4.2. Det bör införas en särskild anmälningsplikt för vissa förfaranden
Förslag: Pågående förfaranden i form av upphandlingar, avtal,
samverkan eller samarbeten ska utan dröjsmål anmälas till tillsynsmyndigheten, om
1. förfarandet innebär att en annan aktör kan få del av säkerhets-
skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, och
2. förfarandet inte omfattas av ett krav på säkerhetsskyddsavtal
enligt 4 kap. 1 § säkerhetsskyddslagen.
Anmälningsskyldigheten gäller inte för sådana förfaranden som har undantagits från skyldigheten att ingå säkerhetsskyddsavtal med stöd av 4 kap.2 eller 6 §§säkerhetsskyddslagen.
Underlåtenhet att göra en anmälan till tillsynsmyndigheten ska kunna leda till sanktionsavgift.
Bedömning: I 8 kap.6, 7 och 10 §§säkerhetsskyddsförordningen
finns bemyndiganden för Säkerhetspolisen, Försvarsmakten och övriga tillsynsmyndigheter om föreskriftsrätt om vilken information som en anmälan ska innehålla liksom de närmare formerna för fullgörandet av anmälningsskyldigheten.
Förbättrade möjligheter att fånga upp och granska förfaranden som är olämpliga från säkerhetsskyddssynpunkt
Vi har övervägt en bred ansats
Vi har gjort bedömningen att äldre förfaranden och förfaranden som har inletts innan en verksamhet blivit säkerhetskänslig kan vara förenade med särskilda risker, och att det finns ett behov av åtgärder som förbättrar möjligheterna för tillsynsmyndigheterna att upptäcka sådana förfaranden och som ökar medvetenheten hos verksamhetsutövarna om riskerna med dessa (se avsnitt 4.3.4). Vi har med anledning av detta övervägt om även sådana förfaranden bör bli föremål för särskilda kontrollåtgärder. Man skulle t.ex.
kunna tänka sig en ordning där förfarandena fångas upp och granskas genom ett särskilt samrådsförfarande. Vi har också haft uppe frågan om kravet på att ingå säkerhetsskyddsavtal bör utvidgas på samma sätt som ingripandemöjligheten, dvs. till att gälla för alla förfaranden som innebär exponering av säkerhetskänslig verksamhet – oavsett när förfarandena har inletts.
Vid bedömningen av om ytterligare lagändringar bör göras måste emellertid beaktas att stora förändringar har gjorts på säkerhetsskyddsområdet på senare tid, och att anpassningen till lagstiftningen alltjämt pågår. Eftersom det sannolikt finns ett större antal äldre avtal och samarbeten som löper under lång tid kan våra förslag, om de är alltför ambitiösa, leda till en stor administrativ börda som riskerar att lamslå det viktiga arbete som pågår. Nyttan av de åtgärder som vi föreslår måste därför vara påtaglig och tydlig.
Ändringar som innebär att även pågående förfaranden som inte kräver säkerhetsskyddsavtal ska granskas t.ex. genom samråd med tillsynsmyndigheten, skulle bli mycket resurskrävande för såväl verksamhetsutövarna som tillsynsmyndigheterna. Med hänsyn till detta och att förfarandena inte är oreglerade utan kan granskas inom ramen för den ”vanliga” tillsynen skulle nyttan med en sådan åtgärd sannolikt inte överväga nackdelarna. Vi lämnar därför inte förslag om ett särskilt granskningssystem för de nu aktuella förfarandena, utan granskningen av förfaranden som inte kräver säkerhetsskyddsavtal bör även fortsättningsvis ske genom sedvanliga tillsynsåtgärder, och vid behov. Som konstaterats ovan behöver emellertid tillsynsmyndigheterna ges bättre förutsättningar att identifiera de aktuella förfarandena. Vi återkommer till detta nedan.
Vad gäller frågan om en utvidgning av skyldigheten att ingå säkerhetsskyddsavtal kan det konstateras att säkerhetsskyddsavtal är en viktig och grundläggande åtgärd vid exponering av säkerhetskänslig verksamhet för att reglera säkerhetsskyddet i förfarandet. Detta särskilt eftersom avtalet utgör grund för beslut om att placera en anställning eller annat deltagande hos motparten i säkerhetsklass och för säkerhetsprövning med registerkontroll och särskild personutredning av en person som innehar en sådan befattning (se 4 kap. 4 § säkerhetsskyddslagen). Samtidigt är säkerhetsskyddsavtal en säkerhetsskyddsåtgärd bland flera och säkerhetsskyddet vid samverkan med utomstående aktörer kan, i vart fall i situationer där beslut om placering i säkerhetsklass inte är aktuellt, även regleras
genom andra typer av säkerhetsskyddsöverenskommelser. Det kan därmed ifrågasättas om ett generellt krav på att alla verksamhetsutövare ska förhandla om gamla säkerhetsskyddsavtal och ingå säkerhetsskyddsavtal i efterhand där sådana saknas (vilket sannolikt skulle bli mycket betungande för verksamhetsutövarna) är en ändamålsenlig och proportionerlig åtgärd. Frågan är komplex och har därför inte till fullo kunnat utredas inom ramen för vårt uppdrag. Vi lämnar därmed inte några förslag om en utvidgning av skyldigheten att ingå säkerhetsskyddsavtal.
Vi föreslår att det införs en anmälningsplikt för vissa förfaranden som inte kräver säkerhetsskyddsavtal
Genom den föreslagna utvidgningen av 4 kap. 12 § ges tillsynsmyndigheterna bättre möjligheter att vidta nödvändiga åtgärder mot förfaranden som inte omfattas av skyldigheten att ingå säkerhetsskyddsavtal. För att ändringen ska få tillräcklig effekt behövs det emellertid också åtgärder som ger tillsynsmyndigheterna bättre förutsättningar att upptäcka sådana förfaranden. Vi föreslår därför att utvidgningen av möjligheten att ingripa mot pågående förfaranden kompletteras med en anmälningsplikt för förfaranden som innebär exponering av säkerhetsskyddsklassificerade uppgifter på nivån konfidentiell, eller verksamhet i övrigt av motsvarande betydelse, men som inte omfattas av ett krav på säkerhetsskyddsavtal.
Det huvudsakliga syftet med anmälningsskyldigheten är att tillsynsmyndigheterna ska få kännedom om förfaranden som kan vara problematiska från säkerhetsskyddssynpunkt. En annan minst lika viktig effekt av anmälningsskyldigheten är emellertid att verksamhetsutövarna ges anledning att se över pågående förfaranden som inte omfattas av 4 kap., och analysera vilka skyddsvärden som exponeras. Som nämnts ovan ser vi att det finns en risk att verksamhetsutövare inte i tillräcklig utsträckning bedömer riskerna med, eller prövar lämpligheten av, sådana förfaranden som inte kräver säkerhetsskyddsavtal och som därmed inte har föregåtts av en särskild säkerhetsskyddsbedömning eller lämplighetsprövning, eller samråd med tillsynsmyndigheten. Den analys som efterlevnad av anmälningsplikten förutsätter kan leda till att verksamhetsutövaren upptäcker omständigheter som utlöser en skyldighet att vidta allmänna säkerhetsskyddsåtgärder enligt 2 eller 3 kap.
säkerhetsskyddslagen, eller en skyldighet att anmäla säkerhetshotande händelser eller verksamhet till myndighetern a.33
Eftersom skyldigheten att utreda behovet av säkerhetsskydd redan följer av 2 kap. 1 § säkerhetsskyddslagen, kommer anmälningsplikten inte innebära några nya betungande krav för verksamhetsutövarna. Det faktum att skyldigheten under en övergångsperiod kan leda till en ökad arbetsbelastning för de verksamhetsutövare som inte redan har sett över sina äldre förfaranden och analyserat vilka skyddsvärden som exponeras får därmed anses vara en godtagbar effekt. Likaså det tillfälliga administrativa merarbete som förslaget kan antas medföra för verksamhetsutövarna.
Anmälningsskyldigheten kommer emellertid också att leda till en ökad arbetsbelastning för merparten av tillsynsmyndigheterna. Detta eftersom myndigheterna behöver administrera och granska inkomna anmälningar och sannolikt även genomföra vissa informationsinsatser. Behovet av vägledning kommer sannolikt också vara stort. Anmälningsplikten kommer att slå ganska brett och det är ett faktum att tillsynsmyndigheterna också kommer att behöva ägna viss tid åt att administrera anmälningar som rör helt oproblematiska förfaranden. Med hänsyn till detta och att flera av tillsynsmyndigheterna har gjort bedömningen att det kommer att inkomma ett stort antal anmälningar har vi, under arbetets gång, haft flera diskussioner om huruvida fördelarna med förslaget överväger nackdelarna.
Alternativet till att införa en särskild anmälningsplikt är att informationen får inhämtas av tillsynsmyndigheterna med stöd av tillsynsbefogenheterna. Om frågan tas om hand i denna ordning kommer tillsynsmyndigheterna slippa den administration som anmälningarna leder till. Information kommer dessutom enbart att inhämtas från de tillsynsobjekt som tillsynsmyndigheterna har bedömt vara särskilt intressanta att granska. Arbetet med att identifiera förfaranden som kan vara problematiska skulle emellertid ske utifrån de ordinarie prioriteringar som görs mellan tillsynsobjekt och teman. Med hänsyn till de svåra prioriteringar som görs i tillsynsverksamheterna på området är vår bedömning att en mycket liten del av de nu aktuella förfarandena kommer att kunna identifieras genom tillsyn. En anmälningsplikt kommer givetvis inte heller ge en fullständig lägesbild. Vilka förfaranden som anmäls
33 Jfr resonemanget i förarbetena gällande anmälningsplikten i 2 kap. 6 § säkerhetsskyddslagen, prop. 2020/21:194 s. 80 ff.
kommer – liksom uppfyllandet av övriga krav på anmälan i säkerhetsskyddslagen – att vara beroende av de analyser som verksamhetsutövarna gör (och verksamhetsutövarnas efterlevnad av kravet). Ett sådant krav kommer emellertid, enligt vår bedömning, ändå ge tillsynsmyndigheterna bättre förutsättningar att identifiera förfaranden som kan vara skadliga för Sveriges säkerhet. Därtill kommer att det faktum att en verksamhetsutövare inte har anmält några förfaranden alls också kan vara intressant information för tillsynsmyndigheterna.
Som nämnts ovan är en annan mycket viktig effekt av anmälningsskyldigheten att medvetenheten och kunskapen om riskerna med förfaranden som innebär exponering av säkerhetskänslig verksamhet kommer att öka hos verksamhetsutövarna. Anmälningsskyldigheten kan därmed antas leda till att verksamhetsutövare, även utan föregående åtgärder från tillsynsmyndigheternas sida, kommer att vidta åtgärder som stärker skyddet för Sveriges säkerhet.
Den ökade arbetsbelastningen för tillsynsmyndigheterna skulle i huvudsak bero på att en större mängd anmälningar gällande äldre förfaranden kommer att inkomma i samband med att anmälningsskyldigheten införs. Vårt förslag innebär inget krav på att tillsynsmyndigheterna ska vidta åtgärder med anledning av anmälningarna, utan tanken är att dessa ska användas för att planera tillsynsverksamheten och bedöma var behovet av tillsyn är som störst. I vilken utsträckning anmälningarna ska föranleda åtgärder får alltså varje enskild tillsynsmyndighet avgöra utifrån förutsättningarna i deras verksamhet, och de resurser som myndigheten har. Framtida anmälningar, som kommer att inkomma till följd av att verksamheter där det finns pågående förfaranden har blivit säkerhetskänsliga, kan förväntas inkomma mer sällan och bedöms därmed kunna hanteras successivt utan några större undanträngningseffekter. Problemet med en förhöjd arbetsbelastning för tillsynsmyndigheterna är alltså övergående. Mot bakgrund av detta och de positiva effekter som en anmälningsplikt kan antas för få säkerhetsskyddet i stort bedömer vi att fördelarna med en särskild anmälningsskyldighet för vissa förfaranden som innebär exponering av säkerhetskänslig verksamhet överväger nackdelarna.
För att anmälningarna ska bli ett effektivt hjälpmedel för tillsynsmyndigheterna måste dessa innehålla tillräckligt mycket information för att tillsynsmyndigheterna ska kunna göra en preliminär bedömning av om det finns ett behov av att genomföra tillsyn eller inte.
Vilken information som ska framgå av anmälan bör regleras genom föreskrifter. Eftersom områdena som tillsynsmyndigheterna utövar tillsyn över skiljer sig åt, kan bedömningen av vilken information som behövs variera mellan olika tillsynsmyndigheter och föreskrifterna kan därför behöva anpassas utifrån förutsättningarna på de olika tillsynsområdena. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilken information som en anmälan ska innehålla, liksom föreskrifter om de närmare formerna för fullgörandet av anmälningsskyldigheten. Vi bedömer att Säkerhetspolisen och Försvarsmakten kommer att kunna meddela sådana föreskrifter med stöd av 8 kap.6 och 7 §§säkerhetsskyddsförordningen. Övriga tillsynsmyndigheter har genom 8 kap. 10 § säkerhetsskyddförordningen sådan föreskriftsrätt.
Det är också viktigt att tillsynsmyndigheterna noga överväger hur de på bästa sätt kan använda sig av anmälningarna i tillsynsverksamheten och att det finns en tydlig strategi för detta. Tanken är inte att alla anmälningar ska föranleda tillsynsåtgärder, utan anmälningarna ska – som nämnts ovan – användas för att planera tillsynsverksamheten och identifiera var behovet av tillsyn är mest akut.
När en anmälan inkommer bör tillsynsmyndigheten upplysa verksamhetsutövaren om att anmälan är mottagen och att anmälan i sig, eller den omständigheten att denna inte föranleder några särskilda åtgärder från myndighetens sida, inte innebär att förfarandet har godkänts av myndigheten.
Administrativ sanktionsavgift vid åsidosättande av anmälningsplikten
Av 7 kap. säkerhetsskyddslagen följer att vissa överträdelser av säkerhetsskyddslagstiftningen kan leda till sanktionsavgift. Vid bedömningen av om en sanktionsavgift ska tas ut ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, om överträdelsen har varit uppsåtlig eller berott på oaktsamhet, vad som gjorts för att överträdelsen ska upphöra och för att begränsa dess verkningar och om aktören tidigare har begått en överträdelse (7 kap. 3 §). Vilka överträdelser som kan leda till sanktionsavgift för en verksamhetsutövare framgår av
7 kap. 1 §. Som exempel på sådana kan nämnas åsidosättande av vissa av de grundläggande skyldigheterna enligt 2 kap. 1 § säkerhetsskyddslagen, kravet på att anmäla säkerhetskänslig verksamhet till tillsynsmyndigheten enligt 2 kap. 6 § säkerhetsskyddslagen samt skyldigheten att ingå säkerhetsskyddsavtal och att samråda med tillsynsmyndigheten enligt 4 kap.1 och 9 §§säkerhetsskyddslagen.
En sanktionsavgift enligt säkerhetsskyddslagen ska bestämmas till lägst 25 000 kronor och högst 50 miljoner kronor, dock högst 10 miljoner kronor om avgiften riktas mot en statlig myndighet, kommun eller region (7 kap. 4 §). Av 7 kap. 6 § följer att en sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Av förarbetena till 7 kap. framgår att sanktionsavgift i första hand bör komma i fråga vid åsidosättande av de skyldigheter som är allra viktigast för säkerhetsskyddet och att sanktionsavgifter därför bör reserveras för överträdelser av bestämmelser med krav som har avgörande betydelse för att upprätthålla ett väl anpassat säkerhetsskydd och där ett åsidosättande ytterst kan leda till allvarliga konsekvenser för Sveriges säkerhet. Eftersom sanktionsavgifter har en straffliknande karaktär och kan uppgå till betydande belopp måste kraven dessutom vara tillräckligt tydliga så att det är förutsebart för verksamhetsutövaren i vilka fall en sanktionsavgift får tas ut .34
Anmälningsplikten kommer att fylla en viktig funktion för att förhindra skada för Sveriges säkerhet vid olika former av samverkan med utomstående aktörer, inte minst eftersom verksamhetsutövarna kommer att behöva se över förfaranden som inte omfattas av 4 kap. säkerhetsskyddslagen för att kunna fullgöra anmälningsskyldigheten. Vi gör därför bedömningen att skyldigheten är av sådan vikt för säkerhetsskyddet att sanktionsavgift bör få tas ut vid underlåtenhet att anmäla förfaranden i enlighet med bestämmelsen. Kravet på anmälan är också tillräckligt tydligt för att ligga till grund för en sådan avgift. Skyldigheten bör därför vara sanktionerad. Den som försummar anmälningsplikten bör alltså kunna åläggas en sanktionsavgift.
4.4.3. Förbättrade möjligheter att utreda om ett förfarande är olämpligt från säkerhetsskyddssynpunkt
Förslag: Möjligheten för tillsynsmyndigheterna att utöva tillsyn
hos andra aktörer än verksamhetsutövaren, som i dag är begränsad till att gälla aktörer som verksamhetsutövaren har ingått säkerhetsskyddsavtal med, utvidgas på så sätt att tillsyn ska kunna ske hos den andra aktören i pågående förfaranden som omfattas av ett krav på säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen eller anmälningsplikt enligt den nya 4 kap. 1 a § säkerhetsskyddslagen. Möjligheten för Säkerhetspolisen och Försvarsmakten att enligt 8 kap. 3 § säkerhetsskyddsförordningen ta över tillsynsansvaret ska utvidgas på motsvarande sätt.
Tillsynsmyndigheterna ges därutöver möjlighet att förelägga en verksamhetsutövare att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, om ett sådant underlag behövs för att tillsynsmyndigheten ska kunna bedöma om ett pågående förfarande som omfattas av anmälningsplikten i den nya 4 kap. 1 a § säkerhetsskyddslagen är olämpligt från säkerhetsskyddssynpunkt. Sådana förelägganden ska få förenas med vite.
Utvidgade möjligheter för tillsynsmyndigheterna att utöva tillsyn hos andra aktörer
En av förutsättningarna för att tillsynsmyndigheterna ska kunna ingripa mot ett pågående förfarande är att det har konstaterats att det aktuella förfarandet är olämpligt från säkerhetsskyddssynpunkt. För att kunna undersöka om ett pågående förfarande är olämpligt från säkerhetsskyddssynpunkt kan tillsynsmyndigheten behöva inhämta information och göra kontroller även hos den andra aktören i förfarandet.
Genom bestämmelsen i 6 kap. 1 § andra stycket säkerhetsskyddslagen ges tillsynsmyndigheten möjlighet att – i syfte att utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen – utöva tillsyn även hos vissa andra aktörer än verksamhetsutövaren. Vid tillsyn har tillsynsmyndigheten möjlighet att inhämta information och rätt att få tillgång till lokaler m.m. även hos den andra aktören i ett pågående förfa-
rande (jfr 6 kap.2–5 §§säkerhetsskyddslagen). Denna möjlighet är emellertid begränsad till aktörer som verksamhetsutövaren har ingått ett säkerhetsskyddsavtal med.
Om möjligheten att ingripa i pågående förfaranden utvidgas på det sätt som vi har föreslagit kommer ingripanden kunna ske även mot förfaranden som inte kräver säkerhetsskyddsavtal. För att ändringen ska få önskad effekt krävs ändringar även vad gäller tillsynsmyndighetens undersökningsbefogenheter. Vi föreslår därför att möjligheten att utöva tillsyn hos andra aktörer än verksamhetsutövaren utvidgas på så sätt att tillsynsmyndigheten får utöva tillsyn hos de aktörer som verksamhetsutövaren har inlett ett sådant förfarande med som kräver säkerhetsskyddsavtal, eller som omfattas av den nya anmälningsplikten för vissa pågående förfaranden.
Ändringen innebär att tillsynsmyndigheten har samma undersökningsbefogenheter oavsett om det aktuella förfarandet kräver säkerhetsskyddsavtal eller inte. Ändringen innebär också att tillsynsmyndigheten får utöva tillsyn hos den andra aktören i ett pågående förfarande som kräver säkerhetsskyddsavtal, även om ett sådant avtal inte har ingåtts. Det framstår enligt vår bedömning inte som rimligt att möjligheten att utöva tillsyn hos den andra aktören i ett pågående förfarande som kräver säkerhetsskyddsavtal är beroende av om skyldigheten att ingå säkerhetsskyddsavtal har efterlevts eller inte.
Tillsynen hos den andra aktören ska även fortsättningsvis ske i syfte att kontrollera om verksamhetsutövaren lever upp till säkerhetsskyddslagens krav på säkerhetsskydd i sin verksamhet (vilken den andra aktören fått tillgång till).
Av 8 kap. 3 § säkerhetsskyddsförordningen framgår att Säkerhetspolisen och Försvarsmakten får ta över tillsynsansvaret för en verksamhetsutövare som hör till någon av de andra tillsynsmyndigheternas tillsynsområde eller för en aktör som en sådan verksamhetsutövare har ingått säkerhetsskyddsavtal med, om det finns särskilda skäl. Möjligheten för Säkerhetspolisen och Försvarsmakten att ta över tillsynsansvaret bör utvidgas på motsvarande sätt som bestämmelsen i 6 kap. 1 § andra stycket säkerhetsskyddslagen.
Utvidgade möjligheter att förelägga om särskild säkerhetsskyddsbedömning och lämplighetsprövning
Som nämnts ovan kan tillsynsmyndigheten, för att kunna bedöma om ett förfarande är olämpligt från säkerhetsskyddssynpunkt, behöva begära in information från verksamhetsutövaren och den andra aktören i förfarandet. Detta möjliggörs genom bestämmelserna i 6 kap.2 och 4 §§säkerhetsskyddslagen.
För att kunna avgöra om det finns förutsättningar för att ingripa med stöd av 4 kap. 12 § säkerhetsskyddslagen kommer tillsynsmyndigheten sannolikt, förutom säkerhetsskyddsanalysen, även behöva granska den särskilda säkerhetsskyddsbedömning och lämplighetsprövning som verksamhetsutövaren ska göra inför ett förfarande som kräver säkerhetsskyddsavtal (se 4 kap.7 och 8 §§säkerhetsskyddslagen).
Om 4 kap. 12 § utvidgas i enlighet med vårt förslag kommer ingripanden kunna ske mot förfaranden som inte omfattas av kraven i 4 kap. 7 och 8 §§. I dagsläget finns det ingen möjlighet för tillsynsmyndigheterna att ålägga en aktör som inte omfattas av regelverket i 4 kap. att göra en särskild säkerhetsskyddsbedömning eller lämplighetsprövning. Eftersom ett sådant underlag bedöms vara av stor vikt för att kunna bedöma om det finns skäl för åtgärder med stöd av 4 kap. 12 §, föreslår vi att tillsynsmyndigheten ska få förelägga en verksamhetsutövare att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning även om det aktuella förfarandet inte kräver säkerhetsskyddsavtal, om ett sådant underlag behövs för att kunna utreda om ett pågående förfarande är olämpligt från säkerhetsskyddssynpunkt. Sådana beslut om förelägganden bör, liksom övriga förelägganden enligt säkerhetsskyddslagen, få förenas med vite.
4.5. Förslagens förhållande till grundläggande fri- och rättigheter
4.5.1. Inledning
I avsnittet redogör vi för våra bedömningar av hur förslagen i det här kapitlet förhåller sig till egendomsskyddet, näringsfriheten och forskningens frihet. En mer detaljerad redogörelse för de grundläg-
gande fri- och rättigheter som våra förslag aktualiserar finns i kapitel 3. I detta avsnitt berörs den rättsliga regleringen endast översiktligt.
4.5.2. Egendomsskyddet och näringsfriheten
Bedömning: Förslagen är förenliga med egendomsskyddet och
näringsfriheten.
Principen om skydd för egendomsrätten kommer till uttryck i 2 kap. 15 § första stycket regeringsformen. Där anges att var och ens egendom är tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon annan enskild genom expropriation eller något annat sådant förfarande, eller tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen. Det är två olika sorters ingrepp som omfattas av egendomsskyddet i regeringsformen. Dels expropriation eller annat sådant förfogande. Dels andra inskränkningar av det allmänna i användningen av mark och byggnader, s.k. rådighetsinskränkningar.
Äganderätten skyddas också genom artikel 1 i första tilläggsprotokollet till den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Enligt första stycket i nämnda artikel ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom. Vidare föreskrivs att ingen får berövas sin egendom annat än i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grundsatser.
Av Europadomstolens praxis framgår att det finns ett krav på att alla former av intrång i egendomsskyddet enligt artikel 1 ska vara proportionerliga. Med detta avses att det ska finnas en rimlig balans mellan det allmännas intresse av en viss åtgärd och den enskildes rätt till respekt för sin egendom, samt att åtgärden inte får medföra en oskälig börda för den enskilde. Ett krav på proportionalitet följer också av 2 kap. 15 § regeringsformen.
Vi lämnar inga förslag som innebär expropriation eller annat sådant förfogande som avses i 2 kap. 15 § regeringsformen. Frågan om våra förslag kan medföra rådighetsinskränkningar är svårare att besvara. Bestämmelsen i 4 kap. 12 § säkerhetsskyddslagen möjliggör
bl.a. för tillsynsmyndigheterna att ingripa mot upplåtelser av fastigheter eller lokaler där det bedrivs säkerhetskänslig verksamhet. Det har ifrågasatts om begränsningar i möjligheten att rättsligt förfoga över mark eller byggnader över huvud taget kan anses utgöra sådana rådighetsinskränkningar som regleras i regeringsformen. En annan osäkerhetsfaktor är att det är svårt att förutse i vilka situationer som ingripanden enligt 12 § kommer att aktualiseras, och vilka effekter sådana ingripanden kommer att få för enskilda. I det tidigare lagstiftningsärendet gällande säkerhetsskyddslagen gjordes bedömningen att det i vart fall inte kan uteslutas att sådana åtgärder skulle kunna utgöra rådighetsinskränkningar .35Vi ansluter oss till den bedömningen. Oavsett kan begränsningar i möjligheten att upplåta fastighet eller byggnad innebära inskränkningar av egendomsskyddet enligt Europakonventionen. Egendomsskyddet enligt Europakonventionen omfattar även vissa ekonomiska intressen som ligger i en näringsverksamhet. Det kan därför inte uteslutas att ingripanden skulle kunna medföra inskränkningar av egendomsskyddet enligt konventionen även i andra fall än vid upplåtelser.
Ingripanden i pågående förfaranden kan vidare innebära inskränkningar av den grundlagsskyddade näringsfriheten, som kommer till uttryck i 2 kap. 17 § regeringsformen. Där anges att begränsningar i rätten att driva näring eller utöva yrke får införas endast för att skydda angelägna allmänna intressen och aldrig i syfte enbart att ekonomisk grynna vissa personer eller företag.
Egendomsskyddet är inte ovillkorligt utan kan inskränkas när det krävs för att tillgodose angelägna allmänna intressen. Detsamma gäller näringsfriheten. Sveriges säkerhet – som våra förslag syftar till att skydda – är utan tvekan ett sådant angeläget allmänt intresse som kan motivera inskränkningar i egendomsskyddet och näringsfriheten. Våra förslag har föranletts av det kraftigt försämrade säkerhetspolitiska läget och, enligt våra direktiv, av vissa händelser där det har blivit tydligt att tillsynsmyndigheterna inte har tillräckliga befogenheter för att på ett effektivt sätt kunna ingripa mot säkerhetshotande förfaranden. Det råder därmed ingen tvekan om att de föreslagna åtgärderna är nödvändiga. Förslagen är dessutom ändamålsenliga. Utformningen av ingripandeverktyget i 4 kap. 12 § gör att tillsynsmyndigheterna aldrig behöver vidta mer långtgående eller ingri-
pande åtgärder än vad som är nödvändigt i det enskilda fallet .36Därtill kommer att tillsynsmyndigheterna i varje enskilt fall måste göra en bedömning av om ingripandet är proportionerligt. Det finns, enligt vår bedömning, inte heller några mindre ingripande alternativ som skapar ett tillräckligt skydd mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt än att utvidga ingripandemöjligheten i 4 kap. 12 § på föreslaget sätt.
Sammanfattningsvis är vår bedömning att en utvidgning av möjligheten att ingripa i pågående förfaranden, med hänsyn till det stärkta skydd för Sveriges säkerhet som en sådan ändring skulle medföra, måste anses stå i proportion till eventuella inskränkningar i egendomsskyddet och näringsfriheten som regleringen skulle kunna leda till. Förslagen får därmed anses vara förenliga med de grundlagsskyddade fri- och rättigheterna och Europakonventionens bestämmelser om egendomsskydd.
Frågan om det bör införas särskild rätt till ersättning vid ingripanden i pågående förfaranden behandlas i kapitel 5. Eftersom rätten till ersättning är en omständighet som beaktas vid bedömningen av om lagstiftning som möjliggör intrång i egendomsskyddet är proportionerlig (se avsnitt 5.2.2), kan emellertid även i detta sammanhang nämnas att det är vår uppfattning att ersättningsrätt inte är en förutsättning för att lagstiftningen ska anses vara förenlig med enskildas rätt till respekt för sin egendom.
4.5.3. Forskningens frihet
Bedömning: Förslagen är förenliga med forskningens frihet.
Forskningens frihet skyddas genom 2 kap. 18 § andra stycket regeringsformen. Grundlagsskyddet innebär att regler som medför inskränkningar eller som fastställer det närmare innehållet i denna rättighet måste beslutas genom lag. Innehållet i skyddet framgår i dagsläget av 1 kap. 6 § andra stycket högskolelagen (1992:1434). I bestämmelsen anges att för forskningen ska som allmänna principer gälla att forskningsproblem får väljas fritt, forskningsmetoder får utvecklas fritt och forskningsresultat får publiceras fritt.
36 Jfr SOU 2018:82 s. 250 f.
Ingripanden med stöd av 4 kap. 12 § säkerhetsskyddslagen skulle kunna avse forskningssamarbeten och det kan därför inte uteslutas att våra förslag skulle kunna innebära en inskränkning vad gäller möjligheten för forskare att fritt välja metoder för sin forskning. Inskränkningen sker emellertid genom lag. De ändringar som vi föreslår motiveras dessutom av ett mycket starkt allmänt intresse, och ingripanden får bara ske om åtgärden är proportionerlig. De förslag som vi lämnar måste därmed anses vara förenliga med skyddet för forskningens frihet.
5. Ersättningsrätt vid statliga ingripanden i pågående förfaranden
5.1. Vårt uppdrag
Genom bestämmelsen i 4 kap. 12 § säkerhetsskyddslagen (2018:585) ges tillsynsmyndigheterna på säkerhetsskyddsområdet möjlighet att ingripa i pågående förfaranden som är olämpliga från säkerhetsskyddssynpunkt. Av bestämmelsen framgår att tillsynsmyndigheten får besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande kan avse en viss åtgärd som behöver vidtas, eller – om förfarandet inte bedöms kunna genomföras på ett från säkerhetsskyddssynpunkt lämpligt sätt – ett krav på att förfarandet måste avslutas .1
Ingripanden som leder till att pågående förfaranden måste avslutas i förtid eller ändras på något annat sätt kan vara förenade med kostnader för verksamhetsutövarna. Det kan t.ex. handla om olika typer av ekonomiska förluster som uppstår på grund av att det parterna avtalat om inte kan fullföljas, eller kostnader till följd av rättsprocesser som uppstår på grund av det inträffade. I dagsläget finns ingen särskild rätt till ersättning vid ingripanden med stöd av säkerhetsskyddslagen. Frågan behandlades i lagstiftningsärendet som ledde fram till 2021 års lagändringar (då bl.a. möjligheten att ingripa i pågående förfaranden infördes), men då gjordes bedömningen att det saknades skäl att införa ersättningsbestämmelser i säkerhetsskyddslagen.
Vårt utredningsuppdrag har bl.a. gått ut på att lämna förslag som utvidgar statens möjligheter att ingripa i pågående förfaranden (den
1 Se avsnitt 4.2.3 för en närmare redogörelse för bestämmelsen.
delfrågan behandlas i kapitel 4). I våra direktiv pekar man på att en utvidgning av möjligheten att ingripa i pågående förfaranden skulle kunna innebära att åtgärder kan vidtas på grund av orsaker utanför verksamhetsutövarens kontroll, och trots att denne agerat korrekt utifrån en tidigare bedömning av det säkerhetspolitiska läget. Enligt direktiven kan nämnda omständigheter göra att frågan om ersättning kommer i ett annat ljus. Det har därför bedömts vara lämpligt att vi även ser över denna fråga. Vi har således fått i uppdrag att bedöma om det bör införas en möjlighet för enskilda verksamhetsutövare att få ersättning för kostnader som uppstått vid ett statligt ingripande i ett pågående förfarande, och analysera förutsättningarna för ett sådant system (med ersättning avses i detta sammanhang ekonomisk kompensation för skador som har uppkommit till följd av rättsenligt handlande från det allmännas sida, skadeståndsrättsliga frågor behandlas alltså inte).
I våra direktiv nämns också särskilt att möjligheten för staten att ge ersättning till företag begränsas av EU:s regler om statligt stöd och att den aspekten behöver beaktas dels vid bedömningen av om det bör finnas en författningsreglerad rätt till ersättning, dels vid utformningen av en eventuell ersättningsbestämmelse.
5.2. Rättsliga utgångspunkter
5.2.1. Inledning
Syftet med avsnittet är att ge en bild av rättsläget gällande ersättningsrätt vid rättsenliga statliga ingrepp som medför skada för enskilda. Vi har tidigare behandlat frågan om hur våra förslag om statliga ingripanden förhåller sig till enskildas fri- och rättigheter, och konstaterat att ingripanden i pågående förfaranden kan innebära inskränkningar i egendomsskyddet och näringsfriheten (se avsnitt 4.5). Framställningen utgår därmed från ersättningsrätten i de fall då statliga ingripanden påverkar enskildas rätt till egendom och rätt att utöva näringsverksamhet. Eftersom vi inte lämnar några förslag som innebär att en förmögenhetsrätt tvångsvis överförs eller tas i anspråk kommer vi dock inte behandla frågor som rör ersättning vid expropriation eller annat sådan förfogande.
I avsnitt 5.2.2 redogör vi för rätten till ersättning enligt regeringsformen och den europeiska konventionen den 4 november 1950 an-
gående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). I avsnitt 5.2.3 redogör vi för den intresseavvägning som görs vid bedömningen av frågan om ersättningsrätt vid statliga ingrepp och för några av de faktorer, eller hänsyn, som normalt sett påverkar bedömningen av om det ska finnas särskild rätt till ersättning eller inte. Avsnitt 5.2.4 innehåller en beskrivning av rätten till ersättning enligt allmänna principer, och i avsnitt 5.2.5 redogör vi för tidigare överväganden gällande ersättningsrätt vid ingripanden med stöd av säkerhetsskyddslagen. EU:s regler om statligt stöd behandlas i avsnitt 5.2.6.
5.2.2. Rätten till ersättning vid inskränkningar av egendomsskyddet och näringsfriheten
Regeringsformens krav på ersättning
I 2 kap. 15 § andra stycket regeringsformen finns – såvitt nu är av intresse – bestämmelser om rätten till ersättning vid inskränkningar i användningen av mark eller byggnad (s.k. rådighetsinskränkningar). Enligt nämnda bestämmelse ska ersättning tillförsäkras den för vilken det allmänna inskränker användningen av mark eller byggnad på sådant sätt att pågående markanvändning inom berörd del av fastigheten avsevärt försvåras eller skada uppkommer som är betydande i förhållande till värdet på denna del av fastigheten. Rätten till ersättning vid rådighetsinskränkningar har emellertid vissa undantag. Vid inskränkningar i användningen av mark eller byggnad som sker av hälsoskydds-, miljöskydds- eller säkerhetsskäl gäller, enligt paragrafens tredje stycke, vad som följer av lag i fråga om rätt till ersättning. Vid dessa slag av inskränkningar finns alltså inte någon grundlagsfäst rätt till ersättning.
Undantaget i bestämmelsens tredje stycke ger uttryck för den inom svensk rätt ledande principen att ersättning normalt sett inte utgår vid ingripanden som riktas mot verksamheter som innebär ett hot mot säkerhet, hälsa och miljö. Som skäl för denna princip har hävdats att när tillräckligt starka allmänna intressen motiverar ett ingrepp ska inga ekonomiska hänsyn hindra det allmänna från att vidta lämpliga åtgärder för att trygga säkerhet, hälsa och miljö. Principen har inneburit att ersättningsbestämmelser ofta saknas i lagar som tillåter att tillstånd dras in eller att förbud eller restriktioner
meddelas verksamheter av det slaget .2Det kan emellertid finnas situationer där det inte framstår som rimligt att den enskilde ensam får bära hela den ekonomiska bördan vid rådighetsinskränkningar som sker av hälsoskydds-, miljöskydds- eller säkerhetsskäl .3En bedömning av om det bör finnas en rätt till ersättning ska därför alltid göras när lagstiftning tas fram som medför rätt för det allmänna att inskränka användningen av mark eller byggnad av dessa skäl .4Vi återkommer till hur denna bedömning görs nedan, i avsnitt 5.2.3.
Näringsfriheten kommer till uttryck i 2 kap. 17 § regeringsformen. Bestämmelsen föreskriver inte någon ersättningsskyldighet för staten vid åtgärder som inskränker näringsfriheten. Egendomsskyddet i Europakonventionen omfattar emellertid vissa intressen vid bedrivandet av näringsverksamhet (se avsnitt 3.5.2), och krav på ersättning vid sådana åtgärder kan därför följa av det regelverket.
Europakonventionens krav på ersättning
Artikel 1 i första tilläggsprotokollet till Europakonventionen (som reglerar egendomsskyddet) innehåller inte någon uttrycklig bestämmelse om ersättning. Av Europadomstolens praxis framgår emellertid att rätten till ersättning är av stor betydelse för den proportionalitetsbedömning som ska göras vid varje enskilt egendomsintrång, och som bl.a. innefattar en bedömning av om den enskilde har fått bära
en oskäligt tung börda. Domstolen har uttalat att egendomsskyddet
enligt Europakonventionen skulle bli illusoriskt och ineffektivt om krav på ersättning inte uppställs, och att ersättningsskyldigheten implicit följer av artikeln i sin helhet .5Artikeln har dock inte ansetts innefatta en rätt till full ersättning under alla förhållanden. Precis som i svensk rätt utgår ersättningsrätten enligt Europakonventionen från tanken att den enskilde måste tåla vissa inskränkningar i nyttjandet av egendom utan att ersättas för de olägenheter som detta innebär, och Europadomstolen har antagit ett för den enskilde förhållandevis strängt synsätt när det gäller sådana inskränkningar.
2SOU 2013:59 s. 55 och SOU 2008:125 s. 446. 3 Jfr SOU 2008:125 s. 446 f. 4 Se bl.a. prop. 2020/21:194 s. 72. 5 Se t.ex. James m.fl. mot Förenade kungariket (no. 8793/79), dom den 21 februari 1986, p. 54.
Det finns alltså ingen generell rätt till ersättning vid nyttjanderegleringar, och inte heller vid ingrepp som omfattas av artikelns första stycke första mening (och som varken utgör egendomsberövanden eller nyttjandebegränsningar). Ersättningsfrågan blir i stället en av flera omständigheter som beaktas inom ramen för domstolens proportionalitetsbedömning. Utebliven ersättning innebär alltså inte automatiskt att ett ingrepp utgör en kränkning av Europakonventionen, utan accepteras om en sådan ordning framstår som proportionerlig i det enskilda fallet .6
5.2.3. Bedömningen av ersättningsrätten vid statliga ingrepp
Bedömningen av om en reglering som möjliggör statliga ingrepp ska ge rätt till ersättning utgår från en avvägning mellan det allmännas och den enskildes intressen. Vilka intressen som vägs in vid bedömningen och vilken tyngd de anses ha varierar från fall till fall, bl.a. beroende på den aktuella lagstiftningens karaktär. Hur olika intressen värderas är dessutom ofta en politisk fråga. Vilken betydelse olika intressen tillmäts kan därför också variera över tid. Bedömningen av ersättningsrätten påverkas dessutom av allmänna principer och rättsgrundsatser, t.ex. kravet på rättssäkerhet och förutsebarhet (som bl.a. innebär att den enskildes legitima förväntningar ska beaktas), samhällsekonomiska överväganden och möjligheterna att begära ersättning på andra grunder. Det är därför svårt att hitta tydliga riktlinjer för bedömningen .7
Vad gäller rådighetsinskränkningar av hälsoskydds-, miljöskydds- eller säkerhetsskäl, som är en relativt vanlig form av statligt ingrepp, går det emellertid att urskilja vissa principer för bedömningen av ersättningsrätten. Generellt sett är möjligheten att få ersättning för skada som uppkommer till följd av sådana ingrepp större vid åtgärder av bevarandekaraktär, dvs. som inte i första hand syftar till att avvärja en allvarlig risk från en viss verksamhet, och när den verksamhet som bedrivs är ofarlig eller samhällsnyttig. Möjligheten till ersättning är som utgångspunkt mindre när åtgärden syftar till
6 Se t.ex. Europakommissionens beslut den 9 mars 1989, Banér mot Sverige, 11763/85 och I. Bengtsson, Tvångsvis markåtkomst, Privata aktörer, vinstintressen och egendomsskydd, 2024, s. 62 f. 7 B. Bengtsson, Ersättning vid offentliga ingrepp 2, Allmänna ersättningsprinciper, 1991, s. 345– 351 och SOU 2013:59 s. 103 ff.
att avvärja en allvarlig risk, om verksamheten som berörs orsakar den risk som åtgärden syftar till att avvärja och när de samhällsintressen som ska skyddas är av särskilt viktig art .8
Regeringen har i ett antal lagstiftningsärenden gjort bedömningen att inskränkningar i egendomsskyddet som har sin grund i säkerhetsskäl normalt inte medför rätt till ersättning. Detta oavsett om den enskildes intressen väger tungt. I betänkandet Ersättning vid
rådighetsinskränkningar – vilka fall omfattas av 2 kap. 15 § tredje stycket regeringsformen och när ska ersättning lämnas? (SOU 2013:59)
förklaras detta med att sådana samhällsintressen är ”odiskutabelt viktiga” och ”absoluta”. Som exempel på lagstiftningar av nu aktuellt slag kan nämnas skyddslagen (2010:305), lagen (1992:1300) om krigsmateriel, lagen (2023:560) om granskning av utländska direktinvesteringar samt regleringen gällande överlåtelse av säkerhetskänslig verksamhet och viss egendom i 4 kap.13–20 §§säkerhetsskyddslagen, som samtliga saknar bestämmelser om rätt till ersättnin g.9
Den intresseavvägning som har beskrivits ovan och som görs vid införandet av ny lagstiftning avser av naturliga skäl inte varje enskilt
fall som kan komma att träffas av bestämmelserna. Det blir i stället
fråga om att värdera de motstående intressena efter hur tungt de
typiskt sett väger i de fall som avses med regleringen .10Ersättnings-
rätt finns som utgångspunkt i de fall då lagstiftaren har ansett att ett ingrepp av visst slag är nödvändigt för att uppnå ett önskat resultat, men man vid en avvägning mellan det allmännas och enskildas intressen funnit att det inte framstår som rimligt att den enskilde ensam ska bära hela kostnaden för ingreppet .11Det rör sig alltså om situationer där man redan vid införandet av lagstiftningen kan konstatera att ersättningsrätt är en förutsättning för att lagstiftningen ska uppfylla kravet på proportionalitet som följer av såväl regeringsformen som Europakonventionen.
Ersättningsrätt förekommer emellertid också i vissa andra situationer där den skadelidande inte anses ha någon egentlig juridisk rätt till ersättning (s.k. billighetsersättning). Sådan ersättning är inte knuten till allmänna skadeståndsrättsliga principer och prövas inte av allmän domstol, utan bestäms av en förvaltningsmyndighet ut-
8SOU 2013:59 s. 103 ff. 9 Se även SOU 2024:84 s. 230 f. 10 B. Bengtsson, Ersättning vid offentliga ingrepp 2, Allmänna ersättningsprinciper, 1991, s. 128 f. och SOU 2013:59 s. 105. 11SOU 2013:59 s. 107 f.
ifrån friare principer. Den intresseavvägning som görs vid bedömningen av om sådan ersättning ska utgå kan därför variera med hänsyn till omständigheterna vid det enskilda ingreppet .12
Det faktum att det saknas författningsreglerad rätt till ersättning är emellertid inte detsamma som att ersättningsrätt saknas. I vissa fall kan det nämligen – på grund av omständigheter i det enskilda fallet – finnas en rätt till ersättning för den enskilde enligt allmänna
principer.
5.2.4. Ersättningsrätt enligt allmänna principer
Av Högsta domstolens praxis följer att staten även utan stöd i lag – under speciella omständigheter – kan åläggas att betala ersättning för skada till följd av en rådighetsinskränkning som har tillkommit genom en författning eller ett beslut som har motiverats av säkerhetsskäl eller av intresset av att skydda miljön eller människors liv eller hälsa. Det förutsätter dock att inskränkningen är av viss dignitet (jfr kraven i 2 kap. 15 § andra stycket regeringsformen) och att inskränkningen i det enskilda fallet är så särskilt betungande för den enskilde att det inte framstår som rimligt att han eller hon ensam får bära konsekvenserna av inskränkningen. Så kan exempelvis vara fallet om inskränkningen medför mycket stora kostnader eller intäktsförluster för den enskilde, och inskränkningen beror på omständigheter som ligger utanför den enskildes kontroll .13
Utgångspunkten är, enligt Högsta domstolen, att ersättningsskyldighet enligt allmänna principer inte aktualiseras vid rådighetsinskränkningar som sker av hälsoskydds-, miljöskydds- eller säkerhetsskäl, om lagstiftaren i ett tidigare lagstiftningsärende har ansett att den enskilde i just en sådan situation inte bör ha rätt till ersättnin g.14Samtidigt skiljer sig Högsta domstolens prövning av ersättningsrätten något från den ”generella” intresseavvägning som görs vid införandet av ny lagstiftning eftersom den förstnämnda utgår från omständigheterna i det enskilda fallet. Domstolen har dess-
12 B. Bengtsson, Ersättning vid offentliga ingrepp 2, Allmänna ersättningsprinciper, 1991, s. 47 f. Ett exempel på billighetsersättning är sådan ersättning som utgår med stöd av förordningen (1956:296) om ersättning från staten i vissa fall vid ingripanden för att förhindra spridning av en smittsam sjukdom. 13 Se Högsta domstolens avgöranden ”Tjäderspelet i Malsättra” (NJA 2023 s. 291) och ”Gränsälvsfiskarnas förlust” (NJA 2014 s. 332). 14 Se NJA 2023 s. 291, p. 31.
utom uttalat att tyngden av det allmänintresse som ligger bakom begränsningen (och som normalt sett får stort genomslag vid bedömningen av ersättningsfrågan i lagstiftningsärenden, särskilt när det rör sig om ingripanden av säkerhetsskäl) i princip saknar betydelse vid bedömningen av om det framstår som rimligt att den enskilde ensam tvingas stå kostnaderna för en viss åtgärd .15Detta talar för att prövningen av om det föreligger ersättningsrätt vid ett statligt ingrepp som kommer i konflikt med egendomsskyddet inte kan stanna vid en sådan ”generell” intresseavvägning som beskrivs ovan, utan ytterst måste besvaras genom en mer fristående prövning av om ingreppet – utifrån omständigheterna i det enskilda fallet – har lett till att den enskilde har ålagts en oproportionerligt tung börda.
5.2.5. Tidigare överväganden gällande ersättningsrätt vid ingripanden med stöd av säkerhetsskyddslagen
Som nämnts ovan behandlas frågan om ersättningsrätt vid ingripanden med stöd av säkerhetsskyddslagen i förarbetena till 4 kap. säkerhetsskyddslagen.
Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08) ansåg att det inte var befogat att föreslå en särskild rätt till ersättning vid ingripanden med stöd av säkerhetsskyddslagen. Vad gäller just ingripanden i pågående förfaranden bedömdes sådana åtgärder bli ovanliga, och mer omfattande ingripanden som leder till att t.ex. ett avtalsförhållande måste avbrytas bedömdes bli oerhört sällsynta. I detta sammanhang pekade utredningen särskilt på att de förebyggande åtgärder som utredningen föreslog skulle införas (utvidgat krav på säkerhetsskyddsavtal, särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd) borde leda till att olämpliga förfaranden i många fall kan sållas bort innan de har inletts, och förhindra att ingripanden behöver ske i efterhand. Möjligheten för regeringen att besluta om ersättning ex gratia ansågs därmed vara tillräckligt för att tillgodose det behov av ersättning som skulle kunna uppstå i enskilda fall .16
Regeringen, som liksom utredningen gjorde bedömningen att det inte var befogat att införa särskild rätt till ersättning i säkerhetsskyddslagen, konstaterade att utgångspunkten är att ingripanden
15 Se NJA 2023 s. 291, p. 39. 16SOU 2018:82 s. 281–284.
från det allmänna som har sin grund i säkerhetsskäl inte medför rätt till ersättning, och att skyddsintresset – Sveriges säkerhet – är ett så angeläget allmänt intresse att ingripanden med stöd av säkerhetsskyddslagen i regel bör få ske utan att någon ersättning lämnas. Så även i de fall där den enskildes intresse kan sägas väga tungt. Andra omständigheter som enligt regeringen talade mot ersättningsrätt vid ingripanden i pågående förfaranden var att regleringen syftar till att avvärja allvarliga risker som är direkt eller indirekt hänförliga till de aktörer som ingripandet riktas mot, att inskränkningarna som kan uppstå till följd av ett ingripande är förhållandevis begränsade samt
att den som bedriver säkerhetskänslig verksamhet måste vara med-
veten om och på olika sätt ta höjd för att förhållanden kan ändras på ett sätt som får konsekvenser för verksamhetens säkerhetsskydd. Även regeringen utgick från att det skulle bli mycket ovanligt att bestämmelsen i 4 kap. 12 § säkerhetsskyddslagen skulle behöva tillämpas .17
5.2.6. Statligt stöd
Medlemsstaternas möjligheter att ge företag ekonomiskt stöd begränsas av EU:s statsstödsreglering, som finns i artikel 107–109 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Regleringen syftar till att förhindra att konkurrensförhållandena inom unionen snedvrids genom att medlemsstaterna otillbörligt gynnar vissa verksamheter. EU:s statsstödsreglering utgår från ett generellt förbud mot statligt stöd (artikel 107.1). Det finns emellertid vissa undantag till förbudet. Av artikel 107.2 och 107.3 framgår att statligt stöd i vissa fall är eller kan vara förenligt med den inre marknaden, och därmed tillåtet. Det är Europeiska kommissionen som prövar om ett statligt stöd är förenligt med den inre marknaden eller inte. Medlemsstaterna har en skyldighet att anmäla planer på att vidta eller ändra stödåtgärder till kommissionen. Statligt stöd får, enligt huvudregeln i artikel 108.3, inte lämnas innan en sådan anmälan har gjorts, och det råder genomförandeförbud under tiden som förfarandet vid kommissionen pågår.
Den centrala bestämmelsen om statligt stöd finns i artikel 107.1. Enligt nämnda bestämmelse är stöd som ges av en medlemsstat eller
med hjälp av statliga medel, som snedvrider eller hotar att snedvrida konkurrensen genom att gynna vissa företag eller viss produktion, oförenligt med den inre marknaden i den utsträckning det påverkar handeln mellan medlemsstaterna. Genom bestämmelsen uppställs fyra villkor för att en åtgärd ska anses utgöra statligt stöd. För det första ska det röra sig om en statlig åtgärd eller en åtgärd som vidtas med hjälp av statliga medel. För det andra ska åtgärden kunna påverka handeln mellan medlemsstaterna. För det tredje ska åtgärden ge mottagaren en selektiv fördel. För det fjärde ska åtgärden snedvrida eller hota att snedvrida konkurrensen. Samtliga villkor måste vara uppfyllda för att en åtgärd ska anses utgöra stöd i artikelns menin g.18
När det gäller frågan om en åtgärd innebär en ekonomisk fördel har EU-domstolen slagit fast att varje ekonomisk förmån som ett företag inte skulle ha fått under normala marknadsförhållanden, dvs. utan statligt ingripande, är en sådan ekonomisk fördel som avses i artikel 107.1. Bedömningen av om ett företag har fått en fördel utgår enbart från åtgärdens effekt. Orsaken till, eller syftet med, det statliga ingripandet tillmäts ingen betydelse. Utgångspunkten är därmed att det är fråga om en fördel när ett företags ekonomiska situation förbättras till följd av ett statligt ingripande på villkor som avviker från normala marknadsvillkor, oavsett vad som har föranlett åtgärden .19Åtgärdens form är också irrelevant när det gäller att fastställa om den ger företaget en ekonomisk fördel. Begreppet statligt stöd omfattar inte bara positiva ekonomiska fördelar utan även åtgärder som på olika sätt minskar de kostnader som normalt belastar ett företags budget och som därigenom, utan att det är fråga om subventioner i strikt mening, är av samma beskaffenhet och har samma effekter .20
Av EU-domstolens praxis följer att skadestånd som nationella myndigheter kan förpliktas att betala till enskilda som ersättning för skada som myndigheterna i fråga orsakat dessa, inte utgör en ekonomisk fördel. Domstolen har uttalat att skadestånd i rättsligt hänseende skiljer sig väsentligt från åtgärder som vidtas av det allmänna för att gynna vissa företag eller vissa produkter och som om-
18 Se bl.a. EU-domstolens dom den 27 januari 2022 i mål C-238/20, Satini-S SIA, p. 39. 19 Kommissionen (2016), Kommissionens tillkännagivande om begreppet statligt stöd som avses
i artikel 107.1 i fördraget om Europeiska unionens funktionssätt, (2016/C 262/01), p. 66 och 67.
20 Tribunalens dom den 25 mars 2015 i mål T-538/11, Belgien mot kommissionen, p. 71.
fattas av statsstödsregleringen .21En marknadsmässig ersättning för expropriation anses inte heller utgöra en fördel i artikelns menin g.22
För att en ekonomisk förmån ska anses utgöra stöd måste gynnandet vara selektivt. En fördel är selektiv om den ges till vissa företag eller kategorier av företag eller till vissa ekonomiska sektorer. En ekonomisk förmån kan också anses vara selektiv om kriterierna för beviljande av stöd ger offentliga förvaltningar utrymme för skönsmässiga bedömningar. Bedömningen av om en fördel är selektiv ska göras i förhållande till andra företag som är i en objektivt jämförbar faktisk och rättslig situation .23
Offentligt stöd till företag utgör statligt stöd enligt artikel 107.1 endast om åtgärden snedvrider eller hotar att snedvrida konkurrensen, och endast i den utsträckning det påverkar handeln mellan medlemsstaterna. Ett stöd som ges av staten anses snedvrida eller hota att snedvrida konkurrensen om det finns en risk för att det förbättrar mottagarens konkurrensposition i förhållande till andra företag med vilka det konkurrerar. I praktiken anses villkoret vara uppfyllt i alla situationer då staten beviljar en ekonomisk fördel till ett företag inom en avreglerad sektor där det förekommer eller skulle kunna förekomma konkurrens. Offentligt stöd riskerar att snedvrida konkurrensen även om det inte hjälper det mottagande företaget att expandera och vinna nya marknadsandelar. Det räcker därför att stödet gör det möjligt för det mottagande företaget att behålla en starkare konkurrensposition än det skulle ha haft om stödet inte hade getts .24
EU-domstolen har uttalat att om ett statligt finansiellt stöd förstärker ett företags ställning i förhållande till andra konkurrerande företag i handeln inom gemenskapen, så ska denna handel anses påverkas av stödet. Det är inte nödvändigt att det företag som tar emot stöd faktiskt bedriver handel med andra medlemsstater för att åtgärden ska anses påverka handeln inom gemenskapen. Detta eftersom stödåtgärder kan göra det svårare för aktörer i andra medlemsstater att komma in på den aktuella marknaden .25
21 EU-domstolens dom den 27 september 1988 i de förenade målen 106–120/87, Asteris m.fl., p. 23 och 24. 22 Kommissionen (2016), Kommissionens tillkännagivande om begreppet statligt stöd som avses
i artikel 107.1 i fördraget om Europeiska unionens funktionssätt, (2016/C 262/01), p. 71.
23 A.a. p. 117, 123, 124 och 137. 24 A.a. p. 187 och 189. 25 A.a. p. 190 och 191.
5.3. Våra överväganden
Bedömning: Det bör inte införas särskild rätt till ersättning vid
ingripanden i pågående förfaranden med stöd av säkerhetsskyddslagen.
Vi har i detta betänkande lämnat förslag om att tillämpningsområdet för bestämmelsen som möjliggör ingripanden i pågående förfaranden, som sedan 2021 finns i 4 kap. 12 § säkerhetsskyddslagen, ska utvidgas (se avsnitt 4.4.1). Förslaget innebär att tillsynsmyndigheterna kommer att kunna ingripa mot ett större antal förfaranden, däribland äldre förfaranden och förfaranden som har inletts innan verksamheten blivit säkerhetskänslig. Vårt förslag innebär emellertid inte någon ändring av ingripandeverktyget i sig, vilka förfarandetyper som omfattas eller av förutsättningarna för att få ingripa i ett pågående förfarande. Utgångspunkterna för vår bedömning av ersättningsfrågan är därför i stora delar desamma som i lagstiftningsärendet som ledde fram till 2021 års lagändringar (se avsnitt 5.2.5).
Även vid en utvidgning av möjligheten att ingripa i pågående förfaranden i enlighet med vårt förslag talar det mycket angelägna skyddsintresset – Sveriges säkerhet – mot införandet av särskild rätt till ersättning. Som konstaterades i det tidigare lagstiftningsärendet måste dessutom de typiska effekterna av ett ingripande anses vara förhållandevis begränsade. De åtgärder som tillsynsmyndigheterna kan vidta med stöd av 4 kap. 12 § säkerhetsskyddslagen tar sikte på specifika förfaranden och innebär ytterst att ett avtal eller annan form av samverkan med en viss aktör måste avslutas. Det rör sig alltså inte om förbud mot att bedriva viss verksamhet, eller något generellt eller permanent hinder mot att t.ex. utkontraktera delar av sin verksamhet eller på annat sätt samverka med utomstående aktörer (se dock nedan angående effekterna i enskilda fall).
Vid bedömningen av ersättningsfrågan måste också beaktas dels att ersättningsrätt inte följer av andra regelverk som möjliggör statliga ingripanden av säkerhetsskäl (även om enskildas intressen väger tungt). Dels att det generellt sett måste ställas höga krav på aktörer som bedriver säkerhetskänslig verksamhet, eller ingår avtal som innebär att de engageras i annans säkerhetskänsliga verksamhet, att på olika sätt ta höjd för att ändrade förhållanden kan påverka möjligheten att samverka med andra aktörer (i synnerhet utländska sådana).
Samma krav bör enligt vår mening kunna ställas på vissa aktörer som bedriver, eller genom avtal engageras i, annan verksamhet som t.ex. är samhällsviktig eller på annat sätt skyddsvärd och som har anledning att anta att de vid en viss händelseutveckling skulle kunna komma att omfattas eller påverkas av säkerhetsskyddslagen.
Även med beaktande av vad som anförts ovan kan det emellertid inte uteslutas att det i enskilda fall skulle kunna framstå som orimligt att verksamhetsutövaren ensam ska stå för hela kostnaden för ett ingripande med stöd av 4 kap. 12 § säkerhetsskyddslagen. Så skulle kunna vara fallet om åtgärden medför mycket stora kostnader eller intäktsförluster för den enskilde. Det kan t.ex. finnas vissa verksamheter som är helt beroende av tjänster som bara en leverantör på marknaden kan tillhandahålla. Ett ingripande som innebär att ett sådant förfarande måste avslutas helt kan i praktiken leda till att verksamheten inte kan fortsätta. Om ett ingripande får så långtgående konsekvenser och dessutom sker på grund av omständigheter som ligger utanför den enskildes kontroll och som den enskilde varken kunnat räkna med när förfarandet inleddes eller kunnat påverka, framstår det som rimligt att den enskilde ska ha rätt till ersättning. En ersättningsbestämmelse skulle kunna fånga upp undantagsfallen och göra det möjligt för tillämparen att lämna ersättning om det vid en bedömning – utifrån omständigheterna i det enskilda fallet – skulle framstå som orimligt att den enskilde ensam får bära kostnaderna för ett ingrepp. Frågan är emellertid om en sådan lösning är lämplig.
I våra direktiv anges, som skäl för att införa en författningsreglerad ersättningsrätt, att det kan skapa stor osäkerhet för berörda företag om de ska förlita sig på ersättning ex gratia från staten, och att det finns en risk för att bl.a. investeringar på områden och i sektorer som kan bli säkerhetskänsliga uteblir. Vår bedömning är emellertid att en eventuell ersättningsbestämmelse inte skulle kunna skapa den trygghet och förutsebarhet som efterfrågas. Eftersom säkerhetsskyddslagen omfattar verksamheter inom flera olika sektorer, och ingripandemöjligheten kan används mot i princip alla olika typer av förfaranden som kan innebära att säkerhetskänslig verksamhet exponeras för utomstående, är de situationer som kan komma att träffas av regleringen av mycket varierande slag. Det är dessutom svårt att förutse i vilka situationer ett ingripande kan komma att behövas för att förhindra skada för Sveriges säkerhet, och de närmare
omständigheterna som skulle kunna föranleda ett ingripande. För att avgöra om ett ingrepp bör medföra rätt till ersättning kommer därmed samtliga omständigheter i det enskilda fallet behöva vägas in, och en ersättningsregel knuten till bestämmelsen måste därför bli mycket generell. Det skulle sannolikt inte heller vara möjligt att ge några närmare riktlinjer för skadeberäkningen i bestämmelsen. En så allmänt hållen bestämmelse skulle knappast ge någon vägledning för hur enskilda fall ska bedömas, och det kan ifrågasättas om bestämmelsen skulle uppfylla de höga krav på tydlighet och förutsebarhet för rättstillämpningen som ska eftersträvas .26
En ersättningsbestämmelse som ger stort utrymme för skönsmässiga bedömningar riskerar också att leda till att ersättningsrätten vid statliga ingrepp som motiveras av säkerhetsskäl utvecklas på ett sätt som inte varit avsett. Införandet av en ersättningsbestämmelse i säkerhetsskyddslagen skulle innebära ett avsteg från gällande ordning – att det i regel saknas särskild rätt till ersättning vid ingripanden som sker på grund av säkerhetsskäl, även om ingreppen är mycket betungande för enskilda – och det kan inte uteslutas att en sådan bestämmelse skulle kunna få analog tillämpning vid andra liknande ingrepp där det i dag saknas särskild rätt till ersättning.
Även om tillämpningsområdet för ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen skulle utvidgas i enlighet med vårt förslag, är vår bedömning att det även fortsättningsvis kommer att vara mycket ovanligt med mer omfattande ingripanden, som leder till att t.ex. avtalsförhållanden måste avbrytas. Bestämmelsen är fortfarande tänkt att användas restriktivt och endast när ett ingripande är proportionerligt. Kravet på proportionalitet kommer sannolikt särskilt påverka möjligheterna att ingripa mot förfaranden som har löpt under lång tid. Detta eftersom den tid som passerat kan leda till att ett ingripande inte längre kan antas leda till att skador förhindras eller läks.
Det faktum att situationer där det framstår som befogat med ersättning bedöms bli mycket ovanligt är en omständighet som måste vägas in vid bedömningen av om det är lämpligt att införa särskild rätt till ersättning. Vid denna bedömning måste också möjligheten att erhålla ersättning på annat sätt än genom en särskild bestämmelse i säkerhetsskyddslagen beaktas. Som nämnts ovan (i avsnitt 5.2.4) kan ersättningsrätt under vissa förutsättningar också följa av allmänna
26 Jfr SOU 2013:59.
principer. Mot bakgrund av vad som anförts om riskerna, eller betänkligheterna, med att införa en särskild bestämmelse om rätt till ersättning i säkerhetsskyddslagen och att det dessutom sannolikt kommer bli mycket ovanligt att ersättningsfrågan aktualiseras framstår det som mer lämpligt att rätten till ersättning vid den här typen av statliga ingrepp får utvecklas i rättstillämpningen. Även om framställningen utgår från rättsenliga statliga ingrepp, kan i detta sammanhang också nämnas enskildas möjlighet att väcka talan om skadestånd mot staten för överträdelser av de grundläggande fri- och rättigheterna enligt 2 kap. regeringsformen eller Europakonventionen (se 3 kap. 4 § skadeståndslagen [1972:207]).
Vad gäller frågan om statsstöd kan konstateras att EU:s regelverk är komplicerat, och att det är svårt att göra prognoser för hur kommissionen och EU-domstolen kommer att bedöma olika åtgärder. Det faktum att ersättning för expropriation och skadestånd som staten har ålagts att betala inte anses utgöra statligt stöd i den mening som avses i artikel 107.1 i EUF-fördraget talar emellertid för att ersättning som lämnas i enlighet med de allmänna principer om ersättningsrätt som följer av Högsta domstolens praxis (se avsnitt 5.2.4) inte borde aktualisera reglerna om statligt stöd.
Sammanfattningsvis är vår bedömning att det inte bör införas en särskild rätt för enskilda verksamhetsutövare att få ersättning för kostnader som uppstått vid ett statligt ingripande i ett pågående förfarande, och vi lämnar därför inga förslag i den här delen .27
27 I avsnitt 4.1.3 behandlar vi frågan om behovet av ett nytt rättsligt verktyg för att kunna avvärja eller stoppa säkerhetshotande förfaranden och andra aktiviteter. Om ett sådan verktyg – som skulle ge staten mer långtgående befogenheter – införs kan det emellertid, enligt vår bedömning, finnas skäl att på nytt överväga om det bör införas en särskild rätt till ersättning.
6. Förbättrade möjligheter att vidta åtgärder vid fara i dröjsmål
6.1. Vårt uppdrag
6.1.1. Inledning
I det här kapitlet behandlar vi den del av vårt uppdrag som rör möjligheten att använda tvångsåtgärder i ärenden enligt säkerhetsskyddslagen. Vi har tidigare översiktligt redogjort för säkerhetsskyddslagstiftningen och tillsynsverksamheten (se avsnitt 3.4), och i kapitel 4 redogör vi mer ingående för bestämmelserna i 2 kap. 1 § och 4 kap.1–12 §§säkerhetsskyddslagen. Vi kommer därför inte att redogöra för gällande rätt i det här kapitlet. Fokus ligger i stället på våra överväganden och förslag. Innan vi går in på dessa, kommer vi emellertid att redogöra för uppdraget och bakgrunden till detta (avsnitt 6.1.2 och 6.1.3). I avsnitt 6.1.3 redogör vi dessutom för tidigare överväganden i fråga om tvångsåtgärder. Uppdraget har nämligen sin grund i ett förslag som lämnades av Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08) 2018, men som då inte resulterade i några lagändringar.
6.1.2. Uppdraget
Vi har haft i uppdrag att föreslå ett system med tvångsåtgärder, i första hand i säkerhetsskyddslagen, som ska kunna tillämpas vid fara i dröjsmål i samband med förfaranden som kan skada Sveriges säkerhet. I uppdraget har också ingått att lämna nödvändiga författningsförslag. Vi har också getts utrymme att lämna förslag om närliggande frågor.
6.1.3. Bakgrunden till vårt uppdrag och tidigare överväganden
I betänkandet Kompletteringar till den nya säkerhetsskyddslagen(SOU 2018:82) konstaterades att det fanns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Vissa av bristerna som identifierades gällde säkerhetsskyddet generellt, t.ex. verksamhetsutövares tillämpning av regler om säkerhetsskydd. Andra brister avsåg förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Det konstaterades att det saknades tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt. Utredningen föreslog därför att det skulle införas särskilda skyldigheter för verksamhetsutövare inför och under förfaranden som kräver säkerhetsskyddsavtal, samt särskilda befogenheter för tillsynsmyndigheterna. Förslagen ledde fram till 2021 års lagändringar som bl.a. innebar att regelverket gällande förfaranden i 4 kap.1–12 §§säkerhetsskyddslagen infördes. Tillsynsmyndigheterna gavs också befogenheter att vidta vissa åtgärder inom ramen för den ”ordinarie” tillsynen (se 6 kap.2–6 §§säkerhetsskyddslagen).
Utredningen bedömde emellertid att tillsynsmyndigheternas nya befogenheter inte fullt ut skulle tillgodose behovet av att snabbt kunna ingripa och vidta omedelbara åtgärder i situationer då det finns skäl att tro att parterna kan agera i strid med det som de ålagts. Utredningen föreslog därför också, som ett komplement till nämnda regler, att en tillsynsmyndighet som meddelat ett förbud eller föreläggande skulle kunna ansöka om sådana tvångsåtgärder som avses i 15 kap.1–3 §§rättegångsbalken, dvs. bland annat kvarstad.
Förslaget grundade sig i en tanke om att det behöver finnas någon form av tvångsåtgärder som går ut på att genomföra det som föreläggandena och förbuden syftar till att uppnå. Ansökan skulle därför enligt förslaget kunna beviljas om tvångsåtgärden behövdes för att ändamålet med förbudet eller föreläggandet inte skulle motverkas och det var proportionerligt med sådana tvångsåtgärder. Frågor om tvångsåtgärder skulle enligt förslaget prövas av Stockholms tingsrätt .1
Förslaget mötte viss remisskritik. Bl.a. ansåg Riksdagens ombudsmän (JO) att bestämmelserna i 15 kap.1–3 §§rättegångsbalken – som är avsedda att tillämpas i tvister som avser tillvaratagande av parters enskilda rätt – är mindre lämpade att använda när det allmänna genom en myndighet ansöker om tvångsåtgärder. JO ansåg att ledning i stället bör hämtas från tvångsåtgärder där det offentliga ingriper mot enskilda. Vidare ansåg JO att det framstod som mest förutsebart och rättssäkert att reglera de tvångsmedel som det finns behov av i de nu aktuella situationerna direkt i säkerhetsskyddslagstiftningen .2
Regeringen instämde delvis i de synpunkter som JO framförde och uttalade att det finns bestämmelser om tvångsåtgärder där det offentliga ingriper mot enskilda i annan lagstiftning, t.ex. på skatteområdet, som kan tjäna som förebild för en reglering avseende tvångsåtgärder på säkerhetsskyddsområdet. Regeringen såg också vissa fördelar med att samla bestämmelserna om tvångsåtgärder i en och samma lag. Det ansågs emellertid saknas beredningsunderlag för att överväga en sådan ordning i lagstiftningsärendet. Regeringen ansåg sammantaget att frågan om tvångsåtgärder behövde övervägas ytterligar e.3
Enligt direktiven gör det säkerhetspolitiska läget att det nu finns skäl att på nytt överväga frågan om tvångsåtgärder när det råder fara i dröjsmål, t.ex. då ett pågående förfarande innebär en risk för Sveriges säkerhet som kräver omedelbara åtgärder.
6.2. Allmänna utgångspunkter
6.2.1. Behovet av att kunna vidta omedelbara åtgärder kvarstår
Genom de lagändringar som trädde i kraft 2021 har tillsynsmyndigheterna getts kraftfulla och, enligt vår bedömning, effektiva verktyg för att se till att verksamhetsutövare följer säkerhetsskyddslagstiftningen, och för att förhindra skada för Sveriges säkerhet när utomstående aktörer kan få del av säkerhetskänslig verksamhet. Som konstaterades i 2018 års betänkande kan det emellertid inte uteslutas att det kan uppstå situationer där det av olika anledningar är fara i dröjsmål, och som därmed kräver omedelbara – och ibland även
2Prop. 2020/21:194 s. 62 f. 3 A.a. s. 63.
handgripliga – åtgärder för att frysa en händelseutveckling. Som exempel på en sådan situation nämns i 2018 års betänkande att en olämplig leverantör har anlitats för att sköta driften av ett säkerhetskänsligt it-system och man akut behöver förhindra att säkerhetsskyddsklassificerade uppgifter lämnas ut till leverantören, eller att leverantören får tillgång till systemet. Man kan också tänka sig situationer där säkerhetskänsligt gods är på väg att transporteras till en olämplig aktör, eller där en aktör som redan har fått tillgång till säkerhetskänslig verksamhet visar sig vara, eller blir, olämplig och åtgärder därför behöver vidtas omgående för att säkerställa att verksamheten inte utsätts för risker. I sådana situationer är de verktyg som tillsynsmyndigheterna har att tillgå inte tillräckliga.
Om säkerhetsskyddsklassificerade uppgifter röjs för någon obehörig kan straffbestämmelserna i 19 kap. brottsbalken (som rör brott mot Sveriges säkerhet) aktualiseras. Vid sådana – väldigt allvarliga – överträdelser av säkerhetsskyddslagens bestämmelser kan alltså straffprocessuella tvångsmedel användas inom ramen för en förundersökning. Straffbestämmelserna i 19 kap. brottsbalken har emellertid ett begränsat tillämpningsområde och vi gör bedömningen att inte heller de tvångsmedel som finns att tillgå vid en förundersökning fullt ut kan tillgodose behovet av att kunna vidta omedelbara åtgärder inom ramen för tillsynsärenden enligt säkerhetsskyddslagen. Det finns därför ett behov av särskilda bestämmelser i säkerhetsskyddslagen som möjliggör sådana åtgärder.
6.2.2. Våra förslag tar inte enbart sikte på förfaranden
Av våra direktiv framgår att vi ska lämna förslag om tvångsåtgärder som ska kunna tillämpas vid fara i dröjsmål i samband med förfaranden
som kan skada Sveriges säkerhet. Behovet av att kunna vidta omedel-
bara åtgärder är emellertid, enligt vår bedömning, inte begränsat till tillsynsärenden som rör förfaranden som är olämpliga från säkerhetsskyddssynpunkt. Även andra brister i säkerhetsskyddet kan kräva omedelbara ingripanden från tillsynsmyndigheten. Det skulle exempelvis kunna handla om en hantering av säkerhetsskyddsklassificerade uppgifter som uppmärksammas vid tillsyn och som kräver att handlingar tas med från platsen. De förslag som vi lämnar är därför inte begränsade till förfaranden som kan skada Sveriges säkerhet, utan
åtgärderna är tänkta att kunna användas generellt inom ramen för tillsyn enligt säkerhetsskyddslagen.
6.2.3. Föreslagna åtgärder syftar till att säkerställa ändamålet med de förelägganden och förbud som tillsynsmyndigheterna får besluta
Tillsynsmyndigheterna har getts flera olika verktyg för att kunna säkerställa säkerhetsskyddslagens efterlevnad. Det verktyg som tillsynsmyndigheterna huvudsakligen använder sig av i enskilda tillsynsärenden är möjligheten att meddela förelägganden (och i vissa specifika fall även förbud, se 4 kap. 11 § säkerhetsskyddslagen) som får förenas med vite.
Förelägganden och förbud vid vite är effektiva tillsynsåtgärder som i de flesta fall kan antas leda till önskat resultat. Det skulle emellertid kunna uppstå situationer där det inte finns utrymme att avvakta och se om berörda aktörer följer föreläggandet, alternativt förbudet, eller inte. Det skulle t.ex. kunna röra sig om situationer där en aktörs ovilja att samarbeta med tillsynsmyndigheten gör att det finns anledning att anta att aktören kommer att vidta åtgärder som motverkar ändamålet med föreläggandet eller förbudet. Det skulle också kunna uppstå situationer där bristerna i säkerhetsskyddet är så allvarliga att omedelbara åtgärder behöver vidtas i avvaktan på att den aktör som är föremål för föreläggandet åtgärdar bristerna.
Vi ser därför att det finns ett behov av att kunna vidta tillfälliga åtgärder i syfte att säkerställa ändamålet med ett föreläggande eller förbud. Det handlar alltså, med andra ord, om att ge tillsynsmyndigheterna möjlighet att – i situationer där det finns en påtaglig risk för Sveriges säkerhet som behöver åtgärdas skyndsamt – se till att förelägganden och förbud får effekt direkt. Förslagen behandlas i avsnitt 6.4.
Förutom nämnda åtgärder lämnar vi även förslag om att tillsynsmyndigheterna ska ges möjlighet att meddela interimistiska förelägganden. Även detta förslag syftar till att säkerställa ändamålet med de förelägganden som tillsynsmyndigheterna beslutar om.
Tillsynsärenden enligt säkerhetsskyddslagen kan i vissa fall vara komplexa och tidskrävande. Förutom att sakfrågorna kan vara svårbedömda, kan beslut om förelägganden dessutom få långtgående negativa konsekvenser för de berörda aktörerna. Besluten måste
därför vara välgrundade och föregås av noggranna överväganden. Samtidigt gör lagstiftningens skyddsintresse och de irreversibla effekter som brister i säkerhetsskyddet kan få att det kan uppstå situationer som måste hanteras mycket skyndsamt. Det finns därför behov av att kunna vidta åtgärder i avvaktan på att tillsynsmyndigheten kan meddela ett slutligt beslut. Förslaget om interimistiska förelägganden behandlas i avsnitt 6.3.
6.3. Interimistiska förelägganden vid vite
Förslag: Ett föreläggande enligt 4 kap. 12 § eller 6 kap. 6 § säker-
hetsskyddslagen ska, om det finns särskilda skäl, få meddelas för tiden till dess att frågan om åtgärder enligt säkerhetsskyddslagen slutligt har avgjorts eller något annat beslutats. För att ett sådant interimistiskt föreläggande ska få meddelas krävs därutöver att åtgärden är proportionerlig.
Beslut om interimistiska förelägganden ska gälla omedelbart. En särskild bestämmelse om detta införs i säkerhetsskyddslagen.
Bedömning: I övrigt tillämpas förvaltningslagen (2017:900) och
förvaltningsprocesslagen (1971:291) vid handläggningen. Det behövs inte några inskränkningar av reglerna om partsinsyn och kommunikation i nämnda regelverk.
6.3.1. Närmare om behovet av interimistiska förelägganden
Interimistiska förelägganden skulle, enligt vår bedömning, kunna vara ett effektivt verktyg för att förhindra skada för Sveriges säkerhet under tiden som ett tillsynsärende pågår. Det handlar alltså om en möjlighet för tillsynsmyndigheten att redan på utredningsstadiet, dvs. innan ett tillsynsärende är utredningsmässigt klart för ett definitivt beslut, kunna meddela ett föreläggande som ska gälla till dess frågan är slutligt avgjord eller annat beslutats. Det skulle t.ex. kunna röra sig om att helt eller delvis stoppa ett pågående förfarande som bedöms kunna skada Sveriges säkerhet, i avvaktan på att tillsynsmyndigheten utreder möjligheterna att meddela ett definitivt beslut. Man skulle också kunna tänka sig en situation där en verksamhetsut-
övare åläggs att ta ett informationssystem ur drift under tiden som tillsynsmyndigheten utreder om systemet uppfyller kraven på informationssäkerhet.
6.3.2. Förutsättningarna för att få meddela interimistiska förelägganden
Interimistiska beslut är en ingripande åtgärd för den som berörs av beslutet eftersom beslutet inte grundar sig på en fullständig utredning. Sådana åtgärder får därför inte beslutas alltför lättvindigt. Samtidigt gör intresset av att kunna skydda Sveriges säkerhet att möjligheten att kunna vidta omedelbara åtgärder inte bör begränsas till rena undantagsfall.
Det är, mot bakgrund av ovanstående, vår uppfattning att interimistiska beslut bör få användas vid allvarligare situationer som kan få negativa konsekvenser av betydelse om inte aktören omedelbart åläggs att vidta vissa åtgärder. Vi föreslår därför att intermistiska förelägganden ska kunna meddelas om det föreligger ”särskilda skäl”. Kravet på särskilda skäl innebär att det måste finnas objektivt godtagbara skäl av tyngd för en sådan åtgärd. Vilka närmare omständigheter som kan utgöra särskilda skäl får klargöras genom rättstillämpningen. Bedömningen av om det föreligger särskilda skäl bör emellertid i första hand utgå från den potentiella skadan för Sveriges säkerhet. Andra faktorer som bör beaktas är hur brådskande åtgärden är och om det finns risk för oåterkalleliga effekter. Hänsyn ska också tas till effekterna för den som är föremål för beslutet och åtgärden måste vara proportionerlig (jfr 5 § tredje stycket förvaltningslagen).
6.3.3. Handläggningsfrågor
Tillsynsmyndigheterna bör fatta beslut
En fråga som vi har haft att ta ställning till är vem eller vilka som ska få besluta om interimistiska förelägganden. De alternativ som vi har övervägt är att sådana åtgärder som utgångspunkt ska prövas av domstol eller att tillsynsmyndigheterna ges den befogenheten.
Det faktum att det skulle kunna röra sig om mycket ingripande beslut som dessutom fattas på ett begränsat underlag, talar för att det
kan krävas extra rättssäkerhetsgarantier och att interimistiska beslut därför bör omfattas av samma regelverk som föreslås gälla för de tvångsåtgärder som vi lämnar förslag om i avsnitt 6.4 (där frågorna som utgångspunkt ska prövas av domstol, men tillsynsmyndigheterna ges möjlighet att i viss utsträckning meddela tillfälliga beslut). Det är emellertid tillsynsmyndigheterna som har störst kunskap om sakfrågorna och därmed är bäst lämpade att avgöra vilka åtgärder som behöver vidtas. Det framstår också som mest naturligt att den instans som ska pröva sakfrågan också hanterar frågan om interimistiska beslut.
Vidare talar effektivitetsskäl för att tillsynsmyndigheten bör meddela interimistiska beslut. Merparten av de interimistiska beslut som meddelas kommer sannolikt inte vara så ingripande att det framstår som befogat med en domstolsprövning i första instans. Det framstår t.ex. inte som rimligt att domstolarna ska lägga resurser på ärenden där en verksamhetsutövare interimistiskt åläggs att ordna personell bevakning eller att vidta andra mindre ingripande säkerhetsskyddsåtgärder.
Sammantaget gör vi bedömningen att det framstår som mest lämpligt att interimistiska beslut fattas av tillsynsmyndigheten, och att möjligheten att överklaga sådana beslut är en tillräcklig rättssäkerhetsgaranti. För en sådan ordning talar också det faktum att förelägganden enligt 4 kap. 12 § säkerhetsskyddslagen – på grund av att det kan finnas skäl att vid bedömningen beakta t.ex. utrikes-, försvars- och säkerhetspolitiska aspekter – överklagas till regeringen. Eftersom samma skäl gör sig gällande vid interimistiska beslut med stöd av den aktuella bestämmelsen framstår det inte som lämpligt att sådana beslut ska prövas i en annan ordning, dvs. av förvaltningsdomstol.
Förfarandet i övrigt
Förvaltningslagen gäller för handläggning av ärenden hos förvaltningsmyndigheterna. I förvaltningslagen finns allmänna krav på handläggningen av ärenden. Bestämmelserna i förvaltningslagen är subsidiära i förhållande till andra bestämmelser i lag eller förordning (4 §). Det betyder att eventuella specialbestämmelser i annan författning gäller i stället för de allmänna bestämmelserna i förvaltningslagen. Lagen innehåller ett undantag för handläggning av ärenden i
den brottsbekämpande verksamheten hos Säkerhetspolisen (se 3 §). Undantaget gäller emellertid inte vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden eller förbud, eller i fråga om tillsyn och sanktionsavgifter, enligt säkerhetsskyddslagen (se 8 kap. 5 § säkerhetsskyddsförordningen). Vi bedömer därmed att förvaltningslagen kommer att vara tillämplig vid handläggningen hos tillsynsmyndigheterna, om inte annat föreskrivs. I den utsträckning som tillsynsmyndigheternas beslut överprövas av förvaltningsdomstol gäller förvaltningsprocesslagen. Även förvaltningsprocesslagen är subsidiär (se 2 §).
I 25 § förvaltningslagen finns bestämmelser om kommunikation. Reglerna går ut på att myndigheten som handlägger ärendet ska underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Detta ska göras innan myndigheten fattar beslut i ärendet. Eftersom interimistiska åtgärder endast kommer att aktualiseras när det krävs omedelbara åtgärder har vi övervägt om sådana beslut bör undantas från skyldigheten att kommunicera som följer av förvaltningslagen. Hur brådskande en viss åtgärd är, kommer dock sannolikt att variera utifrån omständigheterna i det enskilda fallet. Med beaktande av detta och att det dessutom anses följa av allmänna principer att den mot vilken ett betungande beslut riktas bör ges tillfälle att yttra sig när så kan ske utan betydande olägenhet, bör emellertid utgångspunkten ändå vara att den som beslutet rör ska ges tillfälle att yttra sig innan beslut meddelas. Därtill kommer att det finns utrymme för tillsynsmyndigheterna att, med stöd av 25 § andra stycket förvaltningslagen, avstå att kommunicera bl.a. om ett väsentligt eller allmänt intresse kräver att beslutet meddelas omedelbart (se tredje punkten). Vi bedömer därmed att det inte behövs några inskränkningar av reglerna om kommunikation i förvaltningslagen av detta skäl.
Bestämmelser om kommunikation finns också i förvaltningsprocesslagen (se 10, 12 och 18 §§). I såväl förvaltningslagen som förvaltningsprocesslagen finns dessutom bestämmelser om rätten till partsinsyn (10 § förvaltningslagen och 43 § förvaltningsprocesslagen). Bestämmelserna innebär att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet. Frågan om det behöver göras något undantag från de regler som annars gäller vid handläggningen av tillsynsärenden enligt säkerhetsskyddslagen för att tillgodose behovet av skydd för särskilt känsliga uppgifter
som omfattas av sekretess (även i förhållande till parten) behandlas ingående i förarbetena till 2021 års lagändringar. Eftersom nämnda bestämmelser gäller med de begränsningar som följer av 10 kap. 3 § offentlighets- och sekretesslagen (2009:400 )4, gjordes bedömningen att det inte fanns behov av några särskilda bestämmelser om inskränkningar av reglerna om partsinsyn och kommunikation i säkerhetsskyddslage n.5Vi har inte funnit skäl att göra någon annan bedömning.
På förvaltningsrättens område gäller allmänt att ett beslut blir gällande först när det har fått laga kraft (jfr 35 § första stycket förvaltningslagen). I 35 § andra och tredje stycket förvaltningslagen finns undantag från huvudregeln, som innebär att vissa förvaltningsbeslut får verkställas omedelbart. Huvudregeln kan emellertid också frångås genom att det i den aktuella speciallagen föreskrivs att ett beslut ska kunna verkställas omedelbart. Interimistiska förelägganden kommer bara att aktualiseras i situationer där det behövs skyndsamma åtgärder, och det framstår därmed som lämpligt att det framgår direkt av säkerhetsskyddslagen att sådana beslut får verkställas omedelbart. En bestämmelse med denna innebörd bör därför införas i säkerhetsskyddslagen. Bestämmelser om inhibition finns i 28 § förvaltningsprocesslagen och behöver därför inte tas in i säkerhetsskyddslagen.
Ärenden och mål som rör interimistiska förelägganden bör – med hänsyn skyddet för Sveriges säkerhet, men också de skador eller olägenheter som en sådan åtgärd kan medföra för de drabbade aktörerna – handläggas skyndsamt. Vi anser att detta bör framgå av en särskild bestämmelse. Vi föreslår därför att det införs bestämmelser i säkerhetsskyddslagen om att ärenden och mål som rör interimistiska förelägganden (eller sådana åtgärder som behandlas i avsnitt 6.4) ska handläggas skyndsamt.
4 Av bestämmelsens första stycke framgår att sekretess inte hindrar att en enskild, som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska parten på annat sätt få upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. 5Prop. 2020/21:194 s. 114 f.
Överklagande
Interimistiska förelägganden bör få överklagas i samma ordning som definitiva beslut enligt de aktuella bestämmelserna. Beslut enligt 6 kap. 6 § säkerhetsskyddslagen får överklagas till Förvaltningsrätten i Stockholm. Beslut enligt 4 kap. 12 § säkerhetsskyddslagen får, som nämnts ovan, överklagas till regeringen. (Se 8 kap. 4 § säkerhetsskyddslagen.)
Vite
En förutsättning för att interimistiska förelägganden ska bli verkningsfulla är att de, liksom ”vanliga” förelägganden, får förenas med vite. Vi förslår därför att det ska vara möjligt att förena interimistiska förelägganden med vite.
Vad gäller frågan om vite innehåller viteslagen (1985:206) bl.a. bestämmelser om hur ett vitesföreläggande ska vara utformat, hur vitesbeloppet ska fastställas och om utdömande av vite. Bestämmelserna är lämpliga att använda och det finns alltså inte anledning att införa bestämmelser som avviker från dem.
6.4. Eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom samt försegling
Förslag: Förvaltningsrätten i Stockholm ska kunna besluta om
tvångsåtgärder mot en aktör som har blivit eller som kan antas bli föremål för ett föreläggande eller förbud enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §säkerhetsskyddslagen, om åtgärden behövs för att säkerställa ändamålet med föreläggandet eller förbudet. Åtgärden måste dessutom vara proportionerlig. Kravet på proportionalitet ska framgå av en särskild bestämmelse i säkerhetsskyddslagen.
Med föreläggande avses i detta sammanhang även interimistiska förelägganden som meddelas med stöd av den föreslagna 6 kap. 7 § säkerhetsskyddslagen.
Ett beslut om tvångsåtgärder ska få avse
- eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom, och
- försegling av lokal, förvaringsplats eller annat utrymme.
Frågor om tvångsåtgärder ska prövas på ansökan av tillsynsmyndigheten. I säkerhetsskyddslagen införs bl.a. bestämmelser om att ett beslut om tvångsåtgärder gäller omedelbart samt särskilda bestämmelser om underrättelse, omprövning och upphävande av beslut om tvångsåtgärder.
Tillsynsmyndigheterna ska, om det är fara i dröjsmål, få meddela interimistiska beslut om vissa tvångsåtgärder. Om tillsynsmyndigheten fattar ett sådant beslut ska myndigheten skyndsamt ansöka om beslutade åtgärder hos Förvaltningsrätten i Stockholm. Görs inte någon ansökan eller avslår förvaltningsrätten ansökan ska vidtagna åtgärder återgå.
Beslut om nu aktuella åtgärder ska, som utgångspunkt, verkställas av Kronofogdemyndigheten. Tillsynsmyndigheterna får emellertid verkställa vissa beslut om tvångsåtgärder, om det kan ske obehindrat. Om det är fara i dröjsmål eller om det av annat skäl bedöms vara lämpligt får Säkerhetspolisen verkställa beslut om tvångsåtgärder. I säkerhetsskyddslagen införs särskilda bestämmelser om verkställighetsförfarandet samt om Kronofogdemyndighetens och Säkerhetspolisens befogenheter vid verkställigheten av beslut om tvångsåtgärder.
Bedömning: I övrigt tillämpas förvaltningslagen och förvaltnings-
processlagen vid handläggningen. Det behövs inte några inskränkningar av reglerna om partsinsyn och kommunikation i nämnda regelverk.
Det bör införas nya bestämmelser i säkerhetsskyddsförordningen om att den som ett beslut om tvångsåtgärder gäller och den som i övrigt berörs av verkställigheten av sådana beslut ska få ett bevis över verkställigheten, att beviset ska utfärdas av den som har verkställt åtgärden och vilka uppgifter ett sådant bevis ska innehålla.
6.4.1. Allmänt om systemet med tvångsåtgärder
Förslaget om tvångsåtgärder som lades fram av Utredningen om vissa säkerhetsskyddsfrågor mötte, som nämnts ovan, viss remisskritik. Det framfördes bl.a. synpunkter på att förslaget gick ut på att bestämmelserna i 15 kap.1–3 §§rättegångsbalken (som är avsedda att tillämpas i tvister som avser tillvaratagande av parters enskilda rätt) skulle tillämpas. Såväl JO som regeringen uttalade att ledning vid utformandet av en reglering avseende tvångsåtgärder på säkerhetsskyddsområdet i stället bör hämtas från tvångsåtgärder där det offentliga ingriper mot enskilda.
Med anledning av de uttalanden som gjordes i det förra lagstiftningsärendet har vi försökt identifiera bestämmelser om tvångsåtgärder som skulle kunna tjäna som förebild för ett system med tvångsåtgärder på säkerhetsskyddsområdet. Vi har bl.a. studerat bestämmelserna om tillfälligt omhändertagande och försegling i 8 kap.8 och 9 §§strålskyddslagen (2018:396), och bestämmelserna om bevissäkring och betalningssäkring i 45 och 46 kap. skatteförfarandelagen (2011:1244). Vid utformningen av regelverket har givetvis också de särskilda förutsättningar som kommer att gälla enligt säkerhetsskyddslagen behövt beaktas. Eftersom åtgärderna syftar till att skydda Sveriges säkerhet uppställs t.ex. inget krav på att det ska finnas en risk för att aktören som åtgärden riktas mot agerar på ett sätt som skulle motverka ändamålet med ett föreläggande eller förbud (jfr t.ex. 45 kap. 6 § skatteförfarandelagen). Ett beslut om tvångsåtgärder skulle kunna föranledas av att aktören har agerat, eller kan antas agera, klandervärt på något sätt. Behovet av tvångsåtgärder skulle emellertid också kunna bero på en omständighet utanför verksamhetsutövarens kontroll, såsom en motpart med koppling till en stat som bedriver säkerhetshotande verksamhet mot Sverige eller ett pågående angrepp mot verksamhetsutövaren som denne saknar kännedom om.
Eftersom det inte rör sig om processuella tvångsåtgärder föreslår vi inte heller att det införs bestämmelser om skydd för vissa handlingar (jfr 45 kap. 15 § och 47 kap.skatteförfarandelagen).
Vi föreslår att systemet med tvångsåtgärder ska innefatta två olika åtgärder dels eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom. Dels försegling av utrymmen. Åtgärd-
erna och förutsättningarna för att kunna besluta om sådana beskrivs närmare nedan.
De åtgärder som vi föreslår syftar till att säkerställa skyddet för säkerhetskänslig verksamhet i situationer där verksamhetsutövaren är oförmögen att skydda verksamheten, eller där det finns skäl att tro att verksamhetsutövaren eller den andra parten i ett pågående förfarande kan agera i strid med säkerhetsskyddslagens krav. Eftersom en av hörnstenarna i säkerhetsskyddslagstiftningen är att det är verksamhetsutövaren som ansvarar för säkerhetsskyddet i sin verksamhet, är en ordning där tillsynsmyndigheten i praktiken går in och bedriver säkerhetsskyddsarbete åt verksamhetsutövaren inte helt oproblematisk. Vår bedömning är emellertid att det måste finnas en möjlighet för tillsynsmyndigheterna att agera i situationer där de upptäcker att det är risk för skada för Sveriges säkerhet och omedelbara åtgärder behöver vidtas. Principen om att det är verksamhetsutövaren som ansvarar för säkerhetsskyddet, tillsammans med kravet på att åtgärden ska vara proportionerlig, innebär emellertid att möjligheten att ansöka och besluta om tvångsåtgärder ska användas restriktivt och endast i mycket speciella undantagssituationer, där andra åtgärder – t.ex. interimistiska förelägganden – inte kan anses vara tillräckliga.
6.4.2. Närmare om de olika tvångsåtgärderna
Eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom
Handlingar eller annan egendom bör i första hand få eftersökas i verksamhetslokaler som disponeras av den aktuella aktören. Om det finns särskild anledning att anta att handlingen eller egendomen finns i andra lokaler, förvaringsplatser eller utrymmen bör emellertid även sådana utrymmen få genomsökas. Med uttrycket ”särskild anledning att anta att handlingarna finns i utrymmet” avses att det ska finnas något som talar för att handlingen eller egendomen finns där och att eftersökandet inte ingår i ett mer planlöst letand e.6
I dag hanteras även säkerhetsskyddsklassificerade uppgifter i stor utsträckning digitalt. Bestämmelserna om eftersökande och omhändertagande av bl.a. handlingar bör därför vara teknikneutrala. Vi föreslår därmed att begreppet handling ska definieras som en framställ-
6 Jfr prop. 1993/94:151 s. 156.
ning i skrift eller bild och upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas bara med tekniska hjälpmedel (jfr 3 kap. 9 § skatteförfarandelagen), samt att denna definition bör framgå av en särskild bestämmelse. På detta sätt möjliggörs eftersökande och omhändertagande av elektroniska handlingar som förvaras i t.ex. datorer och andra lagringsmedium. Vid eftersökning av sådana handlingar bör det vara tillåtet att använda tekniska hjälpmedel som finns där beslutet verkställs (vi återkommer till denna fråga nedan).
Det kan vidare konstateras att det blir alltmer vanligt att säkerhetskänslig information lagras i olika molntjänster. Den 1 juni 2022 infördes ett nytt straffprocessuellt tvångsmedel – genomsökning på distans – som gör det möjligt för polisen att under en brottsutredning komma åt elektroniska uppgifter som kan ha betydelse som bevis och som finns lagrade på t.ex. externa servrar eller i s.k. molnbaserade internettjänster. Genomsökning på distans får användas inom ramen för en förundersökning som rör misstanke om brott på vilket fängelse kan följa (se 28 kap. 10 b § rättegångsbalken). Tvångsmedlet får även användas inom ramen för viss annan brottsbekämpande verksamhet (se t.ex. 5 kap. 3 § lagen [2022:700] om särskild kontroll av vissa utlänningar). Genomsökning på distans kan ge tillgång till stora datamängder och innebär därmed ett allvarligt integritetsintrång, som även kan drabba tredje man. Det måste därför finnas starka skäl för att en myndighet ska få vidta sådana åtgärder.
De förslag som vi lämnar ger inte stöd för att eftersöka elektroniska handlingar som lagras externt i en molntjänst .7Vi föreslår inte heller att det ska införas särskilda bestämmelser som möjliggör sådana eftersökningar. Skyddet för Sveriges säkerhet är ett mycket tungt vägande allmänt intresse som skulle kunna motivera eftersökning av elektroniska handlingar som lagras i molntjänster – om det finns ett konkret och påtagligt behov av att kunna vidta sådana åtgärder. Åtgärder enligt säkerhetsskyddslagen handlar emellertid, till skillnad från t.ex. en husrannsakan, inte om att söka efter bevisning utan om att skydda informationen i sig. Möjligheterna att ”hämta hem” och skydda uppgifter som har lagrats externt kan, bl.a. med hänsyn till möjligheterna att återskapa information, antas vara begränsade. Man skulle emellertid kunna säkra tillgängligheten till uppgifter genom att ta kopior. Åtgärden skulle möjligen också kunna fylla en funktion inom ramen för tillsynen, t.ex. för att skaffa sig informa-
7 Jfr HFD 2021 ref. 23.
tion om vilka uppgifter som har röjts vid en incident. Frågan om behovet av nu aktuella åtgärder måste emellertid utredas närmare och vi har gjort bedömningen att frågan är för omfattande för att kunna hanteras inom ramen för den här utredningen.
Försegling av lokal, förvaringsplats eller annat utrymme
Möjligheten att eftersöka och omhänderta egendom bör kompletteras med en möjlighet att försegla lokal, förvaringsplats eller annat utrymme. Försegling av olika utrymmen bör kunna aktualiseras t.ex. om den egendom som behöver säkras inte omedelbart kan tas omhand eller flyttas från platsen. Den som bryter förseglingen eller kringgår denna kan göra sig skyldig till överträdelse av myndighets bud enligt 17 kap. 13 § brottsbalken.
Förutsättningar för att kunna besluta om tvångsåtgärder
Vi föreslår att tvångsåtgärder ska kunna beslutas om åtgärderna behövs för att säkerställa ändamålet med ett föreläggande eller förbud enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §säkerhetsskyddslagen. Med föreläggande avses också interimistiska förelägganden.
Utgångspunkten bör vara att tvångsåtgärder ska beslutas först efter att tillsynsmyndigheten har meddelat ett föreläggande eller förbud. Vår bedömning är att tillsynsmyndigheterna i de flesta fall där allvarliga sårbarheter upptäcks borde kunna meddela i vart fall ett interimistiskt föreläggande med kort varsel, som sedan kan läggas till grund för prövningen av om det finns förutsättningar för tvångsåtgärder. En ordning där tvångsåtgärder redan initialt knyts till ett föreläggande eller förbud gör det tydligt för aktören som åtgärden riktas mot vad som krävs av denne för att åtgärden ska upphävas.
Samtidigt uppställs stränga krav på utformningen av förelägganden och förbud. Av ett föreläggande eller förbud måste tydligt framgå vad tillsynsmyndighetens krav avser och vad som krävs av den som beslutet riktar sig mot för att denne ska leva upp till dessa. Detta gäller särskilt förelägganden och förbud vid vite. Därtill kommer att ingripanden från tillsynsmyndigheternas sida kan aktualiseras i vitt skilda situationer, och att de beslut som tillsynsmyndigheterna fattar i värsta fall kan få negativa effekter för grundläggande funk-
tioner i samhället. Det kan därför inte uteslutas att det kan uppstå situationer där tillsynsmyndigheterna inte kan meddela ett föreläggande eller förbud omedelbart.
För att systemet med tvångsåtgärder, som ska möjliggöra ingripanden när det är fara i dröjsmål, ska bli ändamålsenligt och tillräckligt effektivt bör det därför även vara möjligt att vidta tvångsåtgärder för att säkerställa ändamålet med ett framtida föreläggande eller förbud. I sådana situationer bör det uppställas krav på att det kan
antas att aktören kommer att bli föremål för ett föreläggande eller
förbud. Beviskravet är relativt lågt ställt. Detta får emellertid anses vara godtagbart. Ett för högt ställt beviskrav skulle förhindra användningen av tvångsåtgärder i ett tidigt skede av ett tillsynsärende – när åtgärderna sannolikt är av störst betydelse. Härvid måste också beaktas att åtgärderna motiveras av ett mycket starkt allmänt intresse. Kravet bör emellertid innebära att tillsynsmyndigheten måste kunna peka på någon konkret omständighet (t.ex. brister i säkerhetsskyddet) som talar för att åtgärder enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §säkerhetsskyddslagen kommer att behöva vidtas, för att ett beslut om tvångsåtgärder ska kunna meddelas. För att domstolen ska kunna bedöma om åtgärden behövs för att säkerställa ändamålet med ett föreläggande eller förbud krävs vidare att tillsynsmyndigheten kan precisera vilka säkerhetsskyddsåtgärder som behöver vidtas.
När tvångsåtgärder används mot enskilda gäller, mot bakgrund av de integritetsskyddande bestämmelserna i regeringsformen, tre allmänna principer. Dessa principer är behovsprincipen, ändamålsprincipen och proportionalitetsprincipen. Behovsprincipen innebär att en tvångsåtgärd inte får vidtas, om det inte är nödvändigt med hänsyn till syftet med åtgärden. Om flera alternativa medel står till buds för att uppnå det eftersträvade målet ska det medel väljas som innebär minsta möjliga intrång i den enskildes frihet och rätt. Ändamålsprincipen innebär att en tvångsåtgärd bara får användas för de syften som anges i lagstiftningen. I det här fallet innebär principen alltså att åtgärden ska vara ägnad att säkerställa ändamålet med ett redan meddelat, eller framtida, föreläggande eller förbud. Nämnda principer ska vara vägledande även vid tillämpning av nu föreslagna åtgärder och gäller utan att det behöver föreskrivas särskilt.
Proportionalitetsprincipen innebär att en tvångsåtgärd får tillgripas endast om skälen för åtgärden uppväger det intrång eller men i övrigt som åtgärden innebär för den enskilde eller för något annat motstå-
ende intresse. Tvångsåtgärden ska alltså i fråga om art, styrka, räckvidd och varaktighet stå i rimlig proportion till vad som står att vinna med åtgärden. Proportionalitetsprincipen är en allmän rättsgrundsats inom svensk offentlig rätt och ska alltid beaktas när myndigheter fattar beslut som är betungande för enskilda, och gäller således också utan särskilt lagstöd. Frågan om det bör införas en särskild bestämmelse om proportionalitet i säkerhetsskyddslagen behandlades i lagstiftningsärendet som ledde fram till 2021 års lagändringar. Regeringen gjorde då bedömningen att en sådan bestämmelse inte är nödvändig eftersom det rör sig om en allmän rättsgrundsats och kravet på en proportionalitetsbedömning dessutom framgår av förvaltningslagen, som är tillämplig när tillsynsmyndigheterna handlägger ärenden enligt säkerhetsskyddslagen.
Om det införs bestämmelser om tvångsåtgärder i säkerhetsskyddslagen finns det emellertid skäl att se över frågan på nytt. Enligt vårt förslag ska mål om tvångsåtgärder handläggas av förvaltningsdomstol. Någon motsvarighet till bestämmelsen i 5 § tredje stycket förvaltningslagen finns inte i förvaltningsprocesslagen. Det kan dessutom konstateras att kravet på proportionalitetsbedömning framgår direkt av flera andra regelverk som möjliggör tvångsåtgärder, t.ex. skatteförfarandelagen och regelverken gällande straffprocessuella tvångsmedel i 24–28 kap. rättegångsbalken. Mot bakgrund av detta, och det faktum att vissa av de tvångsåtgärder som vi föreslår kan vara mycket ingripande för enskilda, väljer vi att föreslå att en särskild bestämmelse om att principen ska beaktas vid beslut om tvångsåtgärder ska införas i säkerhetsskyddslagen (trots att principen ska tillämpas oavsett om det finns lagstöd eller inte).
Det ligger i sakens natur att det allmännas intresse att skydda Sveriges säkerhet bör väga mycket tungt vid en proportionalitetsbedömning enligt bestämmelsen. Det bör därför krävas mycket starka skäl för att det intrång eller men som en åtgärd innebär för den enskilde ska väga över. Det kan emellertid inte uteslutas att det kan vara så i enskilda fall.
Tvångsåtgärder bör få beslutas mot aktörer som kan bli föremål för förelägganden eller förbud enligt de nu aktuella bestämmelserna. Förutom verksamhetsutövare rör det sig om aktörer som tillsynsmyndigheten får meddela föreläggande mot med stöd av 4 kap. 12 § säkerhetsskyddslagen. Sådana förelägganden kan riktas även mot verksamhetsutövarens motpart i ett pågående förfarande. Precis
som vid ingripanden med stöd av 4 kap. 12 § säkerhetsskyddslagen kan tvångsåtgärden syfta till att få den andra aktören i förfarandet att återlämna viss säkerhetskänslig egendom till verksamhetsutövaren .8Det är därför angeläget att tvångsåtgärder kan riktas även mot den part som faktiskt disponerar över egendomen, dvs. den andra aktören.
6.4.3. Handläggningsfrågor
Vem eller vilka ska få fatta beslut om tvångsåtgärder?
Vad gäller frågan om vem eller vilka som ska få fatta beslut om tvångsåtgärder har vi övervägt olika lösningar.
Ett alternativ skulle kunna vara att tillsynsmyndigheterna ges befogenhet att fatta beslut. En annan möjlig lösning, som också övervägdes i det förra lagstiftningsärendet, är att tillsynsmyndigheterna får fatta beslut som sedan underställs domstolsprövning. En sådan ordning skulle likna vad som gäller i fråga om t.ex. beslag enligt de straffprocessuella reglerna (se 27 kap. rättegångsbalken). En ordning där tillsynsmyndigheterna ges befogenhet att besluta om tvångsåtgärder framstår som ändamålsenlig eftersom sådana beslut som utgångpunkt kommer att aktualiseras i situationer där det av olika anledningar är fara i dröjsmål.
Eftersom vi föreslår att bestämmelserna om tvångsåtgärder ska utformas på ett sätt som ger tillämparen ett stort bedömningsutrymme och det rör sig om relativt ingripande åtgärder framstår det emellertid som en nödvändig rättssäkerhetsåtgärd att frågan ska prövas av en opartisk instans. Vi är vidare av uppfattningen att beslut om tvångsåtgärder bör omprövas regelbundet. Detta i syfte att säkerställa att åtgärden inte används längre än vad som är godtagbart. Även detta talar mot att tillsynsmyndigheterna ska vara beslutsfattare.
Mot bakgrund av ovanstående föreslår vi att beslut om tvångsåtgärder, i vart fall som utgångspunkt, ska fattas av domstol. Beslut borde kunna fattas inom något eller några dygn. För de fall då tillsynsmyndigheterna måste agera omedelbart för att ändamålet med åtgärden inte ska gå förlorat bör emellertid tillsynsmyndigheterna ges möjlighet att fatta interimistiska beslut i avvaktan på domstolens
8 Jfr prop. 2020/21:194 s. 65 f.
beslut (se nedan). Därmed borde effektiviteten inte gå förlorad, samtidigt som rättssäkerheten stärks betydligt för den drabbade aktören.
Mål om tvångsåtgärder enligt säkerhetsskyddslagen bör prövas av allmän förvaltningsdomstol. Övervägande skäl talar dessutom för att sådana mål bör koncentreras till en domstol. Det handlar om speciella mål som bör bli mycket sällsynta och som kan kräva viss specialisering. Vi föreslår därför att Förvaltningsrätten i Stockholm även för dessa mål anges som ensam behörig domstol.
Ansökan om tvångsåtgärder bör göras av tillsynsmyndigheterna, som känner till omständigheterna i ärendena och dessutom besitter störst kunskap på respektive sakområde.
Tillsynsmyndigheterna bör få fatta interimistiska beslut i vissa fall
Även om rättssäkerhetsskäl talar för att frågor om tvångsåtgärder som utgångspunkt bör prövas av domstol anser vi att det finns tungt vägande skäl för att ge tillsynsmyndigheterna befogenhet att i mycket brådskande fall få besluta om vissa tvångsåtgärder interimistiskt. Åtgärderna skulle inte bli meningsfulla eller tillräckligt effektiva om inte tillsynsmyndigheterna ges en sådan möjlighet. Det framstår t.ex. inte som rimligt att tillsynsmyndigheten ska invänta beslut från domstol om allvarliga sårbarheter upptäcks vid tillsyn och åtgärder behöver vidtas omedelbart.
Vi föreslår därför att tillsynsmyndigheten ska få meddela beslut om eftersökande och omhändertagande av handlingar eller annan egendom och försegling av lokal, förvaringsplats eller annat utrymme, om det inte finns tid att invänta beslut från domstol och förutsättningarna för att besluta om tvångsåtgärder i övrigt är uppfyllda. Möjligheten att besluta om eftersökande av egendom bör emellertid, av rättssäkerhetsskäl, begränsas till beslut som rör verksamhetslokaler som disponeras av den aktuella aktören.
Eftersom det rör sig om beslut som kan vara ingripande för enskilda måste tillsynsmyndigheterna se till att besluten fattas av personer som är särskilt lämpade, och har tillräcklig utbildning och erfarenhet, för uppgiften samt är utpekade i arbetsordning eller på annat liknande sätt.
Tillsynsmyndigheten ska snarast, eller senast inom fem dagar, ansöka om beslutade åtgärder hos Förvaltningsrätten i Stockholm.
Om tillsynsmyndigheten inte ansöker om tvångsåtgärder inom föreskriven tid eller om förvaltningsrätten avslår ansökan, ska omhändertagen egendom återlämnas och förseglingar hävas. Om förvaltningsrätten beslutar om tvångsåtgärder kommer det beslutet att ersätta det tillfälliga beslut som tillsynsmyndigheten har fattat.
Det är av stor vikt att Säkerhetspolisen och Försvarsmakten informeras om eventuella frister, såsom femdagarsfristen, som löper för det fall de tar över tillsynen av ett tillsynsobjekt från en annan tillsynsmyndighet. Tillsynsmyndigheterna bör därför ta fram tydliga rutiner för hur frågor om tvångsåtgärder ska hanteras när tillsynen övertas.
Förfarandet i övrigt
Förvaltningsprocesslagen är tillämplig på förfarandet i domstol, i den utsträckning som inte annat har reglerats (1 och 2 §§). När tillsynsmyndigheterna fattar interimistiska beslut om tvångsåtgärder kommer förvaltningslagen vara tillämplig, om inte annat föreskrivs (jfr 4 §). Vi föreslår att bestämmelsen i 8 kap. 5 § säkerhetsskyddsförordningen ändras på så sätt att det framgår att det som anges om undantag för brottsbekämpande verksamhet i 3 § förvaltningslagen inte ska gälla vid Säkerhetspolisens handläggning av ärenden om tvångsåtgärder enligt säkerhetsskyddslagen (jfr vad som anförts ovan i avsnitt 6.3.3).
Vi ser att det kan finnas behov av att kunna verkställa beslut om tvångsåtgärder utan att den aktör som beslutet gäller får del av beslutet. Det måste därför finnas lagstöd för att meddela beslut utan att processhandlingar skickas till motparten och för att avvakta med att underrätta motparten om beslutet.
I 10, 12 och 18 §§förvaltningsprocesslagen finns bestämmelser om kommunicering. Huvudregeln är, enligt 10 § första stycket, att en ansökan som inleder ett mål och det som hör handlingen till ska skickas till motparten, som ska föreläggas att svara inom viss tid. Av 10 § andra stycket 4 framgår emellertid att kommunicering inte behöver ske om det kan befaras att underrättelse avsevärt skulle försvåra genomförandet av beslut i målet. Av 18 § följer att part ska ha fått kännedom om det som har tillförts målet genom annan än honom själv och haft tillfälle att yttra sig över det innan målet avgörs. Kommunicering behöver emellertid inte ske om det föreligger sådana skäl däremot som anges i 10 § andra stycket. Som konstaterats ovan kan
även tillsynsmyndigheterna avstå från att kommunicera handlingar (se 25 § andra stycket förvaltningslagen). Det behöver därför inte införas några särskilda bestämmelser om kommunicering i säkerhetsskyddslagen, utan kommunicering bör kunna underlåtas i ärenden som rör tvångsåtgärder och där det finns en risk att den aktör som beslutet gäller försöker motverka verkställandet av beslutet.
Vad gäller underrättelse om beslut framgår det av 31 § förvaltningsprocesslagen att ett beslut genom vilket rätten avgör målet ska skickas till parterna. Av 33 § första stycket förvaltningslagen framgår att en myndighet som meddelar beslut i ett ärende så snart som möjligt ska underrätta den som är part om det fullständiga innehållet i beslutet, om det inte är uppenbart obehövligt. Det bör därför införas särskilda bestämmelser om underrättelse av beslut i säkerhetsskyddslagen. Huvudregeln bör, med hänsyn till att det rör sig om ingripande åtgärder, vara att den som beslutet gäller omedelbart ska underrättas om beslutet. Om det kan befaras att underrättelse avsevärt skulle försvåra genomförandet av beslutet bör emellertid underrättelse få ske först i samband med att åtgärden verkställs. Det bör också finnas en möjlighet att i vissa fall kunna underrätta aktören om beslutet först efter att åtgärden har verkställts. Detta bör emellertid kräva att det finns synnerliga skäl för att avvakta med underrättelsen.
I såväl förvaltningslagen som förvaltningsprocesslagen finns vidare bestämmelser om rätten till partsinsyn (10 § förvaltningslagen och 43 § förvaltningsprocesslagen). Bestämmelserna innebär att en part har rätt att ta del av det som har tillförts ärendet eller målet. Bestämmelserna möjliggör för den aktör som är part i ett ärende eller mål om tvångsåtgärder att begära ut handlingar från tillsynsmyndigheten och domstolen. Av nämnda bestämmelser framgår att rätten till insyn gäller med de begränsningar som följer av 10 kap. 3 § offentlighets- och sekretesslagen. I bestämmelsens första stycke regleras vad som ska gälla vid konflikt mellan partsinsyn och sekretess. Av bestämmelsen följer att sekretess inte hindrar att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndighet, och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten
upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda.
I de situationer då det uppstår ett behov av tvångsåtgärder på grund av att en aktör agerar på ett sätt som hotar Sveriges säkerhet bör uppgifterna i målet eller ärendet omfattas av sekretess, t.ex. enligt 15 kap. 1 eller 2 § offentlighets- och sekretesslagen (vi bedömer därför att det inte finns behov av särskilda bestämmelser i offentlighets- och sekretesslagen som gäller uppgifter i mål eller ärenden om tvångsåtgärder enligt säkerhetsskyddslagen). En tillämpning av bestämmelserna i 10 kap. 3 § första stycket offentlighets- och sekretesslagen bör vidare – med hänsyn till det mycket starka allmänna intresse som skyddet för Sveriges säkerhet utgör – regelmässigt resultera i bedömningen att det är av synnerlig vikt att sekretessbelagda uppgifter inte röjs och att sådana uppgifter inte ska lämnas ut till parten. Det finns därmed inte heller behov av bestämmelser som begränsar partsinsynen vid mål och ärenden om tvångsåtgärder.
På förvaltningsrättens område gäller allmänt att ett beslut eller en dom blir gällande först när avgörandet har fått laga kraft. Någon motsvarighet till bestämmelserna i 35 § andra och tredje stycket förvaltningslagen (som innebär att vissa förvaltningsbeslut får verkställas omedelbart), finns inte i förvaltningsprocesslagen. Huvudregeln kan emellertid frångås genom att det i den aktuella speciallagen föreskrivs att ett beslut ska gälla omedelbart. Eftersom tvångsåtgärder bara kommer att aktualiseras i situationer där det är fara i dröjsmål bör i säkerhetsskyddslagen införas en bestämmelse som innebär att sådana beslut gäller omedelbart.
Krav på skyndsamhet
Ärenden och mål där beslut om tvångsåtgärder har aktualiserats bör – med hänsyn till skyddet för Sveriges säkerhet, men också de skador eller olägenheter som en sådan åtgärd kan medföra för de drabbade aktörerna – handläggas skyndsamt. Vi anser att detta bör framgå av en särskild bestämmelse. Vi föreslår därför att det införs bestämmelser i säkerhetsskyddslagen om att ärenden och mål som rör tvångsåtgärder (eller sådana interimistiska förelägganden som behandlas i avsnitt 6.3) ska handläggas skyndsamt.
Omprövning och upphävande av beslut
Vi föreslår att det införs bestämmelser som innebär att ett beslut om tvångsåtgärder ska upphävas helt eller delvis om det inte längre finns förutsättningar för beslutet, eller beslutet av någon annan anledning inte bör kvarstå. Vi föreslår vidare att Förvaltningsrätten i Stockholm ska pröva frågan om upphävande av beslut om tillsynsmyndigheten eller den som beslutet rör begär det eller om det annars finns skäl för det. Eftersom det handlar om åtgärder som kan vara ingripande i förhållande till enskilda bör det också uppställas krav på att rätten på eget initiativ regelbundet ska ompröva åtgärden. En lämplig ordning skulle kunna vara att sådana omprövningar görs var sjätte vecka. En sådan kontrollfunktion framstår som viktig inte minst i de situationer då tvångsåtgärder har beslutats i avvaktan på att ett föreläggande eller förbud ska meddelas. Vid omprövning av sådana beslut bör det ställas krav på tillsynsmyndigheten att redogöra för hur handläggningen av tillsynsärendet fortlöper och när ett föreläggande eller förbud kan antas kunna meddelas.
Med hänsyn till de allvarliga konsekvenser som kan uppstå om åtgärden upphävs felaktigt bör beslut om tvångsåtgärder inte få upphävas utan att tillsynsmyndigheten först har fått tillfälle att yttra sig.
Till skillnad från t.ex. bevissäkringsåtgärder enligt skatteförfarandelagen, som alltså syftar till att säkra bevisning, kommer det vid användandet av tvångsåtgärder enligt säkerhetsskyddslagen inte finnas en lika tydlig brytpunkt för när behovet av åtgärden upphör. Utgångspunkten bör emellertid vara att åtgärderna ska upphöra när syftet med föreläggandet eller förbudet har uppnåtts. Bedömningen av när behovet av åtgärderna i det enskilda fallet har upphört får emellertid överlämnas åt rättstillämpningen.
Eftersom Förvaltningsrätten i Stockholm (med undantag för om ett föreläggande enligt 6 kap. 6 § säkerhetsskyddslagen överklagas, se 8 kap. 4 § säkerhetsskyddslagen) enbart prövar frågan om tvångsåtgärder, och inte ärendet i sak, och att det är tillsynsmyndigheten som handlägger tillsynsärendet som ligger till grund för beslutet om tvångsåtgärder, bör det ankomma på tillsynsmyndigheten att omedelbart meddela domstolen om det framkommer omständigheter som gör att det inte längre finns förutsättningar för åtgärden. Vi föreslår därför att det införs bestämmelser som innebär att tillsynsmyndigheten omedelbart ska begära att beslutet om tvångsåtgärder ska
upphävas om det inte längre finns skäl för åtgärden. Så kan t.ex. vara fallet om det under tiden som tillsynsärendet handläggs framkommer omständigheter som gör att det inte längre är aktuellt att meddela ett föreläggande eller förbud, eller om aktören har vidtagit relevanta åtgärder.
När ett beslut om omhändertagande av handling eller annan egendom upphävs bör utgångspunkten vara att den genom beslutet rubbade besittningen ska återställas. Det kan emellertid vara så att egendomen har omhändertagits från den andra aktören i ett pågående förfarande i avvaktan på att tillsynsmyndigheten ska kunna meddela beslut om att aktören i fråga ska återlämna egendomen till verksamhetsutövaren. I en sådan situation – där det finns ett lagakraftvunnet föreläggande som innebär att aktören som varit föremål för tvångsåtgärden åläggs att överlämna egendomen till en annan aktör – bör domstolen kunna besluta om återlämnande i enlighet med tillsynsmyndighetens beslut. Detta bör emellertid också förutsätta att tillsynsmyndigheten framställer en särskild begäran om att egendomen ska återlämnas till en annan aktör.
Överklagande
Förvaltningsrättens beslut kommer att kunna överklagas till kammarrätten och Högsta förvaltningsdomstolen (33 § förvaltningsprocesslagen). Det bör enligt vår mening inte krävas prövningstillstånd för att kammarrätten ska pröva ett överklagande av beslut om tvångsåtgärder.
Eftersom beslut om tvångsåtgärder kan få stora ekonomiska konsekvenser för enskilda bör även tillsynsmyndigheternas interimistiska beslut om tvångsåtgärder få överklagas.
6.4.4. Verkställighet
Även vad gäller frågan om verkställighet av beslut om tvångsåtgärder har vi behövt ta ställning till vilken eller vilka aktörer som ska ges den befogenheten. Med anledning av att det rör sig om brådskande åtgärder som kan behöva verkställas omedelbart har vi bl.a. övervägt om tillsynsmyndigheterna själva ska få verkställa beslut om tvångsåtgärder. En sådan ordning skulle framstå som naturlig för vissa av
tillsynsmyndigheterna, t.ex. Säkerhetspolisen, Försvarsmakten och Strålsäkerhetsmyndigheten, som redan i dag har kapacitet för sådana åtgärder. För merparten av tillsynsmyndigheterna framstår det emellertid som främmande att åläggas den här typen av uppgifter. Det kan också ifrågasättas om det är rimligt att samtliga tillsynsmyndigheter ska ha en beredskap för att kunna verkställa beslut om tvångsåtgärder, som sannolikt kommer att aktualiseras mycket sällan.
Vi har också övervägt om Säkerhetspolisen bör verkställa beslut om tvångsåtgärder. Med hänsyn bl.a. till myndighetens storlek framstår det emellertid inte som möjligt för Säkerhetspolisen att ha en nationell beredskap för sådana åtgärder.
Med anledning av vad som anförts ovan, samt att verkställighet normalt handhas av Kronofogdemyndigheten, föreslår vi i stället att beslut om eftersökande och omhändertagande av handlingar eller annan egendom samt försegling av utrymmen i första hand ska verkställas av Kronofogdemyndigheten. Vi har vid kontakt med myndigheten fått besked om att det finns förutsättningar för myndigheten att hantera verkställighet även i den här typen av ärenden, dvs. brådskande ärenden som förutsätter säkerhetsprövad personal. Eftersom Kronofogdemyndigheten behöver några dagars framförhållning för verkställighet menar vi emellertid att Säkerhetspolisen bör ges möjlighet att verkställa nu aktuella beslut om det är fara i dröjsmål, eller om det av annan anledning bedöms vara lämpligt.
Vid verkställighet av beslut om bevissäkring enligt skatteförfarandelagen får Skatteverkets granskningsledare verkställa beslut om bevissäkring i verksamhetslokaler, om det kan ske obehindrat. Granskningsledaren får alltså verkställa beslut i okomplicerade situationer. Vi anser att det finns skäl att införa motsvarande möjlighet för tillsynsmyndigheterna vid verkställighet av tvångsåtgärder enligt säkerhetsskyddslagen. Typsituationen där tillsynsmyndigheterna själva kan verkställa ett beslut bör vara om det vid tillsyn anträffas handlingar som behöver tas omhand och verkställigheten kan ske obehindrat. Att i en sådan situation uppställa krav på att tillsynsmyndigheten ska kontakta Kronofogdemyndigheten eller Säkerhetspolisen är inte rimligt. Varje fysiskt motstånd – även passivt – från någon som är närvarande vid verkställigheten bör emellertid medföra hinder för verkställighet genom tillsynsmyndighetens försorg. Även hot om
våld eller motstånd bör medföra att tillsynsmyndigheten avstår från att genomföra åtgärden .9
Vi gör bedömningen att bestämmelserna i utsökningsbalken – som rör verkställighet av dom eller annan exekutionstitel som innefattar betalningsskyldighet eller annan förpliktelse och beslut om kvarstad eller annan liknande säkerhetsåtgärd – är mindre lämpliga att använda vid verkställighet av tvångsåtgärder enligt säkerhetsskyddslagen. Verkställighet av de nu aktuella tvångsåtgärderna kommer i praktiken förutsätta samverkan mellan Kronofogdemyndigheten och tillsynsmyndigheten, eftersom Kronofogdemyndigheten inte kommer att kunna avgöra vad som behöver omhändertas eller vilka utrymmen som behöver genomsökas eller förseglas. Det finns också tillsynsmyndigheter som utövar tillsyn över farliga verksamheter. Om verkställighet ska ske i sådana verksamheter behöver tillsynsmyndigheterna vara med och bistå Kronofogdemyndigheten eller Säkerhetspolisen vid verkställigheten. Vi anser därför att bestämmelserna om verkställighet av bevissäkringsåtgärder enligt skatteförfarandelagen i stället bör tjäna som förebild för verkställigheten av de nu aktuella tvångsåtgärderna.
Beslut om bevissäkring verkställs av Kronofogdemyndigheten på begäran av Skatteverkets granskningsledare (69 kap. 3 § skatteförfarandelagen). Av Skatteverkets rättsliga vägledning framgår att Kronofogdemyndigheten har det övergripande ansvaret för det praktiska genomförandet av förrättningen, men att genomförandet ska lösas i samråd mellan Kronofogdemyndigheten och granskningsledaren. Av vägledningen framgår vidare att ett ansvar för verkställigheten inbegriper ett ansvar för att de regler som gäller för verkställigheten iakttas, t.ex. reglerna om underrättelse och närvaro, samt att upprätta bevis om verkställigheten. Även om Kronofogdemyndigheten har ansvar för det praktiska genomförandet är det granskningsledaren som, inom ramen för beslutet om bevissäkring, avgör i vilka utrymmen som eftersökning ska ske och vilka handlingar som omfattas av beslutet. Granskningsledaren måste alltså alltid vara närvarande under förrättningen .10Omhändertagna handlingar ska snarast överlämnas till Skatteverket .11
Vi anser att samma rollfördelning bör gälla mellan tillsynsmyndigheten och den verkställande myndigheten vid verkställighet av
9 Jfr prop. 2010/11:165 s. 1169 och prop. 1975/76:11 s. 142. 10 Skatteverkets rättsliga vägledning om bevissäkring, upplaga 2024.4. 11Prop. 1975/76:11 s. 141.
beslut om eftersökande och omhändertagande av egendom och försegling av utrymmen enligt säkerhetsskyddslagen.
Verkställighet bör ske på begäran av tillsynsmyndigheten. En muntlig begäran om Kronofogdemyndighetens medverkan bör vara tillräcklig. Om möjligt bör emellertid Kronofogdemyndigheten få del av beslutet gällande tvångsåtgärden i skriftlig form innan förrättningen börjar. Verkställighetsåtgärderna bör också planeras i förväg när så är möjligt .12
För att kunna utföra uppgiften bör Kronofogdemyndigheten, och i förekommande fall även Säkerhetspolisen, ges befogenhet att genomsöka lokaler, förvaringsplatser eller annat utrymme samt – om ett utrymme som behöver genomsökas är tillslutet – få öppna lås eller ta sig in på annat sätt. Myndigheterna bör även i övrigt få använda tvång om det kan anses befogat med hänsyn till omständigheterna. Våld mot person bör dock bara få användas om myndigheten möter motstånd och det med hänsyn till ändamålet med beslutet om tvångsåtgärder kan anses försvarligt. (Jfr 69 kap. 11 § skatteförfarandelagen.)
Det bör också införas särskilda bestämmelser om att verkställighet av beslut om tvångsåtgärder får ske utan att den som beslutet gäller har underrättats om beslutet om det föreligger synnerliga skäl, samt om att ett beslut om tvångsåtgärder upphör att gälla om verkställigheten inte har påbörjats inom en månad från dagen för beslutet.
Vid verkställighet bör tekniska hjälpmedel som finns där beslutet verkställs få användas om det är nödvändigt. Detta innebär att t.ex. en dator som finns på platsen får användas för att eftersöka elektroniska handlingar, om den som åtgärden verkställs hos inte medverkar (jfr 69 kap. 9 § skatteförfarandelagen). Merparten av tillsynsmyndigheterna saknar it-forensisk kompetens. Detta är inte heller något som Kronofogdemyndigheten kan bistå med. Vi bedömer emellertid att de situationer där det kan bli aktuellt med tvångsåtgärder, sannolikt kommer att vara så komplexa att det finns skäl för samordningsmyndigheterna, dvs. Säkerhetspolisen eller Försvarsmakten, att överta tillsynen (jfr 8 kap. 3 § säkerhetsskyddsförordningen). I varje fall bör samordningsmyndigheterna i samråd med tillsynsmyndigheterna ta fram riktlinjer för hur dessa situationer ska hanteras.
Det är vår uppfattning att det bör införas bestämmelser om verkställighetsbevis i säkerhetsskyddsförordningen (jfr 16 kap. 1 § skatteförfarandeförordningen [2011:1261]).
12 Jfr a.a. s. 141 ff.
6.5. Förslagens förhållande till grundläggande fri- och rättigheter
Bedömning: Förslagen är förenliga med grundläggande fri- och
rättigheter, så som de kommer till uttryck i 2 kap. 6 § första stycket regeringsformen och artikel 8 i Europakonventione n13, samt med regeringsformens och Europakonventionens bestämmelser om skyddet för äganderätten och näringsfriheten.
6.5.1. Inledning
I avsnittet redogör vi för våra bedömningar av hur förslagen i det här kapitlet förhåller sig till skyddet för den personliga integriteten, egendomsskyddet och näringsfriheten. En mer detaljerad redogörelse för de grundläggande fri- och rättigheter som våra förslag aktualiserar finns i kapitel 3. I detta avsnitt berörs den rättsliga regleringen endast översiktligt.
6.5.2. Skyddet för den personliga integriteten
I 2 kap. 6 § första stycket regeringsformen anges att var och en gentemot det allmänna är skyddad mot husrannsakan och liknande intrång. Rättigheten får begränsas genom lag (2 kap. 20 § regeringsformen). Begränsningar får emellertid göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. (Se 2 kap. 21 § regeringsformen).
Ett liknande skydd ges genom artikel 8 i Europakonventionen, enligt vilken var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Begräsningar av rättigheten får endas göras med stöd av lag och om det i ett demokratiskt samhälle
13 Den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.
är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Vid intrång i nämnda rättigheter gäller proportionalitetsprincipen, som bl.a. innebär att behovet av åtgärden måste balanseras mot det men som den enskilde lider av intrånget.
Våra förslag innebär bl.a. att handlingar och annan egendom ska få eftersökas i verksamhetslokaler, men också i andra lokaler, förvaringsplatser och utrymmen. Sådana åtgärder innebär en inskränkning av den personliga integriteten, och måste anses utgöra husrannsakan eller liknande intrång. Förslagen aktualiserar därmed det grundlagsstadgade skyddet mot sådana intrång.
En begränsning av skyddet mot husrannsakan eller liknande intrång måste, som nämnts ovan, uppfylla de krav som ställs upp i 2 kap. 21 § regeringsformen. Vi konstaterar inledningsvis att de åtgärder som vi lämnar förslag om, inte skulle utgöra ett hot mot den fria åsiktsbildningen. Åtgärderna kommer inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.
Syftet med tvångsåtgärderna är att möjliggöra ingripanden i situationer där nuvarande tillsynsbefogenheter inte är tillräckliga för att skydda Sveriges säkerhet. Det övergripande ändamålet med förslaget om att införa tvångsåtgärder är alltså att stärka skyddet för Sveriges säkerhet, och ändamålet med begränsningen måste därmed anses vara godtagbart i ett demokratiskt samhälle.
Vi menar vidare att åtgärderna är nödvändiga med hänsyn till ändamålet. Vi har pekat på olika situationer som skulle kunna uppstå och där staten i dag saknar tillräckliga verktyg för att skydda Sveriges säkerhet (se avsnitt 6.2.1). Det är vår bedömning att införandet av föreslagna tvångsåtgärder kommer att förbättra möjligheterna att skydda säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i övrigt i sådana situationer. Vi har inte kunnat identifiera några mindre ingripande alternativ än de åtgärder som vi föreslår. Vidare är det vår uppfattning att åtgärderna inte innebär ett mer långtgående intrång i skyddet för den personliga integriteten, än vad som är nödvändigt med hänsyn till ändamålet med åtgärderna. Sammantaget bedöms förslagen vara förenliga med bestämmelsen i 2 kap. 6 § första stycket regeringsformen.
De åtgärder som vi föreslår aktualiserar också rätten till respekt för privatliv, familjeliv, hem och korrespondens i Europakonventionen. Av samma skäl som anges ovan, och med hänsyn till att det uppställs särskilda krav för eftersökning av egendom i andra utrymmen än verksamhetslokaler, bedömer vi att förslagen också är förenliga med skyddet för privatlivet enligt Europakonventionen.
6.5.3. Skyddet för äganderätten och näringsfriheten
Eftersom våra förslag innebär att handlingar och annan egendom ska kunna omhändertas har vi även behövt ta ställning till om åtgärderna är förenliga med egendomsskyddet.
Av 2 kap. 15 § regeringsformen följer att varje medborgares egendom är tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon enskild genom expropriation eller annat sådant förfogande eller tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen.
Tillfälligt omhändertagande av handlingar eller annan egendom kan inte anses utgöra en sådan inskränkning i äganderätten som omfattas av regeringsformens särskilda skydd .14
Äganderätten skyddas emellertid också genom artikel 1 i första tilläggsprotokollet till Europakonventionen. Enligt första stycket i nämnda artikel ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom. Ingen får berövas sin egendom annat än i det allmännas intresse under de förutsättningar som anges i lag och i folkrättens grundsatser. I andra stycket anges att bestämmelserna i första stycket inte inskränker en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överensstämmelse med det allmännas intresse eller för att säkerställa betalning av skatter eller andra pålagor eller av böter och viten. Av Europadomstolens praxis framgår att det finns ett krav på att alla former av intrång i egendomsskyddet enligt artikel 1 ska vara proportionerliga.
Europadomstolen har i flera rättsfall behandlat beslag och förverkande som åtgärder syftande till att kontrollera användningen av
14 Jfr prop. 2014/15:26 s. 24 f.
egendo m.15Förslaget om tillfälligt omhändertagande av handlingar och annan egendom ska alltså prövas mot bestämmelsen i artikel 1 andra stycket och är i enlighet med konventionens bestämmelser om åtgärden bedöms nödvändig i det allmännas intresse. Därutöver krävs att åtgärden är proportionerlig. Om det inte finns en rimlig balans mellan det allmänna intresset och den enskilde ägarens intresse strider en inskränkning av rätten att utnyttja egendom mot artikel 1. När det gäller inskränkningar i rätten att använda egendom har emellertid Europadomstolen anlagt ett för den enskilde relativt strängt synsätt och funnit att även ganska tyngande begränsningar av ägarens rättigheter har kunnat accepteras i det allmännas intresse. Staterna har alltså tillerkänts ett relativt stort utrymme för att bedöma vilka inskränkningar som ter sig rimliga med hänsyn till allmänna intress en.16
Som utvecklats ovan bedöms de åtgärder som vi föreslår vara nödvändiga för att skydda Sveriges säkerhet, och skyddet för Sveriges säkerhet är ett synnerligen tungt vägande allmänt intresse som alltså kan motivera inskränkningar av egendomsskyddet enligt Europakonventionen. Eftersom det rör sig om tillfälligt omhändertagande av egendom i avvaktan på att den aktuella aktören vidtar de åtgärder som följer av ett föreläggande eller förbud som tillsynsmyndigheten har meddelat med stöd av säkerhetsskyddslagen, måste förslaget anses vara proportionerligt.
Det kan inte uteslutas att användandet av de tvångsåtgärder som vi föreslår också skulle kunna innebära inskränkningar i den grundlagsskyddade näringsfriheten, som kommer till uttryck i 2 kap. 17 § regeringsformen. Även denna rättighet kan inskränkas när det krävs för att tillgodose angelägna allmänna intressen, såsom skyddet för Sveriges säkerhet.
Sammantaget är vår bedömning att våra förslag är förenliga med skyddet för äganderätten och näringsfriheten.
15 Se t.ex. Handyside mot Förenade kungariket (no. 5493/72), dom den 7 december 1976 och
Yildirim mot Italien (no. 38602/02), dom den 10 april 2003.
16 H. Danelius m.fl., Mänskliga rättigheter i europeisk praxis, En kommentar till Europakonven-
tionen om de mänskliga rättigheterna (2023, version 6, JUNO), s. 722.
7. En mer ändamålsenlig och effektiv registerkontroll
7.1. Vårt uppdrag
7.1.1. Uppdraget och bakgrunden till detta
Den som genom en anställning eller på något annat sätt ska delta i en säkerhetskänslig verksamhet ska genomgå en säkerhetsprövning. Säkerhetsprövningen innefattar olika moment, däribland – i vissa fall – en registerkontroll. Med registerkontroll avses att uppgifter om den säkerhetsprövade personen, och ibland även dennes närstående, hämtas från bl.a. misstanke- och belastningsregistret. I våra direktiv beskrivs registerkontrollen som ett viktigt verktyg vid bedömningen av om en person kan antas vara lojal och pålitlig från säkerhetssynpunkt. Det konstateras emellertid också att systemet med registerkontroller i vissa sammanhang har kritiserats för bristande effektivitet eftersom vissa uppgifter som kan ha stor betydelse för säkerhetsprövningen inte kan hämtas in med dagens system. Som exempel på sådana uppgifter nämns uppgifter om avsaknad av uppehållstillstånd samt uppgifter som behandlas hos Tullverket och Skatteverket. Vi har därför fått i uppdrag att göra en översyn av dagens registerkontroll samt överväga om registerkontrollen ska omfatta fler eller andra register än de som ingår i dag. Av direktiven framgår vidare att vi vid våra överväganden särskilt ska beakta skyddet för enskildas personliga integritet och ledtiderna för registerkontroller.
7.1.2. Avgränsningar
Vårt uppdrag tar sikte på den registerkontroll som görs inom ramen för säkerhetsprövning enligt 3 kap. säkerhetsskyddslagen (2018:585), och som rör säkerhetsprövning av personer som ska delta i säkerhetskänslig verksamhet. Säkerhetsprövning av personer som ska delta i säkerhetskänslig verksamhet kan innefatta flera olika moment; grundutredning, registerkontroll och särskild personutredning. Vårt huvuduppdrag omfattar endast registerkontrollen (närmare bestämt frågan om vilka uppgifter som ska få hämtas vid registerkontroll). Vi har emellertid även getts möjlighet att lämna förslag som rör närliggande frågor.
Under arbetet med utredningen har det blivit tydligt att det finns ett behov av att se över hela säkerhetsprövningsförfarandet, de olika moment som omfattas och hur de olika momenten förhåller sig till varandra (vi återkommer till detta i avsnitt 7.4.3). En sådan översyn har emellertid inte ingått i vårt uppdrag. Därtill kommer att en annan en annan utredning (Utredningen om en förbättrad process för säkerhetsprövningar, Ju 2023:11), parallellt med vårt uppdrag har gjort en översyn av grundutredningen .1Med undantag för förslagen om anmälningsskyldighet gällande vissa säkerhetsprövningsbeslut (se avsnitt 7.8) och vissa följdändringar i bestämmelserna om särskild personutredning (se avsnitt 7.9), tar våra förslag därmed enbart sikte på registerkontrollen och frågan om vilka uppgifter som ska omfattas av denna.
I kapitlet behandlas de rättsliga förutsättningarna för att de uppgifter som våra förslag tar sikte på ska kunna behandlas vid registerkontroll och vid den efterföljande säkerhetsprövningen. Under arbetets gång har vissa frågor uppkommit om hur uppgifter ska få hämtas av Säkerhetspolisen (närmare bestämt om Säkerhetspolisen ska ges möjlighet att hämta uppgifterna genom direktåtkomst) och vilka tekniska lösningar som en utvidgad registerkontroll förutsätter. Nämnda frågor har legat utanför vårt huvudsakliga uppdrag och vi har inte haft möjlighet att, inom ramen för den utredningstid och de resurser som stått till vårt förfogande, utreda frågorna närmare. Betänkandet innehåller därför inte några närmare överväganden eller förslag i fråga om hur uppgifter ska få hämtas, utan enbart
1 Dir. 2023:19 och dir. 2024:67. Utredningen lämnade över sitt betänkande Säkerhetsprövningar
– nya regler (SOU 2024:88) till regeringen i december 2024.
redogörelser för gällande rätt (dvs. på vilket sätt Säkerhetspolisen får ges tillgång till uppgifterna i dag).
Eftersom det inte är möjligt att bedöma de ekonomiska konsekvenserna av våra förslag utan att först klarlägga på vilket sätt uppgifterna ska få hämtas och vilka tekniska lösningar som krävs (se av snitt 9.5), bedömer vi att nämnda frågor måste utredas i lämplig ordning i samband med den fortsatta beredningen av vårt betänkande.
7.1.3. Disposition
Avsnitt 7.2 och 7.3 innehåller redogörelser för relevant reglering och är tänkt att tjäna som bakgrund till våra överväganden. I avsnitt 7.2 redogör vi för säkerhetsprövningsförfarandet och de olika moment som ingår i säkerhetsprövningen, däribland registerkontrollen. Avsnitt 7.3 handlar om skyddet för den personliga integriteten och informationsutbytet mellan myndigheter. I avsnittet redogör vi för relevanta delar av dataskyddslagstiftningen och vissa sekretessbestämmelser. Vi redogör också för hur bestämmelser om sekretess och dataskyddsregleringen påverkar möjligheterna för myndigheter att utbyta information.
Avsnitt 7.4 innehåller vissa allmänna överväganden som våra förslag tar avstamp i. Övervägandena rör behovet av lagändringar och vilka uppgiftstyper som vi bedömer är av betydelse för säkerhetsprövningen och som därför, om möjligt, bör kontrolleras inom ramen för registerkontrollen. Avsnittet innehåller också en redogörelse för de behov som Säkerhetspolisen har identifierat samt de förslag gällande registerkontrollens utformning och innehåll som myndigheten har framfört till oss, och vår syn på förslagen.
Våra förslag och övriga överväganden återfinns i avsnitt 7.5–7.9. I avsnitt 7.10 redogör vi för vissa följdändringar som kan behöva göras med anledning av våra förslag. I avsnitt 7.11 analyserar vi hur våra förslag förhåller sig till skyddet för den personliga integriteten.
7.2. Säkerhetsprövningen
7.2.1. Allmänt om säkerhetsprövningen
Vi har i avsnitt 3.4 översiktligt redogjort för de tre huvudkategorierna av säkerhetsskyddsåtgärder som finns i säkerhetsskyddslagen. En av dessa är personalsäkerhet. Personalsäkerhet ska, enligt 2 kap. 4 § säkerhetsskyddslagen, förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och säkerställa att de personer som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd. Personalsäkerhet uppnås i första hand genom säkerhetsprövning av personer som ska delta i säkerhetskänslig verksamhet.
Av 3 kap. 1 § säkerhetsskyddslagen följer att den som genom anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas .2Säkerhetsprövningen ska, enligt 3 kap. 3 § säkerhetsskyddslagen, göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och ska innefatta en grundutredning, samt i vissa fall en registerkontroll och en särskild personutredning. Om det finns särskilda skäl får säkerhetsprövningen emellertid göras mindre omfattande.
Genom bestämmelsen i 2 kap. 1 § fjärde stycket säkerhetsskyddslagen uppställs krav på att säkerhetsskyddet ska vara proportionerligt och att åtgärderna ska vägas mot andra motstående intressen. Bestämmelsen innebär bl.a. att säkerhetsprövning, som till sin natur är integritetskänslig, inte får genomföras för säkerhets skull utan endast när det finns ett tydligt behov av en sådan åtgärd.
Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt. Vid prövningen ska sådana omständigheter beaktas som kan antas innebära sårbarheter i säkerhetshänseende. (Se 3 kap. 2 § säkerhetsskyddslagen.) Av förarbetena till säkerhetsskyddslagen framgår att säkerhetsprövning ytterst handlar om att bedöma om en person har tillräckliga förutsättningar och personlig lämplighet att genom anställning eller på annat sätt delta i säkerhetskänslig verksamhet. Det är fråga om en
2 Av samma bestämmelse följer att kravet inte gäller för vissa typer av uppdrag, bl.a. uppdrag som statsråd, ledamot av riksdagen eller offentlig försvarare.
bedömning som görs utifrån ett riskreduceringsperspektiv, dvs. i syfte att undvika risker i den säkerhetskänsliga verksamheten som inte kan accepteras. I förarbetena framhålls att det bör göras en helhetsbedömning som baseras på ett allsidigt underlag och som på ett tydligt sätt relateras till den aktuella verksamheten och anställningen .3
Med lojalitetsprövningen avses i första hand en bedömning av om det t.ex. på grund av bindningar med en främmande makt eller en terroristorganisation finns en risk att personen begår brottsliga handlingar. Pålitlighetsbedömningen handlar om personliga egenskaper som visar om det går att lita på personen. Prövningen i denna del ska inte bara innefatta en bedömning av om det finns en risk för att personen i fråga kan göra sig skyldig till exempelvis spioneri, utan också av risken för att personen kan bli utsatt för olika påtryckningar eller genom slarv eller på något annat oavsiktligt sätt röjer säkerhetsskyddsklassificerade uppgifter .4
Säkerhetsprövningen syftar också till att hitta eventuella sårbarheter hos personen i fråga och göra en bedömning av om dessa kan accepteras eller inte. Vanligt förekommande sårbarheter är ekonomiska trångmål, drog- eller alkoholmissbruk, behov av att hemlighålla personliga förhållanden, personlighetssyndrom av narcissistisk eller antisocial form, koppling till organiserad brottslighet eller länder som utgör ett säkerhetshot mot Sverige, samt bristande kunskap om säkerhetsskydd .5
Säkerhetsprövningen ska ses som en process som ska pågå under hela den tid som en person har sin anställning eller sitt uppdrag och ska följas upp fortlöpande så länge deltagandet i verksamheten pågår (3 kap. 3 § andra stycket säkerhetsskyddslagen). Under anställningstiden handlar det om att skaffa sig en fördjupad personkännedom genom t.ex. regelbundna kontakter och uppföljningssamtal för att kunna fånga upp upplevt missnöje med arbetssituationen, kontaktförsök från främmande makt och liknande förhållanden som kan påverka risk och mottaglighet för utpressning, eller omständigheter som tyder på att personen är i riskzonen för olika former av missbruk. Vid uppföljning av säkerhetsprövningen finns det anledning att lägga särskild vikt vid tillfällen som innebär större förändringar av arbetsuppgifterna och vid den avslutande fasen av anställningen.
3Prop. 2017/18:89 s. 79. 4 A.a. s. 79. 5 Säkerhetspolisens vägledning i säkerhetsskydd, Personalsäkerhet, version januari 2023, s. 10.
Uppföljningsansvaret innebär även att det ska ske en kontinuerlig bevakning av uppgifter som tillförs de register som är aktuella vid registerkontroll .6
Säkerhetsprövningen, dvs. själva bedömningen, ska enligt 3 kap. 4 § första stycket säkerhetsskyddslagen utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt. Av andra stycket i nämnda bestämmelse framgår att bedömningen som utgångspunkt görs av den som beslutar om anställningen eller deltagandet i den säkerhetskänsliga verksamheten, i regel verksamhetsutövaren. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen (3 kap. 4 § tredje stycket säkerhetsskyddslagen). Vissa specialbestämmelser gällande ansvaret för säkerhetsprövningen finns också i 3 kap. 4 a– d §§ säkerhetsskyddslagen. Exempelvis har Försvarsmakten ansvar för bedömningen när det gäller totalförsvarspliktiga som skrivs in för värnplikt.
7.2.2. Placering i säkerhetsklass
Säkerhetsprövningen kan, som nämnts ovan, innefatta tre olika moment; grundutredning, registerkontroll och särskild personutredning. Registerkontroll och särskild personutredning ska dock som utgångspunkt bara göras om tjänsten är placerad i säkerhetsklass. Omfattningen av registerkontrollen och personutredningen styrs också av vilken säkerhetsklass den aktuella befattningen är placerad i. Nedan följer därför en översiktlig redogörelse för de bestämmelser som rör placering av anställning eller annat deltagande i säkerhetsklass.
De olika säkerhetsklasserna
Med utgångspunkt i säkerhetsskyddsanalyse n7ska den som bedriver säkerhetskänslig verksamhet planera och vidta de säkerhetsskyddsåtgärder som behövs. Däri ingår bl.a. att inventera, och i vissa fall även beslut om, vilka anställningar eller annat deltagande som ska placeras i säkerhetsklass. Av 3 kap. 5 § säkerhetsskyddslagen följer att en anställning eller något annat deltagande i säkerhetskänslig verksamhet ska placeras i säkerhetsklass i den utsträckning som följer av bestämmelserna i 6–10 §§ samma kapitel.
Det finns tre säkerhetsklasser i säkerhetsskyddslagen. För säker-
hetsklass 1 gäller att en anställd eller den som på annat sätt deltar i
säkerhetskänslig verksamhet i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen kvalificerat hemlig, eller till följd av sitt deltagande i verksamheten har möjlighet att orsaka synnerligen allvarlig skada för Sveriges säkerhet (6 §).
För säkerhetsklass 2 gäller att en anställd eller den som på annat sätt deltar i säkerhetskänslig verksamhet i en omfattning som inte är ringa får del av uppgifter i säkerhetsskyddsklassen hemlig, i ringa omfattning får del av uppgifter i säkerhetsklassen kvalificerat hemlig, eller till följd av sitt deltagande i verksamheten har möjlighet att orsaka allvarlig skada för Sveriges säkerhet (7 §).
Slutligen gäller för säkerhetsklass 3 att en anställd eller den som på annat sätt deltar i säkerhetskänslig verksamhet får del av uppgifter i säkerhetsskyddsklassen konfidentiell, i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller till följd av sitt deltagande i verksamheten har möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet (8 §).
Beslut om placering i säkerhetsklass
I 3 kap. 12 § säkerhetsskyddslagen finns den grundläggande regleringen om vem som beslutar om placering av befattningar i säkerhetsklass. Bestämmelsen innebär att regeringen, med undantag för riksdagens förvaltningsområde, ytterst har beslutanderätten men kan överlåta den åt myndigheter, kommuner och regioner och – om det finns särskilda skäl – enskilda verksamheter. Regeringens föreskrifter
7 Med säkerhetsskyddsanalys avses den utredning av behovet av säkerhetsskydd som verksamhetsutövare ska göra (se 2 kap. 1 § första stycket säkerhetsskyddslagen).
om beslutanderätt avseende placering i säkerhetsklass finns i 5 kap.7–10 §§säkerhetsskyddsförordningen (2021:955) och bilagan till förordningen.
I 3 kap. 10 § säkerhetsskyddslagen finns ett krav på restriktivitet vid placering i säkerhetsklass. En anställning eller något annat deltagande får, enligt nämnda bestämmelse, bara placeras i säkerhetsklass om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Placering i säkerhetsklass medför som utgångspunkt en mer omfattande säkerhetsprövning och inhämtande av fler integritetskänsliga uppgifter om den enskilde. Det är därför viktigt att placering av befattningar i säkerhetsklass inte sker slentrianmässigt, utan bara när det verkligen är nödvändigt. Bestämmelsen innebär att det alltid ska övervägas om verksamheten är organiserad på ett optimalt sätt utifrån skyddsbehovet och om alternativa säkerhetsskyddsåtgärder i stället kan användas. Det kan t.ex. handla om informationssäkerhetsåtgärder för att minska tillgången till uppgifte r.8
7.2.3. Säkerhetsprövningens olika delar
Grundutredningen
Med grundutredning avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Grundutredningen genomförs av verksamhetsutövaren och ska omfatta en säkerhetsprövningsintervju, inhämtning och bedömning av betyg, intyg, referenser och övriga uppgifter som är av relevans. Vid behov ska även en identitetskontroll göras. Vad som i det enskilda fallet krävs i fråga om underlag och bedömning behöver i hög grad anpassas till vilken form av deltagande som det är fråga om. (Se 5 kap. 2 § säkerhetsskyddsförordningen och 6 kap. 4 § Säkerhetspolisens föreskrifter om säkerhetsskydd [PMFS 2022:1]).
Grundutredningen är av stor vikt för säkerhetsprövningen. För att en persons lämplighet, pålitlighet och sårbarheter ska kunna bedömas krävs ett tillräckligt underlag. Merparten av detta underlag inhämtas inom ramen för grundutredningen. Grundutredningen spelar också en viktig roll för att skapa tillräcklig personkännedom, vilket anses vara en av hörnstenarna i säkerhetsprövningen. En noggrant genomförd grundutredning är också en förutsättning för att
kunna värdera de uppgifter som kan komma att lämnas ut efter registerkontroll eller särskild personutredning.
Vid den intervju som ska göras inom ramen för grundutredningen, den s.k. säkerhetsprövningsintervjun, ska lojalitet, pålitlighet och sårbarhet bedömas (jfr 3 kap. 2 § säkerhetsskyddslagen). Säkerhetspolisen har i myndighetens vägledning i säkerhetsskydd gett exempel på frågeområden som kan behöva beröras under säkerhetsprövningsintervjun. Frågorna omfattar stora delar av den enskildes liv och kan uppfattas som integritetskänsliga. Det kan t.ex. handla om utbildning och tidigare anställningar, ekonomiska förhållanden, familj och närstående, brottslig belastning samt kopplingar till utlandet. Utöver en säkerhetsprövningsintervju och referensintagning, kan grundutredningen också bestå i att hämta in information om personen från öppna källor, t.ex. att söka efter information på internet .9
Om verksamhetsutövaren efter grundutredningen gör bedömningen att den prövade är pålitlig från säkerhetssynpunkt ska en registerkontroll genomföras, förutsatt att befattningen är placerad i säkerhetsklass (3 kap. 14 § första stycket säkerhetsskyddslagen).
Registerkontrollen
Registerkontroll ska göras om anställningen eller deltagandet i den säkerhetskänsliga verksamheten har placerats i säkerhetsklass. Om det finns särskilda skäl får emellertid, enligt 3 kap. 15 § säkerhetsskyddslagen, registerkontroll också göras av någon som ska delta i säkerhetskänslig verksamhet utan föregående placering i säkerhetsklass. Bestämmelsen möjliggör registerkontroll för deltaganden i verksamhet av tillfällig karaktär i samband med statsbesök, vissa internationella konferenser och liknande. Regeringen beslutar om sådan registerkontroll. I vissa fall har emellertid även Säkerhetspolisen beslutanderätt. (Se 5 kap. 12 § säkerhetsskyddsförordningen.)
Med registerkontroll avses, enligt 3 kap. 13 § säkerhetsskyddslagen att uppgifter hämtas från belastningsregistret och misstankeregistret, samt att uppgifter som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, härefter polisens brottsdatalag, och med
9 Säkerhetspolisens vägledning i säkerhetsskydd, Personalsäkerhet, version januari 2023, s. 15, 18 och 19.
stöd av lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, härefter Säkerhetspolisens datalag, hämtas.
Vilken omfattning kontrollen har varierar beroende på vilken säkerhetsklass som befattningen är placerad i. I vissa fall får även uppgifter om den kontrollerades närstående hämtas.
Registerkontrollen pågår genom en löpande uppföljning av tillkommande uppgifter (s.k. spontanutfall) under hela tiden som deltagandet i den säkerhetskänsliga verksamheten pågår. När anställningen eller deltagandet som föranlett placeringen i säkerhetsklass upphör, eller vid omplacering till en annan säkerhetsklass, ska verksamhetsutövaren skyndsamt anmäla det till Säkerhetspolisen så att registerkontrollen kan avslutas eller anpassas till den lägre säkerhetsklassen (5 kap. 20 § säkerhetsskyddsförordningen).
Registerkontrollen utförs av Säkerhetspolisen. Om uppgifter
som kan antas vara av betydelse för säkerhetsprövningen framkommer
föredras aktuella uppgifter för Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden. Registerkontrolldelegationen beslutar därefter om uppgifterna ska lämnas ut eller inte. En uppgift som har kommit fram vid en registerkontroll (eller särskild personutredning, se nedan) får lämnas ut för säkerhetsprövning endast om uppgiften i det enskilda fallet kan antas ha betydelse för prövningen. För att en uppgift som gäller den kontrollerades make eller sambo ska lämnas ut krävs därutöver att utlämnandet är absolut nödvändigt. Detta regleras i 3 kap. 19 § säkerhetsskyddslagen och 5 kap. 18 § säkerhetsskyddsförordningen.
Innan Registerkontrolldelegation fattar beslut om att lämna ut uppgiften ska, med vissa undantag, den som uppgiften gäller ha fått tillfälle att yttra sig över uppgiften (3 kap. 20 § säkerhetsskyddslagen). Om uppgifter lämnas ut blir dessa en del av underlaget vid själva säkerhetsprövningen. I de fall det inte framkommer några uppgifter, eller uppgifterna bedöms vara av ringa betydelse, fattar Säkerhetspolisen beslut om att det inte finns några uppgifter att redovisa.
Registerkontroll får bara göras om den som säkerhetsprövningen gäller har lämnat sitt samtycke (3 kap. 18 § säkerhetsskyddslagen). I 3 kap. 18 a § säkerhetsskyddslagen finns emellertid ett undantag från kravet på samtycke för totalförsvarspliktiga som skrivs in för värnplikt eller som har krigsplacerats efter avslutad grundutbildning med värnplikt. Undantaget gäller endast för sådan registerkontroll
som ska göras för placering i säkerhetsklass 3. Det uppställs inte något krav på samtycke för kontroll av närstående till den prövade.
Den särskilda personutredningen
En särskild personutredning ska göras vid en registerkontroll som avser deltagande som placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs. (Se 3 kap. 17 § säkerhetsskyddslagen.) Den särskilda personutredningen kan bl.a. omfatta en kontroll av uppgivna personliga data och, om det finns anledning till det, samtal med referenser .10I vissa fall ska även ett personligt samtal hållas med den som prövas (5 kap. 17 § säkerhetsskyddsförordningen).
Enligt 5 kap. 16 § säkerhetsskyddsförordningen gör Säkerhetspolisen den särskilda personutredningen.
Särskild personutredning får bara göras om den som säkerhetsprövningen gäller har lämnat sitt samtycke (3 kap. 18 § säkerhetsskyddslagen).
Kort om förslagen från Utredningen om en förbättrad process för säkerhetsprövningar
I december 2024 överlämnade Utredningen om en förbättrad process för säkerhetsprövningar betänkandet Säkerhetsprövningar – nya
bestämmelser (SOU 2024:88) till regeringen. Utredningen, som
haft i uppdrag att se över och föreslå förändringar av processen för säkerhetsprövningar, har bl.a. lämnat förslag om ändringar i 3 kap. säkerhetsskyddslagen. Förslagen innebär att det ska införas bestämmelser om vad som avses med begreppet grundutredning och vilka personliga förhållanden som normalt bör omfattas av en sådan utredning, samt bestämmelser som förtydligar att det vid säkerhetsprövning ska göras en samlad bedömning av om den prövade kan anses lämplig från säkerhetssynpunkt att delta i den säkerhetskänsliga verksamheten och vad bedömningen ska innefatta. Utredningen har vidare lämnat förslag om att det ska införas krav på den som fattar och meddelar säkerhetsprövningsbeslut att dokumentera resultatet
10 Jfr prop. 1995/96:129 s. 49.
av säkerhetsprövningen i ett skriftligt beslut och att besluten, i de fall då den prövade inte blir godkänd vid säkerhetsprövningen, som utgångspunkt ska motiveras. Utredningen har också lämnat förslag om att arbetstagare, anställd hos verksamhetsutövaren eller hos en aktör som har ett säkerhetsskyddsavtal med en verksamhetsutövare, ska kunna överklaga beslut som innebär att arbetstagaren inte blivit godkänd för deltagande i säkerhetskänslig verksamhet hos verksamhetsutövaren.
7.2.4. Närmare om registerkontrollen
Vilka uppgifter som får hämtas vid en registerkontroll beror, som nämnts ovan, på vilken säkerhetsklass som tjänsten är placerad i (jfr 3 kap. 14 § andra och tredje stycket säkerhetsskyddslagen). Om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass 1 eller 2 uppställs inga begränsningar gällande vilka uppgifter som får hämtas om den prövade. Detta innebär att uppgifter får hämtas från belastningsregistret och misstankeregistret, samt att uppgifter som behandlas med stöd av polisens brottsdatalag och Säkerhetspolisens datalag får hämtas. Om den prövade är gift eller sambo får motsvarande uppgifter även hämtas om maken, makan eller sambon.
När det gäller säkerhetsklass 3 får sådana uppgifter om den prövade som finns i belastningsregistret och misstankeregistret, samt uppgifter som behandlas med stöd av Säkerhetspolisens datalag hämtas. Till skillnad från kontrollen för säkerhetsklass 1 och 2 får emellertid uppgifter som behandlas med stöd av polisens brottsdatalag bara hämtas i den utsträckning som dessa behandlas hos
Säkerhetspolisen. Uppgifter som Polismyndigheten behandlar med
stöd av myndighetens brottsdatalag ingår således inte vid registerkontroll för säkerhetsklass 3. Vid registerkontroll för säkerhetsklass 3 får inte heller uppgifter om den prövades make, maka eller sambo hämtas.
Av 3 kap. 14 § fjärde stycket säkerhetsskyddslagen följer att även andra uppgifter får inhämtas för samtliga säkerhetsklasser om det finns synnerliga skäl. Bestämmelsen möjliggör slagningar även i andra register och inhämtande av uppgifter om andra anhöriga än make, maka eller sambo. De synnerliga skälen ska vara grundade på om-
ständigheter i ett enskilt fall. Det är enligt förarbetena till bestämmelsen inte möjligt att ge bestämmelsen en generell tillämpning så att den används vid en speciell typ av ärenden .11
Registerkontroll utan föregående placering i säkerhetsklass, enligt 3 kap. 15 § säkerhetsskyddslagen, får omfatta samma uppgifter som registerkontrollen för säkerhetsklass 3.
Nedan följer en närmare beskrivning av vilka uppgifter som omfattas av registerkontrollen i dag.
Misstankeregistret
Misstankeregistret innehåller uppgifter om den som har fyllt 15 år och som enligt förundersökningsledaren är skäligen misstänkt antingen för något brott mot brottsbalken, för något annat brott för vilket svårare straff än böter är föreskrivet, eller för ett motsvarande brott utomlands om frågan om lagföring för brottet ska avgöras i Sverige. Registret innehåller också uppgift om den mot vilken det har inletts talan om förvandling av böter och om den som har begärts överlämnad eller utlämnad för brott. (Se 3 § lagen [1998:621] om misstankeregister.)
Belastningsregistret
I belastningsregistret registreras uppgifter om den som genom dom, beslut, strafföreläggande eller föreläggande av ordningsbot har ålagts påföljd för brott. Registret innehåller därutöver bl.a. uppgift om den som ålagts förvandlingsstraff för böter, den som med tillämning av 30 kap. 6 § brottsbalken har förklarats fri från påföljd samt den som meddelats åtalsunderlåtelse. Registret innehåller vidare uppgift om den som har meddelats kontaktförbud, vissa tillträdesförbud vid idrottsarrangemang och till butiker, förbud enligt 3 kap. 5 § lagen (2015:642) om europeisk skyddsorder, samt vistelseförbud. (Se 3 § lagen [1998:620] om belastningsregister.) Även vissa uppgifter om den som är dömd i utlandet registreras. Av 4 § lagen om belastningsregister framgår bl.a. att uppgifter om den som avses med dom eller ett beslut som meddelats i utlandet ska föras in i registret, om uppgiften motsvarar vad som sägs i 3 §
och kommer från en myndighet i en stat som tillhör Interpol, från denna organisation eller från Europol och avser en svensk medborgare eller någon som har hemvist i Sverige. Vidare ska, enligt 4 a § lagen om belastningsregister, uppgifter om den som avses med dom eller ett beslut som har meddelats i en annan medlemsstat inom EU föras in i registret om uppgifterna har överförts till Sverige med stöd av artikel 4.2 i rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll.
Uppgifter som behandlas med stöd av polisens brottsdatalag
Hänvisningen i 3 kap.13 och 14 §§säkerhetsskyddslagen till uppgifter som behandlas med stöd av polisens brottsdatalag innebär att alla uppgifter som behandlas med stöd av de rättsliga grunderna i den lagen kan hämtas in. Det handlar främst om personuppgifter som behandlas av Polismyndigheten i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa uppbörd eller upprätthålla allmän ordning och säkerhet. Det kan även handla om uppgifter som behandlas av Säkerhetspolisen i frågor som inte rör nationell säkerhet, om uppgifterna behandlas i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott.
Uppgifter som behandlas med stöd av Säkerhetspolisens datalag
Hänvisningen i 3 kap.13 och 14 §§säkerhetsskyddslagen till uppgifter som behandlas med stöd av Säkerhetspolisens datalag innebär att uppgifter som behandlas med stöd av den lagen kan hämtas in. Lagen gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. Det kan handla om uppgifter som behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott mot Sveriges säkerhet, uppgifter som behövs för att utreda eller lagföra sådana brott eller uppgifter som behövs inom andra delar av Säkerhetspolisens uppdrag. Lagen tillämpas även av Polismyndigheten när myndigheten har övertagit en arbetsuppgift som rör nationell säkerhet från Säkerhetspolisen.
7.3. Skyddet för den personliga integriteten och informationsutbytet mellan myndigheter
7.3.1. Inledning
Den registerkontroll som utförs inom ramen för säkerhetsprövning av personer som ska delta i säkerhetskänslig verksamhet innebär att uppgifter om den prövade hämtas av Säkerhetspolisen. Därefter kontrolleras uppgifterna av Säkerhetspolisen, och i vissa fall även av Registerkontrolldelegationen. I vissa fall lämnas uppgifterna också vidare till den aktör som ansvarar för säkerhetsprövningen. Informationen som behandlas vid registerkontroll utgörs av personuppgifter, dvs. upplysningar som avser en identifierad eller identifierbar fysisk person. Insamlande och utlämnande av sådana uppgifter är exempel på åtgärder som utgör behandling av personuppgifter. Personuppgiftsbehandling innebär ett intrång i den personliga integriteten och det finns därför ett flertal regelverk som måste följas vid sådan behandling. Grunden till integritetsskyddet finns i olika internationella rättsakter (t.ex. den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, Europakonventionen, och Europeiska unionens stadga om de grundläggande rättigheterna, EU-stadgan) och i regeringsformen. En redogörelse för de grundläggande fri- och rättigheter som våra förslag aktualiserar finns i kapitel 3. Den personliga integriteten skyddas emellertid också bl.a. genom dataskyddslagstiftningen och olika bestämmelser om sekretess. Nedan följer därför en översiktlig redogörelse för relevanta delar av dataskyddsregleringen och vissa sekretessbestämmelser. Eftersom våra förslag innebär att Säkerhetspolisen vid registerkontroll ska få hämta uppgifter från fler och andra myndigheter än vad som sker i dag, innehåller avsnittet också en översiktlig redogörelse för hur dataskyddsregleringen och bestämmelser om sekretess påverkar möjligheterna för myndigheter att utbyta information.
7.3.2. Dataskyddslagstiftningen
Inledning
Det finns flera svenska lagar och förordningar på dataskyddsområdet som har kommit till för att skydda enskilda medborgares personliga integritet. Regelverken har i huvudsak sin grund i EU:s dataskyddsreform som började tillämpas i maj 2018. Reformen består av två delar. Dels en förordning med allmänna regler om skydd av personuppgifter (Europaparlamentets och rådets förordning, EU, 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Nedan används förkortningen dataskyddsförordningen. Dels ett direktiv med regler om skydd av personuppgifter som behandlas i samband med brottsbekämpning (Europaparlamentets och rådets direktiv, EU, 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan kallat dataskyddsdirektivet).
Dataskyddsförordningen och dataskyddslagen
Allmänt om dataskyddsförordningen
Dataskyddsförordningen har två syften; dels att skydda fysiska personers grundläggande fri-och rättigheter (särskilt deras rätt till skydd vid behandling av personuppgifter), dels att säkerställa ett fritt flöde av personuppgifter inom unionen. Förordningen reglerar bl.a. grundläggande principer för behandling av personuppgifter, den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling och rätten för enskilda att få tillgång till rättsmedel och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Dataskyddsförordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Från dataskydds-
förordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken (artikel 2.2, jfr dock nedan angående dataskyddslagen och den utsträckta tillämpningen i svensk rätt).
Vidare gäller dataskyddsförordningen inte för sådan behandling av personuppgifter som omfattas av dataskyddsdirektivets tillämpningsområde (se nedan).
Personuppgiftsansvar
Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan emellertid den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Personuppgiftsansvar är ett centralt begrepp i den allmänna dataskyddsregleringen och den som är personuppgiftsansvarig åläggs en stor mängd skyldigheter. Enligt artikel 5.2 är det t.ex. den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna som gäller för all behandling efterlevs. Bestämmelsen ger uttryck för principen om ansvarsskyldighet, som är genomgående i hela förordningen.
Grundläggande principer och rättslig grund
För all behandling av personuppgifter enligt dataskyddsförordningen gäller ett antal grundläggande principer som måste följas. Principerna, som framgår av artikel 5.1, är följande:
- Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
- Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning, även kallat finalitetsprincipen). Undantag gäller om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på rättslig reglering som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, t.ex. den nationella säkerheten (artiklarna 5.1 b och 6.4 samt skäl 50 andra stycket).
- Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
- Uppgifterna ska vara riktiga och om nödvändigt uppdaterade.
Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).
- Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
- Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Av artikel 6 i dataskyddsförordningen framgår det grundläggande kravet att det ska finnas en giltig rättslig grund för varje behandling av personuppgifter. Artikeln innehåller en uppräkning av olika typer av rättsliga grunder som personuppgiftsbehandlingen kan stödja sig på. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte utföras. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling. Exempel på rättsliga grunder är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1. c), t.ex. en uppgiftsskyldighet, eller för att
utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).
Av artikel 6.3 första stycket följer att den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet måste fastställas i unionsrätten eller i nationell rätt. Av andra stycket i samma artikel framgår att syftet med behandlingen, i fråga om behandling som grundar sig på en rättslig förpliktelse, ska framgå av förpliktelsen. Vad gäller behandling som sker i myndighetsutövning och för att utföra uppgifter av allmänt intresse anges i stället att syftet med behandlingen ska vara nödvändigt för att utföra uppgiften eller myndighetsutövningen. Av artikel 6.3 följer också att unionsrätten eller medlemsstaternas nationella rätt som utgör den rättsliga grunden ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsebar för dem som omfattas av den. Graden av tydlighet och precision måste, enligt regeringen, bedömas från fall till fall utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen, medan ett mer kännbart intrång kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart .12
Artikel 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas för att behandlingen ska vara laglig.
De grundläggande principerna och kravet på rättslig grund innebär i praktiken att myndigheter inte får behandla fler eller andra personuppgifter än vad som behövs för att utföra sin författningsreglerade verksamhet.
Känsliga personuppgifter och uppgifter om fällande domar m.m.
Behandling av vissa särskilda kategorier av personuppgifter är som huvudregel förbjuden. Det rör sig om uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över-
tygelse eller medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1). Från huvudregeln att dessa särskilda kategorier av personuppgifter inte får behandlas finns dock flera undantag (artikel 9.2). Sådan behandling är bl.a. tillåten om den är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Artikel 10 i dataskyddsförordningen anger att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast får utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Enligt EU-domstolen avser de uppgifter som det hänvisas till i artikel 10 beteenden som samhället tar avstånd ifrån, och ett beviljande av tillgång till sådana uppgifter kan stigmatisera den berörda personen och utgör därmed ett allvarligt ingrepp i hans eller hennes privatliv eller yrkesliv .13
Integritetsskyddsmyndigheten har i ett rättsligt ställningstagande angett hur myndigheten ser på omfattningen av ”personuppgifter som rör lagöverträdelser som innefattar brott”. I ställningstagandet anger myndigheten bl.a. att t.ex. uppgifter om att en person är eller har varit föremål för en polisanmälan, en förundersökning, ett åtal eller rättegång i ett brottmål omfattas av skyddet i artikel 10. Även friande domar i brottmål omfattas av begreppet brottsuppgifter. Vad gäller uppgifter om att en fysisk person har eller kan ha begått ett visst brott, dvs. brottsmisstankar, anser myndigheten att dessa kan utgöra brottsuppgifter, även om något rättsligt förfarande inte har inletts. För detta krävs enligt myndigheten normalt att uppgifterna har en viss konkretionsgrad. En tillräcklig konkretionsgrad har nåtts om uppgifterna avser ett visst brott eller en viss brottskategori .14
13 Dom den 22 juni 2021 i mål nr C-439-19, Latvijas Republikas Saeima, under rubriken Den första frågan. 14 Se IMYRS 2021:1.
Dataskyddslagen och sektorsspecifik kompletterande reglering
Dataskyddsförordningen är direkt tillämplig i alla EU:s medlemsstater men förutsätter och möjliggör samtidigt kompletterande nationella bestämmelser. Principen om unionsrättens företräde innebär dock att bestämmelser på nationell nivå måste vara förenliga med förordningen och artikel 7 och 8 i EU-stadgan.
I Sverige har generella kompletterande bestämmelser samlats i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, i det följande dataskyddslagen, och den tillhörande förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen och dataskyddslagen gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säkerhet. Det gäller dock, enligt 1 kap. 3 § dataskyddslagen, inte verksamhet som omfattas av lagen (2021:1171) om behandling av personuppgifter vid Försvarsmakten (härefter försvarsdatalagen), lagen (2021:1172) om behandling av personuppgifter vid Försvarets radioanstalt eller Säkerhetspolisens datalag (vi behandlar det regelverket mer ingående nedan).
Dataskyddslagen reglerar bl.a. frågor om rättslig grund för behandling av personuppgifter, särskilda kategorier av personuppgifter (som i nationell lagstiftning benämns känsliga personuppgifter), tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande.
Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning som reglerar hur personuppgifter får samlas in och behandlas (1 kap. 6 § dataskyddslagen). Avvikande bestämmelser finns bl.a. i särskilda registerförfattningar som reglerar framför allt myndigheters behandling av personuppgifter. Registerförfattningarna utgör ett komplement till den allmänna regleringen och förekommer både i form av lag och förordning. Syftet med registerförfattningarna är att anpassa regleringen till de särskilda behov som myndigheter har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes integritet.
De allra flesta registerförfattningar innehåller bestämmelser om för vilka ändamål en viss aktör får behandla personuppgifter. Ända-
målen varierar beroende på uppgifter, aktör och verksamhetsområde men sätter en ram för vilken personuppgiftsbehandling som är tillåten. Det är även vanligt förekommande att registerförfattningar innehåller särskilda bestämmelser om bl.a. personuppgiftsansvar, behandling av känsliga personuppgifter, förbud mot vissa sökningar, samt begränsningar av tillgången till personuppgifter. Flera registerförfattningar innehåller också en reglering av vilka uppgifter som får behandlas för vilka ändamål, vilka uppgifter som får användas gemensamt i en databas, samt villkor för olika former av elektroniskt utlämnande av uppgifter.
Som framgått ovan finns också särskilda regelverk som gäller för personuppgiftsbehandling inom Försvarsmakten, Försvarets radioanstalt och Säkerhetspolisen.
7.3.3. Dataskyddsdirektivet och brottsdatalagen
Allmänt om dataskyddsdirektivet och brottsdatalagen
Den personuppgiftsbehandling som är nödvändig för myndigheters brottsbekämpande verksamhet regleras i dataskyddsdirektivet. Dataskyddsdirektivet ska dels skydda fysiska personers grundläggande rättigheter och friheter (särskilt deras rätt till skydd av personuppgifter), dels underlätta det informationsutbyte mellan s.k. behöriga myndigheter som är nödvändigt enligt unionsrätten eller nationell rätt. Direktivet har i huvudsak genomförts genom brottsdatalagen (2018:1177), med tillhörande förordning. Viss sektorsspecifik kompletterande lagstiftning har också införts (se nedan).
Brottsdatalagen drar upp gränsen mellan å ena sidan den särskilda regleringen av behandling av personuppgifter vid brottsbekämpning, lagföring, straffverkställighet och upprätthållande av allmän ordning och säkerhet och å andra sidan dataskyddsförordningens tillämpningsområde. Lagen ska, enligt 1 kap. 2 §, tillämpas av de som är behöriga myndigheter enligt lagen, om syftet med personuppgiftsbehandlingen är att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det är alltså syftet med behandlingen av personuppgifter i det enskilda fallet som är avgörande för om lagen ska tillämpas, inte i vilken verksamhet behandlingen utförs.
Med behörig myndighet avses enligt 1 kap. 6 § brottsdatalagen en myndighet som har till uppgift att bedriva sådan verksamhet som nyss nämnts eller en annan aktör som utövar myndighet och behandlar personuppgifter för något av dessa syften. Vilka myndigheter som är behöriga räknas inte upp, men lagen tillämpas i huvudsak av Polismyndigheten, Tullverket, Kustbevakningen, Skatteverket, Ekobrottsmyndigheten, Åklagarmyndigheten, de allmänna domstolarna och Kriminalvården. Säkerhetspolisen tillämpar inte brottsdatalagen vid behandling av personuppgifter som rör nationell säkerhet i myndighetens brottsbekämpande och lagförande verksamhet (nationell säkerhet har inte undantagits generellt från brottsdatalagens område ,15av 1 kap. 4 § brottsdatalagen framgår emellertid, såvitt nu är av intresse, att lagen inte gäller vid Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet). Brottsdatalagen och polisens brottsdatalag gäller emellertid även för Säkerhetspolisen i den mån myndigheten deltar i eller bedriver brottsbekämpande verksamhet som inte rör nationell säkerhet.
Bestämmelserna i brottsdatalagen är subsidiära till särregleringen i sektorsspecifik kompletterande lagstiftning, vilket framgår av 1 kap. 5 §.
Lagen gäller enbart för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling som ingår i eller är avsedd att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier (1 kap. 3 §).
I brottsdatalagen regleras frågor som är gemensamma för alla behöriga myndigheter. Där finns de grundläggande bestämmelserna om hur personuppgifter får behandlas. Där regleras även personuppgiftsansvarigas skyldigheter, enskildas rättigheter och tillsynen över personuppgiftsbehandling. Brottsdatalagen innehåller vidare bestämmelser om administrativa sanktionsavgifter, skadestånd och rättsmedel.
15Prop. 2017/18:232 s. 104 f. och 433.
Rättslig grund för behandling och ändamål
All behandling av personuppgifter ska ha en rättslig grund för att vara tillåten. I brottsdatalagen finns det två bestämmelser om rättslig grund. För det första får personuppgifter behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra en arbetsuppgift i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning eller säkerhet. Bestämmelsen bildar en yttre ram för när personuppgifter får behandlas med stöd av lagen. Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut av regeringen. (Se 2 kap. 1 § brottsdatalagen.) Grunden för att behandla personuppgifter finns alltså i regleringen av den behöriga myndighetens uppgifter.
Personuppgifter får, för det andra, behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning. Det regleras i 2 kap. 2 § brottsdatalagen.
Personuppgifter får vidare, enligt 2 kap. 3 § brottsdatalagen, bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen måste bestämmas redan när uppgiften behandlas första gången, eftersom det är i förhållande till dem som det ska prövas om personuppgifterna som behandlas är adekvata och relevanta och hur många personuppgifter som behöver behandlas, jfr 2 kap. 8 § brottsdatalagen.
Innan personuppgifter får behandlas för ett nytt ändamål som ligger inom brottsdatalagens tillämpningsområde ska det enligt 2 kap. 4 § brottsdatalagen säkerställas att det finns en rättslig grund för den nya behandlingen och att behandlingen är nödvändig och proportionerlig för det nya ändamålet. Någon sådan prövning behöver dock inte göras när skyldighet att lämna uppgifter följer av lag eller förordning.
Personuppgifter som en behörig myndighet behandlar enligt brottsdatalagen kan också behöva lämnas till en enhet inom myndigheten, eller en annan myndighet, som bedriver verksamhet utanför brottsdatalagens tillämpningsområde. Av 2 kap. 22 § brottsdatalagen följer att dataskyddsförordningen ska tillämpas när en behörig
myndighet behandlar personuppgifter som behandlas med stöd av brottsdatalagen, för nya ändamål utanför brottsdatalagens tillämpningsområde. Det innebär att prövningen av om behandlingen är tillåten ska göras med utgångspunkt i dataskyddsförordningens bestämmelser. Någon prövning av om behandlingen för det nya ändamålet är förenligt med det ändamål för vilket uppgifterna ursprungligen behandlades behöver dock inte göras .16Det måste emellertid säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet innan uppgifterna lämnas ut, om inte skyldighet att lämna uppgifterna följer av lag eller förordning.
Känsliga personuppgifter
Personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning benämns känsliga personuppgifter. Sådana uppgifter får enligt huvudregeln i 2 kap. 11 § brottsdatalagen inte behandlas. Av paragrafens andra stycke följer emellertid att uppgifter om en person som redan behandlas på annan grund får kompletteras med känsliga personuppgifter, när det är absolut nödvändigt för ändamålet med behandlingen.
Av 2 kap. 12 § brottsdatalagen följer att biometriska uppgifter och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen.
Enligt 2 kap. 14 § brottsdatalagen är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har viss politisk eller religiös åskådning eller sexuell läggning.
Kompletterande lagstiftning till brottsdatalagen
Brottsdatalagen är, som nämnts ovan, subsidiär till annan lagstiftning och det finns särskilda registerförfattningar för flertalet av de myndigheter som tillämpar brottsdatalagen. Där finns de bestämmelser som är specifika för respektive myndighet.
7.3.4. Särskilt om Säkerhetspolisens personuppgiftshantering
Säkerhetspolisens behandling av personuppgifter i ärenden som avser nationell säkerhet regleras i Säkerhetspolisens datalag. Syftet med lagen är enligt 1 kap. 1 § att skydda fysiska personers grundläggande rättigheter och friheter i samband med behandling av personuppgifter och att säkerställa att Säkerhetspolisen kan behandla och utbyta personuppgifter på ett ändamålsenligt sätt.
Av 1 kap. 2 § framgår att lagen gäller vid behandling av personuppgifter som rör nationell säkerhet i Säkerhetspolisens brottsbekämpande och lagförande verksamhet. Säkerhetspolisen ska förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott och utreda och beivra sådana brott, fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer, fullgöra uppgifter enligt säkerhetsskyddslagen, leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådana verksamhet som framgår av lag eller förordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för (se 3 § polislagen [1984:387]). Säkerhetspolisens datalag tillämpas vid all personuppgiftshantering i Säkerhetspolisens verksamhet, förutom när Säkerhetspolisen deltar i eller bedriver brottsbekämpande verksamhet som inte rör nationell säkerhet, exempelvis när Säkerhetspolisen bistår den öppna polisen med särskilda utrednings- eller spaningsinsatser, eller vid intern och administrativ verksamhet. När Säkerhetspolisen utför sådana uppgifter tillämpas i stället brottsdatalagen och polisens brottsdatalag (jfr 1 kap. 1 § polisens brottsdatalag) respektive dataskyddsförordningen.
Enligt 1 kap. 3 § Säkerhetspolisens datalag gäller lagen vid sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är
avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
I lagen, och tillhörande förordning, finns bestämmelser om rättsliga grunder för behandling av personuppgifter, ändamål och behandling av känsliga personuppgifter. Lagstiftningen innehåller vidare bl.a. bestämmelser om längsta tid som personuppgifter får behandlas, skyldigheter som personuppgiftsansvarig, enskildas rättigheter, tillsyn samt skadestånd och överklagande.
Det pågår just nu en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet. En särskild utredare har fått i uppdrag att bl.a. undersöka i vilken utsträckning dagens regelverk försvårar en effektiv informationshantering i Säkerhetspolisens verksamhet och lämna förslag som gör att informationen kan hanteras av Säkerhetspolisen på ett mer ändamålsenligt sätt. Uppdraget ska redovisas senast den 1 april 2025 .17
7.3.5. Bestämmelser om sekretess
Uppgifter om enskildas personliga förhållanden skyddas också genom bestämmelser om sekretess. Ett av syftena med sådana bestämmelser är att hindra att den enskildes personliga integritet kränks genom att personliga och kanske känsliga uppgifter sprids. Det finns således en samverkan mellan sådana bestämmelser och dataskyddsbestämmelserna. Av 21 kap. 7 § offentlighets- och sekretesslagen (2009:400) följer också att sekretess gäller för en personuppgift om det kan antas att uppgiften eller ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.
Det finns flera olika bestämmelser i offentlighets- och sekretesslagen som gäller sekretess till skydd för enskilda som kan komma att aktualiseras vid registerkontroll, särskilt om denna utvidgas till att omfatta fler uppgifter. Inledningsvis kan nämnas att sekretess gäller för de uppgifter som kommer fram under säkerhetsprövningen, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men
17 Dir. 2023:64 och dir. 2024:99.
(35 kap. 1 § första stycket 3). Sekretessen gäller hos alla myndigheter som tar befattning med en sådan fr åga.18
I 21 kap. finns bestämmelser om sekretess för bl.a. uppgift som rör enskildas hälsa eller sexualliv (såsom uppgifter om sjukdomar, missbruk, sexuell läggning eller annan liknande uppgift) om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs (1 §). Av 5 § samma kapitel följer att sekretess gäller för uppgift som rör utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Bestämmelserna i 21 kap. gäller oavsett i vilket sammanhang uppgiften förekommer.
I 34 kap. finns bestämmelser om sekretess vid utsökning och indrivning, skuldsanering, m.m. I 1 § första stycket anges att sekretess gäller hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. I andra och tredje styckena samma bestämmelse anges vissa undantag, bl.a. gäller inte sekretessen beslut i mål eller ärende. När det gäller skuldsanering framgår det av 6 § att sekretess gäller bl.a. hos Kronofogdemyndigheten i ärende om skuldsanering för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller inte beslut i ärende.
I 35 kap. finns bestämmelser om sekretess i verksamhet som syftar till att förebygga eller beivra brott, m.m. I 1 § regleras sekretess i samband med förundersökning och annan brottsförebyggande verksamhet. Enligt nämnda bestämmelse föreligger sekretess bl.a. för uppgift om en enskilds personliga och ekonomiska förhållanden om uppgiften förekommer i verksamhet som syftar till att förebygga, uppdaga, utreda eller beivra brott som bedrivs av Polismyndigheten, Säkerhetspolisen, Skatteverket eller Tullverket eller i register som förs av Skatteverket eller Tullverket med stöd av myndigheternas respektive brottsdatalagar, om det inte står klart att uppgiften kan
18 För enskild verksamhet finns en motsvarande bestämmelse om tystnadsplikt i 8 kap. 1 § säkerhetsskyddslagen.
röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men (se första stycket 4, 7 och 9). Kapitlet innehåller också bestämmelser om sekretess för uppgifter om enskildas personliga förhållanden inom kriminalvården. Sekretess gäller, enligt 15 §, för sådana uppgifter om det kan antas att den enskilde eller någon närstående lider men eller att fara uppkommer för att någon utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Av 37 kap. 1 § följer att sekretess gäller i Migrationsverkets verksamhet för kontroll över utlänningar och i ärenden om svenskt medborgarskap. Med verksamhet för kontroll över utlänningar avses ärenden om t.ex. visering, uppehållstillstånd, arbetstillstånd, avvisning, utvisning och kontrollåtgärder samt annan löpande tillsyn. Sekretess gäller i sådana ärenden för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
7.3.6. Möjligheten för myndigheter att hämta och lämna ut uppgifter
Inledning
Möjligheten för myndigheter att hämta och lämna ut uppgifter begränsas både genom bestämmelser om sekretess och tystnadsplikt, och dataskyddslagstiftningen. För att myndigheter ska kunna utbyta information krävs därför dels att informationen inte omfattas av sekretess eller att sekretessen kan brytas, dels att bestämmelser om behandling av personuppgifter i myndigheternas registerförfattningar ger stöd för att uppgifter lämnas ut. Det sistnämnda beror på att informationen normalt behandlas automatiserat.
Sekretessbrytande bestämmelser
En sekretessbelagd uppgift får som utgångspunkt inte lämnas från en myndighet till en annan, eller mellan olika verksamhetsgrenar inom samma myndighet när de är att betrakta som självständiga i förhållande till varandra (se 8 kap.1 och 2 §§offentlighets- och sekretesslagen). För att myndigheter ska kunna utbyta sekretess-
belagda uppgifter krävs därför att en sekretessbrytande bestämmelse är tillämplig.
I 10 kap. 27 § offentlighets- och sekretesslagen finns en generalklausul som innebär att sekretess inte hindrar att uppgifter lämnas till en annan myndighet om det är uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. Syftet med generalklausulen är att den ska utgöra en ventil för det fall ett utbyte av uppgifter uppenbart behöver ske och situationen inte har kunnat förutses i lagstiftningen. Bestämmelsen, som endast kan tillämpas av myndigheter, tillkom för att göra det möjligt för myndigheter att utväxla uppgifter i situationer där intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen avser skydda. Enligt förarbetena till generalklausulen finns inte något uttryckligt hinder mot att utbyte av uppgifter sker rutinmässigt mellan myndigheter och mellan olika självständiga verksamhetsgrenar inom en myndighet .19Systemet bygger emellertid på att ett rutinmässigt uppgiftsutbyte av sekretessbelagda uppgifter (såsom vid registerkontroll där uppgifter hämtas löpande), i regel ska vara särskilt författningsreglerat och generalklausulen tillämpas därför normalt sett inte vid sådana förfaranden.
Enligt 10 kap. 28 § offentlighets- och sekretesslagen hindrar inte sekretess att en uppgift lämnas till en annan myndighet, om det finns en uppgiftsskyldighet som följer av lag eller förordning. Bestämmelsen innehåller en generell regel om att föreskrift i lag eller förordning om utbyte av uppgifter mellan myndigheter ska ske utan hinder av sekretessreglering. Med uppgiftsskyldighet avses att det i annan lag eller av förordning följer att uppgift ska lämnas .20
Sekretessbrytande uppgiftsskyldigheter grundar sig på överväganden om vilket sekretesskydd uppgiften har hos den utlämnande myndigheten och om den mottagande myndighetens behov generellt sett kan anses väga tyngre än det intresse som sekretessen skyddar. En avvägning mellan skyddsaspekterna och den mottagande myndighetens behov ska vid sådana sekretessgenombrott kunna göras i förhållande till varje utlämnande myndighet .21Bestämmelser om uppgiftsskyldighet mellan myndigheter är alltså ett sätt för lagstiftaren att särskilt reglera ett ofta förekommande informations-
19Prop. 1979/80:2, del A, s. 326 f. 20 A.a. s. 322. 21 Jfr prop. 2020/21:160 s. 25.
utbyte och att säkerställa att en viss myndighets verksamhet får de uppgifter som behövs. Såväl offentliga som sekretessbelagda uppgifter kan omfattas av en uppgiftsskyldighet. Bestämmelsen ska dock uppfylla vissa krav på konkretion. Den kan ta sikte på utlämnande av uppgifter av ett speciellt slag, gälla en viss myndighets rätt att ta del av uppgifter i allmänhet, eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information .22
En annan viktig bestämmelse är 6 kap. 5 § offentlighets- och sekretesslagen. Den reglerar informationsskyldigheten mellan myndigheter och anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter enligt 8 § förvaltningslagen (2017:900). Enligt 6 kap. 5 § ska en myndighet på begäran av en annan myndighet lämna ut uppgifter i den mån uppgiften inte är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offentlighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som myndigheten förfogar över. Den inkluderar även uppgifter i handlingar som inte är allmänna. Paragrafen innebär att om en myndighet begär att få del av uppgifter hos en annan myndighet och någon sekretessbrytande bestämmelse är tillämplig, så ska uppgifterna lämnas ut. Detsamma gäller givetvis om de begärda uppgifterna är offentliga.
Personuppgiftsbehandlingen
Myndigheternas verksamheter är i dag i hög grad digitaliserade, vilket innebär att i princip alla uppgifter som behöver utbytas behandlas helt eller delvis elektroniskt inom myndigheterna. Information som avser en identifierbar fysisk person (personuppgifter) som lämnas ut, dvs. behandlas, behöver som regel hanteras i enlighet med dataskyddslagstiftningen.
För att en sekretessbelagd uppgift ska få lämnas ut till en annan myndighet krävs att det finns en sekretessbrytande bestämmelse eller uppgiftsskyldighet som medger att uppgiften kan lämnas ut. Det finns inget hinder enligt sekretesslagstiftningen mot att myndigheter lämnar ut offentliga uppgifter. Ett utlämnande av upp-
22Prop. 1979/80:2, del A, s. 322.
gifter kan dock medföra personuppgiftsbehandling, vilket innebär att uppgifterna måste hanteras i enlighet med dataskyddslagstiftningen. Då krävs bl.a. att det finns en rättslig grund för behandlingen. Om en sådan rättslig grund saknas är personuppgiftsbehandlingen olaglig och får inte genomföras.
I 6 kap. 5 § offentlighets- och sekretesslagen regleras, som nämnts ovan, den allmänna skyldigheten för en myndighet att lämna ut uppgifter på begäran av en annan myndighet och bestämmelsen utgör rättslig grund för den personuppgiftsbehandling som en begäran om utlämnande av offentliga uppgifter medför (jfr artikel 6.1 c i dataskyddsförordningen).
Utöver krav på rättslig grund måste myndigheterna även efterleva de grundläggande principer som framgår av artikel 5 i dataskyddsförordningen. Finalitetsprincipen framgår av artikel 5.1 b, i vilken det anges att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett annat sätt som är oförenligt med dessa ändamål. Enligt skäl 50 till dataskyddsförordningen får dock personuppgifter behandlas för andra ändamål än de för vilka personuppgifterna samlades in, om dessa ändamål är förenliga med de ursprungliga ändamålen. I sådana fall krävs inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. En sådan behandling är alltså förenlig med finalitetsprincipen och tillåten.
Om en prövning enligt finalitetsprincipen i stället innebär att ändamålen är oförenliga, är en ny behandling av insamlade personuppgifter bara tillåten om den har stöd i en bestämmelse i unionsrätten eller den nationella lagstiftningen som utgör ett tillåtet undantag från finalitetsprincipen. Om det i lag eller förordning finns en sekretessbrytande bestämmelse som reglerar att en myndighet ska eller får lämna ut personuppgifter, t.ex. en uppgiftsskyldighet, innebär det att någon särskild prövning av om utlämnandet är förenligt med det ursprungliga ändamålet inte behöver sk e.23Det är därmed ofta tillräckligt att pröva ett utlämnande i enlighet med en sådan bestämmelse. Det kan dock finnas begränsningar i ändamålsbestämmelser i särskilda registerförfattningar som kan utgöra hinder för utlämnande.
Vid personuppgiftshantering som omfattas av brottsdatalagen anses all behandling för nya ändamål som ligger inom direktivets
23 Jfr HFD 2021 ref. 10.
tillämpningsområde vara förenlig med insamlingsändamålen, under förutsättning att behandlingen är nödvändig och står i proportion till det nya ändamålet. Det saknas alltså betydelse om det är den personuppgiftsansvarige som ursprungligen samlat in personuppgifterna som utför behandlingen för det nya ändamålet eller om det är en annan personuppgiftsansvarig, så länge de båda är behöriga myndigheter och behandlingen ligger inom direktivets tillämpningsområde. En förutsättning för att behandling för ett nytt ändamål ska vara tillåtet är emellertid att det finns en rättslig grund för den nya behandlingen. Personuppgifter som behandlas med stöd av brottsdatalagen får behandlas för ändamål utanför lagens tillämpningsområde om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. I den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning ska någon prövning av om det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet inte göras.
Direktåtkomst
I de sektorsspecifika dataskyddsregleringarna finns ofta särskilda bestämmelser om direktåtkomst. Direktåtkomst är en form av elektronisk informationsöverföring som sammanfattningsvis innebär att den utlämnande myndigheten ger mottagaren möjlighet att hämta information direkt från den utlämnande myndighetens it-system .24Bestämmelser som tillåter direktåtkomst är ofta utformade på så sätt att en myndighet under vissa förutsättningar får ha direktåtkomst till vissa uppgifter hos en annan myndighet. Sådana bestämmelser reglerar endast tillåtligheten av ett visst tillvägagångssätt för att lämna ut uppgifter och har inte någon självständig sekretessbrytande verkan. Bestämmelser av det slaget är alltså inte att se som en uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen .25Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den senare direktåtkomst till uppgifter som behandlas automatiserat begränsas därför inte sällan av sekretess. Om sekretess gäller hos den utlämnande myndigheten
24 Se bl.a. SOU 2023:100 s. 746. 25 Se bl.a. prop. 2009/10:85 s. 189 och där anmärkta propositioner.
för de uppgifter som ska lämnas ut krävs därför att det också finns en sekretessbrytande bestämmelse som är tillämplig och som inte kräver bedömningar som behöver göras av en människa i varje enskilt fall.
I 11 kap. 4 § offentlighets- och sekretesslagen finns en särskild bestämmelse om överföring av sekretess vid direktåtkomst. Om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i den upptagningen är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Sekretessen gäller dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten. Sekretessen enligt paragrafen ska, enligt 1 kap. 8 § offentlighets- och sekretesslagen, inte heller tillämpas när det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5, och 7 §§ den lagen, som skyddar samma intresse.
7.4. Behovet av lagändringar och allmänna utgångspunkter för våra förslag
7.4.1. Ett försämrat säkerhetspolitiskt läge ställer högre krav på säkerhetsprövningen av personal
De nuvarande bestämmelserna om registerkontroll fördes över från 1996 års säkerhetsskyddslag (1996:627) till den nuvarande säkerhetsskyddslagen med i huvudsak samma innehåll. I förarbetena till den nya säkerhetsskyddslagen, som trädde i kraft 2019, konstaterades att det inte hade framkommit skäl som krävde några större förändringar i bestämmelserna om säkerhetsprövnin g.26Övervägandena som ligger till grund för dagens registerkontroll gjordes alltså för drygt 30 år sedan. Stora förändringar har skett i samhället sedan dess, inte minst vad gäller digitaliseringen och internationaliseringen, och hotbilden mot Sverige och svenska säkerhetsintressen ser i dag helt annorlunda ut. Vad gäller säkerhetshotet mot Sverige har det skett stora förändringar också efter att den nya säkerhetsskyddslagen trädde i kraft.
Det säkerhetspolitiska läget både globalt och i Sveriges närhet har försämrats gradvis de senaste tio åren, och den säkerhetshotande
verksamheten blir ständigt bredare och mer komplex. Något som i dag är extra påtagligt är säkerhetshotet från främmande makt. Länder som bedriver säkerhetshotande verksamhet mot Sverige har ett stort behov av teknik och utrustning i strävan att förändra säkerhetsordningen och för att upprätthålla militära förmågor. Eftersom Sverige ligger långt fram inom utveckling, innovation och kunskap har vi sedan länge varit ett attraktivt mål för sådana operationer. Intresset för nämnda tillgångar har stadigt ökat i takt med Sveriges allt tätare bilaterala säkerhets- och försvarssamarbeten – särskilt med anledning av inträdet i Nato. Främmande makts säkerhetshotande verksamhet inkluderar dessutom allt offensivare metoder där användandet av möjliggörare, s.k. proxys, för att infiltrera den offentliga verksamheten är ett exempel på ett mer aggressivt tillvägagångssätt .27
Bearbetandet av agenter (dvs. personer som har i uppdrag att samla information om Sverige och svenska förhållanden, och delge informationen till en utländsk säkerhetstjänst) är något som sker ständigt. Värvningen av personer som har eller kan skaffa sig tillgång till känslig information sker både genom frivilligt samarbete och genom att utnyttja sårbarheter hos personerna i fråga. Det kan handla om ekonomiska problem, missbruk, bristande lojalitet mot arbetsgivaren och andra personliga förhållanden som personen inte vill ska bli offentliga. Men det kan också handla om kontakter eller lojaliteter med antagonistiska miljöer eller en främmande makt som bedriver säkerhetshotande verksamhet i Sverige, t.ex. genom familjeband eller medborgarskap .28
I militära underrättelse- och säkerhetstjänstens årsöversikt för 2023 konstateras att främmande makts behov av mänskliga källor är ett allvarligt och konkret hot samt att information om Försvarsmaktens verksamhet, förmåga, system, utveckling och samarbeten är av mycket högt intresse. Vidare uttalas att främmande underrättelse- och säkerhetstjänster genom påtryckningar, utpressning och andra metoder försöker att förmå enskilda individer att samarbeta. Ett exempel som nämns är de två bröder som i maj 2023 dömdes för att ha spionerat för Ryssland .29
27 Uppgifter som Säkerhetspolisen har lämnat till utredningen. Se även Säkerhetspolisens årsbok 2023/2024. 28 Uppgifter som Säkerhetspolisen har lämnat till utredningen. 29 Militära underrättelse- och säkerhetstjänstens årsöversikt 2023, s. 50.
Den underrättelseverksamhet som Ryssland, Kina och Iran bedriver mot Sverige syftar också till att störa viktiga samhällssystem och påverka beslutsfattandet. Metoderna inkluderar förutom cyberattacker och påverkansoperationer även sabotage. Dessa angrepp riktas både mot offentliga och privata aktörer och utgör en del av vad som kallas hybridkrigföring – en kombination av militära, ekonomiska och informationsrelaterade åtgärder med syfte att undergräva ett lands motståndskraft. Ett exempel på detta är sabotagehotet, som särskilt riktar sig mot infrastruktur, kommunikation och kraftförsörjning. Dessa angrepp planeras och stöds av statliga säkerhetsorgan, men genomförs ofta via ombud för att kunna förnekas då de genomförts .30
Terrorhotnivån i Sverige ligger sedan augusti 2023 på en hög nivå, en fyra på den femgradiga skalan. Enligt beslut från säkerhetspolischefen i januari 2025 ska den ligga kvar på den höga nivån. Attentatshotet mot Sverige kvarstår, enligt Säkerhetspolisen, från främst våldsbejakande islamism och våldsbejakande högerextremism. Det finns emellertid också tendenser mot ett mer diversifierat terrorhot på kort och lång sikt som involverar främmande makts agerande, och då ofta genom ombud .31
Som framgår av redogörelsen ovan försöker såväl främmande makt som våldsbejakande extremister utnyttja våra sårbarheter för att nå sina syften. Förmågan hos, och de alltmer offensiva metoder som används av, de aktörer som i dag bedriver säkerhetshotande verksamhet mot Sverige gör att vi generellt sett måste bli bättre på att skydda säkerhetskänslig verksamhet och samhällsviktiga funktioner.
Genom införandet av den nya säkerhetsskyddslagen och framför allt de ändringar som gjordes i säkerhetsskyddslagen 2021, höjdes ambitionsnivån för säkerhetsskyddet avsevärt. Verksamhetsutövarnas skyldigheter har utvidgats och förtydligats, tillsynsmyndigheterna har getts kraftfulla tillsynsbefogenheter och möjligheter att ingripa mot verksamhetsutövare som inte uppfyller säkerhetsskyddslagens krav, bl.a. genom att besluta om sanktionsavgifter. Vårt betänkande
30 Försvarsmakten, Hybridoperationer skadar Sverige (januari 2025), https://www.forsvarsmakten.se/sv/aktuellt/2025/01/hybridoperationer-skadar-sverige/ (hämtad 2025-03-15). 31 Säkerhetspolisen, Allvarligt läge i osäker tid (januari 2025), https://sakerhetspolisen.se/ovriga-sidor/nyheter/nyheter/2025-01-14-allvarligtsakerhetslage-i-osaker-tid.html (hämtad 2025-03-15).
innehåller förslag som ytterligare förstärker skyddet (se kapitel 4 och 6). Det finns enligt vår bedömning i dag en stor medvetenhet gällande vikten av informationssäkerhet och fysisk säkerhet. Den rättsliga regleringen av säkerhetsprövningen utgår emellertid fortfarande från de förhållanden som rådde när den gamla säkerhetsskyddslagen infördes. För att kunna skapa ett heltäckande säkerhetsskydd krävs att personer som inte är pålitliga från säkerhetssynpunkt inte släpps in i säkerhetskänsliga verksamheter. Ambitionshöjningen på säkerhetsskyddsområdet måste därmed få genomslag även vad gäller säkerhetsprövningen av personal.
7.4.2. Det finns behov av att utvidga och fördjupa registerkontrollen
Avsikten med säkerhetsprövningen är att hämta in ett allsidigt underlag för att kunna bedöma om den prövade är lämplig för att delta i den ifrågavarande säkerhetskänsliga verksamheten. Säkerhetsprövningen handlar om personkännedom och tyngdpunkten i prövningen ligger därmed på grundutredningen som bl.a. innefattar en säkerhetsprövningsintervju.
Registerkontroll är generellt sett ett ganska trubbigt verktyg. Vid säkerhetsprövning enligt säkerhetsskyddslagen fyller emellertid registerkontrollen ett tydligt syfte. Detta eftersom säkerhetsprövningen inte enbart tar sikte på att hindra personer med antagonistiska avsikter från att delta i säkerhetskänslig verksamhet, utan också till att säkerställa att personer som i säkerhetshänseende är
sårbara inte placeras på befattningar där sårbarheten kan påverka
personens förmåga och vilja att upprätthålla verksamhetens krav på säkerhetsskydd. Med sårbarhet avses i detta sammanhang att det finns omständigheter i fråga om livsföring och levnadsbakgrund som gör att en person kan antas riskera att hamna i en intressekonflikt eller bli särskilt utsatt för påtryckningar att lämna ut känsliga uppgifter eller att en person på annat sätt kan befaras äventyra den säkerhetskänsliga verksamheten. Prövningen görs alltså ur ett riskreduceringsperspektiv och handlar till stor del om vilka risker som kan accepteras .32Genom registerkontrollen kan uppgifter om sårbarheter som annars inte hade kommit till verksamhetsutövarens
32 Se SOU 2015:25 s. 374 och prop. 2017/18:89 s. 79.
kännedom hämtas och lämnas ut. Registerkontrollen utgör i och med detta ett viktigt komplement till grundutredningen.
Vidare kan det konstateras att registerkontrollen (och de kontroller som görs inom ramen för den särskilda personutredningen) i många fall är den enda tillförlitliga källan för att verifiera uppgifter som framkommit i grundutredningen. Merparten av de uppgifter som framkommer under grundutredningen härrör nämligen från den prövade själv. Referenser uppges i regel också av personen som är föremål för prövning och kan därför inte anses vara helt oberoende källor. Det finns därmed anledning att utgå från att uppgifter som den prövade av olika anledningar har ett intresse av att undanhålla vid säkerhetsprövningen, sannolikt inte kommer att framkomma under grundutredningen. Detta är problematiskt inte bara därför att illojala eller opålitliga personer kanske inte upptäcks, utan också för att förhållanden som den prövade vill hemlighålla vid säkerhetsprövning utgör en betydande sårbarhet som kan utnyttjas i påverkanssyfte. Sammanfattningsvis menar vi att registerkontrollen är ett viktigt verktyg för att förhindra att personer som inte är pålitliga från säkerhetssynpunkt får tillgång till säkerhetskänslig verksamhet. Hur ändamålsenligt och effektiv verktyget blir i praktiken beror emellertid till stor del på vilka uppgifter som kan hämtas och lämnas ut för säkerhetsprövning.
Den nuvarande registerkontrollen omfattar kontroller av den prövades förekomst i belastningsregistret och misstankeregistret, samt kontroller av uppgifter som behandlas hos Polismyndigheten och Säkerhetspolisen. Vi har under arbetet med utredningen identifierat fler uppgifter som kan antas vara av betydelse för säkerhetsprövningen. Det är vår uppfattning att kontrollen skulle kunna bli mer effektiv, och att det sammantagna underlaget för säkerhetsprövningen skulle kunna bli bättre, om fler uppgifter får hämtas och kontrolleras. Detta dels eftersom chanserna ökar att upptäcka enskilda omständigheter som i sig är av direkt betydelse för prövningen, dels eftersom kontrollerna kan antas leda till fler utfall som tillsammans kan vara av betydelse för prövningen.
Den registerkontroll som görs i dag tar i huvudsak sikte på uppgifter om brottslighet. Kontrollen av sådana uppgifter kan och bör – med hänsyn till den säkerhetshotande verksamhet som bedrivs mot Sverige – fördjupas. Det är emellertid också möjligt att identifiera andra typer av sårbarheter vid registerkontroll, t.ex. ekonomiska problem. Det är vår bedömning att registerkontrollen också bör
breddas till att omfatta vissa sådana uppgifter (vi återkommer till vår bedömning av vad som avses med uppgifter som kan antas vara av betydelse för säkerhetsprövningen nedan).
Vidare är det vår uppfattning att ambitionshöjningen gällande säkerhetsprövningen enligt säkerhetsskyddslagen bör ta sikte på deltaganden i samtliga tre säkerhetsklasser, och även sådana kontroller som görs utan placering i säkerhetsklass med stöd av 3 kap. 15 § säkerhetsskyddslagen.
Även om säkerhetsklass 3 är den lägsta säkerhetsklassen rör det sig om deltaganden där den prövade får del av uppgifter i säkerhetsskyddsklassen konfidentiell eller, i ringa omfattning, hemlig (dvs. uppgifter som vid ett röjande kan medföra en inte obetydlig respektive allvarlig skada för Sveriges säkerhet), eller till följd av sitt deltagande i verksamheten bedöms kunna orsaka en inte obetydlig skada för Sverige säkerhet (jfr 2 kap. 5 § och 3 kap. 8 §säkerhetsskyddslagen). En allvarlig skada för Sveriges säkerhet kan enligt Säkerhetspolisen karaktäriseras av betydande negativa konsekvenser av stor omfattning som innebär ett direkt hot mot den nationella förmågan (om än mot avgränsade funktioner) eller allvarliga begränsningar i Sveriges suveränitet, handlingsfrihet eller oberoende som bedöms vara svåra att återställ a.33
I säkerhetsklass 3 placeras, utöver befattningar som innebär direkt tillgång till säkerhetsskyddsklassificerade uppgifter, bl.a. befattningar som ger åtkomst till informationssystem som används i säkerhetskänslig verksamhet. Det kan även handla om befattningar som vid utförande av bevakning, servicearbeten eller transporter ger tillträde till områden där det bedrivs säkerhetskänslig verksamhet. Därutöver placeras vissa deltaganden i verksamheter som tidigare omfattades av särskilda bestämmelser om säkerhetsprövning för deltaganden i verksamhet som särskilt behöver skyddas mot terrorism, såsom anställningar eller annat deltagande vid verksamhet vid flygplatser och skyddsobjekt av olika slag, i säkerhetsklass 3. Säkerhetsklass 3 kan också omfatta vissa yrkesgrupper hos t.ex. Polismyndigheten och Kriminalvården .34Det rör sig alltså om verksamheter som de aktörer som bedriver säkerhetshotande verksamhet mot Sverige kan antas ha ett stort intresse av att infiltrera.
33 Säkerhetspolisens vägledning i säkerhetsskydd, Informationssäkerhet, version oktober 2023, s. 12, samt Säkerhetspolisens vägledning i säkerhetsskydd, Säkerhetsskyddsanalys, version januari 2023, s. 18. 34 Uppgifter som Säkerhetspolisen har lämnat till utredningen.
Av 3 kap. 15 § säkerhetsskyddslagen framgår att registerkontroll i vissa fall får göras utan placering i säkerhetsklass. En sådan registerkontroll får bara göras om det finns särskilda skäl och aktualiseras bl.a. vid statsbesök och liknande händelser (jfr 5 kap. 12 § säkerhetsskyddsförordningen). Registerkontrollen enligt 3 kap. 15 § motsvarar i dag registerkontrollen som görs för säkerhetsklass 3.
7.4.3. Vissa överväganden gällande registerkontrollens syfte och funktion samt utformningen av säkerhetsprövningsförfarandet
Av Säkerhetspolisen identifierade behov och myndighetens förslag gällande registerkontrollens utformning och innehåll
Utgångspunkten för vårt uppdrag är att vi ska lämna förslag som gör registerkontrollen mer effektiv och ändamålsenlig. Säkerhetspolisen har till utredningen uppgett att myndigheten – av de anledningar som vi redogör för i avsnitt 7.4.1 och 7.4.2 – ser ett behov av att utvidga registerkontrollen för samtliga säkerhetsklasser. Myndigheten har särskilt pekat på behovet av att i större utsträckning kunna använda registerkontrollen för att verifiera de uppgifter som framkommit under grundutredningen och har som skäl för en sådan ordning uppgett bl.a. följande.
Det har över tid skett en förskjutning av säkerhetsprövningens tyngdpunkt. Sedan 1996 års säkerhetsskyddslag har säkerhetsprövningen utvecklats från att framför allt förlita sig på registerkontrollmomentet till att i större utsträckning bygga på säkerhetsprövningsintervjun och en fördjupad personkännedom. Registerkontrollen syftar i dag mer till att verifiera vissa uppgifter som avhandlats i ett tidigare skede. Denna förskjutning synliggörs ytterligare genom de förslag som Utredningen om en förbättrad process för säkerhetsprövningar har lämnat .35Vid en grundutredning bör, utöver eventuell brottslighet, även uppgifter om ekonomiska förhållanden, utländska kopplingar, hälsotillstånd, eventuellt missbruk och övriga uppgifter av betydelse för personens lämplighet i säkerhetshänseende beröras. Registerkontrollens funktion bör vara att verifiera de uppgifter som framkommit vid grundutredningen. För att det ska vara möjligt behöver fler uppgifter hämtas vid registerkontroll. En annan
35 Se SOU 2024:88.
bedömning behöver även ske av vilka uppgifter som ska lämnas ut för säkerhetsprövning.
Utgångspunkten vid bedömningen av vilka uppgifter som ska hämtas och lämnas ut vid registerkontroll bör vara uppgifternas betydelse för säkerhetsprövningen. Uppgifter av betydelse för säkerhetsprövningen behöver inte nödvändigtvis vara av belastande karaktär, utan uppgifter kan också vara av betydelse för prövningen på grund av att de kan jämföras med de uppgifter som den prövade själv har lämnat och visa på eventuella felaktigheter, eller avslöja förhållanden som den prövade av någon anledning vill hemlighålla. Förhållanden som den prövade vill hemlighålla vid säkerhetsprövning utgör i sig en betydande sårbarhet som skulle kunna användas i påverkanssyfte för att förmå den prövade att begå insiderhandlingar.
Säkerhetspolisen har pekat på att dagens registerkontroll i huvudsak resulterar i att uppgifter som i sig (eller tillsammans med andra uppgifter som framkommit vid kontrollen) bedöms vara belastande lämnas ut till aktören som gör själva säkerhetsprövningen. När uppgifter som hämtats inte lämnas ut får aktören inte möjlighet att jämföra dem med vad den prövade har uppgett under grundutredningen. Är informationen inte känd sedan tidigare får verksamhetsutövaren inte möjlighet att värdera omständigheten för att avgöra om den påverkar bedömningen av den prövades pålitlighet från säkerhetssynpunkt eller utgör en sådan sårbarhet som kan utnyttjas av en antagonist. Det blir inte heller möjligt att se hur den prövade förhåller sig till uppgiften, vilket kan ha stor betydelse för den samlade bedömningen i säkerhetsprövningen.
Säkerhetspolisen har, mot bakgrund av synpunkterna ovan, föreslagit att registerkontrollen (avseende samtliga säkerhetsklasser) bör utvidgas till att omfatta alla uppgifter som Säkerhetspolisen får ta del av inom ramen för sitt uppdrag, i stället för vissa i lagtext angivna register eller uppgifter. En sådan lösning skulle inte bara ge bättre förutsättningar att verifiera uppgifterna från grundutredningen, utan skulle också ge Säkerhetspolisen utrymme att kunna anpassa informationsinhämtandet utifrån den hotbild som Sverige vid varje givet tillfälle ställs inför och förbättra möjligheterna att möta snabba förändringar. För att fler uppgifter också ska kunna lämnas ut har Säkerhetspolisen föreslagit att det bör framgå av 3 kap. 19 § säkerhetsskyddslagen att uppgifter också ska lämnas ut om de kan antas ha betydelse för grundutredningen.
Vi har med anledning av de synpunkter och förslag som Säkerhetspolisen har fört fram behövt göra vissa överväganden vad gäller registerkontrollens syfte och funktion, men också utformningen av säkerhetsprövningsförfarandet i dess helhet.
Registerkontrollens syfte och funktion
Syftet med registerkontrollen är – precis som övriga moment i säkerhetsprövningsprocessen – att hämta in uppgifter som kan antas vara av betydelse för säkerhetsprövningen, dvs. prövningen av om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt (jfr 3 kap.2 och 19 §§säkerhetsskyddslagen).
I förarbetena till 1996 års säkerhetsskyddslag ges exempel på omständigheter, eller riskfaktorer, som kan vara av betydelse vid en prövning av en persons pålitlighet från säkerhetssynpunkt. De omständigheter som nämns är personliga förhållanden som kan utnyttjas i utpressningssyfte, dålig ekonomi, redan dokumenterad kriminalitet, samröre med kriminella kretsar och sådana förbindelser med utländska medborgare och resor i utlandet som kan ha resulterat i kontakter med främmande underrättelseorganisationer eller förbindelser med utländska eller inhemska organisationer som bekänner sig till våld och terrorism eller som på annat sätt hotar samhällsordningen .36
Nämnda exempel ligger i linje med de personliga förhållanden som Utredningen om en förbättrad process för säkerhetsprövningar har lyft fram som relevanta att utreda inom ramen för grundutredningen eftersom de typiskt sett är av betydelse för säkerhetsprövningen. I det betänkande som utredningen har lämnat föreslås att det uttryckligen ska framgå av säkerhetsskyddslagen att en grundutredning bör omfatta följande personliga förhållanden; brottslighet, samröre med kriminella, kriminella nätverk, terroristorganisationer, extremistiska rörelser eller extremister, ekonomiska förhållanden, anknytning till utlandet, missbruk och hälsotillstånd .37Vid utformningen av förslaget har utredningen bl.a. utgått från kraven på säkerhetsprövning vid hantering av säkerhetsskyddsklassificerade EUuppgifter och Nato-uppgifter .38
36Prop. 1995/96:129 s. 41. 37SOU 2024:88 s. 155–173. 38 A.a. s. 157 och 129–136.
Samma förhållanden har av Säkerhetspolisen under utredningens arbete lyfts fram som omständigheter av direkt betydelse för säkerhetsprövningen. Vi gör därmed bedömningen att det är nämnda uppgiftskategorier som i första hand bör omfattas av registerkontrollen (vi återkommer till denna fråga i avsnitt 7.4.4).
Vad gäller frågan om registerkontrollen också bör användas för att hämta in och lämna ut andra uppgifter om den prövade, som alltså inte är av belastande karaktär eller erfarenhetsmässigt utgör sårbarheter utan snarare har betydelse för att bedöma de uppgifter som framkommit vid grundutredningen, är mer komplex.
Vi delar Säkerhetspolisens bedömning att det är av stor vikt att kunna verifiera de uppgifter som den prövade har lämnat under grundutredningen. Redan i förarbetena till 1996 års säkerhetsskyddslag konstaterades att det faktum att den prövade har lämnat oriktiga uppgifter är av betydelse för säkerhetsprövningen. Utredningen om en förbättrad process för säkerhetsprövningar har också gjort bedömningen att den omständigheten att den prövade ger felaktig eller vilseledande information, t.ex. vid ifyllandet av relevanta blanketter eller i säkerhetsprövningsintervjun, eller undanhåller information, är av betydelse för säkerhetsprövninge n.39Eftersom Säkerhetspolisen i sitt uppdrag har tillgång till stora mängder information, och möjligheterna att hantera stora informationsmängder hela tiden utvecklas, bedömer vi att det skulle vara praktiskt möjligt att i större utsträckning än vad som sker i dag använda registerkontrollen för att verifiera uppgifter från grundutredningen. De ändringar som Säkerhetspolisen efterfrågar skulle sannolikt också göra verktyget mer effektivt. Förutom att intresset av en så omfattande registerkontroll som Säkerhetspolisen efterfrågar måste vägas mot skyddet för den personliga integriteten och de resurser som ett sådant verktyg skulle kräva, kan det emellertid också konstateras att säkerhetsprövningsförfarandet i dag är utformat på ett sätt som begränsar möjligheterna att använda registerkontrollen på det sätt som Säkerhetspolisen förordar.
Under utredningens arbete har framkommit att varken Säkerhetspolisen (som gör en första bedömning av om uppgifterna som hämtas in kan antas vara av betydelse för säkerhetsprövningen) eller Registerkontrolldelegationen (som gör den slutliga relevansbedömningen) som utgångspunkt tar del av grundutredningen inför prövningen av om uppgifter som framkommit vid kontrollen ska lämnas
ut. Aktörerna har därför begränsade möjligheter att jämföra de utfall som kontrollen ger med uppgifterna som den prövade har lämnat vid grundutredningen, och saknar därmed förutsättningar att bedöma om de uppgifter som framkommit vid registerkontrollen är av relevans för säkerhetsprövningen av den anledningen att de inte stämmer överens med de uppgifter som den prövade har lämnat. Det finns alltså en inbyggd begränsning i systemet som leder till att enbart uppgifter som i sig eller tillsammans med andra bedöms vara belastande eller bedöms utgöra en sårbarhet (i förhållande till den aktuella befattningen) kan lämnas ut.
Den ordning som gäller i dag – där ingen av de inblandade aktörerna i säkerhetsprövningsprocessen har tillgång till all information som framkommit om den prövade – är, enligt vår bedömning, problematisk (vi återkommer till denna fråga nedan). Eftersom vårt uppdrag har varit begränsat till registerkontrollens innehåll har vi emellertid – vid bedömningen av vilka förslag vi ska lämna – haft att utgå från den ordning som gäller i dag och att det även fortsättningsvis är uppgifter som man erfarenhetsmässigt vet kan ha betydelse för bedömningen av en persons pålitlighet från säkerhetssynpunkt som ska omfattas av kontrollen. Det har därför inte varit aktuellt att lämna förslag om att registerkontrollen ska utvidgas till att omfatta alla uppgifter som Säkerhetspolisen har tillgång till i sitt uppdrag. Några närmare överväganden gällande hur en sådan lösning förhåller sig till t.ex. skyddet för den personliga integriteten och dataskyddslagstiftningen har därför inte gjorts. Vi har i stället, i samråd med Säkerhetspolisen, försökt identifiera de uppgifter som bedöms vara av störst betydelse för registerkontrollen i dag.
Det bör göras en översyn av hela säkerhetsprövningsförfarandet
Vi har haft i uppdrag att bedöma om registerkontrollen kan göras mer effektiv genom att fler eller andra uppgifter hämtas in. Under arbetets gång har det emellertid blivit tydligt att registerkontrollens effektivitet också till stor del påverkas av regleringen gällande utlämnande av uppgifter (relevansbedömningen) och utformningen av säkerhetsprövningsförfarandet i dess helhet (framför allt det faktum att flera olika aktörer är inblandade).
Säkerhetspolisen har, som nämnts ovan, framfört till utredningen att myndigheten anser att en för liten del av den information som hämtas vid registerkontrollen (och den särskilda personutredningen) lämnas ut till den aktör som ska göra själva säkerhetsprövningen. Myndigheten har i detta sammanhang särskilt pekat på svårigheterna med att bedöma relevansen av vissa uppgifter utan att jämföra dessa med övriga uppgifter som framkommit om den prövade.
Den problematik som Säkerhetspolisen har beskrivit berördes i förarbetena till den nuvarande säkerhetsskyddslagen. I likhet med vad Säkerhetspolisen har uppgett för utredningen, konstaterades då att det filter som Registerkontrolldelegationens prövning utgör är finmaskigt och att endast en mindre del av de uppgifter som hämtas, lämnas ut för säkerhetsprövning. I förarbetena konstaterades också att det vid kontakt med verksamheter som utför säkerhetsprövningar hade framkommit exempel på situationer där man senare fått kännedom om uppgifter om brottmålsdomar som för den aktuella anställningen och i ljuset av omständigheterna i övrigt ansetts vara av stor relevans för säkerhetsprövningen. Under remissförfarandet avseende den nya säkerhetsskyddslagen uppmärksammades också att möjligheterna för den som prövar utlämnandefrågan vid registerkontroll att göra en bedömning av uppgifternas betydelse ofta borde vara begränsade, eftersom man där inte har tillgång till all den information som kan påverka bedömningen av ärendet. Ordningen med att uppgifter lämnas ut efter en relevansprövning av Registerkontrolldelegationen bedömdes emellertid vara ett viktigt integritetsskyddande moment i säkerhetsprövningen. Några ändringar gjordes därför inte, förutom att det förtydligades att även omständigheter som kan innebära sårbarheter i säkerhetshänseende är av betydelse för säkerhetsprövningen .40
Liksom Säkerhetspolisen bedömer vi att det är problematiskt att de uppgifter som framkommer vid registerkontrollen inte bedöms i ljuset av de uppgifter som den prövade själv har lämnat och de övriga omständigheter som framkommit om personen i fråga. Detta särskilt eftersom säkerhetsprövningen handlar om personkännedom och om att identifiera och bedöma sårbarheter kopplade till varje enskild individ.
De förslag som vi lämnar bedöms i sig kunna leda till att något fler uppgifter lämnas ut. Detta eftersom kontrollen kan komma att
ge fler utfall som tillsammans kan antas vara av betydelse för säkerhetsprövningen. Det bör emellertid enligt vår mening också göras en översyn av hela säkerhetsprövningsförfarandet i syfte att bedöma om detta är ändamålsenligt utifrån de förhållanden som råder i dag. Det bör t.ex. övervägas om inte en och samma aktör, t.ex. en klareringsmyndighet, bör utföra alla moment som ingår i säkerhetsprövningen .41
De begränsningar som finns i systemet får, som nämnts ovan, direkt betydelse för våra förslag eftersom vi vid bedömningen av om det med hänsyn till den personliga integriteten är ändamålsenligt och proportionerligt att hämta olika uppgifter, har haft att beakta sannolikheten att de också i slutändan kommer att lämnas ut till den aktör som gör säkerhetsprövningen.
7.4.4. Det finns fler uppgifter som kan antas vara av betydelse för säkerhetsprövningen
Inledning
Vi har i avsnitt 7.4.3 redogjort för vilka omständigheter som typiskt sett anses vara av betydelse för säkerhetsprövningen och konstaterat att vi delar de bedömningar som har gjorts i denna fråga i förarbetena till säkerhetsskyddslagen och i betänkandet Säkerhetsprövningar –
nya regler (SOU 2024:88). Nedan redogör vi mer ingående för de
uppgifter och uppgiftskällor som vi har identifierat som relevanta för registerkontrollen, och varför uppgifterna bedöms vara av betydelse för säkerhetsprövningen.
Uppgifter om brottslighet och samröre med kriminella, kriminella nätverk, terroristorganisationer, extremistiska rörelser eller extremister
Uppgifter om brottslighet kan utan tvekan ha betydelse vid säkerhetsprövningen. Av särskilt intresse är naturligtvis uppgifter om att den prövade har begått eller försökt begå, konspirerat med eller hjälpt någon annan i syfte att utföra spioneri, terrorhandlingar eller sabotage. Dessa omständigheter kan nämligen antas innebära risk i loja-
41 Även Utredningen om en förbättrad process för säkerhetsprövningar har pekat på behovet av att göra en översyn av Registerkontrolldelegationens roll så som den är reglerad i dag. Detta med anledning av utvecklingen gällande bakgrundskontroller. Se SOU 2024:88 s. 161 f.
litetshänseende. Detsamma gäller ideologiskt motiverad brottslighet som hotar landets grundläggande demokratiska funktioner. Uppgifter om andra typer av brott kan emellertid också ha betydelse för säkerhetsprövningen. I betänkandet Säkerhetsprövningar – nya regler (SOU 2024:88) ges som exempel på brott som kan vara av betydelse bl.a. förmögenhetsbrott, dataintrång, uppvigling, bidragsbrott, bokföringsbrott, narkotikabrott och köp av sexuella tjänster. I betänkandet konstateras också att en uppgift om att en person har gjort sig skyldig till brott kan visa på t.ex. missbruksproblematik, ekonomiska svårigheter eller andra personliga förhållanden eller egenskaper som kan påverka den säkerhetsmässiga pålitlighetsbedömningen. En uppgift om att en person har gjort sig skyldig till brott kan också utgöra en sårbarhet eftersom det kan finnas en risk för att personen i fråga ger efter för påtryckningar av olika slag av rädsla för att uppgiften sprids .42
Vidare kan uppgifter om eventuellt samröre med eller andra kopplingar till kriminella, organiserad brottslighet och olika former av kriminella nätverk och organisationer, terroristorganisationer och extremistiska rörelser eller enstaka extremister ha betydelse för säkerhetsprövningen. Detta även om den prövade inte själv har lagförts för brott. Med samröre med kriminella menas t.ex. om det finns kriminella i den prövades närhet. I detta sammanhang avses med kriminella inte alla som någon gång begått en straffbar handling, utan personer som kan betraktas som just kriminella och som har mer eller mindre en kriminell livsstil. Kontakter med sådana personer kan, men behöver inte, innebära en sårbarhet och utgöra en risk från säkerhetssynpunkt .43
Vad gäller nu aktuella uppgifter kan det konstateras att det finns fler brottsbekämpande myndigheter än Polismyndigheten och Säkerhetspolisen, och som hanterar underrättelseuppgifter och uppgifter om konkreta brottsmisstankar som kan vara av betydelse vid en säkerhetsprövning, däribland Skatteverket och Tullverket. Det finns också myndigheter som, även om de inte benämns som brottsbekämpande myndigheter, har vissa brottsbekämpande uppdrag och därför har information som kan vara värdefull vid bedömningen av om en person är lämplig från säkerhetssynpunkt. En sådan myndighet är Kriminalvården. Kriminalvården ansvarar för att verkställa
42 Se bl.a. SOU 2024:88 s. 163 f. 43 Jfr a.a. s. 164 ff.
utdömda påföljder, bedriva häktesverksamhet och utföra personutredningar i brottmål. Myndigheten ska emellertid också bl.a. vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras, frigivningen förbereds, narkotikamissbruk bekämpas och innehållet i verkställigheten anpassas efter varje individs behov, och bedriver i detta syfte underrättelseverksamhet. Våra närmare överväganden och förslag gällande uppgifter som behandlas hos nämnda myndigheter finns i avsnitt 7.5.3 och 7.5.4.
Information om brottslighet finns också i andra länders kriminalregister. Sådana uppgifter är av särskilt intresse eftersom det endast uppställs krav på svenskt medborgarskap vid en anställning i staten, en kommun eller en region som är placerad i säkerhetsklass 1 eller
2. Kravet gäller alltså inte vid anställning i sådan verksamhet som är placerad i säkerhetsklass 3, eller annat deltagande i sådan verksamhet. Kravet gäller inte heller vid anställning eller annat deltagande i enskild säkerhetskänslig verksamhet, oavsett vilken säkerhetsklass det rör sig om. (Se 3 kap. 11 § säkerhetsskyddslagen.) I april 2012 inrättades det europeiska informationssystemet för kriminalregister (Ecris). Syftet med systemet är att förbättra utbytet av information om kriminalregister i hela EU. Samtliga EUländer är anslutna till Ecris. Ecris, som är ett decentraliserat system som baseras på medlemsstaternas nationella kriminalregister, ger tillgång till berörda personers kriminalregisteruppgifter, inklusive i vilka EU-länder personen tidigare har dömts. I syfte att underlätta inhämtande av uppgifter om tidigare fällande domar gällande tredjelandsmedborgare och statslösa presenterade EU-kommissionen ett förslag till förordning för att inrätta ett centraliserat system som ska drivas av EU:s byrå för storskaliga it-system. Systemet kallas för Ecris-TCN. En överenskommelse om denna förordning nåddes under våren 2019. Systemet är under utveckling och förväntades vara i drift 202 2.44Vid kontakt med Polismyndigheten, som är centralmyndighet för Ecris-samarbetet i Sverige, har vi emellertid fått information om att driftsättningen har försenats och att systemet förväntas vara i drift i slutet av 2025. Frågan om uppgifter om utländska domar bör omfattas av registerkontrollen behandlas vidare i avsnitt 7.5.2.
44 Europeiska kommissionen, European Criminal Records Information System (ECRIS), https://commission.europa.eu/law/cross-border-cases/judicial-cooperation/tools-judicialcooperation/european-criminal-records-information-system-ecris_en (hämtad 2025-03-15).
I detta sammanhang kan även nämnas att 2021 års bidragsbrottsutredning (S 2021:03) har lämnat förslag om att ett system med administrativa sanktionsavgifter ska införas avseende bidragsbrott som understiger ett halvt prisbasbelopp. Uppgifter om beslutade sanktionsavgifter ska, enligt förslaget, samlas i ett nytt register (sanktionsavgiftsregistret) som ska administreras av Utbetalningsmyndigheten .45Eftersom förslaget fortfarande behandlas inom Regeringskansliet lämnar vi inga förslag som rör det föreslagna sanktionsavgiftsregistret. Om förslagen skulle genomföras kan det emellertid finnas anledning att överväga om inte också sanktionsavgiftsregistret ska omfattas av registerkontrollen.
Uppgifter om anknytning till utlandet
I förarbetena till den nuvarande säkerhetsskyddslagen anges att det inte går att bortse från att medborgarskap i något annat land innebär ett starkt band till det landet. Det framhålls också att en säkerhetsprövning alltid ska innebära en allsidig bedömning och bestå av ett brett beslutsunderlag där omständigheter som kan påverka lojaliteten i säkerhetshänseende, exempelvis medborgarskap, alltid bör vägas in .46Förarbetena till 1996 års säkerhetsskyddslag beskriver förbindelser med utländska medborgare och resor i utlandet, som kan ha resulterat i kontakter med främmande underrättelseorganisationer, som en riskfaktor av betydelse vid säkerhetsprövningen .47Samma bedömning görs i propositionen med förslag till lag om civilt försvar. Där anges att det i en kris- eller krigssituation kan hända att en utländsk medborgare många gånger har sin lojalitet hos det land där han eller hon är medborgare samt att utländska medborgare i tider av ökade internationella spänningar kan komma att utsättas för olika former av påtryckningar. Vidare uttalas att risken för lojalitetskonflikter är betydligt större än för den som är svensk medborgar e.48
Säkerhetspolisen skriver i myndighetens vägledning i personalsäkerhet att kopplingar till länder som utgör ett säkerhetshot mot Sverige är en vanligt förekommande sårbarhet och tar även upp med-
45 Se 8 kap. i SOU 2022:37 och SOU 2023:52 s. 493 ff. 46Prop. 2017/18:89 s. 90. 47Prop. 1995/96:129 s. 41. 48Prop. 1994/95:7 s. 87 f.
borgarskap och kontakter i utlandet som exempel på frågeområden vid en säkerhetsprövningsintervju .49Säkerhetspolisen har också i en hemställan till regeringen, som låg till grund för det uppdrag som Utredningen om en förbättrad process för säkerhetsprövningar har haft, utvecklat myndighetens syn på utländska medborgarskap och andra kopplingar till utlandet och på vilket sätt nämnda omständigheter kan utgöra sårbarheter. Av hemställan framgår bl.a. att ett sätt för främmande makt att få tag på hemlig information är att använda sig av underrättelseofficerare som värvar personer med tillgång till uppgifterna eller som kan skaffa sådan, samt att värvning sker genom frivilligt samarbete men också genom att utnyttja sårbarheter hos personerna i fråga. Ett exempel på sådana sårbarheter är, enligt Säkerhetspolisen, att en person har familjeband, kulturella band eller rättsliga band i det aktuella landet. Det faktum att en person har släkt eller betydande ägarintressen i ett land som bedriver säkerhetshotande verksamhet mot Sverige kan alltså utnyttjas för att sätta press på personen att samarbeta. Det finns, enligt uppgift i nämnda hemställan, flera fall som Säkerhetspolisen känner till som rör personer som har släktningar i ett för Sverige antagonistiskt land och det är känt att det i sådana situationer kan uppstå konflikt mellan lojaliteten mot Sveriges säkerhet och familjen utomlands. Av hemställan framgår också att det finns länder som, bl.a. enligt uttrycklig lagstiftning, förväntar sig att deras medborgare bosatta i utlandet samarbetar med myndigheterna i hemlandet för att det landet ska komma över säkerhetsskyddsklassificerade uppgifter .50
Utredningen om en förbättrad process för säkerhetsprövningar har gjort bedömningen att uppgifter om anknytning till utlandet är av sådan betydelse för säkerhetsprövningen att dessa bör omfattas av grundutredningen. Utredningen pekar särskilt på att syftet med säkerhetsprövningen inte är att utesluta personer med utländskt medborgarskap eller anknytning till utlandet, utan att verksamhetsutövaren ska få en så god personkännedom som möjligt. Mot bakgrund av vad Säkerhetspolisen har uppgett om myndighetens kännedom om hur främmande makt arbetar för att få tillgång till skyddsvärda uppgifter, delar vi bedömningen att den här typen av uppgifter kan antas vara av betydelse för säkerhetsprövningen. Utredningen av
49 Säkerhetspolisens vägledning i säkerhetsskydd, Personalsäkerhet, version januari 2023, s. 18 och 31. 50 En närmare redogörelse för hemställan finns i det betänkande som Utredningen om en förbättrad säkerhetsprocess har överlämnat till regeringen, se SOU 2024:88 s. 95–98.
den prövades kopplingar till utlandet handlar, som Säkerhetspolisen har pekat på, inte bara om att upptäcka insiders utan också om att försöka förutse vilka som kan komma att utsättas för påtryckningar om de får tillgång till säkerhetsskyddsklassificerade uppgifter.
Med anknytning till utlandet avses medborgarskap i ett annat land men även annan anknytning till utlandet som t.ex. tidigare hemvist i ett annat land, släktingar i ett annat land eller utlandsstationeringar och återkommande utlandsvistelser .51
Den myndighet som har mest information att bidra med i detta avseende är Migrationsverket, som bl.a. ansvarar för frågor som rör uppehållstillstånd, arbetstillstånd och medborgarskap. Våra närmare överväganden vad gäller uppgifter som behandlas hos Migrationsverket finns i avsnitt 7.5.6.
Vi har under utredningens gång även undersökt möjligheterna att hämta s.k. PNR-information vid registerkontroll. Med detta avses PNR-uppgifter (uppgifter om varje enskild passagerare som har lämnats vid bokning av en flygresa och vid incheckning) och resultatet av en enhet för passagerarinformations behandling av sådana uppgifter. Behandlingen av sådana uppgifter regleras i lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen. Eftersom lagen baseras på ett EU-direktiv vars syfte är att bekämpa terrorism och annan grov brottslighet, är det emellertid tveksamt om det skulle vara förenligt med EU-rätten att utvidga lagens tillämpningsområde till att även omfatta säkerhetsprövningar. Till det kommer att EU-domstolen i en dom meddelad den 21 juni 2022 i mål C-817/19, PNR-domen, i flera avseenden inskränker direktivet. De uttalanden som domstolen gör i domen har lett till att flera medlemsstater har ändrat sin inhemska lagstiftning på området, bl.a. vad gäller lagringstid. Även den svenska lagstiftningens förenlighet med EU-rätten kan behöva ses över med anledning av avgörandet. Mot bakgrund av den osäkerhet som finns gällande möjligheterna att använda sig av uppgifterna har vi valt att inte lämna några förslag som rör PNR-uppgifter. Vi ser emellertid att uppgifterna skulle kunna vara av betydelse för säkerhetsprövningen och det kan därför finnas anledning att längre fram utreda frågan om uppgifterna kan användas i detta syfte.
51 Jfr SOU 2024:88 s. 168.
Uppgifter om den kontrollerades ekonomiska förhållanden
I förarbetena till 1996 års säkerhetsskyddslag nämns dålig ekonomi som en riskfaktor som kan ha betydelse vid prövningen av pålitlighet från säkerhetssynpunkt, och att faktorer som ”ekonomiska trassligheter” erfarenhetsmässigt visat sig kunna vara betydelsefulla för personers villighet att låta sig värvas av främmande länders underrättelseorganisationer .52I Totalförsvarets forskningsinstituts rapport om spionage i Europa konstateras att pengar är ett av de vanligaste motiven till att vilja begå s.k. insiderbrott eller förräder i.53Inhämtande och kontroll av uppgifter om ekonomiska förhållanden är redan i dag en viktig del av säkerhetsprövningen. Sådana uppgifter hämtas emellertid inte vid registerkontroll, utan enbart vid särskild personutredning (dvs. endast vid säkerhetsprövning i säkerhetsklass 1 och 2).54
Uppgifter som rör personers ekonomiska förhållanden finns i flera olika myndighetsregister. Av resursskäl bedömer vi emellertid att kontrollen av ekonomiska förhållanden inom ramen för registerkontrollen bör begränsas till uppgifter som behandlas hos Kronofogdemyndigheten. En fördjupad undersökning av ekonomiska förhållanden bör, enligt vår bedömning, i stället göras inom ramen för den särskilda personutredningen och då i den omfattning som behövs med hänsyn till omständigheterna i det enskilda fallet. Vi återkommer till detta i avsnitt 7.5.7 och 7.9.
I detta sammanhang kan också särskilt nämnas att Säkerhetspolisen även vid registerkontroll har möjlighet att hämta andra uppgifter än sådana som uttryckligen anges i 3 kap. 14 § andra och tredje stycket säkerhetsskyddslagen om det finns synnerliga skäl (se 3 kap. 14 § fjärde stycket säkerhetsskyddslagen). Vi lämnar inte några förslag som begränsar den möjligheten.
Andra uppgifter som kan antas vara av betydelse för säkerhetsprövningen
Det finns också vissa andra omständigheter som bör klarläggas inom ramen för en säkerhetsprövning och som skulle kunna kontrolleras vid registerkontroll.
52Prop. 1995/96:129 s. 41 och 44. 53 M. Jonsson och J. Gustafsson, Espionage by Europeans 2010-2021 – A preliminary Review
of court cases, FOI-R—5312—SE, maj 2022, s.44.
54 Som skäl för denna ordning anges i förarbetena resursskäl, se prop. 1995/96:129 s. 48.
I våra direktiv nämns särskilt uppgifter om den prövades rätt att vistas i Sverige. Den omständigheten att den prövade saknar uppehållstillstånd är en uppenbar sårbarhet som kan utnyttjas av en antagonist. Detsamma gäller enligt vår bedömning avsaknad av arbetstillstånd. Sådana uppgifter finns hos Migrationsverket, och frågorna behandlas vidare i avsnitt 7.5.6.
Av förarbetena till 1996 års säkerhetsskyddslag framgår att klarläggandet av en persons lojalitet och pålitlighet påkallar ett behov av att utreda och ta ställning till om t.ex. missbruk av olika slag innebär att den kontrollerade kan löpa en särskild risk att utsättas för påtryckningar. Vidare uttalas att faktorer som missbruksproblem erfarenhetsmässigt visat sig kunna vara av betydelse för personers villighet att låta sig värvas av främmande länders underrättelseorganisationer .55Missbruk kan också leda till försämrat omdöme, slarv och oaktsamhet med skyddsvärden .56
Utredningen om en förbättrad process för säkerhetsprövningar har av nämnda skäl föreslagit att grundutredningen bör omfatta uppgifter om den prövades bruk av och inställning till alkohol, narkotika samt dopningsmedel. Utredningen pekar också på att även annan känd missbruks- eller beroendeproblematik, som inte är substansrelaterad (t.ex. spelmissbruk), kan vara relevant att fråga o m.57
Uppgifter om droganvändning kan finnas hos de brottsbekämpande myndigheterna och i belastningsregistret eller misstankeregistret. Det faktum att en person har problem med spelmissbruk kan framgå genom kontrollen av den prövades ekonomiska förhållanden. Det faktum att den prövade har alkoholrelaterade problem kan framgå genom t.ex. domar som rör rattfylleri eller andra brott med koppling till högt alkoholintag. Polisen gör emellertid också ingripanden med stöd av lagen (1976:511) om omhändertagande av berusade personer m.m., och uppgifter om sådana ingripanden kan också visa på att det finns en missbruksproblematik. Våra närmare överväganden gällande uppgifter om sådana omhändertagande finns i avsnitt 7.5.5.
55Prop. 1995/96:129 s. 28, 41 och 44 samt SOU 1994:149 s. 166. 56 Jfr SOU 2024:88 s. 170. 57 A.a. s. 170.
7.5. Registerkontrollen bör utvidgas till att omfatta fler register och uppgifter
Förslag: Registerkontrollen utvidgas till att avse fler register
och uppgifter än de som omfattas av registerkontrollen i dag. Säkerhetspolisen ska, utöver de uppgifter som får hämtas i dag, även få hämta uppgifter om utländska domar. Säkerhetspolisen ska också få hämta vissa uppgifter som behandlas hos Skatteverket, Tullverket, Kriminalvården, Transportstyrelsen, Migrationsverket och Kronofogdemyndigheten.
Uppgifterna ska få hämtas vid registerkontroll avseende samtliga tre säkerhetsklasser och vid registerkontroll utan placering i säkerhetsklass enligt 3 kap. 15 § säkerhetsskyddslagen.
7.5.1. Inledning
Vi har i tidigare avsnitt bl.a. redogjort för säkerhetsprövningsförfarandet, relevanta delar av dataskyddslagstiftningen och våra överväganden vad gäller behovet av att utvidga och fördjupa registerkontrollen. Vi har även utvecklat vår syn på vilka uppgifter som typiskt sett kan antas vara av betydelse för säkerhetsprövningen och översiktligt redogjort för olika uppgifter som skulle kunna vara av sådan betydelse, men som i dag inte omfattas av kontrollen. Detta avsnitt innehåller fördjupade överväganden gällande de uppgifter som vi har identifierat som relevanta för säkerhetsprövningen och våra förslag. Vi redogör också för de lagändringar som vi bedömer är nödvändiga för att uppgifterna ska kunna hanteras på det sätt som förslagen förutsätter. I avsnittet gör vi vissa överväganden gällande hur förslagen förhåller sig till skyddet för den personliga integriteten. En mer djupgående analys av den frågan finns i avsnitt 7.11.
7.5.2. Uppgifter om utländska domar
Förslag: Säkerhetspolisen ska vid registerkontroll få hämta upp-
gifter från register som omfattas av rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll, och Europaparlamentets och rådets förordning (EU) 2019/816 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726.
Bedömning: Det finns inte behov av att införa ytterligare bestäm-
melser för den personuppgiftsbehandling som förslaget medför.
Utbyte av information om brottmålsdomar inom EU
Ecris
Ecris är ett informationssystem för utbyte av uppgifter ur kriminalregister inom EU som har varit i bruk sedan 2012. Syftet med systemet är att förbättra utbytet av uppgifter ur kriminalregister mellan medlemsstaterna. Förutsättningarna för användningen av systemet regleras i rambeslutet om Ecri s58.Rambeslutet har genomförts i svensk rätt genom framför allt ändringar i lagen om belastningsregister och förordningen (1999:1134) om belastningsregister .59
Enligt rambeslutet ska varje medlemsstat som meddelar en dom mot en annan medlemsstats medborgare informera medborgarstaten om domen. Medborgarstaten ska därefter lagra informationen. På så vis får varje medlemsstat samlad information om brottmålsdomar som har meddelats inom EU mot de egna medborgarna. Den informationen kan därefter vidarebefordras vid förfrågningar från andra medlemsstater. Detta innebär att det är tillräckligt att vända
58 Rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll. 59Prop. 2021/22:172 s. 18 f.
sig till medborgarstaten för att få tillgång till uppgifter om samtliga domar som har meddelats inom EU mot en viss person.
Ecris är ett decentraliserat system som baseras på medlemsstaternas nationella kriminalregister. Det är alltså inte fråga om en EU-gemensam databas och systemet innebär inte att medlemsstaterna har direktåtkomst till andra medlemsstaters kriminalregister. Allt utbyte av belastningsuppgifter via Ecris går genom centralmyndigheter som varje medlemsstat har utsett för detta syft e.60I Sverige är Polismyndigheten centralmyndighet (se bilagan till förordningen [2022:1718] med instruktion för Polismyndigheten).
I rambeslutet specificeras vilka uppgifter om domen och den dömde som den dömande medlemsstaten ska överföra till medborgarstaten. Det rör sig bl.a. om identitetsuppgifter som namn och födelsedatum. Även uppgifter om t.ex. fingeravtryck och eventuell pseudonym eller alias ska överföras om sådana uppgifter är tillgängliga för centralmyndigheten i den dömande medlemsstaten (artikel 11).
I artikel 7 i rambeslutet finns bestämmelser om svar på en ansökan om uppgifter om domar. Av artikeln framgår att det bara finns en skyldighet att lämna ut uppgifter om domar om uppgifterna ska användas vid ett brottmålsförfarande. När en ansökan om utdrag ur kriminalregistret riktas till centralmyndigheten i den medlemsstat där personen är medborgare av andra skäl än ett brottmålsförfarande, ska centralmyndigheten svara enligt sin nationella lagstiftning (det är alltså inte säkert att alla medlemsstater kommer att lämna ut uppgifter när syftet med begäran från Sverige är säkerhetsprövning av personal).
I artikel 9 finns bestämmelser om villkor för användning av personuppgifter. Av artikeln framgår bl.a. att personuppgifter som har tillhandahållits för något annat ändamål än ett brottmålsförfarande får användas av den ansökande medlemsstaten i enlighet med dess nationella lagstiftning endast för de ändamål för vilka de begärts och med beaktande av de begränsningar som den anmodade medlemsstaten angett.
Av 41 § belastningsregisterförordningen framgår att en svensk myndighet som har rätt att få uppgifter ur belastningsregistret enligt belastningsregisterlagen eller förordningen, får begära uppgifter ur en annan medlemsstats kriminalregister med stöd av rambeslutet. Av
60 A.a. s. 18.
bestämmelsen framgår vidare att begäran ska göras till Polismyndigheten och innehålla uppgift om för vilket ändamål som uppgifterna begärs, samt att Polismyndigheten ska inhämta uppgifterna och vidarebefordra dessa till den myndighet som begärt dem. Av 6 § belastningsregisterlagen följer att personuppgifter ur belastningsregistret ska lämnas ut om det begärs av bl.a. Säkerhetspolisen för att förebygga, förhindra eller upptäcka brottslig verksamhet och utreda brott .61
Ecris-TCN
Även om Ecris kan användas oavsett den dömdes medborgarskap innebär systemet i praktiken endast effektivt utbyte av information om dömda unionsmedborgare (uppgifter om en unionsmedborgare samlas i medborgarlandets register, för att hitta information om tredjelandsmedborgare måste man vända sig till varje enskild medlemsstat med förfrågan om personen förekommer). I syfte att möjliggöra ett effektivt utbyte mellan medlemsstaterna även när det gäller kriminalregisteruppgifter om tredjelandsmedborgare har EU antagit förordningen om Ecris-TC N62.
Förordningen, som är direkt tillämplig i medlemsstaterna, lägger fast regler om inrättandet av ett centralt system på unionsnivå. Det nya systemet – Ecris-TCN – är inte avsett att ersätta det befintliga Ecris, utan kommer att fungera som ett komplement. Ecris-TCN kommer inte att innehålla några uppgifter om domar, utan endast sådana uppgifter som krävs för att identifiera de medlemsstater som innehar kriminalregisteruppgifter om tredjelandsmedborgare. Förordningen innehåller, förutom reglering av systemets tekniska utformning och drift, framför allt bestämmelser om vilka uppgifter som varje medlemsstats centralmyndighet ska föra in i Ecris-TCN när en tredjelandsmedborgare döms samt hur medlemsstaterna ska
61 Säkerhetspolisens uppgift att utföra registerkontroller enligt säkerhetsskyddslagen har, i vart fall indirekt, ansetts utgöra brottsbekämpande verksamhet. Jfr bl.a. prop. 2009/10:85 s. 258, prop. 2013/14:110 s. 480 f., prop. 2018/19:163 s. 53 och prop. 2020/21:194 s. 68. Vi har inte haft anledning att göra någon annan bedömning. Bestämmelsen bör därmed vara tillämplig även när Säkerhetspolisen utför registerkontroll. 62 Europaparlamentets och rådets förordning (EU) 2019/816 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726.
och får använda sig av systemet. Därutöver innehåller förordningen även bestämmelser om bl.a. lagring och ändring av uppgifter samt dataskydd och tillsyn.
Förordningen omfattar i första hand tredjelandsmedborgare, dvs. personer som inte är unionsmedborgare eller som är statslösa eller vars medborgarskap är okänt. Av artikel 2 framgår emellertid att regleringen också – med ett undantag – omfattar unionsmedborgare som även är medborgare i ett tredjeland.
Med fällande dom avses i förordningen ett lagakraftvunnet avgörande av en brottmålsdom om avgörandet registreras i den dömande medlemsstatens kriminalregister (artikel 3.1).
I artikel 3.5 anges att med centralmyndighet avses en myndighet som utsetts i enlighet med artikel 3.1 i rambeslutet om Ecris. För svensk del innebär det att Polismyndigheten är centralmyndighet enligt förordningen.
Kapitel II innehåller bestämmelser om centralmyndigheternas införande och användning av uppgifter i Ecris-TCN. Systemet bygger på att den dömande medlemsstatens centralmyndighet skapar en uppgiftspost för varje dömd tredjelandsmedborgare. Uppgiftsposten ska innehålla olika identitetsuppgifter i form av alfanumeriska uppgifter – bl.a. namn, födelsedatum och medborgarskap – och uppgifter om fingeravtryck. Uppgiftsposterna får även innehålla ansiktsbilder om den dömande medlemsstatens rätt tillåter att dömda personers ansiktsbilder samlas in och lagras (artikel 5).
I artikel 7 regleras ändamålen som Ecris-TCN ska användas för. Det framgår bl.a. att centralmyndigheterna ska använda Ecris-TCN för att identifiera de medlemsstater som har uppgifter i kriminalregister om en tredjelandsmedborgare i syfte att få uppgifter om tidigare fällande domar via Ecris när begäran om uppgifter ur kriminalregistret görs inom ramen för ett brottmålsförfarande. Om det är i enlighet med nationell rätt ska Ecris-TCN även användas för ett antal andra uppräknade ändamål, såsom säkerhetsgodkännanden och prövning inför anställning. En myndighet som begär uppgifter ur kriminalregistret får emellertid besluta att användning av Ecris-TCN i ett visst fall inte är lämplig.
Medlemsstaterna har även möjlighet att använda Ecris-TCN för andra ändamål än de som anges i bestämmelsen, förutsatt att det föreskrivs i nationell rätt. Kommissionen ska i så fall underrättas om ändamålen.
En träff i Ecris-TCN innebär att den sökande centralmyndigheten får information om vilka andra medlemsstater som har uppgifter om fällande domar mot en viss tredjelandsmedborgare. För att få information om vad domarna innebär måste en träff i Ecris-TCN följas upp genom en ansökan via Ecris. Av artikel 7.7 a framgår att resultatet av en sökning som en centralmyndighet utför i Ecris-TCN endast får användas för att göra en sådan ansökan enligt rambeslutet om Ecris.
I kapitel III finns bestämmelser om bl.a. lagringsperioder för uppgifter. Varje uppgiftspost ska lagras så länge som uppgifter avseende de fällande domarna lagras i kriminalregistret. Den dömande medlemsstatens centralmyndighet ska radera uppgiftsposten senast en månad efter lagringsperiodens utgång (artikel 8). Vidare finns i artikel 9 bestämmelser om ändring och radering av uppgifter samt förfarandet när en dömande medlemsstat har anledning att tro att uppgifter som den har registrerat är felaktiga eller har behandlats i strid med förordningen.
I kapitel V finns bestämmelser om dataskyddsrättigheter och tillsyn. Av kapitlet framgår bl.a. att varje centralmyndighet är personuppgiftsansvarig för behandling av personuppgifter som utförs enligt förordningen (artikel 23).
Kompletterande bestämmelser till förordningen finns i lagen (2022:733) med kompletterande bestämmelser till EU:s förordning om Ecris-TCN. Av regelverket framgår att Ecris-TCN ska användas bl.a. när det görs en sökning i belastningsregistret efter begäran av en myndighet, om inte myndigheten i ett visst fall beslutar att Ecris-TCN inte ska användas (3 och 4 §§).
Ecris-TCN är ännu inte driftsatt, och av artikel 35 i förordningen framgår att kommissionen senare, när vissa villkor är uppfyllda, kommer att fastställa den dag från och med vilken medlemsstaterna ska börja föra in de uppgifter som avses i artikel 5 i systemet. Något sådant beslut har ännu inte fattats. Den svenska lagen med kompletterande bestämmelser utfärdades i juni 2022 men har ännu inte trätt i kraft. Lagen träder i kraft den dag som regeringen bestämmer.
Utländska domar bör omfattas av registerkontrollen
Vi har tidigare konstaterat att uppgifter om att den prövade har begått brott kan antas vara av betydelse för bedömningen av om personen är lojal och pålitlig från säkerhetssynpunkt. Sådana uppgifter hämtas dessutom redan i dag inom ramen för registerkontrollen. Eftersom svenskt medborgarskap inte är ett krav för allt deltagande i säkerhetskänslig verksamhet som är placerat i säkerhetsklass, bedömer vi att det är av stor vikt att det finns möjlighet att inom ramen för säkerhetsprövningsförfarandet kontrollera om den prövade förekommer i ett annat EU-lands kriminalregister.
Säkerhetspolisen har under arbetet med utredningen särskilt pekat på svårigheterna med att göra bakgrundskontroller avseende personer som har varit i Sverige en kortare tid eller som har spenderat mycket tid i andra länder. En möjlighet att inhämta uppgifter om utländska domar skulle enligt vår bedömning leda till en mer kvalitativ kontroll av sådana personer.
Personuppgifter som rör lagöverträdelser är särskilt integritetskänsliga. Uppgifter från belastningsregistret och misstankeregistret kontrolleras emellertid redan i dag, och det finns enligt vår bedömning inte skäl att vid en avvägning mellan skyddet för den personliga integriteten och behovet av uppgifterna göra en annan bedömning vad gäller uppgifter i andra medlemsstaters kriminalregister.
Ett problem som vi har identifierat vad gäller inhämtande av uppgifter genom Ecris-systemet är att det kan medföra längre ledtider för kontrollerna. Vid ansökan om utdrag ur andra medlemsstaters kriminalregister används ett särskilt formulär som ska fyllas i och översändas till den anmodade medlemsstaten. Svar på ansökan ska överföras till den ansökande medlemsstaten omgående, och under alla omständigheter inom högst tio arbetsdagar från den dag då ansökan inkommit (se artikel 6 och 8 i rambeslutet om Ecris). Vi har lyft denna fråga med Säkerhetspolisen och fått besked om att det är Säkerhetspolisens uppfattning att den tidsutdräkt som kan uppstå får anses vara godtagbar med hänsyn till vikten av att få del av aktuella uppgifter. Detta särskilt med hänsyn till att inhämtande av uppgifter om utländska domar inte kommer att aktualiseras vid alla registerkontroller.
Vi ansluter oss till Säkerhetspolisens bedömning i denna fråga. Härvid kan också nämnas att det av lagtexten framgår att Säkerhets-
polisen ”får” hämta uppgifter (jfr 3 kap. 14 § andra och tredje stycket säkerhetsskyddslagen). Det finns alltså utrymme för Säkerhetspolisen att bedöma i vilken utsträckning nu aktuella uppgifter ska hämtas och det bör därmed ankomma på Säkerhetspolisen att göra nödvändiga avvägningar mellan behovet av uppgifterna och den tidsutdräkt som ett inhämtande innebär (inte bara vid sådana kontroller som görs inför ett deltagande, utan också vid de löpande kontroller som görs under tiden som ett deltagande pågår).
Som nämnts ovan finns det ingen skyldighet för andra medlemsstater att lämna ut uppgifter via Ecris om begäran inte görs inom ramen för ett brottmålsförfarande. Polismyndigheten har till utredningen uppgett att svarsfrekvensen från andra länder varierar och att många länder kräver samtycke från den enskilde vid förfrågningar som sker för ett annat ändamål än brottmålsförfaranden. Detta utgör emellertid, enligt vår bedömning, inte skäl att undanta uppgifterna från registerkontrollen.
Sammantaget gör vi bedömningen att uppgifter om utländska domar som kan hämtas via Ecris och Ecris-TCN ska omfattas av registerkontrollen.
Som nämnts ovan är Ecris-TCN ännu inte driftsatt. Eftersom detta, enligt de uppgifter som vi har fått till oss från Polismyndigheten, verkar vara nära förestående har vi ändå valt att lämna förslag om att uppgifter i systemet ska omfattas av registerkontrollen.
Vi har ovan redogjort för under vilka förutsättningar uppgifter om utländska domar får hämtas och lämnas ut. Vi gör bedömningen att det inte finns behov av att införa ytterligare bestämmelser för den personuppgiftshantering som förslaget medför. Vi återkommer till detta i avsnitt 7.11.4.
7.5.3. Uppgifter som behandlas hos Skatteverket och Tullverket
Förslag: Säkerhetspolisen ska vid registerkontroll få hämta upp-
gifter som behandlas med stöd av lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Bedömning: Det finns inte behov av att införa ytterligare bestäm-
melser för den personuppgiftsbehandling som förslaget medför.
Skatteverkets uppdrag
Inom Skatteverket finns ett flertal olika verksamheter. En av dessa är beskattningsverksamheten (inklusive fastighetstaxeringen och statens borgenärsroll) som främst fastställer och tar ut skatt och fastställer rättvisande taxeringsvärden på fastigheter. I denna verksamhet ryms även bl.a. att bevaka statens fordringar i konkurser och myndighetens handläggning enligt systemet för stöd vid korttidsarbete. En annan verksamhet är folkbokföringsverksamheten som bl.a. ansvarar för frågor om folkbokföring och personnamn. Vidare finns verksamheten för utfärdande av identitetskort för folkbokförda i Sverige (id-kortsverksamheten). Ytterligare verksamheter är bl.a. den brottsbekämpande verksamheten, registrering av bouppteckningar, äktenskapsregistret och Statens personadressregister, SPAR.
Närmare om den brottsbekämpande verksamheten
Skatteverket har en ny organisation sedan den 1 september 2024. En del i den nya organisationen är en nyinrättad brottsbekämpningsavdelning. Brottsbekämpningsavdelningen är en av tio avdelningar inom Skatteverket. Avdelningens uppdrag är att förebygga, motverka och utreda ekonomisk brottslighet, allvarligt skatteundandragande, både nationellt och internationellt, och folkbokföringsbrott. Brotts-
bekämpningsavdelningen ska också motverka organiserad brottslighet och arbetslivskriminalitet. I uppdraget ingår dessutom underrättelseverksamhet. Arbetsområdet bestäms av Skatteverkets uppdrag på området (se 6 § förordningen [2017:154] med instruktion för Skatteverket), myndighetssamverkan och genom underrättelser, riskanalyser och urval. Avdelningen ska, enligt Skatteverket, vara en ”grindvakt” och förebygga att företag används som brottsverktyg.
Skatteverkets brottsbekämpande verksamhet regleras särskilt i lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet. Av 1 och 2 §§ nämnda lag framgår att Skatteverket, på begäran av åklagare, får medverka i förundersökningar, utredningar av brott innan förundersökning har inletts och vid utredningar om självständigt förverkande avseende vissa typer av brott som har koppling till Skatteverkets verksamhet. Det rör sig om brott enligt
- skattebrottslagen (1971:69),
- 30 kap. 1 § första stycket 4 aktiebolagslagen (2005:551),
- 11 § tredje stycket lagen (1967:531) om tryggande av pensionsutfästelse m.m.,
- 4 kap. 6 b §, 14 kap.1–4 och 10 §§ och 15 kap.10–13 §§brottsbalken, om gärningen avser uppgift eller handling i ärende hos Skatteverket,
- 9 kap.1–3 och 11 §§brottsbalken, om gärningen har samband med Skatteverkets verksamhet enligt lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete, lagen (2013:948) om stöd vid korttidsarbete, eller lagen (2020:1066) om förfarandet vid skattereduktion för installation av grön teknik,
- 11 kap. 5 § brottsbalken,
- lagen (2014:836) om näringsförbud,
- folkbokföringslagen (1991:481),
- lagen (2014:307) om straff för penningtvättsbrott, och
- lagen (2020:548) om omställningsstöd.
Skatteverket får medverka vid undersökning också i fråga om annat brott, om åklagaren anser att det finns särskilda skäl för detta (1 § andra stycket lagen om Skatteverkets brottsbekämpande verksamhet).
Utöver det brottsutredande arbetet bedrivs inom avdelningen också ett brottsbekämpande arbete som inte avser utredning av konkreta brott. Av 6 § lagen om Skatteverkets brottsbekämpande verksamhet framgår att Skatteverket ska förebygga, förhindra och upptäcka sådan brottslighet som avses i 1 § första stycket, dvs. skattebrott, bokföringsbrott och vissa andra särskilt angivna brott (se uppräkningen ovan). Skatteverket ska alltså även bedriva underrättelseverksamhet. Sådan verksamhet utförs med anledning av misstankar om pågående brottslig verksamhet som inte kan konkretiseras och där förundersökning inte kan inledas, eller allmänna misstankar om framtida brott, dvs. som ännu inte har nått det stadium då handlandet är straffbart.
I underrättelseverksamheten samlas information in från olika håll. Bl.a. erhålls informationen från öppna källor och andra myndigheter eller genom tips som inkommer till den brottsbekämpande verksamheten. Informationen kan bearbetas och ligga till grund för analyser när det gäller förväntad eller pågående brottslighet. Syftet med underrättelseverksamheten är i huvudsak att ta fram underlag för vilken inriktning en verksamhet ska ha eller för att initiera konkreta brottsutredningar. Information som genereras inom underrättelseverksamheten lämnas vidare till andra brottsbekämpande myndigheter, andra verksamheter inom Skatteverket och andra myndigheter.
Sedan några år tillbaka finns en särskild uppgiftsskyldighet mellan den brottsbekämpande verksamheten och vissa andra delar av Skatteverkets verksamheter. Uppgifter som t.ex. förekommer i beskattningsverksamheten eller folkbokföringsverksamheten ska lämnas till underrättelseverksamheten om uppgiften kan antas ha samband med viss misstänkt brottslig verksamhet. Uppgiftsskyldigheten har förts in i 7–9 §§ lagen om Skatteverkets brottsbekämpande verksamhet. En uppgift som omfattas av sekretess ska inte lämnas med stöd av uppgiftsskyldigheten om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut.
Andra myndigheter är också skyldiga att lämna uppgifter till Skatteverket. Som nämnts ovan är Skatteverket en av de myndig-
heter som ingår i den myndighetsgemensamma satsningen mot organiserad brottslighet och myndigheten ska därför som utgångspunkt få del av uppgifter som behövs för myndighetens deltagande i samverkan, trots sekretess (2 § förordningen [2016:775] om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet). I propositionen Ökat informationsflöde till brottsbekämpningen (prop. 2024/25:65), finns dessutom förslag om att det ska införas en ny lag som ger ett antal statliga myndigheter samt kommuner, regioner och skolor en skyldighet att både på begäran och på eget initiativ lämna uppgifter till de brottsbekämpande myndigheterna, däribland Skatteverket. Den nya lagen föreslås träda i kraft den 1 april 2025.
Informationshantering inom Skatteverkets brottsbekämpande verksamhet sker för den brottsutredande verksamhetens behov i ett diarie- och ärendehanteringssystem benämnt Brottsutredningsstödet. I brottsutredningsstödet behandlas uppgifter som behövs för att myndigheten ska kunna biträda åklagare vid förundersökning. Det rör sig om uppgifter om brottsmisstankar, misstänkta personer, genomförda beslag m.m. Skatteverket har inom underrättelseverksamheten ett ärendehanteringssystem (IT-UND) samt ett underrättelseregister (SKUR). Där behandlas bl.a. uppgifter om misstänkt brottslig verksamhet, händelser, personer och företag som kan sättas i samband med brottslig verksamhet enligt Skatteverkets brottskatalog.
Skatteverket tillämpar brottsdatalagen och lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område, i det följande Skatteverkets brottsdatalag, vid personuppgiftsbehandling inom ramen för den brottsbekämpande verksamheten.
Av 2 kap. 8 § Skatteverkets brottsdatalag framgår att bl.a. Säkerhetspolisen, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, har rätt att ta del av vissa personuppgifter. För att sekretessen ska brytas ska mottagaren behöva uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (dvs. – såvitt nu är av intresse – för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott). De uppgifter som Säkerhetspolisen har rätt att ta del av är uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten innefattar brott för vilket det är föreskrivet fängelse i ett år eller mer, eller sker systematiskt, uppgifter
som förekommer i ett ärende om utredning om brott och uppgifter som behandlas i syfte att fullgöra internationella åtaganden. Uppgifter som omfattas av den sekretessbrytande uppgiftsskyldigheten får lämnas ut genom direktåtkomst (3 kap. 6 § Skatteverkets brottsdatalag).
Närmare om folkbokföringsverksamheten
Folkbokföringsverksamheten är, liksom Skatteverkets brottsbekämpande verksamhet, en självständig verksamhetsgren inom myndigheten. Skatteverket behandlar folkbokföringsuppgifter i den s.k. folkbokföringsdatabasen. Detta görs med stöd av dataskyddsförordningen och lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, härefter Skatteverkets folkbokföringsdatalag.
Folkbokföringsdatabasen är en samling personuppgifter som med automatiserad behandling används gemensamt inom folkbokföringsverksamheten för de ändamål som anges i 1 kap. 4 § Skatteverkets folkbokföringsdatalag. I databasen får uppgifter behandlas om personer som har tilldelats personnummer eller samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende. (Se 2 kap. 2 § Skatteverkets folkbokföringsdatalag.)
De uppgifter som får behandlas i databasen är, enligt 2 kap. 3 § Skatteverkets folkbokföringsdatalag, person- eller samordningsnummer, namn, födelsetid, födelsehemort, födelseort, adress, folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, distrikt, folkbokföring under särskild rubrik, medborgarskap och civilstånd. Vidare får uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen behandlas. Sådana uppgifter får också behandlas om sambandet är grundat på adoption.
I folkbokföringsdatabasen får också behandlas uppgift om inflyttning från utlandet, avregistrering enligt 19–22 §§folkbokföringslagen (1991:481), anmälan enligt 5 kap. 2 § vallagen (2005:837), gravsättning, personnummer som personen har tilldelats i ett annat nordiskt land, uppehållsrätt för en person som är folkbokförd, tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap.
2 § 1 lagen (2022:1697) om samordningsnummer, vilandeförklaring enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa.
Förutom ovan nämnda uppgifter får Skatteverket också behandla uppgifter som behövs för att handlägga ett ärende och handlingar som har kommit in i ett ärende, eller som har upprättats i ett ärende. (Se 2 kap. 3 § tredje stycket, 4 och 5 §§ Skatteverkets folkbokföringsdatalag och 4 § förordningen [2001:589] om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet).
De flesta uppgifterna i databasen är normalt sett offentliga. Vissa uppgifter om enskildas personliga förhållanden kan omfattas av sekretess enligt 22 kap. 1 § första stycket offentlighets- och sekretesslagen. Sekretessen enligt den bestämmelsen gäller emellertid med ett kvalificerat rakt skaderekvisit, vilket innebär att utgångspunkten är att uppgifterna som sekretessregleras är offentliga. Som en förutsättning för att en uppgift ska vara sekretessbelagd gäller att det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs.
Skatteverket får lämna ut uppgifter om personnummer eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt, folkbokföringsort och avregistrering från folkbokföringen till en annan myndighet genom att ge direktåtkomst till uppgifterna. Skatteverket får även lämna ut andra uppgifter ur databasen genom direktåtkomst om den mottagande myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem, om direktåtkomst inte är olämpligt ur integritetssynpunkt. (Se 2 kap. 8 § Skatteverkets folkbokföringsdatalag. )63
I Skatteverkets folkbokföringsdatalag regleras också den analys- och urvalsdatabas som folkbokföringsverksamheten för. I databasen får personuppgifter behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga,
63 Bestämmelserna om direktåtkomst innebär inte att eventuell sekretess för uppgifterna bryts. Av förarbetena till bestämmelsen framgår emellertid att det inte ansågs finnas behov av sekretessbrytande regler för utlämnande av folkbokföringsuppgifter eftersom uppgifterna inte omfattas av någon starkare sekretess utan presumtionen är att uppgifterna är offentliga. (Se prop. 2000/01:33 s. 144 f.)
förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten. Särskilda regler gäller för de uppgifter som samlas in för behandling i analys- och urvalsdatabasen. Det finns t.ex. ingen uppgiftsskyldighet i förhållande till andra myndigheter eller möjlighet att ge direktåtkomst till uppgifterna.
Det pågår en översyn av bl.a. Skatteverkets folkbokföringsdatalag. Betänkandet Framtidens dataskydd – Vid Skatteverket, Tullverket
och Kronofogden (SOU 2023:100) behandlas för närvarande inom
Regeringskansliet. I betänkande lämnas förslag om att Skatteverkets folkbokföringsdatalag, med tillhörande förordning, ska upphävas och ersättas med en ny folkbokföringsdatalag, med tillhörande förordning. Vad gäller utlämnande genom direktåtkomst föreslås den nya lagen inte innehålla några särskilda bestämmelser om sådan åtkomst. I stället föreslås att det införs en generell bestämmelse om elektroniskt utlämnande av personuppgifter, som även omfattar direktåtkomst, enligt vilken personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt.
Tullverkets uppdrag
Tullverket har till uppgift att övervaka och kontrollera varuflödet in och ut ur Sverige. Tullverkets uppdrag styrs dels av förordningen (2016:1332) med instruktion för Tullverket där det framgår att myndigheten ska
- fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas (1 §),
- övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om införsel och utförsel av varor följs (2 §), och
- delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (3 §).
Dels av tullbefogenhetslagen (2024:710), där det framgår att Tullverket i sin kontrollverksamhet och brottsbekämpning ska kontrollera införsel och utförsel av varor över den svenska gränsen, utföra annan kontroll som anges i lag eller annan författning, förebygga, förhindra och upptäcka brottslig verksamhet i samband med in-
försel och utförsel av varor, samt bedriva brottsbekämpande verksamhet avseende de brott som anges i 8 kap. i nämnda lag (2 kap. 1 §).
Närmare om den brottsbekämpande verksamheten
Tullverkets befogenheter inom ramen för den brottsbekämpande verksamheten regleras numera i tullbefogenhetslagen. Tullverket ska i sin brottsbekämpning dels förebygga, förhindra och upptäcka brottslig verksamhet i samband med införsel och utförsel av varor. Detta uppdrag innefattar bl.a. att bedriva underrättelseverksamhet gällande frågor som rör införsel och utförsel av varor. Dels ingripa vid misstanke om, och utreda och lagföra sådana brott, som anges i 8 kap. tullbefogenhetslagen.
Tullverket får, enligt 8 kap. 3 § tullbefogenhetslagen, inleda förundersökning om brott som anges i 8 kap. 1 och 2 §§ nämnda lag. Det rör sig i första hand om brott mot bestämmelser om in- och utförsel av varor, t.ex. smugglingsbrott enligt lagen (2000:1225) om straff för smuggling, olovlig förflyttning av, eller olovlig befattning med, punktskattepliktiga varor enligt lagen (1998:506) om flyttning och kontroll av vissa punktskattepliktiga varor samt terroristbrott enligt 4 § terroristbrottslagen (2022:666) som begås genom vissa smugglingsbrott. Tullverket får emellertid också inleda förundersökning avseende vissa andra typer av brott, däribland vissa trafikbrott, vissa narkotika- och dopningsbrott och vissa vapenbrott, om misstanken har uppkommit i samband med att Tullverket utreder brott som anges i tullbefogenhetslagen eller i samband med kontroll eller andra åtgärder enligt lagen (se 8 kap. 2 § tullbefogenhetslagen).
Förundersökningsledningen sköts av Tullverket om brottet är av enkel beskaffenhet. Om brottet inte är av enkel beskaffenhet tas ledningen över av allmän åklagare så snart någon skäligen kan misstänkas för brottet. När förundersökningen leds av allmän åklagare, får åklagaren anlita biträde av Tullverket. (Se 8 kap. 3 § tullbefogenhetslagen.) Tullverket har därutöver egna åklagare (tullåklagare) som bl.a. får föra talan i vissa bötesmål (se 9 kap. tullbefogenhetslagen). Tullverket ska även biträda andra myndigheter.
Den verksamhet som bedrivs inom Tullverkets underrättelseavdelning har stor betydelse i den brottsbekämpande verksamheten. Det handlar bl.a. om strategisk, taktisk och operativ underrättelse- och
riskanalys, särskild internetinhämtning, informatörshantering och spaning vid misstanke om brottslig verksamhet.
Som framgår ovan omfattas även Tullverket av det myndighetsgemensamma arbetet mot organiserad brottslighet. Även Tullverket är tänkt att omfattas av den utvidgade uppgiftsdelningen som föreslås i propositionen Ökat informationsflöde till brottsbekämpningen (prop. 2024/25:65).
Närmare om informationshanteringen hos Tullverket
Informationshanteringen inom Tullverkets brottsbekämpande verksamhet sker i olika systemstöd. Inom ramen för en förundersökning behandlas uppgifter som behövs för att myndigheten ska kunna utreda och lagföra brott samt verkställa uppbörd (t.ex. uppgifter om misstänkta personer, genomförda beslag, brottsmisstankar och tullåklagarbeslut för utredningsärenden). Tullverket behandlar även uppgifter vid utfärdande av strafförelägganden och ordningsböter. Inom ramen för underrättelseverksamheten behandlar Tullverket uppgifter om bl.a. händelser, personer, organisationer och transportmedel som kan sättas i samband med allvarlig brottslig verksamhet som det åligger Tullverket att ingripa mot. Vidare ingår uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet samt uppgifter om hjälpmedel. Även uppgifter som kan hänföras till en person som inte är misstänkt kan behandlas, men det måste i så fall framgå att personen inte är misstänkt genom en särskild upplysning eller på annat sätt (jfr 3 kap. 4 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, härefter Tullverkets brottsdatalag).
Tullverket tillämpar brottsdatalagen och Tullverkets brottsdatalag vid personuppgiftsbehandling inom ramen för myndighetens brottsbekämpande verksamhet.
Av 2 kap. 8 § Tullverkets brottsdatalag framgår att bl.a. Säkerhetspolisen, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 §offentlighets- och sekretesslagen, har rätt att ta del av vissa personuppgifter. För att sekretessen ska brytas ska mottagaren behöva uppgifterna för ett syfte som anges i 1 kap. 2 § brottsdatalagen (dvs. – såvitt nu är av intresse – för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott).
De uppgifter som Säkerhetspolisen har rätt att ta del av är uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten innefattar ett brott för vilket det är föreskrivet fängelse i ett år eller mer, eller sker systematiskt, uppgifter som behövs för övervakningen av en person som kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller mer, och är allvarligt kriminellt belastad, uppgifter från transportföretag, uppgifter som förekommer i ett ärende om utredning av eller lagföring för brott, uppgifter som förekommer i ett ärende om uppbörd, uppgifter som har rapporterats till Tullverkets ledningscentraler och uppgifter som behandlas i syfte att fullgöra internationella åtaganden.
Vissa uppgifter som omfattas av den sekretessbrytande uppgiftsskyldigheten får lämnas ut genom direktåtkomst (se 3 kap. 7 § Tullverkets brottsdatalag).
Skatteverket och Tullverket har information som kan antas vara av betydelse för säkerhetsprövningen
Uppgifter som rör brottslighet eller samröre med kriminella är, som nämnts ovan, uppgifter som kan antas vara av betydelse för säkerhetsprövningen. Såväl Skatteverket som Tullverket bedriver brottsbekämpande verksamhet och har därmed tillgång till den sortens uppgifter.
Säkerhetspolisen har pekat på att just Skatteverket och Tullverket, i egenskap av brottsbekämpande myndigheter, har information som kan antas vara av betydelse vid bedömningen av om en person är lojal och pålitlig från säkerhetssynpunkt. Det är, enligt Säkerhetspolisens bedömning, i första hand underrättelseinformation som kan vara av intresse. Skatteverkets underrättelseregister skulle bl.a. kunna bidra till att identifiera om viss allvarlig brottslighet har utövats eller kan komma att utövas av den prövade. Tullverket behandlar i sin verksamhet uppgifter om bl.a. narkotikabeslag och införsel av stora penningbelopp som på motsvarande sätt kan ha betydelse vid en säkerhetsprövning.
Myndigheterna har emellertid också uppgifter som gäller utredningar om konkreta brott som omfattas av myndigheternas respektive brottskataloger som kan vara av relevans för att inom ramen för registerkontrollprocessen utreda vidare uppgifter som hämtats
från belastningsregistret eller misstankeregistret. Vi menar att uppgifter om de brottstyper som omfattas av nu aktuella verksamheter kan vara av betydelse för säkerhetsprövningen dels eftersom sådana uppgifter kan visa på sårbarheter, dels eftersom uppgifterna kan tala för att den prövade har svårt att följa lagar och regler, och därför inte är pålitlig.
Uppgifter som pekar ut personer som misstänkta för brott är särskilt känsliga ur integritetssynpunkt. Underrättelseinformation, dvs. uppgifter om personer som inte är misstänkta för något konkret brott men som ändå misstänks ägna sig åt brottslig verksamhet, är extra känslig ur ett integritetsperspektiv. Vi menar emellertid att den omständigheten att en brottsbekämpande myndighet har gjort bedömningen att uppgifter om den prövade ska tillföras myndighetens underrättelseregister i sig innebär att uppgiften måste anses vara av sådant intresse vid en säkerhetsprövning att uppgiften i vart fall måste få kontrolleras av Säkerhetspolisen. Vilket värde sådana uppgifter anses ha i det enskilda fallet kan givetvis variera, bl.a. beroende på hur tillförlitliga uppgifterna är, och detta måste prövas av Säkerhetspolisen och Registerkontrolldelegationen. Om uppgiften lämnas ut ska även den aktör som gör den slutliga prövningen göra en bedömning av vilken betydelse uppgiften har vid en helhetsbedömning utifrån alla omständigheter som framkommit under förfarandet. Vår bedömning är emellertid att uppgifter som hämtas från Skatteverkets och Tullverkets underrättelseregister i stor utsträckning kan antas vara av betydelse för säkerhetsprövningen.
Vidare är det vår uppfattning att just underrättelseinformation är av stor vikt för säkerhetsprövningen eftersom det rör sig om information som den prövade kan antas ha ett intresse av att dölja vid en prövning och som den aktör som gör själva säkerhetsprövningen inte har tillgång till. Underrättelseinformation är också viktig när det kommer till att upptäcka personer som har kopplingar till kriminella eller kriminella organisationer utan att själva vara dömda eller misstänkta för brott.
Vi menar sammanfattningsvis att det finns ett tydligt och klart behov av att kontrollera uppgifter som behandlas i Skatteverkets och Tullverkets brottsbekämpande verksamheter. De rättssäkerhetsgarantier som registerkontrollen är förenad med bedöms vara tillräckliga för att tillgodose behovet av att den aktör som gör säkerhetsprövningen inte får del av uppgifter som inte är tillförlitliga.
Säkerhetspolisen har vidare fört fram att uppgifter från folkbokföringsdatabasen bör få hämtas vid registerkontroll. Detta i syfte att dels bekräfta att uppgifter i anmälan om registerkontroll (t.ex. uppgift om medborgarska p64) stämmer och att ansökan avser rätt person, dels att – genom regelbundna slagningar – identifiera förändringar som påverkar kontrollen. Vi delar Säkerhetspolisens bedömning i denna del. Eftersom uppgifterna i folkbokföringsdatabasen som utgångspunkt är offentliga bedöms inhämtandet av sådana uppgifter inte i sig som särskilt problematiskt ur integritetssynpunkt.
Personuppgiftsbehandlingen
Vi har ovan redogjort för bestämmelserna om uppgiftslämnande till bl.a. Säkerhetspolisen som finns i Skatteverkets och Tullverkets respektive brottsdatalagar samt Skatteverkets folkbokföringsdatalag.
De sekretessbrytande bestämmelserna om uppgiftsskyldighet i förhållande till Säkerhetspolisen i Skatteverkets och Tullverkets respektive brottsdatalagar förutsätter att uppgifterna behövs för ett
syfte som anges i 1 kap. 2 § brottsdatalagen. Säkerhetspolisens upp-
gift att utföra registerkontroller enligt säkerhetsskyddslagen har, i vart fall indirekt, ansetts utgöra brottsbekämpande verksamhet .65Vi har inte haft anledning att göra någon annan bedömning. Säkerhetspolisen tillämpar visserligen inte brottsdatalagen när myndigheten utför uppgifter enligt säkerhetsskyddslagen (jfr 2 kap. 1 § 3 b Säkerhetspolisens datalag). Vi menar emellertid att bestämmelserna om uppgiftsskyldighet i Skatteverkets och Tullverkets brottsdatalagar måste förstås på så sätt att det är syftet med behandlingen som är avgörande för om uppgifter ska lämnas ut, och inte huruvida brottsdatalagen är tillämplig eller inte .66Sammanfattningsvis är det vår
64 Skatteverket registrerar att en folkbokförd person är svensk medborgare. Skatteverket kan också registrera att en person har ett eller flera utländska medborgarskap eller att personen är statslös. För en person som är svensk medborgare registrerar Skatteverket dock inte uppgifter om personens eventuella utländska medborgarskap. När personens medborgarskap inte går att fastställa ska Skatteverket registrera personen med okänt medborgarskap. 65 Jfr bl.a. prop. 2009/10:85 s. 258, prop. 2013/14:110 s. 480 f., prop. 2018/19:163 s. 53 och prop. 2020/21:194 s. 68. 66 Jfr prop. 2017/18:269 s. 321 och 347, där det framgår att regleringen i 2 kap. 8 § Tullverkets brottsdatalag och 2 kap. 8 § Skatteverkets brottsdatalag ska motsvara 2 kap. 13 § i den numera upphävda tullbrottsdatalagen (2017:447) och 2 kap. 12 § i den numera upphävda skattebrottsdatalagen (2017:452). Bestämmelserna bröt sekretessen om den mottagande myndigheten behövde uppgifterna i sin brottsbekämpande verksamhet.
uppfattning att uppgiftsskyldigheten gäller även när Säkerhetspolisen hämtar uppgifter vid registerkontroll.
Uppgifterna i folkbokföringsdatabasen är som utgångspunkt offentliga och kan därför lämnas ut med stöd av 6 kap. 5 § offentlighets- och sekretesslagen.
Vår sammantagna bedömning är att det finns rättsliga förutsättningar för Skatteverket och Tullverket att löpande lämna ut nu aktuella uppgifter till Säkerhetspolisen, och att det inte heller finns behov av att införa ytterligare bestämmelser för den personuppgiftsbehandling som förslaget i övrigt medför. Vi återkommer till denna fråga i avsnitt 7.11.4.
Lagteknisk lösning och närmare om vad förslaget innebär i praktiken
Vi föreslår att det av säkerhetsskyddslagen ska framgå att Säkerhetspolisen vid registerkontroll får hämta uppgifter som behandlas med stöd av Skatteverkets brottsdatalag, Skatteverkets folkbokföringsdatalag och Tullverkets brottsdatalag. Vi har övervägt om det i författningstexten bör preciseras vilka uppgifter som får hämtas, t.ex. genom en hänvisning till vissa register eller databaser. En sådan ordning är givetvis önskvärd utifrån ett integritetsperspektiv (i vart fall vad gäller uppgifter som förekommer i de brottsbekämpande verksamheterna, uppgifterna som finns i folkbokföringsdatabasen är, som nämnts, som utgångspunkt offentliga). Vi har emellertid kommit fram till att det inte är lämpligt med en sådan precisering eftersom informationshanteringen hos myndigheter ständigt utvecklas. Vilka verksamhetsstöd som används kan därmed förändras över tid. Det bör i stället ankomma på Skatteverket och Tullverket – i egenskap av informationsinnehavare – att med beaktande av de krav som uppställs genom dataskyddslagstiftningen, i samråd med Säkerhetspolisen, bedöma vilka uppgifter som Säkerhetspolisen har behov av när myndigheten utför registerkontroller och avgöra vilka uppgifter som ska lämnas ut. Vilka uppgifter som kan lämnas ut löpande begränsas också genom bestämmelserna om uppgiftsskyldighet. Vi har inte funnit skäl att föreslå att Säkerhetspolisens tillgång till nu aktuella uppgifter ska begränsas (eller utvidgas) när myndigheten utför registerkontroll.
Vidare kan det konstateras att det är upp till Skatteverket och Tullverket att avgöra på vilket sätt uppgifterna ska lämnas ut. Av Skatteverkets och Tullverkets respektive brottsdatalagar framgår att myndigheterna får ge Säkerhetspolisen tillgång till vissa uppgifter genom direktåtkomst. Det finns alltså inget krav på att Säkerhetspolisen ska ges tillgång till uppgifterna genom just direktåtkomst.
Hänvisningen till Skatteverkets folkbokföringsdatalag kommer att behöva ändras om lagen upphävs och ersätts med en ny folkbokföringsdatalag. Vår bedömning är emellertid att de förslag som lämnas i ovan nämnda betänkande (SOU 2023:100), inte påverkar våra förslag i sak.
7.5.4. Uppgifter som behandlas hos Kriminalvården
Förslag: Säkerhetspolisen ska vid registerkontroll få hämta upp-
gifter som behandlas med stöd av lagen (2018:1699) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, dock inte uppgifter i Kriminalvårdens säkerhetsregister.
Bedömning: Det finns inte behov av att införa ytterligare bestäm-
melser för den personuppgiftshantering som förslaget medför.
Kriminalvårdens uppdrag
Kriminalvården är en del av rättsväsendet och i allt väsentligt en verkställande myndighet. Myndighetens huvuduppdrag framgår av 1 och 2 §§ förordningen (2023:797) med instruktion för Kriminalvården. Enligt nämnda paragrafer ska Kriminalvården verkställa utdömda påföljder, bedriva häktesverksamhet och utföra personutredningar i brottmål. Myndigheten ska verka för att påföljder verkställs på ett säkert, humant och effektivt sätt, att lagföring kan ske på ett effektivt sätt och att återfall i brott förebyggs. Det ankommer på Kriminalvården att särskilt vidta åtgärder som syftar till att brottslighet under verkställigheten förhindras, frigivningen förbereds, narkotikamissbruk bekämpas och innehållet i verkställigheten anpassas efter varje individs behov. Kriminalvården deltar också i det myndighetsgemensamma arbetet mot den grova och
organiserade brottsligheten och omfattas av 2 § förordningen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. Kriminalvården ansvarar även för vissa transporter.
Som angetts bedriver Kriminalvården också underrättelseverksamhet. Kriminalvårdens underrättelsetjänst hämtar in, bearbetar, analyserar och delger underrättelser som underlag för proaktiva säkerhetsåtgärder i myndighetens verksamhet samt för klientbeslut. Kriminalvårdens uppdrag att förhindra brottslighet under verkställighet och att säkerställa att påföljder verkställs på ett säkert, humant och effektivt sätt förutsätter välgrundade beslut i enskilda klientärenden. Underrättelseverksamheten syftar därför till att skapa underlag för rätt placering av fängelsedömda, rätt kontroll av intagna klienters kontakter med omvärlden och att frigivningsförberedande åtgärder anpassas för varje klients förutsättningar. Vidare bidrar underrättelseverksamheten till att motverka att klienter genomför samhällstjänst eller utslussningsåtgärder hos organisationer och företag med koppling till grov eller organiserad brottslighet.
Närmare om Kriminalvårdens informationshantering
Kriminalvården tillämpar brottsdatalagen och lagen om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, härefter Kriminalvårdens brottsdatalag, med tillhörande förordning ([2018:1746], härefter Kriminalvårdens brottsdataförordning), när myndigheten Kriminalvården eller någon av övervakningsnämnderna i egenskap av behörig myndighet behandlar personuppgifter i syfte att verkställa häktning eller straffrättsliga påföljder eller biträder annan behörig myndighet när den utför uppgifter för ett syfte som anges i 1 kap. 2 § brottsdatalagen.
Kriminalvården för, med stöd av nämnda regelverk, ett centralt kriminalvårdsregister och ett säkerhetsregister. Det centrala kriminalvårdsregistret innehåller uppgifter om i princip alla som är häktade eller verkställer en påföljd som Kriminalvården ansvarar för. Vilka uppgifter registret får innehålla framgår av Kriminalvårdens brottsdataförordning. Om det är nödvändigt för att utföra en uppgift som anges i 2 kap. 1 § Kriminalvårdens brottsdatalag får Kriminalvården behandla uppgifter om närstående och andra som har kontakt med
intagna i häkte eller kriminalvårdsanstalt (se 2 § 3 och 4 samt 5 § 8 och 8 § 12 Kriminalvårdens brottsdataförordning).
Säkerhetsregistret innehåller – något förenklat – uppgifter om personer som verkställer häktning eller påföljd och som kan utgöra en säkerhetsrisk i något avseende. Undantagsvis får Kriminalvården även behandla uppgifter om en person som har personlig anknytning till eller annan nära förbindelse med en person som är häktad eller verkställer ett fängelsestraff och som är eller har varit placerad på säkerhetsavdelning. Syftet med säkerhetsregistret är att förebygga, förhindra eller upptäcka brott eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet och säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver.
I säkerhetsregistret får endast föras uppgifter om personer som bedöms utgöra en kvalificerad säkerhetsrisk i Kriminalvårdens verksamhet. Uppgifter får registreras i registret både för att skydda Kriminalvårdens verksamhet och för att skydda enskilda personer. Bestämmelser om registret finns i 3 kap. Kriminalvårdens brottsdatalag och i 21 och 22 §§ Kriminalvårdens brottsdataförordning. Av 3 kap. 4 § Kriminalvårdens brottsdatalag framgår att uppgifter om den som har personlig anknytning till eller en annan nära förbindelse med någon som förekommer i säkerhetsregistret under vissa förutsättningar får registreras i säkerhetsregistret. Det kan t.ex. avse närstående eller personer som har begått brott tillsammans eller tillhör samma kriminella nätverk eller våldsbejakande extremistiska rörelse. Sådana uppgifter får emellertid bara registreras om det är
absolut nödvändigt för att förebygga, förhindra eller upptäcka brott
eller brottslig verksamhet på häkten och i kriminalvårdsanstalter eller i samband med annan straffverkställighet, eller för att säkerställa ordning och säkerhet på häkten, i kriminalvårdsanstalter och i annan verksamhet som Kriminalvården bedriver. Detta innebär att bestämmelsen ska tillämpas restriktivt och att det ställs väsentligt högre krav för registrering på denna grund.
Säkerhetspolisen har rätt att ta del av uppgifter i säkerhetsregistret om uppgiften kan antas ha särskild betydelse för en förundersökning, andra brottsbekämpande åtgärder eller för att upprätthålla ordningen och säkerheten i Kriminalvårdens verksamhet (23 § Kriminalvårdens brottsdataförordning). Säkerhetspolisen får, enligt 3 kap. 6 § Kriminalvårdens brottsdatalag, medges direktåtkomst till säkerhetsregistret.
Av 24 § Kriminalvårdens brottsdataförordning framgår emellertid att direktåtkomsten ska vara begränsad till uppgift om huruvida en person förekommer i registret. Direktåtkomsten omfattar inte heller andra personer än häktade eller intagna.
Uppgifter i det centrala kriminalvårdsregistret ska enligt 19 § Kriminalvårdens brottsdataförordning lämnas ut till bl.a. Säkerhetspolisen. I syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning eller säkerhet får, enligt 20 § Kriminalvårdens brottsdataförordning, bl.a. Säkerhetspolisen medges direktåtkomst till det centrala kriminalvårdsregistret.
I promemorian En modern lagstiftning för Kriminalvårdens
personuppgiftsbehandling (Ds 2023:21) lämnas förslag om ändringar
i Kriminalvårdens brottsdatalag, och om att den tillhörande förordningen ska ersättas med en helt ny förordning. Förslagen syftar i första hand till att på olika sätt modernisera och förenkla tillämpningen av regelverket. Utredningen föreslår bl.a. att säkerhetsregistret ska breddas och anpassas efter de säkerhetsförhållanden som råder i dag. Det lämnas också förslag om att det ska införas sekretessbrytande bestämmelser för direktåtkomst i lagen, som bl.a. rör Säkerhetspolisen. Bestämmelserna om utlämnande av uppgifter som vi har redogjort för ovan föreslås vara oförändrade.
Kriminalvården har information som kan antas vara av betydelse för säkerhetsprövningen
Säkerhetspolisen har gjort bedömningen att det finns information hos Kriminalvården som kan antas vara av betydelse för säkerhetsprövningen. Myndigheten har särskilt pekat på att Kriminalvården för register där det finns uppgifter om besök och andra uppgifter som kan visa på att den prövade har kontakter med kriminella personer. Säkerhetspolisen har vidare gjort bedömningen att Kriminalvården har underrättelseinformation som, av samma skäl, kan vara av betydelse för säkerhetsprövningen.
Kriminalvården behandlar uppgifter som rör deras klienter. Det handlar emellertid, som nämnts ovan, inte uteslutande om uppgifter om de personer som är häktade eller avtjänar påföljder utan också om andra personer, som av olika anledningar har kontakt med intagna. Kriminalvårdens behov av att behandla uppgifter om andra
personer än klienterna avser framför allt personer som i tjänst eller uppdrag har kontakt med intagna, anhöriga till en häktad eller dömd person och andra som en intagen får besök av eller som på annat sätt håller kontakt med honom eller henne.
Uppgifter om personer som har personlig anknytning till eller annan nära förbindelse med häktade eller intagna i kriminalvårdsanstalt får också, i undantagsfall, behandlas inom ramen för myndighetens underrättelseverksamhet. Kriminalvården föreslås få utökade möjligheter att – i säkerhetssyfte – behandla uppgifter om andra personer än klienterna. I promemorian En modern lagstiftning för
Kriminalvårdens personuppgiftsbehandling (Ds 2023:21) lämnas
förslag om att Kriminalvården i säkerhetsregistret ska få behandla uppgifter om personer som tillsammans med andra kan antas ägna sig åt organiserad brottslighet, om det är absolut nödvändigt för att myndigheten ska kunna upprätthålla säkerheten på häkten eller i kriminalvårdsanstalter. Med att en person kan antas ägna sig åt organiserad brottslig verksamhet avses att personer som antas ingå i eller ha koppling till kriminella nätverk eller gäng eller liknande grupperingar som gemensamt ägnar sig åt organiserad brottslighet och personer som misstänks tillhöra eller sympatisera med terroristorganisationer. Även konstellationer av brottsliga aktörer med lägre organisationsgrad omfattas, såsom familje- och släktbaserade nätverk och nätverk som bygger på gemensamt ursprung, boendemiljö eller gemensamma tidigare erfarenheter .67
Vi delar Säkerhetspolisens bedömning att Kriminalvården behandlar uppgifter som kan antas vara av betydelse för säkerhetsprövningen.
Vi menar att sådana uppgifter om andra personer än klienter som registreras i det centrala kriminalvårdsregistret kan visa på att den kontrollerade har kopplingar till kriminella, vilket utgör en sårbarhet som bör beaktas vid bedömningen av om en person är pålitligt från säkerhetssynpunkt. Frågan om den prövade har familjemedlemmar eller andra personer i sin närhet som är kriminella är något som ska utredas inom ramen för grundutredningen. Sådana uppgifter är emellertid av sådan vikt för prövningen att de även bör kontrolleras vid registerkontroll. Om det visar sig att den prövade har undanhållit information av det här slaget är detta något som
67Ds 2023:21 s. 219 f.
typiskt sett måste anses vara av stor betydelse för pålitlighetsbedömningen.
De uppgifter som Kriminalvården behandlar bedöms vara av särskild betydelse för att identifiera personer som är kopplade till kriminella organisationer, men som inte själva har blivit lagförda eller varit misstänkta för brott. Sådana kopplingar är mycket svåra att upptäcka på annat sätt än genom inhämtande av bl.a. nu aktuella uppgifter.
Sammanfattningsvis menar vi att det finns ett tydligt behov av att kunna hämta och kontrollera nu aktuella uppgifter, och att skyddet för den personliga integriteten därför måste stå tillbaka.
Vad gäller frågan om att hämta uppgifter från Kriminalvårdens säkerhetsregister vid registerkontroll gör vi emellertid en annan bedömning än Säkerhetspolisen.
Eftersom registret förs i syfte att upprätthålla säkerheten i Kriminalvårdens verksamheter är det som utgångspunkt bara uppgifter om intagna som registreras. Möjligheten att registrera uppgifter om andra personer ska användas mycket restriktivt och bara i speciella undantagssituationer. Detsamma föreslås gälla för uppgifter om andra personer som kan antas ägna sig åt organiserad brottslighet. Vidare har Kriminalvården framfört till utredningen att myndighetens bedömning är att i den utsträckning andra personer än intagna registreras handlar det sannolikt om individer som redan är kända av myndigheterna. Bilden av att Säkerhetspolisen har ett begränsat behov av nu aktuella uppgifter förstärks också av den begränsade tillgång till uppgifterna som Säkerhetspolisen har i dag.
Mot bakgrund av ovanstående framstår nyttan med att låta säkerhetsregistret omfattas av registerkontrollen som begränsad. Kriminalvården har också framfört till utredningen att myndigheten ser betydande risker för källskydd och metodval i underrättelsearbetet om det öppnas ett rutinbetonat informationsflöde utanför de upparbetade samverkanskanaler som redan finns.
Sammanfattningsvis är vår bedömning att det inte finns tillräckligt starka skäl för att lämna förslag om att Säkerhetspolisen vid registerkontroll ska få hämta uppgifter från Kriminalvårdens säkerhetsregister.
Personuppgiftsbehandlingen
Vi har ovan redogjort för bestämmelserna om uppgiftslämnande till Säkerhetspolisen som finns i Kriminalvårdens brottsdataförordning, och som möjliggör för Kriminalvården att lämna ut uppgifter från centrala kriminalvårdsregistret. Vår bedömning är att det finns rättsliga förutsättningar för Kriminalvården att löpande lämna ut uppgifter om närstående och andra som har kontakt med intagna till Säkerhetspolisen. Det bedöms inte heller finnas behov av att införa ytterligare bestämmelser för den personuppgiftsbehandling som förslaget i övrigt medför. Vi återkommer till denna fråga i avsnitt 7.11.4.
Lagteknisk lösning och närmare om vad förslaget innebär i praktiken
Vi har övervägt om det av författningstexten bör framgå att det är uppgifter i centrala kriminalvårdsregistret som får hämtas, och om det i säkerhetsskyddslagen bör finnas en hänvisning till vissa bestämmelser i Kriminalvårdens brottsdataförordning (jfr 2 § 3 och 4 samt 5 § 8 och 8 § 12). En sådan ordning är givetvis önskvärd utifrån ett integritetsperspektiv. I promemorian En modern lagstiftning för
Kriminalvårdens personuppgiftsbehandling (Ds 2023:21) lämnas
emellertid förslag om att de detaljerade bestämmelserna om centrala kriminalvårdsregistret i Kriminalvårdens brottsdatalagstiftning ska ersättas med bestämmelser om behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga, och att förordningen ska ersättas med en helt ny förordning. Ändringen möjliggör för Kriminalvården att skapa nya verksamhetsstöd i framtiden. Det framstår därför som mindre lämpligt att i säkerhetsskyddslagen hänvisa till centrala kriminalvårdregistret, eller att lämna förslag som utgår från bestämmelserna i Kriminalvårdens brottsdataförordning. Säkerhetsregistret föreslås emellertid även fortsättningsvis regleras särskilt. Vi föreslår därför att det av säkerhetsskyddslagen ska framgå att Säkerhetspolisen vid registerkontroll ska få hämta uppgifter som behandlas med stöd av Kriminalvårdens brottsdatalag, dock inte uppgifter i säkerhetsregistret. Det kommer i praktiken att ankomma på Kriminalvården att med beaktande av de krav som uppställs genom dataskyddslagstiftningen, i samråd med Säkerhetspolisen och utifrån behovsbeskrivningen ovan, bedöma vilka uppgifter som Säkerhets-
polisen har behov av när myndigheten utför registerkontroller och avgöra vilka uppgifter som ska lämnas ut.
Om det införs sekretessbrytande bestämmelser för direktåtkomst i enlighet med förslagen i ovan nämnda promemoria bör Kriminalvården – om myndigheten bedömer att det är lämpligt – kunna ge Säkerhetspolisen direktåtkomst till de aktuella uppgiftern a.68
7.5.5. Uppgifter som behandlas hos Transportstyrelsen
Förslag: Säkerhetspolisen ska vid registerkontroll få hämta upp-
gifter om omhändertaganden enligt lagen (1976:511) om omhändertagande av berusade personer m.m. som behandlas med stöd av vägtrafikdatalagen (2019:369).
I vägtrafikdataförordningen (2019:382) införs en ny sekretessbrytande bestämmelse som innebär att uppgifter om anmälan enligt 7 kap. 9 § 3 körkortsförordningen (1998:980) på begäran ska lämnas ut till Säkerhetspolisen, om uppgifterna avser en person som förekommer i ett ärende om registerkontroll enligt 3 kap. säkerhetsskyddslagen.
Transportstyrelsens uppdrag
Transportstyrelsen har till huvuduppgift att svara för regelgivning, tillståndsprövning och tillsyn inom transportområdet. Myndigheten ska verka för att de transportpolitiska målen uppnås. Verksamheten ska särskilt inriktas på att bidra till ett internationellt konkurrenskraftigt, miljöanpassat och säkert transportsystem. (Se 1 § förordningen [2008:1300] med instruktion för Transportstyrelsen). Enligt 5 § förordningen med instruktion för Transportstyrelsen ansvarar myndigheten för en rad register, däribland vägtrafikregistret.
68 Säkerhetspolisen får, enligt nu gällande bestämmelser och även de bestämmelser om direktåtkomst som föreslås i Ds 2023:21, medges direktåtkomst för ett syfte som avses i 1 kap. 2 § brottsdatalagen. Det är vår uppfattning att bestämmelserna skulle vara tillämpliga även när Säkerhetspolisen hämtar uppgifter vid registerkontroll enligt säkerhetsskyddslagen. Jfr vad som anförts ovan under rubriken ”Personuppgiftsbehandlingen” i avsnitt 7.5.3.
Transportstyrelsen har information som kan antas vara av betydelse för säkerhetsprövningen
Av 7 kap. 9 § körkortsförordningen följer att Polismyndigheten ska anmäla till Transportstyrelsen när någon har omhändertagits enligt lagen om omhändertagande av berusade personer m.m. Det rör sig om omhändertaganden av personer som anträffas så berusade av alkoholdrycker eller annat berusningsmedel att han eller hon inte kan ta hand om sig själv eller annars utgör en fara för sig själv eller för någon annan. Omhändertaganden får ske överallt förutom i personens bostad. (Se 1 § lagen om omhändertagande av berusade personer m.m.).
Det förhållandet att en person har omhändertagits med stöd av nämnda regelverk kan vara en indikation på att personen i fråga har en missbruksproblematik. Uppgifter som kan tala för att den kontrollerade har ett missbruk är av relevans för säkerhetsprövningen dels eftersom det rör sig om information som den prövade sannolikt vill dölja och som därför utgör en sårbarhet. Dels eftersom det finns en risk att personer som har ett missbruk tillfälligt eller över tid inte kan uppvisa den pålitlighet som ett deltagande i säkerhetskänslig verksamhet förutsätter.
Intresset av att kunna kontrollera uppgifter om omhändertaganden vid registerkontroll måste, enligt vår bedömning, anses väga tyngre än skyddet för den personliga integriteten. Detta särskilt eftersom uppgifter om omhändertaganden gallras efter tre år (se bilaga 2 till vägtrafikdataförordningen).
Personuppgiftsbehandlingen
Uppgifter om omhändertaganden som har tillförts vägtrafikregistret utgör s.k. belastande uppgifter och omfattas enligt 35 kap. 4 § första stycket 3 offentlighets- och sekretesslagen av absolut sekretess. För att sådana uppgifter ska kunna lämnas ut till Säkerhetspolisen vid registerkontroll krävs att det införs nya bestämmelser om sekretessbrytande uppgiftsskyldighet gentemot Säkerhetspolisen. Vi föreslår därför att det i vägtrafikdataförordningen införs en bestämmelse av vilken det framgår att nu aktuella uppgifter på begäran ska lämnas ut till Säkerhetspolisen, om uppgifterna avser en person som före-
kommer i ett ärende om registerkontroll enligt 3 kap. säkerhetsskyddslagen.
Det bedöms inte finnas behov av att införa ytterligare bestämmelser för den personuppgiftsbehandling som förslaget i övrigt medför. Vi återkommer till denna fråga i avsnitt 7.11.4.
Möjligheterna för bl.a. Säkerhetspolisen att ta del av uppgifter genom direktåtkomst regleras i 3 kap. 4 § vägtrafikdatalagen. Utlämnande genom direktåtkomst förutsätter emellertid att det införs nya bestämmelser som möjliggör för Transportstyrelsen att söka ut de efterfrågade uppgifterna (jfr 3 kap. 3 § vägtrafikdatalagen och 4 kap. vägtrafikdataförordningen). Eftersom frågan om på vilket sätt Säkerhetspolisen ska få hämta uppgifter vid registerkontroll ligger utanför vårt uppdrag har vi emellertid inte tagit ställning till om det finns skäl att införa sådana bestämmelser.
7.5.6. Uppgifter som behandlas hos Migrationsverket
Förslag: Säkerhetspolisen ska vid registerkontroll få hämta upp-
gifter om medborgarskap och uppgifter som behövs för att bedöma rätten att vistas och arbeta i Sverige, som behandlas med stöd av utlänningsdatalagen (2016:27).
Bedömning: Det bedöms inte vara proportionerligt ur integri-
tetssynpunkt att ge Säkerhetspolisen möjlighet att vid registerkontroll hämta andra uppgifter som förekommer i ärenden hos Migrationsverket.
Det finns inte behov av att införa ytterligare bestämmelser för den personuppgiftsbehandling som förslaget medför.
Migrationsverkets uppdrag
Migrationsverket ansvarar för frågor som rör uppehållstillstånd, arbetstillstånd, uppehållsrätt, visering, mottagande av asylsökande inklusive boenden, anvisning till kommuner av ensamkommande barn och nyanlända, självmant återvändande, medborgarskap och återvandring. Migrationsverket ska fullgöra de uppgifter som myndigheten har enligt utlännings- och medborgarskapslagstiftningen,
lagstiftningen om mottagande av asylsökande m.fl., lagstiftningen om mottagande av vissa nyanlända invandrare för bosättning samt enligt andra författningar (1 § förordningen [2019:502] med instruktion för Migrationsverket).
Därutöver har Migrationsverket en skyldighet att vidta åtgärder för att motverka missbruk av regler, felaktiga utbetalningar och bidragsbrott, bistå Säkerhetspolisen i dess verksamhet för att förebygga och avslöja brott mot Sveriges säkerhet och i frågor som rör terrorism, anmäla till Polismyndigheten eller åklagare om det i ett ärende hos myndigheten framkommer misstankar om folkmord, brott mot mänskligheten eller krigsförbrytelser, bidra till arbetet mot människohandel och liknande brott, delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten och delta i det myndighetsgemensamma arbetet mot arbetslivskriminalitet (5 § förordningen med instruktion för Migrationsverket).
Närmare om Migrationsverkets informationshantering
Centrala utlänningsdatabasen (CUD) är den centrala databasen inom Migrationsverket. CUD utgör en databas till vilket ett antal applikationer hos verket med olika funktioner, t.ex. ärendehanteringssystemet Wilma, är kopplat. CUD innehåller samtliga Migrationsverkets enheters ärendehantering av bl.a. tillståndsärenden, medborgarskapsärenden, diarieföring, asylprövningar, flyktingmottagning, bidragshantering och kommunplaceringar. Personuppgifterna i CUD behandlas med stöd av utlänningsdatalagen och utlänningsdataförordningen (2016:30).
När en person för första gången blir aktuell i ett ärende hos Migrationsverket skapas individuppgifter med ett unikt individnummer (dossiernummer). Uppgifter och handlingar finns i dag i stor utsträckning enbart digitalt kopplade i ärenden som sammanhålls genom individnumret. Alla uppgifter i CUD är alltså knutna till en viss individ. CUD innehåller inte bara uppgifter avseende de utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att besöka, bo, arbeta eller studera i Sverige, utan även de som ansökt om t.ex. uppehålls-eller arbetstillstånd men som fått avslag på sina ansökningar. Eftersom det vid handläggning av ärenden hos Migrationsverket ofta finns ett behov av att ta fram uppgifter
från tidigare ärenden finns det inte någon generell gallringsbestämmelse i lagen. Av 22 § utlänningsdatalagen framgår i stället att personuppgifter ska avskiljas så att tillgången till dem begränsas om de inte längre behövs i myndighetens löpande verksamhet. I praktiken innebär ett avskiljande att personuppgifterna överförs till Migrationsverkets e-arkiv. Av förarbetena till bestämmelsen uttalas att personuppgifter ska avskiljas när utlänningen har beviljats svenskt medborgarskap, och att en stor mängd personuppgifter om utlänningar som inte varit aktuella i något ärende på lång tid inte heller kan anses behövas i den löpande verksamheten. I övrigt har det överlämnats åt myndigheten att bedöma när avskiljande ska ske .69
Säkerhetspolisen har rätt att, genom direktåtkomst, ta del av personuppgifter som Migrationsverket behandlar vid handläggningen av ärenden eller biträde i ärenden om
1. utlänningars inresa i Sverige, i en stat som ingår i Europeiska
unionen, i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet eller i Schweiz,
2. utlänningars vistelse eller arbete i Sverige och utresa eller av-
lägsnande från Sverige,
3. statusförklaring,
4. mottagande av asylsökande och andra utlänningar,
5. bistånd och stöd till utlänningar,
6. svenskt medborgarskap,
7. statlig ersättning för kostnader för utlänningar,
8. bosättning av utlänningar, eller
9. utfärdande av resehandlingar.
Säkerhetspolisen har därutöver rätt att, genom direktåtkomst, ta del av uppgifter som behövs för kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige, utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar, framställning av statistik, utförande av testverksamhet eller för fullgörande av en rättslig skyldighet att registrera eller på annat sätt dokumentera en per-
sonuppgift. (Se 20 § första stycket utlänningsdatalagen.) Begränsningar av direktåtkomsten finns emellertid i 11 § utlänningsdataförordningen. Av bestämmelsen framgår bl.a. att Säkerhetspolisen inte får medges direktåtkomst till personuppgifter som myndigheten behöver för att fullgöra uppgifter enligt säkerhetsskyddslagen.
Det finns information hos Migrationsverket som kan antas vara av betydelse för säkerhetsprövningen
Uppgifter om rätten att vistas och arbeta i Sverige samt medborgarskap
Säkerhetspolisen har till utredningen framfört att Migrationsverket bedöms ha information som kan vara av betydelse för säkerhetsprövningen. Det rör sig i första hand om uppgifter om att den prövade saknar uppehållstillstånd eller arbetstillstånd.
Det faktum att en person inte har rätt att vistas och/eller arbeta i Sverige är – förutom att det bör inverka på möjligheten att få den sökta anställningen – en uppenbar sårbarhet som kan utnyttjas av en antagonist och det är därför en omständighet som behöver utredas under säkerhetsprövningen. Vi delar därför bedömningen att dessa förhållanden bör kunna kontrolleras inom ramen för registerkontrollen.
En förutsättning för att regleringen ska fylla sitt syfte, dvs. att klarlägga om den kontrollerade har rätt att vistas och arbeta i Sverige, är att möjligheten att hämta uppgifter inte begränsas till beslut om arbets- eller uppehållstillstånd. Vi menar att t.ex. även uppgifter om längden på uppehållstillståndet och om att Migrationsverket har initierat ett ärende om återkallelse av uppehållstillstånd måste få hämtas för att Säkerhetspolisen ska kunna få en tydlig bild av den kontrollerades situation. Vi föreslår därför att det av säkerhetsskyddslagen ska framgå att Säkerhetspolisen ska få hämta sådana uppgifter som behövs för att bedöma rätten att vistas och arbeta i Sverige och som behandlas med stöd av utlänningsdatalagen.
Vi är vidare av uppfattningen att Säkerhetspolisen bör få hämta uppgifter om medborgarskap från Migrationsverket. Som angetts ovan kan uppgiften om medborgarskap som lämnas i ansökan om registerkontroll i vissa fall kontrolleras mot folkbokföringen. Säkerhetsprövning görs emellertid även av personer som inte är folkbokförda. I folkbokföringen registreras inte heller eventuella utländska
medborgarskap för personer som är svenska medborgare. Sådana uppgifter bör därför också få hämtas från Migrationsverket.
Det är vår bedömning att behovet av att kontrollera nu aktuella uppgifter måste anses väga tyngre än skyddet för den personliga integriteten.
Andra uppgifter i ärenden hos Migrationsverket
Säkerhetspolisen har till utredningen framfört att myndigheten anser att det är av stor vikt att även andra uppgifter som förekommer i ärenden hos Migrationsverket får hämtas vid registerkontroll. Migrationsverket har, framför allt i asylärenden, bl.a. information om personers bakgrund, hur de har rört sig innan de kom till Sverige och i vissa fall även uppgifter om familje- och släktrelationer. Detta är uppgifter som kan bidra till att klarlägga den prövades anknytning till andra länder och eventuella lojalitetskonflikter, men också sårbarheter.
Vid bedömningen av om nu aktuella uppgifter bör få hämtas måste, enligt Säkerhetspolisen, beaktas att den information som finns hos Migrationsverket kan vara den enda informationen som går att få fram om personer som har vistats en kortare tid i Sverige.
Som angetts ovan har Migrationsverket i uppdrag att bistå Säkerhetspolisen i dess verksamhet för att förebygga och avslöja brott mot Sveriges säkerhet och i frågor som rör terrorism. Det innebär bl.a. att Migrationsverket ska uppmärksamma möjliga säkerhetshot i ärenden om uppehållstillstånd och svenskt medborgarskap för att kunna informera Säkerhetspolisen. Migrationsverket och Säkerhetspolisen har, med anledning av Migrationsverkets uppdrag, ett mycket nära samarbete och utbyter information kontinuerligt. Samarbetet myndigheterna emellan innebär att Säkerhetspolisen i många fall redan har kännedom om ärenden där det finns indikationer på att personen eventuellt kan utgöra ett hot mot Sveriges säkerhet. Säkerhetspolisen har emellertid framfört att det, trots det informationsutbyte som sker mellan myndigheterna, finns behov av att kunna hämta uppgifter från Migrationsverket. Detta eftersom bedömningar i s.k. säkerhetsärenden enligt utlänningslagstiftningen inte utgår från samma kriterier som säkerhetsprövning enligt säkerhetsskyddslagen. Om det rör sig om äldre avslutade
ärenden kan vidare bedömningarna ha utgått från indikatorer som inte längre är aktuella.
Det har inte framkommit något som gör att vi har haft anledning att ifrågasätta de uppgifter som Säkerhetspolisen har lämnat. Vi ansluter oss alltså till bedömningen att det kan finnas fler uppgifter (än sådana som rör rätten att vistas och arbeta i Sverige, och medborgarskap) hos Migrationsverket som kan antas vara av betydelse för säkerhetsprövningen, och som inte nödvändigtvis framkommer vid kontroll av Säkerhetspolisens egna register. Vi ifrågasätter emellertid om det kan anses vara ändamålsenligt och proportionerligt att ge Säkerhetspolisen möjlighet att hämta andra uppgifter som förekommer i ärenden hos Migrationsverket vid registerkontroll.
Registerkontrollen bör enbart omfatta uppgifter om rätten att vistas och arbeta i Sverige samt medborgarskap
I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas en stor mängd personuppgifter som avser ett stort antal personer. Det faktum att informationshanteringen i centrala utlänningsdatabasen utgår från varje individ och att uppgifter som rör avslutade ärenden kan ligga kvar i databasen under lång tid, gör att slagningar mot databasen sannolikt i de flesta fall kommer att leda till att Säkerhetspolisen får del av stora mängder information om den kontrollerade. Därtill kommer att många av de personuppgifter som behandlas utgör känsliga personuppgifter (dvs. uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning). Det finns också personuppgifter som inte hör till denna kategori, men som ändå kan uppfattas som mycket integritetskänsliga. Det måste därför finnas mycket starka skäl för att tillåta slagningar mot databasen.
Det kan, som nämnts, inte uteslutas att det finns uppgifter som är av betydelse för säkerhetsprövningen hos Migrationsverket och som också kan komma att lämnas ut av Registerkontrolldelegationen. Vår bedömning är emellertid att den absoluta merparten av de uppgifter som skulle hämtas inte kommer att vara av betydelse för säkerhetsprövningen. Därtill kommer att det sannolikt skulle bli mycket resurskrävande att gå igenom och bedöma de uppgifter som hämtas.
Vi ställer oss sammanfattningsvis tveksamma till om slagningar mot Migrationsverkets databas kommer att ge positiva skyddseffekter i sådan grad att det väger upp intrånget i de kontrollerades personliga integritet, och också de kostnader och den ökade administration som sådan kontroll medför. Möjligen skulle bedömningen bli en annan om uppgifterna kunde bedömas mot de uppgifter som den prövade har lämnat under grundutredningen (jfr avsnitt 7.4.3). I detta sammanhang kan också särskilt nämnas möjligheten som Säkerhetspolisen har att hämta ytterligare uppgifter om det i det enskilda fallet finns synnerliga skäl (se 3 kap. 14 § fjärde stycket säkerhetsskyddslagen), samt inom ramen för den särskilda personutredning som görs avseende deltaganden i säkerhetsklass 1 och 2.
Sammantaget gör vi bedömningen att Säkerhetspolisen vid registerkontroll ska få hämta uppgifter som behövs för att bedöma rätten att vistas och arbeta i Sverige samt uppgifter om medborgarskap.
Personuppgiftsbehandlingen
Vi har ovan redogjort för de bestämmelser om uppgiftslämnande till Säkerhetspolisen som finns i utlänningsdatalagen. Vår bedömning är att det finns rättsliga förutsättningar för Migrationsverket att löpande lämna ut de uppgifter som omfattas av vårt förslag till Säkerhetspolisen. Det bedöms inte heller finnas behov av att införa ytterligare bestämmelser för den personuppgiftsbehandling som förslaget i övrigt medför. Vi återkommer till denna fråga i avsnitt 7.11.4.
Som nämnts ovan får Säkerhetspolisen i dag inte beviljas direktåtkomst till uppgifter som behandlas hos Migrationsverket, när myndigheten utför uppgifter enligt säkerhetsskyddslagen. Eftersom uppgiftshämtandet från Migrationsverket kommer att avse ett begränsat antal personer, och uppgifterna inte heller kommer att behöva hämtas med samma frekvens som andra uppgifter som kontrolleras inom ramen för registerkontrollen framstår det inte som att det finns behov av att ändra nu gällande bestämmelser. Några närmare överväganden gällande denna fråga har emellertid inte gjorts eftersom frågan inte omfattas av vårt uppdrag.
7.5.7. Uppgifter som behandlas hos Kronofogdemyndigheten
Förslag: Säkerhetspolisen ska vid registerkontroll få hämta upp-
gifter som förekommer i Kronofogdemyndighetens utsöknings- och indrivningsverksamhet och som behandlas med stöd av lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Bestämmelsen om uppgiftsskyldighet gentemot Säkerhetspolisen i 8 § förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet ändras på så sätt att det framgår att uppgifter som avses i 2 kap. 5 § 1–7 lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet på begäran ska lämnas ut till Säkerhetspolisen, om uppgiften avser en person som förekommer i ett ärende om registerkontroll enligt 3 kap. säkerhetsskyddslagen.
Kronofogdemyndighetens uppdrag
Kronofogdemyndighetens huvudsakliga uppgifter är, enligt 1 § förordningen (2016:1333) med instruktion för Kronofogdemyndigheten, indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Kronofogdemyndigheten är också en del av det myndighetsgemensamma arbetet mot organiserad brottslighet och omfattas av 2 § förordningen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet (4 § andra stycket förordningen med instruktion för Kronofogdemyndigheten). Kronofogdemyndigheten har även, enligt 4 § första stycket förordningen med instruktion för Kronofogdemyndigheten, ett uppdrag att förebygga och motverka ekonomisk brottslighet. Kronofogdemyndigheten utövar också tillsyn över att näringsförbud följs (41 § lagen [2014:836] om näringsförbud).
Närmare om Kronofogdemyndighetens informationshantering
Kronofogdemyndigheten tillämpar, som utgångspunkt, lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, härefter kronofogdedatabaslagen, med tillhörande förordning
(härefter kronofogdedatabasförordningen) vid behandling av personuppgifter i myndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten.
Kronofogdemyndigheten behandlar personuppgifter i fyra olika databaser; utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsyndatabasen. Kronofogdemyndigheten ska, på begäran av Säkerhetspolisen, lämna ut vissa uppgifter från utsöknings- och indrivningsdatabasen om uppgifterna avser en person som förekommer i ett ärende om särskild personutredning enligt säkerhetsskyddslagen (8 § kronofogdedatabasförordningen). Säkerhetspolisen får ha direktåtkomst till nämnda uppgifter (2 kap. 27 § kronofogdedatabaslagen).
Det pågår en översyn av bl.a. Kronofogdemyndighetens registerförfattning i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Betänkandet Framtidens dataskydd – Vid Skatte-
verket, Tullverket och Kronofogden (SOU 2023:100) bereds för när-
varande inom Regeringskansliet. I betänkandet lämnas förslag om att kronofogdedatalagen med tillhörande förordning, ska upphävas och ersättas med en ny reglering om dataskydd. Den nya lagen föreslås ha samma materiella tillämpningsområde som den nuvarande lagen. Den nya lagen föreslås emellertid utgå från ändamålsbestämmelser, i stället för en sådan detaljerad reglering av myndighetens olika databaser och de uppgifter som får hanteras som finns i det nuvarande regelverket. Bestämmelser om uppgiftslämnande föreslås flyttas till en särskild förordning om utlämnande av uppgifter. Bestämmelserna i den nya förordningen föreslås i huvudsak motsvara dagens bestämmelser. Förslagen föreslås träda i kraft den 1 januari 2026.
Kronofogdemyndigheten har information som kan antas vara av betydelse för säkerhetsprövningen
Vi har i avsnitt 7.4.4 konstaterat att den prövades ekonomiska förhållanden är något som måste granskas noggrant vid en säkerhetsprövning. Det är också viktigt att fånga upp förändringar i detta
avseende under tiden som en anställning pågår. Uppgifter från Kronofogdemyndigheten hämtas i dag bara inom ramen för den särskilda personutredningen, dvs. för säkerhetsklass 1 och 2. Vi menar emellertid att uppgifter om ekonomiska förhållanden är av så stor vikt för säkerhetsprövningen att sådana uppgifter bör inhämtas även avseende säkerhetsklass 3, och att vissa uppgifter som behandlas hos Kronofogdemyndigheten därför bör få hämtas vid registerkontroll.
De uppgifter som är av störst intresse finns i utsöknings- och indrivningsdatabasen. Sådana uppgifter bör få hämtas avseende samtliga säkerhetsklasser. Med hänsyn till att den prövades ekonomiska förhållanden bedöms vara av stor betydelse för säkerhetsprövningen, måste intresset av att kunna kontrollera nu aktuella uppgifter anses väga tyngre än skyddet för den personliga integriteten.
Uppgifter om ansökningar om betalningsförelägganden säger inget om huruvida personen i fråga saknar betalningsförmåga eller inte. Ansökningarna kan emellertid tala för att personen är slarvig och har svårigheter att sköta sin ekonomi, vilket är omständigheter som kan ha betydelse för bedömningen av om personen är pålitlig. Det faktum att det finns flera ansökningar och sökandena är olika inkassobolag kan också ge indikationer på att den prövades ekonomiska situation inte är helt oproblematisk. Det kan dessutom noteras att uppgifter i betalningsföreläggande- och handräckningsdatabasen som utgångspunkt är offentliga, och inhämtande av sådana uppgifter kan därför inte anses vara särskilt problematiskt ur integritetssynpunkt. Säkerhetspolisen har uppgett att det faktum att det finns ansökningar om betalningsförelägganden skulle utgöra en pusselbit som kan föranleda ytterligare kontroller, och att myndigheten därför ser att uppgifterna kan vara av betydelse.
Vad gäller skuldsaneringsdatabasen finns det anledning att utgå från att merparten av de personer som förekommer där, också förekommer i utsöknings- och indrivningsdatabasen. Eftersom även personer som inte kan komma i fråga för skuldsanering ger in ansökningar, kan det emellertid inte uteslutas att det kan finnas uppgifter i skuldsaneringsdatabasen som är av intresse.
Eftersom kontroller av sådana uppgifter som finns i betalningsföreläggande- och handräckningsdatabasen samt skuldsaneringsdatabasen inte i någon större utsträckning kan förväntas leda till utfall som efter prövning av Registerkontrolldelegationen lämnas
ut till aktören som gör själva säkerhetsprövningen, gör vi bedömningen att sådana uppgifter endast bör få hämtas avseende säkerhetsklass 1 och 2, och att så bör ske inom ramen för den särskilda personutredningen. Vid sådana deltaganden måste det anses befogat att göra en djupare undersökning av den prövades ekonomiska förhållanden. Vi återkommer till detta i avsnitt 7.9.
Personuppgiftsbehandlingen och lagteknisk lösning
Vi föreslår att det av säkerhetsskyddslagen ska framgå att Säkerhetspolisen vid registerkontroll får hämta uppgifter som förekommer i Kronofogdemyndighetens utsöknings- och indrivningsverksamhet och som behandlas med stöd av kronofogdedatabaslagen. Vi har övervägt om det i författningstexten bör preciseras vilka uppgifter som får hämtas, t.ex. genom en hänvisning till de olika punkterna i 2 kap. 5 § kronofogdedatabaslagen (jfr bestämmelsen om uppgiftsskyldighet i 8 § kronofogdedatabasförordningen, där det anges att uppgifter som avses i 2 kap. 5 § 1–7 kronofogdedatabaslagen ska lämnas ut till Säkerhetspolisen om uppgifterna behövs för särskild personutredning). En sådan ordning framstår emellertid, med hänsyn till de förslag som har lämnats i betänkandet Framtidens dataskydd
– Vid Skatteverket, Tullverket och Kronofogden (SOU 2023:100) och
som innebär att en så detaljerad reglering av vilka uppgifter som får behandlas i verksamheten inte längre ska finnas i myndighetens datalag, som mindre lämplig. Vilka uppgifter som får hämtas bör i stället begränsas genom bestämmelserna om uppgiftsskyldighet gentemot Säkerhetspolisen.
Eftersom de förslag som har lämnats i nämnda betänkande fortfarande behandlas inom Regeringskansliet har vi vid utformningen av våra förslag ändå också behövt förhålla oss till den nuvarande regleringen. Uppgifter i utsöknings- och indrivningsverksamheten omfattas som utgångspunkt av sekretess och vi föreslår därför att den sekretessbrytande uppgiftsskyldigheten i 8 § kronofogdedatabasförordningen ska ändras på så sätt att det framgår att Kronofogdemyndigheten på begäran av Säkerhetspolisen ska lämna ut uppgifter från utsöknings- och indrivningsdatabasen, om uppgifterna rör en person som är föremål för registerkontroll enligt 3 kap. säker-
hetsskyddslagen. Uppgiftsskyldigheten bör även fortsättningsvis vara begränsad till uppgifter i 2 kap. 5 § 1–7 kronofogdedatabaslagen.
Om det införs nya bestämmelser om uppgiftsskyldighet gentemot Säkerhetspolisen i enlighet med de förslag som har lämnats i ovan nämnda betänkand e70, finns det behov av att ändra dessa på så sätt att det framgår att uppgifterna också ska lämnas ut vid registerkontroll enligt säkerhetsskyddslagen. En sådan ändring bedöms inte innebära någon ändring i sak i förhållande till vårt förslag.
Det bedöms inte finnas behov av att införa ytterligare bestämmelser för den personuppgiftsbehandling som förslaget i övrigt medför. Vi återkommer till denna fråga i avsnitt 7.11.4.
Hänvisningen till kronofogdedatabaslagen kommer att behöva ändras för det fall att lagstiftningen upphävs och ersätts med en ny.
7.6. Fler uppgifter bör få hämtas vid registerkontroll för deltagande i säkerhetsklass 3 och vid registerkontroll utan placering i säkerhetsklass
Förslag: Registerkontrollen för deltaganden i säkerhetsklass 3
utvidgas till att omfatta uppgifter som behandlas med stöd av polisens brottsdatalag hos Polismyndigheten.
Registerkontrollen enligt 3 kap. 15 § säkerhetsskyddslagen utvidgas på motsvarande sätt.
Bedömning: Det finns inte behov av att införa ytterligare bestäm-
melser för den personuppgiftsbehandling som förslaget medför.
I dag görs en åtskillnad mellan registerkontrollen för säkerhetsklass 1 och 2 respektive registerkontrollen för säkerhetsklass 3. Den stora skillnaden mellan vilka uppgifter som får hämtas om den prövade är att endast sådana uppgifter som behandlas med stöd av polisens brottsdatalag hos Säkerhetspolisen får hämtas vid registerkontroll för säkerhetsklass 3. Begränsningen innebär exempelvis att Polismyndigheten kan ha mycket belastande information om den prövade i myndighetens underrättelsearbete utan att det kommer till Säkerhetspolisens kännedom. Begränsningen innebär också att det finns ett
70 Se SOU 2023:100, del 1, s. 187 f.
hinder mot att inom ramen för registerkontrollprocessen utreda vidare uppgifter som hämtats, där ytterligare information kan finnas hos Polismyndigheten.
Vi har i avsnitt 7.4.1 och 7.4.2 beskrivit behovet av en utvidgning av registerkontrollen och varför ambitionshöjningen bör ta sikte på samtliga tre säkerhetsklasser. Mot bakgrund av vad som tidigare anförts och att uppgifter som behandlas hos Polismyndigheten kan antas vara av stor betydelse för säkerhetsprövningen, är det vår uppfattning att den begränsning som gäller för kontroll av sådana uppgifter i dag varken är ändamålsenlig eller rimlig. Behovet av att kunna kontrollera uppgifter som behandlas hos Polismyndigheten vid registerkontroll för säkerhetsklass 3 måste dessutom anses väga tyngre än skyddet för den personliga integriteten. Vi föreslår därmed att uppgifter som behandlas med stöd av polisens brottsdatalag hos Polismyndigheten ska få hämtas även vid registerkontroll för säkerhetsklass 3.
Som nämnts tidigare är vår bedömning att sådana registerkontroller som görs utan placering i säkerhetsklass, med stöd av 3 kap. 15 § säkerhetsskyddslagen, även fortsättningsvis bör ha samma omfattning som registerkontrollen för säkerhetsklass 3. Vi föreslår därför att nu aktuella uppgifter bör få hämtas även vid sådana kontroller.
Bestämmelser om sekretessbrytande uppgiftsskyldighet i förhållande till bl.a. Säkerhetspolisen finns i 2 kap. 8–10 §§ polisens brottsdatalag. Av nämnda bestämmelser följer att vissa personuppgifter får lämnas ut till Säkerhetspolisen, om uppgifterna behövs för ett syfte som anges i 1 kap. 2 § brottsdatalagen. Möjligheten för Polismyndigheten att lämna ut personuppgifter genom direktåtkomst regleras i 2 kap. 12 § andra stycket polisens brottsdatalag. Vi har inte funnit skäl att föreslå att Säkerhetspolisens tillgång till nu aktuella uppgifter ska begränsas (eller utvidgas) när myndigheten utför registerkontroll för säkerhetsklass 3.
Uppgifter som behandlas med stöd av polisens brottsdatalag hämtas redan i dag vid registerkontroll för säkerhetsklass 1 och 2, och vi bedömer att det inte finns behov av ytterligare bestämmelser för den personuppgiftsbehandling som förslaget medför. Vi återkommer till denna fråga i avsnitt 7.11.4.
7.7. Registerkontroll för närstående till den prövade
Förslag: Registerkontrollen för närstående (make, maka eller
sambo) till prövade i säkerhetsklass 1 och 2 utvidgas till att omfatta motsvarande uppgifter som enligt våra förslag ska få hämtas om den prövade.
Bedömning: Det har inte framkommit tillräckligt starka skäl för
att i detta betänkande lämna förslag om att registerkontrollen ska utvidgas till att även omfatta kontroll avseende närstående till prövade i säkerhetsklass 3.
Registerkontroll för närstående till prövade i säkerhetsklass 1 och 2
Vid registerkontroll för säkerhetsklass 1 och 2 får Säkerhetspolisen även göra kontroller avseende den prövades make, maka eller sambo. Uppgifter om närstående får hämtas i samma omfattning som för den prövade själv.
Vad gäller registerkontroll avseende närstående till den prövade uttalas bl.a. följande i förarbetena. När det gäller en make, maka eller sambo till den kontrollerade föreligger normalt särskilda lojalitets- och beroendeförhållanden. I andra sammanhang tillmäts sådana släktskapsförhållanden sålunda en särskild relevans. Det bör därför finnas utrymme för att ta med uppgifter rörande sådana anhöriga även i prövningen av den kontrollerades pålitlighet från säkerhetssynpunkt .71Uttalandena är enligt vår bedömning fortfarande relevanta. Det går inte att bortse från att en relation av det nu aktuella slaget kan innebära risker för olika former av påverkan, och sårbarheter hos en närstående kan därför antas vara av betydelse för säkerhetsprövningen.
Vad som anförts i tidigare avsnitt om betydelsen av de uppgifter som vi föreslår ska få hämtas vid registerkontroll gör sig, enligt vår bedömning, även gällande i förhållande till den prövades make, maka eller sambo. Eftersom det uppställs krav på svenskt medborgarskap för anställning i staten, en kommun eller en region som är placerad i säkerhetsklass 1 eller 2, bör kontroll av uppgifter hos Migrations-
verket och inhämtande av utländska domar aktualiseras i begränsad omfattning gällande denna grupp. För sådana deltaganden som inte omfattas av kravet på svenskt medborgarskap bedöms det vara av stor vikt att nu aktuella uppgifter kontrolleras även beträffande den prövades närstående. Vi menar också att det är nödvändigt att kunna göra en fördjupad kontroll avseende brottslighet och eventuella kopplingar till kriminella, och att kunna kontrollera eventuella omhändertaganden enligt lagen om omhändertagande av berusade personer m.m även avseende närstående.
Den prövades ekonomiska förhållanden bedöms i hög grad vara relevant för den säkerhetsprövning som är registerkontrollens syfte. I de fall den prövade har delad ekonomi med en make, maka eller sambo är det emellertid inte möjligt att få en helhetsbild av den prövades ekonomiska situation. Detta är – med hänsyn till den betydelse som den typen av uppgifter har för säkerhetsprövningen – problematiskt. I praktiken innebär det att uppgifter som kan ha stor inverkan på den enskildes lämplighet i säkerhetshänseende inte kan beaktas inom ramen för prövningen. Det är därför av stor vikt att också uppgifter om närståendes ekonomiska förhållanden kontrolleras vid registerkontroll för säkerhetsklass 1 och 2.
Det måste anses särskilt integritetskränkande att kontrollera och lämna ut uppgifter om någon som inte själv är berörd av prövningen. Det rör sig dessutom om personer som inte har samtyckt till åtgärden. Eftersom det handlar om närstående till personer som genom sitt deltagande i säkerhetskänslig verksamhet kan orsaka allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet, måste emellertid skyddet för den personliga integriteten i detta avseende stå tillbaka. Vid bedömningen av om det är proportionerligt att utvidga kontrollen av närstående i säkerhetsklass 1 och 2 måste också beaktas att det uppställs mycket höga krav för att uppgifter som gäller den kontrollerades make, maka eller sambo ska få lämnas ut. Det krävs att utlämnandet är absolut nödvändigt. Det räcker enligt förarbetena inte med en sedvanlig relevansprövning utan starka skäl måste vara för handen. Det kan t.ex. röra sig om en sådan anhörigs dokumenterade förbindelser med främmande underrättelseorganisation .72
Sammanfattningsvis är det vår bedömning att det är nödvändigt och, mot bakgrund av de rättssäkerhetsgarantier som uppställs genom den prövning som görs i fråga om utlämnande av uppgifter,
även proportionerligt att utvidga kontrollen av närstående till prövade i säkerhetsklass 1 och 2 på motsvarande sätt som för den prövade.
I detta sammanhang kan särskilt nämnas att vi, med anledning av att vi föreslår en ganska markant utvidgning av kontrollen av närstående, har övervägt om det bör införas ett krav på samtycke även för närstående. En sådan ordning skulle emellertid i praktiken innebära att den prövades make, maka eller sambo får inflytande över vilka anställningar som personen i fråga kan söka, vilket framstår som problematiskt. Vi lämnar därför inte något sådant förslag.
Registerkontroll för närstående till prövade i säkerhetsklass 3
Säkerhetspolisens bedömning
Säkerhetspolisen har till utredningen framfört att myndigheten anser att det finns behov av att kontrollera närstående även vid registerkontroll för prövade i säkerhetsklass 3. Som skäl för detta har myndigheten uppgett bl.a. följande. De särskilda lojalitets- och beroendeförhållanden som föreligger när det gäller en make, maka eller sambo innebär att vissa uppgifter hänförliga till dessa kan utgöra betydande sårbarheter eller på annat sätt påverka den prövades pålitlighet från säkerhetssynpunkt. En person som deltar i säkerhetskänslig verksamhet vid en befattning placerad i säkerhetsklass 3 kan om säkerhetsskyddsklassificerade uppgifter röjs orsaka en inte obetydlig eller i vissa fall allvarlig skada för Sveriges säkerhet. Att rättsvårdande myndigheter kan ha uppgifter om att den prövades make, maka eller sambo har kopplingar till allvarlig brottslighet eller säkerhetshotande verksamhet, utan att uppgifterna kan identifieras och hämtas vid registerkontroll är mycket otillfredsställande. Förekomst av exempelvis samröre med kriminella nätverk, annan organiserad brottslighet eller främmande underrättelseorganisation bör under alla omständigheter vara av sådan betydelse för säkerhetsprövningen att starka skäl att lämna ut uppgifterna föreligger. Sådana uppgifter kan redan med dagens regelverk, och avseende en bredare krets av närstående än den omedelbara familjen, föranleda ett utlämnande. Det förutsätter dock att kopplingen till den prövade framgår av uppgifterna som hämtas om denne. Vidare framstår det som problematiskt att det i dag inte är möjligt att få en helhetsbild
av den prövades ekonomiska förhållanden i de fall då den prövade har delad ekonomi med make, maka eller sambo.
I praktiken innebär dagens begränsningar gällande kontrollen av närstående att uppgifter som kan ha stor inverkan på den enskildes lämplighet i säkerhetshänseende inte kan beaktas inom ramen för prövningen. Det finns också en obalans i förhållandet att sådana uppgifter i vissa fall kan inhämtas från öppna källor av en hotaktör samtidigt som de inte kan hämtas vid registerkontroll. Som framgår av betänkandet Säkerhetsprövningar – nya regler (SOU 2024:88) kan de uppgifter som är av betydelse i grundutredningen inte bara avse den prövade själv, utan även hans eller hennes närstående och umgängeskrets. Även den prövades familj och vänner har betydelse för att förstå och bedöma vilka sårbarheter som kan finnas hos den prövad e.73
Det kan i och för sig anses särskilt integritetskränkande att hämta och lämna ut uppgifter om någon som inte själv är berörd av prövningen. Säkerhetspolisen har dock i myndighetens övriga uppdrag rättsliga förutsättningar att behandla de personuppgifter som är nödvändiga att behandla för att bl.a. förebygga, förhindra och upptäcka brott mot Sveriges säkerhet. Med nödvändigt avses att behandlingen på något sätt behövs för att på ett effektivt sätt kunna utföra myndighetens uppgifter .74Säkerhetspolisen är såldes inte begränsad till att enbart behandla personuppgifter om den som exempelvis är föremål för myndighetens personskydd utan behandlingen förutsätts även kunna röra personer i dennes närmaste krets och andra personer som han eller hon kommer i kontakt med .75I de flesta fall skulle myndighetens behandling av de nu aktuella uppgifterna begränsa sig till en kontroll av förekomst i ett antal uppgiftssamlingar och därefter inte föranleda någon ytterligare åtgärd från myndigheten. De rättssäkerhetsgarantier som uppställs genom den prövning som görs i fråga om utlämnande stärker ytterligare slutsatsen att behovet av att hämta uppgifterna överväger den olägenhet som behandlingen av uppgifterna innebär. I detta sammanhang kan noteras att lagstiftaren, mot bakgrund av kravet på att utlämnandet ska vara absolut nödvändigt, inte ansett att det funnits behov av att inhämta den närståendes samtycke till kontrollen .76
73SOU 2024:88 s. 158. 74Prop. 2018/19:163 s. 65 f. 75 A.a. s. 218. 76Prop. 1995/96:129 s. 55.
Det är sammanfattningsvis Säkerhetspolisens bedömning att det skulle utgöra en betydelsefull reducering av sårbarhet i säkerhetskänslig verksamhet om uppgifter om make, maka eller sambo hämtades även vid registerkontroll för säkerhetsklass 3.
Vår bedömning
En utvidgning av registerkontrollen som innebär att närstående till prövade i säkerhetsklass 3, som är den säkerhetsklass i vilken den absoluta merparten kontrollerade är placerade, skulle innebära en betydande ökning av antalet personer som är eller kan bli föremål för registerkontroll. Registerkontrollen är, som nämnts tidigare, ett mycket viktigt verktyg inom ramen för säkerhetsprövningen enligt säkerhetsskyddslagen. Eftersom registerkontrollen inte är en garanti mot att personer som utgör ett säkerhetshot deltar i säkerhetskänslig verksamhet, kan det emellertid ifrågasättas om det är proportionerligt att kontrollera ett så stort antal personer. Detta särskilt med beaktande av hur ingripande kontrollen är för den enskilde. Till skillnad från andra typer av bakgrundskontroller genomförs registerkontroll inte bara inför ett deltagande i säkerhetskänslig verksamhet, utan också löpande under tiden som deltagandet pågår. Därtill kommer att just registerkontroll av närstående, som sker trots att personen i fråga inte ska delta i säkerhetskänslig verksamhet och utan att samtycke har lämnats, innebär en mycket stor kränkning av den personliga integriteten. Införandet av en sådan åtgärd förutsätter därmed, enligt vår bedömning, att åtgärden bedöms vara absolut nödvändig för att skydda Sveriges säkerhet och att det inte finns andra mindre ingripande sätt att uppnå den önskade effekten.
Vi ifrågasätter inte Säkerhetspolisens bedömning att det vid kontroll av närstående till prövade i säkerhetsklass 3 kan framkomma uppgifter som också kommer att kunna lämnas ut. Det stränga krav som uppställs för utlämnande av uppgifter om närstående gör emellertid ändå, enligt vår bedömning, att det kan ifrågasättas om säkerhetsvinsterna med en sådan åtgärd är så stora att inskränkningen av den personliga integriteten som en så omfattande registerkontroll skulle innebära är proportionerlig. Det är givetvis av stor vikt att säkerhetsrisker kopplade till närstående till personer som deltar i säkerhetskänslig verksamhet kan identifieras. Det är emellertid inte
självklart att detta ska ske genom just registerkontroll, utan kanske snarare i första hand genom underrättelsearbete. Vidare bedömer vi att de förslag som vi lämnar kommer att förbättra möjligheterna att kontrollera vilka personer som den prövade har i sin närhet, och utifrån dessa uppgifter kan en fördjupad kontroll i vissa fall göras med stöd av 3 kap. 14 § fjärde stycket säkerhetsskyddslagen. Det finns därmed skäl att i vart fall avvakta med åtgärden, och utvärdera vilka effekter som de föreslagna ändringarna ger.
Mot bakgrund av ovanstående, och att frågan inte har omfattats av vårt huvudsakliga uppdrag, gör vi bedömningen att det inte har framkommit tillräckligt starka skäl för att i detta betänkande lämna förslag om att närstående till prövade i säkerhetsklass 3 ska få kontrolleras.
7.8. Vissa säkerhetsprövningsbeslut bör anmälas till Säkerhetspolisen
Förslag: De aktörer som enligt 3 kap. 4 § och 4 a–d §§ säkerhets-
skyddslagen ansvarar för säkerhetsprövningen ska utan dröjsmål anmäla vissa säkerhetsprövningsbeslut till Säkerhetspolisen. De säkerhetsprövningsbeslut som omfattas av anmälningsskyldigheten är beslut som fattas under pågående deltagande i säkerhetskänslig verksamhet, och som innebär att en person som klarat den inledande säkerhetsprövningen bedöms vara opålitlig från säkerhetssynpunkt. Anmälan ska innehålla grunden för bedömningen.
Underlåtenhet att göra en anmälan till Säkerhetspolisen ska kunna leda till sanktionsavgift.
Bedömning: Det finns inte behov av att införa ytterligare bestäm-
melser för den personuppgiftsbehandling som förslaget medför.
Problembeskrivning och behovet av lagändringar
Den svenska säkerhetsprövningen är – till skillnad från system med s.k. säkerhetsklarering – inte knuten till en person, utan är i stället kopplad till en viss anställning eller ett visst deltagande i verksamhet. Säkerhetsprövningen görs därför inte heller av en särskild klarerings-
myndighet, utan ansvaret för säkerhetsprövningen ligger i stället som utgångspunkt hos den som beslutar om deltagandet i verksamheten. En och samma person kan därför bli föremål för säkerhetsprövning hos flera olika aktörer.
Vad som framkommer vid en säkerhetsprövning beror på ett flertal olika faktorer, såsom vilka frågor som ställs, vilka referenser som kontaktas och vilka ytterligare kontrollåtgärder som görs inom ramen för grundutredningen, registerkontrollen och den särskilda personutredningen. I betänkandet Säkerhetsprövningar – nya regler (2024:88) lämnas förslag som bl.a. ska förtydliga vad en grundutredning bör omfatta. Vad som framkommer vid en grundutredning kommer emellertid även fortsättningsvis bero på hur varje enskild utredning utformas, och givetvis också vilka svar som lämnas av den prövade. Vilka uppgifter som framkommer vid en säkerhetsprövning påverkas också av t.ex. bestämmelser om gallring. Sårbarheter och andra relevanta uppgifter som har upptäckts vid en säkerhetsprövning, behöver därmed inte nödvändigtvis framkomma vid en senare prövning avseende samma person.
I dag sker ingen registrering av säkerhetsprövningsbeslut på central nivå, utan det ankommer på den aktör som ansvarar för säkerhetsprövningen att själv försöka ta reda på om den prövade tidigare bedömts utgöra en säkerhetsrisk och omständigheterna som legat till grund för bedömningen. Eftersom möjligheterna att få kännedom om tidigare säkerhetsprövningsbeslut – som den prövade dessutom kan ha ett intresse av att hemlighålla – är klart begränsade, blir en effekt av nu gällande ordning att en verksamhetsutövare kan ha information som skulle vara av betydelse även för säkerhetsprövningar hos andra, men som inte kan vidareförmedlas och som av olika anledningar inte heller kommer att kunna upptäckas vid en framtida säkerhetsprövning. En sådan ordning framstår inte som godtagbar med hänsyn till de säkerhetshot som vi i dag ställs inför. Det finns också en risk att nuvarande ordning har en negativ inverkan på förtroendet för myndigheter eftersom allmänheten sannolikt förväntar sig att information av det här slaget ska kunna upptäckas vid en säkerhetsprövning. Vår bedömning är därför att det finns ett behov av lagändringar som gör det möjligt att inom ramen för en säkerhetsprövning få del av relevanta uppgifter som framkommit vid tidigare säkerhetsprövningar.
Närmare om förslaget
Vi föreslår att de aktörer som enligt 3 kap. 4 och 4 a–d §§ säkerhetsskyddslagen ansvarar för säkerhetsprövningar ska anmäla vissa säkerhetsprövningsbeslut till Säkerhetspolisen. Anmälan ska göras utan dröjsmål. Av anmälan ska grunderna för bedömningen framgå. Eftersom uppgifterna i anmälan behandlas med stöd av Säkerhetspolisens datalag, kommer sådana uppgifter också att kunna hämtas vid registerkontroll för samtliga säkerhetsklasser (jfr 3 kap. 14 § andra och tredje stycket säkerhetsskyddslagen) och – om uppgifterna bedöms vara av betydelse för säkerhetsprövningen – också lämnas ut och bli en del av underlaget vid säkerhetsprövning inför andra deltaganden i säkerhetskänslig verksamhet.
Den omständigheten att den prövade vid tidigare säkerhetsprövning har bedömts vara opålitlig från säkerhetssynpunkt och av det skälet inte har klarat prövningen måste som utgångspunkt anses vara av betydelse för säkerhetsprövningen. Eftersom säkerhetsprövning ska göras i förhållande till det aktuella deltagandet är det emellertid inte i första hand själva beslutet (som gjorts i förhållande till ett annat deltagande) som är av relevans, utan snarare omständigheterna som har legat till grund för bedömningen. Genom anmälningarna kan enskilda omständigheter som är graverande och som, t.ex. på grund av bestämmelser om gallring, inte kan upptäckas på annat sätt identifieras. Det kan också vara så att det vid den tidigare säkerhetsprövningen har framkommit flera olika omständigheter som tillsammans har legat till grund för bedömningen. Det är vår uppfattning att den sortens information avsevärt skulle förbättra möjligheterna att förhindra att personer som utgör en säkerhetsrisk deltar i säkerhetskänslig verksamhet, och att uppgifterna därför i vart fall bör få kontrolleras av Säkerhetspolisen.
Det faktum att en person tidigare har bedömts vara opålitlig från säkerhetssynpunkt behöver inte nödvändigtvis utgöra ett hinder för en godkänd säkerhetsprövning. Det kan t.ex. vara så att en omständighet som tidigare utgjort en sårbarhet har förändrats. Verksamhetsutövare kan också i olika grad ha möjlighet att vidta kompensatoriska åtgärder, vilket kan leda till att de landar i olika slutsatser. Eftersom uppgifterna är tänkta att hämtas inom ramen för registerkontrollen kommer dessutom enbart sådana uppgifter som bedöms vara av betydelse i förhållande till det nya deltagandet
lämnas ut och bli en del av bedömningsunderlaget. Den relevansbedömning som görs, bedöms också utgöra ett effektivt skydd mot att beslut som är dåligt underbyggda eller som innehåller grundlösa påståenden blir en del av beslutsunderlaget vid framtida säkerhetsprövningar.
Vilka beslut bör omfattas av anmälningsskyldigheten?
En ordning som möjliggör att uppgifter om tidigare genomförda säkerhetsprövningar registreras hos Säkerhetspolisen innebär ett betydande intrång i den personliga integriteten för de personer som berörs. Detta bl.a. eftersom det rör sig om behandling av belastande uppgifter som kan få negativa effekter för den enskilde i framtida rekryteringsförfaranden. En sådan ordning kan dessutom, på grund av att bestämmelserna om gallring och längsta tid för behandling skiljer sig åt mellan olika regelverk, innebära att uppgifter som är känsliga ur integritetssynpunkt, t.ex. uppgifter om brottslighet eller ekonomiska förhållanden, är tillgängliga för Säkerhetspolisen vid registerkontroll under längre tid än vad de hade varit om kontroll enbart hade gjorts mot den ursprungliga uppgiftskäll an.77Det är därmed inte självklart att alla säkerhetsprövningsbeslut som innebär att en person bedöms vara opålitlig från säkerhetssynpunkt bör anmälas till Säkerhetspolisen. Sådana beslut kan nämligen fattas under olika skeden av en säkerhetsprövningsprocess och bygga på ett mer eller mindre omfattande underlag. Vi har därför haft skäl att närmare överväga vilka säkerhetsprövningsbeslut som bör omfattas av anmälningsskyldigheten.
Frågan om vilka beslut som över huvud taget utgör ett säkerhetsprövningsbeslut har behandlats i betänkandet Säkerhetsprövningar –
nya regler (SOU 2024:88). I betänkandet konstateras sammanfatt-
77 Bestämmelser om hur länge personuppgifter får behandlas hos Säkerhetspolisen finns i 4 kap. Säkerhetspolisens datalag. Allmänt gäller att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (4 kap. 1 §). Därutöver finns särskilda regler för olika situationer. Personuppgifter som har gjorts gemensamt tillgängliga får inte behandlas längre än tio år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen. En särskild utredare har emellertid fått i uppdrag att göra en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet (dir. 2023:64 och dir. 2024:99). Uppdraget innefattar bl.a. att lämna förslag som gör att information kan hanteras av Säkerhetspolisen på ett mer ändamålsenligt sätt än i dag. Uppdraget tar även sikte på regleringen gällande längsta tid för behandling av personuppgifter. De förslag som den utredningen lämnar kan därför komma att påverka bedömningen av proportionaliteten av våra förslag.
ningsvis att ett beslut om att den prövade inte uppfyller kraven för säkerhetsprövning kan fattas vid olika tidpunkter under prövningsförfarandet (under grundutredningen, efter grundutredningen men före t.ex. registerkontroll eller vid helhetsbedömningen av hela underlaget), och att ett säkerhetsprövningsbeslut därmed bör definieras som ett ställningstagande någon gång under säkerhetsprövningsprocessen, i frågan om den prövade kan anses lämplig från säkerhetssynpunkt att delta i den säkerhetskänsliga verksamheten eller inte. Vad gäller underlaget för sådana beslut konstateras att ett säkerhetsprövningsbeslut som innebär att den prövade är godkänd görs genom en helhetsbedömning av det samlade underlaget (i normalfallet efter genomförd grundutredning och registerkontroll), medan ett beslut om att den prövade inte uppfyller kraven kan ha sin grund i ett mer begränsat material, t.ex. enbart uppgifter i en inledd eller genomförd grundutrednin g.78
I nämnda betänkande konstateras vidare att säkerhetsprövningsbeslut ska fattas såväl i rekryteringsärenden, som under deltagandet i säkerhetskänslig verksamhet. Under deltagandet kan det vara fråga om en omprövning av det tidigare säkerhetsprövningsbeslutet. Det kan ha inträffat något eller information kan ha framkommit som föranleder att omprövning bör ske, varvid ett nytt säkerhetsprövningsbeslut ska fattas. En säkerhetsprövning kan t.ex. också bli aktuell vid internrekrytering av en redan anställd om han eller hon söker eller tillfrågas om ett annat arbete eller andra arbetsuppgifter hos arbetsgivaren, eller om verksamhetsutövaren omvärderar bedömningen av en befintlig anställning eller befattning som inte tidigare har varit placerad i säkerhetsklass .79
Det är vår uppfattning att det framför allt är säkerhetsprövningsbeslut som har föregåtts av en mer ingående utredning om den prövades personliga förhållanden och där det kan antas finnas en god personkännedom hos aktören som utför säkerhetsprövningen som bör vara av störst betydelse vid en framtida säkerhetsprövning, och som därför bör omfattas av anmälningsskyldigheten.
Vi föreslår därför att säkerhetsprövningsbeslut som innebär att en person, som genom en anställning eller på något annat sätt deltar i säkerhetskänslig verksamhet, har bedömts vara opålitlig från säkerhetssynpunkt ska anmälas till Säkerhetspolisen. Det rör sig
78SOU 2024:88 s. 198 f. 79 A.a. s. 199 f.
alltså om situationer där ett tidigare säkerhetsprövningsbeslut omprövas, t.ex. på grund av att ny information har tillkommit. I dessa fall har verksamhetsutövaren haft möjlighet att genom den uppföljande säkerhetsprövningen och den vardagliga kontakten skaffa en fördjupad personkännedom. Vidare bör det ha funnits goda möjligheter att utreda uppgiften som föranlett att personen inte längre ansetts lämplig i säkerhetshänseende. Nu aktuella beslut bör därmed i regel vara välgrundade.
I ovan nämnda betänkande lämnas förslag om att sådana säkerhetsprövningsbeslut som vårt förslag tar sikte på ska få överklagas. Vårt förslag om att säkerhetsprövningsbeslut ska kunna läggas till grund även för framtida säkerhetsprövningar gör frågan om en möjlighet till överprövning än mer relevant. Vi bedömer emellertid att de särskilda rättssäkerhetsgarantier som registerkontrollen är förenad med är tillräckliga för att förslaget ska anses vara proportionerligt med hänsyn till skyddet för den personliga integriteten.
Det kan givetvis inte uteslutas att även negativa utfall vid inledande säkerhetsprövningar skulle kunna innehålla uppgifter som är av betydelse vid en framtida säkerhetsprövning. Om sådana beslut skulle omfattas av anmälningsskyldigheten hade det t.ex. funnits möjlighet att identifiera personer som aktivt söker sig till just säkerhetskänsliga verksamheter. Eftersom sådana beslut i praktiken kan grundas på ett mycket knapphändigt underlag kan det emellertid enligt vår mening ifrågasättas om en sådan ordning blir tillräckligt rättssäker för den enskilde. Detta särskilt med hänsyn till att besluten inte går att överklaga. Det kan också ifrågasättas om registrering av sådana uppgifter kan anses vara en proportionerlig åtgärd ur ett integritetsperspektiv.
Åsidosättande av anmälningsskyldigheten bör kunna leda till administrativ sanktionsavgift
Av 7 kap. säkerhetsskyddslagen följer att vissa överträdelser av säkerhetsskyddslagstiftningen kan leda till sanktionsavgift .80
Av förarbetena till 7 kap. säkerhetsskyddslagen framgår att sanktionsavgift i första hand bör komma i fråga vid åsidosättande av de skyldigheter som är allra viktigast för säkerhetsskyddet och
80 En närmare redogörelse för bestämmelserna finns i avsnitt 4.4.2.
att sanktionsavgifter därför bör reserveras för överträdelser av bestämmelser med krav som har avgörande betydelse för att upprätthålla ett väl anpassat säkerhetsskydd och där ett åsidosättande ytterst kan leda till allvarliga konsekvenser för Sveriges säkerhet. Eftersom sanktionsavgifter har en straffliknande karaktär och kan uppgå till betydande belopp måste kraven dessutom vara tillräckligt tydliga så att det är förutsebart för verksamhetsutövaren i vilka fall en sanktionsavgift får tas ut .81
Anmälningsskyldigheten kommer att fylla en viktig funktion för att förhindra att personer som inte är pålitliga från säkerhetssynpunkt deltar i säkerhetskänslig verksamhet. Åsidosättande av skyldigheten kan i värsta fall leda till att uppgifter som är av avgörande betydelse för säkerhetsprövningen av en person som ska delta i säkerhetskänslig verksamhet inte kan identifieras. Vi gör därför bedömningen att skyldigheten är av sådan vikt för säkerhetsskyddet att sanktionsavgift bör få tas ut vid underlåtenhet att anmäla säkerhetsskyddsbeslut i enlighet med bestämmelsen. Kravet på anmälan är också tillräckligt tydligt för att ligga till grund för en sådan avgift. Skyldigheten bör därför vara sanktionerad. Den som försummar anmälningsplikten bör alltså kunna åläggas en sanktionsavgift.
Personuppgiftsbehandlingen
Vårt förslag kommer att medföra ny personuppgiftsbehandling hos såväl de aktörer som ansvarar för säkerhetsprövningar som Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden. Vi gör emellertid bedömningen att den föreslagna bestämmelsen om anmälningsskyldighet och befintlig reglering i bl.a. Säkerhetspolisens datalag är tillräcklig för den personuppgiftshantering som kan komma att utföras med anledning av vårt förslag.
Vi återkommer till frågan om förslagens förenlighet med dataskyddslagstiftningen i avsnitt 7.11.4.
7.9. Följdändringar gällande den särskilda personutredningen
Förslag: Bestämmelsen i 3 kap. 17 § säkerhetsskyddslagen ändras
på så sätt att det framgår att den särskilda personutredningen ska omfatta en fördjupad kontroll av ekonomiska förhållanden. Det förtydligas också att den särskilda personutredningen i övrigt ska ha den omfattning som behövs i det enskilda fallet.
Kronofogdemyndigheten ska på begäran av Säkerhetspolisen lämna ut vissa uppgifter som förekommer i myndighetens verksamhet med skuldsanering samt betalningsföreläggande och handräckning, om uppgifterna avser en person som förekommer i ett ärende om särskild personutredning enligt 3 kap. säkerhetsskyddslagen.
Vi har inte haft i uppgift att se över den särskilda personutredningen eller lämna förslag som rör den delen av säkerhetsprövningen. Eftersom vi föreslår att ekonomiska förhållanden (som i dagsläget enbart kontrolleras vid särskild personutredning, och inte vid registerkontroll) i viss utsträckning även ska kontrolleras inom ramen för registerkontrollen föreslår vi emellertid att det av 3 kap. 17 § säkerhetsskyddslagen ska framgå att den särskilda personutredningen ska omfatta en fördjupad kontroll av ekonomiska förhållanden. Vi bedömer att ändringen inte utvidgar Säkerhetspolisens befogenheter att inhämta uppgifter inom ramen för personutredningen.
Det bör även fortsättningsvis vara upp till Säkerhetspolisen att vid särskild personutredning bedöma i vilken utsträckning ytterligare uppgifter om den prövades ekonomiska förhållanden behöver hämtas, och vilka uppgifter som det i så fall finns behov av att kontrollera. Som nämnts ovan bedöms emellertid uppgifter som förekommer i Kronofogdemyndighetens verksamhet med skuldsanering samt betalningsföreläggande och handräckning kunna vara av betydelse för säkerhetsprövningen (se avsnitt 7.5.7). Vi bedömer att det behövs nya sekretessbrytande bestämmelser om uppgiftsskyldighet för att Kronofogdemyndigheten löpande ska kunna lämna ut sådana uppgifter till Säkerhetspolisen. Vi föreslår att sådana bestämmelser införs i kronofogdedataförordningen.
I betänkandet Framtidens dataskydd – Vid Skatteverket, Tullverket
och Kronofogden (SOU 2023:100) lämnas förslag om att det i den nya
dataskyddslagstiftningen för Kronofogdemyndigheten ska finnas en generell bestämmelse om elektroniskt utlämnande, som även innefattar direktåtkomst, som innebär att personuppgifter ska få lämnas ut elektroniskt om det inte är olämpligt. Om en sådan bestämmelse införs kommer det finnas möjlighet för Kronofogdemyndigheten att lämna ut uppgifter genom direktåtkomst, om myndigheten bedömer att det är lämpligt.
Vidare menar vi att det, med hänsyn till den utvidgning av registerkontrollen som våra förslag innebär, finns ett behov av att förtydliga att bedömningen av vilka uppgifter som hämtas inom ramen för den särskilda personutredningen ska göras utifrån omständigheterna i det enskilda fallet. Med detta avses att den särskilda personutredningens omfattning ska anpassas utifrån vilken säkerhetsklass som befattningen är placerad i, vad som i övrigt har framkommit om den säkerhetskänsliga verksamheten och den enskildes förhållanden.
7.10. Det kan finnas behov av ytterligare följdändringar
Bedömning: Om det inte görs följdändringar i 10 § förordningen
(1989:149) om bevakningsföretag m.m. och 7 § skyddsförordningen (2010:523) kommer registerkontrollerna enligt nämnda regelverk att utvidgas på motsvarande sätt som registerkontrollen för deltaganden i säkerhetskänslig verksamhet som är placerade säkerhetsklass 3.
Om inte följdändringar görs i 5 kap. säkerhetsskyddslagen kommer registerkontrollen som görs inför utfärdande av säkerhetsintyg och efter ansökan av annan stat eller mellanfolklig organisation att utvidgas på motsvarande sätt som registerkontrollen vid säkerhetsprövning enligt 3 kap. säkerhetsskyddslagen.
Det finns fler regelverk än 3 kap. säkerhetsskyddslagen som möjliggör registerkontroll vid deltaganden i olika verksamheter. Vissa av dessa innehåller hänvisningar till bestämmelserna i 3 kap.13 och 14 §§säkerhetsskyddslagen. En ändring av nämnda bestämmelser i
enlighet med våra förslag innebär alltså – om inte följdändringar görs – även en utvidgning av vissa andra kontroller.
Enligt 4 § lagen (1974:191) om bevakningsföretag ska all personal hos ett auktoriserat bevakningsföretag vara godkänd vid prövning med avseende på bl.a. laglydnad och medborgerlig pålitlighet för att få vara anställd i ett sådant företag. För den bedömningen ska uppgifter som avses i 3 kap. 14 § tredje stycket säkerhetsskyddslagen inhämtas (10 § förordningen om bevakningsföretag).
Skyddslagen (2010:305), som innehåller bestämmelser om vissa åtgärder till förstärkt skydd för byggnader, andra anläggningar, områden och andra objekt mot sabotage, terroristbrott, spioneri samt röjande i andra fall av hemliga uppgifter som rör totalförsvaret, och grovt rån, föreskriver att den som efter prövning är godkänd med hänsyn till laglydnad, medborgerlig pålitlighet samt lämpligheten i övrigt för uppgiften, kan bli skyddsvakt (25 § skyddslagen). Vid länsstyrelsens och Försvarsmaktens prövning av en persons laglydnad och medborgerliga pålitlighet ska uppgifter som avses i 3 kap. 14 § tredje stycket säkerhetsskyddslagen inhämtas (7 § skyddsförordningen).
I 5 kap. säkerhetsskyddslagen finns bestämmelser om internationell säkerhetsskyddssamverkan och säkerhetsintyg. Av regelverket följer bl.a. att det under vissa förutsättningar får göras en säkerhetsprövning som innefattar registerkontroll enligt 3 kap. 13 § säkerhetsskyddslagen om det behövs för att ett säkerhetsintyg ska kunna utfärdas (2 §), eller när en annan stat eller mellanfolklig organisation har ansökt om ett sådant underlag (4 §).
Vi har inte haft i uppdrag att ta ställning till om även ovan nämnda registerkontroller bör utvidgas. Vi har inte heller haft tidsmässigt utrymme att lämna förslag om följdändringar i aktuella regelverk. Det går emellertid att tänka sig flera olika lagtekniska lösningar för detta. En lösning skulle kunna vara att ändra hänvisningarna till 3 kap.13 och 14 §§säkerhetsskyddslagen, så att hänvisningarna bara avser de uppgifter som får hämtas i dag. Ett annat alternativ skulle kunna vara att hänvisa till den tidigare lydelsen av 3 kap.13 och 14 §§säkerhetsskyddslagen (jfr 28 § första stycket lagen [2020:62] om hemlig dataavläsning). En annan tänkbar lösning är att det i de olika regelverken – i stället för hänvisningar till säkerhetsskyddslagen –
införs särskilda bestämmelser om vad som avses med registerkontroll, av vilka det framgår vilka uppgifter som får hämtas .82
7.11. Förslagens förhållande till skyddet för den personliga integriteten
7.11.1. Inledning
Registerkontroll innebär ett intrång i den enskildes personliga integritet, och i våra direktiv konstateras att en utveckling av systemet för registerkontroll måste vägas mot intresset av att skyddet för enskildas personliga integritet kan upprätthållas. När ett intrång i den personliga integriteten ska bedömas måste en avvägning göras mellan olika berättigade intressen. Det intrång som sker måste vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset. Bedömningen av hur förslagen förhåller sig till skyddet för den personliga integriteten måste också innefatta en analys av om förslagen är förenliga med dataskyddslagstiftningen. Vi har i tidigare avsnitt gjort avvägningar mellan behovet av varje enskilt förslag och enskildas intresse av att kunna värna sin personliga integritet. I tidigare avsnitt har vi också gjort avvägningar bl.a. av hur förslagen ska utformas och avgränsas så att enskildas integritetsintressen beaktas. Vi har också gjort överväganden om huruvida det, utifrån ett dataskyddsperspektiv, krävs ytterligare bestämmelser för den personuppgiftsbehandling som våra förslag medför. I det här avsnittet belyser vi förslagens samlade effekt för enskildas personliga integritet, fördjupar analysen av förslagens förenlighet med dataskyddsregleringen, och redogör för våra överväganden gällande förslagens förenlighet med skyddet för den personliga integriteten så som det kommer till uttryck i regeringsformen, Europakonventionen och EU-stadgan.
82 Jfr Ds 2024:24 s. 17.
7.11.2. Kartläggning av personuppgiftsbehandlingen till följd av våra förslag
Begreppet personuppgiftsbehandling har getts en mycket vid definition och omfattar insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, utlämnande genom överföring, användning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring av varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet (se artikel 4.1 och 4.2 i dataskyddsförordningen).
I princip alla åtgärder som vidtas inom ramen för en registerkontroll utgör därmed behandling av personuppgifter och en effekt av våra förslag är alltså att behandlingen av personuppgifter kommer att öka.
På vilket sätt personuppgifter kommer att hanteras, och av vilka aktörer, framgår av vår redogörelse för säkerhetsprövningen i avsnitt 7.2 och av redogörelsen för våra förslag i avsnitt 7.5–7.9. Helt kortfattat kan emellertid följande nämnas angående den personuppgiftsbehandling som våra förslag medför.
Förslagen kommer i första hand att leda till en ökad personuppgiftsbehandling hos Säkerhetspolisen, som ges möjlighet att hämta, kontrollera och bearbeta fler uppgifter inom ramen för registerkontrollen. Inhämtandet av uppgifter kommer dessutom kräva överväganden om personuppgifter ska raderas eller om det finns ett legitimt behov av uppgifterna i verksamheten.
Förslagen kommer också att innebära en ökad personuppgiftsbehandling hos aktörerna som Säkerhetspolisen får hämta uppgifter från och genom (dvs. Skatteverket, Tullverket, Kriminalvården, Transportstyrelsen, Migrationsverket, Kronofogdemyndigheten och Polismyndigheten). Med hänsyn till den breda definitionen av personuppgiftsbehandling är det inte bara själva utlämnandet av uppgifter till en annan myndighet som utgör en behandling av personuppgifter. Även en rad andra åtgärder som behöver vidtas inför ett utlämnande kommer att medföra personuppgiftsbehandling, t.ex. strukturering, kontroll, bearbetning och justering av uppgifter.
Förslagen innebär vidare att Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden och de aktörer som utför själva säkerhetsprövningen kommer att behandla fler och andra per-
sonuppgifter än i dag. Det är i första hand de aktörer som bedriver säkerhetskänslig verksamhet, verksamhetsutövare, som ansvarar för säkerhetsprövningen. I denna grupp ingår såväl offentliga som enskilda verksamhetsutövare. I undantagsfall har en myndighet, som inte beslutar om anställning eller annat deltagande hos verksamhetsutövaren, ansvaret för säkerhetsprövningen. Av undantagsbestämmelserna i 3 kap. 4 a–d §§ säkerhetsskyddslagen följer vidare att Domarnämnden, Transporstyrelsen Riksdagsförvaltningen och Försvarsmakten ansvarar för den slutliga bedömningen i säkerhetsprövningen i vissa fall.
En skyldighet för de aktörer som utför säkerhetsprövningen att anmäla vissa säkerhetsprövningsbeslut till Säkerhetspolisen (se avsnitt 7.8) kommer att medföra ny personuppgiftsbehandling för nämnda aktörer. Förslaget innebär också att Säkerhetspolisen kommer att motta och hantera personuppgifter som myndigheten tidigare inte haft tillgång till vid registerkontroll. Eftersom uppgifterna kommer att behandlas med stöd av Säkerhetspolisens datalag, kommer dessa också att kunna hämtas vid registerkontroll och bli en del av underlaget vid säkerhetsprövningen.
Den personuppgiftsbehandling som våra förslag medför kommer att avse flera olika slags personuppgifter såsom namn, personnummer, samordningsnummer eller födelsedatum, brottslighet, familjeförhållanden, ekonomi m.m. (se avsnitt 7.5 för en närmare redogörelse för vilka uppgifter som våra förslag tar sikte på).
Eftersom det är fråga om automatiserad behandling av personuppgifter aktualiseras dataskyddslagstiftningen, såväl dataskyddsförordningen som brottsdatalagen, samt flera registerförfattningar och lagstiftning som rör personuppgiftsbehandling i verksamhet som rör nationell säkerhet. Vi återkommer till detta nedan i avsnitt 7.11.4.
7.11.3. Överväganden gällande integritetsriskerna med personuppgiftsbehandlingen
Bedömning: En utvidgning av registerkontrollen i enlighet med
våra förslag kommer, främst med hänsyn till mängden och karaktären av de uppgifter som behandlas avseende varje kontrollerad person, att innebära ökade integritetsrisker.
Vad avses med integritetsrisk?
Den personliga integriteten handlar bl.a. om en önskan eller ett krav att kontrollera uppgifter om sig själv och utomståendes möjligheter att ta del av personliga uppgifter. Personlig integritet innefattar såväl en rätt för den enskilde till en privat sfär skyddad för utomståendes insyn, som en rätt att bestämma över kunskap om sig själv .83En rimlig utgångspunkt för bedömningen av vad som utgör en integritetsrisk borde därför kunna vara den enskildes intresse av att skydda information om sina personliga förhållanden .84
Vid bedömningen av vilka integritetsrisker som en behandling av personuppgifter kan medföra har personuppgifternas karaktär stor betydelse. För att bedöma integritetsriskerna måste uppgifternas karaktär emellertid också bedömas tillsammans med andra faktorer, t.ex. i vilket sammanhang som uppgifterna kommer att behandlas, för vilket ändamål, vilka personer som kan komma att få åtkomst till uppgifterna och hur omfattande behandlingen är .85
I skäl 75 till dataskyddsförordningen anges exempel på när risker typiskt sett kan uppkomma. Där anges att risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling
- som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering eller annan betydande ekonomisk eller social nackdel,
- om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter,
- om känsliga personuppgifter eller uppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder behandlas,
- om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk
83Prop. 2009/10:210 s. 167 f. 84 Jfr SOU 2024:63 s. 426. 85 Integritetsskyddsmyndighetens vägledning för integritetsanalys i lagstiftningsarbete (IMY-2022-10835), s. 8 f. och skäl 76 till dataskyddsförordningen.
ställning, hälsa, personliga preferenser eller intressen, tillförlitlighet eller beteende, eller
- om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.
Vi lämnar förslag om att den registerkontroll som utförs inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen ska utvidgas. Integritetsriskerna med våra förslag måste därför också vägas samman med riskerna med redan befintlig personuppgiftsbehandling. Det som skiljer registerkontrollen enligt säkerhetsskyddslagen från andra bakgrundskontroller är bl.a. att kontrollen kan avse fler register. Kontrollen avser inte bara brottmålsdomar utan också brottsmisstankar och andra uppgifter som behandlas hos Säkerhetspolisen och Polismyndigheten. Om det finns synnerliga skäl får Säkerhetspolisen även hämta andra uppgifter. Uppgifterna kan också under vissa förutsättningar avse närstående till den som prövas. Vidare pågår registerkontrollen kontinuerligt under hela den tid som deltagandet pågår genom en bevakning av tillkommande uppgifter. Mot den bakgrunden är registerkontrollen enligt säkerhetsskyddslagen redan i dag förenad med särskilda integritetsrisker.
En utvidgning av registerkontrollen innebär ökade integritetsrisker
Våra förslag innebär utökad och ny personuppgiftsbehandling
Vi har ovan beskrivit den behandling av personuppgifter som våra förslag medför. Av beskrivningen framgår att förslagen kommer att leda till ökad och i viss utsträckning även ny personuppgiftsbehandling för de inblandade aktörerna. En utökad, eller ny, personuppgiftsbehandling innebär i sig ökade integritetsrisker eftersom det innebär en ökad spridning av personuppgifter.
Flera olika kategorier av personuppgifter kommer att behandlas, däribland sådana som är särskilt känsliga ur integritetssynpunkt
Våra förslag tar sikte på uppgifter som kan antas vara av betydelse vid bedömningen av om en person är pålitlig från säkerhetssynpunkt. Vad som avses med detta har vi utvecklat tidigare i kapitlet (se bl.a. avsnitt 7.4.3 och 7.4.4). Det rör sig i huvudsak om uppgifter som rör den prövade som privatperson, t.ex. uppgifter om sociala förhållanden och uppgifter om den kontrollerades privatekonomi, och som kan medföra särskilda integritetsrisker. Förslagen kommer också att innebära hantering av vissa typer av personuppgifter som enligt dataskyddsförordningen kräver ett särskilt skydd, exempelvis person- och samordningsnummer och uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Merparten av de uppgifter som våra förslag rör omfattas också av sekretess och tystnadsplikt.
Vad gäller känsliga personuppgifter, t.ex. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och uppgifter om hälsa, sexualliv eller sexuell läggning, kan det i vart fall inte uteslutas att våra förslag kan leda till att sådana uppgifter behandlas. Detta eftersom de myndigheter som Säkerhetspolisen föreslås få hämta uppgifter från, under vissa förutsättningar får behandla sådana uppgifter.
Förslagen leder alltså till att personuppgifter som är förenade med särskilda integritetsrisker kommer att behandlas i större utsträckning.
Omfattningen av personuppgiftsbehandlingen och risken för spridning
Förutom att en stor del av uppgifterna som kommer att behandlas till följd av våra förslag är av särskilt känslig karaktär, innebär våra förslag dessutom att mängden uppgifter som får hämtas avseende varje enskild person som är föremål för registerkontroll utvidgas ganska markant (kontroller av uppgifter hos Migrationsverket och utländska domar kommer emellertid inte göras avseende alla kontrollerade). I detta sammanhang kan också nämnas att mängden uppgifter som kommer att behandlas vid registerkontroll sannolikt kommer att påverkas genom andra lagförslag. Som exempel kan nämnas att Utredningen om Säkerhetspolisens informationshan-
tering (Ju 2023:02) har i uppdrag att göra en översyn av de bestämmelser som reglerar Säkerhetspolisens behandling av personuppgifter som rör nationell säkerhet och lämna förslag som ger Säkerhetspolisen ökade möjligheter att behandla personuppgifter, särskilt vad gäller att samla in, sortera, lagra, bearbeta och analysera information med hjälp av tekniska hjälpmedel. Det finns också förslag om större möjligheter till informationsutbyte mellan myndigheter (se prop. 2024/25:65 och SOU 2024:63). Effekterna av förslagen är emellertid inget som vi har haft möjlighet att beakta inom ramen för vår integritetsanalys.
Registerkontrollen är som utgångspunkt begränsad till att omfatta personer som har en befattning som är placerad i säkerhetsklass samt vissa närstående till prövade i säkerhetsklass 1 och 2. Placeringen i säkerhetsklass utgår från en bedömning av vilken grad av skada som en anställd eller någon som på annat sätt ska delta i verksamheten kan orsaka. Beslut om placering i säkerhetsklass tas av riksdagen och dess myndigheter när det gäller riksdagens förvaltningsområde, och i övrigt av regeringen. Regeringen får meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Sådan beslutanderätt får överlåtas till enskilda endast om det finns särskilda skäl. Beslut om placering fattas därmed som utgångspunkt av offentliga organ. Denna ordning har ansetts utgöra en viss garanti om skydd för den enskildes integritet .86Av 3 kap. 10 § säkerhetsskyddslagen följer också att en anställning eller något annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Kravet innebär att det alltid ska övervägas om verksamheten är organiserad på ett optimalt sätt utifrån skyddsbehovet och om alternativa säkerhetsskyddsåtgärder i stället kan användas.
Vad gäller antalet personer som omfattas av registerkontrollen kan nämnas att Säkerhetspolisen tog emot omkring 168 000 nya ansökningar om registerkontroll under 2024. Siffran omfattar dock inte bara registerkontroller som görs inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen, utan även registerkontroller som utförs av Säkerhetspolisen med stöd av andra regelverk (t.ex. registerkontroller avseende anställda hos auktoriserade bevakningsföretag). I siffran ryms även personer som kontrolleras med anled-
86Prop. 1995/96:129 s. 56 och SOU 2015:25 s. 419 f.
ning av sin anknytning till personer som är anställda eller som ska anställas i säkerhetsklass 1 och 2.87
Antalet ansökningar per år har ökat successivt de senaste fem åren. Detta kan bl.a. antas bero på införandet av den nya säkerhetsskyddslagen, som har ett vidare tillämpningsområde än den gamla säkerhetsskyddslagen och att fler verksamheter hanterar säkerhetsskyddsklassificerade uppgifter, bl.a. beroende på upprustningen av totalförsvaret. Med hänsyn till den breddade och alltmer komplexa hotbild som vi i dag ställs inför finns det anledning att utgå från att antalet säkerhetsprövningar som innefattar registerkontroll kan komma att öka ytterligare framöver.
Vad gäller antalet kontrollerade personer kan sammanfattningsvis konstateras att det handlar om en begränsad personkrets, men ett inte obetydligt antal individer, som är eller kan komma att bli föremål för registerkontroll enligt 3 kap. säkerhetsskyddslagen. Antalet personer som kontrolleras kommer inte att påverkas av våra förslag.
Våra förslag innebär bl.a. att Säkerhetspolisen i större utsträckning får hämta uppgifter från andra myndigheter vid registerkontroll. Informationsutbyte mellan myndigheter innebär nästan alltid att uppgifter behandlas för ett annat ändamål än det som uppgifterna samlades in för. Så bedöms också bli fallet gällande de uppgifter som Säkerhetspolisen hämtar från nu aktuella myndigheter. Uppgifterna som hämtas kan dessutom leda till negativa konsekvenser för den enskilde, särskilt när det gäller uppgifter som inhämtas under pågående anställning. Det gör ändamålsglidningen mer känslig ur ett integritetsperspektiv.
Merparten av den personuppgiftsbehandling som våra förslag medför kommer att utföras av Säkerhetspolisen, för ändamålet att myndigheten ska kunna fullgöra uppgiften att utföra registerkontroll enligt säkerhetsskyddslagen. Av 2 kap. 3 § Säkerhetspolisens datalag följer att myndigheten får behandla personuppgifter för ett nytt ändamål om det nya ändamålet är förenligt med det ändamål som låg till grund för den ursprungliga behandlingen. I förarbetena uttalas att eftersom Säkerhetspolisens verksamhet är inriktad på att bekämpa brott som är systemhotande till sin natur, kan behandling av personuppgifter för nya ändamål inom den egna organisationen i de flesta fall anses förenligt med ursprungsändamålet .88Av 2 kap. 4 § samma
87 Uppgifter som Säkerhetspolisen har lämnat till utredningen. 88Prop. 2018/19:163 s. 221.
lag följer att Säkerhetspolisen också får vidarebefordra information bl.a. till andra brottsbekämpande myndigheter. Det finns därmed skäl att utgå från att uppgifter som samlas in senare kan behandlas av Säkerhetspolisen, och vissa andra aktörer, för andra ändamål.
Om personuppgifter behandlas för nya ändamål kan det leda till ökad spridning av uppgifterna genom att fler får tillgång till dem. Det kan också leda till att uppgifterna behandlas under längre tid än vad som var avsett från början. Behandling för nya ändamål kan därmed medföra ökat intrång i enskildas personliga integritet.
En omständighet som enligt Integritetsskyddsmyndigheten bör beaktas vid bedömningen av integritetsriskerna vid informationsutbyte mellan myndigheter är hur åtkomsten till andra myndigheters register eller databaser ser ut. Det kan konstateras att merparten av myndigheterna som omfattas av våra förslag får ge Säkerhetspolisen tillgång till uppgifter genom direktåtkomst. Med direktåtkomst avses att den utlämnande myndigheten ger mottagaren möjlighet att hämta information direkt från den utlämnande myndighetens it-system. Uppgiftslämnande genom direktåtkomst har under lång tid ansetts utgöra en särskilt integritetskänslig form av utlämnande. Regeringen har dock uttalat att det inte längre är en stor skillnad mellan direktåtkomst och en elektronisk fråga-svar-funktion vad gäller risken för integritetsintrång. Detta eftersom den tekniska lösning som den personuppgiftsansvariga myndigheten väljer måste utformas i enlighet med dataskyddslagstiftningens krav .89Vårt uppdrag har inte omfattat frågan om hur Säkerhetspolisen ska få hämta uppgifter vid registerkontroll, och det är inte möjligt att i dagsläget uttala sig om hur Säkerhetspolisens tillgång till uppgifterna kommer att se ut. Det kan emellertid konstateras att informationsinnehavarna inte har någon skyldighet att ge Säkerhetspolisen direktåtkomst och att det ankommer på den utlämnande myndigheten att, med beaktande av de krav som följer av dataskyddslagstiftningen, bedöma vilken metod för utlämnande som är lämplig.
Säkerhetspolisens möjligheter att behandla uppgifter som mottas från informationsinnehavarna begränsas också av befintliga regler i Säkerhetspolisens datalag, som styr personuppgiftsbehandlingen i myndighetens verksamhet. Även om våra förslag leder till att Säkerhetspolisen får tillgång till mer information, är behandlingen alltså bara tillåten i vissa angivna fall. Uppgifterna kommer att om-
89Prop. 2021/22:177 s. 79. Jfr även SOU 2023:100, del 2, s. 1006.
fattas av flera skyddsåtgärder som följer av Säkerhetspolisens datalag, t.ex. bestämmelser om begränsningar av tillgången till personuppgifter, begränsningar gällande behandling av känsliga personuppgifter, sökbegränsningar och om hur länge personuppgifter får behandlas. Till detta kommer att Säkerhetspolisen är personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför, vilket bl.a. innebär att myndigheten står under tillsyn och måste kunna visa att personuppgiftsbehandlingen är författningsenlig samt att den registrerades rättigheter skyddas genom lämpliga tekniska och organisatoriska åtgärder.
Vidare kan det konstateras att registerkontrollprocessen är utformad på ett sätt som kraftigt begränsar spridningen av uppgifter som hämtas vid kontrollen. Då åsyftas i första hand den relevansbedömning som i ett första led görs av Säkerhetspolisen, och som i ett andra led görs av Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden. Uppgifter om den prövade får bara lämnas ut om de kan antas vara av betydelse för säkerhetsprövningen. Uppgifter om närstående får bara lämnas ut om det är absolut nödvändigt.
Vi bedömer också att uppgifterna som behandlas med anledning av våra förslag kommer att omfattas av sekretess. I offentlighets- och sekretesslagen finns flera bestämmelser som kan vara tillämpliga på uppgifter hos nu aktuella myndigheter, som exempel kan nämnas försvarssekretessen i 15 kap. 2 §, utrikessekretessen i 15 kap. 1 § och sekretessen i underrättelseverksamhet enligt 18 kap. 2 §. Det finns vidare särskilda regler om sekretess och tystnadsplikt gällande uppgifter som förekommer i angelägenhet som avser säkerhetsprövning. För enskild verksamhet finns en bestämmelse i 8 kap. 1 § säkerhetsskyddslagen om tystnadsplikt. Enligt bestämmelsen får den som med stöd av lagen fått del av uppgifter som förekommer i angelägenhet som avser säkerhetsprövning inte obehörigen röja eller utnyttja dessa uppgifter. Bestämmelsen innebär alltså en tystnadsplikt för personer hos den enskilde verksamhetsutövaren och tar sikte på att skydda enskildas integritet vid säkerhetsprövning enligt säkerhetsskyddslagen. Brott mot tystnadsplikten är straffsanktionerat genom 20 kap. 3 § brottsbalken. Enligt 35 kap. 1 § första stycket 3 offentlighets- och sekretesslagen gäller sekretess för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till
honom eller henne lider skada eller men och uppgiften förekommer i angelägenhet som avser säkerhetsprövning enligt säkerhetsskyddslagen. Det råder alltså presumtion för sekretess.
Av 3 kap. 21 § säkerhetsskyddslagen följer vidare att de handlingar som har överlämnats till den aktör som utför säkerhetsprövningen, efter att beslut har fattats, snarast ska återställas till den överlämnande myndigheten (dvs. Säkerhetspolisen) om inte annat har beslutats.
Den enskilde har visst inflytande över personuppgiftsbehandlingen. Registerkontroll får som utgångspunkt inte göras utan att den enskilde har lämnat sitt samtycke (undantag gäller för närstående till prövade i säkerhetsklass 1 och 2 och för totalförsvarspliktiga i säkerhetsklass 3). Merparten av de kontrollerade har alltså fått information om behandlingen och lämnat samtycke till kontrollen. Därtill har den enskilde, enligt huvudregeln i 3 kap. 20 § säkerhetsskyddslagen, rätt att yttra sig innan uppgifterna som framkommer vid en registerkontroll lämnas ut, vilket ger den enskilde möjlighet att tillföra ärendet underlag inför relevansbedömningen samt att avbryta rekryteringsprocessen, eller anställningen, innan arbetsgivaren får del av uppgifterna. Bestämmelsen gäller även för närstående till den prövade. Om uppgiften omfattas av sekretess i förhållande till den enskilde ska en intresseavvägning göras och den enskilde ska få del av uppgiften om hans eller hennes intresse av att få yttra sig skäligen bör ha företräde framför det intresse som sekretessen ska skydda (se andra stycket i nämnda bestämmelse).
Förslagen innebär en mer omfattande kartläggning och övervakning av enskilda
Syftet med säkerhetsprövningen och registerkontrollen är att klarlägga om en person kan antas vara lojal med de intressen som ska skyddas och i övrigt pålitlig från säkerhetssynpunkt. Prövningen och kontrollen syftar också till att utreda eventuella sårbarheter som skulle kunna göra att personen hamnar i en utsatt situation och blir sårbar för yttre påtryckningar. I tidigare lagstiftningsärenden har regeringen konstaterat att en inledande säkerhetsprövning, som sker inför anställning eller annat deltagande i säkerhetskänslig verksamhet, och som innefattar grundutredning och registerkontroll måste anses utgöra en kartläggning av enskildas personliga förhål-
landen. Regeringen har vidare uttalat att den löpande registerkontrollen som pågår under hela den tid som den enskilde är placerad i säkerhetsklass måste anses utgöra sådan övervakning av den enskildes personliga förhållanden som avses i 2 kap. 6 § andra stycket regeringsformen. Åtgärderna är, enligt regeringen, sådana att de får anses innebära kontinuerlig övervakning av den enskilde från det allmännas sid a.90Vi ansluter oss till den bedömningen. I detta sammanhang kan också nämnas att den särskilda personutredningen, som aktualiseras avseende säkerhetsklass 1 och 2 innebär att Säkerhetspolisen får hämta de uppgifter ”som behövs”.
Eftersom vi föreslår att fler och andra uppgifter ska få hämtas om de personer som kontrolleras, kan det konstateras att förslagen kommer att leda till en mer omfattande kartläggning och övervakning av enskilda, vilket innebär ett större intrång i den personliga integriteten. I dag är kontrollen begränsad främst till uppgifter som rör brottslighet. Våra förslag innebär att fler sådana uppgifter ska få hämtas. Förslagen innebär emellertid också att kontrollen kommer att omfatta fler uppgiftskategorier, nämligen ekonomiska förhållanden, uppgifter om den prövades rätt att vistas och arbeta i Sverige, uppgifter om medborgarskap och uppgifter om omhändertaganden enligt lagen om omhändertagande av berusade personer m.m. Förslagen har störst effekt för personer i säkerhetsklass 3 och närstående till prövade i säkerhetsklass 1 och 2. Kontroll av ekonomiska förhållanden och av eventuella omhändertaganden görs redan i dag, i varierande omfattning, avseende prövade i säkerhetsklass 1 och 2 inom ramen för den särskilda personutredningen.
Regeringen har vidare gjort bedömningen att registerkontroll utan krav på samtycke kan utgöra ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen .91Vi delar även den bedömningen.
Registerkontroll kräver som utgångspunkt att den kontrollerade har lämnat sitt samtycke till kontrollen. Kravet på samtycke gäller emellertid inte för närstående och totalförsvarspliktiga som är placerade i säkerhetsklass 3. Vi menar vidare att det kan ifrågasättas om ett samtycke som inhämtas under pågående anställning eller deltagande, t.ex. i situationer där en redan pågående anställning placeras i säkerhetsklass, kan anses utgöra ett sådant frivilligt samtycke
90Prop. 2022/23:87 s. 38. 91 A.a. s. 38.
som avses i 2 kap. 6 § andra stycket regeringsformen. Detta eftersom det är tveksamt om det, för en anställd person, framstår som ett verkligt alternativ att avstå från kontroll .92Det kan också ifrågasättas om ett samtycke till registerkontroll enligt säkerhetsskyddslagen kan anses uppfylla kravet på att det ska röra sig om ett informerat samtycke. Detta eftersom den prövade inte får någon fullständig information om vilka uppgifter som kommer att hämtas. Vi föreslår att ändringarna i 3 kap.13 och 14 §§säkerhetsskyddslagen ska tillämpas även avseende kontroller som pågår när ändringarna träder i kraft. Vår bedömning är att nytt samtycke enligt 3 kap. 18 § säkerhetsskyddslagen inte behöver inhämtas med anledning av vårt förslag (se avsnitt 8.2.1). Ett samtycke som har lämnats innan utvidgningen av kontrollen kan emellertid sannolikt inte anses utgöra ett informerat samtycke. Vi utgår därmed från att våra förslag kan leda till att kontrollerna i större utsträckning än tidigare utgör ett sådant betydande intrång i den personliga integriteten som aktualiserar grundlagsskyddet i 2 kap. 6 § regeringsformen.
7.11.4. Förslagen är förenliga med dataskyddslagstiftningen
Bedömning: Genom befintlig lagstiftning och de ändringar som
vi föreslår ges rättslig grund för personuppgiftsbehandlingen som våra förslag medför och stöd för vidarebehandling av personuppgifter. Det finns också stöd för behandling av personuppgifter som rör lagöverträdelser.
Våra förslag aktualiserar såväl dataskyddsförordningen som brottsdatalagen, men också flera registerförfattningar och lagstiftning om personuppgiftsbehandling i verksamhet som rör nationell säkerhet. Regelverken utgår emellertid från samma principer. För att personuppgiftshanteringen ska vara förenlig med dataskyddsregleringen krävs bl.a. att det finns en rättslig grund för behandlingen.
Säkerhetspolisen tillämpar Säkerhetspolisens datalag vid personuppgiftsbehandling i myndighetens operativa verksamheter. Av 2 kap. 1 § nämnda lag framgår bl.a. att Säkerhetspolisen får behandla personuppgifter för att förebygga, förhindra eller upptäcka brotts-
92Prop. 2009/10:80 s. 178 f. samt Justitieombudsmannens beslut den 19 oktober 2023, dnr 7143-2022, s. 11.
lighet som innefattar brott mot Sveriges säkerhet och terrorbrott, och om det är nödvändigt för att fullgöra uppgifter enligt säkerhetsskyddslagen. Genom nämnda bestämmelser och de föreslagna ändringarna i 3 kap. säkerhetsskyddslagen ges Säkerhetspolisen rättslig grund för att hämta och på andra sätt behandla de personuppgifter som våra förslag tar sikte på.
Kriminalvården kommer, enligt vår bedömning, att omfattas av brottsdatalagens tillämpningsområde när myndigheten lämnar ut personuppgifter till Säkerhetspolisen vid registerkontroll. Detsamma gäller för Skatteverket och Tullverket, när myndigheterna lämnar ut personuppgifter som behandlas i myndigheternas brottsbekämpande verksamheter, samt Polismyndigheten. Vi menar därför att personuppgiftsbehandlingen ryms inom den rättsliga grund som följer av 2 kap. 1 § brottsdatalagen. Bestämmelser om uppgiftsskyldighet gentemot Säkerhetspolisen finns i de nu aktuella myndigheternas registerförfattningar inom brottsdatalagens område (se 19 § Kriminalvårdens brottsdataförordning, 2 kap. 8 § Skatteverkets brottsdatalag, 2 kap. 8 § Tullverkets brottsdatalag och bl.a. 2 kap. 8 § polisens brottsdatalag). Rättslig grund för Polismyndighetens behandling av uppgifter om utländska domar finns i belastningsregisterlagstiftningen och regleringen gällande Ecris-TCN. Vi bedömer därmed att det finns rättslig grund för den personuppgiftsbehandling som förslagen i denna del medför.
Våra förslag innebär att nämnda informationsinnehavare, med stöd av befintliga bestämmelser om uppgiftsskyldighet, kommer att behandla personuppgifter för ett annat ändamål än de ändamål för vilka uppgifterna har samlats in. Registerkontroll enligt säkerhetsskyddslagen är nämligen ett ändamål som ligger utanför brottsdatalagens tillämpningsområde (jfr 1 kap. 4 § brottsdatalagen och 2 kap. 1 § första stycket 3 b Säkerhetspolisens datalag). Innan personuppgifter som behandlas med stöd av brottsdatalagen behandlas för ett ändamål utanför lagens tillämpningsområde ska det säkerställas att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (se 2 kap. 22 § brottsdatalagen). Personuppgiftsbehandlingen kommer att vara nödvändig för att uppfylla den uppgiftsskyldighet som finns gentemot Säkerhetspolisen. Vidare är det vår bedömning att skälen för att personuppgifterna behandlas för det nya ändamålet, dvs. registerkontroll inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen, väger tyngre än det intrång
som behandlingen innebär för den enskilde. Detta eftersom åtgärderna förväntas stärka skyddet för Sveriges säkerhet. Eftersom det finns bestämmelser om uppgiftsskyldighet behöver de myndigheter som kommer att lämna uppgifter till Säkerhetspolisen inte göra någon bedömning av om ändamålet med utlämnandet är förenligt med det ändamål för vilka uppgifterna har samlats in (se 2 kap. 22 § andra stycket brottsdatalagen).
Migrationsverket, Kronofogdemyndigheten, Transportstyrelsen samt Säkerhets- och integritetsskyddsnämnden kommer att tillämpa dataskyddsförordningen och i förekommande fall även sina respektive registerförfattningar vid personuppgiftsbehandlingen till följd av våra förslag. Detsamma gäller när Skatteverket lämnar ut uppgifter som behandlas inom ramen för myndighetens folkbokföringsverksamhet. Dataskyddsförordningen gäller även vid behandling av personuppgifter hos merparten av verksamhetsutövarna och de andra aktörer som utför själva säkerhetsprövningen. Försvarsmakten har emellertid, som nämnts, en egen dataskyddsreglering.
En grundläggande förutsättning för att behandling av personuppgifter ska vara laglig och tillåten enligt dataskyddsförordningen är att behandlingen ryms inom någon av de rättsliga grunder (villkor för behandling) som finns i artikel 6.1.
I avsnitt 7.5 redogör vi för Migrationsverkets och Skatteverkets uppgiftsskyldighet i förhållande till Säkerhetspolisen. Vad gäller Kronofogdemyndigheten och Transportstyrelsen lämnar vi förslag om nya bestämmelser om uppgiftsskyldighet. Personuppgiftsbehandlingen som utförs av Säkerhets- och integritetsskyddsnämnden och de aktörer som utför säkerhetsprövningen följer av säkerhetsskyddslagstiftningen. Vi föreslår vidare att det införs en ny bestämmelse om skyldighet för aktörer som utför säkerhetsprövning att anmäla vissa säkerhetsprövningsbeslut till Säkerhetspolisen. Personuppgiftsbehandlingen till följd av våra förslag kommer alltså, med de ändringar som vi föreslår, att vara nödvändig för att fullgöra rättsliga förpliktelser som är fastställda i nationell rätt (artikel 6.1 c dataskyddsförordningen). Vidare kommer personuppgiftsbehandlingen som våra förslag föranleder vara nödvändig för att genomföra säkerhetsprövning enligt säkerhetsskyddslagen, vilket – med hänsyn till att åtgärden syftar till att skydda Sveriges säkerhet – måste anses utgöra ett allmänt intresse. Viss behandling kommer också vara nöd-
vändig som ett led i myndighetsutövning. (Se artikel 6.1 e dataskyddsförordningen.)
Grunderna för personuppgiftsbehandlingen som våra förslag medför kommer att vara fastställd i den nationella rätten på det sätt som krävs enligt artikel 6.3 dataskyddsförordningen. Vi bedömer vidare att de rättsliga grunderna för personuppgiftsbehandlingen, som följer av befintlig lagstiftning och de ändringar som vi föreslår, inte innebär ett mer långtgående intrång i den enskildes personliga integritet än vad som är nödvändigt med hänsyn till ändamålen med bestämmelserna. De skyddsåtgärder som följer av säkerhetsskyddslagstiftningen och dataskyddsregleringarna som tillämpas av aktörerna som kommer att behandla personuppgifter med anledning av våra förslag, bedöms vara tillräckliga för att tillgodose skyddet för enskildas integritet. De rättsliga grunderna för hanteringen lever därmed upp till dataskyddsförordningens krav på proportionalitet (artikel 6.3). Grunderna för behandlingen bedöms också leva upp till dataskyddsförordningens krav på tydlighet, precision och förutsebarhet för de registrerade (skäl 41).
Av artikel 5.1 b dataskyddsförordningen följer att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelsens senare led ger uttryck för principen om ändamålsbegränsning, även kallad finalitetsprincipen. Finalitetsprincipen utgör ett hinder mot vidarebehandling av personuppgifter för tillkommande ändamål som inte är förenliga med insamlingsändamålen. Våra förslag kan i vissa avseenden innebära att personuppgifter kommer att behandlas för ett ändamål som är oförenligt med de ursprungliga ändamålen för insamlingen av uppgifterna (t.ex. förslagen som rör inhämtande av uppgifter från Kronofogdemyndigheten och Transportstyrelsen). Av artikel 6.4 dataskyddsförordningen framgår emellertid motsatsvis att en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in är tillåten, bl.a. om den grundar sig på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1 i förordningen.
Personuppgiftsbehandlingen till följd av våra förslag kommer att grunda sig på redan befintliga och nya bestämmelser om uppgiftsskyldighet, och säkerhetsskyddslagstiftningen. Det är, som nämnts
ovan, vår bedömning att personuppgiftsbehandlingen som följer av våra förslag är såväl nödvändig som proportionerlig. Våra förslag motiveras av skyddet för Sveriges säkerhet, vilket är ett sådant mål som anges i artikel 23.1 dataskyddsförordningen (se 23.1 a och b). Personuppgiftshanteringen bedöms därmed vara förenlig med finalitetsprincipen. Eftersom det finns bestämmelser om uppgiftsskyldighet kommer en prövning avseende finalitetsprincipen inte behöva göras vid utlämnande av uppgifter.
Försvarsmaktens rätt att behandla personuppgifter vid säkerhetsprövning följer av försvarsdatalagen och säkerhetsskyddslagen.
Personuppgifter om lagöverträdelser behandlas redan i dag inom ramen för säkerhetsprövningsprocessen. Huvudregeln är att endast myndigheter får behandla sådana uppgifter. Enligt 5 § förordningen med kompletterande bestämmelser till EU:s dataskyddsförordning får emellertid personuppgifter behandlas av andra än myndigheter om behandlingen är nödvändig bl.a. för att en rättslig förpliktelse ska kunna fullgöras. En sådan rättslig förpliktelse för enskilda verksamhetsutövare får anses följa av säkerhetsskyddsregleringen. I dataskyddslagen anges att personuppgifter som avses i artikel 10 får behandlas av myndigheter (3 kap. 8 § första stycket). Det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Regeringen eller den myndighet som regeringen bestämmer får dessutom meddela ytterligare föreskrifter om i vilka fall andra än myndigheter får behandla sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen (3 kap. 9 § dataskyddslagen).
Sammantaget bedömer vi att det kommer att finnas stöd för den personuppgiftsbehandling som aktörerna kommer att behöva utföra med anledning av förslagen, och att våra förslag är förenliga med dataskyddslagstiftningen.
7.11.5. Våra förslag är nödvändiga och proportionerliga
Bedömning: Förslagen är nödvändiga för att skyddet för Sveriges
säkerhet ska kunna upprätthållas, och utgör en proportionerlig inskränkning av skyddet för den personliga integriteten. Förslagen bedöms också i övrigt vara förenliga med skyddet för den personliga integriteten såsom det kommer till uttryck i regeringsformen, Europakonventionen och EU-stadgan.
Reglering till skydd för den personliga integriteten finns både i regeringsformen och i olika internationella rättsakter, bl.a. Europakonventionen och EU-stadgan. Enligt regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket regeringsformen). Vissa fri- och rättigheter får begränsas, bl.a. skyddet mot intrång som innebär övervakning och kartläggning av den enskildes personliga förhållanden. Begränsningarna får endast göras i lag och för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (2 kap.20 och 21 §§regeringsformen).
Enligt Europakonventionen har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens (artikel 8.1). Åtnjutandet av denna rättighet får inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till bl.a. statens säkerhet, förebyggande av oordning eller brott, eller till skydd för andra personers fri- och rättigheter (artikel 8.2).
Vidare följer av artikel 8 och 52.1 i EU-stadgan att begränsningar av enskildas rätt till skydd för sina personuppgifter endast får göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter eller friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
De förslag som vi lämnar aktualiserar skyddet för den personliga integriteten i ovan nämnda regelverk. Registerkontroll enligt säker-
hetsskyddslagen, särskilt tillsammans med de övriga momenten i säkerhetsprövningsförfarandet, innebär övervakning och kartläggning av den enskildes personliga förhållanden i regeringsformens mening. Som redogjorts för ovan är det vidare vår uppfattning att registerkontroll, trots kravet på samtycke i säkerhetsskyddslagen, sannolikt i stor utsträckning sker utan sådant informerat och frivilligt samtycke som avses i 2 kap. 6 § regeringsformen. Med hänsyn till detta och att registerkontrollen – särskilt i och med de förslag som vi lämnar – innebär att mycket information som dessutom kan vara särskilt integritetskänslig får hämtas om den enskilde, menar vi att registerkontrollen kan innebära ett betydande intrång i den personliga integriteten.
Det övergripande syftet med våra förslag är att stärka skyddet för Sveriges säkerhet. Detta genom att göra säkerhetsprövningen vid deltagande i säkerhetskänslig verksamhet mer effektiv och ändamålsenlig. Möjligheten att kunna upprätthålla skyddet för de mest skyddsvärda verksamheterna i Sverige är ett sådant allmänt värde som kan motivera intrång i den personliga integriteten. Det är dock inte tillräckligt att ett skyddsvärt intresse kan åberopas till stöd för åtgärderna. Åtgärderna måste också vara nödvändiga och proportionerliga i förhållande till sitt ändamål och till de intressen som talar emot dessa. En avvägning måste därför göras mellan dels intresset av att genomföra åtgärderna, dels skyddet för den enskildes personliga integritet.
Vi har i tidigare avsnitt beskrivit varför det krävs en ambitionshöjning även vad gäller säkerhetsprövningen vid deltaganden i säkerhetskänslig verksamhet och redogjort för behovet av en utvidgning av registerkontrollen. Vi har också redogjort för vilka uppgifter som typiskt sett är av betydelse för säkerhetsprövningen och behovet av att kunna hämta och kontrollera de uppgifter som våra förslag tar sikte på. Sammanfattningsvis bedömer vi att den säkerhetshotande verksamhet som bedrivs mot Sverige i dag gör att skyddet för de allra mest skyddsvärda verksamheterna måste stärkas och att säkerhetsprövningen, som är en viktig komponent i säkerhetsskyddet, måste bli mer effektiv. Det vår bedömning att en utvidgning av registerkontrollen på det sätt som vi föreslår, och införandet av en anmälningsskyldighet gällande vissa säkerhetsprövningsbeslut, kommer att ge bättre förutsättningar att förhindra att personer som inte är pålitligt från säkerhetssynpunkt deltar i säkerhetskänslig
verksamhet. Därigenom stärks skyddet för Sveriges säkerhet. De förslag som vi lämnar bedöms således vara ändamålsenliga och nödvändiga med hänsyn till ändamålet med åtgärderna. Syftet med de åtgärder som vi föreslår bedöms inte kunna uppnås på något annat, mindre ingripande, sätt.
Vi har i förhållande till varje enskilt förslag gjort en avvägning mellan behovet av åtgärden och skyddet för den personliga integriteten. Vår bedömning är att varje enskild åtgärd, sedd för sig, är proportionerlig och inte går utöver vad som är nödvändigt utifrån syftet med åtgärden. Förslagens samlade effekt måste emellertid också vara proportionerlig.
Våra förslag innebär att registerkontrollen enligt säkerhetsskyddslagen, som redan i dess nuvarande utformning innebär ett betydande integritetsintrång, kommer att utvidgas till att omfatta fler uppgifter om den prövade och, vad gäller säkerhetsklass 1 och 2, även närstående till den prövade. Skyddet för Sveriges säkerhet är emellertid ett synnerligen tungt vägande allmänt intresse som kan motivera betydande intrång i den personliga integriteten. Vid proportionalitetsbedömningen måste också beaktas de särskilda skyddsåtgärder som registerkontrollen är förenad med.
Vi har tidigare redogjort för de olika skyddsåtgärder som syftar till att begränsa spridningen av personuppgifter som behandlas vid säkerhetsprövning (däribland den relevansbedömning som görs innan uppgifter lämnas ut för säkerhetsprövning) och som ger den enskilde visst inflytande över personuppgiftsbehandlingen, se avsnitt 7.11.3 ovan. Vidare kan det konstateras att registerkontroll som utgångspunkt bara aktualiseras i förhållande till personer som har sökt eller som innehar befattningar som efter särskilt beslut (som utgångspunkt meddelat av ett offentligt organ) har placerats i säkerhetsklass, och närstående till prövade i säkerhetsklass 1 och 2. Registerkontroll utan placering i säkerhetsklass får endast göras om det finns särskilda skäl och beslut om sådan registerkontroll får bara fattas av regeringen och Säkerhetspolisen (och Riksdagsförvaltningen när det gäller riksdagen och dess myndigheter). I säkerhetsskyddslagen uppställs också krav på att deltaganden bara får placeras i säkerhetsklass om det inte finns andra åtgärder som är tillräckliga. Det finns alltså ett uttryckligt krav på att alternativa åtgärder ska övervägas. Registerkontroll ska dessutom, som utgångspunkt, endast göras om den prövade har genomgått en godkänd grundutredning och kan antas komma att
anställas eller på annat sätt delta i den aktuella verksamheten. Övriga personer finns det inte författningsstöd för att kontrollera, om det inte finns synnerliga skäl. Denna begränsning minskar risken för att registerkontroller görs i onödan.
Vid proportionalitetsbedömningen måste också beaktas att det genom dataskyddsförordningen, brottsdatalagen och de sektorsspecifika författningarna om dataskydd uppställs krav på att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt, att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Vidare ska uppgifterna vara adekvata och korrekta och får inte behandlas under längre tid än vad som är nödvändigt. Lagstiftningen utgör ett starkt och ändamålsenligt skydd för den enskilde när det gäller hur myndigheter och enskilda verksamhetsutövare behandlar uppgifter vid säkerhetsprövning.
Vi har under arbetets gång övervägt om det finns kompensatoriska åtgärder som skulle kunna vidtas, i och med att våra förslag innebär en utökad kartläggning och övervakning av enskilda. Vi har emellertid inte kunnat identifiera några sådana åtgärder, som inte också i för stor utsträckning motverkar syftet med våra förslag. Vi bedömer emellertid att de skyddsåtgärder som redan finns, tillsammans med de krav som uppställs genom dataskyddslagstiftningen, måste anses utgöra ett tillräckligt skydd för den personliga integriteten även om ändringar görs i enlighet med våra förslag. Det kan dock konstateras att ändringarna gör att det blir än mer viktigt att säkerhetsprövning bara görs när det är nödvändigt, och att tillsynsmyndigheterna särskilt granskar detta. Det är också av stor vikt att noggranna bedömningar görs av om det är motiverat att placera befattningar i säkerhetsklass, eller om det finns andra mindre ingripande alternativ.
I detta sammanhang finns det också skäl att kort nämna de förslag som lämnas i betänkandet Säkerhetsprövningar – nya regler (SOU 2024:88). Förslagen innebär bl.a. att det genom nya bestämmelser i säkerhetsskyddslagen ska förtydligas att det vid säkerhetsprövning ska göras en samlad bedömning av om den prövade kan anses lämplig från säkerhetssynpunkt att delta i den säkerhetskänsliga verksamheten utifrån de uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll
och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt. I betänkandet lämnas även förslag om att säkerhetsprövningsbeslut ska dokumenteras, att beslut där den prövade bedöms vara olämplig från säkerhetssynpunkt som utgångspunkt ska motiveras, samt att vissa säkerhetsprövningsbeslut ska kunna överklagas. Förslagen skulle utgöra ett skydd mot skönsmässiga bedömningar vid säkerhetsprövningar, och framstår som än mer relevanta med hänsyn till de förslag som vi lämnar.
Sammanfattningsvis är vår bedömning att de åtgärder som vi föreslår är ändamålsenliga och nödvändiga för att upprätthålla skyddet för Sveriges säkerhet, och att behovet av dessa gör att det intrång i den personliga integriteten som förslagen innebär måste anses vara proportionerligt. Förslagen bedöms också i övrigt vara förenliga med skyddet för den personliga integriteten i regeringsformen, EU-rätten och andra internationella åtaganden.
7.11.6. Sekretess
Bedömning: Det behöver inte införas några nya bestämmelser
om sekretess eller tystnadsplikt.
Vi har tidigare i avsnitt redogjort för flera av de sekretessbestämmelser i offentlighets- och sekretesslagen som kan aktualiseras hos offentliga verksamhetsutövare och ansvariga myndigheter i samband med en säkerhetsprövning. Bestämmelser om tystnadsplikt för personer hos enskilda verksamhetsutövare finns i säkerhetsskyddslagen. Det har inte framkommit att det finns något behov av att göra några ändringar i vare sig offentlighets- och sekretesslagen eller säkerhetsskyddslagen med anledning av våra förslag i detta kapitel.
8. Ikraftträdande- och övergångsbestämmelser
Förslag: Föreslagna ändringar i 3, 4, och 6–8 kap. säkerhetsskydds-
lagen ska träda i kraft den 1 juli 2026. Bestämmelsen i 3 kap. 13 § första stycket 4 säkerhetsskyddslagen, som rör inhämtande av uppgifter från Ecris-TCN, ska dock träda i kraft den dag som regeringen bestämmer. Regeringen ska få meddela de övergångsbestämmelser som behövs när nämnda bestämmelse träder i kraft.
8.1. Ikraftträdande
Våra förslag om ändringar grundar sig i det kraftigt försämrade säkerhetspolitiska läget och syftar till att förbättra möjligheterna att skydda Sveriges säkerhet. Det är därför angeläget att de föreslagna ändringarna kan träda i kraft så snart som möjligt. Samtidigt har vi konstaterat att vissa frågor om hur informationsinhämtandet vid registerkontroll ska gå till i praktiken måste utredas vidare (se avsnitt 7.1.2 och 9.5). Våra förslag kräver också förberedelser hos vissa av de berörda myndigheterna. Det handlar bl.a. om att tillsynsmyndigheterna ska ta fram rutiner för hur anmälningar om pågående förfaranden ska hanteras och att Kronofogdemyndigheten ska bygga upp en beredskap för verkställighet av beslut om tvångsåtgärder. Vad gäller förslagen om utvidgning av registerkontrollen kommer Säkerhetspolisen, och de myndigheter som Säkerhetspolisen föreslås få hämta uppgifter från och genom, bl.a. behöva utveckla nya arbetssätt och ta fram tekniska lösningar för informationsutbytet. Samtidigt kan det konstateras att det av 13 kap. 14 § andra och tredje stycket säkerhetsskyddslagen framgår att Säkerhetspolisen ”får” hämta uppgifter. Alla förberedelser med anledning av ändringarna i
den delen måste därför inte nödvändigtvis vara klara när förslagen träder i kraft.
Vi lämnar förslag om en särskild övergångsbestämmelse för den nya anmälningsplikten avseende förfaranden, se avsnitt 8.2.2 nedan. Förberedelsetiden för de verksamhetsutövare som omfattas av anmälningsplikten vid ikraftträdandet behöver därmed inte beaktas vid bedömningen av när ändringarna ska träda i kraft.
Med hänsyn till vad som anförts ovan och den tid som de olika leden i lagstiftningsprocessen kan förväntas ta, anser vi att ett ikraftträdande är möjligt tidigast den 1 juli 2026.
Vi föreslår att Säkerhetspolisen vid registerkontroll ska få hämta uppgifter från Ecris-TCN, som är ett nytt centraliserat system som ska underlätta inhämtandet av uppgifter om fällande domar gällande tredjelandsmedborgare och statslösa personer. Systemet är ännu inte driftsatt, och kommissionen har inte fastställt datum för när medlemsstaterna ska börja föra in uppgifter i systemet. Den svenska lagen med kompletterade bestämmelser utfärdades i juni 2022, men träder i kraft den dag som regeringen bestämmer. Vi föreslår därför att bestämmelsen i 3 kap. 13 § första punkten 4 säkerhetsskyddslagen, som rör Ecris-TCN, ska träda i kraft den dag som regeringen bestämmer, och att regeringen då får meddela de övergångsbestämmelser som behövs.
8.2. Övergångsbestämmelser
Förslag: Ändringarna i bestämmelserna om registerkontroll i
3 kap.13 och 14 §§säkerhetsskyddslagen ska tillämpas även för registerkontroller som har påbörjats före ikraftträdandet.
Den som omfattas av anmälningsplikten i den nya 4 kap. 1 a § säkerhetsskyddslagen vid ikraftträdandet ska senast den 1 januari 2027 ha inkommit med anmälan till tillsynsmyndigheten.
Ändringarna i bestämmelsen om ingripanden i pågående förfaranden i 4 kap. 12 § säkerhetsskyddslagen ska tillämpas även för förfaranden som har inletts före ikraftträdandet.
8.2.1. Förslagen om ändringar i 3 kap. säkerhetsskyddslagen
Utvidgningen av registerkontrollen
I flera tidigare lagstiftningsärenden har bedömningen gjorts att nya bestämmelser om bakgrundskontroller, av hänsyn till den personliga integriteten, inte ska tillämpas för den som vid ikraftträdandet redan är anställd och som därmed inte har haft möjlighet att avstå från kontrollen .1Våra förslag motiveras emellertid av ett synnerligen starkt allmänt intresse, nämligen skyddet för Sveriges säkerhet. Ändringarna har sin grund i det kraftigt försämrade säkerhetspolitiska läget och bedöms vara nödvändiga för att upprätthålla skyddet för grundläggande funktioner i samhället. Det är därmed av mycket stor vikt att ändringarna får genomslag direkt, även vad gäller redan pågående kontroller. Detta särskilt eftersom anställningar och andra deltaganden kan pågå under lång tid. Vi föreslår därför att ändringarna i bestämmelserna om registerkontroll i 3 kap.13 och 14 §§säkerhetsskyddslagen ska tillämpas även för registerkontroller som har påbörjats före ikraftträdandet, samt att detta ska framgå av en särskild övergångsbestämmelse.
Det intrång i skyddet för den personliga integriteten som vårt förslag i denna del innebär har beaktats i vår integritetsanalys och vid bedömningen av om förslagen som rör registerkontrollen är proportionerliga (se avsnitt 7.11). Vad som anförts tidigare i betänkandet upprepas inte här. Vår bedömning är emellertid att det är absolut nödvändigt och proportionerligt att låta ändringarna gälla även för sådana anställningar och andra deltaganden som pågår när ändringarna träder i kraft.
Vi är av uppfattningen att ändringarna inte innebär att samtycke från de kontrollerade som omfattas av kravet i 3 kap. 18 § säkerhetsskyddslagen måste inhämtas på nytt. Detta eftersom samtycket rör åtgärden som sådan, och det inte finns något krav på att den kontrollerade ska informeras om vilka uppgifter som får hämtas.
Säkerhetspolisen har uppgett att de blanketter som används som underlag för registerkontrollen kommer att behöva uppdateras med anledning av ändringarna i 3 kap. Det ändrade underlaget syftar till att effektivt och rättssäkert kunna hämta uppgifter från de tillkommande källorna och för att bedöma uppgifternas relevans vid säker-
1 Se prop. 2007/08:28 s. 14, prop. 2012/13:194 s. 42 f., SOU 2019:19 s. 286 och Ds 2024:24.
hetsprövning. Myndigheten har därför föreslagit att samtliga ansökningar om registerkontroll ska förnyas i samband med att ändringarna träder i kraft, och att detta bör ske över en treårsperiod. Det är Säkerhetspolisens uppfattning att en sådan åtgärd både skulle förbättra kvaliteten på registerkontrollerna och öka rättssäkerheten för de personer som är föremål för kontroll. Genom en förnyelse av ansökningarna säkerställs att kontrollerna sker mot rätt förutsättningar och att underlaget är anpassat efter de uppgifter som får hämtas vid kontrollen.
Liksom Säkerhetspolisen ser vi att det finns klara fördelar och vinster med att göra en sådan genomgång och uppdatering av underlaget för registerkontrollen som myndigheten föreslår. Samtidigt kommer en sådan åtgärd att leda till mycket administration för de berörda aktörerna. Därtill kommer att verksamhetsutövarna redan i dag har en skyldighet att, inom ramen för den löpande säkerhetsprövning som sker under tiden som deltagandet pågår, uppmärksamma förändringar och se till att Säkerhetspolisen får kännedom om ändrade förhållanden som påverkar registerkontrollen. Med hänsyn till detta och att det sker en kontinuerlig förnyelse av ansökningarna, som en följd av personalomsättning och omorganisationer m.m., är det osäkert om fördelarna med en sådan åtgärd överväger nackdelarna. Vi lämnar därför inte något förslag om att ansökningarna om registerkontroll ska förnyas i samband med att ändringarna träder i kraft.
Följdändringarna gällande den särskilda personutredningen
De föreslagna ändringarna i 17 § innebär inte någon utvidgning av den särskilda personutredningen, och det finns därmed inte heller något behov av övergångsbestämmelser i den delen.
Anmälningsskyldighet för vissa säkerhetsprövningsbeslut
Anmälningsskyldigheten enligt den nya bestämmelsen i 4 e § kommer att gälla sådana beslut som fattas efter att bestämmelsen har trätt i kraft. Något behov av övergångsbestämmelser i den delen finns inte.
8.2.2. Förslagen om ändringar i 4 kap. säkerhetsskyddslagen
Anmälningsskyldighet för vissa pågående förfaranden
Genom 1 a § införs en anmälningsplikt för vissa pågående förfaranden (se avsnitt 4.4.2). Av den föreslagna bestämmelsen framgår att anmälan ska göras utan dröjsmål. Åsidosättande av anmälningsplikten föreslås kunna leda till sanktionsavgift. Med hänsyn till att anmälningsskyldigheten föreslås vara sanktionerad och bedömningen av om man som verksamhetsutövare omfattas av kravet kommer att kräva vissa analyser, föreslår vi att det ska framgå av en övergångsbestämmelse att den som omfattas av anmälningsskyldigheten vid ikraftträdandet ska ha inkommit med anmälan till tillsynsmyndigheten senast den 1 januari 2027. Dvs. sex månader efter att anmälningsplikten träder i kraft.
Utvidgningen av ingripandeverktyget i 12 §
I avsnitt 4.4.1 lämnar vi förslag om att möjligheten att ingripa i pågående förfaranden ska utvidgas. Syftet med ändringen är bl.a. att möjliggöra för tillsynsmyndigheterna att ingripa mot äldre förfaranden, som har inletts före den 1 december 2021. Frågan om retroaktivitet och förutsebarheten för enskilda behandlas i det avsnittet, och upprepas inte här. Vår bedömning är emellertid att det finns rättsliga förutsättningar och starka skäl för att bestämmelsen ska kunna tillämpas retroaktivt. Att den föreslagna bestämmelsen kan tillämpas på äldre förfaranden följer direkt av bestämmelsens nya ordalydelse. Eftersom ingripanden med stöd av bestämmelsen kan vara mycket ingripande för enskilda framstår det emellertid som lämpligt att tillämpningsområdet tydliggörs genom en övergångsbestämmelse.
8.2.3. Förslagen om ändringar i 6–8 kap. säkerhetsskyddslagen
Vi bedömer att det inte behövs några övergångsbestämmelser för ändringarna i 6 kap. säkerhetsskyddslagen. Det rör sig om processuella bestämmelser och sådana ska enligt allmänna principer tillämpas omedelbart efter ikraftträdandet, även om de bakomliggande för-
hållandena härrör från tiden dessförinnan. Ändringarna gäller därmed från ikraftträdandet.
Ändringarna i 7 kap. innebär att sanktionsavgift får tas ut för åsidosättande av de nya anmälningsskyldigheterna i 3 kap. 4 e § och 4 kap. 1 a §. Det behövs därmed inga övergångsbestämmelser om att sanktionsavgifter bara får tas ut för överträdelser som har ägt rum efter ikraftträdandet. Det behövs inte heller några övergångsbestämmelser avseende ändringarna i 8 kap., som rör överklagande.
9. Konsekvenser
9.1. Inledning
En utredning ska redovisa vilka konsekvenser de förslag som utredningen lämnar kan få i ett flertal avseenden (se 14–15 a §§ kommittéförordningen [1998:1474] i den äldre lydelsen, som gäller för utredningar som har tillsatts före den 6 maj 2024).
Om förslagen påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller regioner, ska kommittén föreslå en finansiering.
När ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för det kommunala självstyret, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen ska konsekvenserna i detta avseende anges i betänkandet.
Om ett betänkande innehåller förslag till nya eller ändrade regler, ska förslagens kostnadsmässiga och andra konsekvenser anges i betänkandet. Konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivnin g.1
Enligt 6 § förordningen om konsekvensutredning vid regelgivning ska en konsekvensutredning innehålla – en beskrivning av problemet och vad man vill uppnå,
1 Förordningen har upphävts och ersatts av förordningen (2024:183) om konsekvensutredningar. Av övergångsbestämmelserna till den nya förordningen framgår emellertid att 6 och 7 §§ i den upphävda förordningen gäller för kommittéer och särskilda utredare som har tillsatts före den 6 maj 2024.
– en beskrivning av vilka alternativa lösningar som finns för det man
vill uppnå och vilka effekterna blir om någon reglering inte kommer till stånd, – uppgifter om vilka som berörs av regleringen, – uppgifter om de bemyndiganden som myndighetens beslutande-
rätt grundar sig på, – uppgifter om vilka kostnadsmässiga och andra konsekvenser re-
gleringen medför och en jämförelse av konsekvenserna för de övervägda regleringsalternativen, – en bedömning av om regleringen överensstämmer med eller går
utöver de skyldigheter som följer av Sveriges anslutning till Europeiska unionen, och – en bedömning av om särskilda hänsyn behöver tas när det gäller
tidpunkten för ikraftträdande och om det finns behov av speciella informationsinsatser.
Utöver ovanstående författningskrav följer det av våra direktiv att vi ska bedöma de eventuella effekterna för investeringar och export samt eventuella risker för att ett statligt ingripande kan leda till tvister med anledning av bilaterala investeringsskyddsavtal.
Vidare anges det särskilt i direktiven att vi ska analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten och hur förslagen förhåller sig till 2 kap. 6 § andra stycket regeringsformen. Om vi överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska vi analysera förslagen i förhållande till bestämmelserna i 2 kap.15 och 17 §§regeringsformen. Slutligen framgår det av direktiven att vi ska analysera hur förslagen förhåller sig till bestämmelsen om forskningens frihet i 2 kap. 18 § andra stycket regeringsformen.
Identifierade problem har beskrivits kontinuerligt i betänkandet. Vi har även lämnat förslag på åtgärder samt presenterat alternativa lösningar, och redogjort för effekter om någon reglering inte kommer till stånd. I relevanta delar innehåller våra överväganden även en bedömning av förslagens förenlighet med Europakonventionen och de skyldigheter som följer av Sveriges anslutning till Europeiska
unionen ,2samt regeringsformens bestämmelser om grundläggande fri- och rättigheter. Det som sagts där upprepas inte i detta kapitel.
Våra bedömningar och förslag beträffande tidpunkt för ikraftträdande och övergångsbestämmelser redovisas i kapitel 8.
Vår bedömning är att förslagen inte nämnvärt kommer att påverka sysselsättning och offentlig service i olika delar av landet. Förslagen bedöms inte ha några konsekvenser för jämställdheten mellan kvinnor och män, möjligheterna att nå de integrationspolitiska målen eller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags.
Vi ser inga behov av särskilda informationsinsatser beträffande de förslag som vi lämnar, utöver de som tillsynsmyndigheterna tagit upp (se avsnitt 9.3).
9.2. Vissa allmänna överväganden
Allmänt om konsekvenserna för verksamhetsutövare och deras motparter
Merparten av våra förslag rör ändringar av, eller kompletteringar till, de bestämmelser som infördes i säkerhetsskyddslagen 2021. En av de större ändringarna som gjordes i säkerhetsskyddslagen då var att tillsynsmyndigheterna gavs möjlighet att meddela förelägganden och förbud. Bestämmelser om detta finns i 4 kap.11 och 12 §§ samt 6 kap. 6 §säkerhetsskyddslagen. I kapitel 4 och 6 lämnar vi bl.a. förslag om att tillämpningsområdet för ingripandeverktyget i 4 kap. 12 § säkerhetsskyddslagen, som möjliggör ingripanden under pågående förfaranden, ska utvidgas till att omfatta fler förfaranden. Förslagen innebär att tillsynsmyndigheterna kommer att kunna ingripa mot äldre förfaranden som har inletts innan bestämmelsen trädde i kraft, och förfaranden som har inletts innan verksamheten blivit säkerhetskänslig. Vi lämnar även förslag om att förelägganden under pågående
2 Utredningen gör bedömningen att förslagen i kapitel 4 och 6 inte strider mot EU-rätten eftersom lagstiftning om säkerhetsskydd är en nationell angelägenhet (se artikel 4.2 i fördraget om Europeiska unionens funktionssätt och EU-domstolens dom i mål C-617/10 Åkerberg
Fransson, p. 19–21). Vad gäller förslagen i kapitel 7 kan konstateras att bestämmelserna i
dataskyddsförordningen och dataskyddslagen ska tillämpas även vid behandling av personuppgifter på området nationell säkerhet (se 1 kap. 2 § dataskyddslagen). Nationell säkerhet har inte heller undantagits generellt från brottsdatalagens område. Frågan om hur den personuppgiftshantering som våra förslag om utvidgning av registerkontrollen enligt säkerhetsskyddslagen medför förhåller sig till EU-rätten behandlas i kapitel 7.
förfaranden och åtgärdsförelägganden enligt 6 kap. 6 § säkerhetsskyddslagen ska få meddelas interimistiskt.
Frågan om vilka effekter beslut som meddelas med stöd av nämnda bestämmelser, och då framför allt beslut med stöd av 4 kap.11 och 12 §§säkerhetsskyddslagen, kan få för verksamhetsutövare och deras motparter behandlades i det föregående lagstiftningsärendet. Vad som uttalades då gör sig gällande även i förhållande till de ändringar och kompletteringar som vi nu föreslår. Sammanfattningsvis bedömdes förbud mot att inleda ett planerat förfarande och ingripanden under pågående förfaranden kunna få betydande konsekvenser för de aktörer som påverkas. För den verksamhetsutövare som meddelas förbud kan det innebära t.ex. att verksamhetsutövaren måste köpa en tjänst av en annan motpart som kräver högre ersättning eller att verksamhetsutövaren måste utföra tjänsten i egen regi. Vidare konstaterades att ett pågående förfarande som helt eller delvis måste avbrytas t.ex. kan resultera i ekonomiska skador i form av skadeståndsansvar och kostnader för att återta en del av verksamheten som lagts ut på entreprenad.
Vi har tidigare i betänkandet pekat på att skadorna och olägenheterna för de berörda aktörerna kan bli mer omfattande om tillsynsmyndigheterna ingriper mot äldre förfaranden och förfaranden som har inletts innan verksamheten blivit säkerhetskänslig. Detta eftersom parterna inte har kunnat ta höjd för regleringen i 4 kap. säkerhetsskyddslagen när förfarandet inleddes, och kompensera för kostnader för eventuella risker och arbetsinsatser som regleringen innebär genom prissättning och annan kostnadsreglering. Denna risk har vi beaktat vid utformningen av våra författningsförslag, vid bedömningen av hur förslagen förhåller sig till egendomsskyddet och näringsfriheten, samt vid bedömningen av frågan om det bör införas särskild rätt till ersättning i säkerhetsskyddslagen. Det faktum att förbud och förelägganden kan få långtgående negativa konsekvenser för de berörda aktörerna har även beaktats vid utformningen av våra förslag gällande möjligheten att meddela interimistiska förelägganden, som meddelas på ett begränsat beslutsunderlag.
Sammanfattningsvis är vår bedömning att förslagen är nödvändiga för att skydda Sveriges säkerhet och att kravet på att nu aktuella åtgärder ska vara proportionerliga, även efter de ändringar och kompletteringar som vi föreslår, utgör en garanti för att ingripanden bara sker i situationer där intresset av att skydda Sveriges säkerhet väger tyngre än de skador och olägenheter som ingreppet orsakar.
Våra förslag kommer sannolikt att leda till fler ingripanden under pågående förfaranden eftersom många äldre förfaranden, som inte har föregåtts av kontroller enligt 4 kap. säkerhetsskyddslagen, bedöms kunna vara problematiska från säkerhetsskyddssynpunkt. I vilken utsträckning sådana förfaranden kommer att upptäckas är emellertid beroende av vilka resurser tillsynsmyndigheterna ges för uppgiften (vi återkommer till detta nedan). Såvitt vi känner till, har än så länge inga förelägganden meddelats med stöd av 4 kap. 12 § säkerhetsskyddslagen. Även om sådana beslut kan komma att öka, bedömer vi att förelägganden som innebär att förfaranden helt eller delvis behöver avslutas – vilket bör vara de beslut som får störst ekonomiska konsekvenser för de berörda aktörerna – även fortsättningsvis kommer vara oerhört sällsynta.
Förslaget om att tillsynsmyndigheterna ska få meddela interimistiska förelägganden bedöms inte i sig leda till ytterligare ekonomiska konsekvenser än vad som redogjorts för ovan. Kravet på att interimistiska beslut bara får meddelas om det finns särskilda skäl gör att det finns anledning att utgå från att sådana beslut inte kommer att meddelas i någon större omfattning. Vad gäller åtgärdsförelägganden kan konstateras att sådana alltid föranleds av att verksamhetsutövaren inte fullgör sina skyldigheter enligt säkerhetsskyddslagen. Bristande regelefterlevnad kan inte anses utgöra en konsekvens av våra förslag.
Slutligen lämnar vi i kapitel 6 förslag som innebär att fler motparter kan bli föremål för sådana tillsynsåtgärder som regleras i 6 kap.2–5 §§säkerhetsskyddslagen. Sådana åtgärder bedöms inte leda till några större kostnader för berörda aktörer. Därtill kommer att förslaget framför allt kommer att påverka de aktörer som inte fullt ut medverkar i tillsynen. Bristande medverkan måste tillräknas den aktuella aktören och kan inte anses utgöra en konsekvens av våra förslag.
Vi har inte gjort någon fördjupad analys av de samhällsekonomiska konsekvenserna eller eventuella effekter för investeringar eller export
Av direktiven framgår att vi ska bedöma de samhällsekonomiska konsekvenserna av förslagen och eventuella effekter för investeringar och export samt eventuella risker för att ett statligt ingripande kan leda till tvister med anledning av bilaterala investeringsskyddsavtal.
Våra direktiv har gett oss stort handlingsutrymme vad gäller frågan om statliga ingripanden i avtal och andra pågående förfaranden. Vi har t.ex. inte varit begränsade till säkerhetsskyddslagen, utan vi har även haft utrymme att lämna förslag som rör sådana investeringar som lagen om granskning av utländska direktinvesteringar tar sikte på och andra förfaranden som kan vara skadliga för Sveriges säkerhet. Vi har emellertid behövt avgränsa oss i vårt arbete och har därför stannat vid att lämna förslag om en utvidgning av det ingripandeverktyg som sedan 2021 finns i 4 kap. 12 § säkerhetsskyddslagen. De förslag som vi lämnar tar alltså sikte på ett begränsat antal företag, närmare bestämt företag som omfattas av säkerhetsskyddslagen och vissa av de företag som genom samverkan med aktörer som omfattas av säkerhetsskyddslagen får del av säkerhetskänslig verksamhet. Ingripandeverktygets utformning gör vidare att de ekonomiska konsekvenserna av ingripandena kommer att variera, och ingripanden som får mer betydande ekonomiska konsekvenser bedöms även fortsättningsvis bli mycket ovanliga. Slutligen kan det konstateras att de förfaranden som våra förslag tar sikte på inte är oreglerade ur säkerhetsskyddssynpunkt, utan det finns redan i dag långtgående möjligheter för tillsynsmyndigheterna att vidta åtgärder mot sådana förfaranden (se avsnitt 4.3.3).
Mot bakgrund av vad som anförts ovan bör effekterna av våra förslag inte överdrivas och någon fördjupad analys av effekterna utifrån de perspektiv som lyfts i våra direktiv har därför inte gjorts.
9.3. Närmare om konsekvenserna av förslagen som rör statliga ingripanden i förfaranden som kan vara skadliga för Sveriges säkerhet
Bedömning: Förslagen berör i första hand tillsynsmyndigheterna,
de aktörer som bedriver säkerhetskänslig verksamhet (verksamhetsutövare) och vissa av de aktörer som genom samverkan med verksamhetsutövare får del av säkerhetskänslig verksamhet. Förslagen berör också regeringen och vissa av de allmänna förvaltningsdomstolarna.
Våra förslag kommer att förbättra möjligheterna att upptäcka och ingripa mot förfaranden som kan vara skadliga för Sveriges säkerhet.
Förslaget om anmälningsplikt för vissa pågående förfaranden kommer, under en övergångsperiod, att leda till en förhöjd arbetsbelastning för merparten av tillsynsmyndigheterna. För att undvika undanträngningseffekter bör förslaget finansieras genom tillfälligt ökade anslag. Övriga förslag bedöms endast leda till marginella kostnadsökningar, som kan hanteras inom ramen för tillgängliga medel.
9.3.1. Aktörer som berörs av förslagen
I kapitel 4 lämnar vi förslag som rör möjligheten för tillsynsmyndigheterna att upptäcka och ingripa mot förfaranden som innebär exponering av säkerhetskänslig verksamhet. Förslagen innebär att tillämpningsområdet för ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen utvidgas till att, som utgångspunkt, gälla alla pågående förfaranden som innebär att en annan aktör får tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Vi föreslår också att det ska införas en ny bestämmelse om anmälningsplikt för förfaranden som rör säkerhetsskyddsklassificerad information på nivån konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse, men som inte omfattas av kravet på säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen.
Vi föreslår också att möjligheten för tillsynsmyndigheterna att utöva tillsyn hos andra än verksamhetsutövare, som i dag är begränsad till motparter som omfattas av ett säkerhetsskyddsavtal, ska utvidgas till att även omfatta motparter i sådana förfaranden som enligt den nya bestämmelsen om anmälningsplikt ska anmälas till tillsynsmyndigheterna och, slutligen, att tillsynsmyndigheterna ska ges utökade befogenheter att begära in information om pågående förfaranden.
Förslagen berör i första hand tillsynsmyndigheterna, som ges utökade befogenheter och tillgång till mer information i tillsynsverksamheten.
Förslagen berör också verksamhetsutövarna, som åläggs att anmäla vissa förfaranden och som i större utsträckning än i dag kan bli föremål för beslut om förelägganden under pågående förfaranden. Vidare kan förslagen beröra vissa av de aktörer som samverkar med
verksamhetsutövare. Sådana aktörer kommer att kunna bli föremål för förelägganden med stöd av 4 kap. 12 § säkerhetsskyddslagen samt tillsyn och åtgärder enligt 6 kap.2–5 §§säkerhetsskyddslagen, även om samverkan inte omfattas av skyldigheten att ingå säkerhetsskyddsavtal enligt 4 kap. 1 § säkerhetsskyddslagen. Ändringarna innebär alltså att fler potentiella motparter kan påverkas av åtgärder enligt nämnda bestämmelser, än vad som är fallet enligt den nuvarande regleringen.
Regeringen samt Förvaltningsrätten och Kammarrätten i Stockholm och Högsta förvaltningsdomstolen, som överprövar beslut enligt 4 och 6 kap. säkerhetsskyddslagen, bedöms också kunna påverkas av förslagen.
9.3.2. Ekonomiska konsekvenser för det allmänna
Tillsynsmyndigheterna
De förslag som vi lämnar innebär att tillsynsmyndigheterna ges bättre förutsättningar att, inom ramen för den redan pågående tillsynsverksamheten, identifiera och vidta åtgärder mot pågående förfaranden som kan vara skadliga för Sveriges säkerhet. Det handlar alltså inte om att tillsynsverksamheten utvidgas till att omfatta nya tillsynsområden, utan snarare om ett försök att göra tillsynsmyndigheternas verktygslåda mer effektiv och ändamålsenlig.
Utvidgningen av 4 kap. 12 § säkerhetsskyddslagen och de ändringar som föreslås i 6 kap. säkerhetsskyddslagen innebär inte i sig några nya arbetsuppgifter för tillsynsmyndigheterna. Det rör sig om fakultativa åtgärder, som tillsynsmyndigheterna får vidta, om åtgärden bedöms vara nödvändig och proportionerlig.
Den föreslagna anmälningsplikten kommer att medföra vissa nya arbetsuppgifter för tillsynsmyndigheterna. Förutom den administration som mottagandet av anmälningarna kräver, ska anmälningarna dessutom granskas och tillsynsmyndigheterna kan i vissa fall behöva begära in kompletteringar för att kunna göra en bedömning av om ytterligare åtgärder behöver vidtas. Ändringen kommer sannolikt också att medföra ett ökat behov av information och vägledning. I sammanhanget kan emellertid förtydligas att det, enligt våra förslag, inte finns något krav på tillsynsmyndigheterna att inleda till-
synsärenden avseende samtliga förfaranden som anmäls (vi återkommer till detta nedan).
Det är vår bedömning att hanteringen av anmälningar om äldre förfaranden kommer att leda till en ökad arbetsbelastning för merparten av tillsynsmyndigheterna i samband med att anmälningsplikten införs och under en övergångsperiod därefter. När ansökningarna som rör äldre förfaranden är hanterade bedöms anmälningsplikten emellertid inte påverka arbetsbelastningen nämnvärt. Detta eftersom anmälningar kommer att inkomma mer sällan och enbart i de situationer då en verksamhet, där det finns pågående förfaranden som innebär exponering av säkerhetskänslig verksamhet, blir säkerhetskänslig. I sådana situationer kommer anmälningsplikten innebära att verksamhetsutövaren måste inventera de pågående förfarandena och i vissa fall anmäla dessa till tillsynsmyndigheten.
Den stora utmaningen ligger alltså i att hantera de anmälningar som rör äldre förfaranden, och som kommer att lämnas in i anslutning till att ändringarna träder i kraft.
En stor osäkerhetsfaktor vid bedömningen av konsekvenserna av förslaget om anmälningsplikt är att det inte går att dra några säkra slutsatser om antalet pågående förfaranden (och då i första hand äldre förfaranden) som kommer att omfattas av anmälningsplikten. Utifrån de uppgifter som vi har fått till oss från tillsynsmyndigheterna har vi emellertid anledning att tro att flera av dessa kommer att motta ett större antal anmälningar (se nedan). Några exakta siffror går emellertid inte att få fram. Det går inte heller att närmare bedöma hur många förfaranden som innebär sådana risker för Sveriges säkerhet att det finns förutsättningar och behov av att vidta åtgärder. Även i denna fråga får vi stanna vid att konstatera att det sannolikt finns ett stort antal äldre förfaranden som på olika sätt och i varierande grad är problematiska från säkerhetsskyddssynpunkt.
Vi har under arbetet med utredningen bett tillsynsmyndigheterna att redovisa vilka kostnader de bedömer att förslagen om ändringar i 4 kap. säkerhetsskyddslagen kommer att medföra. Merparten av tillsynsmyndigheterna har gett uttryck för att tuffa prioriteringar görs inom ramen för tillsynsverksamheten i dag, samt att hanteringen och åtgärder till följd av anmälningarna kommer att leda till undanträngningseffekter om myndigheterna inte ges ökade resurser.
Nedan följer en översiktlig redogörelse för vad varje enskild tillsynsmyndighet har uppgett i fråga om de ekonomiska konsekvenserna av våra förslag.
Energimyndigheten
Ändringarna kommer att innebära nya uppgifter för tillsynsverksamheten. Myndigheten kan därför anta att de föreslagna ändringarna med stor sannolikhet kommer att innebära ekonomiska konsekvenser i form av ett ökat resursbehov exempelvis för att genomföra informationsinsatser om ändringarna, kartläggning samt för framtagande och hantering av det nya anmälningsförfarandet. Myndigheten uppskattar kostnaden till cirka 2,8–4,2 miljoner kronor, avseende 2–3 årsarbetskrafter (beräkningen utgår från att en årsarbetskraft motsvarar 1,4 miljoner kronor), som skulle behöva tillföras på myndighetens anslag.
Strålsäkerhetsmyndigheten
Strålsäkerhetsmyndighetens tillsynsområde inom säkerhetsskydd präglas av mycket stora beroenden mellan leverantörer och underleverantör med affärsrelationer och förfaranden som har pågått under flera år och som har ingåtts före den 1 december 2021. Mot bakgrund av detta bedömer Strålsäkerhetsmyndigheten att införandet av en anmälningsplikt kommer att innebära en ökad arbetsvolym motsvarande 2 årsarbetskrafter. Kostnadsbedömningen innefattar merkostnader för handläggning (att ta emot, dokumentera och granska samt utreda anmälningarna), informationsinsatser och vägledning till verksamhetsutövare, samt tillsynsinsatser och ingripanden. Kostnaden för ytterligare arbetskraft uppskattas i nuläget till 3,2 miljoner kronor per år (1,6 miljoner kronor per årsarbetskraft). Myndigheten skulle därmed behöva tillföras motsvarande belopp i sitt anslag.
Finansinspektionen
Eftersom det i dag inte finns någon mekanism i säkerhetsskyddslagstiftningen som gör att tillsynsmyndigheten får kännedom om nu aktuella förfaranden är det svårt att bedöma hur många sådana förfaranden som finns i den finansiella sektorn. Finansinspektionen kan dock konstatera att utkontrakteringar är vanligt förekommande hos de finansiella företagen och det är därför rimligt att anta att i vart fall en del av de befintliga utkontrakteringarna är sådana förfaranden som skulle omfattas av den anmälningsskyldighet som utredningen föreslår. Sammanfattningsvis står det klart att nya arbetsuppgifter skulle tillkomma och att kostnaderna för Finansinspektionen således skulle öka. Det tillkommande ansvaret kan inte hanteras inom befintliga ekonomiska ramar utan att någon annan uppgift tas bort. Åtminstone skulle medel motsvarande 0,5 årsarbetskraft (cirka 0,75 miljoner kronor) behöva tilldelas för de uppgifter som följer direkt av anmälningsplikten. Myndigheten anser emellertid att det är av stor vikt att medel tilldelas även för de tillsynsåtgärder som anmälningarna kan föranleda, för myndighetens del ytterligare medel åtminstone motsvarande 0,5–1,5 årsarbetskraft (0,75–2,25 miljoner kronor). Risken är annars att olämpliga förfaranden får fortgå, trots att de har anmälts.
Försvarets materielverk
Försvarets materielverk bedömer att den föreslagna lagändringen inte kommer att medföra några större ekonomiska konsekvenser för myndigheten i egenskap av tillsynsmyndighet inom försvarsmaterielområdet. Myndighetens uppfattning är att tillsynsobjekten inte har ingått ett stort antal säkerhetsskyddsavtal före den 1 december 2021.
Säkerhetspolisen
En bedömning av de ekonomiska konsekvenserna av förslagen kräver att vissa antaganden görs vad gäller antalet berörda förfaranden och i vilken omfattning det bland dessa förekommer förfaranden som är olämpliga från säkerhetsskyddssynpunkt. Även anmälans omfattning och informationens kvalitet kan få stor påverkan på handlägg-
ningstiden. Dessa osäkerheter innebär att det kan finnas behov av att göra en förnyad bedömning efter viss tid. En utvidgning av bestämmelsen i 4 kap. 12 § säkerhetsskyddslagen bedöms medföra ökade årliga kostnader för Säkerhetspolisen om cirka 0,3 miljoner kronor. En anmälningsskyldighet för pågående förfaranden bedöms medföra totala kostnader för Säkerhetspolisen om cirka 3,2–8,3 miljoner kronor.
Post- och telestyrelsen
Post- och telestyrelsen bedömer att de ekonomiska konsekvenserna av förslagen borde bli marginella för myndigheten. I den mån förslagen skulle påverka myndighetens arbetsbelastning och resursbehov så skulle detta vara under en kortare period. Bedömningen baserar sig på antaganden om antalet aktuella förfaranden inom myndighetens tillsynsområde. Om antagandena visar sig vara felaktiga påverkas självklart konsekvenserna.
Affärsverket svenska kraftnät
Det är Affärsverket svenska kraftnäts uppfattning att det finns ett stort antal nu pågående förfaranden som utgår ifrån äldre affärsavtal där kraven på säkerhetsskyddsavtal och samråd inte varit i kraft vid ingåendet av avtalet. Många verksamhetsutövare åberopar redan i dag äldre affärsavtal som kan ha förlängts vid flera tillfällen. När det gäller samarbete mellan verksamhetsutövare som i dag kräver säkerhetsskyddsavtal vet Affärsverket svenska kraftnät av erfarenhet att många sådana samarbeten kan har inletts för mycket länge sedan. Det skulle vara en omfattande uppgift att ta emot anmälningar om sådana äldre samarbeten. Att hantera inkommande anmälningar avseende pågående förfaranden enligt förslaget skulle innebära en ny handläggningsuppgift som kommer att kräva ytterligare resurser för tillsynsuppdraget vid Affärsverket svenska kraftnät. Om myndigheten ser ett avtal som inte har granskats kommer sannolikt kompletteringar och genomgångar krävas, och olämpliga förfaranden som upptäcks kommer inte kunna läggas åt sidan. Anmälningsskyldigheten bedöms därmed kräva relativt stora arbetsinsatser. Därtill kommer vägledning och information samt efterföljande arbete som kan tillkomma (t.ex. hantering av beslut om placering i säkerhetsklass och registerkon-
troller). Kostnaden uppskattas, mot bakgrund av detta, till 2 årsarbetskrafter, motsvarande cirka 2,5 miljoner kronor per år.
Försvarsmakten
Försvarsmakten är tillsynsmyndighet enligt säkerhetsskyddslagen för Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet. Totalt avser det 14 myndigheter i försvarssektorn inklusive Försvarsmakten. Det går inte för försvarssektorn att exakt bedöma hur många pågående förfaranden som skulle omfattas av det utvidgade tillämpningsområdet för 4 kap. 12 § säkerhetsskyddslagen. Försvarssektorn utmärker sig genom betydande skyddsvärden och är även utmärkande avseende omfattningen av den säkerhetskänsliga verksamhet som bedrivs. Detta har medfört att förfaranden som kräver säkerhetsskydd har förekommit i större omfattning och under längre tid jämfört med andra sektorer. En annan omständighet som påverkar mängden förfaranden som kräver säkerhetsskydd är det försämrade säkerhetspolitiska läget. Försvarsmakten har därför skäl att anta att förslaget kan komma att omfatta ett mycket stort antal förfaranden. Med beaktande av verksamhetsövergångar inom sektorn bedömer Försvarsmakten att förslaget kan beröra mer än 10 000 förfaranden. Försvarsmakten anser därför att betydande informations- och utbildningsinsatser samt vägledning till verksamhetsutövare kommer att vara avgörande för att förbereda sektorn för utredningens förslag.
Vidare ser Försvarsmakten att nuvarande informationssystem för säkerhetsskyddsavtal vid myndigheten behöver vidareutvecklas för att bättre omhänderta den uppskattade mängden förfaranden för att inte skapa administrativa hinder för tillväxt inom sektorn. Då särskilt genom att möjliggöra digital hantering av anmälningarna.
Försvarsmakten bedömer att förslaget innebär ökade kostnader genom dels en digital anpassning för hantering av anmälningar, dels bemanning för att administrera inkomna anmälningar, aktivt följa upp och eventuellt ingripa i pågående förfaranden. Med anledning av antalet förfaranden som anmälningsplikten kan komma att omfatta bedömer Försvarsmakten att konsekvenserna kommer att bestå under flera års tid.
Personellt bedöms en utökad arbetsbörda under de första två åren till 6 årsarbetskrafter för att hantera tillkommande såväl administrativt som uppföljande arbete. Därefter bedöms den utökade arbetsbördan till 2 årsarbetskrafter under det tredje till det femte året efter att förslaget har trätt i kraft. Kostnaderna per år första och andra året bedöms uppgå till 15,3 miljoner kronor, varav 5,6 miljoner kronor avser årsarbetskrafter (för att möta behovet av vägledning, administration, uppföljning och ingripande), 8,5 miljoner kronor avser kostnader för utveckling av informationssystem år ett (klienter, installation och anpassning) och 1,2 miljoner kronor avser kostnader för drift och förvaltning av informationssystem år två. Kostnaderna per år tredje till femte året bedöms uppgå till 3,1 miljoner kronor, varav 1,9 miljoner kronor avser årsarbetskrafter (administration, uppföljning och ingripande) och 1,2 miljoner kronor avser kostnader för drift och förvaltning av informationssystem.
Transportstyrelsen
Transporstyrelsen bedömer att en utvidgning av ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen och införandet av en anmälningsskyldighet kommer att få ekonomiska konsekvenser för myndigheten. I samband med att lagändringen träder i kraft beräknas kostnaden på kort sikt uppgå till 350 000 kronor i arbetskostnader. Detta motsvarar 25 procent av en heltidstjänst. Utöver den ekonomiska kostnaden kommer lagändringen föranleda en undanträngningseffekt avseende andra arbetsuppgifter för sektionen för säkerhetsskydd. Detta då det på kort sikt inte finns möjlighet att hantera tillkommande arbetsuppgifter inom given ram. Beräkningen av de ekonomiska konsekvenserna bygger på antagandet om det antal anmälda verksamhetsutövare som kan tänkas nå upp till de konsekvensnivåer som varje verksamhetsutövare kan antas behöva anmäla.
Länsstyrelsen Stockholm
Länsstyrelsen i Stockholms län bedömer att ökade resurser för myndigheten är en grundförutsättning för att förslaget ska få effekt. Den förväntade ökade mängden anmälningsärenden kommer sannolikt föranleda ett stort antal nya tillsynsärenden, samt ökad administra-
tion. Myndigheten önskar belysa att antalet tillsynsobjekt markant skiljer sig åt mellan de fyra länsstyrelserna som utövar tillsyn enligt säkerhetsskyddslagen, där Länsstyrelsen i Stockholms län i dagsläget har ett mycket högre antal samråd om säkerhetsskyddsavtal än andra länsstyrelser. Detta kan ge en fingervisning om att lagändringen skulle påverka länsstyrelsen i en inte omärkbar omfattning. Vid en samlad bedömning anser länsstyrelsen att ett ökat årligt anslag om åtminstone motsvarande 1 årsarbetskraft, eller 1 miljon kronor, är rimligt.
Länsstyrelsen Norrbotten
Länsstyrelsen i Norrbottens län bedömer att de föreslagna ändringarna kan komma att leda till en ökad arbetsbelastning under den första tiden, främst avseende den administration som hanteringen av inkomna handlingar kräver, och att ytterligare medel behöver tilldelas för detta. Länsstyrelsen förutser även ett ökat behov av information och vägledning. Vidare ser länsstyrelsen att fler tillsärenden kan komma att behöva inledas. Hur många förfaranden det rör sig om har länsstyrelsen ingen uppfattning om. Förslaget kommer emellertid innebära att ytterligare medel behöver tilldelas. Kostnaden bedöms motsvara 2 årsarbetskrafter. Länsstyrelsen vill även understryka att de medel som tilldelades i grunduppdraget för säkerhetsskyddstillsynen inte är tillräckligt för att utföra det arbete som krävs.
Länsstyrelsen Skåne
Länsstyrelsen i Skåne län gör bedömningen att föreslagna ändringar i säkerhetsskyddslagen, i vart fall under en övergående tidsperiod, kommer att leda till en ökad arbetsbelastning för myndigheten. Länsstyrelsen uppskattar att behovet i detta avseende kommer att uppgå till åtminstone 0,5 årsarbetskraft. Länsstyrelsen vill dock understryka att de ekonomiska konsekvenserna av förändringarna som föreslås är mycket svårbedömda. Hur många verksamhetsutövare som har ingått avtal, vilka skulle ha omfattats av nuvarande säkerhetsskyddslagstiftning, har myndigheten ingen uppfattning om. Länsstyrelsen har heller ingen uppfattning om antalet avtal som respektive verksamhetsutövare kan ha ingått. Länsstyrelsen bedömer att föreslagna förändringar kommer innebära en ökad efterfrågan och behov av
information och vägledning hos verksamhetsutövarna. Detta samtidigt som det kan antas att inflödet av frågor som behöver besvaras ökar. Länsstyrelsen ser även att vissa ärenden kan komma att kräva omfattande utredningar.
Länsstyrelsen Västra Götaland
Länsstyrelsen i Västra Götalands län gör bedömningen att föreslagna ändringar kommer att leda till en ökad arbetsbelastning för myndigheten. Länsstyrelsen bedömer att ökade resurser för länsstyrelsen är en grundförutsättning för att förslaget ska få effekt. Länsstyrelsen vill understryka att det är svårt att bedöma hur många anmälningar som kommer att inkomma eftersom tillsynsobjekt tillkommer och förändras över tid. Länsstyrelsen bedömer utifrån aktuellt antal tillsynsobjekt att den föreslagna ändringen skulle innebära en initial ökad administrativ arbetsbelastning. Den skulle framför allt bestå i att ta emot, granska och registrera de tillkommande anmälningar som träffas av den utökade anmälningsskyldigheten. Utöver en ökad administrativ arbetsbelastning kan den föreslagna ändringen innebära en ökad handläggningstid tillsammans med vägledningstid. Med detta menas att vissa av anmälningarna kan leda till begäran om komplettering, samrådsprocess och i vissa fall händelsestyrda tillsyner hos anmälda verksamhetsutövare. Förslaget kan också leda till fler väglednings- och informationsinsatser. Det tillkommande arbete som länsstyrelsen nu kan förutse kan komma att belasta befintliga resurser. Det finns behov av utökade resurser för att kunna genomföra tillsynsmyndigheternas uppdrag på ett ändamålsenligt sätt. Kostnaden uppskattas till 0,5–1 årsarbetskraft. En årsarbetskraft motsvarar omkring 1 miljon kronor per år.
Vår bedömning – kostnaderna beror till stor del på ambitionsnivån
Liksom tillsynsmyndigheterna gör vi bedömningen att förslaget om införandet av en anmälningsplikt för vissa pågående förfaranden under en övergångsperiod kommer att leda till undanträngningseffekter och ta tid från annan viktig verksamhet om inte ytterligare resurser tillförs. Det är emellertid inte helt okomplicerat att beräkna kostnaderna för förslaget. Förutom de osäkerhetsfaktorer som vi
tidigare har redogjort för, försvåras bedömningen ytterligare av att kostnaderna till stor del beror på hur tillsynsmyndigheterna väljer att arbeta med anmälningarna och ambitionsnivån för tillsynen av äldre förfaranden.
Vi har under arbetets gång haft anledning att göra vissa överväganden vad gäller frågan om i vilken utsträckning äldre förfaranden, som inte har föregåtts av kontroller enligt 4 kap. säkerhetsskyddslagen, bör granskas och åtgärdas. Denna fråga behandlar vi mer ingående i avsnitt 4.4.2. Vår sammantagna bedömning är emellertid att det, trots att det sannolikt finns ett större antal äldre pågående förfaranden som kan vara skadliga för Sverige, inte framstår som ändamålsenligt att införa ett särskilt granskningssystem även för sådana förfaranden. Detta främst med hänsyn till de resurser som en sådan åtgärd skulle kräva och att problemet i vart fall på sikt är övergående. Ställningstagandet att det inte bör ske någon generell granskning av äldre förfaranden har varit vår utgångspunkt även vid utformningen av förslaget om anmälningsplikt. Syftet med åtgärden är alltså inte att alla förfaranden som anmäls ska granskas, utan åtgärden handlar om att ge tillsynsmyndigheterna en lägesbild av vilka pågående förfaranden som finns och förbättra möjligheterna att identifiera förfaranden som kan antas vara problematiska. Bedömningen av vilka anmälningar som ska granskas närmare bör tillsynsmyndigheterna primärt göra utifrån kunskapen om aktörerna på sina respektive tillsynsområden. Våra förslag innebär således inte någon skyldighet för tillsynsmyndigheterna att vidta specifika åtgärder med anledning av anmälningarna, utan det är upp till varje enskild tillsynsmyndighet att bedöma om och i vilken utsträckning anmälningarna bör föranleda ytterligare åtgärder (utöver den inledande granskning som måste göras).
Det ankommer redan i dag på tillsynsmyndigheterna att utöva tillsyn över nu aktuella förfaranden. Den anmälningsplikt som vi föreslår innebär alltså att tillsynsmyndigheterna får information till sig, som de annars hade behövt inhämta genom ordinära tillsynsåtgärder och utifrån de prioriteringar som görs inom ramen för verksamheten. I vilken utsträckning tillsynsmyndigheterna kommer att kunna vidta åtgärder med anledning av de anmälningar som ges in kommer alltså – liksom tillsynsverksamheten i övrigt – vara beroende av de anslag som myndigheterna får. Vilken ambitionsnivå som tillsynsmyndigheterna ska ha vad gäller granskningen av äldre förfar-
anden bestäms alltså inte genom våra förslag, utan detta kommer i stället bero på vilka medel som tilldelas för uppgiften.
Anmälningsplikten bedöms ge säkerhetsvinster redan genom att medvetenheten om riskerna med exponering av säkerhetskänslig verksamhet hos verksamhetsutövarna ökar, dvs. även om anmälningarna inte följs upp. Den effekten bedöms emellertid – med hänsyn till de risker som exponering av säkerhetskänslig verksamhet är förenade med – inte vara tillräcklig, utan det krävs i vart fall i viss utsträckning även uppföljande åtgärder från tillsynsmyndigheternas sida för att förslagen ska fylla sitt syfte. Det är därför vår uppfattning att tillsynsmyndigheterna inte endast bör tilldelas resurser för de arbetsuppgifter som följer direkt av anmälningsskyldigheten (exempelvis kostnader för mottagande och inledande granskning av anmälningarna samt information- och vägledningsinsatser), utan också i viss utsträckning för att vidta relevanta följdåtgärder. Vi menar alltså att våra förslag ska ses som en (tidsbegränsad) satsning och att de beräkningar som tillsynsmyndigheterna har gjort, där myndigheterna har utgått från att förslagen förutsätter vissa följdåtgärder, bör kunna läggas till grund för en uppskattning av kostnaderna för förslagen.
Utifrån de uppgifter som tillsynsmyndigheterna har lämnat, och med beaktande av ovan nämnda osäkerhetsfaktorer och överväganden, uppskattar vi den totala kostnaden för våra förslag i den här delen till omkring 50–60 miljoner kronor. Kostnaderna behöver finansieras genom ökade anslag. Uppskattningsvis 40 miljoner kronor bör fördelas på de myndigheter som har bedömt att de kommer ha kostnader med anledning av förslagen det år som förslagen träder i kraft, dvs. enligt vårt förslag 2026. Vissa tillsynsmyndigheter har bedömt att de kommer få in ett större antal anmälningar och det finns anledning att utgå från att dessa myndigheter kommer att ha kostnader med anledning av förslagen även år två, dvs. 2027, och det året bör ytterligare medel skjutas till. Bedömningen av vilka myndigheter som ska tilldelas ytterligare medel bör då kunna göras utifrån antalet anmälningar som inkommit. Eventuella återstående kostnader därefter får hanteras inom ramen för budgetprocessen.
Eftersom våra uppskattningar är högst preliminära finns det behov av att frågan följs upp under den fortsatta behandlingen av förslagen i detta betänkande. Det är vidare vår uppfattning att det är av stor vikt att det säkerställs att tillsynsmyndigheterna vid budgetförhand-
lingen avseende förslagen behandlas lika, utifrån sina förutsättningar, och förhandlingen bör därför hålls samman inom Regeringskansliet.
Om anmälningsplikten (och därmed sammanhängande ändringar i kap. 6 säkerhetsskyddslagen) inte införs, utan endast utvidgningen av ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen, kommer förslagen inte innebära några nya arbetsuppgifter för tillsynsmyndigheterna. Vi bedömer emellertid att tillsynsmyndigheterna kommer att ha klart begränsade möjligheter att upptäcka problematiska förfaranden om inte också anmälningsplikten införs (se avsnitt 4.3.4).
Regeringskansliet och domstolarna
De ändringar som vi föreslår bedöms kunna leda till fler tillsynsåtgärder. Även om förelägganden under pågående förfaranden ska användas restriktivt och som en sista utväg när andra åtgärder inte är tillräckliga, kommer våra förslag sannolikt att leda till att fler sådana förelägganden meddelas. Även andra åtgärder (åtgärdsförelägganden enligt 6 kap. 6 § säkerhetsskyddslagen och sanktionsavgifter enligt 7 kap. säkerhetsskyddslagen) kan öka om det införs en anmälningsplikt för pågående förfaranden.
Beslut om åtgärdsföreläggande och sanktionsavgift överklagas till Förvaltningsrätten i Stockholm och förutom denna domstol kan alltså även Kammarrätten i Stockholm och Högsta förvaltningsdomstolen beröras av våra förslag. Beslut om förelägganden enligt 4 kap. 12 § säkerhetsskyddslagen överklagas till regeringen, och kan bli föremål för rättsprövning enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut. Sådana ansökningar prövas av Högsta förvaltningsdomstolen.
Hur stor ärendetillströmningen till överinstanserna med anledning av våra förslag kan förväntas bli är mycket svårt att uttala sig om. Detta är, som anförts ovan, bl.a. beroende av vilka resurser som tillsynsmyndigheterna tilldelas och hur respektive tillsynsmyndighet bedriver sin verksamhet. Oaktat detta rör det sig om en tillfällig ökning av ärenden eftersom det i första hand är granskningen av äldre förfarandena som kommer att medföra en arbetstopp. Vår förhoppning är också att merparten av åtgärderna som vidtas till följd av ändringarna kommer att genomföras av verksamhetsutövarna utan
föregående föreläggande från tillsynsmyndigheterna. Vår sammantagna bedömning är att den tillfälligt ökade arbetsbelastningen som förslagen kan leda till inte kommer att påverka de nämnda domstolarna och Regeringskansliet nämnvärt, och att eventuella kostnader därför kan hanteras inom ramen för befintliga anslag.
Verksamhetsutövare och motparter i offentlig regi
Skyldigheten att anmäla förfaranden till tillsynsmyndigheten innebär att verksamhetsutövarna påförs ett nytt krav. Det merarbete i form av administration som anmälningsplikten medför bedöms dock inte påverka verksamheten nämnvärt och kostnaderna bedöms därför rymmas inom ramen för tillgängliga medel.
I den utsträckning som verksamhetsutövare inte har inventerat pågående förfaranden som inte omfattas av 4 kap. säkerhetsskyddslagen kan anmälningsplikten bli resurskrävande. Det rör sig emellertid inte om något nytt krav, eftersom förfarandena omfattas av de skyldigheter som redan i dag följer av säkerhetsskyddslagen (jfr 2 kap. 1 § säkerhetsskyddslagen). Vår bedömning är därför att det rör sig om uppgifter som ska hanteras inom ramen för tillgängliga medel.
Vad gäller de ekonomiska konsekvenserna av förslaget om att utvidga tillämpningsområdet för 4 kap. 12 § säkerhetsskyddslagen, och förslagen om ändringar i 6 kap. säkerhetsskyddslagen, hänvisas till vad som anförts ovan, i avsnitt 9.2.
9.3.3. Ekonomiska konsekvenser för enskilda
Vad som anförts om verksamhetsutövare i offentlig regi gör sig gällande även i förhållande till enskilda verksamhetsutövare. Den administration som den föreslagna anmälningsplikten kommer att leda till bedöms endast medföra marginella kostnadsökningar för enskilda verksamhetsutövare. Vilka resurser inventeringen av äldre förfaranden kommer att kräva är i första hand beroende av i vilken utsträckning aktörerna redan i dag lever upp till kraven i säkerhetsskyddslagen.
Vad gäller de ekonomiska konsekvenserna av förslaget om att utvidga tillämpningsområdet för 4 kap. 12 § säkerhetsskyddslagen, och förslagen om ändringar i 6 kap. säkerhetsskyddslagen, hänvisas till vad som anförts ovan, i avsnitt 9.2.
9.3.4. Övriga konsekvenser
Sveriges säkerhet
Förslagen innebär att tillsynsmyndigheterna ges bättre förutsättningar att vidta åtgärder mot pågående förfaranden som är skadliga för Sveriges säkerhet. Förslaget om anmälningsplikt (och därmed sammanhängande ändringar i 6 kap. säkerhetsskyddslagen) bedöms därutöver – om tillsynsmyndigheterna ges resurser för uppgiften – förbättra möjligheterna för tillsynsmyndigheterna att upptäcka pågående förfaranden som utgör en säkerhetsrisk. Förslagen bedöms också leda till en större medvetenhet om riskerna med förfaranden som innebär exponering av säkerhetskänslig verksamhet hos verksamhetsutövarna. Förslagen innebär därmed ett förstärkt skydd för Sveriges säkerhet.
Brottsligheten och det brottsförebyggande arbetet
Säkerhetsskydd handlar bl.a. om skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. De förslag som vi lämnar bedöms stärka säkerhetsskyddet och förslagen kan i förlängningen också innebära att vissa brott, bl.a. brott mot Sveriges säkerhet, motverkas.
Konsekvenser för den kommunala självstyrelsen
Kommuner och regioner kan bedriva verksamhet av betydelse för Sveriges säkerhet. Om en tillsynsmyndighet beslutar om föreläggande under ett pågående förfarande innebär det att kommunen eller regionen i fråga inte fritt kan förfoga över sin egendo m.3Förslaget om att utvidga ingripandemöjligheten i 4 kap. 12 § säkerhetsskyddslagen kan därmed påverka den kommunala självstyrelsen. Eftersom kommuner och regioner som bedriver säkerhetskänslig verksamhet redan i dag ska leva upp till kraven i 2 kap. 1 § säkerhetsskyddslagen och kan bli föremål för tillsynsåtgärder om inte tillräckliga säkerhetsskyddsåtgärder vidtas vid exponering av säkerhetskänslig verksamhet, kan emellertid de ändringar som vi föreslår
3 Jfr prop. 2020/21:194 s. 124.
inte anses gå utöver vad som är nödvändigt för att skydda de mest skyddsvärda verksamheterna i samhället. Därtill kommer att möjligheten att ingripa mot pågående förfaranden även fortsättningsvis ska användas restriktivt och att möjligheten att vidta sådana åtgärder begränsas av kravet på att åtgärden ska vara proportionerlig. Vi menar därför att våra förslag berör den kommunala självstyrelsen på det minst ingripande sätt som är möjligt.
9.4. Närmare om konsekvenserna av förslagen om åtgärder vid fara i dröjsmål
Bedömning: Förslagen berör i första hand tillsynsmyndigheterna,
verksamhetsutövare och vissa av de aktörer som genom samverkan med verksamhetsutövare får del av säkerhetskänslig verksamhet. Förslagen berör också regeringen och vissa av de allmänna förvaltningsdomstolarna, samt Kronofogdemyndigheten.
Förslagen innebär förbättrade möjligheter för tillsynsmyndigheterna att vidta åtgärder i situationer där det är fara i dröjsmål, och stärker därmed skyddet för Sveriges säkerhet.
Förslagen kommer att leda till ökade kostnader för Kronofogdemyndigheten. Kostnaderna bedöms emellertid rymmas inom befintliga anslag. Förslagen kan i övrigt antas leda till marginella kostnadsökningar, som också kan hanteras inom ramen för tillgängliga medel.
9.4.1. Aktörer som berörs av förslagen
I kapitel 6 lämnar vi förslag om att tillsynsmyndigheterna ska ges möjlighet att meddela interimistiska förelägganden. Sådana förelägganden kommer att kunna riktas mot verksamhetsutövare och, när det gäller förelägganden under pågående förfaranden, även verksamhetsutövarnas motparter. Dessa aktörer kan därmed också beröras av förslagen.
Interimistiska förelägganden ska enligt våra förslag få överklagas i samma ordning som ”definitiva” förelägganden. Interimistiska förelägganden kommer således att överprövas antingen av regeringen (och Högsta förvaltningsdomstolen om det blir fråga om rättspröv-
ning) eller av Förvaltningsrätten i Stockholm, Kammarrätten i Stockholm och Högsta förvaltningsdomstolen. Nämnda instanser kommer därmed beröras av förslagen.
I kapitel 6 lämnar vi också förslag om att tillsynsmyndigheterna ska kunna ansöka om tvångsåtgärder vid Förvaltningsrätten i Stockholm. Förvaltningsrättens beslut kan överklagas till Kammarrätten i Stockholm och Högsta förvaltningsdomstolen. Tillsynsmyndigheterna föreslås kunna meddela interimistiska beslut om vissa tvångsåtgärder. För verksamhetsutövarna, och i vissa fall även verksamhetsutövarnas motparter, innebär detta att tvångsåtgärder kan komma att aktualiseras inför eller efter beslut om förelägganden och förbud enligt säkerhetsskyddslagen.
Kronofogdemyndigheten, som föreslås vara verkställande myndighet vid beslut om tvångsåtgärder, berörs också av våra förslag. Säkerhetspolisen föreslås få verkställa beslut om tvångsåtgärder om det är fara i dröjsmål eller om det annars bedöms vara lämpligt, och myndigheten berörs därmed inte enbart i egenskap av tillsynsmyndighet.
9.4.2. Ekonomiska konsekvenser för det allmänna
Tillsynsmyndigheterna
Förslaget om att tillsynsmyndigheterna ska få meddela interimistiska förelägganden bedöms inte medföra några större kostnader för tillsynsmyndigheterna.
Förslaget om införandet av tvångsåtgärder innebär att tillsynsmyndigheterna ges helt nya befogenheter. Förutom att ansöka om sådana åtgärder, föreslås tillsynsmyndigheten också få fatta interimistiska beslut om vissa tvångsåtgärder. Tillsynsmyndigheterna föreslås även få verkställa sådana beslut, om det kan ske obehindrat. Förslagen kan förväntas innebära ett visst merarbete för tillsynsmyndigheterna, kanske framför allt för Säkerhetspolisen och Försvarsmakten som också är samordningsmyndigheter. Tvångsåtgärderna är emellertid tänkta att användas i speciella undantagsfall och vi bedömer att det kommer bli mycket ovanligt att sådana åtgärder aktualiseras. Merarbetet handlar därmed i första hand om att bygga upp en beredskap och rutiner för hur frågor om tvångsåtgärder ska hanteras. Vi menar därför att kostnaderna kan hanteras inom ramen för tillgängliga medel.
Verksamhetsutövare och motparter i offentlig regi
Vad gäller de ekonomiska konsekvenserna av förslagen om interimistiska förelägganden för nu aktuella aktörer hänvisas till avsnitt 9.2.
Användandet av tvångsåtgärder kan få ekonomiska konsekvenser för den aktuella verksamhetsutövaren, och – om det rör sig om åtgärder under ett pågående förfarande – även verksamhetsutövarens motpart. Det kan t.ex. inte uteslutas att omhändertagande av egendom eller försegling av lokaler kan leda till avbrott i verksamheten eller att aktören förhindras att uppfylla förpliktelser gentemot andra parter. Tvångsåtgärder bedöms emellertid, som nämnts ovan, endast aktualiseras i mycket särpräglade situationer. Vidare förutsätter beslut om tvångsåtgärder att åtgärden behövs för att säkerställa ändamålet med ett föreläggande eller förbud. Det rör sig alltså om situationer där aktören i fråga kan antas agera i strid med ett föreläggande eller förbud, eller situationer där en verksamhetsutövare av olika anledningar inte förmår skydda verksamheten och staten därför behöver ingripa. De aktörer som riskerar att bli föremål för tvångsåtgärder är alltså sådana som inte lever upp till kraven i säkerhetsskyddslagen eller som på olika sätt agerar klandervärt, t.ex. genom att inte samarbeta med tillsynsmyndigheterna eller efterkomma de beslut som tillsynsmyndigheten meddelar. Eventuella kostnader till följd av sådana beslut är därmed inte i första hand en konsekvens av våra förslag.
Regeringskansliet och domstolarna
Möjligheten att meddela interimistiska förelägganden kan leda till att fler överklagbara beslut meddelas inom ramen för tillsynsärendena. Eftersom det krävs särskilda skäl för att tillsynsmyndigheterna ska få meddela sådana förelägganden bedömer vi emellertid att effekterna för överinstanserna kommer att vara begränsade.
Vad gäller förslaget om införandet av tvångsåtgärder gör vi bedömningen att ansökningar, och beslut om, tvångsåtgärder kommer att bli mycket ovanliga. Genom att ärendena koncentreras till ett fåtal domstolar medför förslagen inte några omfattande åtgärder för kompetensutvecklingen i Sveriges domstolar. I domstolarna som vi föreslår ska pröva ärenden om tvångsåtgärder hanteras redan i dag mål som är känsliga i säkerhetshänseende, däribland vissa ärenden enligt säkerhetsskyddslagen.
Mot bakgrund av vad som anförts ovan, bedöms eventuella kostnadsökningar för regeringen och domstolarna endast bli marginella och dessa bör därmed kunna hanteras inom ramen för befintliga anslag.
Kronofogdemyndigheten och Säkerhetspolisen
Vi föreslår att beslut om tvångsåtgärder som inte kan verkställas av tillsynsmyndigheterna själva, i första hand ska verkställas av Kronofogdemyndigheten. Myndigheten har till utredningen framfört följande angående de ekonomiska konsekvenserna av förslaget. De ekonomiska konsekvenserna är svårbedömda. Om förslaget blir verklighet måste Kronofogdemyndigheten tillse att det finns rutiner, kontaktvägar med övriga berörda myndigheter, rätt kompetens tillgänglig och förutsättningar i övrigt för att genomföra verkställigheten. Även om besluten blir ovanliga måste beredskapen och organisationen finnas. Under förutsättning att åtgärderna som Kronofogdemyndigheten ska vidta är sådana som motsvarar de som kan komma i fråga enligt skatteförfarandelagen (2011:1244) samt att Kronofogdemyndigheten får kännedom om en kommande verkställighet med någon eller några dagars framförhållning, bedöms att den nuvarande organisationen och beredskapsnivån är tillräcklig. I sådana fall är de ekonomiska konsekvenserna för myndigheten förhållandevis modesta och bör inte överstiga 0,5 miljoner kronor årligen. Det rör sig då framför allt om kostnader för enklare utbildningsinsatser, framtagande av rutinbeskrivningar samt nedlagd tid då en verkställighet ska genomföras. En bevissäkring enligt skatteförfarandelagen tar i genomsnitt 28 timmar att genomföra, till en kostnad om cirka 25 000 kronor.
Vårt förslag innebär att Kronofogdemyndigheten tillförs en ny arbetsuppgift. Vi delar bedömningen att detta kommer att leda till kostnader för myndigheten. Vad gäller beräkningen av kostnaderna har vi inte funnit skäl att ifrågasätta Kronofogdemyndighetens uppskattning. Kostnaderna är emellertid sådana att de får anses rymmas inom Kronofogdemyndighetens befintliga anslag.
Vi bedömer att förslaget om att Säkerhetspolisen ska ges möjlighet att verkställa beslut om tvångsåtgärder, om myndigheten anser att det är lämpligt, inte bör leda till några större ekonomiska konsekvenser för myndigheten. Förslaget bygger på att Säkerhetspolisen
redan i dag har en organisation som kan hantera den här typen av åtgärder, och ett antagande om att Säkerhetspolisen – utifrån myndighetens uppdrag – i vissa fall kan ha ett intresse av att kunna verkställa tvångsåtgärder. Det bör i första hand röra sig om ärenden där Säkerhetspolisen också tar över tillsynen. Kostnaderna för verkställighetsåtgärderna bör därför hanteras inom ramen för befintliga anslag.
9.4.3. Ekonomiska konsekvenser för enskilda
Enskilda verksamhetsutövare och motparter kan komma att bli föremål för interimistiska förelägganden. Vad gäller de ekonomiska konsekvenserna av det förslaget hänvisas till avsnitt 9.2.
Vad som anförts ovan i förhållande till offentliga verksamhetsutövare och motparter angående de ekonomiska konsekvenserna av förslagen om tvångsåtgärder, gör sig gällande även i förhållande till enskilda aktörer.
9.4.4. Övriga konsekvenser
Sveriges säkerhet
De föreslagna ändringarna syftar till att förbättra möjligheterna för staten att ingripa i situationer där det behövs omedelbara åtgärder för att skydda Sveriges säkerhet, och där de befogenheter som tillsynsmyndigheterna har i dag inte är tillräckligt effektiva. Förslagen innebär på detta sätt en förstärkning av skyddet för Sveriges säkerhet.
Brottsligheten och det brottsförebyggande arbetet
Säkerhetsskydd handlar bl.a. om skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. De förslag som vi lämnar bedöms stärka säkerhetsskyddet och förslagen kan i förlängningen också innebära att vissa brott, bl.a. brott mot Sveriges säkerhet, motverkas.
Konsekvenser för den kommunala självstyrelsen
Som konstaterats ovan kan kommuner och regioner bedriva säkerhetskänslig verksamhet. Interimistiska förelägganden under pågående förfaranden och beslut om tvångsåtgärder riktade mot sådana aktörer, kan innebära att kommunen eller regionen i fråga inte fritt kan förfoga över sin egendom. Förslagen påverkar därmed den kommunala självstyrelsen. Vi menar emellertid att den nu föreslagna regleringen inte kan anses gå utöver vad som är nödvändigt för att skydda Sveriges säkerhet. Åtgärderna bedöms dessutom bli sällsynta. Vi menar därför att våra förslag berör den kommunala självstyrelsen på det minst ingripande sätt som är möjligt.
9.5. Konsekvenser av förslagen om en utvidgad registerkontroll
Bedömning: Förslagen berör i första hand personer som är, eller
kan komma att bli, föremål för säkerhetsprövning med registerkontroll enligt 3 kap. säkerhetsskyddslagen. I viss utsträckning rör förslagen även närstående till dessa personer. Förslagen berör också Säkerhetspolisen, Säkerhets- och integritetsskyddsnämnden och de aktörer som ansvarar för själva säkerhetsprövningen. Förslagen berör vidare de myndigheter som Säkerhetspolisen föreslås få hämta uppgifter från eller genom; Polismyndigheten, Skatteverket, Tullverket, Migrationsverket, Transportstyrelsen, Kriminalvården och Kronofogdemyndigheten.
Förslagen innebär förbättrade möjligheter för Säkerhetspolisen att identifiera sårbarheter och andra förhållanden som kan antas vara av betydelse för prövningen av om en person som ska delta i säkerhetskänslig verksamhet är pålitlig från säkerhetssynpunkt, och stärker därmed skyddet för Sveriges säkerhet.
Förslagen kommer att leda till kostnader för Säkerhetspolisen och de myndigheter som Säkerhetspolisen föreslås få hämta uppgifter från eller genom vid registerkontroll. Förslagen kommer att behöva finansieras genom ökade anslag till Säkerhetspolisen och sannolikt även Skatteverket, Tullverket, Transportstyrelsen, Kriminalvården och Kronofogdemyndigheten. Det kan inte ute-
slutas att förslagen medför kostnadsökningar för Polismyndigheten som inte ryms inom myndighetens befintliga anslag.
Kostnadsökningen för Migrationsverket bedöms rymmas inom myndighetens befintliga anslag. Övriga kostnader bedöms också kunna hanteras inom ramen för tillgängliga medel.
9.5.1. Aktörer som berörs av förslagen
I kapitel 7 lämnar vi förslag om att den registerkontroll som görs inom ramen för säkerhetsprövning enligt säkerhetsskyddslagen ska utvidgas till att omfatta fler register och uppgifter.
Förslagen berör i första hand personer som är föremål för säkerhetsprövning med registerkontroll enligt 3 kap. säkerhetsskyddslagen. Det rör sig, som utgångspunkt, om personer som genom anställning eller på annat sätt deltar i säkerhetskänslig verksamhet och som har en befattning som är placerad i säkerhetsklass, och närstående (make, maka eller sambo) till personer vars deltagande är placerat i säkerhetsklass 1 eller 2. Våra förslag berör också personer som avser att söka sådana tjänster, eller som innehar tjänster som kan komma att placeras i säkerhetsklass. Om det finns särskilda skäl får registerkontroll göras även utan föregående placering i säkerhetsklass. Våra förslag kan därmed också beröra vissa personer som deltar i säkerhetskänslig verksamhet, men som inte har en befattning som är placerad i säkerhetsklass.
Förslagen berör också Säkerhetspolisen, som är den myndighet som genomför själva registerkontrollen, och Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden, som har till uppgift att pröva om de uppgifter som framkommer vid registerkontroll ska lämnas ut till aktören som ansvarar för säkerhetsprövningen.
Vidare berörs de myndigheter som Säkerhetspolisen föreslås få hämta uppgifter från eller genom. Förslagen innebär att vissa uppgifter ska få hämtas från Skatteverket, Tullverket, Migrationsverket, Transportstyrelsen, Kriminalvården och Kronofogdemyndigheten, samt att uppgifter som behandlas hos Polismyndigheten med stöd av myndighetens brottsdatalag ska få hämtas även vid registerkontroll för säkerhetsklass 3. Nämnda aktörer påverkas alltså av förslagen. Vi föreslår också att uppgifter om utländska domar i andra EU-med-
lemsstaters kriminalregister ska omfattas av registerkontrollen. Sådana uppgifter hämtas och vidarebefordras av Polismyndigheten, som alltså berörs av förslagen även i detta avseende.
Förslagen berör även de aktörer som ansvarar för säkerhetsprövningen, som kommer att kunna få del av fler och andra uppgifter om de personer som är föremål för säkerhetsprövning. Säkerhetsprövningen görs som utgångspunkt av den som beslutar om anställning eller deltagande i den säkerhetskänslig verksamheten, i regel verksamhetsutövaren. I undantagsfall har en myndighet, som inte beslutar om anställning eller annat deltagande hos verksamhetsutövaren, ansvaret för säkerhetsprövningen. Så är fallet när myndigheten har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. Särskilda regler om vem som fattar säkerhetsprövningsbeslut finns även såvitt avser arbetstagare hos domstolar, partigruppens kanslier i riksdagen och totalförsvarspliktiga.
I kapitel 7 lämnar vi också förslag om att vissa säkerhetsprövningsbeslut ska anmälas till Säkerhetspolisen. Det är de aktörer som ansvarar för säkerhetsprövningen som omfattas av anmälningsskyldigheten. Förutom dessa aktörer och Säkerhetspolisen berörs även övriga aktörer som är inblandade i säkerhetsprövningsförfarandet av förslaget. Detta eftersom uppgifterna som anmäls till Säkerhetspolisen kommer att kunna hämtas vid registerkontroll, och – om de kan antas vara av betydelse för säkerhetsprövningen – även lämnas ut och bli en del av underlaget vid säkerhetsprövning avseende ett annat deltagande. Förslaget kommer också att beröra personer vars deltagande i säkerhetskänslig verksamhet har avslutats på grund av att personen inte har klarat säkerhetsprövningen.
9.5.2. Ekonomiska konsekvenser för Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden
De förslag som vi lämnar kommer att leda till en ökad arbetsbelastning för i första hand Säkerhetspolisen som är den myndighet som utför själva registerkontrollen, gör den första bedömningen av uppgifterna som hämtas, föredrar uppgifter för Registerkontrolldelegationen, kommunicerar uppgifter med den kontrollerade och redovisar uppgifter som ska lämnas ut för de aktörer som ansvarar för säkerhetsprövningen.
Våra förslag kommer inte att leda till fler registerkontrollärenden hos Säkerhetspolisen. Förslagen kommer emellertid att leda till fler utfall som ska bedömas, föredras och kommuniceras. Förslagen bedöms också leda till fler utlämnanden av uppgifter. Det är mycket svårt att bedöma ökningen av antalet utfall. Helt klart är dock att förslaget om den utvidgade registerkontrollen för säkerhetsklass 3 – i vilken den absoluta merparten av de kontrollerade ingår – kommer att leda till den största ökningen. Ökningen bedöms i första hand bero på förslaget om att uppgifter från Kronofogdemyndighetens utsöknings- och indrivningsverksamhet ska få hämtas .4Säkerhetspolisen bedömer att antalet utfall kommer att bli extra stort inledningsvis eftersom det handlar om nya uppgiftskällor, från vilka uppgifter tidigare inte har hämtats vid registerkontroll.
De föreslagna ändringarna (inklusive förslaget om att införa en anmälningsskyldighet för vissa säkerhetsprövningsbeslut) kommer, enligt Säkerhetspolisen, också innebära att former för ett automatiserat informationsutbyte mellan Säkerhetspolisen och ett antal myndigheter behöver etableras, och den information som tas emot behöver struktureras så att den kan överföras till systemstödet för registerkontroll. Vidare bedömer Säkerhetspolisen att rutiner behöver arbetas fram och att informationsflödet behöver kvalitetssäkras och förvaltas. Myndigheten kommer också ha kostnader för projektledning av integration och hantering.
Sammantaget bedömer Säkerhetspolisen att förslagen medför ökade kostnader för myndigheten om 26 miljoner kronor det första året, 21 miljoner kronor det andra året och 15 miljoner kronor det tredje året och sedan löpande därefter. Bedömningen är emellertid preliminär och bygger på vissa antaganden om bl.a. hur Säkerhetspolisen kan hämta uppgifter automatiserat och på ett sätt som är förenligt med säkerhetsskyddslagens krav på informationssäkerhet, och hur många fler utfall som kan förväntas.
Eftersom antalet utfall vid registerkontroll bedöms öka kommer förslagen också leda till en ärendeökning hos Registerkontrolldelegationen vid Säkerhets- och integritetsskyddsnämnden. Säkerhets- och integritetsskyddsnämnden har till utredningen framfört följande angående konsekvenserna av våra förslag. För Registerkontrolldelegationens del kommer ärendeökningen påverka de föredragningar
4 Vid årsskiftet 2024/2025 var 436 996 personer registrerade hos Kronofogdemyndigheten. Statistiken är hämtad från Kronofogdemyndighetens hemsida 2025-03-19.
som sker för ordföranden och vice ordföranden, dvs. föredragningar av ärenden som är av enklare beskaffenhet. Sådana föredragningar sker en gång i veckan och i ett längre perspektiv bedömer nämnden att det finns utrymme att hantera en viss ökning av ärenden inom ramen för dessa föredragningar. På kort sikt kommer utredningens förslag emellertid ge upphov till ett flertal nya frågeställningar och därmed en ökad arbetsbörda för ordföranden och vice ordföranden. När det sedan gäller den andra typen av registerkontrollärenden, som hanteras av minst tre ledamöter (dvs. när det är fråga om utfall i Säkerhetspolisens register) bedömer nämnden att utredningens förslag inte kommer att leda till någon ökning av antalet ärenden. Nämndens sammantagna bedömning är därmed att utredningens förslag, såvitt nu kan bedömas, bör kunna hanteras inom ramen för Registerkontrolldelegationens nuvarande personella och ekonomiska resurser.
Av våra direktiv följer att vi ska beakta ledtiderna för registerkontroll. Även avseende denna fråga har vi inhämtat uppgifter från Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden. Säkerhetspolisen ser inte att ledtiderna för handläggning av registerkontroller kommer att öka på grund av föreslagna förändringar. En förutsättning för det är dock att myndigheten tillförs de resurser som förslagen motiverar samt att myndigheten i stor utsträckning kan hämta uppgifter automatiserat och på ett sätt som är förenligt med säkerhetsskyddslagens krav på informationssäkerhet. I enskilda fall kan det förekomma längre handläggningstider när fler uppgifter behöver bedömas för att avgöra om den samlade uppgiftsbilden kan antas vara av betydelse för säkerhetsprövningen och ska föredras för utlämnande. Längre ledtider kan även bli aktuella i de fall uppgifter behöver hämtas från andra länder via Ecris eller Ecris-TCN.
Säkerhetsskydds- och integritetsskyddsnämnden har gällande denna fråga uppgett följande. När det gäller Registerkontrolldelegationens del i handläggningen av registerkontrollärendena, så avgörs dessa i direkt anslutning till att de föredras av personal från Säkerhetspolisen. Registerkontrolldelegationen har alltså inte några ärenden i balans. Nämnden bedömer att utredningens förslag inte kommer att påverka Registerkontrolldelegationens handläggningstider i någon avgörande mån. Om ökningen av ärenden blir betydande kan det dock tänkas att samtliga ärenden inte kan föredras den vecka de är klara för föredragning utan att vissa av dem kan få anstå till nästa tillfälle.
Vår bedömning
Vi har inte funnit skäl att ifrågasätta de uppgifter som Säkerhetspolisen och Säkerhets- och integritetsskyddsnämnden har lämnat till oss. Om samtliga förslag som vi har lämnat genomförs bedöms detta leda till stora kostnader för Säkerhetspolisen, som inte ryms inom befintliga ramar. Vi bedömer också att det är av stor vikt att det inte sker någon generell ökning av ledtiderna för registerkontrollerna eftersom detta kan försvåra för verksamhetsutövare att rekrytera personal. För att undvika detta krävs att förslagen finansieras genom ökade anslag. Säkerhetspolisen har gjort en uppskattning av kostnaderna för förslagen. Vi har inte haft skäl att göra någon annan bedömning. Det kan emellertid konstateras att det rör sig om en preliminär uppskattning som utgår från vissa antaganden från Säkerhetspolisens sida. Vi ser att framför allt frågan om hur informationsinhämtandet från andra myndigheter ska gå till i praktiken är en stor osäkerhetsfaktor när det kommer till att bedöma kostnaderna för förslagen. Detta är i första hand en fråga för informationsinnehavarna att avgöra, i samråd med Säkerhetspolisen (vi återkommer till detta i nästa avsnitt). Uppskattningen av kostnaderna för Säkerhetspolisen behöver därför följas upp under den fortsatta beredningen av förslagen i betänkandet.
9.5.3. Ekonomiska konsekvenser för de myndigheter som Säkerhetspolisen ska få hämta uppgifter från och genom
Våra förslag innebär, som nämnts, att Säkerhetspolisen vid registerkontroll ska få hämta vissa uppgifter från Skatteverket, Tullverket, Kriminalvården, Migrationsverket, Kronofogdemyndigheten samt Transportstyrelsen. Förslagen innebär också att Säkerhetspolisen ska få hämta uppgifter som behandlas hos Polismyndigheten i större utsträckning än vad som sker i dag, och att uppgifter om utländska domar ska få hämtas – vilket i praktiken sker genom Polismyndighetens försorg.
Vid kontakt med nämnda myndigheter har det framkommit att myndigheterna kommer att ha kostnader till följd av förslagen.
Förslagen om att Säkerhetspolisen ska få hämta vissa uppgifter som behandlas hos Migrationsverket och uppgifter om utländska
domar, kommer att leda till en ökad arbetsbelastning för Migrationsverket och Polismyndigheten. Vad gäller beräkningen av kostnaderna kan konstateras att det inte kommer att vara aktuellt att hämta sådana uppgifter avseende alla kontrollerade. Det är emellertid mycket svårt att närmare bedöma hur många kontroller det kan röra sig om per år. År 2023 avsåg omkring 3 500 ansökningar om registerkontroll personer som saknade svenskt personnummer .5Eftersom nu aktuella uppgifter i vissa fall även kan behöva hämtas avseende personer som har svenskt personnummer ger denna siffra inte hela bilden. Siffran har emellertid i vart fall kunnat användas som ett riktmärke vid bedömningen av de ekonomiska konsekvenserna i den här delen. Beräkningen av kostnaderna försvåras emellertid också av att det görs löpande kontroller under tiden som ett deltagande pågår. Det är Säkerhetspolisen som avgör med vilken frekvens sådana kontroller ska göras.
Polismyndigheten har till utredningen uppgett att förslaget om att uppgifter om utländska domar ska omfattas av registerkontrollen kan påverka deras arbete med Ecris och Ecris-TCN i stor omfattning. Myndigheten har emellertid inte gjort någon uppskattning av kostnaderna. Det är vår uppfattning att kostnaderna kan klarläggas först efter att Säkerhetspolisen, i samråd med Polismyndigheten, har tagit fram en strategi för hur uppgifter om utländska domar – som inhämtas genom ett särskilt förfarande – ska hanteras inom ramen för registerkontrollen. Detta är alltså en fråga som behöver följas upp under den fortsatta beredningen av våra förslag. Uppgifter som behandlas hos Polismyndigheten hämtas redan i dag vid registerkontroll, och det är vår bedömning att förslaget om att sådana uppgifter ska få hämtas även avseende säkerhetsklass 3 inte kommer att medföra några större kostnader för Polismyndigheten.
Migrationsverket har uppgett i huvudsak följande angående de ekonomiska konsekvenserna av våra förslag. Att göra en slagning för att se om en individ (utländsk medborgare) har rätt att arbeta och bo i Sverige bedöms vara en relativt enkel slagning mot myndighetens system. Den innebär emellertid en hel del administration. Migrationsverket har bedömt att den beräknade resursåtgången för 3 500 slagningar, med marginal för kringarbete och administration, till en årsarbetstagare, dvs. runt 740 000 kronor. Migrationsverket konstaterar att aktuell uppskattning utgår från antalet kontroller
5 Uppgift som Säkerhetspolisen har lämnat till utredningen.
2023 och myndigheten gör bedömningen att det sannolikt kommer inkomma fler ansökningar om registerkontroll framöver.
Vi har inte haft skäl att ifrågasätta Migrationsverkets uppskattning av kostnaderna. Vi bedömer att kostnadsökningen är sådan att den bör rymmas inom myndighetens befintliga anslag. Ovan nämnda osäkerhetsfaktorer gör emellertid att kostnaderna för Migrationsverket kan behöva följas upp framöver.
Vad gäller Skatteverket, Tullverket, Kriminalvården, Kronofogdemyndigheten och Transportstyrelsen (från vilka uppgifter föreslås få hämtas avseende samtliga personer som är föremål för registerkontroll) hänför sig kostnaderna i första hand till de tekniska lösningar som behöver tas fram för utlämnande av uppgifter till Säkerhetspolisen. De ekonomiska konsekvenserna för myndigheterna påverkas i stor utsträckning av att sammanställningen av vilka personer som deltar i säkerhetskänslig verksamhet med placering i säkerhetsklass är säkerhetsskyddsklassificerad, och att möjligheterna för Säkerhetspolisen att löpande hämta uppgifter är avhängigt av att myndigheten har tillgång till uppgifterna på ett sätt som lever upp till säkerhetsskyddslagens krav på informationssäkerhet.
Frågan om hur inhämtandet av de uppgifter som våra förslag tar sikte på ska ske i praktiken, dvs. vilka tekniska lösningar som ska användas och på vilket sätt uppgifterna ska få hämtas av Säkerhetspolisen, har inte behandlats i detta betänkande (se avsnitt 7.1.2), utan detta är frågor som måste följas upp under den fortsatta beredningen av våra förslag. Eftersom det i dagsläget inte är utrett vilka tekniska lösningar som kommer att användas är det, med hänsyn till vad som anförts ovan, inte heller möjligt att beräkna kostnaderna för våra förslag i den här delen. Nedan redogör vi emellertid översiktligt för de uppgifter som vi har fått från de aktuella myndigheterna. Sammanfattningsvis kan konstateras att förslagen – om de genomförs i sin helhet – kommer att leda till omfattande kostnader. Kostnadsökningarna för nu aktuella myndigheter kommer sannolikt inte att kunna hanteras inom ramen för tillgängliga medel. Vi kan inte se att förslagen kan finansieras på annat sätt än genom ökade anslag.
Skatteverket
Skatteverket tillgängliggör i dag vissa uppgifter från folkbokföringsdatabasen för offentliga aktörer genom en tjänst som heter Navet. Om de behov som Säkerhetspolisen har lyft i utredningen täcks av de uppgifter som finns i tjänsten så behöver det inte utvecklas någon ny teknisk lösning för att Skatteverket ska kunna lämna ut uppgifterna. Om det skulle finnas behov av att få del av andra uppgifter än de som är tillgängliga via Navet eller om det behövs en annan teknisk lösning så kan det innebära utvecklingskostnader för Skatteverket.
Skatteverkets brottsbekämpande verksamhet har i dag inte något tekniskt system för att lämna ut uppgifter till Säkerhetspolisen. Skatteverket gör bedömningen att utredningens förslag, om att Säkerhetspolisen vid registerkontroll ska få hämta uppgifter som behandlas med stöd av Skatteverkets brottsdatalag, innebär att det kommer att finnas ett behov av att utveckla en ny teknisk lösning för uppgiftslämnande. Kostnaderna för it-utveckling beror på vilken teknisk lösning som väljs, vilket i sin tur är beroende av vilka uppgifter det kommer att vara fråga om. Framtagande av en teknisk lösning behöver därför ske i samråd med Säkerhetspolisen och det är därmed inte möjligt att i nuläget ange kostnad. Det är dock ofrånkomligt att det blir en kostnad som inte är obetydlig. Skatteverket gör bedömningen att det även kommer att finnas ett behov av bedömningar i enskilda fall. Detta innebär en årlig löpande kostnad.
Tullverket
Myndigheten kan konstatera att förslaget skulle innebära ökade kostnader för Tullverket. Att närmare precisera dessa kostnader bedöms inte vara möjligt i dagsläget eftersom många parametrar ännu är okända eller utestående. Bl.a. är det okänt vilken teknisk lösning som ska användas, vilka uppgifter som Säkerhetspolisen har behov av att ta del av hos Tullverket samt om det finns särskilda krav på informationens format. Även om kostnaderna är svåra att uppskatta så finns det ett antal kostnadsdrivande faktorer att ta hänsyn till där val av teknisk lösning, utveckling och förvaltning utgör den största delen. Implementationen behöver tillgängliggöra en delmängd av den information som hanteras i myndighetens informationssystem inom
ramen för verksamhetsskydd, varpå det är viktigt att separera denna delmängd på ett ändamålsenligt sätt. Vidare kan utökade kostnader för teknisk infrastruktur och licenser tillkomma, men dessa får ses som begränsade relativt de andra faktorerna.
Kriminalvården
Kriminalvårdens uppfattning är att det skulle vara förhållandevis okomplicerat att ta fram en teknisk lösning för utlämnande av information till Säkerhetspolisen. Med det sagt har Kriminalvården identifierat ett antal komplicerande och potentiellt fördyrande faktorer. Myndigheten delar utredningens bedömning att sammanställningen av vilka personer som deltar i säkerhetskänslig verksamhet med placering i säkerhetsklass är säkerhetsskyddsklassificerad. Ansvarig verksamhetsutövare för registerkontrollen är Säkerhetspolisen. Det är således Säkerhetspolisen som måste definiera vilka säkerhetskrav som ställs på ett automatiserat informationsflöde genom det aktuella informationssystemet. Kriminalvården konstaterar att säkerheten för det tänkta informationsflödet måste dimensioneras utifrån att informationen, både som helhet och i delar, har ett synnerligen högt skyddsvärde. Vidare måste den tekniska lösningen i förhållande till Säkerhetspolisen sannolikt byggas från grunden eftersom någon förlaga med motsvarande krav på säkerhet inte finns. Sammantaget innebär detta att Kriminalvården behöver lägga omfattande utvecklings- och säkerhetsresurser för att bygga den tilltänkta lösningen.
Kronofogdemyndigheten
Kostnader för it uppskattas till 5–15 miljoner kronor fördelat på följande delar: Anpassning till ytterligare säkerhetskrav som har bedömts nödvändiga att uppfylla för den aktuella tjänsten avseende arkitektur, säkerhetsskyddsåtgärder och kommunikation (4,5–14 miljoner kronor), anpassning gällande fysisk säkerhet (650 000 kronor) och utökning av nuvarande teknisk lösning med uppgifter avseende betalningsförelägganden och skuldsanering (0,5–1 miljon kronor). Utgångspunkten för bedömningen har varit att samma tekniska lösning som används i förhållande till Säkerhetspolisen i dag fortsatt kommer att användas. Kostnadsuppskattningen och bedöm-
ningen avser vidare enbart den del av hanteringen runt säkerhetskrav som Kronofogdemyndighetens it-avdelning ansvarar för och hanterar avseende den tekniska lösning som används i dag. Det har inte gjorts någon analys av i vilken mån det skulle krävas säkerhetshöjande uppgraderingar av kringliggande verksamhetssystem, vilka försörjer den aktuella tjänsten med information. Bedömningen är att en sådan analys skulle kräva en total genomlysning av Kronofogdemyndighetens hela it-miljö med utgångspunkten att all den information som hanteras (och därmed hela verksamheten) är av sådan art att den omfattas av säkerhetsskyddslagen. Det har inom ramen för detta uppdrag inte varit möjligt att uppskatta omfattningen av en sådan analys och än mindre bedöma kostnaderna för de eventuella åtgärder som kan krävas. Vad gäller drift (servrar, databaser, infrastruktur och administration av detta) är Skatteverket leverantörsmyndighet och ansvarar för all hantering i dessa delar. Det innebär att Kronofogdemyndigheten inte har möjlighet att lämna uppgifter i frågor som rör säkerhet eller annan teknisk uppsättning i denna del.
Transportstyrelsen
Transporstyrelsen bedömer att om Säkerhetspolisen via direktåtkomst eller på annat sätt löpande ska hämta uppgifter om samtliga personer som är placerade i säkerhetsklass och deras närstående medför det betydande svårigheter gällande efterlevnad av säkerhetsskyddslagstiftningen. Utlämnande av uppgifter, via direktåtkomst eller på annat sätt, gällande samtliga personer som är placerade i säkerhetsklass får till följd att Transportstyrelsen kommer att behandla uppgifter i en högre säkerhetsskyddsklass än vad myndigheten hanterar i dag. Detta medför stora ekonomiska konsekvenser för Transportstyrelsen eftersom det föranleder teknisk utveckling och vidtagande av nödvändiga säkerhetsskyddsåtgärder. För att kunna efterleva säkerhetsskyddslagstiftningens krav för hanteringen av uppgifter i en högre säkerhetsskyddsklass kommer det krävas att myndigheten genomför ett omfattande arbete som inkluderar anpassningar och utveckling av it-miljöer, lokaler, övervakning m.m. Detta bedöms leda till omfattande kostnader för Transportstyrelsen som inte kan tas inom befintliga ekonomiska ramar. Utlämnande i
enskilda fall till Säkerhetspolisen i en mindre mängd kan göras utan några resursmässiga eller ekonomiska konsekvenser.
9.5.4. Ekonomiska konsekvenser för de aktörer som ansvarar för säkerhetsprövningen
Förslagen om att utvidga registerkontrollen kommer inte att innebära några nya arbetsuppgifter för de aktörer som ansvarar för själva säkerhetsprövningen. Det faktum att beslutsunderlaget kan omfatta nya och fler uppgifter bedöms i första hand underlätta för de aktuella aktörerna, eftersom beslutsunderlaget breddas. Eftersom de tillkommande uppgiftstyperna faller inom de frågeområden som ska beröras vid grundutredningen bör aktörerna redan i dag ha en vana att bedöma uppgifter av det aktuella slaget.
Vi bedömer att en utvidgning av registerkontrollen i enlighet med våra förslag kommer att leda till fler utlämnanden av uppgifter. Detta kan i sin tur innebära att aktörerna som ansvarar för säkerhetsprövningen, i större utsträckning än vad som sker i dag, kommer att behöva hålla ytterligare ett samtal med den prövade. Detta kan medföra kostnader för de aktuella aktörerna, och även förlänga säkerhetsprövningsprocessen. För offentliga aktörer bedöms emellertid kostnaderna kunna hanteras inom ramen för tillgängliga medel.
Förslaget om anmälningsskyldighet vid negativa utfall kommer att innebära att nu aktuella aktörer ska underrätta Säkerhetspolisen om säkerhetsprövningsbeslut där en person som deltar i säkerhetskänslig verksamhet har bedömts vara opålitlig från säkerhetssynpunkt, och de omständigheter som har legat till grund för bedömningen. Förslaget innebär att aktörerna kommer att påföras en ny uppgift. Detta bedöms emellertid inte ha några betydande ekonomiska konsekvenser för de aktuella aktörerna. Kostnader för den administration som förslaget medför bör, i den utsträckning det rör sig om offentliga aktörer, kunna hanteras inom ramen för tillgängliga medel. Vid denna bedömning har särskilt beaktats att förslag om att det ska införas nya bestämmelser i säkerhetsskyddslagen som innebär att säkerhetsprövningsbeslut ska dokumenteras i ett skriftligt säkerhetsprövningsbeslut och att beslut som är till nackdel för den prövade
som utgångspunkt ska motiveras, för närvarande bereds inom Regeringskansliet .6
9.5.5. Övriga konsekvenser
Sveriges säkerhet
Våra förslag innebär att Säkerhetspolisen vid registerkontroll får hämta och kontrollera fler uppgifter. Åtgärderna bedöms ge bättre förutsättningar att identifiera sårbarheter och andra förhållanden som är av betydelse för bedömningen av om en person är pålitlig från säkerhetssynpunkt, och förhindra att personer som av olika skäl utgör säkerhetsrisker deltar i säkerhetskänslig verksamhet. Därigenom förstärks skyddet för Sveriges säkerhet.
Brottsligheten och det brottsförebyggande arbetet
Säkerhetsskydd handlar bl.a. om skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. De förslag som vi lämnar bedöms stärka säkerhetsskyddet, och förslagen kan i förlängningen också innebära att vissa brott, bl.a. brott mot Sveriges säkerhet, motverkas.
6 Se SOU 2024:88.
10. Författningskommentar
10.1. Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585)
3 kap. Säkerhetsprövning
4 e §
Om en person som deltar i säkerhetskänslig verksamhet, efter omprövning av säkerhetsprövningsbeslutet har bedömts vara opålitlig från säkerhetssynpunkt, ska den som enligt 4 och 4 a–d §§ ansvarar för säkerhetsprövningen utan dröjsmål underrätta Säkerhetspolisen om resultatet av säkerhetsprövningen och de omständigheter som har legat till grund för bedömningen.
Enligt paragrafen, som är ny, ska vissa säkerhetsprövningsbeslut anmälas till Säkerhetspolisen. Övervägandena finns i avsnitt 7.8.
Anmälningsskyldigheten gäller för de aktörer som ansvarar för säkerhetsprövningen och innebär att vissa säkerhetsprövningsbeslut till nackdel för den enskilde utan dröjsmål ska anmälas till Säkerhetspolisen. De säkerhetsprövningsbeslut som ska anmälas är sådana som fattas under ett pågående deltagande i säkerhetskänslig verksamhet, och som innebär att ett tidigare säkerhetsprövningsbeslut omprövas. Anmälan ska förutom själva beslutet också innehålla en redogörelse för de omständigheter som har legat till grund för bedömningen.
Uppgifterna i anmälan kommer att behandlas med stöd av lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, och får därmed hämtas vid registerkontroll avseende samtliga tre säkerhetsklasser (jfr 3 kap. 13 och 14 §§).
Regler om sanktionsavgift för den som försummar anmälningsskyldigheten finns i 7 kap. 1 §.
13 §
Med registerkontroll avses att uppgifter hämtas från register som omfattas av
1. lagen (1998:620) om belastningsregister,
2. lagen (1998:621) om misstankeregister,
3. rådets rambeslut 2009/315/RIF av den 26 februari 2009 om organisationen av medlemsstaternas utbyte av uppgifter ur kriminalregistret och uppgifternas innehåll, eller
4. Europaparlamentets och rådets förordning (EU) 2019/186 av den 17 april 2019 om inrättande av ett centraliserat system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer (Ecris-TCN) för att komplettera det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister och om ändring av förordning (EU) 2018/1726. Med registerkontroll avses också att följande uppgifter hämtas.
1. Uppgifter som behandlas med stöd av lagen ( 2001:182 ) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
2. Uppgifter som förekommer i Kronofogdemyndighetens utsöknings- och indrivningsverksamhet och som behandlas med stöd av lagen ( 2001:184 ) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
3. Uppgifter om medborgarskap och uppgifter som behövs för att kunna bedöma rätten att vistas och arbeta i Sverige, som behandlas med stöd av utlänningsdatalagen (2016:27) .
4. Uppgifter som behandlas med stöd av lagen ( 2018:1693 ) om polisens behandling av personuppgifter inom brottsdatalagens område.
5. Uppgifter som behandlas med stöd av lagen ( 2018:1694 ) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
6. Uppgifter som behandlas med stöd av lagen ( 2018:1696 ) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område.
7. Uppgifter som behandlas med stöd av lagen ( 2018:1699 ) om kriminalvårdens behandling av personuppgifter inom brottsdatalagens område, dock inte uppgifter i Kriminalvårdens säkerhetsregister.
8. Uppgifter om omhändertagande enligt lagen ( 1976:511 ) om omhändertagande av personer m.m., som behandlas med stöd av vägtrafikdatalagen (2019:369) .
9. Uppgifter som behandlas med stöd av lagen ( 2019:1182 ) om Säkerhetspolisens behandling av personuppgifter.
Paragrafen anger vad som avses med registerkontroll och vilka uppgifter som kan kontrolleras. Ändringarna innebär att registerkontrollen utvidgas till att omfatta fler register och uppgifter. Övervägandena finns i huvudsak i avsnitt 7.4.1, 7.4.2, 7.4.4 och 7.5.
Ändringarna i första stycket innebär att registerkontrollen utvidgas till att, utöver uppgifter i belastningsregistret och misstankeregistret, även omfatta dels uppgifter i andra EU-medlemsstaters kriminalregister som får hämtas via det europeiska informationssystemet
för kriminalregister (Ecris). Dels sådana uppgifter som registreras i Ecris-TCN och som behövs för att identifiera de medlemsstater som har kriminalregisteruppgifter om tredjelandsmedborgare, dvs. personer som inte är unionsmedborgare eller som är statslösa eller vars medborgarskap är okänt.
Ändringarna i andra stycket innebär att registerkontrollen utvidgas till att, utöver uppgifter som behandlas hos Säkerhetspolisen och Polismyndigheten, även omfatta vissa uppgifter som behandlas hos andra myndigheter. Av bestämmelsen i första punkten, som är ny, följer att uppgifter som behandlas i Skatteverkets folkbokföringsverksamhet kan hämtas vid registerkontroll. Bestämmelsen i andra
punkten, som är ny, innebär att vissa uppgifter om den kontrollerades
ekonomiska förhållanden kan hämtas vid registerkontroll. Det rör sig om uppgifter som förekommer i Kronofogdemyndighetens utsöknings- och indrivningsverksamhet. Sådana uppgifter har tidigare endast kontrollerats inom ramen för den särskilda personutredningen. Av bestämmelsen i tredje punkten, som är ny, följer att vissa uppgifter som behandlas hos Migrationsverket kan kontrolleras. Det rör sig om beslut om arbets- och uppehållstillstånd, men också andra uppgifter som Säkerhetspolisen behöver för att kunna bedöma om den kontrollerade har rätt att vistas och arbeta i Sverige. Det kan t.ex. röra sig om uppgifter om längden på uppehållstillståndet, eller information om att Migrationsverket har initierat ett ärende om återkallelse av uppehållstillstånd. Även uppgifter om medborgarskap får hämtas. Fjärde punkten motsvarar första punkten i den tidigare lydelsen av 13 § och ändringen i denna del är endast redaktionell. Bestämmelserna i punkterna fem och sex, som är nya, innebär att uppgifter som behandlas inom ramen för Tullverkets och Skatteverkets brottsbekämpande verksamheter omfattas av kontrollen. Ändringen innebär att bl.a. underrättelseuppgifter som behandlas hos myndigheterna kan kontrolleras. Av bestämmelsen i sjunde punkten, som är ny, följer att vissa uppgifter som behandlas hos Kriminalvården omfattas av kontrollen. De uppgifter som kan vara aktuella att hämta från Kriminalvården är uppgifter om närstående och andra som har kontakt med intagna. Uppgifter i Kriminalvårdens säkerhetsregister omfattas dock inte av registerkontrollen. Bestämmelsen i åttonde
punkten, som är ny, innebär att uppgifter om omhändertaganden
enligt lagen om omhändertagande av berusade personer m.m. kan kontrolleras. Sådana uppgifter registreras i vägtrafikregistret, som
Transportstyrelsen ansvarar för. Punkten nio motsvarar andra punkten i den tidigare lydelsen av 13 § och ändringen i denna del är endast redaktionell.
14 §
Registerkontroll ska göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
För säkerhetsklass 1 eller 2 får sådana uppgifter om den kontrollerade som anges i 13 § första och andra stycket hämtas. Motsvarande uppgifter får även hämtas om den kontrollerades make, maka eller sambo.
För säkerhetsklass 3 får sådana uppgifter om den kontrollerade som
anges i 13 § första och andra stycket hämtas.
Om det finns synnerliga skäl får även andra uppgifter än sådana som anges i andra och tredje styckena hämtas.
Paragrafen anger när registerkontroll ska göras och vilka uppgifter som får hämtas vid registerkontroll för respektive säkerhetsklass. Övervägandena finns i huvudsak i avsnitt 7.4.2 och 7.5–7.
Ändringarna i andra stycket innebär att Säkerhetspolisen vid registerkontroll för säkerhetsklass 1 och 2, utöver uppgifter från belastningsregistret och misstankeregistret samt uppgifter som behandlas hos Säkerhetspolisen och Polismyndigheten, även får hämta uppgifter om domar i andra EU-medlemsländers kriminalregister och vissa uppgifter som behandlas hos Skatteverket, Kronofogdemyndigheten, Migrationsverket, Tullverket, Kriminalvården och Transportstyrelsen. Ändringen innebär vidare att möjligheten att hämta uppgifter om närstående till den kontrollerade utvidgas på motsvarande sätt.
Ändringen i tredje stycket innebär att Säkerhetspolisen vid registerkontroll för säkerhetsklass 3 får hämta samma uppgifter om den prövade som vid registerkontroll för säkerhetsklass 1 och 2. Vid registerkontroll för säkerhetsklass 3 gäller emellertid även fortsättningsvis den begräsningen att registerkontroll inte får göras avseende närstående. Ändringen innebär också att registerkontrollen som görs utan föregående placering i säkerhetsklass enligt 3 kap. 15 § utvidgas på motsvarande sätt som kontrollen för säkerhetsklass 3 (jfr 3 kap. 15 § första stycket).
17 §
En särskild personutredning ska göras vid en registerkontroll som avser sådan anställning eller annat deltagande i verksamhet som har placerats i säkerhetsklass 1 eller 2. Utredningen ska omfatta en fördjupad undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs i det enskilda fallet.
Paragrafen reglerar när särskild personutredning ska göras och vad en sådan utredning ska innehålla. Övervägandena finns i avsnitt 7.9.
Ändringen i paragrafens andra mening är en följd av att vissa uppgifter som rör ekonomiska förhållanden ska få hämtas inom ramen för registerkontrollen (jfr kommentaren till 3 kap. 13 §). Någon ändring i sak är inte avsedd, och ändringen innebär inte en utvidgning av den särskilda personutredningen.
Genom ändringen i paragrafens tredje mening förtydligas att bedömningen av vad en särskild personutredning ska innehålla ska utgå från omständigheterna i det enskilda fallet. Med detta avses att personutredningens omfattning ska anpassas utifrån vilken säkerhetsklass som befattningen är placerad i och vad som i övrigt har framkommit om den säkerhetskänsliga verksamheten och den enskildes förhållanden.
4 kap. Säkerhetsskyddsavtal och anmälningsplikt
1 a §
En verksamhetsutövare som har genomfört en upphandling, ingått ett avtal, inlett en samverkan eller ett samarbete med en annan aktör ska utan dröjsmål anmäla det till tillsynsmyndigheten, om
1. förfarandet innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, och
2. förfarandet inte omfattas av ett krav på säkerhetsskyddsavtal enligt 1 §. Första stycket gäller inte för sådana förfaranden som har undantagits från skyldigheten att ingå säkerhetsskyddsavtal med stöd av 2 eller 6 §§.
Paragrafen, som är ny, innehåller bestämmelser om anmälningsskyldighet för vissa pågående förfaranden. Övervägandena finns i avsnitt 4.4.2.
Av första stycket framgår vilka sorters förfaranden som omfattas av anmälningsskyldigheten. Det rör sig om sådana avtal och andra former av samverkan eller samarbeten som regleras i 4 kap. 1 §, men som av olika anledningar inte omfattas av skyldigheten att ingå säkerhetsskyddsavtal. Det kan t.ex. handla om förfaranden som har inletts innan bestämmelsen i 4 kap. 1 § trädde i kraft, eller vid en tidpunkt då den aktuella verksamheten inte omfattades av säkerhetsskyddslagen. Även sådana förfaranden där aktörerna har ingått säkerhetsskyddsavtal med stöd av den numera upphävda bestämmelsen i 2 kap. 6 § säkerhetsskyddslagen omfattas av anmälningsplikten.
Av andra stycket framgår att samverkan och samarbeten mellan statliga myndigheter, samt sådana förfaranden som har undantagits från skyldigheten att ingå säkerhetsskyddsavtal genom föreskrifter eller beslut meddelade av regeringen inte omfattas av anmälningsskyldigheten.
Anmälan ska göras till den myndighet som utövar tillsyn enligt 8 kap. 1 § säkerhetsskyddsförordningen (2021:955) och ska ske utan dröjsmål. Den som omfattas av anmälningsplikten när paragrafen träder i kraft ska ge in anmälan senast den 1 januari 2027 (jfr punkt 4 i övergångsbestämmelserna) och kan därmed inte anses vara i dröjsmål förrän efter detta datum. En fullgjord anmälningsplikt är inte en förutsättning för att tillsyn ska kunna ske.
Regler om sanktionsavgift för den som försummar anmälningsplikten finns i 7 kap. 1 §.
12 §
Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 1 § eller anmälningsplikt enligt 1 a § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut får förenas med vite.
Paragrafen innehåller bestämmelser om förelägganden som kan riktas mot en verksamhetsutövare eller dennes motpart under ett pågående förfarande. Övervägandena finns i avsnitt 4.4.1.
Ändringen innebär att tillämpningsområdet för paragrafen utvidgas. Paragrafen var tidigare begränsad till att gälla förfaranden som omfattas av skyldigheten att ingå säkerhetsskyddsavtal enligt
4 kap. 1 §. Genom ändringen utvidgas möjligheten att ingripa mot pågående förfaranden till att även gälla sådana förfaranden som omfattas av anmälningsplikten enligt den nya 4 kap. 1 a §. Ingripandemöjligheten omfattar därmed alla pågående förfaranden i form av upphandlingar, avtal, samverkan eller samarbeten som en verksamhetsutövare har med en annan aktör, om förfarandet innebär att den andra aktören får tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Dock inte sådana förfaranden som har undantagits från skyldigheten att ingå säkerhetsskyddsavtal med stöd av 4 kap. 2 eller 6 §§.
Utvidgningen av tillämpningsområdet innebär bl.a. att tillsynsmyndigheten kan förelägga en verksamhetsutövare att ingå säkerhetsskyddsavtal eller vidta andra åtgärder enligt 4 kap. även om förfarandet inte kräver säkerhetsskyddsavtal. Ett säkerhetsskyddsavtal som ingås till följd av ett föreläggande enligt 4 kap. 12 § ska i rättsligt hänseende likställas med säkerhetsskyddsavtal som ingås med stöd av 4 kap. 1 §. De bestämmelser och föreskrifter som gäller för säkerhetsskyddsavtal enligt 1 § ska därmed tillämpas även i förhållande till säkerhetsskyddsavtal som ingås med stöd av ett föreläggande enligt 12 §. Detta innebär att ett säkerhetsskyddsavtal som ingås till följd av ett föreläggande enligt 12 § kan läggas till grund för beslut om placering i säkerhetsklass och säkerhetsprövning. Detsamma gäller när en verksamhetsutövare föreläggs att vidta andra åtgärder enligt 4 kap. (samråd med tillsynsmyndigheten, eller att göra en särskild säkerhetsskyddsbedömning eller lämplighetsprövning).
Förutsättningarna för att vidta åtgärder med stöd av paragrafen är oförändrade, och ingripandemöjligheten begränsas även fortsättningsvis ytterst av kravet på proportionalitet. Beslutens innehåll begränsas alltjämt enbart av kravet på att föreläggandet eller förbudet ska avse åtgärder som behövs för att förhindra skada för Sveriges säkerhet.
6 kap. Tillsyn
1 §
Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet.
Tillsynsmyndigheten ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos den andra aktören i
ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 4 kap. 1 § eller anmälningsplikt enligt 4 kap. 1 a §.
Paragrafen innehåller bl.a. bestämmelser om vilka aktörer som kan bli föremål för tillsyn. Övervägandena finns i avsnitt 4.4.3.
Ändringen i andra stycket, som är en följd av utvidgningen av ingripandemöjligheten i 4 kap. 12 §, innebär att möjligheten för tillsynsmyndigheten att utöva tillsyn hos andra än verksamhetsutövare inte längre är begränsad till aktörer som verksamhetsutövaren har ingått säkerhetsskyddsavtal med, utan även omfattar den andra aktören i förfaranden som enligt den nya 4 kap. 1 a § ska anmälas till tillsynsmyndigheten. Ändringen innebär också att den andra aktören i ett förfarande som omfattas av skyldigheten att ingå säkerhetsskyddsavtal kan bli föremål för tillsyn även om ett sådant avtal inte har ingåtts.
Syftet med tillsynen hos andra än verksamhetsutövaren är även fortsättningsvis att kontrollera att verksamhetsutövaren uppfyller sina skyldigheter enligt säkerhetsskyddslagen.
6 §
Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt denna lag och föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om föreläggande får förenas med vite.
Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, om ett sådant underlag behövs för att tillsynsmyndigheten ska kunna bedöma om ett pågående förfarande som omfattas av anmälningsplikt enligt 4 kap. 1 a § är olämpligt från säkerhetsskyddssynpunkt. Ett sådant beslut om föreläggande får förenas med vite.
Paragrafen reglerar tillsynsmyndighetens möjlighet att besluta om åtgärdsförelägganden i samband med tillsyn. Övervägandena finns i avsnitt 4.4.3.
I paragrafen har det införts ett nytt andra stycke som innebär att tillsynsmyndigheten får förelägga en verksamhetsutövare att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning avseende vissa förfaranden som inte omfattas av skyldigheterna i 4 kap. 7 och 8 §§. Det handlar om sådana förfaranden som omfattas av anmälningsplikten i den nya 4 kap. 1 a §. Ändringen är en följd av utvidgningen av ingripandemöjligheten i 4 kap. 12 §, och beslut om förelägganden med stöd av bestämmelsen förutsätter att underlaget behövs för att kunna bedöma om förfarandet är olämpligt från säkerhetsskyddssynpunkt. Innebörden av begreppen särskild säkerhetsskyddsbedömning och lämplighetsprövning är densamma som i 4 kap., och en skyldighet att vidta åtgärder till följd av ett föreläggande enligt denna bestämmelse ska i rättligt hänseende likställas med åtgärder enligt 4 kap. 7 och 8 §§ (jfr kommentaren till 4 kap. 12 §).
Ett föreläggande enligt andra stycket får förenas med vite. När vite föreläggs är lagen (1985:206) om viten tillämplig.
Åtgärder vid fara i dröjsmål
Interimistiska förelägganden
7 §
Om det finns särskilda skäl får ett föreläggande enligt 4 kap. 12 § eller 6 kap. 6 § beslutas för tiden till dess att frågan om åtgärder enligt denna lag slutligt har avgjorts eller något annat beslutats.
Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att besluta om interimistiska förelägganden i samband med tillsyn. Övervägandena finns i avsnitt 6.3.
Bestämmelsen innebär att tillsynsmyndigheten redan på utredningsstadiet, dvs. innan ett tillsynsärende är utredningsmässigt klart, kan besluta interimistiskt om ett föreläggande under pågående förfarande enligt 4 kap. 12 §, eller ett åtgärdsföreläggande enligt 6 kap. 6 §.
För att ett interimistiskt föreläggande ska få beslutas krävs att det föreligger särskilda skäl. Avsikten är att interimistiska förelägg-
anden ska användas i allvarligare situationer som kan få negativa konsekvenser av betydelse om inte aktören omedelbart åläggs att vidta vissa åtgärder. Kravet innebär att det måste finnas objektivt godtagbara skäl av tyngd för en sådan åtgärd. Bedömningen av om det föreligger särskilda skäl bör i första hand utgå från den potentiella skadan för Sveriges säkerhet. Andra faktorer som bör beaktas är hur brådskande åtgärden är och om det finns risk för oåterkalleliga effekter. Kravet på att åtgärden ska vara proportionerlig, som bl.a. följer av 5 § tredje stycket förvaltningslagen (2017:900), innebär att hänsyn också ska tas till effekterna för den som beslutet gäller, och att åtgärden inte får gå längre än vad som är nödvändigt i det enskilda fallet.
Att interimistiska förelägganden får förenas med vite följer av hänvisningen till bestämmelserna i 4 kap. 12 § och 6 kap. 6 §.
Beslut om interimistiska förelägganden kan överklagas i samma ordning som beslut om definitiva förelägganden. Åtgärdsförelägganden överklagas till Förvaltningsrätten i Stockholm. Beslut om förelägganden under pågående förfaranden överklagas till regeringen. (Se 8 kap. 4 § tredje stycket.)
Tvångsåtgärder
8 §
Förvaltningsrätten i Stockholm får, på ansökan av tillsynsmyndigheten, besluta om tvångsåtgärder mot en aktör som har blivit eller som kan antas bli föremål för föreläggande eller förbud enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §, om åtgärden behövs för att säkerställa ändamålet med föreläggandet eller förbudet.
En åtgärd enligt första stycket får avse – eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom, och
– försegling av lokal, förvaringsplats eller annat utrymme. Med föreläggande enligt första stycket avses även interimistiska förelägganden som beslutas med stöd av 7 §.
Paragrafen, som är ny, innehåller bestämmelser om tvångsåtgärder i samband med föreläggande eller förbud enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §. Övervägandena finns i avsnitt 6.4.
Genom införandet av 6 kap. 8–23 §§ skapas en möjlighet att använda tvångsåtgärder inom ramen för tillsynsärenden enligt säkerhetsskyddslagen.
I paragrafens första stycke ges förutsättningarna för att besluta om tvångsåtgärder. Tvångsåtgärder får beslutas om det behövs för att säkerställa ändamålet med ett föreläggande eller förbud enligt de i paragrafen uppräknade bestämmelserna. Syftet med åtgärderna är att det ska finnas en möjlighet att – i situationer där det finns en påtaglig risk för Sveriges säkerhet som behöver åtgärdas skyndsamt – se till att förelägganden och förbud får effekt direkt. Frågan om tvångsåtgärder i samband med förelägganden enligt 6 kap. 6 § bör i första hand aktualiseras vid allvarliga brister i säkerhetsskyddet eller i situationer där verksamhetsutövaren av andra skäl inte förmår skydda verksamheten. Tvångsåtgärder i samband med föreläggande eller förbud enligt 4 kap. 11 eller 12 § bör i första hand aktualiseras i situationer där verksamhetsutövaren eller motparten i ett pågående förfarande vidtar åtgärder, eller agerar på ett sätt som gör att det finns anledning att anta att de kommer att vidta åtgärder, i strid med föreläggandet eller förbudet.
Kravet på att tvångsåtgärden ska vara nödvändig för att säkerställa innehållet i ett föreläggande eller förbud innebär att åtgärden ska kunna knytas till ett åläggande mot den aktuella aktören. Det uppställs emellertid inget krav på att det ska finnas ett beslutat föreläggande eller förbud för att tvångsåtgärder ska kunna vidtas. Det räcker med att det kan antas att aktören kommer att bli föremål för ett föreläggande eller förbud. En sådan ordning har bedömts vara nödvändig för att verktyget ska bli effektivt och kunna användas även i ett tidigt skede av ett tillsynsärende. Beviskravet kan antas innebär att tillsynsmyndigheten måste kunna peka på någon konkret omständighet som talar för att det krävs åtgärder enligt 4 kap. 11 eller 12 § eller 6 kap. 6 §. För att domstolen ska kunna bedöma om åtgärden behövs, krävs vidare att tillsynsmyndigheten kan precisera vilka säkerhetsskyddsåtgärder som behöver vidtas.
Beslut om tvångsåtgärder fattas av Förvaltningsrätten i Stockholm, efter ansökan från tillsynsmyndigheten.
I paragrafens andra stycke finns en uppräkning av de tvångsåtgärder som kan beslutas. Det rör sig om eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom, och försegling av lokal, förvaringsplats eller annat utrymme. Frågan om i vilka utrymmen egendom får eftersökas regleras i 6 kap. 9 §. Möjligheten att försegla utrymmen syftar i första hand till att säkra sådan egendom som ska tas omhand. Försegling bör därför som utgångspunkt bara ske under
en kortare tid och om möjligt ska inte hela lokalen förseglas om den behövs för den fortsatta driften av en verksamhet. Försegling av bostadsutrymmen bör, med hänsyn till skyddet för den enskildes hem som gäller enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), bara kunna bli aktuellt i mycket särpräglade undantagssituationer.
I paragrafens tredje stycke förtydligas att med föreläggande avses även interimistiska förelägganden som beslutas med stöd av 6 kap. 7 §.
Proportionalitetsprincipen är tillämplig vid beslut om tvångsåtgärder. Principen innebär bl.a. att en åtgärd inte får vara mer långtgående än vad som behövs och endast får vidtas om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (jfr 6 kap. 12 §). När tillsynsmyndigheten överväger om ansökan om tvångsåtgärder ska göras eller beslut om tvångsåtgärder ska fattas, måste även beaktas den inom säkerhetsskyddet grundläggande principen om att det är verksamhetsutövaren som ansvarar för säkerhetsskyddet i sin verksamhet. Möjligheten att ansöka och besluta om tvångsåtgärder bör därmed användas restriktivt.
Beslut om tvångsåtgärder kan överklagas. Prövningstillstånd krävs inte för överklagande till kammarrätten (jfr 34 a § förvaltningsprocesslagen [1971:291] och 8 kap. 4 §).
9 §
Handling eller annan egendom får eftersökas i verksamhetslokaler som disponeras av aktören som beslutet gäller.
Eftersökning av handling eller annan egendom får dock även genomföras i andra lokaler, förvaringsplatser eller utrymmen om det finns särskild anledning att anta att handlingen eller egendomen finns i utrymmet.
Paragrafen, som är ny, reglerar i vilka utrymmen som handlingar eller annan egendom får eftersökas. Övervägandena finns i avsnitt 6.4.2.
Av paragrafens första stycke följer att handlingar och annan egendom som kan bli föremål för tillfälligt omhändertagande enligt 6 kap. 8 § får eftersökas i verksamhetslokaler som disponeras av aktören som beslutet gäller. Med verksamhetslokal avses även markområden, transportmedel, förvaringsplatser och andra utrymmen som dispo-
neras eller kan antas disponeras i verksamheten (jfr 3 kap. 18 § andra stycket skatteförfarandelagen [2011:1244]).
I paragrafens andra stycke ges förutsättningarna för att eftersöka handlingar eller annan egendom i en lokal, på en förvaringsplats eller i ett annat utrymme som inte är en del av aktörens verksamhetslokaler. För att sådana utrymmen ska få genomsökas krävs, utöver att förutsättningarna i 6 kap. 8 § är uppfyllda, att det finns särskild anledning att anta att egendomen finns i lokalen, på förvaringsplatsen eller i utrymmet. Detta innebär att det ska finnas något som talar för att egendomen finns där och att det inte får vara fråga om något planlöst letande. Eftersom eftersökande och omhändertagande på annan plats än i verksamhetslokaler typiskt sett är mycket integritetskränkande bör denna möjlighet tillämpas med försiktighet, och vid bedömningen av sådana åtgärder får dessutom proportionalitetsprincipen stort genomslag. Det skydd för den enskildes hem som gäller enligt artikel 8 i Europakonventionen gör att särskilt stor restriktivitet måste iakttas när det gäller att lämna medgivande till åtgärder i någons bostad. För att sådana åtgärder ska anses vara proportionerliga kan det krävas att domstolen uppställer särskilda villkor för eftersökningen, t.ex. hur länge eftersökningen får pågå eller att andra utrymmen ska kontrolleras innan eftersökning sker i en bostad.
Tillsynsmyndigheternas befogenhet att fatta interimistiska beslut får endast avse verksamhetslokaler (se 6 kap. 11 §).
10 §
Med handling avses framställning i skrift eller bild och upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas bara med tekniska hjälpmedel.
I paragrafen, som är ny, definieras begreppet handling. Med handlingar avses i bestämmelserna om tvångsåtgärder både fysiska och elektroniska handlingar. Övervägandena finns i avsnitt 6.4.2.
11 §
Om det är fara i dröjsmål och förutsättningarna för att besluta om tvångsåtgärder enligt 8 § är uppfyllda, får tillsynsmyndigheten besluta om
– eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom i verksamhetslokaler som disponeras av aktören som beslutet gäller, och
– försegling av lokal, förvaringsplats eller annat utrymme. Om tillsynsmyndigheten har beslutat om tillfälligt omhändertagande av egendom eller försegling enligt första stycket, ska ansökan om beslutade åtgärder så snart som möjligt och senast inom fem dagar lämnas in till Förvaltningsrätten i Stockholm. Om tillsynsmyndigheten inte gör någon ansökan inom föreskriven tid eller om förvaltningsrätten avslår ansökan, ska omhändertagen egendom lämnas tillbaka och förseglingar hävas.
Paragrafen, som är ny, innehåller bestämmelser om tillsynsmyndigheternas befogenhet att fatta interimistiska beslut om vissa tvångsåtgärder. Övervägandena finns i avsnitt 6.4.3.
Enligt första stycket får tillsynsmyndigheten, om förutsättningarna enligt 6 kap. 8 § är uppfyllda och det är fara i dröjsmål, besluta om eftersökande och tillfälligt omhändertagande av handlingar eller annan egendom i verksamhetslokaler som disponeras av aktören som beslutet gäller, samt försegling av lokal, förvaringsplats eller annat utrymme. Begreppet dröjsmål bör ses i ljuset av att ett beslut från förvaltningsrätten bör kunna fås inom något eller några dygn och att den som beslutet rör inte behöver underrättas om beslutet om tvångsåtgärder förrän i samband med verkställigheten (se 6 kap. 13 §).
Av andra stycket följer att om tillsynsmyndigheten har fattat ett interimistiskt beslut om tillfälligt omhändertagande av egendom eller försegling, ska myndigheten så snart som möjligt och senast inom fem dagar, ansöka om åtgärden hos Förvaltningsrätten i Stockholm. Att omhändertagen egendom ska lämnas tillbaka och förseglingar hävas om sådan ansökan inte görs eller om förvaltningsrätten avslår ansökan följer direkt av bestämmelsen och det krävs därför inte något särskilt förordnande om detta från förvaltningsrätten. Om förvaltningsrätten beslutar om tvångsåtgärder ersätter det beslutet det tillfälliga beslut som tillsynsmyndigheten har fattat.
Tillsynsmyndighetens interimistiska beslut om tvångsåtgärder kan överklagas till Förvaltningsrätten i Stockholm. Prövningstillstånd krävs inte vid överklagande till kammarrätten (se 8 kap. 4 § första stycket).
12 §
Tvångsåtgärder enligt 8 och 11 §§ får beslutas bara om skälen för beslutet uppväger det intrång eller men i övrigt som beslutet innebär för den som beslutet gäller eller för något annat motstående intresse.
Genom paragrafen förtydligas att proportionalitetsprincipen är tillämplig vid beslut om tvångsåtgärder. Övervägandena finns i avsnitt 6.4.2.
Av paragrafen framgår att domstolen och tillsynsmyndigheten inför beslut om tvångsåtgärder måste göra en proportionalitetsbedömning och pröva om skälen för åtgärden uppväger det intrång eller men i övrigt som beslutet innebär för den som beslutet gäller eller för något annat motstående intresse. En åtgärd får alltså inte vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de skador eller andra olägenheter som kan antas uppstå till följd av åtgärden. Typiskt sett handlar det om ekonomiska skador för verksamhetsutövaren och, om det rör sig om åtgärder under ett pågående förfarande, även verksamhetsutövarens motpart.
Tvångsåtgärder enligt säkerhetsskyddslagen syftar till att förhindra skada för Sveriges säkerhet och detta intresse bör väga mycket tungt vid proportionalitetsbedömningen. Det bör därför i de flesta fall krävas mycket starka skäl för att det intrång eller men som en åtgärd innebär för den enskilde ska väga över. Bedömningen kommer emellertid att påverkas av omständigheterna i det enskilda fallet och det kan inte uteslutas att det kan vara så i enskilda fall. Kravet på proportionalitet kan t.ex. få stor betydelse om det finns flera olika åtgärder att välja mellan för att uppnå ett visst resultat. Proportionalitetsbedömningen kan också innebära att en långvarig tvångsmedelsanvändning så småningom inte längre anses stå i rimlig proportion till intrånget som det innebär för den enskilde.
Proportionalitetsprincipen är en allmän rättsprincip, och kommer dessutom till uttryck i 5 § tredje stycket förvaltningslagen som gäller vid tillsynsmyndighetens handläggning av tillsynsärenden. Bestämmelsen i 12 § innebär alltså inte att principen enbart ska tillämpas vid beslut om tvångsåtgärder, utan principen ska också beaktas t.ex. vid beslut om förelägganden och förbud även om detta inte följer av en särskild bestämmelse i säkerhetsskyddslagen.
13 §
Den som ett beslut om tvångsåtgärder gäller ska omedelbart underrättas om beslutet. Underrättelse får dock ske i samband med att åtgärden verkställs om det kan befaras att underrättelse avsevärt skulle försvåra genomförandet av beslutet.
I 20 § finns bestämmelser om verkställighet av beslut om tvångsåtgärder utan att den som beslutet gäller har underrättats om beslutet.
Paragrafen, som är ny, innehåller bestämmelser om underrättelse om beslut om tvångsåtgärder. Övervägandena finns i avsnitt 6.4.3.
Av paragrafens första stycke följer att utgångspunkten är att den aktör som ett beslut om tvångsåtgärder gäller omedelbart ska underrättas om beslutet. Om det kan befaras att genomförandet av åtgärden avsevärt skulle försvåras om aktören får kännedom om beslutet, kan emellertid domstolen eller tillsynsmyndigheten förordna om att den som beslutet gäller ska underrättas om detta först i samband med verkställigheten.
I andra stycket finns en upplysning om att det i 6 kap. 20 § finns särskilda bestämmelser om verkställighet utan att den som beslutet om tvångsåtgärder gäller har underrättats om beslutet.
14 §
Ett beslut om tvångsåtgärder enligt 8 § ska upphävas helt eller delvis om det inte längre finns förutsättningar för beslutet, eller beslutet av någon annan anledning inte bör kvarstå.
Förvaltningsrätten i Stockholm ska pröva om ett beslut om tvångsåtgärder ska upphävas helt eller delvis om tillsynsmyndigheten eller den som beslutet gäller begär det eller om det annars finns skäl för det. Förvaltningsrätten ska på eget initiativ ompröva ett beslut om tvångsåtgärder var sjätte vecka.
Innan ett beslut om tvångsåtgärder enligt 8 § upphävs helt eller delvis ska tillsynsmyndigheten ges tillfälle att yttra sig.
Den som ett beslut om tvångsåtgärder gäller ska upplysas om sin rätt att begära att ett beslut ska upphävas.
Paragrafen, som är ny, innehåller bestämmelser om upphävande och omprövning av beslut om tvångsåtgärder. Övervägandena finns i avsnitt 6.4.3.
Tvångsåtgärder enligt säkerhetsskyddslagen kan behöva tillgripas i ett tidigt skede av ett tillsynsärende. Om den fortsatta utredningen visar att beslutet bygger på felaktiga förutsättningar måste beslutet
snabbt kunna ändras. Bestämmelserna i paragrafen, tillsammans med bestämmelsen i 6 kap. 15 §, syftar till att skapa garantier för att en tvångsåtgärd inte blir bestående längre än nödvändigt.
Av första och andra stycket följer att Förvaltningsrätten i Stockholm kontinuerligt ska övervaka att det finns förutsättningar för åtgärden och att denna inte består under en längre tid än vad som är nödvändigt, samt att domstolen ska upphäva beslutet om förutsättningarna för åtgärden inte längre är uppfyllda eller om beslutet av någon annan anledning inte bör kvarstå. Av bestämmelserna följer också att förvaltningsrätten regelbundet ska göra en formell omprövning av beslutet.
Av tredje stycket följer att domstol inte får upphäva ett beslut om tvångsåtgärder utan att först ge tillsynsmyndigheten tillfälle att yttra sig.
Av fjärde stycket följer att den aktör som beslutet gäller ska upplysas om sin rätt att begära att ett beslut ska upphävas. Syftet med detta är att förtydliga för den aktuella aktören att möjligheten till ändring inte är stängd när tiden för överklagande har gått ut. Förvaltningsrätten ska alltså i varje beslut om tvångsåtgärder upplysa om rätten att begära hävning. Även kammarrätten och Högsta förvaltningsdomstolen bör upplysa om rätten i sina beslut.
15 §
Tillsynsmyndigheten ska omedelbart begära att ett beslut om tvångsåtgärder enligt 8 § ska upphävas om det inte längre finns skäl för beslutet.
I paragrafen, som är ny, regleras skyldigheten för tillsynsmyndigheterna att begära att ett beslut om tvångsåtgärder ska upphävas. Övervägandena finns i avsnitt 6.4.3.
Syftet med bestämmelsen är att tvångsåtgärder inte ska bestå längre än nödvändigt. Eftersom det är tillsynsmyndigheten som ansvarar för det tillsynsärende som ligger till grund för beslutet om tvångsåtgärder ankommer det på myndigheten att genast underrätta domstolen om ändrade förhållanden som innebär att tvångsåtgärden inte längre bör kvarstå.
16 §
När ett beslut om tvångsåtgärder enligt 8 § upphävs ska omhändertagen egendom lämnas ut till den aktör som beslutet gäller. Omhändertagen egendom får dock lämnas ut till en annan aktör om tillsynsmyndigheten begär det, och det framgår av ett lagakraftvunnet beslut att egendomen ska överlämnas till den andra aktören.
Paragrafen, som är ny, innehåller bestämmelser om utlämnande av omhändertagen egendom. Övervägandena finns i avsnitt 6.4.3.
Av första meningen följer att huvudregeln när ett beslut om tillfälligt omhändertagande av egendom upphävs är att egendomen ska återlämnas till den aktör som har varit föremål för beslutet.
Enligt andra meningen finns emellertid utrymme att i vissa situationer lämna ut egendomen till en annan aktör. Bestämmelsen tar sikte på situationer där tvångsåtgärden grundar sig i ett föreläggande enligt 4 kap. 12 § varigenom verksamhetsutövarens motpart i ett pågående förfarande åläggs att återlämna handlingar eller annan egendom till verksamhetsutövaren. För att ändamålet med ett sådant föreläggande ska kunna säkerställas krävs att egendomen (som har omhändertagits från motparten) får lämnas ut till verksamhetsutövaren. Så får, enligt bestämmelsen, ske om det framgår av ett lagakraftvunnet beslut att egendomen ska lämnas ut till verksamhetsutövaren och tillsynsmyndigheten begär att egendomen ska lämnas ut till verksamhetsutövaren. Ett beslut enligt andra meningen får inte överklagas.
Gemensamma bestämmelser
17 §
Beslut enligt 7, 8 och 11 §§ gäller omedelbart.
Av paragrafen, som är ny, framgår att beslut om interimistiska förelägganden och tvångsåtgärder gäller omedelbart. Övervägandena finns i avsnitt 6.4.3.
18 §
Ärenden och mål som rör åtgärder enligt 7, 8 och 11 §§ ska handläggas skyndsamt.
Genom paragrafen, som är ny, uppställs ett skyndsamhetskrav för handläggningen av ärenden och mål som rör interimistiska förelägganden eller tvångsåtgärder. Övervägandena finns i avsnitt 6.4.3.
Verkställighet
19 §
Beslut om tvångsåtgärder enligt 8 och 11 §§ verkställs av Kronofogdemyndigheten på ansökan av tillsynsmyndigheten. Tillsynsmyndigheten får dock verkställa beslut enligt 11 §, om det kan ske obehindrat.
Om det är fara i dröjsmål eller om det av annan anledning bedöms vara lämpligt, får beslut om tvångsåtgärder enligt 8 och 11 §§ verkställas av Säkerhetspolisen.
Paragrafen, som är ny, innehåller bestämmelser om verkställighet av beslut om tvångsåtgärder. Övervägandena finns i avsnitt 6.4.4.
Av första stycket följer att utgångspunkten är att beslut om tvångsåtgärder verkställs av Kronofogdemyndigheten, på ansökan av tillsynsmyndigheten. Tillsynsmyndigheten får emellertid verkställa interimistiska beslut om tvångsåtgärder i verksamhetslokaler (som fattas av tillsynsmyndigheten), om det kan ske obehindrat. Genom befogenheten ges tillsynsmyndigheten möjlighet att hantera helt okomplicerade verkställighetsärenden. Så fort det blir fråga om någon form av våld eller motstånd måste myndigheten anlita Kronofogdemyndigheten (eller Säkerhetspolisen) för att verkställa beslutet. Motståndet behöver inte vara aktivt utan det räcker med att den som beslutet gäller exempelvis hindrar verkställighet genom att ställa sig framför ett skåp eller en dörr. Även hot om våld eller motstånd bör medföra att tillsynsmyndigheten avstår från att genomföra åtgärden.
Genom andra stycket ges Säkerhetspolisen möjlighet att verkställa beslut om tvångsåtgärder i situationer där det är fara i dröjsmål och verkställighet genom Kronofogdemyndighetens försorg inte kan inväntas. Det kan också finnas andra situationer där det, med hänsyn till ärendets karaktär, framstår som lämpligt att Säkerhets-
polisen verkställer beslut om tvångsåtgärder. Säkerhetspolisen har därför även getts möjlighet att verkställa beslut om tvångsåtgärder om det av andra skäl bedöms vara lämpligt.
20 §
Beslut om tvångsåtgärder enligt 8 och 11 §§ får verkställas utan att den som beslutet gäller har underrättats om beslutet om det finns synnerliga skäl för att avvakta med underrättelsen. Om den som beslutet gäller inte har underrättats om beslutet innan det verkställts, ska underrättelse lämnas omedelbart efter verkställigheten.
Paragrafen, som är ny, innebär att beslut om tvångsåtgärder får verkställas utan att den som beslutet gäller underrättas i förväg, om det finns synnerliga skäl för att avvakta med underrättelsen. Övervägandena finns i avsnitt 6.4.4.
21 §
Ett beslut om tvångsåtgärder enligt 8 § upphör att gälla om verkställigheten inte har påbörjats inom en månad från dagen för beslutet.
Paragrafen, som är ny, innebär att beslut om tvångsåtgärder måste verkställas inom en månad från dagen för beslutet. Övervägandena finns i avsnitt 6.4.4.
22 §
Vid verkställighet enligt 19 § får Kronofogdemyndigheten och Säkerhetspolisen genomsöka en lokal, en förvaringsplats eller ett annat utrymme.
Om ett utrymme som behöver genomsökas är tillslutet får Kronofogdemyndigheten och Säkerhetspolisen öppna lås eller ta sig in på annat sätt. Myndigheterna får även i övrigt använda tvång om det kan anses befogat med hänsyn till omständigheterna. Våld mot person får dock användas bara om myndigheten möter motstånd och det med hänsyn till ändamålet med beslutet om tvångsåtgärder kan anses försvarligt.
Paragrafen, som är ny, innehåller bestämmelser om befogenheter vid verkställigheten av beslut om tvångsåtgärder. Övervägandena finns i avsnitt 6.4.4.
Paragrafen anger vilka befogenheter Kronofogdemyndigheten och Säkerhetspolisen har vid verkställighet av beslut om tvångsåtgärder. Bestämmelserna stämmer i stort överens med 2 kap. 17 § utsökningsbalken, där Kronofogdemyndighetens befogenhet att använda tvångsmedel vid förrättning regleras.
Paragrafen ger inte tillsynsmyndigheterna några befogenheter. Detta eftersom tillsynsmyndigheterna bara får verkställa beslut om det kan ske obehindrat (jfr kommentaren till 6 kap. 19 §).
23 §
Vid verkställighet får tekniska hjälpmedel som finns där beslutet verkställs användas om det är nödvändigt.
Paragrafen, som är ny, möjliggör användning av tekniska hjälpmedel som finns där ett beslut om tvångsåtgärder verkställs, om det är nödvändigt. Bestämmelsen innebär t.ex. att datorer som finns på platsen för verkställigheten får användas vid eftersökning av elektroniska handlingar. Begreppet tekniskt hjälpmedel bör ges en vid betydelse (jfr prop. 1993/94:151 s. 162). Övervägandena finns i avsnitt 6.4.4.
7 kap. Administrativa sanktionsavgifter
1 §
Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som
1. har åsidosatt sina skyldigheter enligt någon av
a) 2 kap. 1 § första eller andra stycket, 5 §, 6 § första stycket eller 7 § eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
b) 3 kap. 1–4, 4 e eller 6–9 §§ eller 11 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
c) 4 kap. 1, 1 a eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna,
2. inte har kontrollerat säkerhetsskyddet i den egna verksamheten enligt 2 kap. 1 § tredje stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
3. inte har kontrollerat att motparten följer säkerhetsskyddsavtalet enligt 4 kap. 5 § första stycket eller föreskrifter som har meddelats i anslutning till den bestämmelsen,
4. har inlett ett förfarande i strid med ett förbud som har meddelats med stöd av 4 kap. 11 § eller har genomfört en överlåtelse i strid med ett förbud som har meddelats med stöd av 4 kap. 17 §, eller
5. har lämnat oriktiga uppgifter i samband med samråd enligt 4 kap. 9 eller 15 § eller tillsyn.
Paragrafen reglerar uttömmande vid vilka överträdelser en sanktionsavgift får tas ut av en verksamhetsutövare. Övervägandena finns i avsnitt 4.4.2 och 7.8.
Ändringen i punkten 1 b) innebär att tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som åsidosätter anmälningsskyldigheten enligt 3 kap. 4 e §, som innebär att vissa säkerhetsprövningsbeslut utan dröjsmål ska anmälas till Säkerhetspolisen.
Ändringen i punkten 1 c) innebär att tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som åsidosätter anmälningsskyldigheten enligt 4 kap. 1 a §, som innebär att vissa pågående förfaranden utan dröjsmål ska anmälas till tillsynsmyndigheten.
8 kap. Övriga bestämmelser
4 §
Beslut om föreläggande enligt 4 kap. 9 och 15 §§ och 6 kap. 4 och 6 §§,
tvångsåtgärder enligt 6 kap. 11 § eller sanktionsavgift enligt 7 kap. får över-
klagas till Förvaltningsrätten i Stockholm. När ett sådant beslut överklagas är tillsynsmyndigheten motpart. Prövningstillstånd krävs vid överklagande till kammarrätten, dock inte vid överklagande av beslut om tvångsåtgärder
enligt 6 kap. 11 §.
Beslut om förbud enligt 4 kap. 11, 17 och 18 §§ och föreläggande enligt 4 kap. 12 och 19 §§ får överklagas till regeringen.
Vad som sägs om rätten att överklaga förelägganden enligt första och andra stycket gäller även för interimistiska förelägganden som har meddelats med stöd av 6 kap. 7 §.
Andra beslut enligt denna lag får inte överklagas.
Paragrafen innehåller bestämmelser om överklagande. Övervägandena finns i avsnitt 6.3.3 och 6.4.3.
Ändringarna i första stycket innebär att interimistiska beslut om tvångsåtgärder, som fattas av tillsynsmyndigheten, får överklagas
till Förvaltningsrätten i Stockholm. Prövningstillstånd krävs inte för överklagande till kammarrätten.
Det införs ett nytt tredje stycke där det förtydligas att beslut om interimistiska förelägganden enligt 6 kap. 7 § överklagas i samma ordning som slutliga beslut om förelägganden. Detta innebär att interimistiska förelägganden under pågående förfaranden överklagas till regeringen och att interimistiska åtgärdsförelägganden överklagas till Förvaltningsrätten i Stockholm.
1. Denna lag träder i kraft den dag som regeringen bestämmer i fråga om 3 kap. 13 § första stycket 4 och i övrigt den 1 juli 2026.
2. Regeringen får meddela de övergångsbestämmelser som behövs när 3 kap. 14 § första stycket 4 träder i kraft.
3. Bestämmelserna i 3 kap. 13 och 14 §§ i den nya lydelsen tillämpas även för registerkontroller som har påbörjats före ikraftträdandet.
4. Den som omfattas av 4 kap. 1 a § vid ikraftträdandet ska senast den 1 januari 2027 har inkommit med anmälan till tillsynsmyndigheten.
5. Bestämmelsen i 4 kap. 12 § i den nya lydelsen tillämpas även för pågående förfaranden som har inletts före ikraftträdandet.
Ikraftträdande- och övergångsbestämmelser
Av bestämmelsen i punkt 1 följer att ändringarna, med undantag för den nya bestämmelsen i 3 kap. 13 § första stycket 4, träder i kraft den 1 juli 2026. Bestämmelsen i 13 § första stycket 4, som rör inhämtande av uppgifter från Ecris-TCN vid registerkontroll, träder i stället i kraft den dag som regeringen bestämmer (jfr ikraftträdandebestämmelsen till lagen [2022:733] med kompletterande bestämmelser till EU:s förordning om Ecris-TCN). Av punkt 2 följer att regeringen får meddela de övergångsbestämmelser som behövs när bestämmelsen i 13 § första stycket 4 träder i kraft. Punkterna behandlas i avsnitt 8.1.
Enligt punkt 3 ska bestämmelserna i 3 kap. 13 och 14 §§ i den nya lydelsen tillämpas även avseende registerkontroller som har påbörjats före ikraftträdandet. Punkten behandlas i avsnitt 8.2.1.
Av punkt 4 följer att den som omfattas av anmälningsskyldigheten i den nya 4 kap. 1 a § vid ikraftträdandet ska inkomma med anmälan senast den 1 januari 2027. Punkten behandlas i avsnitt 8.2.2.
Genom punkt 5 förtydligas att bestämmelsen i 4 kap. 12 § i den nya lydelsen får tillämpas även i förhållande till pågående förfaranden som har inletts före ikraftträdandet. Punkten behandlas i avsnitt 8.2.2.
Kommittédirektiv 2023:152
Förbättrade möjligheter att skydda Sveriges säkerhet
Beslut vid regeringssammanträde den 26 oktober 2023
Sammanfattning
En särskild utredare ska föreslå åtgärder för att stärka kontrollen av skyddsvärd verksamhet. Syftet med uppdraget är att öka förmågan att möta förändrade förhållanden som innebär ett hot mot Sveriges säkerhet.
Utredaren ska bl.a.
- föreslå en ordning för hur en statlig myndighet ska kunna ingripa i avtalsförhållanden och andra pågående förfaranden som av säkerhetsskäl behöver avslutas eller på annat sätt förändras,
- analysera förutsättningarna för ett system där enskilda verksamhetsutövare ska kunna få ersättning för kostnader som uppstått på grund av ett statligt ingripande i en avtalsrelation eller annat pågående förfarande,
- föreslå ett system med tvångsåtgärder i säkerhetsskyddslagen som ska kunna tillämpas vid fara i dröjsmål i samband med aktiviteter som kan skada Sveriges säkerhet,
- kartlägga och föreslå vilka register som Säkerhetspolisen bör kunna inhämta uppgifter från vid registerkontroll, och
- lämna nödvändiga författningsförslag.
Uppdraget ska redovisas senast den 29 november 2024.
Uppdraget att utveckla möjligheten för staten att ingripa i förfaranden som kan vara skadliga för Sveriges säkerhet
Det säkerhetspolitiska läget både globalt och i Sveriges närhet har försämrats de senaste åren och präglas av instabilitet. Sedan flera år tillbaka finns en breddad och förhöjd hotbild mot Sverige och svenska intressen. Säkerhetshotet från främmande makt är påtagligt. Flera stater utmanar internationella normer och utför kontinuerligt operationer och påtryckningar för att påverka opinioner, politiska beslut eller ekonomiska förhållanden i andra länder. Inom ramen för hotbilden sker dagligen incidenter, underrättelseinhämtning och angrepp, såväl lagliga som olagliga, riktade mot enskilda och offentliga aktörer eller mot det svenska samhället i stort.
Det försämrade omvärldsläget ställer särskilt höga krav på de verksamhetsutövare som ansvarar för viktiga funktioner i samhället, t.ex. infrastruktur samt produktion och transporter av nödvändiga varor och tjänster, och som löpande träffar avtal med andra aktörer, inte sällan utländska aktörer. De aktörer som bedriver de mest skyddsvärda verksamheterna i samhället omfattas av reglerna i säkerhetsskyddslagen (2018:585). Sådana verksamhetsutövare måste noggrant och kontinuerligt analysera behoven av säkerhetsskyddsåtgärder, men det krävs också att regelverket är anpassat för att förhållanden snabbt kan förändras.
Det har under senare tid uppstått situationer där avtalsförhållanden och liknande förfaranden, som ursprungligen inte omfattats av säkerhetsskyddslagens krav, kommit att innebära risker för Sveriges säkerhet. Det kan röra sig om avtal som har löpt under en längre tid och varit oproblematiska ur ett säkerhetsperspektiv vid tidpunkten när de ingicks, men som reglerar förhållanden som staten på grund av det försämrade säkerhetspolitiska läget behöver kontrollera eller bevaka. Detta har rest frågor kring statens möjlighet att ingripa i sådana avtalsförhållanden för att motverka skada för Sveriges säkerhet. Det befintliga regelverket behöver därför ses över för att det ska ge ett mer heltäckande skydd för svenska säkerhetsintressen.
Vissa förfaranden omfattas i dag inte av reglerna i säkerhetsskyddslagen
Säkerhetsskyddslagen är tillämplig på verksamhet som är av betydelse för Sveriges säkerhet, så kallad säkerhetskänslig verksamhet. Det som avses är verksamhet som har en grundläggande betydelse för Sverige och där en antagonistisk handling, exempelvis i form av spioneri, sabotage eller terroristbrott, skulle kunna medföra skadekonsekvenser på nationell nivå. Dessa verksamheter kan finnas inom både det militära och det civila området. Vilka verksamheter som är av betydelse för att upprätthålla Sveriges säkerhet och vad som behöver skyddas påverkas av samhällsutvecklingen och kan alltså förändras över tid.
I säkerhetsskyddslagen finns bestämmelser som ställer krav på att verksamhetsutövare ska ingå säkerhetsskyddsavtal inför vissa förfaranden, exempelvis vid upphandling, ingående av ett avtal eller inför samverkan eller ett samarbete med en annan aktör. Ett säkerhetsskyddsavtal ska ingås om aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Av säkerhetsskyddsavtalet ska framgå vilka krav som motparten ska uppfylla för att säkerhetsskyddet ska kunna upprätthållas. Avtalet ska också reglera hur verksamhetsutövaren ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.
Verksamhetsutövare ska även göra en särskild säkerhetsskyddsbedömning och pröva lämpligheten av förfaranden som kräver säkerhetsskyddsavtal samt i vissa fall samråda med den berörda tillsynsmyndigheten. Om ett förfarande är olämpligt ur säkerhetsskyddssynpunkt kan tillsynsmyndigheten besluta att det inte får genomföras. Tillsynsmyndigheten får även utfärda förelägganden mot en verksamhetsutövare och den andra aktören i ett pågående förfarande om förfarandet omfattas av ett krav på säkerhetsskyddsavtal och är olämpligt från säkerhetsskyddssynpunkt. En sådan situation skulle kunna aktualiseras om väsentliga förhållanden som gäller exempelvis hotbilder eller den säkerhetskänsliga verksamhetens karaktär ändras efter det att förfarandet inletts.
Säkerhetsskyddslagen kan till viss del tillämpas på förfaranden som på grund av förändringar i det säkerhetspolitiska läget bedöms ha betydelse för säkerhetskänslig verksamhet, även om förfarandet inled-
ningsvis inte ansetts ha sådan betydelse. Om behov av säkerhetsskydd uppstår gäller exempelvis lagens grundläggande krav på säkerhetsskyddsanalys, säkerhetsskyddsåtgärder och säkerhetsskyddsklassificering av uppgifter (se 2 kap.1–5 §§säkerhetsskyddslagen).
Andra bestämmelser i samma lag kan dock inte tillämpas i förhållande till förfaranden som inletts innan behovet av säkerhetsskydd uppstått. Det gäller t.ex. möjligheten för en tillsynsmyndighet att enligt 4 kap. 12 § säkerhetsskyddslagen besluta om förelägganden mot en verksamhetsutövare eller dennes motpart i ett pågående förfarande. Tillsynsmyndigheterna har alltså inte möjlighet att ingripa genom förelägganden mot förfaranden som avser verksamhet som vid inledningen av förfarandet inte bedömdes vara säkerhetskänslig, men som senare kommit att bli det. Sådana förfaranden har då inte heller varit möjliga att fånga upp inom ramen för en lämplighetsprövning eller ett samråd.
Regeringen beslutade den 16 mars 2023 lagrådsremissen Ett granskningssystem för utländska direktinvesteringar till skydd för svenska säkerhetsintressen. Inte heller detta regelverk kommer att möjliggöra att en investering som gjorts före det att lagen träder i kraft kan avbrytas om den bedöms säkerhetskänslig på grund av att det säkerhetspolitiska läget därefter förändrats.
Det finns alltså ett behov av att utreda möjligheten för en statlig myndighet att ingripa mot avtalsförhållanden och andra pågående förfaranden som i dag inte omfattas av säkerhetsskyddslagens bestämmelser. Med förfaranden avses i detta sammanhang samma förhållanden som regleras i 4 kap. 1 § säkerhetsskyddslagen. Möjligheten till ingripande ska inte omfatta anställningsavtal.
Ett statligt ingripande bör endast komma i fråga vid särskilt känsliga avtal och förfaranden. Vidare måste den ingripande myndigheten noga avväga vilken typ av åtgärd som är nödvändig. Inom ramen för den bedömningen bör myndigheten även beakta risken för kostnader som kan uppstå med anledning av statens inblandning i avtalsförhållandet.
I första hand bör det övervägas om säkerhetsskyddslagens regler skulle kunna utvidgas. För detta talar även att reglerna på detta område bör hållas samman för att regelverket ska vara överskådligt för de enskilda verksamhetsutövarna och skapa en enhetlig tillämpning. Utredaren är dock fri att föreslå en annan ordning om det bedöms lämpligt.
Utredaren ska därför:
- föreslå en ordning för hur en statlig myndighet ska kunna ingripa i avtalsförhållanden och andra pågående förfaranden som av säkerhetsskäl behöver avslutas eller på annat sätt förändras, i första hand genom en utvidgning av säkerhetsskyddslagens regler,
- analysera vilka förutsättningar som ska vara uppfyllda för att åtgärder ska kunna vidtas mot ett pågående förfarande,
- föreslå vilken eller vilka statliga myndigheter som ska kunna fatta beslut om åtgärder, och
- lämna nödvändiga författningsförslag.
Förutsättningarna för en ersättningsrätt vid statliga ingripanden ska analyseras
I de situationer då det har uppstått frågor kring statens möjlighet att ingripa i avtalsförhållanden för att motverka skada för Sveriges säkerhet har det också diskuterats om enskilda bör ha rätt till ersättning vid sådana ingripanden. En ordning där staten kan ingripa i avtal och förfaranden skulle innebära att åtgärder kan vidtas på grund av orsaker utanför verksamhetsutövarens kontroll och trots att denne agerat korrekt utifrån en tidigare bedömning av det säkerhetspolitiska läget. Det reser frågan om det då även bör finnas en möjlighet till ersättning för kostnader som uppstår på grund av statens ingripande.
Att ett förfarande i förtid måste avslutas eller ändras på något annat sätt kan vara förenat med kostnader. Det kan t.ex. handla om olika typer av ekonomiska förluster som uppstår på grund av att det parterna avtalat om inte kan fullföljas eller kostnader till följd av rättsprocesser som uppstår på grund av det inträffade.
När det gäller situationer då det allmänna inskränker någons användning av mark eller byggnad finns en skyldighet i 2 kap. 15 § regeringsformen för staten att tillförsäkra den enskilde ersättning. Enligt bestämmelsen ska den enskilde tillförsäkras ersättning om inskränkningen innebär att pågående markanvändning inom berörd del av fastigheten avsevärt försvåras eller att skada uppkommer som är betydande i förhållande till värdet på denna del av fastigheten. I paragrafens tredje stycke finns dock en undantagsbestämmelse som innebär att det vid inskränkningar i användningen av mark eller byggnad
som sker av hälsoskydds-, miljöskydds- eller säkerhetsskäl gäller vad som följer av lag i fråga om rätt till ersättning. Undantagsbestämmelsen innebär att det ska göras en bedömning av om det bör finnas en rätt till ersättning när lagstiftning tas fram som medför rätt för det allmänna att inskränka användningen av mark eller byggnad av hälsoskydds-, miljöskydds- eller säkerhetsskäl.
Dessutom finns i artikel 1 i första tilläggsprotokollet till den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) bestämmelser om skydd för egendom. Med egendom avses här inte bara fast och lös egendom utan också begränsade sakrätter samt fordringar och immateriella rättigheter. Även ekonomiska intressen och förväntningar avseende utövande av näringsverksamhet omfattas av skyddet (SOU 2008:125 s. 431). Ingrepp i egendomsskyddet får bara ske i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grundsatser. Skyddet för egendom inskränker inte en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överensstämmelse med det allmännas intresse eller för att säkerställa betalning av skatter eller andra pålagor eller av böter och viten. En statlig åtgärd som innebär ett intrång i egendomsskyddet måste alltid vara proportionerlig.
Frågan om ersättning vid statligt ingripande i säkerhetsskyddssammanhang diskuterades i betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82 s. 279 f.). Utredningens slutsats var att de förslag som lämnades, t.ex. om tillsynsmyndigheternas rätt att förelägga verksamhetsutövare att vidta nödvändiga åtgärder för att förhindra skada för Sveriges säkerhet, kan komma att utgöra inskränkningar i användningen av mark eller byggnad från det allmänna enligt vad som anges i 2 kap. 15 § andra stycket regeringsformen. Utredningen gjorde bedömningen att säkerhetsskyddet är ett sådant angeläget allmänt intresse som avses i bestämmelsens första stycke och att förslagen i betänkandet var utformade på sådant sätt att proportionalitetsprincipen kan tillgodoses vid tillsynsmyndigheternas beslutsfattande.
I utredningen gjordes den samlade bedömningen att någon rätt till ersättning vid rådighetsinskränkning som grundas på säkerhetsskyddslagen inte skulle införas. Det bedömdes bli ovanligt att reglerna skulle behöva tillämpas, och omfattande ingripanden som leder till
att t.ex. ett avtalsförhållande måste avbrytas bedömdes bli oerhört sällsynta. Enligt utredningen borde förfaranden som redan från början framstår som olämpliga i många fall kunna sållas bort i vart fall under samrådsförfarandet. Det ansågs därför inte befogat att föreslå särskilda regler om en möjlighet till ersättning till verksamhetsutövare och andra som utan egen förskyllan har drabbats av skador till följd av t.ex. ett föreläggande. I stället bedömde man det tillräckligt med den möjlighet som regeringen har att ex gratia besluta om ersättning i enskilda fall, dvs. att ersättning betalas ut utan att det finns någon rättslig ersättningsskyldighet.
Formerna för ex gratia-ersättning är inte rättsligt reglerade. Sådan ersättning kan komma ifråga i situationer där förhållandena är exceptionella och kräver avvikelser från den generella normen. I allmänhet aktualiseras ex gratiaersättning i enskilda fall, och de omständigheter som ligger till grund för ersättningen är då individuella, se propositionen Statlig ersättning till personer som har fått ändrad könstillhörighet fastställd i vissa fall (prop. 2017/18:64 s. 11). Bristen på en författningsreglerad ordning som ger möjlighet till ersättning vid begränsning eller avbrott i pågående förfaranden kan innebära stora praktiska problem för berörda företag. Det kan skapa stor osäkerhet för företag om de ska förlita sig på det generella systemet med ersättning ex gratia från staten, och det finns en risk bl.a. för att investeringar på områden och i sektorer som kan bli säkerhetskänsliga uteblir. En möjlighet till ersättning som inte är författningsreglerad och därmed inte följer på förhand uppställda villkor riskerar dessutom att utgöra ett otillåtet statsstöd.
Om staten skulle ingripa mot förfaranden som ingåtts före det att nuvarande regler om lämplighetsbedömning och samrådsförfarande i säkerhetsskyddslagen trädde i kraft eller mot förfaranden som inte omfattats av krav på säkerhetsskyddsavtal blir läget ett annat. Dessa förfaranden har då t.ex. inte kunnat fångas upp innan de inleddes, varför frågan om ersättning kommer i ett annat ljus. En verksamhetsutövare som inlett ett förfarande under sådana förhållanden har inte haft anledning att överväga frågor om säkerhetsskydd. I sådana situationer, då ett statligt ingripande sker på grund av omständigheter utanför verksamhetsutövarens kontroll, framstår det som motiverat med en möjlighet till ersättning.
Eftersom utredaren nu ges i uppdrag att lämna förslag på en ordning för hur en statlig myndighet ska kunna ingripa i avtalsrelationer
och andra pågående förfaranden som av säkerhetsskäl behöver avslutas eller på annat sätt förändras är det lämpligt att samtidigt se över denna fråga.
Statens möjlighet att lämna direkt stöd till företag begränsas av EU:s statsstödsregler, som finns i artiklarna 107–109 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Eftersom en anmälningsprocess till Europeiska kommissionen om förenlighet med EUF-fördraget kan vara tidskrävande och innehålla skyddsvärd information behöver förslag om en möjlighet till ersättning till verksamhetsutövare i stället utformas på ett sådant sätt att statsstöd inte uppkommer. Så bör exempelvis vara fallet om den lagstadgade ersättningen följer av en viss tvångsåtgärd och inte medför en överkompensation för verksamhetsutövaren.
Utredaren ska därför
- bedöma om det bör införas en möjlighet för enskilda verksamhetsutövare att få ersättning för kostnader som uppstått vid ett statligt ingripande i ett pågående förfarande,
- analysera förutsättningarna för ett sådant system,
- analysera hur detta kan utformas på ett sådant sätt att statsstöd inte uppkommer, och
- lämna nödvändiga författningsförslag.
En möjlighet att vidta tvångsåtgärder bör övervägas på nytt
I betänkandet Kompletteringar till den nya säkerhetsskyddslagen konstaterades att det fanns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Vissa av bristerna som identifierades gällde säkerhetsskyddet generellt, t.ex. verksamhetsutövares tillämpning av regler om säkerhetsskydd. Andra brister avsåg förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten. Det konstaterades att det saknades tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga ur säkerhetssynpunkt.
Utredningen föreslog därför att det skulle införas särskilda skyldigheter för verksamhetsutövare inför förfaranden som kräver säker-
hetsskyddsavtal. Utredningen föreslog också, som ett komplement till dessa regler, att en tillsynsmyndighet som meddelat ett förbud eller föreläggande skulle kunna ansöka om sådana tvångsåtgärder som avses i 15 kap.1–3 §§rättegångsbalken, dvs. bl.a. kvarstad. Ansökan skulle enligt förslaget kunna beviljas om tvångsåtgärden behövdes för att ändamålet med förbudet eller föreläggandet inte skulle motverkas och det var proportionerligt med en sådan tvångsåtgärd.
Förslaget om tvångsåtgärder mötte viss remisskritik. Bland annat ansåg Riksdagens ombudsmän (JO) att bestämmelserna i 15 kap. rättegångsbalken, som är avsedda att tillämpas i tvister som avser tillvaratagande av parters enskilda rätt, var mindre lämpliga att använda när det allmänna genom en myndighet ansöker om tvångsåtgärder. Enligt JO borde ledning i stället hämtas från tvångsåtgärder där det offentliga ingriper mot enskilda. JO påtalade också att det framstod som mest förutsebart och rättssäkert att reglera de tvångsmedel det finns behov av direkt i säkerhetsskyddslagstiftningen.
Regeringen instämde delvis i de synpunkter som JO förde fram och noterade att det finns bestämmelser om tvångsåtgärder där det offentliga ingriper mot enskilda i annan lagstiftning, exempelvis på skatteområdet, som skulle kunna tjäna som förebild för en reglering om tvångsåtgärder på säkerhetsskyddsområdet. I likhet med JO såg också regeringen vissa fördelar med att samla bestämmelserna om tvångsåtgärder i en och samma lag, men konstaterade att det saknades beredningsunderlag för att överväga en sådan ordning i det aktuella lagstiftningsärendet, se propositionen Ett starkare skydd för Sveriges säkerhet (prop. 2020/21:194 s. 63).
Mot bakgrund av det säkerhetspolitiska läget finns det nu anledning att på nytt överväga frågan om tvångsåtgärder när det råder fara i dröjsmål, t.ex. då ett pågående förfarande innebär en risk för Sveriges säkerhet som kräver omedelbara åtgärder. För en sådan rätt att ingripa krävs en tydlig rättslig grund. I första hand bör det övervägas om relevanta tvångsåtgärder kan införas genom nya bestämmelser i säkerhetsskyddslagen.
Utredaren ska därför
- föreslå ett system med tvångsåtgärder, i första hand i säkerhetsskyddslagen, som ska kunna tillämpas vid fara i dröjsmål i samband med förfaranden som kan skada Sveriges säkerhet, och
- lämna nödvändiga författningsförslag.
Uppdraget att se över vilka register som bör omfattas vid en registerkontroll
Den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.
Säkerhetsprövningen ska innefatta en grundutredning. Om anställningen har placerats i säkerhetsklass, dvs. om den har bedömts innefatta moment som gör den särskilt känslig ur ett säkerhetsperspektiv, ska den även innefatta registerkontroll. Placering i säkerhetsklass ska tillämpas restriktivt och får bara ske om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Om det finns särskilda skäl, får registerkontroll av någon som ska delta i säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. En ansökan om registerkontroll ska endast göras om den som säkerhetsprövningen gäller kan antas komma att anställas eller på annat sätt delta i den aktuella verksamheten.
Med registerkontroll avses att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Med registerkontroll avses också att uppgifter hämtas som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Det är Säkerhetspolisen som utför en registerkontroll efter ansökan från den som beslutar om placering i säkerhetsklass, och registerkontroll får som huvudregel göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke till åtgärden. Ett sådant samtycke ska anses gälla också kontroller och utredningar under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. För säkerhetsklass 1 eller 2, dvs. då det bedömts att
den anställde med den befattningen kan få del av uppgifter i en högre säkerhetsskyddsklass och har möjlighet att orsaka allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet, får uppgifter även hämtas om den kontrollerades make eller sambo.
En registerkontroll utgör ett ingrepp i den enskildes personliga integritet. Uppgifter som framkommer i registerkontrollen får därför endast lämnas ut för säkerhetsprövning om de kan antas ha relevans för säkerhetsprövningen i det enskilda fallet. För att en uppgift som gäller den kontrollerades make eller sambo ska lämnas ut krävs därutöver att utlämnandet är absolut nödvändigt. Innan en uppgift lämnas ut för säkerhetsprövning ska den som uppgiften gäller även ges tillfälle att yttra sig över uppgiften om inte uppgiften omfattas av sekretess i förhållande till den enskilde.
Registerkontrollen fyller en viktig funktion i säkerhetsprövningen som ett verktyg i bedömningen av om någon kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och om personen i fråga är pålitlig från säkerhetssynpunkt. För att kontrollen ska fylla sin funktion måste den vara effektiv och ge ett relevant underlag. Det är därför viktigt att kontinuerligt se över om registerkontrollen bör utvecklas eller förändras. En utveckling av systemet för registerkontroll måste vägas mot att skyddet för enskildas personliga integritet kan upprätthållas.
Systemet med registerkontroll har i vissa sammanhang kritiserats för bristande effektivitet. Vissa uppgifter som kan ha stor betydelse för säkerhetsprövningen, däribland avsaknad av uppehållstillstånd, kan inte hämtas in med dagens system. Enligt nuvarande ordning omfattas inte heller vissa register hos centrala myndigheter, t.ex. Tullverket eller Skatteverket, av systemet för registerkontroll. Det finns därför skäl att nu överväga om registerkontrollen ska omfatta fler eller andra register än de som ingår i dag. I denna bedömning behöver ledtiderna för registerkontroller beaktas.
Utredaren ska därför
- kartlägga den registerkontroll som i dag sker enligt säkerhetsskyddslagen och bedöma vilka andra register som skulle kunna vara aktuella att inhämta uppgifter från,
- föreslå vilka register Säkerhetspolisen bör kunna inhämta uppgifter från vid en registerkontroll, och
- lämna nödvändiga författningsförslag.
Närliggande frågor
Utredaren är oförhindrad att ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för enskilda och det allmänna. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska även bedöma de samhällsekonomiska konsekvenserna av förslagen och eventuella effekter för investeringar och export samt eventuella risker för att ett statligt ingripande kan leda till tvister med anledning av bilaterala investeringsskyddsavtal. Därutöver ska utredaren analysera vilka konsekvenser de förslag som lämnas har för den personliga integriteten och hur förslagen förhåller sig till 2 kap. 6 § andra stycket regeringsformen. Utredaren ska även analysera hur förslagen förhåller sig till bestämmelsen om forskningens frihet i 2 kap. 18 § andra stycket regeringsformen.
I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar det kommunala självstyret ska därför, utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslagen särskilt redovisas. En sådan bedömning ska också göras om något av förslagen i betänkandet kan komma att påverka enskilda.
I 2 kap.15 och 17 §§regeringsformen regleras egendomsskyddet och näringsfriheten. Dessa rättigheter får endast begränsas i syfte att skydda angelägna allmänna intressen. Om utredaren överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska förslagen därför analyseras i förhållande till dessa bestämmelser. De förslag som lämnas ska även i övrigt vara förenliga med svensk grundlag och Sveriges internationella åtaganden, bl.a. Europakonventionen.
Kontakter och redovisning av uppdraget
Utredaren ska ha en dialog med och hämta in upplysningar från myndigheter och organisationer som berörs av frågorna. Utredaren ska också hålla sig informerad om och beakta relevant arbete som pågår inom Regeringskansliet och kommittéväsendet. Utredaren ska särskilt hålla sig informerad om det arbete som bedrivs i utredningen Kontroll vid överlåtelse och upplåtelse av egendom av väsentlig betydelse för totalförsvaret (dir. 2022:121).
Uppdraget ska redovisas senast den 29 november 2024.
(Justitiedepartementet)
Kommittédirektiv 2024:118
Tilläggsdirektiv till Utredningen om förbättrade möjligheter att skydda Sveriges säkerhet (Ju 2023:23)
Beslut vid regeringssammanträde den 28 november 2024
Förlängd tid för uppdraget
Regeringen beslutade den 26 oktober 2023 kommittédirektiv om Förbättrade möjligheter att skydda Sveriges säkerhet (dir. 023:152). Uppdraget skulle redovisas senast den 29 november 2024.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 26 mars 2025.
(Justitiedepartementet)
