Framtidens dataskydd
Hänvisat till av
- Dir. 2024:36
- Dir. 2024:36
- Dir. 2024:36
- Dir. 2024:36
- Dir. 2025:77
- Ds 2024:13
- Ds 2024:13
- Ds 2025:31
- Ds 2025:31
- Prop. 2024/25:129
- Prop. 2025/26:46
- Prop. 2025/26:5
- Prop. 2025/26:69
- SOU 2024:63
- SOU 2024:63
- SOU 2024:63
- SOU 2024:63
- SOU 2024:7
- SOU 2024:7
- SOU 2024:7
- SOU 2024:7
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
- SOU 2024:95
Framtidens dataskydd Vid Skatteverket, Tullverket och Kronofogden Del 1
Betänkande av Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden Stockholm 2023
2SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför Statsrådsberedningen, SB PM 2021:1. Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet Omslag: Elanders Sverige AB Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023
ISBN 978-91-525-0820-6 (tryck) ISBN 978-91-525-0821-3 (pdf) ISSN 0375-250X
3Till statsrådet och chefen
för Finansdepartementet
Regeringen beslutade den 3 november 2021 att ge en särskild utredare i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Utredaren fick också i uppdrag att se över nämnda myndigheters förutsättningar att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet (dir 2021:104). Genom tilläggsdirektiv som beslutades av regeringen den 16 februari 2023 förlängdes utredningstiden (dir. 2023:24). Den 1 december 2021 förordnades kammarrättslagmannen Peder Liljeqvist som särskild utredare. Som experter att biträda utredningen förordnades från och med den 20 januari 2022 numera kanslirådet Alf Engsbråten, Finansdepartementet, rättssakkunniga Philip Forsberg, Justitiedepartementet, rättsliga experten Anders Hamlin, Skatteverket, verksjuristen Ann- Kristin Hansson, Tullverket, juristen Nina Hubendick, Integritetsskyddsmyndigheten, juristen Petra Kanon, Myndigheten för digital förvaltning, advokaten Caroline Olstedt Carlström, Cirio Advokatbyrå AB, numera kanslirådet Jessica Sjöberg, Finansdepartementet, kanslirådet Annica Svedberg, Finansdepartementet, numera kanslirådet Richard Vesterberg, numera Finansdepartementet, enhetschefen Jens Västberg, Kronofogdemyndigheten och utredaren Anders Åkerfeldt, Riksarkivet. Anders Åkerfeldt entledigades som expert den 29 mars 2022 och i hans ställe förordnades från och med samma dag utredaren Morgan Nordberg, Riksarkivet, som expert i utredningen. Den 7 september 2022 entledigades Jens Västberg från uppdraget att vara expert med verkan från och med den 4 oktober 2022 och i hans ställe förordnades verksjuristen Sofie Wildiér, Krono-
4fogdemyndigheten, som expert i utredningen från och med den 5 oktober 2022. Den 23 november 2022 entledigades Alf Engsbråten, Nina Hubendick och Petra Kanon från uppdraget att vara experter med verkan från och med den 1 december 2022. Samma dag förordnades dataskyddsombudet Erika Lidén, Myndigheten för digital förvaltning, att vara expert i utredningen från och med den 1 december 2022. Den 2 maj 2023 förordnades Alf Engsbråten att åter vara expert i utredningen från och med den 9 maj 2023. Som sekreterare i utredningen anställdes kammarrättsassessorn Ulrika Matsson från och med den 18 december 2021 och hovrättsassessorn Christina Söderbäck Hedén från och med den 1 januari 2022. Christina Söderbäck Hedén avslutade sitt arbete i utredningen den 23 oktober 2022. Från och med den 1 september 2022 anställdes förvaltningsrättsfiskalen Emma Persson som sekreterare. Arbetet har bedrivits i nära samråd med experterna och betänkandet är därför skrivet med användande av vi-form, även om det inte har funnits fullständig samsyn i alla delar. Utredningen har antagit namnet Utredningen om dataskydd och kontroll hos Skatteverket, Tullverket och Kronofogden (Fi 2021:11) och överlämnar härmed betänkandet Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden ( ). Vårt arbete är i och med detta slutfört.
Stockholm i december 2023
Peder Liljeqvist / Ulrika Matsson Emma Persson
27Sammanfattning
Vårt uppdrag
Vi har haft i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov. Reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget har även ingått att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag liksom att göra en översyn av registerförfattningarnas struktur och terminologi. En annan del av vårt uppdrag har bestått i att se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. En utgångspunkt har varit att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med dataanalyser och urval. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt.
Våra utgångspunkter för en modern
och ändamålsenlig reglering
En utgångspunkt för vårt arbete har varit att den kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för att den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet. I den kompletterande dataskyddsregleringen bör myndigheterna därför ges möjlighet att utföra personuppgiftsbehandling endast i den utsträckning det är proportionerligt i förhållande till en-
28Sammanfattning
skildas berättigade intresse av skydd för information om sina personliga förhållanden. Inom EU finns en generell reglering av personuppgiftsbehandling 1 i EU:s dataskyddsförordning. Förordningen kompletteras i svensk rätt på ett generellt plan av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Dataskyddsförordningen är i dag den primära dataskyddsrättsliga rättskällan och bestämmelserna i förordningen ska tillämpas av myndigheterna på precis samma sätt som om de fanns i en svensk författning. Även om dataskyddsförordningen både förutsätter och medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler, finns det inte längre samma behov som tidigare av att i sektorsspecifik dataskyddsreglering begränsa eller tydliggöra vilken personuppgiftsbehandling som får förekomma inom en myndighet i syfte att upprätthålla ett adekvat integritetsskydd. Förordningen syftar till att skapa en enhetlig och likvärdig nivå för integritetsskyddet inom unionen och den kompletterande regleringen bör endast avvika från vad som annars hade gällt enligt dataskyddsförordningen om det framstår som nödvändigt för att skapa ett adekvat integritetsskydd. Regeringens överväganden i samband med dataskyddslagens tillkomst kan ligga till grund för bedömningen av behovet av kompletterande reglering. Mot bakgrund av den snabba tekniska utvecklingen bör de kompletterande bestämmelserna vara teknikneutrala i så hög utsträckning som möjligt. I det ligger inte enbart frågan om vilken terminologi som används, utan målsättningen om teknikneutralitet bör tillåtas påverka även vilka förfaranden som över huvud taget ska regleras. Vidare bör enbart de förhållanden som behöver regleras för att åstadkomma ett adekvat integritetsskydd regleras i kompletterande dataskyddsreglering. De kompletterande författningarna bör inte omfatta bestämmelser vars syfte är att reglera andra förhållanden än dataskydd. Dubbelreglering bör undvikas. Kompletterande dataskyddsreglering bör dessutom utformas på ett enhetligt sätt i förhållande till annan liknande lagstiftning.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
29Sammanfattning
Nya lagar om dataskydd vid Skatteverket, Tullverket
och Kronofogdemyndigheten
För Skatteverket, Tullverket och Kronofogdemyndigheten finns i svensk rätt särskilda registerförfattningar som kompletterar EU:s dataskyddsförordning och dataskyddslagen. Vi föreslår att följande registerlagar, med tillhörande förordningar, som i dag tillämpas i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter ska upphävas: • lagen (1998:527) om det statliga personadressregistret • lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet • lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet • lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet • lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet • lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Vi föreslår också att dessa ovan angivna lagar ska ersättas av nya myndighetsspecifika lagar om dataskydd: • lag om det statliga personadressregistret • beskattningsdatalag • folkbokföringsdatalag • kronofogdedatalag • tulldatalag • lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagarnas övergripande syften föreslås vara att ge berörda myndigheter möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet
30Sammanfattning
kränks vid sådan behandling. Vi föreslår även att lagarna kompletteras med tillhörande förordningar. Nedan i sammanfattningen behandlas våra förslag till lag om det statliga personadressregistret och lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter separat under särskilda rubriker.
Lagarnas tillämpningsområden och förhållande
till annan reglering
Vi föreslår att beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronfogdedatalagen endast ska gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register. Lagarna ska inte omfatta behandling av uppgifter i administrativ verksamhet. Vidare bör lagarna inte omfatta behandling av uppgifter om juridiska personer. Ett undantag görs dock i kronofogdedatalagen som vi föreslår ska vara tillämplig på uppgifter om juridiska personer i fråga om särskilda bestämmelser om rättelse m.m. och överklagande i den lagen, mer om det nedan. Vi gör också bedömningen att de nya lagarna inte bör omfatta behandling av uppgifter om avlidna personer. Utöver detta ska bestämmelserna i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen inte gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. De nya lagarna bör enligt vår mening ha samma materiella tillämpningsområden som de nu gällande databaslagarna. Beskattningsdatalagen föreslås därför gälla vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Vad som avses med Skatteverkets beskattningsverksamhet ska framgå av lagen och rör bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Beskattningsdatalagen ska också gälla i viss annan verksamhet inom Skatteverket. Folkbokföringsdatalagen föreslås gälla vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Vad som avses med folkbokföringsverksamhet ska framgå av folkbokföringsdatalagen. Det handlar bl.a. om myndighetens verksamhet med folkbokföring och samordningsnummer.
31Sammanfattning
Tulldatalagen föreslås gälla vid behandling av personuppgifter i de delar av Tullverkets verksamhet som anges i lagen. Det rör bl.a. verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Kronofogdedatalagen föreslås gälla vid behandling av personuppgifter i de delar av Kronofogdemyndighetens verksamhet som anges i lagen. Det handlar bl.a. om verksamhet med utsökning och indrivning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs och över rekonstruktörer. Bestämmelserna i kronofogdedatalagen ska dock inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. I likhet med vad som gäller för databaslagarna i dag föreslås bestämmelserna i lagarna komplettera EU:s dataskyddsförordning. Därutöver ska dataskyddslagen gälla vid behandlingen av personuppgifter enligt de nya lagarna, om inte annat följer av dessa eller föreskrifter som har meddelats i anslutning till de nya lagarna.
Myndigheternas personuppgiftsansvar
Skatteverket, Tullverket och Kronofogdemyndigheten föreslås vara ensamt personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför enligt de lagar som ska tillämpas i respektive myndighets verksamheter och föreskrifter som har meddelats i anslutning till de nya lagarna. Det motsvarar i sak dagens reglering, med undantag för vissa delar av bestämmelsen om personuppgiftsansvar i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Mindre detaljerade ändamålsbestämmelser
Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Det framgår av artikel 5.1 b i EU:s dataskyddsförordning. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande principerna i förordningen ska prövas och iakttas. Ändamålet med behandlingen
32Sammanfattning
avgör vilka uppgifter som får behandlas, hur länge de får behandlas och för vilka tillkommande ändamål de får vidarebehandlas. De ändamål som framgår av de befintliga registerförfattningarnas ändamålsbestämmelser går inte att likställa med sådana särskilda, uttryckligt angivna och berättigade ändamål som dataskyddsförordningen kräver ska finnas för varje behandling. De är i stället snarast att betrakta som en yttersta ram för vilken behandling som är tillåten och de omfattar all personuppgiftsbehandling inom författningarnas materiella tillämpningsområden. Vi föreslår en ny bred ändamålsbestämmelse i respektive myndighetsspecifik dataskyddslag som innebär att Skatteverket, Tullverket och Kronofogdemyndigheten även i fortsättningen ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområden. Det innebär att samtliga ändamål som framgår av dagens reglering omfattas av den nya bestämmelsen. Även vissa ändamål som inte uttryckligen regleras i dagens ändamålsbestämmelser kommer att omfattas av den nya och brett formulerade ändamålsbestämmelsen, exempelvis utveckling och testning av befintliga eller nya it-system. Ansvaret för att formulera särskilda, uttryckligt angivna och berättigade ändamål i det enskilda fallet vilar på den personuppgiftsansvariga myndigheten i enlighet med artikel 5.2 i dataskyddsförordningen. Den föreslagna bestämmelse som avser behandling av personuppgifter för att utföra verksamhet inom respektive lags materiella tillämpningsområde är mindre detaljerad än dagens ändamålsbestämmelser. Bestämmelsen motsvarar s.k. primära ändamål och föreslås kompletteras av en upplysningsbestämmelse om regeringens möjlighet att meddela föreskrifter om ändamålen med behandlingen. Vi föreslår även en bestämmelse som avser s.k. sekundära ändamål och anger att uppgifter som behandlas med stöd av den primära ändamålsbestämmelsen får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. De primära och sekundära ändamålsbestämmelserna föreslås kompletteras av en bestämmelse som motsvarar den s.k. finalitetsprincipen eller principen om ändamålsbegränsning som framgår av artikel 5.1 b i dataskyddsförordningen. Av bestämmelsen ska framgå att uppgifter som behandlas i enlighet med den primära ändamålsbestämmelsen får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ända-
33Sammanfattning
mål för vilket uppgifterna samlades in. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för andra ändamål än de som uppgifterna samlats in för.
Databasregleringen ska upphävas
I dagens registerförfattningar finns en särskild reglering av myndigheternas uppgiftssamlingar som används gemensamt i verksamheten, s.k. databaser. Databas avser i sammanhanget inte en tekniskt avgränsad databas utan är ett juridiskt begrepp. Databasregleringen omfattar bl.a. särskilda bestämmelser om vilka uppgiftskategorier som får behandlas, vilka olika former av elektroniskt utlämnande som får användas vid utlämnande samt bestämmelser om gallring och bevarande. Bestämmelser om vilka personuppgifter som får användas gemensamt inom verksamheterna är utmärkande för databasregleringen. Regleringen kom till under en period då digitaliseringen av förvaltningen endast var påbörjad, och utgår från väsentligt andra tekniska och rättsliga förutsättningar för myndigheters personuppgiftsbehandling än dagens. Vid tidpunkten för databasregleringens tillkomst utgjorde digital informationshantering ett komplement till den analoga hanteringen. I dag är myndigheternas digitala informationshantering i stället fullt integrerad i myndigheternas verksamhet och utgör inte längre ett komplement, utan omfattar all informationshantering. Det innebär att databasregleringen har fått en annan funktion än avsett. Regleringen begränsar i dag inte enbart vilka uppgifter som får göras gemensamt tillgängliga utan också vilka uppgiftskategorier myndigheterna över huvud taget får behandla, om det inte är möjligt att utföra behandlingen utanför databasen. Vi bedömer att EU:s dataskyddsförordning, som ställer krav på bl.a. tekniska och organisatoriska säkerhetsåtgärder och åtkomstbegränsning vid personuppgiftsbehandling inom myndigheterna, utgör en tillräcklig reglering för att säkerställa att uppgifter som är gemensamt tillgängliga får ett adekvat skydd. Utifrån den allmänna dataskyddsregleringeringen och rådande tekniska förutsättningar för personuppgiftsbehandling finns det enligt vår bedömning inte något behov av att för Skatteverket, Tullverket och Kronofogdemyndigheten införa särskilda regler för sådan behandling av personuppgifter
34Sammanfattning
som innebär att fler än ett fåtal personer har tillgång till uppgifterna. Enligt vår bedömning bör den särskilda databasregleringen därför inte ha någon motsvarighet i de nya dataskyddslagarna. Inte heller i övrigt bör det införas någon generell begränsning av vilka kategorier av personuppgifter som myndigheterna får behandla i syfte att utföra sin verksamhet. För Skatteverkets folkbokföringsverksamhet finns det dock skäl att i viss utsträckning föra över regleringen av vilka uppgifter om en person som i dag får behandlas i folkbokföringsdatabasen till andra författningar. Folkbokföring innebär nämligen fastställande av en persons bosättning samt registrering av vissa uppgifter om personen. Vilka uppgifter som får registreras vid folkbokföring framgår i dag av regleringen av vilka uppgifter som får behandlas i folkbokföringsdatabasen. Vi föreslår i stället att vilka uppgifter som får registreras om en person vid folkbokföring ska framgå av en ny materiell bestämmelse i folkbokföringslagen (1991:481). Den nya bestämmelsen föreslås i sak motsvara regleringen av vilka uppgifter som i dag får behandlas i folkbokföringsdatabasen, i den utsträckning de uppgifterna är relevanta vid folkbokföring. Skatteverket registrerar också vissa uppgifter om personer som tilldelas ett samordningsnummer i enlighet med bestämmelserna om vilka uppgifter som får behandlas i folkbokföringsdatabasen. Vi föreslår därför att det även införs en ny bestämmelse i lagen (2022:1697) om samordningsnummer som i relevanta delar motsvarar dagens reglering av vilka uppgifter som får behandlas i folkbokföringsdatabasen. Databasregleringens upphävande medför även vissa andra förändringar i de nyss nämna lagarna.
Känsliga personuppgifter, uppgifter om lagöverträdelser
samt person- och samordningsnummer
Med känsliga personuppgifter avses enligt EU:s dataskyddsförordning uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandling av sådana uppgifter är som utgångspunkt förbjuden. Undantag
35Sammanfattning
kan dock göras om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, och vissa ytterligare förutsättningar är uppfyllda. Skatteverket, Tullverket och Kronofogdemyndigheten har behov av att kunna behandla sådana uppgifter inom sina respektive verksamheter när så är relevant till följd av materiell verksamhetsreglering. Vi föreslår att myndigheterna ska få behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Behandling av personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 i dataskyddsförordningen får enligt förordningen utföras under kontroll av en myndighet. Skatteverket, Tullverket och Kronofogdemyndigheten har i vissa fall behov av att kunna behandla sådana personuppgifter. Vi bedömer att den behandling av personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra inte bör begränsas eller på annat sätt särregleras i de nya lagarna. Vidare gör vi bedömningen att det inte behöver finnas särskilda bestämmelser om behandling av personnummer och samordningsnummer. Sådana bestämmelser finns i dataskyddslagen.
Sökbegränsningar
Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och sökbegränsningar kan vara ett viktigt och ändamålsenligt sätt att minska dessa risker. Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att det som huvudregel är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på vissa kategorier av känsliga personuppgifter, om sökningen är nödvändig för att myndigheterna ska kunna utföra en uppgift i verksamhet som omfattas av respektive föreslagen lag. Vilka sökningar som ska undantas från sökförbudet måste an-
36Sammanfattning
passas efter respektive myndighets behov. Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende. Vi föreslår också ett särskilt sökförbud i folkbokföringsdatalagen som innebär att det ska vara förbjudet att som sökbegrepp använda uppgifter om vissa relationssamband som är grundade på adoption.
Tillgången till personuppgifter
En utgångspunkt enligt EU:s dataskyddsförordning är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i de registrerades personliga integritet. Vi föreslår att det ska införas bestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I de förordningar som hör till lagarna föreslår vi att det ska finnas en reglering som innebär att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Elektroniskt utlämnande av personuppgifter ska vara
tillåtet om det inte är olämpligt
Formen för ett tillåtet eller föreskrivet uppgiftslämnande, dvs. om det ska ske exempelvis muntligt, på papper eller på elektronisk väg, är en fråga som är skild från regleringen av utlämnandet i sak. I EU:s dataskyddsförordning finns ingen reglering som särskilt avser vilka tekniska lösningar eller vilka system som får användas vid utlämnande eller överföring av personuppgifter. I nuvarande registerförfattningar finns däremot bestämmelser som särskilt reglerar i vilka situationer uppgifter över huvud taget får lämnas ut elektroniskt till enskilda
37Sammanfattning
(via exempelvis e-post), och i vilka situationer utlämnande får ske genom s.k. direktåtkomst till både myndigheter och enskilda. Direktåtkomst är en särskild form av elektroniskt utlämnande som innebär att den utlämnande myndigheten saknar kontroll över vilka uppgifter den mottagande aktören (ofta en annan myndighet) vid varje enskilt tillfälle tar del av. När direktåtkomsten är aktiv anses samtliga uppgifter som omfattas vara inkomna till den mottagande myndigheten i enlighet med offentlighetsprincipen, och kan därmed komma att ingå i allmänna handlingar där. Direktåtkomst ger därmed upphov till s.k. överskottsinformation och har bl.a. av den anledningen bedömts vara särskilt känsligt ur integritetssynpunkt. Den tekniska utvecklingen har dock lett till att skillnaden i integritetshänseende mellan direktåtkomst och andra former av helt automatiserat informationsutbyte inte längre är särskilt stor. Nya former av informationsutbyte kan dessutom ge samma effektivitetsvinster som vid direktåtkomst, utan att uppgifter som tillgängliggörs men inte hämtas in av mottagaren blir del av allmänna handlingar hos den mottagande myndigheten. Vi bedömer att flertalet av de integritetsrisker som har legat till grund för tidigare ställningstaganden om direktåtkomst i dag är läkta genom bestämmelserna i dataskyddsförordningen. Vi bedömer därmed att dagens begränsningar av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst inte bör ha någon motsvarighet i de nya dataskyddslagarna. I lagstiftningshänseende bör direktåtkomst i stället likställas med övriga former av elektroniskt utlämnande. Vi föreslår att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det innebär att Skatteverkets i dess beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska ges möjlighet att, med beaktande av den allmänna dataskyddsregleringen och övriga tillämpliga bestämmelser, samt i förekommande fall efter samråd med Integritetsskyddsmyndigheten, själva avgöra i vilken form ett föreskrivet utlämnande ska få ske.
Bestämmelser om uppgiftslämnande ska flyttas
till särskilda förordningar om utlämnande av uppgifter
EU:s dataskyddsförordning kräver att det finns en rättslig grund för all behandling av personuppgifter. För att en myndighet ska kunna lämna ut personuppgifter till en tredje part krävs som utgångspunkt
38Sammanfattning
en bestämmelse i nationell rätt eller unionsrätten som tillåter eller föreskriver utlämnandet. Visst utlämnande kan också ske med stöd av finalitetsprincipen. För uppgifter som är skyddade av sekretess krävs också att det finns en sekretessbrytande bestämmelse för att en uppgift ska kunna lämnas ut från det sammanhang där den är sekretessbelagd. I de nuvarande registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten finns sekretessbrytande bestämmelser som anger att myndigheten har en skyldighet eller möjlighet att under vissa omständigheter lämna ut uppgifter till andra myndigheter och till enskilda. Sådana bestämmelser finns också i andra författningar och i unionsrätten. Behandling av personuppgifter i syfte att lämna ut dem till någon annan aktualiserar frågor om dataskydd, bl.a. om säkerhet vid informationsöverföringen. Bestämmelser som anger att ett utlämnande av uppgifter får eller ska ske under vissa förutsättningar utgör dock inte dataskyddsbestämmelser. Vi föreslår därför att sådana bestämmelser inte ska finnas i de nya dataskyddsförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten, och att bestämmelser som reglerar utlämnande i stället ska föras in i nya förordningar. I förordningarna ska även bestämmelser om myndigheternas rätt att ta ut avgifter i vissa fall finnas. Bestämmelserna i de nya förordningarna föreslås i huvudsak motsvara dagens bestämmelser. Vi föreslår dock vissa justeringar av bestämmelsernas utformning, huvudsakligen i syfte att kompensera för att viss befintlig särreglering av när direktåtkomst är tillåten föreslås upphävas. För att möjliggöra olika former av elektroniskt utlämnande föreslår vi även att de nya bestämmelserna inte ska avse utlämnande som får ske endast på begäran av den mottagande myndigheten. I de fall den nuvarande regleringen avser ett utlämnande på begäran föreslår vi i stället att de nya bestämmelserna förenas med ett förbud mot utlämnande på initiativ av den utlämnande myndigheten. Initiativförbudet avser enbart det faktiska utlämnandet och syftar till att förhindra spontant utlämnande utan att det föregåtts av kontakt med mottagaren.
39Sammanfattning
Reglering om gallring ska ersättas med bestämmelser
om längsta tid för behandling
I de befintliga registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten finns bestämmelser om gallring och bevarande. Enligt vår bedömning är dock både gallring och bevarande begrepp som främst hör till det arkivrättsliga regelverket och som inte bör användas om syftet är integritetsskydd. Den arkivrättsliga utgångspunkten är nämligen att allmänna handlingar ska bevaras. Vi föreslår därför att det fortsättningsvis görs en tydlig uppdelning mellan arkivrättsliga bestämmelser å ena sidan och dataskyddsbestämmelser å andra sidan, och att den kompletterande dataskyddsregleringen inte ska innehålla bestämmelser om gallring. En grundläggande princip för personuppgiftsbehandling enligt EU:s dataskyddsförordning är den om lagringminimering, dvs. att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för ändamålet med behandlingen (artikel 5.1 e). Vi föreslår att en bestämmelse som motsvarar principen om lagringsminimering ska finnas i lag, men att det i övrigt inte anges någon yttersta tidsgräns för behandling. Myndigheterna måste därför som regel själva avgöra hur lång tid det är motiverat att behandla uppgifter för ett särskilt ändamål. Däremot kan regeringen eller den myndighet regeringen bestämmer föreskriva om yttersta tidsgränser för behandling för vissa ändamål, om det är påkallat av exempelvis integritetshänsyn eller effektivitetshänsyn. Bestämmelsen om längsta tid för behandling avser endast sådana ändamål som omfattas av det materiella tillämpningsområdet. Det innebär att det inte finns något hinder mot fortsatt behandling för arkivändamål. När uppgifter enbart behandlas för arkivändamål är det arkivlagstiftningens bestämmelser, dvs. i praktiken Riksarkivets beslut eller föreskrifter, som avgör hur länge uppgifter (som ingår i en allmän handling) ska behandlas för detta ändamål.
40Sammanfattning
Enskildas rättigheter ska begränsas i vissa fall
Rätten att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i EU:s dataskyddsförordning. Vi föreslår att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska föreskrivas att rätten att göra invändningar enligt artikel 21.1 i dataskyddsförordningen inte ska gälla vid sådan behandling som är tillåten enligt lagarna eller föreskrifter som har meddelats i anslutning till lagarna. Denna begränsning innebär inte något nytt utan finns i dag i motsvarande registerlagar. Vidare föreslår vi att det ska införas en bestämmelse i beskattningsdatalagen som reglerar att vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska vissa bestämmelser om rätt till information och tillgång till personuppgifter i dataskyddsförordningen inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Särskilda bestämmelser om rättelse och överklagande
för Kronofogdemyndigheten
I dag finns särskilda bestämmelser om rättelse m.m. och överklagande i lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Bestämmelserna är motiverade av de potentiella effekterna av att registreras hos myndigheten. Vi föreslår att det ska införas sådana särskilda bestämmelser även i den nya kronofogdedatalagen, dock med vissa ändringar i förhållande till vad som gäller i dag. Bestämmelsen om rättelse m.m. ska ange att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Bestämmelsen ska inte vara tillämplig på uppgifter om avlidna personer. Avseende juridiska personer ska bestämmelsen vara tillämplig enbart beträffande om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska
41Sammanfattning
förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd att rätta, blockera eller utplåna uppgifter om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse ska inte behöva lämnas om det skulle innebära en oproportionerligt stor arbetsinsats. Vi föreslår också att beslut om rättelse, liksom i dag, ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.
Dataanalyser och urval för en effektiv kontrollverksamhet
Vi anser att Skatteverket, Tullverket och Kronofogdemyndigheten bör ges utökade möjligheter att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. Dataanalyser och urval bedöms vara ett effektivt verktyg i myndigheternas verksamheter som exempelvis kan underlätta arbetet med att identifiera felaktigheter. Vi föreslår därför att det ska införas särskilda ändamålsbestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att respektive myndighet får behandla personuppgifter om det är nödvändigt för att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i de verksamheter som omfattas av lagarna. Kronofogdemyndigheten ska även få behandla personuppgifter för att göra sådana analyser och urval i syfte att motverka överskuldsättning. Att personuppgiftsbehandling får ske för att förebygga, förhindra och upptäcka fel innebär att myndigheterna ges ett tydligt rättsligt stöd för att använda analyser och urval även i syfte att identifiera olika risker för felaktigheter redan innan det finns ett ärende och inte enbart för efterhandskontroller. Som underlag för att göra dataanalyser och urval behöver myndigheterna tillgång till adekvata och relevanta uppgifter, däribland personuppgifter. En allt för kringskuren möjlighet att behandla uppgifter för dataanalyser och urval kan i praktiken leda till att myndigheternas möjligheter att behandla personuppgifter styr vilka företeelser myndigheterna kan rikta sina kontroller mot, snarare än att kontroller kan riktas mot de områden där det faktiskt finns störst risk för fel eller fusk. Samtidigt måste intentionerna att effektivisera kon-
42Sammanfattning
trollverksamheten balanseras mot skyddet för den personliga integriteten. Vi föreslår att det i de nya lagarna ska anges att för att göra dataanalyser och urval får de personuppgifter behandlas som respektive myndighet förfogar över eller samlar in till följd av den verksamhet som omfattas av respektive lags tillämpningsområde. Myndigheterna ska även få behandla uppgifter som lämnas till dem för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. De personuppgifter som behandlas måste alltid vara nödvändiga för de i lagarna angivna syftena. Om det finns alternativa och mindre integritetskränkande sätt för myndigheterna att utföra sina uppdrag på med samma grad av effektivitet, ska dessa i stället användas i syfte att minska integritetsintrånget. Vidare föreslår vi bestämmelser som innebär utökade uppgiftsskyldigheter gentemot Skatteverket och Tullverket i syfte att möjliggöra adekvata och effektiva dataanalyser och urval i kontrollverksamhet. Vi föreslår också att det ska införas särskilda skydds- och säkerhetsåtgärder som ska gälla när myndigheterna utför dataanalyser och urval med hjälp av personuppgifter. I lagarna ska det föreskrivas att myndigheterna ska dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand. Vidare ska det i förordning föreskrivas att myndigheterna ansvarar för att det inom respektive myndighet finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval. I övrigt kommer de generella skydds- och säkerhetsåtgärderna i EU:s dataskyddsförordning, dataskyddslagen samt i förslagen till beskattningsdatalag, folkbokföringsdatalag, tulldatalag och kronofogdedatalag med tillhörande förordningar att vara tillämpliga även vid behandling av personuppgifter för dataanalyser och urval.
Offentlighet och sekretess
Till följd av våra förslag om ändrade bestämmelser avseende sökbegrepp inom Skatteverkets folkbokföringsverksamhet finns det behov av en ny sekretessregel till skydd för vissa uppgifter. Detta efter-
43Sammanfattning
som vissa sammanställningar med våra förslag – till skillnad från i dag – kan bli allmänna handlingar. Vi föreslår därför att absolut sekretess ska gälla i Skatteverkets folkbokföringsverksamhet för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen ska dock inte gälla för uppgifter som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Vi har också funnit att det finns behov av ändringar av vissa befintliga regler om sekretess samt av nya sekretessbestämmelser till följd av våra förslag om utökade möjligheter för myndigheterna att göra dataanalyser och urval. Absolut sekretess föreslås gälla vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet samt i Tullverkets och Kronofogdemyndighetens verksamheter för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretessen ska även gälla i Kronofogdemyndighetens verksamhet med dataanalyser och urval i syfte att motverka överskuldsättning. Vi föreslår också att myndigheterna ska kunna sekretessbelägga uppgift om metoder, modeller och riskfaktorer som hänför sig till dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel, om det kan antas att det allmännas syfte med sådana analyser och urval motverkas om uppgiften röjs och analyserna och urvalen rör Skatteverkets beskattnings- eller folkbokföringsverksamheter, Tullverkets verksamhet eller Kronofogdemyndighetens verksamhet som omfattas av de nya lagarna. Sådana uppgifter ska också vara möjliga att sekretessbelägga i Kronofogdemyndighetens verksamhet enligt kronofogdedatalagen om de hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning. Vidare innebär vissa av våra förslag i övrigt att också andra befintliga sekretessbestämmelser behöver ändras. Vi föreslår därför att bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400), OSL, som i dag omfattar verksamhet som avser förande av eller uttag ur Skatteverkets beskattningsdatabas, Tullverkets tulldatabas och Kronofogdemyndighetens utsöknings- och indrivningsdatabas ska ändras. Det ska i stället föreskrivas att sekretessen gäller vid förande
44Sammanfattning
av eller uttag ur en automatiserad uppgiftssamling som respektive myndighet använder i viss verksamhet som avses i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Sekretessen vid myndigheterna ska inte gälla om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Syftet med bestämmelserna är främst att garantera sekretess hos en annan mottagande myndighet som har direktåtkomst till sådana uppgifter som i dag behandlas i myndigheternas databaser.
Det statliga personadressregistret (SPAR)
Skatteverkets verksamhet med det statliga personadressregistret, SPAR, är särpräglad och avgränsad. Genom verksamheten med SPAR fullgörs det statliga åtagandet att hålla ett register med befolkningsuppgifter av hög kvalitet för att tillgodose behovet av kontroll av personuppgifter. Lagen om det statliga personadressregistret, SPAR-lagen, och tillhörande förordning reglerar både förandet av ett särskilt register och utlämnandet av uppgifter från det, vilket inkluderar den personuppgiftsbehandling som detta medför. Författningarna skiljer sig därför från exempelvis regleringen av personuppgiftsbehandling vid Skatteverkets beskattningsverksamhet. Flera av de generella bedömningarna för övriga verksamheter är därför inte relevanta i SPAR-verksamheten. SPAR-författningarna är dock i behov av modernisering avseende språk, struktur och i viss mån avseende vilka bestämmelser författningarna bör innehålla. Vi bedömer att förändringsbehovet är tillräckligt stort för att motivera att den nuvarande SPAR-lagen med tillhörande förordning upphävs och ersätts av nya författningar, med uppdaterat språk, vissa förtydliganden, samt en anpassning av termer och struktur till övrig dataskyddsreglering. Vi föreslår även att den nya lagen ska omfatta en sådan syftesbestämmelse som vi har föreslagit i övriga dataskyddslagar, samt vissa justeringar av regleringen av personuppgiftsansvar för behandling enligt SPAR-lagen och förordningen. Vi föreslår att bestämmelser om gallring ersätts med bestämmelser om längsta tid för behandling
45Sammanfattning
i förhållande till de ändamål uppgifter behandlas för, i likhet med övrig dataskyddsreglering. Dessutom föreslår vi att enskildas anmälningsskyldighet vid misstanke om oriktig uppgift, som i dag regleras i förordning, i fortsättningen ska regleras i lag. Däremot föreslår vi att alla begränsningar av utlämnandet från SPAR ska göras i förordning, vilket innebär att begränsningar avseende vissa uppgifter som i dag regleras i lag ska flyttas ner till förordningsnivå. Avseende utlämnandet till myndigheter föreslår vi att begränsningar i förhållande till myndigheters möjlighet att få ut samma uppgifter från Skatteverkets folkbokföringsverksamhet ska tas bort.
Skatteverkets äktenskapsregister- och
bouppteckningsverksamheter
Den befintliga regleringen av personuppgiftsbehandling inom Skatteverkets äktenskapsregister- och bouppteckningsverksamheter är förhållandevis modern. Regleringen innehåller i flera fall bestämmelser som motsvarar vad vi föreslår ska gälla enligt de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Exempelvis finns ingen databasreglering och inga detaljerade ändamålsbestämmelser. Enligt vår bedömning bör dock nuvarande reglering i flera avseenden anpassas till de förslag vi lämnat i fråga om struktur, terminologi och generella dataskyddsbestämmelser. En ändring av den befintliga lagen hade inneburit att flertalet paragrafer hade ändrats och den konsoliderade versionen skulle framstå som helt omgjord. Vi föreslår därför att den befintliga lagen med tillhörande förordning ska upphävas och ersättas av en ny lag med tillhörande förordning. Det övergripande syftet med förslaget är att skapa enhetlighet i utformningen av de nya dataskyddslagarna. I den nya lagen föreslår vi vissa strukturella ändringar i förhållande till den befintliga, som t.ex. att ändamålsbestämmelserna utformas enhetligt i förhållande till övrig dataskyddsreglering. Vi föreslår även vissa förändringar i sak. Den nya lagen föreslås inte tillämpas vid behandling av uppgifter om avlidna. Vidare föreslår vi att dagens begränsningar av när Skatteverket får behandla känsliga personuppgifter ersätts av en bestämmelse som tillåter sådan behandling om det är nödvändigt för ändamålet med behandlingen, i likhet med hur
46Sammanfattning
övrig reglering föreslås utformas i detta avseende. Vi föreslår även att sökbegränsningar i den nya lagen utformas i enhetlighet med motsvarande reglering i övriga dataskyddslagar. Det innebär att förbudet ska avse sådan sökning som syftar till att åstadkomma ett urval av personer grundat på känsliga personuppgifter. Något undantag från förbudet för vissa kategorier av uppgifter föreslås inte i detta sammanhang. Förbudet ska dock inte omfatta sökningar i en viss handling eller i ett visst ärende. Vi föreslår även nya bestämmelser om åtkomstbegränsning och om längsta tid för behandling som saknar motsvarighet i befintlig reglering. Bestämmelserna motsvarar de som föreslås i övrig dataskyddsreglering.
Ikraftträdande
Våra förslag föreslås träda i kraft den 1 januari 2026. Vi har då beaktat att förslagen bör träda i kraft så snart som möjligt för att de i största möjliga utsträckning ska kunna leda till effektivare kontrollverksamhet vid Skatteverket, Tullverket och Kronofogdemyndigheten. Samtidigt har vi tagit hänsyn till att förslagen är omfattande vilket kräver sedvanlig tid för remissbehandling och beredning inom Regeringskansliet och att berörda myndigheter ges viss tid att förbereda sig.
Konsekvenser
Syftet med våra förslag är att åstadkomma en ändamålsenlig kompletterande dataskyddsreglering som ger enskilda ett adekvat integritetsskydd samtidigt som Skatteverket, Tullverket och Kronofogdemyndigheten ges förutsättningar att utföra sina samhällsviktiga uppgifter så som de kommer till uttryck i den materiella verksamhetsregleringen. Förslagen om utökade möjligheter för myndigheterna att göra dataanalyser och urval för att förebygga, förhindra och upptäcka fel syftar till att ge myndigheterna adekvata verktyg för att effektivisera kontrollverksamheten. Våra förslag kommer att medföra konsekvenser för enskildas personliga integritet. Vi bedömer dock att integritetsintrången är motiverade och proportionerliga. Vårt förslag om att myndigheter ska kunna få motsvarande uppgifter som de i dag kan få från folkbokföringsverksamheten (via
47Sammanfattning
Navet) genom SPAR kommer att kräva systemutveckling. Vidare bedömer vi att våra förslag innebär en viss ökning av planerade utbildningsinsatser vid myndigheterna. De ställer också nya krav på att myndigheterna ansvarar för att ta fram vissa rutiner och följa ett särskilt dokumentationskrav vid dataanalyser och urval. Våra förslag om att nuvarande regler om gallring ska ersättas med bestämmelser om längsta tid som personuppgifter får behandlas kommer att leda till vissa indirekta kostnader för Riksarkivet, Skatteverket, Tullverket och Kronofogdemyndigheten fram till dess att nya myndighetsspecifika föreskrifter eller beslut om gallring finns på plats. Sammantaget kommer våra förslag alltså initialt att medföra vissa kostnader för det allmänna. Dessa kostnader bedömer vi inte vara större än att de kan täckas av myndigheternas ordinarie anslag. På längre sikt gör vi dessutom bedömningen att våra förslag bör medföra besparingar för berörda myndigheter och ökade statsintäkter till följd av att verksamheterna vid ärendehanteringen och med kontroll kan bedrivas mer effektivt. I övrigt förväntas våra förslag ha vissa positiva effekter för brottsligheten och det brottsförebyggande arbetet och indirekt för offentlig service samt företags konkurrensförmåga. Förslagen är förenliga med EU-rätten och andra relevanta internationella rättsakter till skydd för den personliga integriteten.
49Summary
Our remit
We have been tasked with reviewing the register statutes 1 of the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority in order to create appropriate regulation adapted to current needs. The regulation should be flexible and up to date in terms of both technological developments and data protection regulation enshrined in EU law. Our remit also included considering whether a less detailed regulation than today would be feasible, as well as reviewing the structure and terminology of the register statutes. Another part of our remit was to review the feasibility of the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority use of data analysis and sampling as tools for more efficient control activities. A premise was that there should be clear legal support for any data analysis and samplings carried out by the government agencies. The rules should also be technology neutral and flexible and allow the government agencies to develop and adapt their analysis and sampling in line with general developments in society.
Our basic premises for modern, fit-for-purpose regulation
Our work is based on the premise that supplementary data protection regulation should include the provisions necessary for it to provide adequate protection of individual privacy. Consequently, supplementary data protection regulation should only permit government agencies to process personal data to the extent that this is pro-
1 I.e. sector-specific regulations on the processing of personal data.
50Summary
portionate to the legitimate interest of individuals to protect information about their personal circumstances. Within the EU, personal data processing is regulated in general 2 terms in the EU General Data Protection Regulation (GDPR). The GDPR is supplemented in Swedish law at a general level by the Act (2018:218) containing supplementary provisions to the EU General Data Protection Regulation (Data Protection Act). Today, the GDPR is the primary source of data protection legislation, and the provisions of the GDPR must be applied by government agencies in the same way as a Swedish statute. Although the GDPR both requires and permits national provisions that supplement or provide for derogations from its rules, there is no longer the same need as before to limit or clarify in sector-specific data protection regulation the personal data that may be processed at a government agency in order to maintain an adequate level of privacy protection. The GDPR aims to create a uniform and comparable level of privacy protection throughout the European Union, and supplementary regulation should only deviate from what will otherwise apply under the GDPR if this appears necessary in order to provide an adequate level of privacy protection. The Government’s considerations when drafting the Data Protection Act can serve as a basis for assessing the need for supplementary regulation. In the light of the rapid technological development, the supplementary provisions should be as technology neutral as possible. This is not only a question of the terminology used; the objective of technology neutrality should also influence which procedures should be regulated at all. Furthermore, only matters that need to be regulated in order to achieve an adequate level of privacy protection should be regulated in supplementary data protection legislation. The supplementary legislation should not include provisions on matters other than data protection. Double regulation should be avoided.
2 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
51Summary
New acts on data protection for the Swedish Tax Agency,
Swedish Customs and the Swedish Enforcement Authority
Specific register statutes govern the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority under Swedish law. This legislation supplements the GDPR and the Swedish Data Protection Act. We propose that the following acts, with their associated ordinances, currently governing the activities of the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority be repealed: • Act (1998:527) on the Swedish state’s personal address register • Act (2001:181) on the processing of data in the Swedish Tax Agency’s taxation activities • Act (2001:182) on the processing of personal data in the Swedish Tax Agency’s population registration activities • Act (2001:184) on the processing of data in the activities of the Swedish Enforcement Authority • Act (2001:185) on the processing of data in the activities of Swedish Customs • Act (2015:898) on the Swedish Tax Agency’s processing of personal data in activities relating to the marriage register and estate inventories.
We also propose that the acts listed above be replaced by new agencyspecific data protection acts: • Swedish state’s personal address register Act • Taxation Data Act • Population Registration Data Act • Enforcement Data Act • Customs Data Act • Act on personal data protection in the Swedish Tax Agency’s marriage register and estate inventory activities.
52Summary
It is proposed that the overall objective of these acts is to enable the relevant government agencies to process personal data in an appropriate manner, and to protect individuals from having their privacy unduly violated during such processing. We also propose that the acts should be supplemented by related ordinances. In the summary below, our proposals for the National Personal Address Register Act and the Act on personal data protection in the Swedish Tax Agency’s marriage register and estate inventory activeities are discussed separately under specific headings.
The Scope of the legislation and relationship with
other regulation
We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act shall apply only in the case of wholly or partly automated personal data processing, or to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. The legislation shall not cover data processing in administrative activities. Furthermore, the regulations should not cover data processing regarding legal entities. An exception from this is however made in the Enforcement Data Act, which we propose should apply to data on legal entities with regard to specific provisions on i.a. rectification and appeal in that act; more on this below. We also assess that the new legislation should not cover the processing of data on deceased individuals. In addition, the provisions of the Taxation Data Act, the Customs Data Act and the Enforcement Data Act shall not apply to personal data processing in the common information systems of the European Union. We suggest that the new legislation has the same substantive scope as current database regulation. Consequently, it is proposed that the Taxation Data Act apply to personal data processing in the Swedish Tax Agency’s taxation activities. What constitutes taxation activities in this setting shall be stated in the act and includes i.a. determining the basis for taxes and charges, and the assessment, accounting, payment and refund of these. The Taxation Data Act shall also apply to certain other activities carried out by the Swedish Tax Agency.
53Summary
It is proposed that the Population Registration Data Act apply to personal data processing in the Swedish Tax Agency’s population registration activities. What constitutes population registration activities in this setting shall be stated in the act and includes i.a. the Agency’s activities regarding population registration and coordination numbers. It is proposed that the Customs Data Act apply to personal data processing during the activities carried out by Swedish Customs’ specified in the act. This includes activities related to the assessment, accounting, payment and refund of duties, taxes, and charges. It is proposed that the Enforcement Data Act apply to personal data processing in the parts of the Swedish Enforcement Authority’s activities specified in the act. This includes enforcement and recovery activities, debt restructuring and company debt restructuring, orders to pay and assistance, and supervision in bankruptcy and of reorganisation administrators. However, the provisions of the Enforcement Data Act shall not apply to personal data processing in the insolvency register of debt restructuring and company debt restructuring under the Insolvency Regulation of 2015 (Supplemental Provisions) Act (2017:473). As with the current national database regulation, it is proposed that the provisions of the new legislation supplement the GDPR. In addition, the Data Protection Act shall apply to personal data processing under the new acts, unless otherwise provided by these acts or statutes issued in connection with the new acts.
Responsibility of government agencies for personal data
It is proposed that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority respectively be the sole data controller for personal data processing carried out by these government agencies under the respective act and regulations issued in connection with the act. This essentially corresponds to the current regulation, except for certain parts of the provision on personal data responsibility in the Act on the processing of personal data in the Swedish Tax Agency’s population registration activities.
54Summary
Less detailed purpose provisions
Personal data shall be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes. This is stated in Article 5(1)(b) of the GDPR. It is against this specified, explicit and legitimate purpose that several of the fundamental principles of the GDPR must be examined and adhered to. The purpose of the processing determines which data can be processed, how long it can be processed and for what additional purposes it can be processed further. The purposes set out in the purpose provisions of the existing register legislation cannot be equated with the specified, explicit, and legitimate purposes that the GDPR requires for each processing operation. Rather, they should be seen as an overall framework for which processing is authorised and cover all personal data processing within the substantive scope of the legislation. We propose a new, broad purpose provision in each agency-specific data protection act. This will allow the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority to continue processing personal data where this is necessary to carry out their activities within the substantive scope of their respective new data protection act. This means that all purposes stated in the current provision are covered by the new provision. Certain purposes not explicitly regulated in the current purpose provisions will also be covered by the new, broadly worded purpose provision, such as the development and testing of new or existing IT systems. The responsibility for formulating specified, explicit, and legitimate purposes in specific each case lies with the data controlling government agency in accordance with Article 5(2) of the GDPR. The proposed provision on personal data processing to carry out activities within the substantive scope of each act is less detailed than the current purpose provisions. The proposed provision corresponds to what are known as primary purposes, and it is proposed that it be supplemented by an informative provision on the Government’s ability to legislate regarding the purposes of the processing. We also propose a provision regarding what are known as secondary purposes, stating that data processed on the basis of the primary purpose provision may be processed in order to disclose data in accordance with an act or ordinance.
55Summary
It is proposed that the primary and secondary purpose provisions be supplemented by a provision corresponding to what is known as the principle of finality or purpose limitation principle set out in Article 5(1)(b) of the GDPR. The provision shall state that data processed in accordance with the primary purpose provision may be processed for other purposes, provided that the data is not processed in a manner incompatible with the purpose for which it was collected. Such a provision makes it clearer to the data subject that the data may also be processed for purposes other than those for which the data was collected.
Database regulation to be repealed
The current national register statutes contain specific regulation of government agencies’ data collections that are used jointly in their activities, known as databases. Database in this context does not refer to a technically defined database but is instead a legal term. The regulation of databases includes specific provisions on the categories of data that may be processed, the different forms of electronic disclosure that may be used and provisions on deletion and preservation. Provisions on the personal data that can be shared within the organisations are characteristic of this regulation of databases. This regulation came about in a period when the digitalisation of public administration was in its infancy and is based on significantly different technical and legal conditions for personal data processing by government agencies than currently apply. During this period, digital information management was seen as a complement to analogue management. In contrast, the digital information management of government agencies is now fully integrated in their operations and is no longer seen as complementary, but as encompassing all information management. This means that database regulation has taken on a different function than originally intended. The regulation currently limits not only the data that can be made jointly available, but also the categories of data that government agencies may process at all, unless it is possible to carry out the processing outside the database. It is our assessment that the GDPR, which imposes requirements regarding technical and organisational security measures and access
56Summary
restrictions in connection with personal data processing at government agencies, constitutes sufficient regulation to ensure that data that is jointly accessible is adequately protected. Based on the GDPR and current technical conditions for personal data processing there is, in our opinion, no need to introduce specific rules for such personal data processing performed by the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority that involves more than a few people having access to the data. For this reason, we do not suggest an equivalent to the specific database regulation in the new data protection acts. Nor do we suggest any other general restriction on the categories of personal data that government agencies may process for the purpose of carrying out their activities. Where the Swedish Tax Agency’s population registration activities are concerned, however, there is reason to transfer some of the regulation governing which data regarding a person that may currently be processed in the population registration database to other legislation. This is because population registration involves establishing a person’s place of residence and registration of certain data about that person. The data that may be registered in connection with population registration is currently determined by the regulation of which data that may be processed in the population registration database. We propose that a new substantive provision in the Population Registration Act (1991:481) shall instead specify what data may be registered about a person in connection with population registration. It is proposed that the new provision essentially correspond to the regulation of the data that may currently be processed in the population registration database, to the extent that the data is relevant to the population registration. The Swedish Tax Agency also registers certain data on natural persons assigned a coordination number based on the provisions on what data may be processed in the population registration database. We therefore propose that a new provision also be introduced in the Act (2022:1697) on coordination numbers that corresponds in relevant parts to the current regulation of what data may be processed in the population registration database. Repealing database regulation also entails certain other changes to the acts just mentioned.
57Summary
Special categories of personal data, personal data
relating to criminal convictions and offences and
national identification and coordination numbers
Special categories of personal data refers to data that under the GDPR reveal racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation. The processing of such data is in principle prohibited. However, exceptions can be made where processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law, and if certain additional conditions are met. The Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to be able to process such data within their respective activities when relevant because of the substantive operational regulation for the agency in question. We propose that government agencies be permitted to process special categories of personal data if this is necessary with regard to the purpose of the processing. The GDPR permits personal data processing relating to criminal convictions and offences or related security measures based on Article 6(1) of the GDPR to be carried out under the control of official authority. The Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to be able to process this kind of personal data in certain cases. We consider that the processing of personal data regarding criminal convictions and offences that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority need to carry out should not be limited or otherwise regulated separately in the new acts. Furthermore, we make the assessment that there is no need for specific provisions on processing national identification numbers and coordination numbers. Such provisions are contained in the Data Protection Act.
58Summary
Search restrictions
Searches that reveal and aggregate special categories of personal data pose specific privacy risks, and search restrictions can be an important and appropriate way to mitigate these risks. We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulate that, as a general rule, it is prohibited to carry out searches for the purpose of obtaining a sample of individuals based on special categories of personal data. However, the prohibition shall not cover searches carried out with a view to obtaining a sample of individuals on the basis of certain special categories of personal data, if the search is necessary for the government agencies to perform a task in activities covered by the relevant proposed act. The searches to be exempted from the search prohibition must be adapted to the needs of each agency. The prohibition should also not cover searches in a specific document or in a specific case. In addition, we propose a special search prohibition in the Population Registration Data Act prohibiting the use of data on certain relationships based on adoption as search terms.
Access to personal data
A basic premise under the GDPR is that personal data should not be disclosed to more people than is necessary for the purpose of the processing. The dissemination of personal data entails a greater risk that the data will be used in a way that violates the privacy of the data subjects. We propose that provisions be introduced in the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulating that access to personal data must be limited to what each person needs in order to carry out their duties, and that access to personal data must be scrutinised and followed up on regularly. In the ordinances associated with the new acts, we propose regulation whereby each government agency is responsible for ensuring that there are procedures within the agency for allocating, changing, removing, and regularly following up on permissions for personal data access. It shall also be regulated that each government agency is
59Summary
responsible for ensuring that there are procedures within the agency to document and regularly scrutinise personal data access.
Electronic disclosure of personal data shall be allowed
unless inappropriate
The format of an authorised or prescribed data disclosure, such as whether it should be verbal, hard copy or electronic, for example, is an issue separate from the substantive regulation of the disclosure. The GDPR does not regulate specifically which technical solutions or systems may be used for the disclosure or transfer of personal data. The current national register statutes, on the other hand, contains provisions that specifically regulate the situations in which data may be disclosed electronically to individuals at all (by e-mail, for example), and the situations in which disclosure may take place to both government agencies and individuals through what is known as direct access. Direct access is a special form of electronic disclosure in which the disclosing government agency has no control over what data the receiving actor (often another government agency) accesses on each individual occasion. When direct access is active, all data covered by it is considered to have been received by the receiving agency under the principle of public access to official records and may consequently be considered public documents of that agency. Direct access thus gives rise to what is known as surplus information and has for this reason been judged to be particularly sensitive from a privacy point of view. However, technological developments have meant that the difference in terms of privacy between direct access and other forms of fully automated information exchange is no longer significant. Moreover, new forms of information exchange can provide the same efficiency gains as direct access, without the data made available but not obtained by the receiving government agency becoming part of that agency’s public documents. We assess that most of the privacy risks that formed the basis for previous positions on direct access have now been satisfactorily remedied by the provisions of the GDPR. We therefore assess that the current restrictions on government agencies’ ability to disclose data through direct access should not have
60Summary
any equivalent in the new data protection acts. Instead, direct access should be equated with other forms of electronic disclosure from a legal perspective. We propose that electronic disclosure be allowed unless inappropriate. This means that the Swedish Tax Agency in its taxation and population registration activities, the Swedish Customs Agency and the Swedish Enforcement Authority shall be given the opportunity to determine for themselves the format in which prescribed disclosure may take place, taking into account the GDPR and other applicable provisions, and after consultation with the Swedish Authority for Privacy Protection, where appropriate.
Provisions on obligations to disclose information shall
be moved to specific ordinances on data disclosure
The GDPR requires a legal basis for all personal data processing. In order for a government agency to disclose personal data to a third party, a provision in national or Union law authorising or prescribing the disclosure is generally required. Some disclosures can also be made with reference to the principle of finality. Where data protected by confidentiality is concerned, a provision allowing a breach of the confidentiality is also required for data to be disclosed from the context in which it is classified. The current register statutes for the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority contains such provisions stating that the government agency has an obligation or opportunity to disclose data to other government agencies and individuals under certain circumstances. Such provisions also exist in other legislation and in Union law. Personal data processing for the purpose of disclosure to a third party raises data protection issues regarding amongst other things the security of the information transfer. However, provisions stating that disclosure of data may or shall take place under certain circumstances do not constitute data protection provisions. We therefore propose that provisions regulating disclosure not be included in the new data protection legislation for the Swedish Tax Agency’s taxation and population registration activities, Swedish Customs and the Swedish Enforcement Authority, and that such provisions instead be introduced in new ordinances. These ordinances will also
61Summary
contain provisions on government agencies’ right to charge fees in certain cases. It is proposed that the provisions of the new ordinances essentially be equivalent to the current provisions. However, we propose some adjustments to the wording of the provisions, mainly to compensate for the proposed repeal of existing regulation regarding when direct access is allowed. To allow for different forms of electronic disclosure, we also propose that the new provisions not concern disclosures that can only be made at the request of the receiving government agency. In cases where the current regulation concerns disclosure on request, we propose instead combining the new provisions with a prohibition on disclosure on the initiative of the disclosing government agency. This prohibition only concerns the actual disclosure and aims to prevent spontaneous disclosure without prior contact with the recipient.
Regulation regarding deletion to be replaced by
provisions on maximum processing duration
The existing register statutes for the Swedish Tax Agency’s taxation activities, Swedish Customs and the Swedish Enforcement Authority contain provisions on deletion and preservation. In our view, however, both are concepts that belong primarily to the archival legal framework and should not be used for privacy protection purposes. The basic premise of archival law is that public documents must be preserved. We therefore propose that a clear distinction be made between archival law provisions on the one hand and data protection provisions on the other, and that data protection regulation should not include provisions on deletion. A fundamental principle of personal data processing under the GDPR is that of storage limitation, i.e. personal data shall be kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed (Article 5(1)(e)). We propose that a provision corresponding to the principle of storage limitation be enshrined in law, but that no upper time limit for processing otherwise be specified. As a rule, government agencies must therefore decide for themselves how long the processing of data for a specific purpose is justified.
62Summary
However, the Government or the agency designated by the Government may stipulate maximum time limits for processing for certain purposes if this is required for reasons such as privacy or efficiency. The provision on the maximum duration of processing only concerns purposes that fall within the substantive scope. This means that there is no obstacle to further processing for archiving purposes. When data is processed solely for archiving purposes, the provisions of the archival legislation, in practice being the decisions or regulations of the Swedish National Archives, determine how long data (included in a public document) should be processed for this purpose.
Individuals’ rights to be restricted in certain cases
The right to object to the processing of personal data is regulated in Article 21 of the GDPR. We propose that the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act stipulate that the right to object under Article 21(1) of the GDPR should not apply to such processing authorised by the acts or statutes issued in connection with the acts. This restriction already exists today in the corresponding register acts. In addition, we propose that a provision be introduced in the Taxation Data Act regulating that when processing personal data on the basis of cooperation under the Act (2012:843) on administrative cooperation in the European Union in the field of taxation, certain provisions on the right to information and access to personal data in the GDPR shall not apply if such restrictions are necessary in view of an important economic or financial interest of the European Union or one of its Member States.
Specific provisions for the Swedish Enforcement Agency
on rectification and appeals
There are currently specific provisions on rectification etc. and appeals in the Act on the processing of data in the activities of the Swedish Enforcement Authority. These provisions are justified by the potential impact of being registered with the Authority. We propose that such specific provisions also be introduced in the new Enforcement
63Summary
Data Act, albeit with some changes compared to what is applicable today. The provision on rectification, etc. shall state that, at the request of an individual, the Swedish Enforcement Authority shall promptly rectify, block, or delete such data about the individual that has not been processed in accordance with the above act or related legislation, or that at the time of registration is misleading as to the individual’s willingness or ability to fulfil their financial obligations. This provision shall not apply to data regarding deceased persons. With respect to legal entities, the provision shall apply only if the data at the time of registration is misleading as to the willingness or ability of the entity to fulfil its financial obligations. If the data has been disclosed to a third party, the Swedish Enforcement Authority shall notify the third party of the measure to rectify, block or delete the data if the individual so requests, or if more significant damage or inconvenience to the individual can be avoided this way. Notification shall not be required if it would involve a disproportionate amount of work. We also propose that rectification decisions shall continue to be appealable to an administrative court. Leave to appeal will be required for appeals to an administrative court of appeal.
Data analysis and sampling for efficient control activities
We consider that the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority should be given greater opportunities to use data analysis and sampling as tools for more efficient control activities. Data analysis and sampling are an effective tool in the activities of government agencies that can, for example, facilitate the work on identifying errors. We therefore propose that specific purpose provisions be introduced in the Taxation Data Act, Population Registration Data Act, Customs Data Act and Enforcement Data Act, stipulating that the respective government agencies may process personal data if this is necessary to carry out data analysis and sampling to prevent, prohibit and detect errors in the activities covered by the legislation. The Swedish Enforcement Authority may also process personal data to carry out such analysis and sampling to prevent over-indebted-
64Summary
ness. The fact that personal data may be processed to prevent, prohibit, and detect errors means that the government agencies are also provided with a clear legal basis for using analysis and sampling to identify various risks of errors before there is a case, and not only when conducting checks after the fact. To analyse and sample data, government agencies need access to adequate and relevant data, including personal data. Excessive restrictions of the ability to process data for data analysis and sampling may in practice lead to a situation where the agencies’ opportunities to process personal data determines which phenomena the agencies can focus their control activities on, rather than allowing such activity to focus on the areas in which there is the greatest risk of error or fraud. At the same time, the measures to make control activities more efficient must be balanced against privacy concerns. We propose that the new acts specify that personal data held or collected by the respective government agencies as a result of the activities falling within the scope of each act may be processed for the purpose of data analysis and sampling. The government agencies shall also be allowed to process data provided to them in order to disclose data in accordance with an act or an ordinance. The personal data processed must always be necessary for the purposes specified in the acts. If there are alternative methods for the government agencies to carry out their tasks with the same degree of efficiency that are less invasive of privacy, these should be used instead to limit privacy intrusions. Furthermore, we propose expanded information obligations in relation to the Swedish Tax Agency and Swedish Customs to enable adequate and efficient data analysis and sampling in control activities. We also propose introducing specific protection and security measures to apply when government agencies carry out data analysis and sampling using personal data. The government agencies will be required to document the balancing of interests between the intended outcome of the measure and the intrusion into the individual’s personal privacy. The methods and search terms used to produce the sample shall also be documented. All documentation must enable inspection afterwards. Furthermore, an ordinance shall stipulate that the government agencies are responsible for ensuring that there are procedures within each agency for how sampling models should be designed and how search terms may be used in data analysis and sampling. The general protection and security measures in the
65Summary
GDPR, the Data Protection Act and in the proposals for the Taxation Data Act, the Population Registration Data Act, the Customs Data Act and the Enforcement Data Act with associated ordinances will also apply to the processing of personal data for data analysis and sampling.
Public access and confidentiality
As a result of our proposals for amended provisions regarding search terms in the Swedish Tax Agency’s population registration activities, there is a need for a new confidentiality rule to protect certain data. This is because, unlike today, some summaries may become public documents. For this reason, we propose that in the Swedish Tax Agency’s population registration activities, absolute confidentiality apply to data in a compilation from a recording for automated processing if it is based on data about place of birth, country of birth, immigration from abroad, citizenship or right of residence. However, this confidentiality shall not apply to data included in such a compilation if it is based on data on citizenship of Sweden, Denmark, Norway, Finland or Iceland, or on citizenship within or outside the European Union (EU citizenship or non-EU citizenship). We have also identified a need for changes to certain existing confidentiality rules and for new confidentiality provisions as a result of our proposals to give government agencies greater opportunities to analyse data and carry out sampling. It is proposed that total confidentiality apply to data analysis and sampling to prevent, prohibit and detect errors in the Swedish Tax Agency’s taxation and population registration activities and in the activities of Swedish Customs and the Swedish Enforcement Authority for data about an individual’s personal or financial circumstances. This confidentiality shall also apply to the Swedish Enforcement Authority’s activities involving data analysis and sampling for the purpose of preventing overindebtedness. We also propose that the government agencies be able to classify data on methods, models and risk factors relating to data analysis and sampling to prevent, prohibit and detect errors, if it can be assumed that the purpose of such analysis and sampling is counteracted if the data is disclosed and the analysis and sampling relate to
66Summary
the Swedish Tax Agency’s taxation or population registration activities, Swedish Customs’ activities or the Swedish Enforcement Authority’s activities covered by the new acts. It shall also be possible to classify such data in the activities of the Swedish Enforcement Authority as confidential under the Enforcement Data Act if it relates to data analysis and sampling for the purpose of preventing over-indebtedness. Furthermore, some of our proposals mean that other existing confidentiality provisions also need to be amended. We therefore propose that the provisions on confidentiality in the Public Access to Information and Secrecy Act (2009:400), referred to below using the Swedish abbreviation OSL, which currently cover activities relating to the maintenance of or extraction from the Swedish Tax Agency’s taxation database, Swedish Customs’ customs database and the Swedish Enforcement Authority’s enforcement and recovery database, be amended. Instead, it should be stipulated that confidentiality applies when maintaining or extracting data from an automated data collection that the respective government agency uses in certain activities referred to in the Taxation Data Act, the Customs Data Act and the Enforcement Data Act. Confidentiality at the government agencies shall not apply if there is a primary confidentiality provision other than Chapter 21, Sections 1, 3, 3a, 5 and 7 of OSL that is applicable to the data when it arises in a case at the Swedish Tax Agency, Swedish Customs or the Swedish Enforcement Authority. The main purpose of these provisions is to ensure confidentiality at another receiving agency that has direct access to data currently processed in the agencies’ databases.
The state’s personal address register (SPAR)
The Swedish Tax Agency’s activities regarding the Swedish state’s personal address register, SPAR, are specific and delimited. The activities related to SPAR fulfil the state’s commitment to maintain a high-quality register of population data to meet the need for control of personal data. The Act on the Swedish state’s personal address register (referred to below as the SPAR Act), and its associated ordinance, regulate both the maintenance of a certain register and the disclosure of data
67Summary
from it, including the personal data processing that this entails. The legislation therefore differs from, for example, the regulation of personal data processing in the Swedish Tax Agency’s taxation activities. Several of the general assessments regarding other activities are therefore not relevant to SPAR activities. However, the SPAR legislation is in need of modernisation in terms of language, structure and, to some extent, the provisions it should contain. In our assessment, the need for change is substantial enough to justify repealing the current SPAR Act and the associated ordinance and replacing them with new legislation. The new legislation will have updated wording and clarifications, and the terms and structure will be adapted to other data protection legislation. We also propose that the new act include a purpose provision such as the ones proposed in the other new data protection acts, as well as certain adjustments to the regulation of personal data responsibility for processing under the SPAR Act and ordinance. We propose that provisions on deletion be replaced by provisions on the maximum duration of processing in relation to the purposes for which data is processed, in line with other data protection regulation. In addition, we propose that individuals’ obligation to report suspected inaccurate data, which is currently regulated by ordinance, shall be regulated in an act. However, we propose that all restrictions on disclosure from SPAR be made in an ordinance, which means that restrictions on certain data, currently regulated in an act, should be moved down to ordinance level. In addition we propose that restrictions in relation to government agencies’ ability to obtain the same data from the Swedish Tax Agency’s population registration activities be removed.
The Swedish Tax Agency’s marriage register and estate
inventory activities
The existing regulation of personal data processing in the Swedish Tax Agency’s marriage register and estate inventory activities is relatively modern. In several cases, the regulation contains provisions that correspond to what we propose should apply in the new data protection acts governing the Swedish Tax Agency’s taxation and population registration activities, Swedish Customs and the Swedish
68Summary
Enforcement Authority. For example, there is no regulation of databases and there are no detailed purpose provisions. However, in our view, the current regulation should be adapted in several respects to the proposals we have submitted regarding structure, terminology, and general data protection provisions. Amending the existing legislation would mean amending most of the sections and the consolidated version would appear to be completely reworked. We therefore propose repealing the existing act and its associated ordinance and replacing it with a new act and ordinance. The overall aim of the proposal is to harmonise the design of the new data protection legislation. In the new act regarding the Swedish Tax Agency’s marriage register and estate inventory activities, we propose certain structural changes compared to the existing act, including harmonising the purpose provisions with other regulation of data protection. We also propose some substantive changes. It is not proposed that the new legislation apply to the processing of data on deceased individuals. Furthermore, we propose that the current restrictions on when the Swedish Tax Agency may process special categories of personal data be replaced by a provision that allows such processing where necessary for the purpose of the processing, similar to the proposed wording of other regulation in this regard. We also propose that the search restrictions in the new act be harmonised with the corresponding regulation in other data protection acts. This means that the prohibition shall apply to searches that aim to achieve a sample of persons based on special categories of personal data. No exception to the prohibition for certain categories of data is proposed in this context. However, the prohibition shall not cover searches in a specific document or in a specific case. We also propose new provisions on access restriction and on the maximum duration of. The provisions correspond to those proposed in other regulation of data protection.
Entry into force
We propose that the proposals enter into force on 1 January 2026. This is based on the assessment that the proposals should enter into force as soon as possible so that they can maximise the efficiency of
69Summary
control activities at the Swedish Tax Agency, Swedish Customs, and the Swedish Enforcement Authority. At the same time, we have considered that the proposals are extensive, which requires the customary period of consultation and preparation at the Government Offices of Sweden and giving the relevant government agencies some time to prepare.
Impacts
The purpose of our proposals is to achieve appropriate supplementary data protection regulation that provides individuals with adequate privacy protection while enabling the Swedish Tax Agency, Swedish Customs, and the Swedish Enforcement Authority to perform their tasks essential to society as expressed in the substantive regulation of their respective activities. The proposals to provide government agencies with greater opportunities to carry out data analysis and sampling to prevent, prohibit and detect errors aim to provide agencies with adequate tools to improve the efficiency of their control activities. Our proposals will have implications for individual privacy. However, in our assessment, the privacy intrusions are justified and proportionate. Our proposal that government agencies be able to obtain equivalent data to that which they can currently obtain from population registration activities (via the Swedish Tax Agency’s population data distribution system, known as Navet) through SPAR will require systems development. Furthermore, we expect our proposals to entail a certain increase in planned training activities at the government agencies. They also impose new requirements on the agencies to develop certain procedures and adhere to a specific documentation requirement when performing data analysis and sampling. Our proposals to replace the current rules on deletion with provisions on the maximum period during which personal data may be processed will lead to certain indirect costs for the Swedish National Archives, the Swedish Tax Agency, Swedish Customs and the Swedish Enforcement Authority until new agency-specific regulations or decisions on deletion are in place. Overall, our proposals will thus initially entail certain costs for the public sector. Our assessment is that these costs can be covered by the government agencies’ regular appropri-
70Summary
ations. In the longer term, we assess that our proposals should lead to savings for the government agencies concerned and greater government revenue as a result of more efficient case management and control activities. Our proposals are expected to have some positive effects on crime and crime prevention and indirectly on public services and business competitiveness. The proposals are compatible with EU law and other relevant international privacy instruments.
711 Författningsförslag
1.1 Förslag till beskattningsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Lagen gäller även vid behandling av personuppgifter i Skatteverkets verksamhet enligt 1. lagen (1991:1047) om sjuklön, 2. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 3. lagen (2013:948) om stöd vid korttidsarbete, 4. lagen (2020:548) om omställningsstöd, och 5. lagen (2023:230) om förfarande för elstöd till företag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter,
72Författningsförslag
2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan analys eller kontroll, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. fullgörande av förpliktelser som följer av internationella åtaganden, och 7. annan liknande uppgift som Skatteverket ska utföra.
4 § Bestämmelserna i denna lag gäller inte vid Skatteverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
Förhållandet till annan reglering
5 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
6 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
7 § Skatteverket får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller
73Författningsförslag
2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
74Författningsförslag
2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
75Författningsförslag
Begränsning av information m.m. till den registrerade
17 § Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Begränsning av rätten att göra invändningar
18 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
76Författningsförslag
1.2 Förslag till folkbokföringsdatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
3 § Skatteverkets verksamhet enligt 2 § första stycket avser 1. folkbokföring, 2. samordningsnummer, 3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. annan liknande uppgift som Skatteverket ska utföra.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-
77Författningsförslag
förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
6 § Skatteverket får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller 2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
78Författningsförslag
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
11 § Det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Skatteverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Skatteverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Skatteverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
79Författningsförslag
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
80Författningsförslag
1.3 Förslag till tulldatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Tullverkets verksamhet 1. med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter, 2. med övervakning, revision och annan analys eller kontroll, 3. i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande, 4. med fullgörande av förpliktelser som följer av internationella åtaganden, och 5. med annan liknande uppgift som Tullverket ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
3 § Lagen gäller inte vid behandling av personuppgifter som omfattas av lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Bestämmelserna i denna lag gäller inte heller vid Tullverkets behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av
81Författningsförslag
personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
5 § Tullverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
6 § Tullverket får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller 2. att göra dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i den verksamheten. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
8 § Personuppgifter som behandlas enligt 6 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
82Författningsförslag
Känsliga personuppgifter
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
10 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Särskilda bestämmelser om dataanalyser och urval
11 § För att göra dataanalyser och urval enligt 6 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Tullverket förfogar över eller samlar in till följd av verksamhet enligt 2 §, och 2. uppgifter som lämnas till Tullverket för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
12 § När personuppgifter behandlas för att göra dataanalyser och urval ska Tullverket dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
83Författningsförslag
Tillgång till personuppgifter
13 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
14 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
15 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av rätten att göra invändningar
16 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.
84Författningsförslag
1.4 Förslag till kronofogdedatalag
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Kronofogdemyndigheten möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med 1. utsökning och indrivning, 2. skuldsanering och F-skuldsanering, 3. betalningsföreläggande och handräckning, 4. europeiskt betalningsföreläggande, 5. ansökan om och tillsyn över näringsförbud, 6. tillsyn i konkurs och över rekonstruktörer, 7. att motverka överskuldsättning, 8. analys eller kontroll, 9. fullgörande av förpliktelser som följer av internationella åtaganden, och 10. annan liknande uppgift som Kronofogdemyndigheten ska utföra. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register. Bestämmelserna i 18 § första stycket 2 och andra stycket och 19 § gäller även vid behandling av uppgifter om juridiska personer.
3 § Bestämmelserna i denna lag gäller inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning.
85Författningsförslag
Bestämmelserna i denna lag gäller inte heller vid Kronofogdemyndighetens behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
Förhållandet till annan reglering
4 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 § De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur gäller i stället för denna lag.
Personuppgiftsansvar
6 § Kronofogdemyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
7 § Kronofogdemyndigheten får behandla personuppgifter om det är nödvändigt för 1. att utföra verksamhet enligt 2 §, eller 2. att göra dataanalyser och urval i syfte att
86Författningsförslag
a) förebygga, förhindra och upptäcka fel i den verksamheten, och b) motverka överskuldsättning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ändamålen med behandlingen.
8 § Personuppgifter som behandlas enligt 7 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
9 § Personuppgifter som behandlas enligt 7 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
11 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av denna lag. Förbudet omfattar inte heller sökningar i en viss handling eller i ett visst ärende.
Särskilda bestämmelser om dataanalyser och urval
12 § För att göra dataanalyser och urval enligt 7 § första stycket 2 får följande personuppgifter behandlas: 1. uppgifter som Kronofogdemyndigheten förfogar över eller samlar in till följd av verksamhet enligt 2 §, och
87Författningsförslag
2. uppgifter som lämnas till Kronofogdemyndigheten för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka uppgifter som får behandlas för sådana dataanalyser och urval.
13 § När personuppgifter behandlas för att göra dataanalyser och urval ska Kronofogdemyndigheten dokumentera avvägningen mellan det avsedda resultatet med åtgärden och intrånget i enskildas personliga integritet. Även de metoder och sökbegrepp som används för att ta fram urval ska dokumenteras. All dokumentation ska göras på ett sådant sätt att det möjliggör kontroll i efterhand.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
15 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
16 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
88Författningsförslag
Begränsning av rätten att göra invändningar
17 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Rättelse av uppgifter och överklagande
18 § På begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som 1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller 2. vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats.
19 § Beslut om rättelse enligt 18 § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. 3. Den upphävda lagen gäller dock fortfarande för en begäran om rättelse som har kommit in före ikraftträdandet.
89Författningsförslag
1.5 Förslag till lag om det statliga
personadressregistret
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § För de kontroll- och urvalsändamål som anges i 5 § ska det föras ett statligt personadressregister (SPAR). Registret får användas för elektroniskt utlämnande av uppgifter.
2 § Syftet med denna lag är att ge den myndighet som regeringen utser att ansvara för SPAR möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
4 § Den myndighet som regeringen utser att ansvara för SPAR är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
90Författningsförslag
Ändamål
5 § Uppgifterna i SPAR får behandlas för att 1. aktualisera, komplettera och kontrollera personuppgifter (kontrolländamål), och 2. ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (urvalsändamål).
Registerinnehåll
6 § SPAR får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats personnummer enligt 18 b § folkbokföringslagen (1991:481). SPAR får även innehålla uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Följande uppgifter får anges: 1. namn, 2. person- eller samordningsnummer, 3. födelsetid, 4. adress, 5. folkbokföringsort och distrikt, 6. födelsehemort, 7. svenskt medborgarskap, 8. make eller vårdnadshavare, 9. avregistrering enligt 19–22 §§ folkbokföringslagen, med angivande av tidpunkt, 10. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 11. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), 12. taxeringsvärde för småhusenhet, 13. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 14. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen,
91Författningsförslag
15. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 16. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik. På begäran av en registrerad ska det i SPAR också anges att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2.
7 § Uppgifter som avses i 6 § första stycket 1–9 och 13–16 hämtas från Skatteverkets folkbokföringsverksamhet. Övriga uppgifter som avses i 6 § första stycket hämtas från Skatteverkets beskattningsverksamhet.
Utlämnande av uppgifter
8 § En enskild som begär att en myndighet ska lämna ut personuppgifter för kontrolländamål eller urvalsändamål ska hänvisas till SPAR, om inte annat följer av lag eller förordning.
9 § Regeringen får meddela föreskrifter om begränsningar av utlämnande av uppgifter från SPAR.
Sökbegrepp
10 § Regeringen får meddela föreskrifter om begränsningar av de sökbegrepp som får användas vid sökning i SPAR.
Begränsning av rätten att göra invändningar
11 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som har meddelats i anslutning till lagen. Bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i samma förordning.
92Författningsförslag
Längsta tid för behandling
12 § Uppgifter får inte behandlas i SPAR under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Anmälan om misstänkt oriktig uppgift
13 § Vid misstanke om att en uppgift som är hämtad ur SPAR är oriktig, ska den som i tjänsten har tagit del av uppgiften genast anmäla det till den myndighet som ansvarar för SPAR.
1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (1998:527) om det statliga personadressregistret.
93Författningsförslag
1.6 Förslag till lag om dataskydd i Skatteverkets
äktenskapsregister- och
bouppteckningsverksamheter
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Förhållandet till annan reglering
3 § Denna lag innehåller bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandlingen av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
94Författningsförslag
Personuppgiftsansvar
4 § Skatteverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag och föreskrifter som har meddelats i anslutning till lagen.
Ändamål
5 § Skatteverket får behandla personuppgifter om det är nödvändigt för att utföra verksamhet enligt 2 §.
6 § Personuppgifter som behandlas enligt 5 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
7 § Personuppgifter som behandlas enligt 5 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket de samlades in.
Känsliga personuppgifter
8 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Sökbegränsningar
9 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet omfattar dock inte sökningar i en viss handling eller i ett visst ärende.
95Författningsförslag
Tillgång till personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Elektroniskt utlämnande av personuppgifter
11 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Längsta tid för behandling
12 § Personuppgifter får inte behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter längst får behandlas under viss tid.
Begränsning av rätten att göra invändningar
13 § Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt denna lag eller föreskrifter som meddelats i anslutning till lagen .
1. Denna lag träder i kraft den 1 januari 2026. 2. Genom lagen upphävs lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
96Författningsförslag
1.7 Förslag till lag om ändring i
kreditupplysningslagen (1973:1173)
Härigenom föreskrivs att 8 § kreditupplysningslagen (1973:1173) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 § 1 En uppgift om en fysisk person ska gallras när det inte längre är nödvändigt att bevara uppgiften med hänsyn till ändamålet med behandlingen. En uppgift om en fysisk person som inte är näringsidkare ska, om uppgiften inte gäller skuldsanering eller F-skuldsanering, gallras senast tre år efter den dag då den omständighet inträffade eller det förhållande upphörde som uppgiften avser. Om uppgiften rör en begäran om eller ett utlämnande av en kreditupplysning, ska den dock gallras senast ett år efter den dag då begäran framställdes. En uppgift om skuldsanering ska gallras senast fem år efter den dag då inledandebeslutet meddelades eller, om uppgiften gäller F-skuldsanering, senast tre år efter den dagen. Om en betalningsplan löper ut senare, ska dock uppgiften gallras senast den dag då planen löper ut. En uppgift som har inhämtats En uppgift som har inhämtats från Kronofogdemyndigheten i från Kronofogdemyndigheten i dess verksamhet med indrivning dess verksamhet med indrivning och utsökning ska gallras när den och utsökning ska gallras när den inte omfattas av undantaget från inte omfattas av undantaget från sekretess i 34 kap. 1 § andra sekretess i 34 kap. 1 § andra stycket offentlighets- och sekre- stycket offentlighets- och sekretesslagen (2009:400). En uppgift tesslagen (2009:400). En uppgift som har inhämtats från Krono- som har inhämtats från Kronofogdemyndigheten ska också gall- fogdemyndigheten ska också gallras när den har blockerats av ras när den har blockerats av Kronofogdemyndigheten med Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen stöd av 18 § kronofogdedatalagen (2001:184) om behandling av upp- (0000:00). gifter i Kronofogdemyndighetens verksamhet.
1 Senaste lydelse 2016:679.
97Författningsförslag
1. Denna lag träder i kraft den 1 januari 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
98Författningsförslag
1.8 Förslag till lag om ändring i lagen
(1985:146) om avräkning vid återbetalning
av skatter och avgifter
Härigenom föreskrivs att 2 och 15 §§ lagen (1985:146) om avräkning vid återbetalning av skatter och avgifter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 § 1 Om någon har rätt till ett be- Om någon har rätt till ett belopp som avses i 1 § och om det lopp som avses i 1 § och om det allmänna mot denna person har allmänna mot denna person har en fordran, som är registrerad för en fordran, som är registrerad för indrivning i utsöknings- och indriv- indrivning hos Kronofogdemyndigningsdatabasen enligt lagen heten och drivs in enligt bestäm- (2001:184) om behandling av upp- melserna i lagen (1993:891) om gifter i Kronofogdemyndighetens indrivning av statliga fordringar verksamhet och drivs in enligt m.m. ska från beloppet räknas av bestämmelserna i lagen (1993:891) så mycket som kan gå till betalom indrivning av statliga ford- ning av fordringen, om inte något ringar m.m. skall från beloppet annat följer av vad som nedan sägs. räknas av så mycket som kan gå Med det allmännas fordran avses till betalning av fordringen, om också förrättningskostnader i inte något annat följer av vad som målet enligt 17 kap. 1 § utsöknedan sägs. Med det allmännas ningsbalken. Endast vad som överfordran avses också förrättnings- stiger det allmännas fordran får kostnader i målet enligt 17 kap. betalas ut. 1 § utsökningsbalken. Endast vad som överstiger det allmännas fordran får betalas ut.
2 15 § Kan för betalning av en i Kan för betalning av en hos Kronofogdemyndighetens utsök- Kronofogdemyndigheten registrerad nings- och indrivningsdatabas, regi- fordran avräkning från belopp som strerad fordran avräkning från be- avses i 1 § göras både enligt denna
1 Senaste lydelse 2006:702. 2 Senaste lydelse 2006:702.
99Författningsförslag
lopp som avses i 1 § göras både en- lag och enligt annan författning, ligt denna lag och enligt annan för- ska denna lag tillämpas. fattning, skall denna lag tillämpas. Kan en myndighet enligt annan Kan en myndighet enligt annan författning göra avräkning från författning göra avräkning från bebelopp, som avses i 1 §, för betal- lopp, som avses i 1 §, för betalning ning av en fordran, som inte är av en fordran, som inte är registreregistrerad i utsöknings- och indriv- rad hos Kronofogdemyndigheten, ningsdatabasen, får myndigheten får myndigheten göra avräkningen göra avräkningen utan hinder av utan hinder av att förutsättningar att förutsättningar föreligger för föreligger för avräkning enligt avräkning enligt denna lag. denna lag.
Denna lag träder i kraft den 1 januari 2026.
100Författningsförslag
1.9 Förslag till lag om ändring i folkbokföringslagen
(1991:481)
Härigenom föreskrivs i fråga om folkbokföringslagen (1991:481) dels att 1, 26 c, 28 och 31 §§ ska ha följande lydelse, dels att det ska införas en ny paragraf, 1 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 § 1 Folkbokföring enligt denna Folkbokföring enligt denna lag innebär fastställande av en lag innebär fastställande av en persons bosättning samt registrer- persons bosättning samt registrering av de uppgifter om personen ing av de uppgifter om personen som enligt lagen (2001:182) om som får registreras enligt 1 a §. behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet får förekomma i folkbokföringsdatabasen. Vigsel, födelse och dödsfall i landet ska registreras även i fråga om en person som inte är eller har varit folkbokförd. Folkbokföring och sådan regi- Skatteverket ansvarar för folkstrering som avses i andra stycket bokföring och sådan registrering sker genom Skatteverkets försorg. som avses i andra stycket. Bestämmelser om samordningsnummer för den som inte är eller har varit folkbokförd finns i lagen (2022:1697) om samordningsnummer.
1 a § Skatteverket får registrera följande uppgifter om en person: 1. personnummer, 2. samordningsnummer, 3. namn, 4. födelsetid, 5. födelsehemort, 6. födelseort och födelseland, 7. adress,
1 Senaste lydelse 2022:1698.
101Författningsförslag
8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt, 9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering enligt 19– 22 §§, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och 17. uppehållsrätt.
2 26 c § Om en handling som överlämnats enligt 26 b § har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
2 Senaste lydelse 2022:1280.
102Författningsförslag
28 § 3 En anmälan enligt 25 eller 26 § ska innehålla följande uppgifter: 1. namn och person- eller samordningsnummer, 2. datum för ändring av bostads- eller postadress, 3. ny bostads- och postadress samt beräknad giltighetstid, 4. registerbeteckning för den fastighet som den nya bostadsadressen avser och, om fastigheten innehåller flera bostadslägenheter med samma belägenhetsadress, lägenhetsnummer som avses i lagen (2006:378) om lägenhetsregister, och 5. vem som upplåtit den fastighet eller bostadslägenhet som den nya bostadsadressen avser. En anmälan enligt 26 § första stycket ska dessutom innehålla 1. uppgift om födelsetid och medborgarskap, 2. uppgift om inflyttningsdag till landet, avsikten med vistelsen här och dess beräknade varaktighet, 3. uppgift om personnummer som personen har tilldelats i ett annat nordiskt land, och 4. övriga uppgifter som får föras 4. övriga uppgifter som får in i folkbokföringsdatabasen enligt registreras enligt 1 a §. lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
31 § 4 Skatteverket får förelägga en Skatteverket får förelägga en person som kan antas vara skyl- person som kan antas vara skyldig att göra en anmälan enligt dig att göra en anmälan enligt denna lag, att antingen göra en denna lag, att antingen göra en sådan anmälan eller lämna de upp- sådan anmälan eller lämna de uppgifter eller visa upp de handlingar gifter eller visa upp de handlingar som behövs för att fullgöra anmäl- som behövs för att fullgöra anmälningsskyldigheten. Skatteverket ningsskyldigheten. Skatteverket får även i annat fall förelägga en får även i annat fall förelägga en person att lämna de uppgifter eller person att lämna de uppgifter eller visa upp de handlingar som be- visa upp de handlingar som behövs för kontroll av bosättningen hövs för kontroll av bosättningen enligt denna lag eller för kontroll enligt denna lag eller för kontroll
3 Senaste lydelse 2022:1280. 4 Senaste lydelse 2022:1280.
103Författningsförslag
eller komplettering av andra upp- eller komplettering av andra uppgifter om en person som får föras gifter om en person som får regiin i folkbokföringsdatabasen en- streras enligt 1 a §. I förelägganligt lagen (2001:182) om behand- det ska det anges vilka uppgifter ling av personuppgifter i Skatte- som ska lämnas eller vilka handverkets folkbokföringsverksamhet. lingar som ska visas upp. I föreläggandet ska det anges vilka uppgifter som ska lämnas eller vilka handlingar som ska visas upp.
Denna lag träder i kraft den 1 januari 2026.
104Författningsförslag
1.10 Förslag till lag om ändring i lagen (1991:483)
om fingerade personuppgifter
Härigenom föreskrivs att 9 § lagen (1991:483) om fingerade personuppgifter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 § 1 När ett medgivande att an- När ett medgivande att använda fingerade personuppgifter vända fingerade personuppgifter har upphört att gälla ska Polis- har upphört att gälla ska Polismyndigheten underrätta Skatte- myndigheten underrätta Skatteverket om detta. Verket ska skynd- verket om detta. Skatteverket ska samt se till att de fingerade skyndsamt se till att de fingerade uppgifterna inte längre används uppgifterna inte längre används inom folkbokföringen. Verket ska inom folkbokföringsverksamheten göra de ändringar i folkbokför- och göra de ändringar av regiingsdatabasen enligt lagen strerade uppgifter i folkbokförings- (2001:182) om behandling av per- verksamheten som krävs. sonuppgifter i Skatteverkets folkbokföringsverksamhet som krävs. Sedan Polismyndigheten har Sedan Polismyndigheten har underrättat Skatteverket om att underrättat Skatteverket om att ett medgivande att använda fin- ett medgivande att använda fingerade personuppgifter har upp- gerade personuppgifter har upphört får den enskilde använda de hört får den enskilde använda de fingerade uppgifterna fram till fingerade uppgifterna fram till dess verket har registrerat änd- dess Skatteverket har registrerat ringarna i folkbokföringsdatabasen ändringarna i folkbokföringsverkmen inte för tid därefter. samheten men inte för tid därefter.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelse 2018:687.
105Författningsförslag
1.11 Förslag till lag om ändring i sametingslagen
(1992:1433)
Härigenom föreskrivs att 3 kap. 3 § sametingslagen (1992:1433) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 kap.
3 § 1 Rösträtt till Sametinget har den som är upptagen i sameröstlängd. I sameröstlängden tas den same upp som anmäler sig till valnämnden och som är svensk medborgare och på den samiska valdagen fyllt eller fyller 18 år. Under de förutsättningar som Under de förutsättningar som i andra stycket anges för svenska i andra stycket anges för svenska medborgare skall i röstlängden medborgare ska i röstlängden tas tas upp även de utlänningar som upp även de utlänningar som har enligt folkbokföringsdatabasen en- varit folkbokförda enligt folkbokligt lagen (2001:182) om behand- föringslagen (1991:481) i landet ling av personuppgifter i Skatte- tre år i följd före valdagen och verkets folkbokföringsverksamhet som anmäler sig till valnämnden. har varit folkbokförda i landet tre år i följd före valdagen och som anmäler sig till valnämnden.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelse 2003:704.
106Författningsförslag
1.12 Förslag till lag om ändring i lagen (1994:692)
om kommunala folkomröstningar
Härigenom föreskrivs att 6 § lagen (1994:692) om kommunala folkomröstningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 § 1 När en kommunal folkomröst- När en kommunal folkomröstning ska hållas, ska en röstlängd ning ska hållas, ska en röstlängd upprättas för varje omröstnings- upprättas för varje omröstningsdistrikt. Det är uppgifterna i folk- distrikt. Det är uppgifterna som bokföringsdatabasen enligt lagen har registrerats i Skatteverkets folk- (2001:182) om behandling av per- bokföringsverksamhet och i fastigsonuppgifter i skatteförvaltningens hetsregistret enligt lagen folkbokföringsverksamhet och i (2000:224) om fastighetsregister fastighetsregistret enligt lagen 30 dagar före dagen för folkom- (2000:224) om fastighetsregister röstningen som ska ligga till grund 30 dagar före dagen för folkom- för uppgifterna i röstlängderna. röstningen som ska ligga till grund för uppgifterna i röstlängderna. Uppgifter för framställning av röstlängder och röstkort tillhandahålls av den centrala valmyndigheten efter anmälan. Ska folkomröstning äga rum samtidigt med ett allmänt val eller en nationell folkomröstning, får röstlängderna och röstkorten för den kommunala folkomröstningen samordnas med valet eller den nationella folkomröstningen. I annat fall och för de personer som inte är röstberättigade i det allmänna valet eller den nationella folkomröstningen ska kommunen eller regionen framställa röstlängd och upprätta röstkort med ledning av registeruppgifterna från den centrala valmyndigheten. Centrala valmyndigheten har rätt till ersättning för de kostnader som föranleds av den kommunala folkomröstningen.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelse 2019:888.
107Författningsförslag
1.13 Förslag till lag om ändring i lagen (1994:1776)
om skatt på energi
Härigenom föreskrivs att 4 b kap. 1 § och 4 e kap. 1 § lagen (1994:1776) om skatt på energi ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 b kap.
1 § 1 I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att bränsle inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behand- Bestämmelser om behandlingen av uppgifter i det datorise- lingen av personuppgifter i det rade systemet finns i lagen datoriserade systemet finns i (2001:181) om behandling av beskattningsdatalagen (0000:00). uppgifter i Skatteverkets beskattningsverksamhet. När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.
4 e kap.
1 § 2 I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 3 § första stycket,
1 Senaste lydelse 2022:166. 2 Senaste lydelse 2022:166.
108Författningsförslag
2. förenklade administrativa referenskoder enligt 3 § tredje stycket, 3. uppgifter om ändrad destination enligt 5 §, och 4. mottagningsrapporter enligt 6 §. Bestämmelser om behand- Bestämmelser om behandlingen av uppgifter i det datori- lingen av personuppgifter i det serade systemet finns i lagen datoriserade systemet finns i be- (2001:181) om behandling av upp- skattningsdatalagen (0000:00). gifter i Skatteverkets beskattningsverksamhet. När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 9 och 10 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare.
Denna lag träder i kraft den 1 januari 2026.
109Författningsförslag
1.14 Förslag till lag om ändring i lagen (1995:439)
om beskattning, förtullning och folkbokföring
under krig eller krigsfara m.m.
Härigenom föreskrivs att 10, 13 och 14 §§ lagen (1995:439) om beskattning, förtullning och folkbokföring under krig eller krigsfara m.m. ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 § 1 Regeringen får meddela andra Regeringen får meddela andra föreskrifter om behandling av per- föreskrifter om behandling av personuppgifter i Skatteverkets beskatt- sonuppgifter än de som annars ningsdatabas och folkbokförings- gäller enligt databas, Kronofogdemyndighetens 1. beskattningsdatalagen utsöknings- och indrivningsdatabas (0000:00), samt Tullverkets tulldatabas än 2. folkbokföringsdatalagen dem som annars gäller. (0000:00), 3. tulldatalagen (0000:00), och 4. kronofogdedatalagen (0000:00) för verksamhet med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud.
2 13 § Regeringen får överlåta sin be- Regeringen får överlåta sin befogenhet enligt 9 eller 10 § att fogenhet enligt 9 eller 10 §§ att meddela föreskrifter på Skatte- meddela föreskrifter på verket eller, beträffande utsök- 1. Skatteverket, nings- och indrivningsdatabasen, 2. Kronofogdemyndigheten be- Kronofogdemyndigheten eller, be- träffande behandling av personträffande tulldatabasen, Tullverket. uppgifter i verksamhet med utsök- Regeringen får vidare överlåta sin ning och indrivning samt ansökan befogenhet enligt 11 § att med- om och tillsyn över näringsförbud dela föreskrifter om omprövning
1 Senaste lydelse 2006:722. 2 Senaste lydelse 2006:722.
110Författningsförslag
på Skatteverket eller, beträffande enligt kronofogdedatalagen tullar, Tullverket. (0000:00), eller 3. Tullverket beträffande behandling av personuppgifter enligt tulldatalagen (0000:00). Regeringen får vidare överlåta sin befogenhet enligt 11 § att meddela föreskrifter om omprövning på Skatteverket eller, beträffande tullar, Tullverket.
14 § 3 Regeringen får överlåta befog- Regeringen får överlåta befogenhet som regeringen har enligt enhet som regeringen har enligt de skatte-, tull-, avgifts- och folk- de skatte-, tull-, avgifts- och folkbokföringsförfattningar samt de bokföringsförfattningar samt de författningar om behandling av författningar om behandling av personuppgifter och andra upp- personuppgifter som reglerar förgifter som reglerar förhållanden hållanden som omfattas av denna som omfattas av denna lag på lag på Skatteverket eller, beträffande 1. Skatteverket, indrivning av fordringar och be- 2. Kronofogdemyndigheten handling av uppgifter i Krono- beträffande indrivning av fordfogdemyndighetens verksamhet, ringar och behandling av person- Kronofogdemyndigheten eller, be- uppgifter i Kronofogdemyndigträffande tullar och behandling av hetens verksamhet, eller uppgifter i Tullverkets verksam- 3. Tullverket beträffande tullar het, Tullverket. och behandling av personuppgifter i Tullverkets verksamhet.
Denna lag träder i kraft den 1 januari 2026.
3 Senaste lydelse 2006:722.
111Författningsförslag
1.15 Förslag till lag om ändring i lagen (1999:291)
om avgift till registrerat trossamfund
Härigenom föreskrivs att 8 § lagen (1999:291) om avgift till registrerat trossamfund ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 § 1 Om staten till följd av behand- Om staten till följd av behandlingen av en uppgift som avses i lingen av en uppgift som avses i 5 § betalar skadestånd till en per- 5 § betalar skadestånd till en person som är registrerad i beskatt- son som är registrerad i Skatteningsdatabasen enligt lagen verkets beskattningsverksamhet (2001:181) om behandling av upp- ska det trossamfund som lämnat gifter i Skatteverkets beskatt- uppgiften ersätta staten i motsvarningsverksamhet skall det tros- ande utsträckning. samfund som lämnat uppgiften ersätta staten i motsvarande utsträckning.
Denna lag träder i kraft den 1 januari 2026.
1 Senaste lydelsen 2003:726.
112Författningsförslag
1.16 Förslag till lag om ändring i studiestödslagen
(1999:1395)
Härigenom föreskrivs i fråga om studiestödslagen (1999:1395) dels att 4 kap. 26 § och 5 kap. 6 a § ska ha följande lydelse, dels att punkt 20 i ikraftträdande- och övergångsbestämmelserna ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
1 26 § Låntagaren ska lämna de uppgifter som är av betydelse för tillämpningen av detta kapitel till Centrala studiestödsnämnden. En låntagare som har fått årsbeloppet nedsatt är skyldig att omedelbart underrätta Centrala studiestödsnämnden, om någon omständighet som föranlett nedsättningen inte längre finns. En låntagare som inte har sin En låntagare som inte har sin aktuella adress registrerad i folk- aktuella adress registrerad i Skattebokföringsdatabasen enligt lagen verkets folkbokföringsverksamhet (2001:182) om behandling av per- ska lämna uppgift om adressen till sonuppgifter i Skatteverkets folk- Centrala studiestödsnämnden. bokföringsverksamhet ska lämna uppgift om adressen till Centrala studiestödsnämnden.
5 kap.
6 a § 2 En återbetalningsskyldig som En återbetalningsskyldig som inte har sin aktuella adress regi- inte har sin aktuella adress registrerad i folkbokföringsdatabasen strerad i Skatteverkets folkbokenligt lagen (2001:182) om behand- föringsverksamhet ska lämna uppling av personuppgifter i Skatte- gift om adressen till Centrala verkets folkbokföringsverksamhet studiestödsnämnden. ska lämna uppgift om adressen till Centrala studiestödsnämnden.
1 Senaste lydelsen 2011:859. 2 Senaste lydelse 2011:859.
113Författningsförslag
20. Den som är återbetalnings- 20. 3 Den som är återbetalningsskyldig för studielån, studiemedel skyldig för studielån, studiemedel eller återkrav enligt studiestöds- eller återkrav enligt studiestödslagen (1973:349) och som inte har lagen (1973:349) och som inte har sin aktuella adress registrerad i sin aktuella adress registrerad i folkbokföringsdatabasen enligt lagen Skatteverkets folkbokförings- (2001:182) om behandling av verksamhet ska lämna uppgift personuppgifter i Skatteverkets om adressen till Centrala studiefolkbokföringsverksamhet ska stödsnämnden. lämna uppgift om adressen till Centrala studiestödsnämnden.
Denna lag träder i kraft den 1 januari 2026.
3 Senaste lydelse 2011:859.
114Författningsförslag
1.17 Förslag till lag om ändring i vallagen (2005:837)
Härigenom föreskrivs att 4 kap. 1 och 12 §§, 5 kap. 1 § och 6 kap. 8 § vallagen (2005:837) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
1 § 1 För val till riksdagen, region- För val till riksdagen, regionfullmäktige och kommunfullmäk- fullmäktige och kommunfullmäktige ska det finnas geografiskt av- tige ska det finnas geografiskt avgränsade områden för vilka det ska gränsade områden för vilka det ska väljas ledamöter till den beslut- väljas ledamöter till den beslutande församling valet gäller (val- ande församling valet gäller (valkretsar). För val till Europa-parla- kretsar). För val till Europaparlamentet utgör landet en enda mentet utgör landet en enda valkrets. valkrets. Om inte annat anges ska vid Om inte annat anges ska vid tillämpningen av detta kapitel an- tillämpningen av detta kapitel antalet röstberättigade vid ett val be- talet röstberättigade vid ett val beräknas på grundval av uppgifterna räknas på grundval av uppgifter i i folkbokföringsdatabasen enligt Skatteverkets folkbokföringslagen (2001:182) om behandling av verksamhet och uppgifter om perpersonuppgifter i Skatteverkets soner som ska tas upp i röstlängden folkbokföringsverksamhet den enligt 5 kap. 2 § första stycket. Be- 1 mars valåret. räkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret.
12 § 2 Om en kommun har 36 000 personer eller fler som har rösträtt, får kommunen delas in i två eller flera valkretsar. En kommun som har färre än 36 000 personer som har rösträtt får delas in i valkretsar endast om det finns särskilda skäl för det.
1 Senaste lydelse 2019:923. 2 Senaste lydelse 2014:1384.
115Författningsförslag
Antalet röstberättigade ska be- Antalet röstberättigade ska beräknas på grundval av uppgifterna räknas på grundval av uppgifter i i folkbokföringsdatabasen enligt Skatteverkets folkbokföringsverklagen (2001:182) om behandling av samhet den 1 mars det år beslutet personuppgifter i Skatteverkets folk- om valkretsindelning fattas. bokföringsverksamhet den 1 mars det år beslutet om valkretsindelning fattas. En valkrets bör utformas så att den kan beräknas få minst 13 fasta valkretsmandat. Den ska ha en sammanhängande gränslinje, om det inte finns särskilda skäl för något annat.
5 kap.
1 § Vid val skall den centrala val- Vid val ska den centrala valmyndigheten för varje valdistrikt myndigheten för varje valdistrikt upprätta en förteckning över dem upprätta en förteckning över dem som är röstberättigade i valet (röst- som är röstberättigade i valet (röstlängd). längd). Röstlängderna skall grundas Röstlängderna ska grundas på på de uppgifter som 30 dagar före uppgifter i Skatteverkets folkbokvaldagen finns i folkbokförings- föringsverksamhet, i fastighetsdatabasen enligt lagen (2001:182) registret enligt lagen (2000:224) om behandling av personuppgifter om fastighetsregister och uppgifi Skatteverkets folkbokförings- ter om personer som ska tas upp i verksamhet och i fastighetsregist- röstlängden enligt 2 § första stycket. ret enligt lagen (2000:224) om Röstlängderna ska grundas på de fastighetsregister. uppgifter som finns 30 dagar före valdagen.
6 kap.
8 § 3 Följande partier som ställer upp i ett val har rätt till valsedlar på statens bekostnad: 1. vid val till riksdagen: parti som vid valet får eller vid något av de två senaste riksdagsvalen har fått mer än 1 procent av rösterna i hela landet eller som ändå är eller genom valet blir representerat i riksdagen,
3 Senaste lydelse 2019:923.
116Författningsförslag
2. vid val till region- eller kommunfullmäktige: parti som är eller genom valet blir representerat i fullmäktige, 3. vid val till Europaparlamentet: parti som vid valet får eller vid något av de två senaste valen till Europaparlamentet har fått mer än 1 procent av rösterna i hela landet. I samtliga fall avser rätten till fria valsedlar ett antal som motsvarar högst tre gånger antalet röstberättigade i 1. vid val till riksdagen: valkretsen, 2. vid övriga val: valet. Vid tillämpningen av andra Vid tillämpningen av andra stycket beräknas antalet röstberät- stycket beräknas antalet röstberättigade på grundval av uppgifterna tigade på grundval av uppgifter i i folkbokföringsdatabasen enligt Skatteverkets folkbokföringsverklagen (2001:182) om behandling av samhet och uppgifter om personer personuppgifter i Skatteverkets folk- som ska tas upp i röstlängden enbokföringsverksamhet den 1 mars ligt 5 kap. 2 § första stycket. Bevalåret. räkningen ska ske på grundval av de uppgifter som finns den 1 mars valåret.
Denna lag träder i kraft den 1 januari 2026.
117Författningsförslag
1.18 Förslag till lag om ändring i lagen (2005:1137)
om skattereduktion för virke från stormfälld skog
vid 2006 – 2008 års taxeringar
Härigenom föreskrivs att 6 § lagen (2005:1137) om skattereduktion för virke från stormfälld skog vid 2006–2008 års taxeringar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 § Med ett års tillväxt avses i Med ett års tillväxt avses i denna lag produkten av lantbruks- denna lag produkten av lantbruksenhetens skogsmarksareal den enhetens skogsmarksareal den 1 januari 2005 enligt den beskatt- 1 januari 2005 enligt uppgift som ningsdatabas som Skatteverket för har registrerats i Skatteverkets beenligt lagen (2001:181) om be- skattningsverksamhet och det tillhandling av uppgifter i Skatte- växttal som enligt bilaga 2 till verkets beskattningsverksamhet denna lag gäller för det län där och det tillväxttal som enligt bi- lantbruksenheten är belägen. laga 2 till denna lag gäller för det län där lantbruksenheten är belägen. Om lantbruksenheten har bildats efter den 1 januari 2005, beräknas tillväxten på enhetens skogsmarksareal vid tidpunkten för enhetens bildande.
Denna lag träder i kraft den 1 januari 2026.
118Författningsförslag
1.19 Förslag till lag om ändring i lagen (2006:939)
om kvalificerade skyddsidentiteter
Härigenom föreskrivs att 4 och 10 §§ lagen (2006:939) om kvalificerade skyddsidentiteter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 § 1 I ett beslut om kvalificerad skyddsidentitet får det förordnas 1. att Transportstyrelsen skall 1. att Transportstyrelsen ska utfärda körkort i den kvalifice- utfärda körkort i den kvalificerade skyddsidentitetens namn, rade skyddsidentitetens namn, 2. att andra statliga myndig- 2. att andra statliga myndigheter skall utfärda pass eller andra heter ska utfärda pass eller andra identitetshandlingar i den kvali- identitetshandlingar i den kvalificerade skyddsidentitetens namn, ficerade skyddsidentitetens namn, eller eller 3. att Skatteverket skall regi- 3. att Skatteverket ska registrera den kvalificerade skydds- strera den kvalificerade skyddsidentiteten i folkbokföringsdata- identiteten i folkbokföringsverkbasen enligt lagen (2001:182) om samheten. behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Ett förordnande enligt första Ett förordnande enligt första stycket 1 får meddelas endast för stycket 1 får meddelas endast för den som innehar motsvarande kör- den som innehar motsvarande körkort. I samband med förordnan- kort. I samband med förordnandet får det beslutas att Transport- det får det beslutas att Transportstyrelsen eller någon annan styrelsen eller någon annan körkortsmyndighet skall föra in körkortsmyndighet ska föra in uppgifter om körkortet i väg- uppgifter om körkortet i vägtrafikregistret. trafikregistret. I samband med ett förord- I samband med ett förordnande enligt första stycket 2 får nande enligt första stycket 2 får det beslutas att den myndighet det beslutas att den myndighet som utfärdar handlingen även skall som utfärdar handlingen även ska
1 Senaste lydelse 2008:1355.
119Författningsförslag
föra in uppgifter om handlingen föra in uppgifter om handlingen i det register där handlingar av i det register där handlingar av det aktuella slaget registreras. det aktuella slaget registreras. Ett förordnande enligt första stycket 3 får meddelas endast om åtgärder enligt första stycket 1 eller 2 inte är tillräckliga.
2 10 § När ett beslut om kvalificerad skyddsidentitet som innehåller ett förordnande enligt 4 § första stycket 1 eller 2 har upphört att gälla, ska körkort, pass eller andra identitetshandlingar som omfattas av förordnandet lämnas in till beslutsmyndigheten. När ett beslut om kvalificerad När ett beslut om kvalificerad skyddsidentitet som innehåller ett skyddsidentitet som innehåller ett förordnande enligt 4 § första förordnande enligt 4 § första stycket 3 har upphört att gälla, stycket 3 har upphört att gälla, ska Skatteverket, efter anmälan ska Skatteverket, efter anmälan från beslutsmyndigheten, avregi- från beslutsmyndigheten, avregistrera den kvalificerade skydds- strera den kvalificerade skyddsidentiteten. Om det fortfarande identiteten. Om det fortfarande finns en sådan risk som anges i finns en sådan risk som anges i 3 § 2, får beslutsmyndigheten be- 3 § 2, får beslutsmyndigheten bestämma att avregistreringen ska stämma att avregistreringen ska anstå till dess att risken har upp- anstå till dess att risken har upphört. När uppgiften att det som hört. När uppgiften att det som har registrerats i folkbokförings- har registrerats i folkbokföringsdatabasen utgör en kvalificerad verksamheten utgör en kvalificerad skyddsidentitet inte längre omfat- skyddsidentitet inte längre omfattas av sekretess enligt offentlighets- tas av sekretess enligt offentlighetsoch sekretesslagen (2009:400), och sekretesslagen (2009:400), ska Skatteverket, efter anmälan ska Skatteverket, efter anmälan från beslutsmyndigheten, i folk- från beslutsmyndigheten, i folkbokföringsdatabasen ange att bokföringsverksamheten ange att registreringen avser en kvalifice- registreringen avser en kvalificerad skyddsidentitet. rad skyddsidentitet.
Denna lag träder i kraft den i januari 2026.
2 Senaste lydelse 2009:517.
120Författningsförslag
1.20 Förslag till lag om ändring i offentlighets- och
sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) dels att 17 kap. 1 a §, 22 kap. 1 a och 6 §§, 27 kap. 1, 3, 4, 7, 8 och 10 §§, 34 kap. 2, 3, 4 och 11 §§ och rubriken närmast före 17 kap. 1 a § och 34 kap. 2 § ska ha följande lydelse, dels att det ska införas fyra nya paragrafer, 22 kap. 1 b §, 27 kap. 2 a och 3 a §§ och 34 kap. 10 b §, och närmast före 34 kap. 10 b § en ny rubrik av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
17 kap.
Dataanalyser och urval i syfte Dataanalyser och urval i syfte
att förebygga, förhindra och att förebygga, förhindra och
upptäcka felaktiga uppgifter i upptäcka fel m.m. i vissa
folkbokföringsverksamheten verksamheter
1 1 a § Sekretess gäller för uppgift om Sekretess gäller för uppgift om metoder, modeller och riskfakto- metoder, modeller och riskfaktorer som hänför sig till dataanaly- rer som hänför sig till dataanalyser och urval i syfte att före- ser och urval i syfte att förebygga, förhindra och upptäcka bygga, förhindra och upptäcka fel, felaktiga uppgifter i folkbokförings- om det kan antas att det allmänverksamheten, om det kan antas nas syfte med sådana analyser och att det allmännas syfte med så- urval motverkas om uppgiften röjs dana analyser och urval motverkas och analyserna och urvalen rör om uppgiften röjs. 1. Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) eller 2 § folkbokföringsdatalagen (0000:00), 2. Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00), eller
1 Senaste lydelse 2023:162.
121Författningsförslag
3. Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00). Sekretessen gäller även i verksamhet som avses i första stycket 3 för sådana uppgifter som hänför sig till dataanalyser och urval i syfte att motverka överskuldsättning.
22 kap.
1 a § 2 Sekretess gäller i verksamhet Sekretess gäller vid dataanalysom avser förande av och uttag ur ser och urval i syfte att förebygga, analys- och urvalsdatabasen enligt förhindra och upptäcka fel i Skattelagen (2001:182) om behandling verkets verksamhet som avses i 2 § av personuppgifter i Skatteverkets folkbokföringsdatalagen (0000:00) folkbokföringsverksamhet för upp- för uppgift om en enskilds pergift om en enskilds personliga sonliga eller ekonomiska förhåleller ekonomiska förhållanden som landen. har tillförts databasen. För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
1 b § Sekretess gäller i Skatteverkets verksamhet som avses i 2 § folkbokföringsdatalagen (0000:00) för uppgift i en sammanställning ur en upptagning för automatiserad behandling om den grundar sig på uppgifter om födelseort, födelseland, inflyttning från utlandet, medborgarskap eller uppehållsrätt. Sekretessen gäller inte för uppgift som ingår i en sådan sammanställning om den grundar sig på uppgifter om medborgarskap i Sverige, Danmark, Norge, Finland eller
2 Senaste lydelse 2023:162.
122Författningsförslag
Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
6 § 3 Den tystnadsplikt som följer Den tystnadsplikt som följer av 1 § första stycket, 1 a och 2 §§ av 1 § första stycket och 1 a–2 §§ inskränker rätten enligt 1 kap. 1 inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrande- och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela frihetsgrundlagen att meddela och offentliggöra uppgifter. och offentliggöra uppgifter.
27 kap.
1 § 4 Sekretess gäller i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Sekretess gäller vidare 1. i verksamhet som avser för- 1. vid förande av eller uttag ur ande av eller uttag ur beskattnings- en automatiserad uppgiftssamling databasen enligt lagen (2001:181) som Skatteverket använder i verkom behandling av uppgifter i Skatte- samhet som avses i 2 § beskattningsverkets beskattningsverksamhet för datalagen (0000:00) för uppgift uppgift om en enskilds person- om en enskilds personliga eller liga eller ekonomiska förhållan- ekonomiska förhållanden, den som har tillförts databasen, 2. hos kommun eller region för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatterättsnämnden har lämnat i ett ärende om förhandsbesked i en skatte- eller taxeringsfråga, och
3 Senaste lydelse 2023:162. 4 Senaste lydelse 2022:1685.
123Författningsförslag
3. hos Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska förhållanden som Skatteverket har lämnat i ett ärende om särskild sjukförsäkringsavgift. Med skatt avses i detta kapitel skatt på inkomst och annan direkt skatt samt omsättningsskatt, tull och annan indirekt skatt. Med skatt jämställs arbetsgivaravgift, prisregleringsavgift och liknande avgift, avgift enligt lagen (1999:291) om avgift till registrerat trossamfund, skattetillägg, återkallelseavgift, rapporteringsavgift, plattformsavgift och förseningsavgift samt expeditionsavgift och tilläggsavgift enligt lagen (2004:629) om trängselskatt och tilläggsavgift enligt 8 a § lagen (2016:1067) om skatt på kemikalier i viss elektronik. Med verksamhet som avser bestämmande av skatt jämställs verksamhet som avser bestämmande av pensionsgrundande inkomst. Första och andra styckena Första och andra styckena gäller inte om annat följer av 3, 4 gäller inte om annat följer av 3, 4 eller 6 §. eller 6 §. Andra stycket 1 gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Skatteverket. För uppgift i allmän handling gäller sekretessen i högst tjugo år. För uppgift om avgift enligt lagen om avgift till registrerat trossamfund gäller dock sekretessen i högst sjuttio år.
2 a § Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Skatteverkets verksamhet som avses i 2 § beskattningsdatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
124Författningsförslag
3 § Sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. Motsvarande sekretess gäller Motsvarande sekretess gäller i en myndighets verksamhet som av- vid förande av eller uttag ur en ser förande av eller uttag ur tull- automatiserad uppgiftssamling som databasen enligt lagen (2001:185) Tullverket använder i verksamhet om behandling av uppgifter i Tull- som avses i 2 § tulldatalagen verkets verksamhet för uppgift som (0000:00) för uppgift som finns i har tillförts databasen. den uppgiftssamlingen. Första och andra styckena gäl- Första och andra styckena gäller inte om annat följer av 6 §. ler inte om annat följer av 6 §. Andra stycket gäller inte heller om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Tullverket. För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
3 a § Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel i Tullverkets verksamhet som avses i 2 § tulldatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
4 § 5 Sekretessen enligt 1–3 §§ gäl- Sekretessen enligt 1, 2 och ler för uppgift i mål hos domstol, 3 §§ gäller för uppgift i mål hos om det kan antas att den enskil- domstol, om det kan antas att den de lider skada eller men om upp- enskilde lider skada eller men om
5 Senaste lydelse 2011:739.
125Författningsförslag
giften röjs. Detsamma gäller upp- uppgiften röjs. Detsamma gäller gift som med anledning av ett uppgift som med anledning av överklagande hos domstol regi- ett överklagande hos domstol registreras hos en annan myndighet streras hos en annan myndighet enligt 5 kap. 2 § första stycket 3 enligt 5 kap. 2 § första stycket 3 eller 4. Får en domstol i ett mål eller 4. Får en domstol i ett mål från en annan myndighet en sekre- från en annan myndighet en sekretessreglerad uppgift och saknar tessreglerad uppgift och saknar uppgiften betydelse i målet, blir uppgiften betydelse i målet, blir dock sekretessbestämmelsen dock sekretessbestämmelsen tillämplig på uppgiften även hos tillämplig på uppgiften även hos domstolen. domstolen.
7 § 6 Sekretessen enligt 1, 3 och 4 §§ hindrar inte att uppgift lämnas till en enskild enligt vad som föreskrivs i 1. lag om förfarande vid beskattning, 2. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 3. lagen (1990:613) om miljö- 2. lagen (1990:613) om miljöavgift på utsläpp av kväveoxider avgift på utsläpp av kväveoxider vid energiproduktion, eller vid energiproduktion, 3. förordningen (0000:00) om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet, eller 4. förordningen (2001:646) om 4. förordningen (0000:00) om behandling av uppgifter i Tull- utlämnande av uppgifter från Tullverkets verksamhet. verket.
8 § Sekretessen enligt 1–4 §§ hind- Sekretessen enligt 1, 2, 3 och rar inte att uppgift i ärende om 4 §§ hindrar inte att uppgift i revision lämnas till en förvaltare ärende om revision lämnas till en i den enskildes konkurs. förvaltare i den enskildes konkurs.
6 Senaste lydelse 2016:883.
126Författningsförslag
Sekretessen enligt 2–4 §§ hind- Sekretessen enligt 2, 3 och rar inte att uppgift i ärende enligt 4 §§ hindrar inte att uppgift i lagen (2007:324) om Skatteverkets ärende enligt lagen (2007:324) om hantering av vissa borgenärs- Skatteverkets hantering av vissa uppgifter lämnas till en förvaltare borgenärsuppgifter lämnas till en i den enskildes konkurs. förvaltare i den enskildes konkurs. Om en myndighet med stöd av första eller andra stycket lämnar en uppgift till en konkursförvaltare, får myndigheten vid utlämnandet göra ett förbehåll som inskränker konkursförvaltarens rätt att lämna uppgiften vidare eller att utnyttja den. Ett sådant förbehåll får inte innebära ett förbud att utnyttja uppgiften om den behövs för att förvaltaren ska kunna fullgöra sina skyldigheter med anledning av konkursen.
10 § 7 Den tystnadsplikt som följer Den tystnadsplikt som följer av 1 §, 2 § första stycket och 3– av 1 §, 2 § första stycket och 2 a– 5 §§ och den tystnadsplikt som 5 §§ och den tystnadsplikt som följer av ett förbehåll som har följer av ett förbehåll som har gjorts med stöd av 8 § tredje gjorts med stöd av 8 § tredje stycket inskränker rätten enligt stycket inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihets- 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och förordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra att meddela och offentliggöra uppgifter. uppgifter.
34 kap.
Utsöknings- och Uppgifter i automatiserade
indrivningsdatabasen uppgiftssamlingar
2 § Under motsvarande förutsätt- Under motsvarande förutsättningar som i 1 § gäller sekretess i ningar som i 1 § gäller sekretess verksamhet som avser förande av vid förande av eller uttag ur en eller uttag ur utsöknings- och in- automatiserad uppgiftssamling som drivningsdatabasen enligt lagen Kronofogdemyndigheten använder
7 Senaste lydelse 2018:1919.
127Författningsförslag
(2001:184) om behandling av upp- i verksamhet med utsökning och gifter i Kronofogdemyndighetens indrivning samt ansökan om och verksamhet för uppgift om en en- tillsyn över näringsförbud som avskilds personliga eller ekonomiska ses i 2 § kronofogdedatalagen förhållanden som har tillförts data- (0000:00) för uppgift om en enbasen. skilds personliga eller ekonomiska förhållanden. Första stycket gäller inte om det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ som är tillämplig på uppgiften när den förekommer i ett ärende hos Kronofogdemyndigheten. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
3 § Uppgift i mål, ärende eller Uppgift som avses i 1 och verksamhet som avses i 1 och 2 §§ 2 §§ och som Kronofogdemyndigoch som Kronofogdemyndigheten heten har beslutat att blockera har beslutat att blockera med med tillämpning av 18 § kronotillämpning av 3 kap. 3 a § lagen fogdedatalagen (0000:00) omfattas (2001:184) om behandling av upp- av sekretess oavsett vad som föregifter i Kronofogdemyndighetens skrivs i nämnda paragrafer. Vid verksamhet omfattas av sekretess tillämpning av 1 § andra stycket oavsett vad som föreskrivs i ska bortses från sökt verkställignämnda paragrafer. Vid tillämp- het beträffande vilken uppgiften ning av 1 § andra stycket ska bort- blockerats. ses från sökt verkställighet beträffande vilken uppgiften blockerats. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
4 § Sekretess gäller, i den utsträck- Sekretess gäller, i den utsträckning riksdagen har godkänt ett ning riksdagen har godkänt ett avtal om detta med en annan stat avtal om detta med en annan stat
128Författningsförslag
eller med en mellanfolklig orga- eller med en mellanfolklig organisation, hos en myndighet i verk- nisation, hos en myndighet i verksamhet som avses i 1–3 §§ för samhet som avses i 1–3 och sådan uppgift om en enskilds per- 10 b §§ för sådan uppgift om en sonliga eller ekonomiska förhållan- enskilds personliga eller ekonoden som myndigheten förfogar miska förhållanden som myndigöver på grund av avtalet. heten förfogar över på grund av avtalet. Om sekretess gäller enligt första stycket, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. För uppgift i en allmän handling gäller sekretessen i högst tjugo år.
Dataanalyser och urval i syfte
att förebygga, förhindra och
upptäcka fel m.m. i
Kronofogdemyndighetens
verksamhet
10 b § Sekretess gäller vid dataanalyser och urval i syfte att förebygga, förhindra och upptäcka fel samt motverka överskuldsättning i Kronofogdemyndighetens verksamhet som avses i 2 § kronofogdedatalagen (0000:00) för uppgift om en enskilds personliga eller ekonomiska förhållanden. För uppgift i en allmän handling gäller sekretessen i högst tjugo år. Om uppgiften avser den enskildes personliga förhållanden, gäller dock sekretessen i högst femtio år.
129Författningsförslag
11 § 8 Den tystnadsplikt som följer Den tystnadsplikt som följer av 4 § och den tystnadsplikt som av 4 § och 10 b § och den tystföljer av ett förbehåll som har nadsplikt som följer av ett förgjorts med stöd av 5 § andra behåll som har gjorts med stöd stycket inskränker rätten enligt av 5 § andra stycket inskränker 1 kap. 1 och 7 §§ tryckfrihets- rätten enligt 1 kap. 1 och 7 §§ förordningen och 1 kap. 1 och tryckfrihetsförordningen och 10 §§ yttrandefrihetsgrundlagen 1 kap. 1 och 10 §§ yttrandefriatt meddela och offentliggöra hetsgrundlagen att meddela och uppgifter. offentliggöra uppgifter.
1. Denna lag träder i kraft den 1 januari 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
8 Senaste lydelse 2018:1919.
130Författningsförslag
1.21 Förslag till lag om ändring i
skatteförfarandelagen (2011:1244)
Härigenom föreskrivs att 65 kap. 13 § skatteförfarandelagen (2011:1244) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
65 kap.
13 § Om skatt eller avgift inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats. Kostnadsränta ska beräknas Kostnadsränta ska beräknas efter en räntesats som motsvarar efter en räntesats som motsvarar basräntan plus 15 procentenheter basräntan plus 15 procentenheter till och med den dag då ett beslut till och med den dag då ett beslut om att lämna beloppet till Krono- om att lämna beloppet till Kronofogdemyndigheten för indrivning fogdemyndigheten för indrivning eller för verkställighet av betal- eller för verkställighet av betalningssäkring registreras i utsök- ningssäkring registreras hos Krononings- och indrivningsdatabasen fogdemyndigheten. Därefter beräkenligt lagen (2001:184) om behand- nas kostnadsräntan efter en ränteling av uppgifter i Kronofogde- sats som motsvarar basräntan. myndighetens verksamhet. Därefter beräknas kostnadsräntan efter en räntesats som motsvarar basräntan.
Denna lag träder i kraft den 1 januari 2026.
131Författningsförslag
1.22 Förslag till lag om ändring i lagen (2014:1470)
om beskattning av viss privatinförsel av cigaretter
Härigenom föreskrivs att 8 § lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 § Om skatten inte betalas i rätt tid, ska kostnadsränta beräknas från och med dagen efter den dag då beloppet senast skulle ha betalats till och med den dag då beloppet betalas. Kostnadsränta ska beräknas Kostnadsränta ska beräknas efter en räntesats som motsvarar efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatte- basräntan enligt 65 kap. 3 § skatteförfarandelagen (2011:1244) plus förfarandelagen (2011:1244) plus 15 procentenheter till och med den 15 procentenheter till och med den dag då ett beslut om att lämna dag då ett beslut om att lämna beloppet till Kronofogdemyndig- beloppet till Kronofogdemyndigheten för indrivning registreras heten för indrivning registreras i utsöknings- och indrivningsdata- hos Kronofogdemyndigheten. Därbasen enligt lagen (2001:184) om efter beräknas kostnadsräntan med behandling av uppgifter i Krono- en räntesats som motsvarar basfogdemyndighetens verksamhet. räntan enligt 65 kap. 3 § skatte- Därefter beräknas kostnadsräntan förfarandelagen. med en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om skatt ska betalas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska kostnadsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag. Kostnadsränta ska beräknas till och med den dag då betalning senast ska ske. Kostnadsränta ska beräknas efter en räntesats som motsvarar basräntan enligt 65 kap. 3 § skatteförfarandelagen. Om det finns synnerliga skäl, ska beskattningsmyndigheten besluta om befrielse från kostnadsränta. Om skatt ska tillgodoräknas på grund av ett omprövningsbeslut eller ett beslut av domstol, ska intäktsränta beräknas från och med dagen efter beloppets ursprungliga förfallodag till och med den dag
132Författningsförslag
omprövning beslutats. Intäktsränta ska beräknas efter en räntesats som motsvarar intäktsräntan enligt 65 kap. 4 § tredje stycket skatteförfarandelagen. Denna lag träder i kraft den 1 januari 2026.
133Författningsförslag
1.23 Förslag till lag om ändring i tullagen (2016:253)
Härigenom föreskrivs att 1 kap. 4 och 5 §§ tullagen (2016:253) 1 ska upphöra att gälla den 1 januari 2026.
1 Senaste lydelse av 1 kap. 4 § 2022:1132.
134Författningsförslag
1.24 Förslag till lag om ändring i kommunallagen
(2017:725)
Härigenom föreskrivs att 5 kap. 6 § kommunallagen (2017:725) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
6 § Vid tillämpningen av 5 § ska Vid tillämpningen av 5 § ska antalet röstberättigade beräknas antalet röstberättigade beräknas på grundval av uppgifterna i folk- på grundval av de uppgifter som bokföringsdatabasen enligt lagen har registrerats i Skatteverkets folk- (2001:182) om behandling av per- bokföringsverksamhet den 1 mars sonuppgifter i Skatteverkets folk- året före valåret. bokföringsverksamhet den 1 mars året före valåret.
Denna lag träder i kraft den 1 januari 2026.
135Författningsförslag
1.25 Förslag till lag om ändring i lagen (2018:1696)
om Skatteverkets behandling av personuppgifter
inom brottsdatalagens område
Härigenom föreskrivs att 2 kap. 6 § och rubriken närmast före 2 kap. 6 § lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
Beskattningsdatabasen Sökning i
beskattningsverksamheten
6 § I lagen (2001:181) om behand- I beskattningsdatalagen ling av uppgifter i Skatteverkets (0000:00) finns bestämmelser om beskattningsverksamhet finns be- hur personuppgifter får behandlas stämmelser om beskattningsdata- i Skatteverkets beskattningsverkbasen. Vid sökning i beskattnings- samhet. Vid sökning i beskattningsdatabasen som görs för att utföra verksamheten som görs för att uten uppgift som anges i 1 § får föra en uppgift som anges i 1 § endast uppgift om namn, per- får endast uppgift om namn, personnummer eller samordnings- sonnummer eller samordningsnummer användas. nummer användas.
Denna lag träder i kraft den 1 januari 2026.
136Författningsförslag
1.26 Förslag till lag om ändring i lagen (2022:155)
om tobaksskatt
Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:155) om tobaksskatt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behand- Bestämmelser om behandlingen av uppgifter i det datorise- lingen av personuppgifter i det datorade systemet finns i lagen riserade systemet finns i beskatt- (2001:181) om behandling av upp- ningsdatalagen (0000:00). gifter i Skatteverkets beskattningsverksamhet. När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.
8 kap.
2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och
137Författningsförslag
4. mottagningsrapporter enligt 7 §. Bestämmelser om behand- Bestämmelser om behandlingen av uppgifter i det datorise- lingen av personuppgifter i det datorade systemet finns i lagen riserade systemet finns i beskatt- (2001:181) om behandling av upp- ningsdatalagen (0000:00). gifter i Skatteverkets beskattningsverksamhet. När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare.
Denna lag träder i kraft den 1 januari 2026.
138Författningsförslag
1.27 Förslag till lag om ändring i lagen (2022:156)
om alkoholskatt
Härigenom föreskrivs att 5 kap. 2 § och 8 kap. 2 § lagen (2022:156) om alkoholskatt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 kap.
2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under uppskovsförfarandet: 1. elektroniska administrativa dokument enligt 4 § första stycket, 2. administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, 4. underrättelser enligt 8 § om att varor inte längre ska föras ut från unionens tullområde, 5. mottagningsrapporter enligt 10 §, och 6. exportrapporter enligt 11 §. Bestämmelser om behand- Bestämmelser om behandlingen av uppgifter i det datorise- lingen av personuppgifter i det datorade systemet finns i lagen riserade systemet finns i beskatt- (2001:181) om behandling av upp- ningsdatalagen (0000:00). gifter i Skatteverkets beskattningsverksamhet. När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 14–16 §§. Bestämmelserna i 4–6, 8, 9, 14, 15 och 17 §§ om avsändande av varor gäller upplagshavare och registrerade avsändare.
8 kap.
2 § I det datoriserade systemet ska följande dokument och uppgifter hanteras i samband med flyttningar under förfarandet för beskattade varor: 1. elektroniska förenklade administrativa dokument enligt 4 § första stycket, 2. förenklade administrativa referenskoder enligt 4 § tredje stycket, 3. uppgifter om ändrad destination enligt 6 §, och
139Författningsförslag
4. mottagningsrapporter enligt 7 §. Bestämmelser om behand- Bestämmelser om behandlingen av uppgifter i det datorise- lingen av personuppgifter i det datorade systemet finns i lagen riserade systemet finns i beskatt- (2001:181) om behandling av upp- ningsdatalagen (0000:00). gifter i Skatteverkets beskattningsverksamhet. När det datoriserade systemet inte är tillgängligt gäller bestämmelserna i 10 och 11 §§. Bestämmelserna i detta kapitel om certifierade avsändare och certifierade mottagare gäller även tillfälligt certifierade avsändare och tillfälligt certifierade mottagare.
Denna lag träder i kraft den 1 januari 2026.
140Författningsförslag
1.28 Förslag till lag om ändring i lagen (2022:856)
om omställningsstudiestöd
Härigenom föreskrivs att 45 § lagen (2022:856) om omställningsstudiestöd ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
45 § Den som är återbetalnings- Den som är återbetalningsskyldig för återkrav och som inte skyldig för återkrav och som inte har sin aktuella adress registrerad har sin aktuella adress registrerad i folkbokföringsdatabasen enligt i Skatteverkets folkbokföringslagen (2001:182) om behandling verksamhet ska lämna uppgift om av personuppgifter i Skatteverkets adressen till Centrala studiestödsfolkbokföringsverksamhet ska nämnden. lämna uppgift om adressen till Centrala studiestödsnämnden.
Denna lag träder i kraft den 1 januari 2026.
141Författningsförslag
1.29 Förslag till lag om ändring i lagen (2022:1697)
om samordningsnummer
Härigenom föreskrivs att 1 kap. 2 §, 2 kap. 4 § och 4 kap. 1 och 2 §§ lagen (2022:1697) om samordningsnummer ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
2 § Skatteverket beslutar i ärenden enligt denna lag. Uppgifter om personer som har Skatteverket får registrera föltilldelats samordningsnummer regi- jande uppgifter om en person som streras i folkbokföringsdatabasen en- har tilldelats samordningsnummer: ligt lagen (2001:182) om behand- 1. samordningsnummer, ling av personuppgifter i Skatte- 2. personnummer, verkets folkbokföringsverksamhet. 3. namn, 4. födelsetid, 5. medborgarskap, 6. födelseort och födelseland 7. kontaktadress, 8. om personens identitet är styrkt, sannolik eller osäker, 9. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1, 10. vilandeförklaring enligt 3 kap. 2 §, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, och 11. tidpunkt för när en person har avlidit. Bestämmelser om folkbokföring och personnummer finns i folkbokföringslagen (1991:481).
2 kap.
4 § Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck
142Författningsförslag
och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. När en kontroll enligt första stycket har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
4 kap.
1 § En myndighet ska underrätta En myndighet ska underrätta Skatteverket om det kan antas Skatteverket om det kan antas att en uppgift i folkbokförings- att en uppgift som får registreras databasen om någon som har till- om någon som har tilldelats ett delats ett samordningsnummer samordningsnummer är oriktig är oriktig eller ofullständig. eller ofullständig. En sådan underrättelse behöver inte lämnas om särskilda skäl talar mot det. Skyldigheten i första stycket gäller inte för Skatteverkets brottsbekämpande verksamhet. Den gäller inte heller i fråga om uppgifter som omfattas av sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400).
2 § Om en person med ett sam- Om en person med ett samordningsnummer har en kontakt- ordningsnummer har en kontaktadress registrerad i folkbokförings- adress registrerad, ska han eller databasen, ska han eller hon an- hon anmäla ändringar av adresmäla ändringar av adressen till sen till Skatteverket. Skatteverket. Anmälningsskyldigheten gäller inte om samordningsnumret är vilande eller personen omfattas av lagen (1976:661) om immunitet och privilegier i vissa fall.
Denna lag träder i kraft den 1 januari 2026.
143Författningsförslag
1.30 Förslag till beskattningsdataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar beskattningsdatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen. Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
144Författningsförslag
Rätt att meddela föreskrifter
7 § Skatteverket får meddela föreskrifter om verkställigheten av beskattningsdatalagen (0000:00) och av denna förordning. 1. Denna förordning träder i kraft den 1 januari 2026. 2. Genom förordningen upphör förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet att gälla.
145Författningsförslag
1.31 Förslag till folkbokföringsdataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar folkbokföringsdatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen. Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
146Författningsförslag
Rätt att meddela föreskrifter
7 § Skatteverket får meddela föreskrifter om verkställigheten av folkbokföringsdatalagen (0000:00) och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026. 2. Genom förordningen upphör förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet att gälla.
147Författningsförslag
1.32 Förslag till tulldataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar tulldatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen. Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Tullverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Tullverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Tullverket ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Tullverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Tullverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
148Författningsförslag
Rätt att meddela föreskrifter
7 § Tullverket får meddela föreskrifter om verkställigheten av tulldatalagen (0000:00) och av denna förordning. 1. Denna förordning träder i kraft den 1 januari 2026. 2. Genom förordningen upphör förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet att gälla.
149Författningsförslag
1.33 Förslag till kronofogdedataförordning
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar kronofogdedatalagen (0000:00). Ord och uttryck i förordningen har samma betydelse som i lagen. Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Särskilda rutiner vid dataanalyser och urval
4 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för hur urvalsmodeller ska utformas och hur sökbegrepp får användas vid dataanalyser och urval.
Rutiner vid elektroniskt utlämnande
5 § Kronofogdemyndigheten ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
6 § Kronofogdemyndigheten får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
150Författningsförslag
Rätt att meddela föreskrifter
7 § Kronofogdemyndigheten får meddela föreskrifter om verkställigheten av kronofogdedatalagen (0000:00) och av denna förordning. 1. Denna förordning träder i kraft den 1 januari 2026. 2. Genom förordningen upphör förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet att gälla.
151Författningsförslag
1.34 Förslag till förordning om det statliga
personadressregistret
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar lagen (0000:00) om det statliga personadressregistret.
Ansvarig myndighet
2 § Skatteverket ansvarar för SPAR.
SPAR-nämnden
3 § Skatteverkets beslut i frågor som avses i 10 § och 13 § första stycket denna förordning ska fattas av en särskild nämnd inom myndigheten, SPAR-nämnden. Om det finns skäl för det, får Skatteverket bestämma att nämnden ska fatta beslut även i annat enskilt ärende enligt lagen (0000:00) om det statliga personadressregistret eller denna förordning. Närmare bestämmelser om nämnden, dess ledamöter och nämndens beslutsförhet finns i 27–29 §§ förordningen (2017:154) med instruktion för Skatteverket.
Avgifter
4 § Användningen av SPAR får vara avgiftsbelagd.
Elektroniskt utlämnande av uppgifter
5 § Uppgifter från Skatteverkets beskattningsverksamhet får endast lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket.
6 § Uppgifter om födelsehemort och svenskt medborgarskap får endast lämnas ut till myndigheter.
152Författningsförslag
7 § Uppgifter om adress och folkbokföringsort för en person under 16 år får till enskilda endast lämnas ut för kontrolländamål enligt 5 § 1 lagen (0000:00) om det statliga personadressregistret.
8 § Uppgifter om make eller vårdnadshavare får endast lämnas ut till 1. myndigheter, 2. banker, 3. kreditmarknadsföretag, 4. försäkringsföretag, 5. tjänstepensionsföretag, 6. fondbolag, 7. AIF-förvaltare, 8. värdepappersbolag, 9. betalningsinstitut, 10. institut för elektroniska pengar, 11. kreditupplysningsföretag, 12. pensionsstiftelser, 13. inrättningar för detaljhandel med läkemedel som bedrivs med tillstånd enligt 2 kap. 1 § lagen (2009:366) om handel med läkemedel, 14. enskilda huvudmän enligt 2 kap. 5 § skollagen (2010:800), 15. privata vårdgivare enligt 1 kap. 3 § patientdatalagen (2008:355), 16. sådana företag som på uppdrag av försäkringsföretag, tjänstepensionsföretag eller pensionsstiftelser administrerar försäkringar, pensioner eller liknande utfästelser, och 17. föreningar och stiftelser om uppgifterna behövs i samband med släktforskning.
9 § Uppgifter om att en registrerad har begärt att uppgifter om denna inte får behandlas vid urvalsdragningar för direktreklam enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret får endast lämnas ut om den registrerade har samtyckt till det.
Bruttoavisering
10 § Efter beslut av Skatteverket får vissa uppgifter som rör samtliga personer i SPAR lämnas ut för kontrolländamål enligt 5 § 1 lagen (0000:00) om det statliga personadressregistret (bruttoavisering). Bruttoavisering får avse uppgifter för en viss period om ändring av
153Författningsförslag
namn, personnummer, födelsetid, adress, folkbokföringsort och make eller vårdnadshavare samt avregistrering från folkbokföringen. Bruttoavisering får endast medges den som i sin verksamhet regelmässigt behandlar uppgifter om en betydande del av befolkningen och fortlöpande behöver uppdatera dessa. För sådant utlämnande gäller att uppgifter om personer som inte har direkt samband med mottagarens verksamhet ska gallras i omedelbar anslutning till uppdateringen.
Informationsskyldighet vid utlämnande för direktreklam
11 § Vid utlämnande av uppgifter om namn och adress för direktreklam enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret ska Skatteverket se till att den som hämtar uppgifterna ur SPAR informerar de registrerade om att uppgifterna hämtats ur SPAR och om adress dit de kan vända sig i frågor rörande SPAR.
Sökbegrepp
12 § För kontrolländamål enligt 5 § 1 lagen (0000:0) om det statliga personadressregistret får endast följande uppgifter användas som sökbegrepp: 1. namn, 2. person- eller samordningsnummer, 3. födelsetid, 4. adress, och 5. folkbokföringsort och distrikt. Uppgifter om adress, folkbokföringsort och distrikt får dock endast användas i kombination med uppgift om namn.
13 § För urvalsändamål enligt 5 § 2 lagen (0000:00) om det statliga personadressregistret får endast följande uppgifter användas som sökbegrepp, om inte annat sägs i tredje eller fjärde stycket: 1. person- eller samordningsnummer, 2. födelsetid, 3. adress, 4. folkbokföringsort och distrikt, 5. make eller vårdnadshavare,
154Författningsförslag
6. avregistrering enligt 19–22 §§ folkbokföringslagen (1991:481), med angivande av tidpunkt, 7. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 8. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), och 9. taxeringsvärde för småhusenhet. Uppgifter enligt första stycket 7 och 9 ska ordnas i klasser på det sätt som Skatteverket beslutar. Uppgifter om barn yngre än åtta veckor och uppgifter enligt 7–9 om en person under 18 år får inte användas som sökbegrepp vid en behandling enligt första stycket. Uppgifter om avregistrering på grund av dödsfall enligt 19 § folkbokföringslagen får användas som sökbegrepp vid en behandling enligt första stycket tidigast fyra veckor efter dödsfallet.
Statistiska bearbetningar
14 § Uppgifter enligt 6 § första stycket lagen (0000:00) om det statliga personadressregistret får även behandlas för statistiska bearbetningar med de sökbegrepp som är tillåtna enligt 13 §, om resultaten redovisas i en avidentifierad form.
Längsta tid för behandling
15 § För kontroll- och urvalsändamål enligt 5 § lagen (0000:00) om det statliga personadressregistret får följande uppgifter behandlas som längst tre år efter det att en ny, motsvarande uppgift registrerades: 1. namn, 2. person- eller samordningsnummer, 3. födelsetid, 4. adress, 5. folkbokföringsort och distrikt, 6. födelsehemort, 7. svenskt medborgarskap, 8. make eller vårdnadshavare, och
155Författningsförslag
9. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer.
16 § För kontroll- och urvalsändamål enligt 5 § lagen (0000:00) om det statliga personadressregistret får följande uppgifter behandlas som längst till när en ny, motsvarande uppgift registreras: 1. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 2. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), och 3. taxeringsvärde för småhusenhet.
17 § Om en person avregistreras från folkbokföringen, en person med ett samordningsnummer avlider eller ett samordningsnummer förklaras vilande, får uppgifter enligt 6 § lagen (0000:00) om det statliga personadressregistret behandlas för kontroll- och urvalsändamål enligt 5 § samma lag som längst tre år efter det att uppgiften om avregistreringen, dödsfallet eller vilandeförklaringen registrerades i SPAR. Uppgifter om den som avregistrerats som utflyttad enligt 20 § folkbokföringslagen (1991:481) får dock behandlas för sådana ändamål som längst fem år efter det att uppgiften om avregistreringen registrerades i SPAR, om inte den utflyttade dessförinnan anmält ett fortsatt behov av att uppgifterna står kvar i registret. En sådan anmälan måste därefter göras vart femte år för att uppgifterna ska få fortsätta behandlas. Har tidsfristen för hur länge uppgifterna får behandlas löpt ut, får de efter anmälan åter behandlas i SPAR.
Rätt att meddela föreskrifter
18 § Skatteverket får meddela föreskrifter om 1. giltighetstid för Skatteverkets beslut enligt lagen (0000:00) om det statliga personadressregistret och denna förordning, 2. giltighetstid för användning av uppgifter som har lämnats ut för urvalsändamål, och 3. villkor för säkerhet och hantering vid utlämnande av uppgifter ur SPAR.
156Författningsförslag
Skatteverket får även meddela de föreskrifter som behövs för verkställigheten av lagen och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026. 2. Genom förordningen upphävs förordningen (1998:1234) om det statliga personadressregistret.
157Författningsförslag
1.35 Förslag till förordning om dataskydd i
Skatteverkets äktenskapsregister- och
bouppteckningsverksamheter
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § I denna förordning finns bestämmelser som kompletterar lagen (0000:00) om dataskydd för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Ord och uttryck i förordningen har samma betydelse som i lagen. Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.
Tillgång till personuppgifter
2 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.
3 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Rutiner vid elektroniskt utlämnande
4 § Skatteverket ansvarar för att det inom myndigheten finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Längsta tid för behandling
5 § Skatteverket får meddela föreskrifter om att personuppgifter längst får behandlas under en viss tid.
158Författningsförslag
Avgifter
6 § Skatteverket får besluta om avgifter för utlämnande av uppgifter.
Rätt att meddela föreskrifter
7 § Skatteverket får meddela föreskrifter om verkställigheten av lagen (0000:00) om dataskydd för Skatteverkets äktenskapsregisteroch bouppteckningsverksamheter och av denna förordning.
1. Denna förordning träder i kraft den 1 januari 2026. 2. Genom förordningen upphör förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter att gälla.
159Författningsförslag
1.36 Förslag till förordning om utlämnande av uppgifter
från Skatteverkets beskattningsverksamhet
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om utlämnande av uppgifter från Skatteverkets beskattningsverksamhet i vissa fall. Bestämmelser som avser Skatteverkets utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § beskattningsdatalagen (0000:00).
3 § Skatteverket får ta ut avgifter för att lämna ut uppgifter. Rätten att ta ut avgifter får dock inte innebära en inskränkning i 1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller 2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Skatteverket fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.
2 kap. Utlämnande till enskilda
1 § Om det inte av särskild anledning kan antas att den enskilde som uppgiften avser eller någon närstående lider men om uppgiften röjs får följande uppgifter lämnas ut till en enskild: 1. namn och personnummer, 2. organisationsnummer, namn, företagsnamn och juridisk form samt i fråga om handelsbolag och andra juridiska personer sådana
160Författningsförslag
uppgifter om huvudkontor och säte som avses i 67 kap. 8 § skatteförfarandelagen (2011:1244), 3. registrering enligt skatteförfarandelagen samt särskilt registrerings- eller redovisningsnummer, 4. på vilket sätt den preliminära skatten ska betalas för en fysisk person, 5. registrering av skyldighet att göra skatteavdrag eller betala arbetsgivaravgifter, 6. slag av näringsverksamhet, 7. beslut om likvidation, förenklad avveckling eller konkurs, 8. om en fysisk eller juridisk person är godkänd som skattebefriad förbrukare enligt lagen (1994:1776) om skatt på energi eller lagen (2022:156) om alkoholskatt och i sådana fall från vilken tidpunkt, samt vad godkännandet omfattar. 9. om en fysisk eller juridisk person är godkänd som registrerad avsändare enligt lagen om skatt på energi, lagen (2022:155) om tobaksskatt eller lagen om alkoholskatt och i sådana fall från vilken tidpunkt, och 10. om en distansförsäljare enligt 10 kap. lagen om tobaksskatt har ställt säkerhet för skatten på de varor som sänds från det andra EU-landet.
2 § I den utsträckning det behövs för beräkning eller kontroll av arbetslöshetsersättning enligt lagen (1997:238) om arbetslöshetsförsäkring ska följande uppgifter lämnas ut till arbetslöshetskassorna: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
3 kap. Utlämnande till andra verksamheter inom Skatteverket
Skatteverkets brottsbekämpande verksamhet
1 § I den utsträckning det behövs i verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet ska följande uppgifter lämnas ut till Skatteverkets brottsbekämpande verksamhet:
161Författningsförslag
1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, 6. revision och annan kontroll av skatter och avgifter, 7. uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 8. yrkanden och grunder i ett ärende, och 9. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Skatteverkets folkbokföringsverksamhet
2 § I den utsträckning det behövs för handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten ska följande uppgifter lämnas ut till Skatteverkets folkbokföringsverksamhet: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, 6. underlag för fastighetstaxering, och 7. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Skatteverkets verksamhet med det statliga personadressregistret
3 § I den utsträckning det behövs i verksamhet enligt lagen (0000:00) om det statliga personadressregistret ska följande uppgifter lämnas ut till Skatteverkets verksamhet med det statliga personadressregistret: 1. summan av fastställd förvärvsinkomst och inkomst av kapital, dock lägst noll kronor, 2. ägare av småhusenhet eller lantbruksenhet med småhus på tomtmark samt uppgift om kommun (belägenhet), och 3. taxeringsvärde för småhusenhet.
162Författningsförslag
Skatteverkets verksamhet för evenemangsstöd
4 § I den utsträckning det behövs för handläggning enligt förordningen (2021:816) om statligt stöd för vissa planerade evenemang som inte kunnat genomföras med anledning av begränsningar som beslutats för att förhindra spridning av sjukdomen covid-19 ska följande uppgifter lämnas ut till Skatteverkets verksamhet för evenemangsstöd: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, och 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare.
Utlämnande på eget initiativ
5 § Utlämnande av uppgifter enligt 1, 2 och 4 §§ får inte ske på initiativ av Skatteverkets beskattningsverksamhet.
4. kap. Utlämnande till Kronofogdemyndigheten
1 § I den utsträckning det behövs i Kronofogdemyndighetens verksamhet ska följande uppgifter lämnas ut till Kronofogdemyndigheten: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, och 3. registrering för skatter och avgifter.
2 § Uppgifter som anges i 3 § ska lämnas ut till Kronofogdemyndigheten i den utsträckning det behövs för 1. verksamhet med skuldsanering eller F-skuldsanering, 2. verksamhet med utsökning eller indrivning, eller 3. handläggning av ärenden om tillsyn över näringsförbud.
3 § Följande uppgifter ska lämnas ut enligt 2 §: 1. underlag för fastställande av skatter och avgifter, 2. bestämmande av skatter och avgifter, 3. uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter,
163Författningsförslag
4. yrkanden och grunder i ett ärende, och 5. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
4 § Uppgifter som anges i 3 § 1 och 2 ska även lämnas ut till Kronofogdemyndigheten i den utsträckning det behövs för handläggning av en begäran om inhämtande av bankkontoinformation enligt Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur.
Utlämnande på eget initiativ
5 § Utlämnande av uppgifter enligt 1–4 §§ får inte ske på initiativ av Skatteverket.
5 kap. Utlämnande till Tullverket
1 § Uppgifter som anges i 2 § ska lämnas ut till Tullverket i den utsträckning det behövs för 1. handläggning av ärenden om skyldighet att betala tull eller andra avgifter enligt tullagstiftningen, 2. handläggning av ärenden om skyldighet att betala skatt för vara vid import, 3. handläggning av ärenden om skattskyldighet enligt a) lagen (1994:1776) om skatt på energi, b) lagen (2016:1067) om skatt på kemikalier i viss elektronik, c) lagen (2018:696) om skatt på vissa nikotinhaltiga produkter, d) lagen (2020:32) om skatt på plastbärkassar, e) lagen (2022:155) om tobaksskatt, eller f) lagen (2022:156) om alkoholskatt, 4. verksamhet med utbyte av information i punktskattefrågor enligt i rådets förordning (EU) nr 389/2012 av den 2 maj 2012 om administrativt samarbete i fråga om punktskatter och om upphävande av förordning (EG) nr 2073/2004, 5. kontrollverksamhet, eller 6. dataanalyser och urval.
164Författningsförslag
2 § Följande uppgifter ska lämnas ut enligt 1 §: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, 6. yrkanden och grunder i ett ärende, och 7. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
3 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Tullverket: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
4 § Uppgifter och handlingar som ingår i det datoriserade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor ska lämnas ut till Tullverket.
Utlämnande på eget initiativ
5 § Utlämnande av uppgifter enligt 1–4 §§ får inte ske på initiativ av Skatteverket.
6 kap. Utlämnande till Försäkringskassan
1 § Uppgifter som anges i 2 § ska lämnas ut till Försäkringskassan, i den utsträckning det behövs för 1. beräkning eller kontroll av sjukpenninggrundande inkomst, 2. fördelning av ålderspensionsavgifter,
165Författningsförslag
3. fastställande av underhållsstöd och betalningsskyldighet för sådant stöd enligt socialförsäkringsbalken, 4. beräkning och kontroll av bostadsbidrag enligt socialförsäkringsbalken, 5. beräkning av betalningsskyldighet enligt 8 § andra stycket lagen (2004:1237) om särskild sjukförsäkringsavgift, 6. beräkning och kontroll av bostadstillägg enligt socialförsäkringsbalken, eller 7. beräkning av ersättning för sjuklönekostnad enligt 17 eller 17 d § lagen (1991:1047) om sjuklön.
2 § Följande uppgifter ska lämnas ut enligt 1 §: 1. uppgifter enligt 19 kap. 11, 13 och 14 §§ socialförsäkringsbalken, med undantag av 13 § tredje stycket, 2. uppgifter om inkomst som anges i 97 kap. 2, 4, 5, 11 och 13 §§ socialförsäkringsbalken, med undantag av 5 § tredje stycket och 13 § första stycket 1–3, 3. uppgifter om fastighet, ägarandel, fastighetsbeteckning, adress och bostadsyta, 4. uppgifter om avgiftsunderlag enligt 2 kap. 24 § socialavgiftslagen (2000:980) och om därpå belöpande arbetsgivaravgifter enligt 2 kap. socialavgiftslagen, skatt enligt 1 § lagen (1990:659) om löneavgift och avgift enligt 1 § lagen (1994:1920) om allmän löneavgift som beräknats för arbetsgivare under ett kalenderår, 5. uppgifter om avdrag för avsättning till periodiseringsfond och expansionsfond enligt 30 och 34 kap. inkomstskattelagen (1999:1229) samt om återföring av sådana avdrag, 6. uppgifter om schablonintäkt enligt 47 kap. 11 b § inkomstskattelagen, 7. uppgifter om samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital, 8. uppgifter om överskott eller underskott i inkomstslaget näringsverksamhet, och 9. uppgifter om sjuklönekostnad enligt 17 b § första stycket lagen (1991:1047) om sjuklön.
3 § I den utsträckning det behövs för beräkning och kontroll av ersättning enligt förordningen (2022:807) om statlig ersättning för arbete i etableringsjobb ska följande uppgifter ska lämnas ut till
166Författningsförslag
Försäkringskassan: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 3 § får inte ske på initiativ av Skatteverket.
7 kap. Utlämnande till Migrationsverket
1 § Uppgifter som anges i 2 § ska lämnas ut till Migrationsverket i den utsträckning det behövs för handläggning av ansökningar om eller kontroll av 1. uppehållstillstånd enligt 5 kap. 5 § första stycket 1, 10 eller 15 a § utlänningslagen (2005:716) och arbetstillstånd enligt 6 kap. 2 § första stycket samma lag, 2. uppehållstillstånd enligt 5 kap. 5 § andra stycket och 10 a § utlänningslagen, 3. uppehålls- och arbetstillstånd för högkvalificerad anställning (EU-blåkort) enligt 6 a kap. utlänningslagen, 4. tillstånd för företagsintern förflyttning (ICT-tillstånd) eller ICT-tillstånd för rörlighet för längre vistelse enligt 6 b kap. utlänningslagen, eller 5. tillstånd för säsongsarbete enligt 6 c kap. utlänningslagen.
2 § Följande uppgifter ska lämnas ut enligt 1 §: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter,
167Författningsförslag
5. bestämmande av skatter och avgifter, och 6. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
3 § I den utsträckning det behövs för beräkning eller kontroll av dagersättning enligt lagen (1994:137) om mottagande av asylsökande m.fl. ska följande uppgifter lämnas ut till Migrationsverket: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 1 och 2 §§ får inte ske på initiativ av Skatteverket.
8 kap. Utlämnande till brottsbekämpande myndigheter
Ekobrottsmyndigheten
1 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Ekobrottsmyndigheten: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Kustbevakningen
2 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Kustbevakningen:
168Författningsförslag
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Polismyndigheten
3 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Polismyndigheten: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
4 § I den utsträckning det behövs för inspektioner för att kontrollera anställning av utlänningar som inte har rätt att vistas i Sverige enligt artikel 14 i Europaparlamentets och rådets direktiv 2009/52/EG av den 18 juni 2009 om minimistandarder för sanktioner och åtgärder mot arbetsgivare för tredjelandsmedborgare som vistas olagligt ska uppgifter ska lämnas ut till Polismyndigheten.
Säkerhetspolisen
5 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Säkerhetspolisen: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
169Författningsförslag
Åklagarmyndigheten
6 § I den utsträckning det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott ska följande uppgifter lämnas ut till Åklagarmyndigheten: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
7 § Utlämnande av uppgifter enligt 1–6 §§ får inte ske på initiativ av Skatteverket.
9 kap. Utlämnande till domstolar, Rättshjälpsmyndigheten
och Rättshjälpsnämnden
Allmänna domstolar
1 § I den utsträckning det behövs för påföljdsbestämning eller beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i mål eller ärende i domstol ska följande uppgifter lämnas ut till allmän domstol: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Rättshjälpsmyndigheten
2 § I den utsträckning det behövs för beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i fråga om rättshjälp och rådgivningsavgift ska följande uppgifter lämnas ut till Rättshjälpsmyndigheten:
170Författningsförslag
1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Rättshjälpsnämnden
3 § I den utsträckning det behövs för beräkning och kontroll av återbetalningsskyldighet, avgift eller ersättning i fråga om rättshjälp och rådgivningsavgift ska följande uppgifter lämnas ut till Rättshjälpsnämnden: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 1–3 §§ får inte ske på initiativ av Skatteverket.
10 kap. Utlämnande till Statistiska centralbyrån
1 § Uppgifter som anges i 2 § ska lämnas ut till Statistiska centralbyrån i den utsträckning det behövs för 1. framställning av officiell statistik enligt lagen (2001:99) om den officiella statistiken, 2. beräkning av bidrag och avgifter enligt lagen (2004:773) om kommunalekonomisk utjämning, 3. förande av centrala företagsregistret, eller 4. förande av registret över kontrolluppgifter.
171Författningsförslag
2 § Följande uppgifter ska lämnas ut enligt 1 §: 1. namn, personnummer, organisationsnummer, samt särskilt registrerings- och redovisningsnummer, 2. hemortskommun och församling, 3. personnummer för make eller annan med vilken sambeskattning sker, 4. kontrolluppgifter och uppgifter per betalningsmottagare i en arbetsgivardeklaration avseende inkomstslagen tjänst och kapital, pensionsförsäkring, pensionssparkonto och tjänstepensionsavtal, 5. andra kontrolluppgifter än sådana som anges i 4, 6. intäkts- och kostnadsposter i varje inkomstslag i beslut om slutlig skatt i fråga om statlig och kommunal inkomstskatt, 7. allmänna avdrag, 8. antal dagar för vilka sjöinkomst har erhållits, 9. tillgångar och skulder, 10. beslut om beskattning när det gäller sådan skatt eller avgift som avses i 56 kap. 3 § skatteförfarandelagen (2011:1244), dock inte skälen för beslutet, 11. beslut om fastighetstaxering, dock inte skälen för beslutet, 12. skatteavdrag, socialavgifter och särskild löneskatt, mervärdesskatt och preliminär skatt samt sådana uppgifter om näringsverksamhet som avses i 31 kap. 7 och 10 §§ och 33 kap. 6 § skatteförfarandelagen samt 6 kap. 9, 11 och 12 §§ skatteförfarandeförordningen (2011:1261), 13. kommunalt skatteunderlag, 14. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 15. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 16. registrering och betalningar enligt skatteförfarandelagen, uppgifter om beslut om konkurs eller likvidation, uppgifter om antal lämnade kontrolluppgifter och uppgifter per betalningsmottagare i en arbetsgivardeklaration samt uppgift om överskott och underskott i inkomstslagen näringsverksamhet och kapital, 17. fastighetsägare och annan innehavare av fast egendom, om ägd andel, fastighetsbeteckning, taxeringsvärde, omräknat delvärde, beskattningsnatur, typ av fång, tidpunkt för fånget och betald ersättning, 18. bouppteckningar och dödsboanmälningar, och 19. för enkla bolag, bolagsmännens och bolagens personnummer eller organisationsnummer.
172Författningsförslag
3 § I den utsträckning som det behövs för förande av den databas som avses i lagen (2014:484) om en databas för övervakning av och tillsyn över finansmarknaderna ska uppgifter om organisationsnummer och uppgifter från resultat- och balansräkningar på begäran av Riksbanken lämnas ut till Statistiska centralbyrån.
Utlämnande på eget initiativ
4 § Utlämnande av uppgifter enligt 1–3 §§ får inte ske på initiativ av Skatteverket.
11 kap. Utlämnande till övriga myndigheter
Arbetsförmedlingen
1 § Uppgifter som anges i 2 § ska lämnas ut till Arbetsförmedlingen i den utsträckning det behövs för 1. handläggning av ärenden inom den arbetsmarknadspolitiska verksamheten, eller 2. kontroll av stöd till arbetsgivare enligt a) förordningen (2013:1157) om stöd för yrkesintroduktionsanställningar, b) förordningen (2017:462) om särskilda insatser för personer med funktionsnedsättning som medför nedsatt arbetsförmåga, c) förordningen (2018:42) om särskilt anställningsstöd, eller d) förordningen (2018:43) om stöd för nystartsjobb.
2 § Följande uppgifter ska lämnas ut enligt 1 §: 1. uppgifter per betalningsmottagare i en sådan arbetsgivardeklaration eller förenklad arbetsgivardeklaration som avses i 26 kap. skatteförfarandelagen (2011:1244), 2. identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och 3. uppgift om den redovisningsperiod som deklarationen avser.
173Författningsförslag
Centrala studiestödsnämnden
3 § Uppgifter som anges i 4 § ska lämnas ut till Centrala studiestödsnämnden i den utsträckning det behövs för 1. kontroll av ansökningar om uppskov med betalning av studiemedelsavgifter i fråga om studiestöd och av ansökningar om avskrivning av studieskuld, 2. kontroll av ansökningar om studiestöd, om nedsättning av årsbelopp och om avskrivning av studielån samt fastställande av årsbelopp, 3. kontroll av ärenden om återbetalning av lån till hemutrustning för flyktingar och vissa andra utlänningar, eller 4. kontroll av ärenden om återbetalning av körkortslån.
4 § Följande uppgifter ska lämnas ut enligt 3 §: 1. överskott och underskott i inkomstslagen tjänst, näringsverksamhet och kapital, 2. arbetsinkomster enligt 67 kap. 6 § första stycket inkomstskattelagen (1999:1229), 3. nettoomsättning enligt deklarationsbilaga för enskilda näringsidkare samt för delägare i handelsbolag och kommanditbolag, och 4. registrering i sjömansregistret.
Inspektionen för socialförsäkringen
5 § I den utsträckning det behövs för systemtillsyn och effektivitetsgranskning enligt 2 § första stycket 3 och 3 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen ska uppgifter lämnas ut till Inspektionen för socialförsäkringen.
Inspektionen för vård och omsorg
6 § I den utsträckning det behövs för tillståndsgivning eller tillsyn avseende yrkesmässig enskild verksamhet som omfattas av 7 kap. 1 § socialtjänstlagen (2001:453) eller 23 § lagen (1993:387) om stöd och service till vissa funktionshindrade ska uppgifter som är hänförliga till underskott på ett sådant skattekonto som avses i 61 kap. 1 § skatte-
174Författningsförslag
förfarandelagen (2011:1244) lämnas ut till Inspektionen för vård och omsorg.
Kammarkollegiet
7 § I den utsträckning det behövs för handläggning enligt lagen (2022:850) om grundläggande omställnings- och kompetensstöd ska följande uppgifter lämnas ut till Kammarkollegiet: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, och 5. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Länsstyrelserna
8 § Uppgifter som anges i 9 § ska lämnas ut till en länsstyrelse i den utsträckning det behövs för handläggning enligt 1. förordningen (2020:893) om omsättningsstöd till enskilda näringsidkare för mars–juli 2020, 2. förordningen (2021:143) om omsättningsstöd till enskilda näringsidkare, 3. förordningen (2021:208) om omsättningsstöd till handelsbolag, eller 4. förordningen (2021:273) om statligt stöd när vissa lokalhyresgäster fått rabatt på hyran under 2021.
9 § Följande uppgifter ska lämnas ut enligt 8 §: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, och
175Författningsförslag
6. uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag.
Myndigheten för tillväxtpolitiska utvärderingar och analyser
10 § I den utsträckning det behövs för undersökningar av statliga stödinsatser inom regionalpolitik, regional tillväxtpolitik eller innovationspolitik ska följande uppgifter lämnas ut till Myndigheten för tillväxtpolitiska utvärderingar och analyser: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, 6. yrkanden och grunder i ett ärende, 7. beslut, betalning, redovisning och övriga åtgärder i ett ärende, och 8. uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag.
Pensionsmyndigheten
11 § Uppgifter som anges i 12 § ska lämnas ut till Pensionsmyndigheten i den utsträckning det behövs för 1. pensionsberäkning, 2. beräkning av inkomstindex, eller 3. beräkning och kontroll av bostadstillägg och äldreförsörjningsstöd.
176Författningsförslag
12 § Följande uppgifter ska lämnas ut enligt 11 §: 1. pensionsgrundande inkomst med delbelopp, 2. pensionsgrundande inkomst, utan den begränsning som anges i 59 kap. 4 § andra stycket socialförsäkringsbalken, efter avdrag för allmän pensionsavgift, 3. tjänstepension som har redovisats i kontrolluppgifter och som avser personer som är födda 1937 eller tidigare för vilka lagen (1991:586) om särskild inkomstskatt för utomlands bosatta har tillämpats, och 4. samtliga intäkts- och kostnadsposter i inkomstslagen tjänst och kapital, och överskott eller underskott i inkomstslaget näringsverksamhet.
Statens tjänstepensionsverk
13 § Uppgifter om inkomster som är pensionsgrundande enligt 59 kap. socialförsäkringsbalken ska lämnas ut till Statens tjänstepensionsverk i den utsträckning det behövs för beräkning och kontroll av 1. pensionsersättning och särskild pensionsersättning enligt statligt kollektivavtal om trygghetsfrågor, 2. pension enligt statligt kollektivavtal om särskild pension för yrkesofficerare, eller 3. inkomstgaranti eller motsvarande förmåner för den som har varit statsråd och för vissa arbetstagare som har innehaft statlig chefsanställning.
Tillväxtverket
14 § I den utsträckning det behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2021:937) om ny anmälan om avstämning av stöd vid korttidsarbete ska följande uppgifter lämnas ut till Tillväxtverket: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, och 5. bestämmande av skatter och avgifter.
177Författningsförslag
Utlämnande på eget initiativ
15 § Utlämnande av uppgifter enligt 3–10 och 14 §§ får inte ske på initiativ av Skatteverket. Denna förordning träder i kraft den 1 januari 2026.
178Författningsförslag
1.37 Förslag till förordning om utlämnande av uppgifter
från Skatteverkets folkbokföringsverksamhet
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om Skatteverkets utlämnande av uppgifter i vissa fall. Bestämmelser som avser Skatteverkets utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § folkbokföringsdatalagen (0000:00).
3 § Skatteverket får ta ut avgifter för att lämna ut uppgifter. Rätten att ta ut avgifter får dock inte innebära en inskränkning i 1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller 2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Skatteverket fastställer avgifterna för att lämna ut uppgifter enligt denna förordning eller annan författning. En avgift ska tas ut när uppgifter lämnas ut för aktualisering, komplettering och kontroll av personuppgifter, eller uttag av urval av personuppgifter. När uppgifter lämnas ut i andra fall får en avgift tas ut. Statliga myndigheter, med undantag för affärsverken, är fria från sådana avgifter som avses i andra stycket när uppgifter lämnas ut elektroniskt.
5 § Formulär för personbevis och andra utdrag av uppgifter fastställs av Skatteverket.
179Författningsförslag
Utlämnande av uppgifter till enskilda
6 § I den utsträckning det behövs för aktualisering, komplettering, kontroll eller uttag av urval av personuppgifter får följande uppgifter lämnas ut till Svenska kyrkan: 1. uppgifter som anges i 1 a § folkbokföringslagen (1991:481), och 2. uppgifter som anges i 1 kap. 2 andra stycket lagen (2022:1697) om samordningsnummer.
7 § I den utsträckning det behövs för aktualisering, komplettering, kontroll eller uttag av urval av personuppgifter får uppgifter om en nordisk medborgare som är folkbokförd i Sverige lämnas ut till en central registreringsmyndighet för folkbokföring i det nordiska land personen är medborgare i.
Skatteverkets underrättelseskyldighet
8 § Statistiska centralbyrån ska underrättas när registrering har skett beträffande 1. födelse av dödfött barn, 2. adoption, 3. avregistrering som försvunnen, 4. invandring eller utvandring, eller 5. annan person än förälder eller vårdnadshavare som barn under 18 år är bosatt hos. Underrättelse om födelse av dödfött barn ska lämnas snarast. I övrigt ska underrättelse lämnas vid tidpunkt som Skatteverket bestämmer efter samråd med Statistiska centralbyrån.
9 § Socialnämnden ska snarast underrättas när 1. ett barn har folkbokförts eller registrerats enligt 1 § andra stycket folkbokföringslagen (1991:481) och faderskapet eller föräldraskapet enligt 1 kap. 9 § föräldrabalken till barnet inte följer av 1 kap. 1 §, 9 § första stycket eller 11 a § föräldrabalken eller annan lag, 2. gemensam vårdnad om barn har registrerats efter en anmälan enligt 6 kap. 4 § andra stycket 2 föräldrabalken, 3. ett barn saknar registrerad vårdnadshavare, eller 4. sekretessmarkering i fråga om ett barn har registrerats.
180Författningsförslag
Om modern vid barnets födelse är myndig och folkbokförd, inträder skyldigheten att enligt första stycket 1 underrätta socialnämnden om att ett barn har folkbokförts först 15 dagar efter barnets födelse, förutsatt att faderskapet eller föräldraskapet enligt 1 kap. 9 § föräldrabalken till barnet då inte har fastställts. Underrättelse enligt första och andra styckena ska lämnas till socialnämnden i den kommun där barnet är folkbokfört eller, om barnet inte är folkbokfört, till socialnämnden i den kommun där barnet har fötts.
10 § Försäkringskassan och Pensionsmyndigheten ska underrättas när registrering skett beträffande 1. adoption, eller 2. annan person än förälder eller vårdnadshavare som barn under 18 år är bosatt hos.
11 § Socialstyrelsen ska underrättas när uppgift om ingivare och utfärdare av dödsbevis registrerats.
12 § Närmare föreskrifter om innehållet i underrättelser som avses i 8–11 §§ meddelas av Skatteverket efter samråd med berörda centrala myndigheter.
Skatteverkets uppgiftsskyldighet
13 § I den utsträckning det behövs för Skatteverkets verksamhet enligt lagen (0000:00) om det statliga personadressregistret ska följande uppgifter lämnas ut till Skatteverkets verksamhet med det statliga personadressregistret: 1. namn, 2. person- eller samordningsnummer, 3. födelsetid, 4. adress, 5. folkbokföringsort och distrikt, 6. födelsehemort, 7. svenskt medborgarskap, 8. make eller vårdnadshavare,
181Författningsförslag
9. avregistrering enligt 19–22 §§ folkbokföringslagen (1991:481), med angivande av tidpunkt, 10. tidpunkt för när ett samordningsnummer har tilldelats och när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 11. tidpunkt för vilandeförklaring av ett samordningsnummer enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 12. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 13. om den enskildes identitet vid tilldelning eller förnyelse av samordningsnummer har styrkts eller gjorts sannolik.
Denna förordning träder i kraft den 1 januari 2026.
182Författningsförslag
1.38 Förslag till förordning om utlämnande
av uppgifter från Tullverket
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om Tullverkets utlämnande av uppgifter i vissa fall. Bestämmelser som avser Tullverkets utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § tulldatalagen (0000:00).
3 § Tullverket får ta ut avgifter för att lämna ut uppgifter. Rätten att ta ut avgifter får dock inte innebära en inskränkning i 1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller 2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Vid tillämpning av tullagstiftningen får Tullverket bara ta ut avgifter i enlighet med artikel 52 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex.
4 § Tullverket fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.
Utlämnande till enskilda
5 § Till en ekonomisk aktör, som är registrerad hos en tullmyndighet i enlighet med artikel 9 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en
183Författningsförslag
tullkodex, får de uppgifter lämnas ut som aktören behöver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen som den definieras i 1 kap. 3 § tullagen (2016:253).
Utlämnande till Tullverkets brottsbekämpande verksamhet
6 § I den utsträckning det behövs i Tullverkets brottsbekämpande verksamhet ska uppgifter lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet.
Utlämnande till Skatteverket
7 § I den utsträckning det behövs i Skatteverkets verksamhet ska uppgifter som rör import eller export av varor lämnas ut till Skatteverket.
8 § I den utsträckning det behövs för kontrollverksamhet avseende mervärdesskatt vid import eller för handläggning av ärenden ska följande uppgifter lämnas ut till Skatteverket: 1. en fysisk persons identitet och bosättning, 2. en juridisk persons identitet, säte, firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för tull, annan skatt och avgifter, 5. bestämmande av tull, annan skatt och avgifter, 6. yrkanden och grunder i ett ärende, och 7. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
9 § Tullverket ska skriftligen underrätta Skatteverket, om 1. det finns anledning att anta att någon a) på annat sätt än muntligen har lämnat eller kommer att lämna en oriktig uppgift till Skatteverket, eller b) inte har lämnat eller inte kommer att lämna mervärdesskattedeklaration, kontrolluppgift eller annan föreskriven uppgift till Skatteverket, och 2. det därigenom finns risk för att mervärdesskatt undandras eller felaktigt tillgodoräknas eller betalas tillbaka.
184Författningsförslag
Av underrättelsen ska det framgå vilka omständigheter som ligger till grund för antagandet enligt första stycket 1.
Utlämnande till övriga myndigheter
10 § I den utsträckning det behövs i mottagarens verksamhet ska uppgifter som rör import eller export av varor lämnas ut till följande myndigheter: – Arbetsmiljöverket, – Boverket, – Elsäkerhetsverket, – Folkhälsomyndigheten, – Havs- och vattenmyndigheten, – Kemikalieinspektionen, – Kommerskollegium, – Konsumentverket, – Kronofogdemyndigheten, – Livsmedelsverket, – Läkemedelsverket, – Myndigheten för press, radio och tv, – Myndigheten för samhällsskydd och beredskap, – Naturvårdsverket, – Post- och telestyrelsen, – Skogsstyrelsen, – Statens energimyndighet, – Statens jordbruksverk, – Statistiska centralbyrån, – Strålsäkerhetsmyndigheten, – Styrelsen för ackreditering och teknisk kontroll, – Sveriges riksbank, och – Transportstyrelsen.
11 § I den utsträckning det behövs i Inspektionen för strategiska produkters verksamhet ska uppgifter som rör export av varor lämnas ut till inspektionen.
12 § I den utsträckning det behövs i Säkerhetspolisens verksamhet ska uppgifter som rör export av varor lämnas ut till Säkerhetspolisen.
185Författningsförslag
Utlämnande på eget initiativ
13 § Utlämnande av uppgifter enligt 6–8 och 10–12 §§ får inte ske på initiativ av de enheter inom Tullverket som arbetar med verksamhet som anges i 2 § tulldatalagen (0000:00). Denna förordning träder i kraft den 1 januari 2026.
186Författningsförslag
1.39 Förslag till förordning om utlämnande
av uppgifter från Kronofogdemyndigheten
Härigenom föreskrivs följande.
Allmänna bestämmelser
1 § Denna förordning innehåller föreskrifter om utlämnande av uppgifter från Kronofogdemyndigheten i vissa fall. Bestämmelser som avser Kronofogdemyndighetens utlämnande av uppgifter finns även i andra författningar.
2 § Denna förordning tillämpas i sådan verksamhet som anges i 2 § kronofogdedatalagen (0000:00).
3 § Kronofogdemyndigheten får ta ut avgifter för att lämna ut uppgifter. Rätten att ta ut avgifter får dock inte innebära en inskränkning i 1. rätten att ta del av och mot fastställd avgift få kopia eller utskrift av en allmän handling enligt tryckfrihetsförordningen, eller 2. en registrerads rätt enligt artikel 12.5 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
4 § Kronofogdemyndigheten fastställer avgifter för utlämnande av uppgifter enligt denna förordning eller annan författning. En avgift ska inte tas ut när uppgifter lämnas ut till annan myndighet och utlämnandet följer av en skyldighet i lag eller förordning.
Utlämnande till Skatteverket
5 § I den utsträckning det behövs för Skatteverkets handläggning av ärenden eller dataanalyser och urval ska följande uppgifter lämnas ut till Skatteverket: 1. en fysisk persons identitet, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, firmatecknare och andra företrädare,
187Författningsförslag
3. en enskilds ekonomiska förhållanden, 4. näringsförbud, 5. egendom som berörs i ett mål, 6. yrkanden och grunder i ett mål eller ärende, och 7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
6 § I den utsträckning det behövs för handläggning av ärenden eller kontroll av uppgifter i folkbokföringsverksamheten ska följande uppgifter lämnas ut till Skatteverket: 1. adress och andra kontaktuppgifter, 2. genomförd avhysning, utmätning och delgivning, och 3. tillgångar i utlandet.
Utlämnande till Tullverket
7 § I den utsträckning det behövs för Tullverkets handläggning av ärenden ska följande uppgifter lämnas ut till Tullverket: 1. en fysisk persons identitet, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, firmatecknare och andra företrädare, 3. en enskilds ekonomiska förhållanden, 4. näringsförbud, 5. egendom som berörs i ett mål, 6. yrkanden och grunder i ett mål eller ärende, och 7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
Utlämnande till Säkerhetspolisen
8 § I den utsträckning det behövs för handläggning av ärenden om särskild personutredning enligt 3 kap. 17 § säkerhetsskyddslagen (2018:585) ska följande uppgifter lämnas ut till Säkerhetspolisen: 1. en fysisk persons identitet, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, firmatecknare och andra företrädare, 3. en enskilds ekonomiska förhållanden, 4. näringsförbud,
188Författningsförslag
5. egendom som berörs i ett mål, 6. yrkanden och grunder i ett mål eller ärende, och 7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende.
Utlämnande på eget initiativ
9 § Utlämnande av uppgifter enligt 5–8 §§ får inte ske på initiativ av Kronofogdemyndigheten. Denna förordning träder i kraft den 1 januari 2026.
189Författningsförslag
1.40 Förslag till förordning om ändring i kungörelsen
(1950:431) med vissa föreskrifter angående
taxering och debitering av skatt vid ändring i
kommunal indelning, m.m.
Härigenom föreskrivs att 3 § kungörelsen (1950:431) med vissa föreskrifter angående taxering och debitering av skatt vid ändring i kommunal indelning, m.m. ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 § 1 Om en del av en kommun Om en del av en kommun genom ändring i den kommunala genom ändring i den kommunala indelningen överförs till en annan indelningen överförs till en annan kommun, bildar en egen kommun kommun, bildar en egen kommun eller ingår i en nybildad kommun, eller ingår i en nybildad kommun, har kommunstyrelsen i den kom- har kommunstyrelsen i den kommun till vilken kommundelen hör mun till vilken kommundelen hör enligt den nya indelningen, att enligt den nya indelningen, att från den motsvarande myndig- från den motsvarande myndigheten i den förstnämnda kommu- heten i den förstnämnda kommunen på begäran erhålla de till denna nen på begäran få de till denna myndighet överlämnade uppgif- myndighet överlämnade uppgifterna från Skatteverkets beskatt- terna från Skatteverkets beskattningsdatabas och förvaltnings- ningsverksamhet och förvaltningsrättens domar angående ändring rättens domar angående ändring av taxering av fastighet för året av taxering av fastighet för året närmast före det, då indelnings- närmast före det, då indelningsändringen träder i kraft. ändringen träder i kraft. Vad i första stycket sägs skall Vad i första stycket sägs ska tillämpas också om en kommun i tillämpas också om en kommun i sin helhet införlivas med en sin helhet införlivas med en annan kommun eller ingår i en annan kommun eller ingår i en nybildad kommun. nybildad kommun.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2009:873.
190Författningsförslag
1.41 Förslag till förordning om ändring i förordningen
(1967:502) om utdrag ur folkbokföringsdatabasen
för utredning om brott
Härigenom föreskrivs att rubriken till förordningen (1967:502) om utdrag ur folkbokföringsdatabasen för utredning om brott 1 samt 1 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
Förordning om utdrag ur Förordning om utdrag ur
folkbokföringsdatabasen för folkbokföringsverksamheten
utredning om brott för utredning om brott
1 § 2 Domstol, åklagarmyndighet, Domstol, åklagarmyndighet, Polismyndigheten, Säkerhets- Polismyndigheten, Säkerhetspolisen och Kustbevakningen har polisen och Kustbevakningen har rätt att för utredning om brott få rätt att för utredning om brott få utdrag ur folkbokföringsdatabasen utdrag ur folkbokföringsverksamom en viss person. Skatteverket heten om en viss person. Skatteutformar formulär för sådana ut- verket utformar formulär för sådrag efter samråd med Åklagar- dana utdrag efter samråd med myndigheten. Åklagarmyndigheten.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse av förordningens rubrik 2019:85. 2 Senaste lydelse 2019:85.
191Författningsförslag
1.42 Förslag till förordning om ändring i
bötesverkställighetsförordningen (1979:197)
Härigenom föreskrivs att 17 § bötesverkställighetsförordningen (1979:197) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
17 § 1 Om indrivning av böter har Om indrivning av böter har avbrutits utan att böterna har bli- avbrutits utan att böterna har blivit fullt betalda och om det enligt vit fullt betalda och om det enligt Kronofogdemyndighetens be- Kronofogdemyndighetens bedömning finns anledning att anta dömning finns anledning att anta att böterna skall förvandlas, skall att böterna ska förvandlas, ska Kronofogdemyndigheten skynd- Kronofogdemyndigheten skyndsamt sända en redogörelse för samt sända en redogörelse för förhållandet till åklagare som är förhållandet till åklagare som är behörig att föra talan om böter- behörig att föra talan om böternas förvandling. Redogörelsen nas förvandling. Redogörelsen skall innehålla upplysningar om ska innehålla upplysningar om den bötfällde och hans förmåga den bötfällde och hans eller att betala böterna samt utdrag ur hennes förmåga att betala böterna utsöknings- och indrivningsdata- samt utdrag från Kronofogdemynbasen. Redogörelsen upprättas en- dighetens verksamhet med utsökligt formulär som fastställs av ning och indrivning samt ansökan Kronofogdemyndigheten efter om och tillsyn över näringsförbud. samråd med Åklagarmyndigheten. Redogörelsen upprättas enligt formulär som fastställs av Kronofogdemyndigheten efter samråd med Åklagarmyndigheten. Om böterna betalas helt eller Om böterna betalas helt eller delvis, sedan handlingarna har delvis, sedan handlingarna har sänts till åklagaren men innan sänts till åklagaren men innan rätten har meddelat slutligt be- rätten har meddelat slutligt beslut i målet, skall Kronofogde- slut i målet, ska Kronofogdemyndigheten genast underrätta myndigheten genast underrätta åklagaren. åklagaren.
1 Senaste lydelse 2006:1199.
192Författningsförslag
Uppgift om att handlingarna Uppgift om att handlingarna har översänts till åklagaren och har översänts till åklagaren och vilken dag detta har skett skall vilken dag detta har skett ska föras in i utsöknings- och indriv- registreras hos Kronofogdemyndigningsdatabasen. Utfärdar Krono- heten. Utfärdar Kronofogdemynfogdemyndigheten därefter nytt digheten därefter nytt utdrag från utdrag ur utsöknings- och indriv- Kronofogdemyndighetens verksamningsdatabasen, skall även upp- het med utsökning och indrivning gift om detta föras in i databasen. samt ansökan om och tillsyn över På grund av ett sådant utdrag får näringsförbud, ska även uppgift om inte någon åtgärd vidtas för böt- detta registreras. På grund av ett ernas förvandling utan att sam- sådant utdrag får inte någon åttycke lämnas av den åklagare till gärd vidtas för böternas förvandvilken utdrag först sänts. ling utan att samtycke lämnas av den åklagare till vilken utdrag först sänts. Bestämmelserna i denna paragraf tillämpas inte i fråga om en bötfälld, som inte har kunnat anträffas eller som vistas utomlands.
Denna förordning träder i kraft den 1 januari 2026.
193Författningsförslag
1.43 Förslag till förordning om ändring i
utsökningsförordningen (1981:981)
Härigenom föreskrivs att 1 kap. 3 och 5 §§ utsökningsförordningen (1981:981) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
3 § 1 När bestämmelser i utsök- När bestämmelser i utsökningsbalken, som innebär att sök- ningsbalken, som innebär att sökanden kan begära, medge eller anden kan begära, medge eller bestrida något, skall tillämpas i bestrida något, ska tillämpas i allmänna mål och åtgärden inte allmänna mål och åtgärden inte sker vid sammanträde, anses åt- sker vid sammanträde, anses åtgärden ha vidtagits först när den gärden ha vidtagits först när den har registrerats i utsöknings- och har registrerats hos Kronofogdeindrivningsdatabasen eller sedan myndigheten eller sedan anteckanteckning om den har gjorts i ning om den har gjorts i protoprotokoll eller på annan hand- koll eller på annan handling i ling i målet. målet.
5 § 2 Kronofogdemyndigheten skall Kronofogdemyndigheten ska registrera enskilda mål i utsök- registrera enskilda mål och föra nings- och indrivningsdatabasen dagbok i varje mål. Därvid ska samt föra dagbok i varje mål. Där- följande uppgifter registreras: vid skall sådana uppgifter som av- 1. en fysisk persons identitet, ses i 2 kap. 5 § lagen (2001:184) bosättning och familjeförhållanden, om behandling av uppgifter i 2. en juridisk persons identitet, Kronofogdemyndighetens verksam- säte, firmatecknare och andra förehet registreras. trädare, 3. en enskilds ekonomiska förhållanden, 4. näringsförbud, 5. egendom som berörs i ett mål,
1 Senaste lydelse 2001:593. 2 Senaste lydelse 2006:879.
194Författningsförslag
6. yrkanden och grunder i ett mål eller ärende, 7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende, 8. Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål, och 9. andra uppgifter som behövs för fullgörande av förpliktelser som följer av internationella åtaganden. Kronofogdemyndigheten får Kronofogdemyndigheten får meddela föreskrifter för hur dag- meddela föreskrifter för hur dagbok och kassajournal skall föras. bok och kassajournal ska föras. Bestämmelser om utsöknings- och indrivningsdatabasen finns i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet och i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
Denna förordning träder i kraft den 1 januari 2026.
195Författningsförslag
1.44 Förslag till förordning om ändring i förordningen
(1984:692) om det allmänna företagsregistret
Härigenom föreskrivs att 3, 10 och 22 §§ förordningen (1984:692) om det allmänna företagsregistret ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 § 1 I 2 § 3 avses sådana fysiska personer eller dödsbon 1. som hos Skatteverket har registrerats för mervärdesskatt enligt 7 kap. 1 § skatteförfarandelagen (2011:1244), 2. som enligt 10 kap. 2 § skatteförfarandelagen ska göra skatteavdrag, dock inte – sådana enskilda arbetsgivare eller dödsbon som bara har arbetstagare som är anställda för arbete i arbetsgivarens eller dödsboets hushåll – enskilda arbetsgivare som i – enskilda arbetsgivare som i beskattningsdatabasen enligt lagen Skatteverkets beskattningsverk- (2001:181) om behandling av upp- samhet har antecknats som tillfälgifter i Skatteverkets beskattnings- liga arbetsgivare eller som annars verksamhet har antecknats som inte bedriver någon näringsverktillfälliga arbetsgivare eller som samhet, annars inte bedriver någon näringsverksamhet, 3. som efter beslut om debitering av preliminär skatt enligt 55 kap. 2 § skatteförfarandelagen ska betala F-skatt eller särskild A-skatt för inkomst av näringsverksamhet enligt inkomstskattelagen (1999:1229).
10 § 2 För det allmänna företags- För det allmänna företagsregistret ska det på begäran lämnas registret ska det på begäran lämnas uppgifter till Statistiska central- uppgifter till Statistiska centralbyrån från nedan angivna register byrån från nedan angivna mynenligt följande: digheter och register enligt följande:
1 Senaste lydelse 2011:1443. 2 Senaste lydelse 2018:1809.
196Författningsförslag
1. Beskattningsdatabasen enligt 1. Skatteverkets beskattningslagen (2001:181) om behandling verksamhet av uppgifter i Skatteverkets beskattningsverksamhet – organisations- eller personnummer – fysisk persons namn – företagsnamn samt markering om det finns flera företagsnamn – juridisk form – län och kommun där styrelsen har sitt säte eller – i fråga om handelsbolag och enskild näringsidkare – där bolagets huvudkontor är beläget eller näringsidkaren är folkbokförd – postadress – antal anställda hos den som – antal anställda hos den som har nyregistrerats i beskattnings- har nyregistrerats i Skatteverkets databasen beskattningsverksamhet – besöksadress – markering om den registrerade driver sin verksamhet på flera arbetsställen – binäringar inklusive tilläggsnummer och verksamhetsbenämning, om sådan finns, i fråga om den som har registrerats som redovisningsskyldig för mervärdesskatt – huvudnäringsgren – tidigare organisations- eller personnummer (vid ombildning och vissa överlåtelser) – statusmarkeringar – tidpunkt för registrering av uppgifterna 2. Bolagsverkets aktiebolagsregister – aktiebolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk 3. Bolagsverkets europabolagsregister – europabolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk 4. Bolagsverkets europakooperativsregister – europakooperativs särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk 5. Bolagsverkets handelsregister – enskild näringsidkares eller handelsbolags särskilda företagsnamn eller företagsnamn i dess lydelse på främmande språk
197Författningsförslag
6. Lantbruksregistret vid Jordbruksverket – uppgifter som ska registreras om den som driver jordbruk, skogsbruk, trädgårdsodling eller som håller djur.
22 § 3 Den som hos Skatteverket be- Den som hos Skatteverkets begär att få uppgifter ur beskatt- skattningsverksamhet begär att få ningsdatabasen för ett sådant ända- ut uppgifter för ett sådant ändamål som avses i 4 § och som lika mål som avses i 4 § och som lika väl kan tillgodoses genom det all- väl kan tillgodoses genom det allmänna företagsregistret skall hän- männa företagsregistret ska hänvisas till detta register. visas till detta register.
Denna förordning träder i kraft den 1 januari 2026.
3 Senaste lydelse 2003:937.
198Författningsförslag
1.45 Förslag till förordning om ändring i förordningen
(1990:320) om ömsesidig handräckning i
skatteärenden
Härigenom föreskrivs att 10 § förordningen (1990:320) om ömsesidig handräckning i skatteärenden ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 § 1 Begäran om handräckning för Begäran om handräckning för indrivning skall innehålla utred- indrivning ska innehålla utredning om att de i 15 § lagen ning om att de i 15 § lagen (1990:314) om ömsesidig hand- (1990:314) om ömsesidig handräckning i skatteärenden angivna räckning i skatteärenden angivna förutsättningarna för handräck- förutsättningarna för handräckning föreligger. ning föreligger. Till begäran skall fogas det be- Till begäran ska fogas det beslut på vilket anspråket grundas i slut på vilket anspråket grundas i original eller kopia. Om det föl- original eller kopia. Om det följer av överenskommelse med den jer av överenskommelse med den främmande staten får till begäran främmande staten får till begäran i stället fogas utdrag ur restlängd i stället fogas utdrag ur restlängd eller utsöknings- och indrivnings- eller från Kronofogdemyndighetens databasen eller annan handling där verksamhet med utsökning och ingrunden för anspråket framgår. drivning samt ansökan om och tillsyn över näringsförbud eller annan handling där grunden för anspråket framgår.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2006:767.
199Författningsförslag
1.46 Förslag till förordning om ändring i förordningen
(1990:927) om statlig ersättning för
flyktingmottagande m.m.
Härigenom föreskrivs att 1 § förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 § 1 Denna förordning innehåller bestämmelser om statlig ersättning till kommuner och regioner för mottagande av och insatser för skyddsbehövande och vissa andra utlänningar som avses i 3 § och som före utgången av november 2010 först togs emot i en kommun. För utlänningar som har varit För utlänningar som har varit registrerade vid en mottagnings- registrerade vid en mottagningsenhet hos Migrationsverket eller enhet hos Migrationsverket eller som har beviljats uppehållstillstånd som har beviljats uppehållstillstånd enligt 5 kap. 2 § utlänningslagen enligt 5 kap. 2 § utlänningslagen (2005:716) ska tidpunkten då de (2005:716) ska tidpunkten då de först togs emot i en kommun an- först togs emot i en kommun anses vara den dag han eller hon ses vara den dag han eller hon faktiskt togs emot i kommunen. faktiskt togs emot i kommunen. För övriga utlänningar som om- För övriga utlänningar som omfattas av 3 § ska tidpunkten då de fattas av 3 § ska tidpunkten då de först togs emot i en kommun an- först togs emot i en kommun anses vara då han eller hon folkbok- ses vara då han eller hon folkbokfördes i kommunen enligt uppgift fördes i kommunen enligt folki folkbokföringsdatabasen enligt bokföringslagen (1991:481). lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2019:1010.
200Författningsförslag
1.47 Förslag till förordning om ändring i
folkbokföringsförordningen (1991:749)
Härigenom föreskrivs i fråga om folkbokföringsförordningen (1991:749) dels att rubriken närmast före 4 § ska lyda ”Folkbokföring under särskild rubrik och distrikt”, dels att det ska införas en ny paragraf, 4 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 a § Vilket distrikt som ska anges för en person avgörs av den personens belägenhetsadress på den fastighet där personen är folkbokförd med stöd av 6 § folkbokföringslagen (1991:481). Med distrikt avses här detsamma som i 2 § förordningen (2015:493) om distrikt.
Denna förordning träder i kraft den 1 januari 2026.
201Författningsförslag
1.48 Förslag till förordning om ändring i förordningen
(1991:1339) om betalningsföreläggande och
handräckning
Härigenom föreskrivs att 14, 16 och 17 §§ förordningen (1991:1339) om betalningsföreläggande och handräckning ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
14 § 1 Kronofogdemyndigheten får Kronofogdemyndigheten får meddela föreskrifter om hur dag- meddela föreskrifter om hur dagbok i målen skall föras i betal- bok i målen ska föras. ningsföreläggande- och handräckningsdatabasen. I lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet regleras vilka uppgifter som får behandlas i databasen.
16 § 2 Om ett mål skall överlämnas Om ett mål ska överlämnas till en tingsrätt eller en annan till en tingsrätt eller en annan myndighet med stöd av 36 § lagen myndighet med stöd av 36 § lagen (1990:746) om betalningsföreläg- (1990:746) om betalningsföreläggande och handräckning eller efter gande och handräckning eller efter ansökan om återvinning, skall ansökan om återvinning, ska Kronofogdemyndigheten lämna Kronofogdemyndigheten lämna över alla handlingar i målet in- över alla handlingar i målet inklusive delgivningsbevis. Vid be- klusive delgivningsbevis. Vid behov skall Kronofogdemyndigheten hov ska Kronofogdemyndigheten därvid ur betalningsföreläggande- därvid ta fram utskrift av ansökan, och handräckningsdatabasen som förelägganden, beslut, utslag, dagförs enligt lagen (2001:184) om bok och andra uppgifter som kan behandling av uppgifter i Krono- vara av betydelse för den fortfogdemyndighetens verksamhet ta satta handläggningen. Handling-
1 Senaste lydelse 2006:770. 2 Senaste lydelse 2006:770.
202Författningsförslag
fram utskrift av ansökan, före- arna ska sedan ingå i den motlägganden, beslut, utslag, dagbok tagande myndighetens akt. och andra uppgifter som kan vara av betydelse för den fortsatta handläggningen. Handlingarna skall sedan ingå i den mottagande myndighetens akt. Första stycket gäller även när ett utslag överklagas till tingsrätten.
3 17 § Om en uppgift i ett mål om Om en uppgift i ett mål om betalningsföreläggande eller hand- betalningsföreläggande eller handräckning har lämnats ut till ett räckning har lämnats ut till ett kreditupplysningsföretag, ska kreditupplysningsföretag, ska Kronofogdemyndigheten genast Kronofogdemyndigheten genast underrätta kreditupplysnings- underrätta kreditupplysningsföretaget om uppgiften blockeras företaget om uppgiften blockeras med stöd av 3 kap. 3 a § lagen med stöd av 18 § kronofogde- (2001:184) om behandling av upp- datalagen (0000:00). gifter i Kronofogdemyndighetens verksamhet.
1. Denna förordning träder i kraft den 1 januari 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
3 Senaste lydelse 2008:275.
203Författningsförslag
1.49 Förslag till förordning om ändring i
bostadsbidragsförordningen (1993:739)
Härigenom föreskrivs att 1 b § bostadsbidragsförordningen (1993:739) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 b § 1 Centrala studiestödsnämnden ska på begäran lämna Försäkringskassan uppgifter om utbetalda studiemedel i form av studiebidrag, utom när det gäller den del som avser tilläggsbidrag. Uppgifterna ska lämnas på medium för automatiserad behandling. Bestämmelser om skyldighet Bestämmelser om skyldighet att lämna uppgifter från beskatt- att lämna uppgifter från Skatteningsdatabasen finns i förordning- verkets beskattningsverksamhet en (2001:588) om behandling av finns i förordningen (0000:00) om uppgifter i Skatteverkets beskatt- utlämnande av uppgifter från ningsverksamhet. Skatteverkets beskattningsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2008:870.
204Författningsförslag
1.50 Förslag till förordning om ändring i
fastighetstaxeringsförordningen (1993:1199)
Härigenom föreskrivs i fråga om fastighetstaxeringsförordningen 1 (1993:1199) dels att 2 kap. 5 § och 7 kap. 3 § ska upphöra att gälla, dels att 1 A kap. 1 § och 2 kap. 4 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 A kap.
2 1 § Sådana överlåtelser som avses i Lagfarna köp av hela eller delar 2 § 8 förordningen (2001:588) om av fastigheter samt fastighetsreglerbehandling av uppgifter i Skatte- ingar vid vilka mer än två hektar verkets beskattningsverksamhet och åkermark, betesmark och skogssom kvarstår efter gallring enligt mark överförs från en fastighet till 2 och 3 §§ tas upp på förteck- en annan och där frivillig överensningar över representativa över- kommelse om likviden föreligger, låtelser. Sådana överlåtelser som och som kvarstår efter gallring gallrats enligt 3 § ska tas upp på enligt 2 och 3 §§, tas upp på förförteckningar över bortgallrade teckningar över representativa överlåtelser. överlåtelser. Sådana överlåtelser som gallrats enligt 3 § ska tas upp på förteckningar över bortgallrade överlåtelser. Beträffande fastighetsregleringar gäller första stycket endast om mer än fyra hektar överförts från en fastighet till en annan och bebyggelse saknas på den överförda marken.
2 kap.
4 § 3 Bestämmelserna i 20 kap. 5 § skatteförfarandeförordningen (2011:1261) gäller i tillämpliga delar i fråga om uppgifter i fastighetsdeklarationer och andra handlingar, som enligt bestämmelserna i fas-
1 Senaste lydelse av 2 kap. 5 § 2004:281 7 kap. 3 § 2003:963. 2 Senaste lydelse 2018:1097. 3 Senaste lydelse 2011:1266.
205Författningsförslag
tighetstaxeringslagen (1979:1152) har lämnats till ledning för fastighetstaxering eller upprättats eller för granskning omhändertagits av en myndighet vid taxeringskontroll. Bestämmelserna i 20 kap. 2 § första och tredje styckena skatteförfarandeförordningen ska tilllämpas på sådana handlingar som avses i första stycket. Handlingar som avses i första stycket ska förvaras på sådant sätt att obehöriga inte kan komma åt dem och om möjligt hållas skilda från andra handlingar.
Denna förordning träder i kraft den 1 januari 2026.
206Författningsförslag
1.51 Förslag till förordning om ändring i
indrivningsförordningen (1993:1229)
Härigenom föreskrivs att 12, 18 och 24 §§ indrivningsförordningen (1993:1229) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 § 1 Kronofogdemyndigheten skall Kronofogdemyndigheten ska registrera en ansökan om indriv- registrera en ansökan om indrivning i utsöknings- och indriv- ning. ningsdatabasen.
18 § 2 Kronofogdemyndigheten skall Kronofogdemyndigheten ska skyndsamt registrera uppgifter skyndsamt registrera uppgifter om influtna medel i utsöknings- om influtna medel. Detsamma och indrivningsdatabasen. Det- gäller sådana uppgifter som har samma gäller sådana uppgifter som lämnats till Kronofogdemyndighar lämnats till Kronofogdemyn- heten enligt 8 eller 9 §§. digheten enligt 8 eller 9 §.
3 24 § Kronofogdemyndigheten skall Kronofogdemyndigheten ska i utsöknings- och indrivnings- registrera följande uppgifter som databasen registrera sådana upp- behövs i verksamheten: gifter som avses i 2 kap. 5 § lagen 1. en fysisk persons identitet, bo- (2001:184) om behandling av sättning och familjeförhållanden, uppgifter i Kronofogdemyndighetens 2. en juridisk persons identitet, verksamhet och som behövs i verk- säte, firmatecknare och andra föresamheten. trädare, 3. en enskilds ekonomiska förhållanden, 4. näringsförbud, 5. egendom som berörs i ett mål,
1 Senaste lydelse 2006:773. 2 Senaste lydelse 2006:773. 3 Senaste lydelse 2006:773.
207Författningsförslag
6. yrkanden och grunder i ett mål eller ärende, 7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende, 8. Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål, och 9. andra uppgifter som behövs för fullgörande av förpliktelser som följer av internationella åtaganden.
Denna förordning träder i kraft den 1 januari 2026.
208Författningsförslag
1.52 Förslag till förordning om ändring i förordningen
(1995:238) om totalförsvarsplikt
Härigenom föreskrivs att 3 kap. 3 § förordningen (1995:238) om totalförsvarsplikt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 kap.
3 § 1 Skatteverket ska underrätta Skatteverket ska underrätta Totalförsvarets plikt- och pröv- Totalförsvarets plikt- och prövningsverk om de ändringar i folk- ningsverk om de ändringar som bokföringsdatabasen enligt lagen görs av registrerade uppgifter i folk- (2001:182) om behandling av per- bokföringsverksamheten som är av sonuppgifter i Skatteverkets folk- betydelse för inskrivning eller bokföringsverksamhet som är av redovisning av dem som är skylbetydelse för inskrivning eller diga att mönstra eller som skriredovisning av dem som är skyl- vits in för värnplikt eller civilplikt diga att mönstra eller som skri- eller i utbildningsreserven. vits in för värnplikt eller civilplikt eller i utbildningsreserven.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2020:1280.
209Författningsförslag
1.53 Förslag till förordning om ändring i förordningen
(2000:308) om fastighetsregister
Härigenom föreskrivs att 64, 72 och 74 §§ förordningen (2000:308) om fastighetsregister ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
64 § 1 I taxeringsuppgiftsdelen skall I taxeringsuppgiftsdelen ska redovisas uppgifter från beskatt- redovisas uppgifter från Skatteningsdatabasen enligt lagen verkets beskattningsverksamhet (2001:181) om behandling av upp- såvitt avser gifter i Skatteverkets beskattningsverksamhet såvitt avser 1. taxeringsvärden och övriga 1. taxeringsvärden och övriga uppgifter som enligt fastighets- uppgifter som enligt fastighetstaxeringslagen (1979:1152) skall taxeringslagen (1979:1152) ska redovisas i beslut om fastighets- redovisas i beslut om fastighetstaxering, samt taxering, samt 2. fastighetsägare eller tomträttshavare och ägare till hus på ofri grund med uppgift om person- eller organisationsnummer, namn och postadress. Uppgifter enligt första stycket Uppgifter enligt första stycket skall avse förhållandena året när- ska avse förhållandena året närmast före det år då uppgiften hålls mast före det år då uppgiften hålls tillgänglig i fastighetsregistret. tillgänglig i fastighetsregistret. Taxeringsuppgiftsdelen får Taxeringsuppgiftsdelen får även innehålla uppgift enligt första även innehålla uppgift enligt första stycket 1 som avser förhållandena stycket 1 som avser förhållandena för annat år än det år som avses i för annat år än det år som avses i andra stycket. En sådan uppgift andra stycket. En sådan uppgift skall redovisas skild från uppgift ska redovisas skild från uppgift enligt andra stycket och innehålla enligt andra stycket och innehålla en anmärkning om det kalender- en anmärkning om det kalenderår som den avser. år som den avser.
1 Senaste lydelse 2003:1014.
210Författningsförslag
72 § 2 Sedan en underrättelse som Sedan en underrättelse som avses i 74 § har kommit in, ska avses i 74 § har kommit in, ska Lantmäteriet snarast möjligt i Lantmäteriet snarast möjligt i fastighetsregistret föra in de upp- fastighetsregistret föra in de uppgifter som avses i 64 § första gifter som avses i 64 § första stycket och 67 §. Införingen av stycket och 67 §. Införingen av uppgifter från beskattningsdata- uppgifter från Skatteverkets beskattbasen ska med beaktande av 64 § ningsverksamhet ska med beakandra stycket ske senast i sam- tande av 64 § andra stycket ske band med årsskifte. Om det med senast i samband med årsskifte. stöd av 64 § tredje stycket redo- Om det med stöd av 64 § tredje visas ytterligare uppgifter i regist- stycket redovisas ytterligare uppret, får Lantmäteriet föra in dessa gifter i registret, får Lantmäteriet vid den tidpunkt som bestäms av föra in dessa vid den tidpunkt Lantmäteriet efter samråd med som bestäms av Lantmäteriet Skatteverket. efter samråd med Skatteverket.
3 74 § Skatteverket ska på upptag- Skatteverket ska elektroniskt ning för automatiserad behand- underrätta Lantmäteriet om de ling underrätta Lantmäteriet om uppgifter från Skatteverkets bede uppgifter från beskattnings- skattningsverksamhet som behövs databasen enligt lagen (2001:181) för att fastighetsregistret ska om behandling av uppgifter i Skatte- kunna tillföras uppgifter enligt verkets beskattningsverksamhet 64 § första stycket. som behövs för att fastighetsregistret ska kunna tillföras uppgifter enligt 64 § första stycket. Skatteverket ska underrätta Skatteverket ska underrätta Lantmäteriet om de uppgifter från Lantmäteriet om de uppgifter från folkbokföringsdatabasen enligt Skatteverkets folkbokföringsverklagen (2001:182) om behandling samhet och från beskattningsav personuppgifter i Skatteverkets verksamheten som behövs för att folkbokföringsverksamhet och fastighetsregistret ska kunna tillfrån beskattningsdatabasen som föras uppgifter enligt 53 och behövs för att fastighetsregistret 67 §§.
2 Senaste lydelse 2008:687. 3 Senaste lydelsen 2011:60.
211Författningsförslag
ska kunna tillföras uppgifter enligt 53 och 67 §§. Underrättelser enligt första och andra styckena ska lämnas vid den tidpunkt som bestäms av Skatteverket efter samråd med Lantmäteriet.
Denna förordning träder i kraft den 1 januari 2026.
212Författningsförslag
1.54 Förslag till förordning om ändring i förordningen
(2003:766) om behandling av personuppgifter
inom socialförsäkringens administration
Härigenom föreskrivs att 2 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 § 1 Utöver de fall som anges i 114 kap. 15 § första stycket socialförsäkringsbalken får för de ändamål som avses i det stycket och med beaktande av de begränsningar som anges i samma stycke samt i 11 och 12 §§ samma kapitel, i socialförsäkringsdatabasen behandlas uppgifter i en handling som kommit in i ett ärende och sådana uppgifter i en handling, som upprättats i ett ärende, som är nödvändiga för ärendets handläggning samt uppgifter om 1. kön, 2. civilstånd, 3. medborgarskap, 4. födelseort, 5. studiemedel och andra ekonomiska förhållanden, 6. värnpliktstjänstgöring, utbildning, yrke och arbetsuppgifter, 7. arbetssökande, arbetsgivare, arbetsställe och vilken bransch den registrerade är verksam i, 8. preliminärskatt, inkomstbeskattning och fastighetstaxering, 9. hyra för hyreslägenhet eller avgift för bostadsrättslägenhet, 10. uppgifter i och formerna för ansökningar eller anmälningar, 11. förekomsten av begäran om förhandsprövning enligt lagen (2008:145) om statligt tandvårdsstöd eller enligt föreskrifter som meddelats med stöd av lagen samt koder för de tandvårdsåtgärder som begäran avser, 13. åtgärdskoder enligt förordningen (2008:193) om statligt tandvårdsstöd, 15. patientavgifter och tandvårdsersättningar, 16. tidpunkter, tidsperioder och belopp dels för ersättningar, dels för ersättningsgrundande förhållanden, i ärenden,
1 Senaste lydelse 2018:461.
213Författningsförslag
17. nedsatt arbetsförmåga, 18. förmåns- eller ersättningsrelaterad information i intyg och utlåtanden av läkare eller annan intygsgivare, 19. förmåns- eller ersättningsrelaterad information i rehabiliteringsutredningar eller andra utredningar i rehabiliteringsärenden samt rehabiliteringsplaner, 20. arten av, kostnaderna och tidpunkterna för föreslagna, planerade och vidtagna rehabiliteringsåtgärder, 21. leverantörer av produkter och tjänster inom rehabiliteringsområdet, 22. vårdgivare, 23. remisser, 24. läkaren som utfärdat intyg eller utlåtanden som ligger till grund för beslutet om ersättning, 25. diagnoser, 26. förekomsten av sådan särskild grund för beaktande av högre bostadskostnad som avses i 97 kap. 18 § andra stycket och 27 § andra stycket socialförsäkringsbalken, 27. bevakningsanledningar, 28. frågor om återbetalningsskyldighet har uppkommit, 29. anledningen till att ett ärende har avslutats, 30. avgöranden av domstol, Försäkringskassan eller Pensionsmyndigheten som är av betydelse för enskilda ärenden i fråga om uppgifter om utgången, de bestämmelser som har tillämpats och om avgörandet har överklagats, 31. beslut i ärenden, 32. att den registrerade får eller har rätt till ersättning enligt förordningen (2017:819) om ersättning till deltagare i arbetsmarknadspolitiska insatser, 34. registrerade som får eller har fått vård eller försörjning helt eller delvis på det allmännas bekostnad, 35. den registrerade från ut- 35. den registrerade från söknings- och indrivningsdata- Kronofogdemyndighetens verksambasen, het med utsökning och indrivning samt ansökan om och tillsyn över näringsförbud, 36. att den registrerade är häktad, intagen i kriminalvårdsanstalt eller i övrigt har tagits om hand på det allmännas bekostnad,
214Författningsförslag
37. att den registrerade vistas eller bor i en särskild boendeform enligt socialtjänstlagen (2001:453) eller vistas eller bor på annat liknande sätt, 38. att godmanskap eller förvaltarskap är anordnat enligt föräldrabalken, 39. vilken personkrets enligt 52 kap. 10–13 §§ socialförsäkringsbalken som den registrerade hör till, 40. att den registrerade på grund av sjukdom eller handikapp varaktigt saknar förmåga att vårda barn, 41. den registrerade i register hs sådana organ i andra stater som har att handlägga ärenden om social trygghet i enlighet med EUrättsliga regler 42. den registrerade hos Migrationsverket som behandlas med stöd av 11 och 13 §§ utlänningsdatalagen (2016:27), och 43. att den registrerade eller dennes make eller sambo får vårdnadsbidrag enligt den upphävda lagen (2008:307) om kommunalt vårdnadsbidrag.
Denna förordning träder i kraft den 1 januari 2026.
215Författningsförslag
1.55 Förslag till förordning om ändring i förordningen
(2007:789) om Skatteverkets hantering av vissa
borgenärsuppgifter
Härigenom föreskrivs att 6 § förordningen (2007:789) om Skatteverkets hantering av vissa borgenärsuppgifter ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 § Skatteverket ska underrätta Kronofogdemyndigheten om det hos verket, i fråga om en fordran som överlämnats för verkställighet till Kronofogdemyndigheten, har uppkommit fråga om 1. ackord, 2. nedsättning av fordran enligt 5 § första stycket lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 3. åtgärder för att en gäldenär ska försättas i konkurs eller ansökan om likvidation eller företagsrekonstruktion, 4. talan om betalningsansvar för någon annans skulder till det allmänna, 5. preskriptionsförlängning, eller 6. förordnande av boutredningsman enligt 19 kap. 1 § ärvdabalken. Skatteverket ska också, i den utsträckning det behövs, hålla Kronofogdemyndigheten informerad om den fortsatta handläggningen i en fråga som avses i första stycket. Underrättelse enligt första Underrättelse enligt första stycket ska lämnas senast då ett stycket ska lämnas senast då ett ärende registrerats i beskattnings- ärende registrerats i Skatteverkets databasen enligt lagen (2001:181) beskattningsverksamhet. om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
216Författningsförslag
1.56 Förslag till förordning om ändring i förordningen
(2008:892) om europeiskt betalningsföreläggande
Härigenom föreskrivs att 12, 14 och 15 §§ förordningen (2008:892) om europeiskt betalningsföreläggande ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 § Kronofogdemyndigheten får Kronofogdemyndigheten får meddela föreskrifter om hur dag- meddela föreskrifter om hur dagbok i målen ska föras i betalnings- bok i målen ska föras. föreläggande- och handräckningsdatabasen. I lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet regleras vilka uppgifter som får behandlas i databasen.
1 14 § Om ett mål överlämnas till en Om ett mål överlämnas till en domstol med stöd av 10 § lagen domstol med stöd av 10 § lagen (2008:879) om europeiskt betal- (2008:879) om europeiskt betalningsföreläggande, ska Kronofog- ningsföreläggande, ska Kronofogdemyndigheten lämna över alla demyndigheten lämna över alla handlingar i målet inklusive delgiv- handlingar i målet inklusive delgivningsbevis. Vid behov ska Krono- ningsbevis. Vid behov ska Kronofogdemyndigheten ta fram utskrift fogdemyndigheten ta fram utskrift av ansökan, förelägganden, beslut, av ansökan, förelägganden, beslut, dagbok och andra uppgifter som dagbok och andra uppgifter som kan vara av betydelse för den kan vara av betydelse för den fortsatta handläggningen ur den fortsatta handläggningen. Handbetalningsföreläggande- och hand- lingarna ska sedan ingå i den moträckningsdatabas som förs enligt tagande domstolens akt. lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet. Handlingarna
1 Senaste lydelse 2017:415.
217Författningsförslag
ska sedan ingå i den mottagande domstolens akt.
15 § Om en uppgift i ett mål om Om en uppgift i ett mål om europeiskt betalningsföreläggande europeiskt betalningsföreläggande har lämnats ut till ett kreditupp- har lämnats ut till ett kreditupplysningsföretag, ska Kronofogde- lysningsföretag, ska Kronofogdemyndigheten genast underrätta myndigheten genast underrätta kreditupplysningsföretaget om kreditupplysningsföretaget om uppgiften blockeras med stöd av uppgiften blockeras med stöd av 3 kap. 3 a § lagen (2001:184) om 18 § kronofogdedatalagen behandling av uppgifter i Krono- (0000:00). fogdemyndighetens verksamhet.
1. Denna förordning träder i kraft den 1 januari 2026. 2. Äldre bestämmelser gäller fortfarande för uppgifter som har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet.
218Författningsförslag
1.57 Förslag till förordning om ändring i förordningen
(2009:602) med instruktion för Inspektionen för
socialförsäkringen
Härigenom föreskrivs att 2 § förordningen (2009:602) med instruktion för Inspektionen för socialförsäkringen ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 § 1 Inspektionen för socialförsäkringen ska utöva systemtillsyn över och utföra effektivitetsgranskning av den verksamhet som bedrivs av 1. Försäkringskassan, 2. Pensionsmyndigheten, i de delar som inte står under Finansinspektionens tillsyn, och 3. Skatteverket, i de delar som avser beslut om pensionsgrundande inkomst. För Försäkringskassan och För Försäkringskassan och Pensionsmyndigheten finns be- Pensionsmyndigheten finns bestämmelser om skyldighet att stämmelser om skyldighet att lämna uppgifter till Inspektionen lämna uppgifter till Inspektionen för socialförsäkringen i 5 a § för- för socialförsäkringen i 5 a § förordningen (2003:766) om be- ordningen (2003:766) om behandling av personuppgifter inom handling av personuppgifter inom socialförsäkringens administra- socialförsäkringens administration. För Skatteverket finns mot- tion. För Skatteverket finns motsvarande bestämmelser i 7 b § svarande bestämmelser i 11 kap. förordningen (2001:588) om be- 5 § förordningen (0000:00) om handling av uppgifter i Skatte- utlämnande av uppgifter från verkets beskattningsverksamhet. Skatteverkets beskattningsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2009:1203.
219Författningsförslag
1.58 Förslag till förordning om ändring i offentlighets-
och sekretessförordningen (2009:641)
Härigenom föreskrivs att 2 § offentlighets- och sekretessförordningen (2009:641) ska ha följande lydelse.
Nuvarande lydelse
2 §
1 Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400).
Myndighet Handlingar som innehåller sekretessreglerade uppgifter och som inte behöver registreras – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Tullverket – handlingar som rör klarering av varor och transportmedel, – handlingar som innehåller bokningsuppgifter inhämtade från transportföretag, och – handlingar som ingår i informationssystemet om transporter av sprit och cigaretter åklagarmyndigheter – utdrag ur folkbokföringsdatabasen, – utdrag ur belastningsregistret, misstankeregistret och register enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, – utdrag ur vägtrafikregistret, och – rekvisitioner av sådana utdrag – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
1 Senaste lydelse 2022:652.
220Författningsförslag
Föreslagen lydelse
2 §
2 Följande myndigheter är i den utsträckning som framgår nedan undantagna från registreringsskyldigheten enligt 5 kap. 1 § offentlighets- och sekretesslagen (2009:400).
Myndighet Handlingar som innehåller sekretessreglerade uppgifter och som inte behöver registreras – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – Tullverket – handlingar som rör klarering av varor och transportmedel, – handlingar som innehåller bokningsuppgifter inhämtade från transportföretag, och – handlingar som ingår i informationssystemet om transporter av sprit och cigaretter åklagarmyndigheter – utdrag från folkbokföringsverksamheten, – utdrag ur belastningsregistret, misstankeregistret och register enligt lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, – utdrag ur vägtrafikregistret, och – rekvisitioner av sådana utdrag – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Denna förordning träder i kraft den 1 januari 2026.
2 Senaste lydelse 2022:652.
221Författningsförslag
1.59 Förslag till förordning om ändring i förordningen
(2010:1122) om statlig ersättning för insatser
för vissa utlänningar
Härigenom föreskrivs att 6 § förordningen (2010:1122) om statlig ersättning för insatser för vissa utlänningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
6 § 1 För utlänningar som har varit För utlänningar som har varit registrerade vid en mottagnings- registrerade vid en mottagningsenhet hos Migrationsverket eller enhet hos Migrationsverket eller som har beviljats uppehållstillstånd som har beviljats uppehållstillstånd enligt 5 kap. 2 § utlänningslagen enligt 5 kap. 2 § utlänningslagen (2005:716) ska tidpunkten då ut- (2005:716) ska tidpunkten då utlänningen först togs emot i en länningen först togs emot i en kommun anses vara den dag då kommun anses vara den dag då han eller hon faktiskt togs emot han eller hon faktiskt togs emot i kommunen. För övriga utlän- i kommunen. För övriga utlänningar som omfattas av 5–5 b §§ ningar som omfattas av 5–5 b §§ ska tidpunkten då utlänningen ska tidpunkten då utlänningen först togs emot i en kommun an- först togs emot i en kommun anses vara då han eller hon folkbok- ses vara då han eller hon folkbokfördes i kommunen enligt uppgift fördes i kommunen enligt folkboki folkbokföringsdatabasen enligt föringslagen (1991:481). lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet.
Denna förordning träder i kraft den 1 januari 2026.
1 Senaste lydelse 2017:487.
222Författningsförslag
1.60 Förslag till förordning om ändring i
skatteförfarandeförordningen (2011:1261)
Härigenom föreskrivs i fråga om skatteförfarandeförordningen (2011:1261) dels att 20 kap. 2 och 3 §§ ska upphöra att gälla, dels att rubriken närmast före 20 kap. 1 § ska lyda ”Förvaring”.
Denna förordning träder i kraft den 1 januari 2026.
223Författningsförslag
1.61 Förslag till förordning om ändring i förordningen
(2012:873) om beredskapslagring av olja
Härigenom föreskrivs att 27 § förordningen (2012:873) om beredskapslagring av olja ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
27 § Skatteverket ska på begäran Skatteverket ska på begäran av Energimyndigheten lämna ut av Energimyndigheten lämna ut uppgifter om införsel av bränslen uppgifter om införsel av bränslen från annan medlemsstat i Euro- från annan medlemsstat i Europeiska unionen från det system peiska unionen från det datorisesom avses i 2 kap. 4 a § lagen rade system som avses i artikel 1 (2001:181) om behandling av upp- i Europaparlamentets och rådets gifter i Skatteverkets beskattnings- beslut (EU) 2020/263 av den 15 verksamhet, om uppgifterna be- januari 2020 om datorisering av hövs för kontroll och tillsyn enligt uppgifter om förflyttningar och konlagen (2012:806) om beredskaps- troller av punktskattepliktiga varor, lagring av olja och denna förord- om uppgifterna behövs för konning. troll och tillsyn enligt lagen (2012:806) om beredskapslagring av olja och denna förordning.
Denna förordning träder i kraft den 1 januari 2026.
224Författningsförslag
1.62 Förslag till förordning om ändring i förordningen
(2015:493) om distrikt
Härigenom föreskrivs att 4 § förordningen (2015:493) om distrikt ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 § Lantmäteriet ska överföra di- Lantmäteriet ska överföra distriktsindelningen med tillhörande striktsindelningen med tillhörande belägenhetsadresser ur fastighets- belägenhetsadresser ur fastighetsregistret till Skatteverket i den ut- registret till Skatteverket i den utsträckning det behövs för redo- sträckning det behövs för redovisningen av uppgift om distrikt visningen av uppgift om distrikt i folkbokföringsdatabasen. i folkbokföringsverksamheten.
Denna förordning träder i kraft den 1 januari 2026.
225Författningsförslag
1.63 Förslag till förordning om ändring i förordningen
(2015:904) om identitetskort för folkbokförda
i Sverige
Härigenom föreskrivs att 12 § förordningen (2015:904) om identitetskort för folkbokförda i Sverige ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
12 § Databasen får tillföras sådana Databasen får tillföras sådana uppgifter från Skatteverkets folk- uppgifter från Skatteverkets folkbokföringsdatabas som anges i 11 § bokföringsverksamhet som anges i första stycket. 11 § första stycket.
Denna förordning träder i kraft den 1 januari 2026.
226Författningsförslag
1.64 Förslag till förordning om ändring i
skuldsaneringsförordningen (2016:689)
Härigenom föreskrivs att 3 och 13 §§ skuldsaneringsförordningen (2016:689) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 § Kronofogdemyndigheten ska Kronofogdemyndigheten ska registrera varje ärende i skuldsaner- registrera varje ärende. ingsdatabasen. I lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet finns bestämmelser om vilka uppgifter som får behandlas i databasen.
13 § Kronofogdemyndigheten ska Kronofogdemyndigheten ska i skuldsaneringsdatabasen fortlöp- fortlöpande registrera vilka inande registrera vilka inbetalningar betalningar och utbetalningar av och utbetalningar av medel som medel som görs, vilken ränta som görs, vilken ränta som kapitalise- kapitaliseras, vilken avgift som tas ras, vilken avgift som tas ut, vilka ut, vilka åtgärder som utförs och åtgärder som utförs och vad som vad som i övrigt förekommer med i övrigt förekommer med anled- anledning av det som har bestämts ning av det som har bestämts om om gäldenärens skyldighet att gäldenärens skyldighet att betala betala till myndigheten. till myndigheten.
Denna förordning träder i kraft den 1 januari 2026.
227Författningsförslag
1.65 Förslag till förordning om ändring i förordningen
(2017:154) med instruktion för Skatteverket
Härigenom föreskrivs att 27 och 38 §§ förordningen (2017:154) med instruktion för Skatteverket ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
27 § I förordningen (1998:1234) om I förordningen (0000:00) om det statliga personadressregistret det statliga personadressregistret (SPAR) finns bestämmelser om (SPAR) finns bestämmelser om att Skatteverkets beslut i frågor om att Skatteverkets beslut i frågor om SPAR i vissa fall ska fattas av en sär- SPAR i vissa fall ska fattas av en särskild nämnd (SPAR-nämnden). skild nämnd (SPAR-nämnden).
38 § Skatteverket ska disponera intäkter från avgifter som myndigheten tar ut enligt bestämmelser som finns i 1. lagen (2009:1289) om prissättningsbesked vid internationella transaktioner, 2. förordningen (2015:904) om identitetskort för folkbokförda i Sverige, 3. lagen (2001:181) om be- 3. förordningen (0000:00) om handling av uppgifter i Skatte- utlämnande av uppgifter från verkets beskattningsverksamhet, Skatteverkets beskattningsverksamhet, 4. lagen (2001:182) om behand- 4. förordningen (0000:00) om ling av personuppgifter i Skatte- utlämnande av uppgifter från verkets folkbokföringsverksam- Skatteverkets folkbokföringsverkhet, samhet, 5. förordningen (2015:905) om 5. förordningen (0000:00) om behandling av personuppgifter i dataskydd i Skatteverkets äkten- Skatteverkets äktenskapsregister- skapsregister- och bouppteckoch bouppteckningsverksamheter, ningsverksamheter, 6. förordningen (1998:1234) 6. förordningen (0000:00) om det statliga personadress- om det statliga personadressregistret, och registret, och 7. förordningen (2017:120) om personnamn.
228Författningsförslag
Intäkterna enligt första stycket 1 och 2 ska disponeras så att minst hälften av dessa verksamheters kostnader täcks. Denna förordning träder i kraft den 1 januari 2026.
229Författningsförslag
1.66 Förslag till förordning om ändring i förordningen
(2018:759) om ekonomiska föreningar
Härigenom föreskrivs att 2 kap. 28 § förordningen (2018:759) om ekonomiska föreningar ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
28 § Till en ansökan om förenklad avveckling enligt 18 kap. 1 § lagen (2018:672) om ekonomiska föreningar ska det bifogas 1. en kopia av föreningsstämmans protokoll tillsammans med föreningens medlemsförteckning samt dokumentation som utvisar styrelseledamöternas och i förekommande fall den verkställande direktörens samtycke enligt 18 kap. 2 § i den lagen, 2. ett utdrag från Kronofogde- 2. ett utdrag från Kronofogdemyndighetens utsöknings- och myndighetens verksamhet med utindrivningsdatabas och betalnings- sökning och indrivning, ansökan föreläggande- och handräcknings- om och tillsyn över näringsförbud databas, som vid inlämnandet inte samt betalningsföreläggande och får vara äldre än en månad, och handräckning, som vid inlämnandet inte får vara äldre än en månad, och 3. ett intyg från Skatteverket, som vid inlämnandet inte får vara äldre än en månad, om att föreningen inte är betalningsskyldig för skatter eller avgifter och att det inte heller kan antas att sådan betalningsskyldighet kommer att beslutas. Ansökan ska innehålla en försäkran på heder och samvete av samtliga styrelseledamöter och i förekommande fall den verkställande direktören om att föreningen 1. inte har några skulder och att sådana, enligt vad de känner till, inte kommer att uppkomma, och 2. enligt stadgarna inte är skyldig att gå i likvidation.
Denna förordning träder i kraft den 1 januari 2026.
230Författningsförslag
1.67 Förslag till förordning om ändring i
vägtrafikdataförordningen (2019:382)
Härigenom föreskrivs att 2 kap. 2 § vägtrafikdataförordningen (2019:382) ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 kap.
2 § Transportstyrelsen ansvarar för att uppgifterna enligt 1 § förs in om inte annat följer av andra eller tredje stycket eller av föreskrifter som har meddelats med stöd av 8 kap. 1 § 2. Polismyndigheten ska föra in uppgifter om 1. undanröjande av betalningsskyldighet och rättelse av parkeringsanmärkning enligt bilaga 1 avsnitt 3.3, 2. tillstånd att använda vissa polisiära kännetecken på motorfordon enligt bilaga 1 avsnitt 2.3, 3. omhändertagande av körkort, körkortstillstånd, traktorkort och förarbevis enligt bilaga 2 avsnitt 2.1, och 4. anmälan enligt 7 kap. 9 § 3 körkortsförordningen (1998:980) enligt bilaga 2 avsnitt 2.2. Skatteverket ska föra in vissa Skatteverket ska föra in vissa uppgifter från beskattningsdata- uppgifter från beskattningsverkbasen och vissa andra uppgifter samheten och vissa andra uppsom är av betydelse för Transport- gifter som är av betydelse för styrelsens uppdrag i vägtrafik- Transportstyrelsens uppdrag i vägregistret. Det avser uppgifter en- trafikregistret. Det avser uppgifligt bilaga 1 avsnitt 2.3, 4 och 6 ter enligt bilaga 1 avsnitt 2.3, 4 som behövs för Transportstyrel- och 6 som behövs för Transportsens handläggning och uppgifter styrelsens handläggning och uppom beslut som Skatteverket fattar, gifter om beslut som Skatteverket enligt fattar, enligt 1. vägtrafikskattelagen (2006:227), 2. lagen (2004:629) om trängselskatt, 3. lagen (1997:1137) om vägavgift för vissa tunga fordon, och 4. lagen (2006:228) med särskilda bestämmelser om fordonsskatt.
Denna förordning träder i kraft den 1 januari 2026.
231Författningsförslag
1.68 Förslag till förordning om ändring i förordningen
(2019:383) om fordons registrering
och användning
Härigenom föreskrivs att 7 kap. 6 § förordningen (2019:383) om fordons registrering och användning ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 kap.
6 § Skatteverket ska underrätta Skatteverket ska underrätta Transportstyrelsen om de änd- Transportstyrelsen om de ändringar av uppgifter i folkbokför- ringar av registrerade uppgifter i ingsdatabasen eller beskattnings- folkbokföringsverksamheten eller databasen som är av betydelse beskattningsverksamheten som är för vägtrafikregistreringen. av betydelse för vägtrafikregistreringen.
Denna förordning träder i kraft den 1 januari 2026.
232Författningsförslag
1.69 Förslag till förordning om ändring i förordningen
(2022:807) om statlig ersättning för arbete i
etableringsjobb
Härigenom föreskrivs att 26 § förordningen 2022:807) om statlig ersättning för arbete i etableringsjobb ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
26 § Försäkringskassan ska före Försäkringskassan ska före varje utbetalning kontrollera mot varje utbetalning kontrollera mot inhämtade uppgifter från Skatte- inhämtade uppgifter från Skatteverkets beskattningsdatabas hur verkets beskattningsverksamhet hur mycket utbetalad lön som arbets- mycket utbetalad lön som arbetsgivaren har redovisat för den aktu- givaren har redovisat för den aktuella arbetstagaren den aktuella ella arbetstagaren den aktuella månaden. månaden. Försäkringskassan ska därefter betala ut den statliga ersättningen i enlighet med Arbetsförmedlingens beslut om rätt till ersättning och det som anges i 15 §.
Denna förordning träder i kraft den 1 januari 2026.
233Författningsförslag
1.70 Förslag till förordning om ändring i förordningen
(2023:363) om samordningsnummer
Härigenom föreskrivs att 2 och 5 §§ förordningen (2023:363) om samordningsnummer ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 § Samordningsnummer får tilldelas efter ansökan av den enskilde eller på begäran av en statlig myndighet eller en enskild utbildningsanordnare som har tillstånd att utfärda examina enligt lagen (1993:792) om tillstånd att utfärda vissa examina, om myndigheten eller utbildningsanordnaren i sin verksamhet behöver ett samordningsnummer för en person. Skatteverket får på eget initia- Skatteverket får på eget initiativ tilldela samordningsnummer tiv tilldela samordningsnummer för registrering i beskattnings- för registrering i beskattningsdatabasen. verksamheten.
5 § Samordningsnummer enligt 2 kap. 6 § lagen (2022:1697) om samordningsnummer får endast tilldelas för 1. registrering i register som förs enligt lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister och lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, 2. annan behandling av uppgifter enligt lagen om polisens behandling av personuppgifter inom brottsdatalagens område eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter, eller i övrigt inom rättsväsendets informationssystem, 3. Migrationsverkets behandling av personuppgifter med stöd av utlänningsdatalagen (2016:27) när det gäller personer som omfattas av lagen (1994:137) om mottagande av asylsökande m.fl., 4. registrering i beskattnings- 4. registrering i Skatteverkets databasen, eller beskattningsverksamhet, eller 5. Försäkringskassans behandling av personuppgifter med stöd av 114 kap. socialförsäkringsbalken.
Denna förordning träder i kraft den 1 januari 2026.
2352 Utredningens uppdrag
och arbete
2.1 Utredningens uppdrag
Regeringen beslutade den 3 november 2021 kommittédirektiv om att ge en särskild utredare i uppdrag att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar i syfte att skapa ändamålsenliga regler som är anpassade efter dagens behov (dir. 2021:104). Utredaren fick även i uppdrag att se över förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval som verktyg för en effektivare kontrollverksamhet. Utredningstiden förlängdes genom tilläggsdirektiv den 16 februari 2023 (dir. 2023:24). Kommittédirektiven finns bifogade i betänkandet som bilaga 1 och bilaga 2. Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling regleras i ett flertal olika registerförfattningar. De registerförfattningar som gäller i vissa delar av Skatteverkets verksamhet och som omfattas av vårt uppdrag är lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och den tillhörande förordningen (2001:588), lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och den tillhörande förordningen (2001:589), lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234) samt lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter och den tillhörande förordningen (2015:905). När det gäller befintlig reglering av Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling omfattar vårt uppdrag lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och den tillhörande förordningen (2001:646) samt lagen (2001:184) om
236Utredningens uppdrag och arbete
behandling av uppgifter i Kronofogdemyndighetens verksamhet och den tillhörande förordningen (2001:590). Det ligger inte inom ramen för vårt uppdrag att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter, dvs. lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Uppdraget att göra en översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar innebär enligt våra direktiv att reglerna bör vara flexibla och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag. En översyn av registerförfattningarnas struktur och terminologi ingår också i uppdraget. En utgångspunkt för uppdraget i den del det avser myndigheternas möjligheter att göra dataanalyser och urval är att det ska finnas ett tydligt rättsligt stöd för myndigheternas arbete med sådana verktyg. Reglerna behöver dessutom vara teknikneutrala och flexibla samt ge myndigheterna möjlighet att utveckla och anpassa arbetet med analyser och urval efter utvecklingen i samhället i övrigt. Inom ramen för vårt uppdrag ska vi noga väga myndigheternas behov av att behandla personuppgifter mot den enskildes rätt till skydd för sin personliga integritet. I uppdraget ingår att lämna nödvändiga författningsförslag. Bland de frågor som vi enligt direktiven särskilt ska undersöka kan nämnas att ta ställning till om juridiska personer ska omfattas av registerförfattningarna och att se över tillämpningsområdet i övrigt. Vi ska också ta ställning till om det finns ett behov av en utvidgad ändamålsreglering för att den ska vara anpassad till den tekniska utvecklingen och om ändamålsregleringen kan vara mindre detaljerad, t.ex. när det gäller de sekundära ändamålsbestämmelserna. Andra frågor vi ska ta ställning till är om regleringen av utlämnande av uppgifter är väl avvägd eller om det finns behov av förändringar, varvid behovet av skydd för den personliga integriteten ska beaktas. Vi ska också ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt. Vidare ska vi ta ställning till om dagens bestämmelser om sökbegränsningar är ändamålsenligt utformade och om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga, vilket inne-
237Utredningens uppdrag och arbete
fattar om gallringsbestämmelserna bör ersättas med regler om längsta tid som personuppgifter får behandlas. Det ingår också i uppdraget att analysera hur frågan om gallring av uppgifter lämpligen kan regleras i de fall någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna. När det gäller uppdraget att se över förutsättningarna för de berörda myndigheterna att använda dataanalyser och urval ingår att analysera och bedöma lämpligheten och utformningen av en reglering som innebär en utökad möjlighet att göra dataanalyser och urval. Vi ska också kartlägga vilken information som behövs för att möjliggöra adekvata analyser och urval och föreslå hur tillgång till sådan information bör ges samt bedöma om det finns behov av ändringar i sekretessbestämmelserna eller nya sekretessbestämmelser och då även beakta insynsintresset. Det ingår även i uppdraget att bedöma vilka regler kring bevarande och gallring som ska gälla för de uppgifter som behandlas och hur gjorda analyser och urval ska dokumenteras för att tillgodose såväl myndigheternas verksamhetsbehov som behovet av att möjliggöra kontroller av arbetet med analyser och urval i efterhand. Slutligen ska vi säkerställa behovet av skydd för den personliga integriteten och att EU:s dataskyddsreglering följs samt lämna nödvändiga författningsförslag. Om det bedöms nödvändigt får vi ta upp andra närliggande frågor i samband med de frågeställningar som ska utredas.
2.2 Utredningens arbete
Utredningsarbetet påbörjades i december 2022 och har bedrivits på sedvanligt sätt med regelbundna sammanträden med expertgruppen. Sammantaget har vi genomfört sex protokollförda möten med utredningens experter under 2022 och tre under 2023. Utöver sammanträdena med samtliga experter har sekretariatet haft särskilt mycket kontakt med Skatteverket, Tullverket och Kronofogdemyndigheten. Som ett led i arbetet har studiebesök gjorts hos myndigheterna för att inhämta information om myndigheternas nuvarande arbete med de frågor som vi ska utreda och om vilka behov som kan förutses uppstå i framtiden.
238Utredningens uppdrag och arbete
Sekretariatet har haft samråd och dialog med Tullbefogenhetsutredningen (Fi 2021:04), Utredningen om inrättande av Utbetalningsmyndigheten (Fi 2022:01), Fastighetsregisterlagsutredningen (Ju 2022:09), Utredningen om ett effektivt straffrättsligt skydd för statliga stöd till företag (Fi 2022:02) och 2022 års skatteförfarandeutredning – åtgärder mot fusk och arbetslivskriminalitet (Fi 2022:16). Därutöver har sekretariatet haft möte med företrädare för Integritetsskyddsmyndigheten under den del av arbetet då utredningen inte har haft någon expert från den myndigheten. Under utredningens gång har vi särskilt hållit oss informerade om beredningen av förslagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen (SOU 2020:35) samt betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57). Vissa av förslagen i dessa utredningar har numera lett till lagstiftning, se vidare nedan. Vi har också hållit oss informerade om bl.a. beredningen av Försäkringskassans och Pensionsmyndighetens hemställan i en promemoria om ändringar i 114 kap. SFB och förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration, vilken nu har lett till förslag i propositionen En ny dataskyddsreglering på socialförsäkringsområdet 1 , och förslagen i promemorian Utökat informationsutbyte. 2 Tidigare statliga utredningar och myndigheters rapporter har varit viktiga i vårt arbete.
2.3 Avgränsningar
Utredningens direktiv framgår av avsnitt 2.1 och bilaga 1 och 2 till betänkandet. Där anges att vårt uppdrag inte omfattar att analysera behovet av ändringar i de registerförfattningar som gäller i Skatteverkets respektive Tullverkets brottsbekämpande verksamheter. När vi i betänkandet endast talar om Skatteverket och Tullverket avses därför inte myndigheternas brottsbekämpande verksamheter. Skatteverkets verksamhet med Statens personadressregister (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas i betänkandet som utgångspunkt avskilt från Skatte-
1 Se prop. 2023/24:29. 2 Se Ds 2022:13. Förslagen i promemorian har remissbehandlats.
239Utredningens uppdrag och arbete
verkets beskattningsverksamhet och folkbokföringsverksamhet. I den mån så inte görs framgår det av de enskilda kapitlen eller avsnitten. När vi i betänkandet endast talar om Skatteverket avses därför generellt sett myndighetens beskattningsverksamhet och folkbokföringsverksamhet.
2.4 Vissa arbeten som har bedrivits parallellt
med utredningen
2.4.1 Utbetalningsmyndigheten
Förslag som Utredningen om samordning av statliga utbetalningar från välfärdssystemen har lämnat i betänkandet SOU 2020:35 har numera lett till lagstiftning och till att en ny myndighet, Utbetalningsmyndigheten, ska inleda sin verksamhet den 1 januari 2024. 3 Bland annat har en ny lag om den myndighetens personuppgiftsbehandling beslutats, lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten med tillhörande förordning (2023:463). Författningarna träder i kraft den 1 januari 2024. Utbetalningsmyndigheten har bl.a. i uppdrag att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Myndigheten ska också göra dataanalyser och urval, genomföra inledande och fördjupade granskningar enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar och administrera ett system med transaktionskonto enligt lagen (2023:454) om transaktionskonto vid Utbetalningsmyndigheten. 4 Vidare har det införts en ny lag, lagen (2023:456) om skyldighet att lämna uppgifter till Utbetalningsmyndigheten, som även den träder i kraft den 1 januari 2024. I lagen finns bestämmelser om att de myndigheter vars utbetalningar ska administreras via systemet med transaktionskonto enligt lagen om transaktionskonto vid Utbetalningsmyndigheten ska lämna de uppgifter till Utbetalningsmyndigheten som den behöver för att administrera utbetalningarna, däribland Skatteverket. 5 Vidare ska Skatteverket på begäran av Utbetalningsmyndigheten lämna vissa uppgifter i den utsträckning som uppgifterna behövs för Utbetalnings-
3 Se prop. 2022/23:34, bet. 2022/23:FiU35, rskr. 2022/23:266. 4 1 och 2 §§ förordningen (2023:461) med instruktion för Utbetalningsmyndigheten. 5 2 § lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten och 2 § lagen om transaktionskonto vid Utbetalningsmyndigheten.
240Utredningens uppdrag och arbete
myndighetens dataanalyser och urval. 6 Det finns också bestämmelser om att statliga myndigheter, däribland Skatteverket, Tullverket och Kronofogdemyndigheten, på begäran av Utbetalningsmyndigheten ska lämna uppgifter som avser en namngiven fysisk eller juridisk person som behövs vid en fördjupad granskning enligt lagen om Utbetalningsmyndighetens granskning av utbetalningar. 7 Regeringen har också gett en särskild utredare i uppdrag att lämna förslag och vidta nödvändiga åtgärder i syfte att förbereda och genomföra bildandet av Utbetalningsmyndigheten (Fi 2022:01). Utredaren ska föreslå hur Utbetalningsmyndighetens instruktion och regleringsbrev ska utformas, bemanna myndigheten och vidta de ytterligare åtgärder som krävs för att myndigheten ska kunna inleda sin verksamhet den 1 januari 2024. Den utredningen har lämnat förslag löpande och uppdraget ska slutredovisas senast den 31 december 2023. Vissa av de förslag som avser Utbetalningsmyndigheten har varit av relevans för delar av vårt uppdrag, särskilt för den del som rör förutsättningarna för Skatteverket, Tullverket och Kronofogdemyndigheten att använda dataanalyser och urval i kontrollverksamhet. Vi har därför följt och beaktat det arbete som bedrivits parallellt med vårt arbete.
2.4.2 Skatteverkets folkbokföringsverksamhet
Förslag som presenterades i betänkandet Om folkbokföring, samordningsnummer och identitetsnummer (SOU 2021:57) har resulterat i 8 ny lagstiftning som syftar till att stärka kvaliteten i folkbokföringen. Bland annat har ändringar i folkbokföringslagen (1991:481) och lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet beslutats som innebär en stärkt identitetskontroll vid bl.a. anmälan om inflyttning till Sverige. Skatteverket har bl.a. getts möjlighet att kontrollera biometriska uppgifter som finns lagrade i de handlingar som ska överlämnas vid kontrollen och den som är föremål för identitetskontroll ska vara skyldig att på begäran låta Skatteverket ta fingeravtryck och en ansiktsbild. Lagändringarna om biometriska uppgifter, fingeravtryck och ansiktsbild trädde i kraft den
6 7 och 8 §§ lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten. 7 9 § lagen om skyldighet att lämna uppgifter till Utbetalningsmyndigheten. 8 Se prop. 2021/22:217, bet. 2021/22:SkU28, rskr. 2021/22:372.
241Utredningens uppdrag och arbete
1 september 2023 medan övriga lagar trädde i kraft den 1 september 2022. Även förslag om ett stärkt system för samordningsnummer har 9 numera lett till lagstiftning. Det innebär bl.a. att lagen (2022:1697) om samordningsnummer har införts. Genom ändringarna har Skatteverket tagit över ansvaret för identitetskontroller vid tilldelning av samordningsnummer. Vidare gjordes vissa ändringar i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, bl.a. i fråga om att lagen numera också gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt den nya lagen om samordningsnummer. De nu aktuella lagändringarna trädde i kraft den 1 september 2023. Vidare har regeringens förslag om bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten införlivats i lagstiftningen. 10 Lagändringar gjordes därmed i lagen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet och offentlighets- och sekretesslagen (2009:400). Dessa lagändringar trädde i kraft den 1 maj 2023.
2.5 Betänkandets disposition
Vårt betänkande är indelat i 20 kapitel. I kapitel 1 redovisar vi våra författningsförslag och i kapitel 2 vårt uppdrag och dess genomförande. Kapitel 3 och 4 innehåller redogörelser för gällande rätt om dataskydd och sekretess samt för Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter som är aktuella för vårt uppdrag. I kapitel 5 presenterar vi våra utgångspunkter för en modern och ändamålsenlig kompletterande dataskyddsreglering. I kapitel 6 redovisas våra förslag om att det ska införas nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten och att de nuvarande registerförfattningarna samtidigt ska upphävas. I kapitel 7 behandlas våra förslag till vad vi har valt att kalla för allmänna bestämmelser om personuppgiftsbehandling. Det rör bl.a. bestämmelser i de nya lagarna om lagarnas syften, tillämpningsområden, förhållande till annan reglering, personuppgiftsansvar, tillgången till personuppgifter och enskildas rättigheter. Kapitel 8 avser ända-
9 Se prop. 2021/22:276, bet. 2022/23:SkU4, rskr. 2022/23:40. 10 Se prop. 2022/23:41, bet. 2022/23:SkU8, rskr. 2022/23:156.
242Utredningens uppdrag och arbete
målsbestämmelser och kapitel 9 den nuvarande databasregleringen som vi föreslår ska utmönstras. I kapitel 10 finns våra förslag och bedömningar som rör reglering av vissa särskilda kategorier av personuppgifter, nämligen känsliga personuppgifter, uppgifter om lagöverträdelser samt person- och samordningsnummer. I kapitel 11 redovisas våra bedömningar och förslag till ny reglering av elektroniskt utlämnande från myndigheterna. Kapitel 12 innehåller våra överväganden och förslag till reglering av gallring och längsta tid för behandling av personuppgifter. I kapitel 13 finns våra förslag till en ny reglering av uppgiftslämnande från Skatteverket, Tullverket och Kronofogdemyndigheten, som vi föreslår ska hållas åtskild från dataskyddsregleringen. I kapitel 14 föreslår vi reglering som syftar till att utöka Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att göra dataanalyser och urval. Frågor om offentlighet och sekretess och våra förslag inom detta område redogör vi för i kapitel 15. Kapitel 16 och 17 innehåller våra bedömningar och förslag till reglering av det statliga personadressregistret, SPAR, respektive Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. I kapitel 18 finns en redovisning av våra bedömningar och förslag i fråga om ikraftträdande- och övergångsbestämmelser. De avslutande kapitlen, kapitel 19 och 20, innehåller en konsekvensutredning och författningskommentarer.
2433 Gällande rätt – dataskydd
och sekretess
3.1 Inledning
Rätten till skydd av personuppgifter är en dimension av den grundläggande rätten till respekt för privatlivet, som regleras i flera internationella konventioner till skydd för de mänskliga rättigheterna. Skyddet för privatlivet omfattar vitt skilda aspekter av en persons liv 1 och begreppet kan inte ges någon uttömmande definition. Utöver skydd för en persons bostad och kommunikationer garanterar dock denna rättighet bl.a. ett skydd för den personliga integriteten, en rätt till självbestämmande och en rätt till personlig utveckling. Den snabba tekniska utvecklingen och framväxten av informationssamhället har medfört en alltmer omfattande behandling av personuppgifter och annan data, inom såväl offentlig som privat sektor. Om personuppgifter behandlas för ett annat ändamål än vad som avsetts eller om de hanteras av någon som inte borde ha tillgång till uppgifterna kan det utgöra ett oönskat intrång i den personliga integriteten. Automatiserad behandling av personuppgifter kan dessutom innebära särskilda risker ur ett integritetsperspektiv eftersom tekniken gör det möjligt att på ett enkelt sätt både samla in, sammanställa och sprida stora mängder information. Någon entydig definition av begreppet personlig integritet är svår att finna. Möjligen kan kränkningar av den personliga integriteten sägas utgöra intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där oönskade intrång bör kunna avvisas. 2 Behovet av en ändamålsenlig reglering av offentliga och privata aktörers hanter-
1 Se Europadomstolens uttalanden i t.ex. López Ribalda m.fl. mot Spanien, mål nr 1874/13 och 8567/13, dom den 17 oktober 2019 och Breyer mot Tyskland, mål nr 50001/12, dom den 30 januari 2020. 2 Prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2009/10:80, En reformerad grundlag, s. 175.
244Gällande rätt – dataskydd och sekretess
ing av personuppgifter, med goda möjligheter att motverka oberättigad behandling, kan sägas ha ökat parallellt med framväxten av det digitaliserade samhället. Skatteverket, Tullverket och Kronofogdemyndigheten hanterar stora mängder allmänna handlingar och uppgifter som ofta rör enskilda fysiska personer. Offentlighetsprincipen innebär att enskilda har rätt till insyn i den offentliga verksamheten genom att ta del av allmänna handlingar och uppgifter om de inte är sekretessbelagda. Utöver de regelverk som syftar till att skydda enskildas personliga integritet finns bestämmelser om sekretess och tystnadsplikt som ger skydd mot spridning av uppgifter om enskilda. I svensk rätt betraktas bestämmelser om sekretess och tystnadsplikt som en viktig del av det 3 nationella skyddet för personuppgifter. I detta kapitel redogörs för den allmänna regleringen av skyddet för den personliga integriteten och behandling av personuppgifter som är av betydelse för vårt uppdrag. Vidare redogör vi översiktligt för vad som allmänt gäller för sekretess och tystnadsplikt, sekretess mellan myndigheter och relevant sekretessreglering som gäller i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter.
3.2 Den personliga integriteten och dataskydd
3.2.1 FN:s allmänna förklaring och konvention
Det internationella arbetet för mänskliga rättigheter tar sin utgångspunkt i den allmänna förklaring om de mänskliga rättigheterna som FN antog 1948. I artikel 12 anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Vidare anges att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. FN:s allmänna förklaring om de mänskliga rättigheterna ses till stora delar som ett uttryck för sedvanerättsliga regler. Sverige har anslutit sig till FN:s konvention om medborgerliga och politiska rättigheter, som i artikel 17 upprepar innehållet i artikel 12 i den allmänna förklaringen. Konventionen är bindande för anslutna stater.
3 Prop. 2021/22:272, Statens stöd till trossamfund samt demokrativillkor vid stöd till civilsamhället, s. 133.
245Gällande rätt – dataskydd och sekretess
3.2.2 Europakonventionen och dataskyddskonventionen
Europakonventionen 4 är inkorporerad i svensk rätt och gäller som lag. Lag eller annan föreskrift får inte meddelas i strid med Sveriges åtaganden på grund av Europakonventionen (2 kap. 19 § regeringsformen, RF). Artikel 8 i Europakonventionen stadgar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Artikel 8 ålägger följaktligen stater en förpliktelse att avstå från att göra oproportionerliga intrång i rätten till respekt för privat- och familjelivet. Behandling av personuppgifter faller ofta inom bestämmelsens tillämpningsområde. 5 Europarådets ministerkommitté antog 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen), som Sverige och även övriga medlemsstater i EU har ratificerat. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Dess innehåll kan ses som en precisering av skyddet vid användning av automatiserad behandling av personuppgifter enligt artikel 8 i Europakonventionen. 6 Dataskyddskonventionen tar sikte på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgiftsbehandling i allmän och enskild verksamhet. Enligt konventionen ska personuppgifter inhämtas och behandlas på ett korrekt sätt och de ska vara relevanta med hänsyn till ändamålet. Vissa kategorier av personuppgifter får inte behandlas genom automatiserad databehandling om inte den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana kategorier hör personuppgifter som avslöjar ras, politisk tillhörighet, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.
4 Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna. 5 Se t.ex. Europadomstolens dom i s. och Marper mot Förenade kungariket, mål nr 30562/04 och 30566/04, dom den 4 december 2008. 6 Prop. 2016/17:91, Tullbrottsdatalag, s. 24.
246Gällande rätt – dataskydd och sekretess
Mot bakgrund av bl.a. den tekniska utvecklingen sedan 1981 har konventionen genomgått en översyn i syfte att modernisera och förbättra den. 7 Ändringarna har ännu inte trätt i kraft.
3.2.3 EU-stadgan om de grundläggande rättigheterna
EU:s medlemsstater har antagit Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) som, sedan Lissabonfördragets ikraftträdande i december 2009, är rättsligt bindande för EU-institutionerna och medlemsstaterna när de tillämpar unionsrätten. 8 Enligt artikel 7 i EU-stadgan har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och kommunikationer. Av artikel 8 i EU-stadgan framgår vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikeln gäller vidare att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. En oberoende myndighet ska kontrollera att dessa regler efterlevs.
3.2.4 Regeringsformen
Den personliga integriteten skyddas av regeringsformen. Av målsättningsstadgandet i 1 kap. 2 § RF följer att det allmänna ska värna den enskildes privat- och familjeliv. Målsättningsstadgandet anger ett viktigt mål för den samhälleliga verksamheten, men är inte rättsligt bindande för det allmänna. I 2 kap. RF finns däremot rättsligt bindande föreskrifter om grundläggande fri- och rättigheter. I 2 kap. 2 § RF föreskrivs att ingen får av det allmänna tvingas att ge till känna sin åskådning i politiskt, religiöst, kulturellt eller annat sådant hänseende. Vidare anges i 2 kap. 3 § RF att ingen svensk medborgare får utan samtycke antecknas i ett allmänt register enbart på grund av sin politiska åskådning. Av 2 kap. 6 § andra stycket RF framgår att var och en är gentemot det allmänna skyddad mot betydande intrång i den per-
7 Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 223). 8 Jfr prop. 2007/08:168, Lissabonfördraget, s. 58–59.
247Gällande rätt – dataskydd och sekretess
sonliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
3.2.5 EU:s dataskyddsförordning
Allmänt om EU:s dataskyddsförordning
9 EU:s dataskyddsförordning utgör sedan den började tillämpas den 25 maj 2018 en generell reglering för behandling av personuppgifter inom EU. Förordningen ersatte 1995 års dataskyddsdirektiv. 10 Dataskyddsförordningen är direkt tillämplig i medlemsstaterna och gäller före nationell rätt. Samtidigt både förutsätter och medger dataskyddsförordningen kompletterande nationella bestämmelser av olika slag. Dataskyddsförordningen innehåller bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. Förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis sker på automatisk väg och på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. 11 Förordningen syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Enligt dataskyddsförordningen får det fria flödet av personuppgifter inom unionen varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. 12 Behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av medlemsstaterna när de bedriver verksamhet som omfattas av den gemensamma utrikes- och säkerhetspolitiken omfattas inte av dataskyddsförordningens tillämpningsområde. 13 Inte heller sådan personuppgiftsbehandling som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll
9 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 10 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 11 Artikel 2.1. 12 Artikel 1. 13 Skäl 16 till dataskyddsförordningen.
248Gällande rätt – dataskydd och sekretess
omfattas av dataskyddsförordningen. 14 Vidare gäller dataskyddsförordningen inte heller för behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. 15 Sådan behandling regleras i stället i det s.k. data- 16 skyddsdirektivet som i Sverige kompletteras av brottsdatalagen (2018:1177) och brottsdataförordningen (2018:1202). I dataskyddsförordningen anges de principer som ska gälla vid behandling av personuppgifter (kapitel 2), den registrerades rättigheter (kapitel 3), den personuppgiftsansvariges och dennes eventuella biträdes, det s.k. personuppgiftsbiträdets, skyldigheter m.m. (kapitel 4) och det som ska gälla vid överföring av personuppgifter till tredjeländer eller internationella organisationer (kapitel 5). I förordningen finns också bestämmelser om oberoende tillsynsmyndigheter (kapitel 6) och deras samarbete och åtgärder som de ska vidta för att förordningen ska tillämpas på ett enhetligt sätt (kapitel 7). Vidare finns bestämmelser om rättsmedel, ansvar och sanktioner (kapitel 8), särskilda behandlingssituationer (kapitel 9) och delegerade befogenheter (kapitel 10). Nedan följer en beskrivning av för vårt uppdrag centrala delar av dataskyddsförordningen.
Personuppgifter
Personuppgifter definieras i dataskyddsförordningen som varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska ekonomiska, kul- 17 turella eller sociala identitet. Dataskyddsförordningen gäller inte vid
14 Artikel 2.2 c. 15 Artikel 2.2 d. 16 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 17 Artikel 4.1.
249Gällande rätt – dataskydd och sekretess
behandling av uppgifter om avlidna personer. 18 Den gäller inte heller uppgifter om juridiska personer. 19 Däremot utgör avidentifierade individdata, där nyckeln till identifiering finns bevarad, personuppgifter 20 i dataskyddsförordningens mening.
Behandling
Begreppet behandling är enligt dataskyddsförordningen en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 21
Grundläggande principer
För all behandling av personuppgifter enligt dataskyddsförordningen gäller ett antal grundläggande principer. Principerna framgår av artikel 5.1. Det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna efterlevs, vilket framgår av artikel 5.2 (den s.k. ansvarsprincipen). Principerna är följande. a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
18 Skäl 27 till dataskyddsförordningen. 19 Artikel 1 och skäl 14 till dataskyddsförordningen. 20 Artikel 4.1 och skäl 26 till dataskyddsförordningen. 21 Artikel 4.2.
250Gällande rätt – dataskydd och sekretess
d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Rättslig grund
För att behandling av personuppgifter över huvud taget ska vara laglig enligt dataskyddsförordningen krävs att något av de villkor som anges i artikel 6.1 i förordningen är uppfyllda. Det innebär att en behandling inte är tillåten om den inte vilar på en rättslig grund enligt dataskyddsförordningen. De rättsliga grunder som i huvudsak aktualiseras för myndigheter är behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige och behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, artikel 6.1 e och c. När det i dataskyddsförordningen hänvisas till en rättslig grund eller lagstiftningsåtgärd, innebär detta inte nödvändigtvis en lagstiftningsakt antagen av ett parlament. Den rättsliga grunden eller lagstiftningsåtgärden bör dock vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med
251Gällande rätt – dataskydd och sekretess
rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. 22 Dataskyddsförordningen medför inte något krav på en särskild lag för varje enskild behandling, utan det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. 23 Den grund för behandlingen som avser rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning ska fastställas i enlighet med unionsrätten, eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt bestämmelsen om uppgift av allmänt intresse eller myndighetsutövning, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse 24 och vara proportionell mot det legitima mål som eftersträvas. Enligt dataskyddsförordningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myn- 25 digheternas behandling av personuppgifter. Det unionsrättsliga begreppet nödvändigt har inte samma strikta innebörd som det svenska ordet nödvändigt, dvs. att någonting absolut fordras eller inte kan underlåtas. Nödvändighetsrekvisitet i artikel 7 i 1995 års dataskyddsdirektiv har t.ex. inte ansetts utgöra ett krav på att det ska vara omöjligt att utföra en uppgift av allmänt intresse utan att behandlingsåtgärden vidtas. Trots att en arbetsuppgift skulle kunna utföras utan att personuppgifter behandlas på visst sätt kan
22 Skäl 41 till dataskyddsförordningen. 23 Skäl 45 till dataskyddsförordningen. 24 Artikel 6.3. 25 Skäl 47 till dataskyddsförordningen.
252Gällande rätt – dataskydd och sekretess
behandlingen anses nödvändig om den innebär effektivitetsvinster. 26 Det bör i dagsläget mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag. 27
Finalitetsprincipen
Som redan nämnts ska personuppuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b i dataskyddsförordningen). Bestämmelsen ger uttryck för den s.k. finalitetsprincipen. Denna princip medger att uppgifter behandlas för andra ändamål än insamlingsändamålen under förutsättning att dessa ändamål inte är oförenliga med det ursprungliga ändamålet, men förbjuder annan vidarebehandling av uppgifterna. I artikel 6.4 i dataskyddsförordningen anges att om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bl.a. beakta följande: a) Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen. b) Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige. c) Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9 eller huruvida
26 EU-domstolens dom den 16 december 2008 i mål C-524/06, Heinz Huber mot Bundesrepublik Deutschland och prop. 2017/18:105, Ny dataskyddslag, s. 46–47. 27 Prop. 2017/18:105, Ny dataskyddslag, s. 47.
253Gällande rätt – dataskydd och sekretess
personuppgifter om fällande domar i brottmål och överträdelser behandlas i enlighet med artikel 10. d) Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen. e) Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
Om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. 28 Tillåtligheten av en vidarebehandling kan alltså säkerställas genom nationell lagstiftning som reglerar när sådan vidarebehandling ska vara tillåten. 29 Om behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytter- 30 ligare, oavsett om detta är förenligt med ändamålen eller inte.
Känsliga personuppgifter m.m.
För behandling av vissa särskilda kategorier av uppgifter, s.k. känsliga personuppgifter, gäller stränga krav. Som huvudregel är behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning förbjuden enligt artikel 9.1 dataskyddsförordningen. Det finns vissa undantag från förbudet mot behandling av känsliga personuppgifter. Förbudet ska exempelvis inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken
28 Skäl 50 till dataskyddsförordningen. 29 Jfr artikel 6.3 andra stycket. 30 Skäl 50 till dataskyddsförordningen.
254Gällande rätt – dataskydd och sekretess
ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, vilket framgår av artikel 9.2 g. Vad gäller behandlingen av genetiska eller biometriska uppgifter, eller uppgifter om hälsa, får medlemsstaterna behålla eller införa ytterligare villkor och begränsningar. 31 Det finns även särskilda bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder. Behandling av sådana personuppgifter enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. 32 Om en uppgift om en fällande dom i brottmål eller lagöverträdelse som innefattar brott även utgör en känslig personuppgift, gäller därutöver de särskilda krav som gäller för behandling av sådana uppgifter.
De registrerades rättigheter
Dataskyddsförordningen innehåller ett antal rättigheter för de enskilda vars personuppgifter behandlas (de registrerade). Den registrerade har rätt att få omfattande information från den personuppgiftsansvarige. Informationen och kommunikationen ska vara klar och tydlig och de villkor som ska gälla för utövandet av den registrerades rättigheter ska 33 vara klara och tydliga. Informationen som ska tillhandahållas om personuppgifterna samlas in från den registrerade är bl.a. ändamålen med den behandling för vilken personuppgifterna är avsedda och den 34 rättsliga grunden för behandlingen. Om den personuppgiftsansvarige avser att ytterligare behandla uppgifterna för ett annat syfte än för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra
31 Artikel 9.4. 32 Artikel 10. 33 Artikel 12. 34 Artikel 13.1 c.
255Gällande rätt – dataskydd och sekretess
syfte, om den registrerade inte redan förfogar över informationen. 35 Om information inte erhållits från den registrerade gäller som utgångspunkt samma krav på information om bl.a. ändamålen och den rätts- 36 liga grunden för behandlingen. Undantag görs dock bl.a. för erhållande eller utlämnande av uppgifter som uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. 37 Den registrerade kan också begära registerutdrag med information om bl.a. vilka kategorier av uppgifter som behandlas om honom eller henne. 38 Vidare har den registrerade rätt att begära att få uppgifter rättade eller raderade eller att behandlingen ska begränsas. 39 Den registrerade har också rätt att göra invändningar mot personuppgiftsbehandling som grundar sig på bl.a. artikel 6.1 e. 40 Den registrerade ska även ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, om beslutet har rättsliga följder eller på liknande sätt i betydande grad påverkar den registrerade. 41 De rättigheter som tillkommer de registrerade kan begränsas under 42 vissa förutsättningar. I unionsrätten eller en medlemsstats nationella rätt ska det nämligen vara möjligt att införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. En begränsning av den registrerades rättigheter får dock inte ske av vilken anledning som helst. Den måste ha som syfte att säkerställa någon av de mål som anges i dataskyddsförordningen, bl.a. unio-
35 Artikel13.3 och 13.4. 36 Artikel 14. 37 Artikel 14.5 c. 38 Artikel 15. 39 Artiklarna 16–18. 40 Artikel 21.1. 41 Artikel 22. Profilering innebär varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar, se artikel 4.4. 42 Artikel 23.1.
256Gällande rätt – dataskydd och sekretess
nens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet eller en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med sådan myndighetsutövning. 43 Alla begränsande lagstiftningsåtgärder ska innehålla specifika bestämmelser åtminstone, när så är relevant, avseende bl.a. ändamålen med behandlingen eller kategorierna av behandling, omfattningen av de införda begränsningarna och skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring. 44
Säkerhet m.m.
Allmänt om säkerhet vid behandling av personuppgifter
Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas. Redan av de grundläggande principerna för personuppgiftsbehandling framgår att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f). Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. 45 Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i
43 Artikel 23.1 e och h. 44 Artikel 23.2 a, c och d. 45 Artikel 29.
257Gällande rätt – dataskydd och sekretess
förhållande till risken. 46 Säkerhetsåtgärder som kan aktualiseras är bl.a. pseudonymisering och kryptering av personuppgifter och ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. 47
Inbyggt dataskydd och dataskydd som standard
Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder som ska vara utformade för ett effektivt genomförande av dataskyddsprinciper och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. 48 Den personuppgiftsansvarige ska vidare genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs 49 tillgängliga för ett obegränsat antal fysiska personer.
Konsekvensbedömning
Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyd-
46 Artikel 32.1. 47 Artikel 32.1 a och d. 48 Artikel 25.1. 49 Artikel 25.2.
258Gällande rätt – dataskydd och sekretess
det av personuppgifter. 50 En sådan konsekvensbedömning kan aktualiseras bl.a. vid behandling i stor omfattning av känsliga personuppgifter enligt artikel 9.1, eller av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10. 51 Konsekvensbedömningen ska göras i syfte att bedöma den höga riskens sannolikhetsgrad och allvar samt dess ursprung och bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska risken, säkerställa personuppgiftsskyddet och visa att dataskyddsförordningen efterlevs. 52 En konsekvensbedömning bör särskilt vara tillämplig på storskalig uppgiftsbehandling med syftet att behandla betydande mängder uppgifter på regional, nationell eller övernationell nivå, vilket skulle kunna påverka ett stort 53 antal registrerade och sannolikt kommer innebära en hög risk. Om behandling enligt de rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning har en rättslig grund i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, krävs ingen konsekvensbedömning, om inte medlemsstaterna anser det nödvändigt att utföra en sådan be- 54 dömning före behandlingen.
Möjligheten till kompletterande lagstiftning
En EU-förordning är i alla delar bindande och direkt tillämplig i medlemsstaternas nationella rätt och ska därmed inte implementeras. 55 Dataskyddsförordningen är dock utformad på ett sådant sätt att förordningen till viss del både förutsätter och medger nationell dataskyddsreglering som kompletterar förordningens bestämmelser. Förordningen har därmed i vissa delar en direktivliknande karaktär. Dataskyddsförordningen medger att medlemsländerna behåller eller inför mer specifika bestämmelser för att anpassa bestämmelserna i
50 Artikel 35.1. 51 Artikel 35.3 b. 52 Skäl 90 till dataskyddsförordningen. 53 Skäl 91 till dataskyddsförordningen. 54 Artikel 35.10. 55 Jfr artikel 288 andra stycket i fördraget om Europeiska unionens funktionssätt.
259Gällande rätt – dataskydd och sekretess
förordningen, med hänsyn till behandling för att efterleva bestämmelserna om rättslig förpliktelse samt uppgift av allmänt intresse eller myndighetsutövning som rättslig grund. Medlemsstaterna får även fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. 56 Den rättsliga grunden ska dessutom fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. 57 I skälen till dataskyddsförordningen anges också att om förordningen föreskriver förtydliganden eller begränsningar av dess bestämmelser genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt. 58 Möjligheten att anta kompletterande dataskyddsbestämmelser på nationell nivå medför även en möjlighet för medlemsstaterna att i viss mån anpassa förordningens bestämmelser till den nationella kontexten. 59
Dataskyddsförordningens förhållande till offentlighetsprincipen
Bestämmelserna i dataskyddsförordningen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen, TF, eller yttrandefrihetsgrundlagen (1 kap. 7 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter benämnd dataskyddslagen, och artikel 85 i dataskyddsförordningen). Dataskyddsförordningen medför inte heller några begränsningar av rätten att ta del av allmänna handlingar. 60 Den svenska offentlighetsprincipen ges därmed företräde framför rätten till skydd av personuppgifter enligt dataskyddsförordningen. Detta innebär bl.a. att den svenska regleringen om allmänna handlingars offentlighet och rätten att ta del av allmänna handlingar i 2 kap. TF ska tillämpas framför 61 bestämmelserna i dataskyddsförordningen.
56 Artikel 6.2. 57 Artikel 6.3. 58 Skäl 8 till dataskyddsförordningen. 59 Se t.ex. artiklarna 6.2 och 23. 60 Artikel 86 i dataskyddsförordningen. 61 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 40–43.
260Gällande rätt – dataskydd och sekretess
3.2.6 Dataskyddslagen
Allmänt om dataskyddslagen
I Sverige kompletteras dataskyddsförordningen av dataskyddslagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Lagen med tillhörande förordning förtydligar under vilka förutsättningar personuppgifter får behandlas med stöd av dataskyddsförordningen. Genom dataskyddslagen upphävdes personuppgiftslagen (1998:204), som genomförde 1995 års dataskyddsdirektiv. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket innebär att avvikande bestämmelser i registerförfatt- 62 ningar och annan kompletterande dataskyddsreglering har företräde. Lagen innehåller bl.a. bestämmelser om rättslig grund för behandling av personuppgifter, behandling av känsliga personuppgifter och begränsningar av vissa rättigheter och skyldigheter samt om arkiv och statistik.
Dataskyddslagens förarbeten om rättslig grund
Allmänt om rättslig grund vid myndigheters personuppgiftsbehandling
I dataskyddslagens förarbeten gjordes flera överväganden om tolkningen av centrala delar i dataskyddsförordningen, bl.a. avseende de krav som ställs i relation till den rättsliga grund för behandling som i huvudsak är aktuell för myndigheter. Regeringens bedömning var sammanfattningsvis att dataskyddsförordningens krav på att den grund för behandling som vanligtvis aktualiseras för myndigheter ska vara fastställd i enlighet med unionsrätten eller den nationella rätten inte innebär ett krav på att själva behandlingen av personuppgifter måste regleras. Det är i stället den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen är enligt regeringen fastställd i enlighet med svensk rätt, om den följer av författning eller beslut som har meddelats i enlighet med regeringsformens bestäm- 63 melser.
62 1 kap. 6 § dataskyddslagen. 63 Prop. 2017/18:105, Ny dataskyddslag, s. 48.
261Gällande rätt – dataskydd och sekretess
Vad ska fastställas i unionsrätten eller nationell rätt?
Regeringen konstaterade att av ordalydelsen i artikel 6.3 första stycket 64 framgår att det som ska fastställas i unionsrätten eller nationell rätt är den grund för behandling som avses i artikel 6.1 c och e. Det krävs alltså inte en reglering i unionsrätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet. 65
Vad menas med att grunden för behandlingen ska vara fastställd?
Dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd utgjorde enligt regeringen inte någon nyhet när det gäller svenska myndigheters behandling av personuppgifter. Legalitetsprincipen är en av de principer som kännetecknar Sverige som rättsstat. Principen är grundlagsfäst genom 1 kap. 1 § RF och innebär att myndigheters maktutövning i vidsträckt mening, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Det borde inte förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser. 66 Kraven på proportionalitet i artikel 6.3 motsvarar enligt regeringen det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Enligt 2 kap. 19 § RF gäller att lagar och andra föreskrifter inte får meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Det bör därför vara mycket ovanligt att svensk rätt inte uppfyller Europakonventionens krav. Mot denna bakgrund bör utgångspunkten vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet 67 med svensk rätt. Kravet att nationell rätt ska uppfylla ett mål av
64 I artikel 6.3 första stycket i dataskyddsförordningen anges att den grund för behandlingen som avses i artikel 6.1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. 65 Prop. 2017/18:105, Ny dataskyddslag, s. 49. 66 Prop. 2017/18:105, Ny dataskyddslag, s. 50. 67 Prop. 2017/18:105, Ny dataskyddslag, s. 50.
262Gällande rätt – dataskydd och sekretess
allmänt intresse och vara proportionell mot det legitima mål som eftersträvas måste i första hand anses riktat mot lagstiftaren och andra som har befogenhet att fastställa rättsliga förpliktelser, uppgifter av allmänt intresse, samt myndighetsutövning, och inte till personuppgiftsansvariga eller personuppgiftsbiträden. 68 Av skäl 41 till förordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Även detta var enligt regeringen ett uttryck för legalitetsprincipen och utgjorde således inte någon nyhet inom den svenska offentliga förvaltningen. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringen bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. 69
Hur fastställs en rättslig grund i enlighet med svensk rätt?
Föreskrifter ska meddelas av riksdagen genom lag bl.a. om föreskrifterna avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga och ekonomiska förhål- 70 landen. Regeringen får dock, efter bemyndigande från riksdagen, meddela sådana föreskrifter i en förordning. 71 Normgivningskompetensen kan även vidaredelegeras till en myndighet eller en kommun. 72 När det gäller föreskrifter som är gynnande för den enskilde får regeringen, inom ramen för sin restkompetens, meddela föreskrifter om åtgärder utan stöd av ett bemyndigande från riksdagen. 73 Under regeringen lyder de statliga förvaltningsmyndigheter som inte är myndigheter under riksdagen. Regeringen styr dessa myndigheter genom regeringsbeslut och genom att med stöd av restkompetensen meddela föreskrifter. Det kommunala självstyret innebär att
68 Prop. 2017/18:105, Ny dataskyddslag, s. 54. 69 Prop. 2017/18:105, Ny dataskyddslag, s. 51. 70 8 kap. 2 § RF. 71 8 kap. 3 § RF. 72 8 kap. 9 och 10 §§ RF. 73 8 kap. 7 § RF.
263Gällande rätt – dataskydd och sekretess
fullmäktige har visst utrymme att styra de kommunala myndigheternas verksamhet genom reglementen. 74 EU-rättsakter gäller här i landet med den verkan som följer av EU-fördragen. Det innebär att även unionsrätten har stöd i svensk lag, t.ex. i fråga om förpliktelser, myndighetsutövning och uppgifter av allmänt intresse som följer av direkt tillämpliga EU-förordningar eller som meddelas med stöd av sådana förordningar. En rättslig grund är fastställd i enlighet med svensk rätt om den följer av en författning eller beslut som meddelats i enlighet med regeringsformens bestämmelser. Som en följd av den svenska arbetsmarknadsmodellen kan en rättslig grund även följa av kollektivavtal. 75
Bestämmelser om rättslig grund i dataskyddslagen
Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Bestämmelsen har sin grund i artikel 6.3 första stycket i dataskyddsförordningen. Enligt artikeln måste en rättslig förpliktelse vara fastställd i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragrafen är avsedd att ge vägledning för rättstillämpningen i Sverige och tydliggör att förpliktelsen måste vara fastställd i enlighet med gällande rätt, men behöver inte framgå direkt av en författning. Vidare kan en rättslig förpliktelse enligt svensk rätt även följa av till exempel regeringsbeslut, myndighetsbeslut eller dom. Med 76 lag jämställs EU-förordningar. Enligt 2 kap. 2 § dataskyddslagen får personuppgifter behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Bestämmelsen har sin grund i artikel 6.3 första
74 Prop. 2017/18:105, Ny dataskyddslag, s. 51. 75 Prop. 2017/18:105, Ny dataskyddslag, s. 51–52. 76 Prop. 2017/18:105, Ny dataskyddslag, s. 188–189.
264Gällande rätt – dataskydd och sekretess
stycket i dataskyddsförordningen där det anges att en uppgift av allmänt intresse respektive myndighetsutövning måste fastställas i enlighet med unionsrätten eller den nationella rätten för att kunna läggas till grund för behandling av personuppgifter. Paragrafen är avsedd att ge vägledning för rättstillämpningen i Sverige. Bestämmelsen tydliggör att uppgiften inte måste framgå direkt av en författning. Uppgifter av allmänt intresse kan enligt svensk rätt även följa av beslut som har meddelats med stöd av lag eller annan författning. Till exempel kan en sådan uppgift tilldelas en statlig myndighet eller ett statligt bolag genom ett regeringsbeslut. Vidare tydliggörs att myndighetsutövning utgör en rättslig grund för behandling av personuppgifter bara om myndighetsutövningen sker enligt lag eller annan författning. Begreppet myndighetsutövning ska tolkas och tillämpas på samma sätt som enligt dataskyddsförordningen. Det som i Sverige brukar anses som myndighetsutövning borde omfattas av begreppet. 77
3.2.7 Särskilda nationella registerförfattningar
Allmänt om registerförfattningar
Utöver den allmänna dataskyddsregleringen i form av dataskyddsförordningen och dataskyddslagen finns det i svensk rätt en stor mängd specialförfattningar, s.k. registerförfattningar, som reglerar framför allt myndigheters behandling av personuppgifter. Registerförfattningarna utgör ett komplement till den allmänna regleringen och förekommer både i form av lag och förordning. Syftet med registerförfattningarna är att anpassa regleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes personliga integritet. 78 Särskilda registerförfattningar blir ofta aktuella inom verksamheter där stora mängder personuppgifter hanteras. Det finns dock ett flertal myndigheter som saknar registerförfattning och där enbart den generella dataskyddsregleringen tillämpas. Registerförfattningar kan sägas konkretisera ramarna för personuppgiftsbehandlingen och den kompletterande regleringen kan sägas
77 Prop. 2017/18:105, Ny dataskyddslag, s. 189–190. 78 Prop. 2015/16:65, Utlänningsdatalag, s. 21.
265Gällande rätt – dataskydd och sekretess
ange de yttersta ramarna för vilka ändamål en myndighet över huvud taget får samla in och använda uppgifter. 79
Registerförfattningars innehåll
Registerförfattningar och annan kompletterande dataskyddsreglering är ofta uppbyggda på så sätt att de inledande bestämmelserna anger författningens tillämpningsområde, exempelvis en viss verksamhet inom en viss myndighet, och förhållande till annan reglering, primärt dataskyddsförordningen och dataskyddslagen. De allra flesta registerförfattningar innehåller därefter ändamålsbestämmelser. Ändamålsbestämmelserna brukar delas upp i primära och sekundära ändamål. Bestämmelserna om primära ändamål avser behovet av att behandla personuppgifter i myndighetens egen verksamhet och anger för vilka ändamål inom lagens tillämpningsområde myndigheten får samla in personuppgifter. Uttrycket samlas in är ett begrepp som inte särskilt definieras i dataskyddsförordningen. Det får dock antas avse de olika tillvägagångssätt som, i en vid bemärkelse, medför att uppgifter kommer in till myndigheten. Begreppet träffar alltså inte enbart de situationer när uppgifter kommer till myndigheten efter myndighetens egen begäran, utan även andra situationer som innebär att en myndighet får tillgång till personuppgifter, exempelvis genom att en enskild på eget initiativ lämnar in en handling av något slag till myndigheten. 80 En primär ändamålsbestämmelse kan t.ex. ange att uppgifter får behandlas för tillhandahållande av information som behövs hos en myndighet för en viss uppgift som ankommer på myndigheten. Bestämmelserna om sekundära ändamål reglerar hur personuppgifter som redan har samlats in och behandlas i verksamheten för de primära ändamålen får vidarebehandlas. I de sekundära ändamålsbestämmelserna ges ofta en uppräkning över vissa vanligt förekommande ändamål för utlämnande till andra myndigheter. Utöver detta anges ofta att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och att uppgifter även får behandlas för andra ändamål, under förutsättning att upp-
79 Prop. 2017/18:95, Ny dataskyddslag, s. 54. 80 Öman, Dataskyddsförordningen (GDPR) m.m. – en kommentar, (27 september 2023, Version 2B, JUNO), kommentaren till artikel 5 under rubriken Led b – Ändamålsbegränsning.
266Gällande rätt – dataskydd och sekretess
gifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen). Det är även vanligt förekommande att registerförfattningarna innehåller särskilda bestämmelser om bl.a. personuppgiftsansvar, behandling av känsliga personuppgifter, förbud mot vissa sökningar, samt begränsningar av tillgången till personuppgifter. Flera registerförfattningar innehåller också en reglering av vilka uppgifter som får behandlas för vilka ändamål, vilka uppgifter som får användas gemensamt i en databas, samt villkor för olika former av elektroniskt utlämnande av uppgifter, exempelvis genom direktåtkomst. Inte sällan finns det förordningar som kompletterar registerlagarna. I förordningarna ges då ofta mer detaljerade bestämmelser, exempelvis om vilka uppgifter som får behandlas i vilken kontext, eller vilka uppgifter som får lämnas ut till vem samt i vilken elektronisk form detta får ske. I förordningarna kan det även finnas andra begränsningar.
3.2.8 Skatteverkets, Tullverkets och
Kronofogdemyndighetens registerförfattningar
Skatteverket
Skattedatabaslagen med tillhörande förordning
Vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet tillämpas lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen, och förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen. Skattedatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde skatteregisterlagen (1980:343) att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Skattedatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgiftslagen upphävdes. 81
81 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.
267Gällande rätt – dataskydd och sekretess
Skattedatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. beskattningsdatabasen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.). Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön och lagen (2020:548) om omställningsstöd samt vid handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §). Termer och uttryck som används i lagen har samma betydelse och tillämpningsområde som i inkomstskattelagen (1999:1229) (1 kap. 1 a §). Skattedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). Lagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Uppgifter får enligt de primära ändamålen behandlas för att tillhandahålla information som behövs hos Skatteverket för bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, bestämmande av pensionsgrundande inkomst, fastighetstaxering, revision och annan analyseller kontrollverksamhet och fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §). Enligt de s.k. sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen i 1 kap. 4 § även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för bl.a. fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter, för utsökning, indrivning, skuldsanering och F-skuldsanering och för att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd. Uppgifter får också behandlas för att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, och för att fullgöra upp-
268Gällande rätt – dataskydd och sekretess
giftslämnande som sker i överensstämmelse med lag eller förordning. Vidare får uppgifter behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 5 §). Det är Skatteverket som är personuppgiftsansvarigt för den behandling av personuppgifter som verket ska utföra (1 kap. 6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av beskattningsdatabasen (1 kap. 7 §). Uppgifter som Skatteverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §). Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör beskattningsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i beskattningsdatabasen (2 kap. 3–4 a §§). Vidare finns regler om enskilds rätt att ta del av uppgifter från databasen och vilka uppgifter som då får lämnas ut (2 kap. 5 §). Det finns också bestämmelser om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling (2 kap. 6 §). Vilken direktåtkomst som är tillåten till beskattningsdatabasen framgår av lagen (2 kap. 7–9 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i beskattningsdatabasen (2 kap. 10 §). Uppgifter och handlingar som finns i beskattningsdatabasen ska som utgångspunkt gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller handlingarna kan hänföras till gick ut. (2 kap. 11 §). Det finns även ytterligare särskilda regler om gallring av uppgifter och handlingar som finns i databasen (2 kap. 12–13 §§). Vidare får Skatteverket ta ut
269Gällande rätt – dataskydd och sekretess
avgifter för att lämna ut uppgifter ur beskattningsdatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 13 §). Två rättigheter enligt EU:s dataskyddsförordning har inskränkts genom skattedatabaslagen. Vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15–19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen (3 kap. 3 a §). Vidare gäller inte artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar vid sådan behandling som är tillåten enligt skattedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §). I skattedatabasförordningen finns ytterligare bestämmelser om Skatteverkets behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, uppgifter som får behandlas i beskattningsdatabasen, utlämnande av uppgifter till myndigheter och andra organ, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, utlämnande av uppgifter till Europeiska kommissionen, direktåtkomst för enskilda, bevarande och gallring av uppgifter i beskattningsdatabasen och avgifter.
Folkbokföringsdatabaslagen med tillhörande förordning
Vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet tillämpas lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen, och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen. Folkbokföringsdatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde lagen (1990:1536) om folkbokföringsregister och lagen (1995:743) om aviseringsregister att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Folkbokföringsdatabaslagen har sedan dess änd-
270Gällande rätt – dataskydd och sekretess
rats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgiftslagen upphävdes. 82 Folkbokföringsdatabaslagen är indelad i fyra kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. folkbokföringsdatabasen (2 kap.), analys- och urvalsdatabasen (2 a kap.) och enskildas rättigheter (3 kap.). Lagen är tillämplig vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen gäller också vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen (2022:1697) om samordningsnummer. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om avlidna (1 kap. 1 §). Folkbokföringsdatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). Lagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Uppgifter får enligt de primära ändamålen behandlas för att tillhandahålla information som behövs för bl.a. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, fullgörande av underrättelseskyldighet enligt lag eller förordning, aktualisering, komplettering och kontroll av personuppgifter och uttag av urval av personuppgifter (1 kap. 4 § första stycket). Uppgifter får också behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten (1 kap. 4 a §). Enligt de s.k. sekundära ändamålen får uppgifter även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 4 § andra stycket). Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet ut-
82 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.
271Gällande rätt – dataskydd och sekretess
för enligt lagen (1 kap. 5 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av folkbokföringsdatabasen (1 kap. 6 §). Vidare finns regler om att när en kontroll enligt 26 b och 26 c §§ folkbokföringslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras (1 kap. 7 §). Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som anges i 1 kap. 4 § utgör folkbokföringsdatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som har tilldelats personnummer eller samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i folkbokföringsdatabasen (2 kap. 3–5 §§). Det finns också bestämmelser om vilka uppgifter i databasen som får lämnas ut till enskilda på medium för automatiserad behandling (2 kap. 6 §). Vilken direktåtkomst som är tillåten till folkbokföringsdatabasen framgår av lagen (2 kap. 8 och 9 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i folkbokföringsdatabasen (2 kap. 10 och 11 §§). Vidare får Skatteverket ta ut avgifter för att lämna ut uppgifter ur folkbokföringsdatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 12 §). I folkbokföringsverksamheten ska det också finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och urvalsdatabas) (2 a kap. 1 §). I analys- och urvalsdatabasen får uppgifter om de personer som uppgifter får behandlas om i folkbokföringsdatabasen behandlas (2 a kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i analys- och urvalsdatabasen (2 a kap. 3 §). Det finns också bestämmelser om vilka sökbegrepp som får användas vid sökning i databasen (2 a kap. 4 §). Vidare finns ett särskilt dokumentationskrav som innebär att metoder för att ta
272Gällande rätt – dataskydd och sekretess
fram urval och sökbegrepp som används vid sökningar i analys- och urvalsdatabasen ska dokumenteras på ett sådant sätt att de kan kontrolleras i efterhand (2 a kap. 5 §). Uppgifter som behandlas i analysoch urvalsdatabasen får inte behandlas under en längre tid än som behövs med hänsyn till ändamålet med behandlingen. Uppgifterna får dock aldrig behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen (2 a kap. 6 §). En rättighet enligt EU:s dataskyddsförordning har inskränkts genom folkbokföringsdatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt folkbokföringsdatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §). I folkbokföringsdatabasförordningen finns ytterligare bestämmelser om Skatteverkets behandling av personuppgifter inom folkbokföringsverksamheten. Förordningen innehåller bl.a. bestämmelser om definitioner, Skatteverkets skyldighet att behandla uppgifter, vilka uppgifter som får behandlas i folkbokföringsdatabasen respektive analys- och urvalsdatabasen, underrättelser som Skatteverket ska lämna, personbevis, utlämnande av uppgifter till enskilda på medium för automatiserad behandling, direktåtkomst för enskilda och avgifter.
Lagen om det statliga personadressregistret med tillhörande förordning
Statens personadressregister, SPAR, är ett offentligt register som omfattar alla personer som är folkbokförda i Sverige, både svenska och utländska medborgare. I registret ingår även personer som har fått samordningsnummer och vars identitet är fastställd. Skatteverket är huvudman och personuppgiftsansvarig för SPAR sedan den 1 januari 2009. Av lagen (1998:527) om det statliga personadressregistret, SPARlagen, framgår att för vissa ändamål ska det med hjälp av automatiserad behandling föras ett statligt personadressregister (SPAR). Registret får användas av myndigheter och enskilda (1 §). SPAR-lagen kompletteras av förordningen (1998:1234) om det statliga personadressregistret, SPAR-förordningen. SPAR-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (2 §).
273Gällande rätt – dataskydd och sekretess
I lagen finns bestämmelser om registerändamål. Uppgifterna i SPAR får behandlas för att aktualisera, komplettera och kontrollera personuppgifter och för att ta ut uppgifter om namn och adress genom urvalsdragning för direktreklam, opinionsbildning eller samhällsinformation eller annan därmed jämförlig verksamhet (3 §). Vidare har en rättighet enligt EU:s dataskyddsförordning inskränkts genom SPAR-lagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt SPAR-lagen eller föreskrifter som har meddelats i anslutning till lagen. Det finns också en upplysning om att bestämmelser om rätten att göra invändningar mot behandling för direkt marknadsföring finns i artikel 21.2 i dataskyddsförordningen (3 a §). Lagen innehåller bestämmelser om vilka uppgifter SPAR får innehålla (4 och 5 §§). Det finns också bestämmelser om utlämnande av uppgifter till enskilda samt till vissa myndigheter (6 och 7 §§). Slutligen anges i lagen att regeringen får föreskriva om begränsningar av sökbegreppen för SPAR (8 §). I SPAR-förordningen finns ytterligare bestämmelser om SPAR. Där anges bl.a. att Skatteverket är personuppgiftsansvarigt för SPAR. Driften av SPAR får vara förlagd till servicebyråer. Vidare finns regler om den s.k. SPAR-nämnden, inhämtande av uppgifter till verksamheten med SPAR, utlämnande av uppgifter i elektronisk form, informationsskyldighet, sökbegrepp, statistiska sammanställningar och gallring.
Lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter med tillhörande förordning
Vid behandling av personuppgifter i Skatteverkets äktenskapsregisteroch bouppteckningsverksamheter tillämpas lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, ÄrBu-lagen, och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregisteroch bouppteckningsverksamheter, ÄrBu-förordningen. Syftet med lagen är att ge Skatteverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i verkets äktenskapsregisteroch bouppteckningsverksamheter och att skydda människor mot att
274Gällande rätt – dataskydd och sekretess
deras personliga integritet kränks vid en sådan behandling (1 §). Lagen gäller vid behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa bestämmelser gäller även vid behandling av uppgifter om avlidna (2 §). ÄrBu-lagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (3 §). Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket utför (5 §). I lagen regleras tillåtna primära och sekundära ändamål. Personuppgifter får behandlas om det behövs i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. Personuppgifter får också behandlas om det behövs för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Sådana uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får sådana uppgifter behandlas i en handling som har lämnats i ett ärende. Sådana uppgifter får behandlas även i en handling som har upprättats i ett ärende, om de är nödvändiga för ärendets handläggning (7 §). Vidare finns regler om begränsningar av sökbegrepp som får användas (8 §). Personuppgifter får enligt lagen lämnas ut på medium för automatiserad behandling om det inte är olämpligt (9 §). Vidare har rättighet enligt EU:s dataskyddsförordning inskränkts genom ÄrBu-lagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt ÄrBu-lagen eller föreskrifter som har meddelats i anslutning till lagen (10 §). Slutligen finns bestämmelser om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om avgifter för utlämnande av uppgifter (11 §). I ÄrBu-förordningen finns bestämmelser bl.a. om att Skatteverket får meddela föreskrifter om begränsningar av möjligheterna att lämna ut personuppgifter på medium för automatiserad behandling, att
275Gällande rätt – dataskydd och sekretess
Skatteverket får besluta om avgifter för utlämnande av uppgifter samt att Riksarkivet får, efter att ha inhämtat synpunkter från Skatteverket, meddela föreskrifter om vilka uppgifter och handlingar som ska gallras.
Tullverket
I svensk rätt regleras den del av Tullverkets behandling av personuppgifter som omfattas av vårt uppdrag i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen, och förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen. Tulldatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde tullregisterlagen (1990:137) att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Tulldatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgiftslagen upphävdes. 83 Tulldatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om den s.k. tulldatabasen (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.). Lagen är tillämplig vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer (1 kap. 1 §). Tulldatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). Lagen innehåller bestämmelser om s.k. primära och sekundära ändamål. Uppgifter får enligt de primära ändamålen behandlas för att tillhandahålla information som behövs hos Tullverket för bl.a. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, för övervakning, revision och annan analys- eller kontrollverksamhet och för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande (1 kap. 4 §).
83 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.
276Gällande rätt – dataskydd och sekretess
Enligt de s.k. sekundära ändamålen får uppgifter som behandlas enligt de primära ändamålen i 1 kap. 4 § även behandlas för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för bl.a. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter. Uppgifter får också behandlas för att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område och för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Vidare får uppgifter behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (1 kap. 5 §). Det är Tullverket som är personuppgiftsansvarigt för behandling av personuppgifter (1 kap. 6 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av tulldatabasen (1 kap. 7 §). Uppgifter som Tullverket behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 8 §). Den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör tulldatabasen (2 kap. 1 §). I databasen får uppgifter behandlas om personer som omfattas av verksamhet enligt vissa av de primära ändamålen. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende (2 kap. 2 §). Det finns bestämmelser om vilka uppgifter som får behandlas i tulldatabasen (2 kap. 3 och 4 §§). Vidare finns regler om vilka uppgifter i databasen som får lämnas ut till en enskild på medium för automatiserad behandling (2 kap. 5 §). Vilken direktåtkomst som är tillåten till tulldatabasen framgår av lagen (2 kap. 7 och 8 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i tulldatabasen (2 kap. 9 §). Uppgifter och
277Gällande rätt – dataskydd och sekretess
handlingar som finns i tulldatabasen ska som utgångspunkt gallras senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången (2 kap. 10 § första stycket). Vidare får Tullverket ta ut avgifter för att lämna ut uppgifter ur tulldatabasen enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 11 §). En rättighet enligt EU:s dataskyddsförordning har inskränkts genom tulldatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt tulldatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 1 §). I tulldatabasförordningen finns ytterligare bestämmelser om Tullverkets behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, tullidentifikationsnummer, Tullverkets uppgiftsskyldighet, utlämnande av uppgifter på medium för automatiserad behandling, direktåtkomst för enskilda, gallring och avgifter.
Kronofogdemyndigheten
Allmänt om Kronofogdemyndighetens registerförfattningar
I svensk rätt regleras Kronofogdemyndighetens behandling av personuppgifter i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen. Kronofogdedatabaslagen trädde i kraft den 1 oktober 2001 och genom lagen upphörde utsökningsregisterlagen (1986:617) och lagen (1991:876) om register för betalningsföreläggande och handräckning att gälla. Vid tidpunkten för lagens ikraftträdande gällde 1995 års dataskyddsdirektiv och personuppgiftslagen. Kronofogdedatabaslagen har sedan dess ändrats vid ett flertal tillfällen, bl.a. i syfte att anpassa lagen till EU:s dataskyddsförordning som innebar att personuppgifts- 84 lagen upphävdes. Kronofogdedatabaslagen skiljer sig från Skatteverkets och Tullverkets registerförfattningar på så sätt att den reglerar fyra olika databaser med separata ändamål för respektive databas. Det är vidare i
84 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning.
278Gällande rätt – dataskydd och sekretess
databasregleringen som tillåtna primära och sekundära ändamål anges, och inte i de allmänna bestämmelserna.
Allmänna bestämmelser i kronofogdedatabaslagen
Kronofogdedatabaslagen är indelad i tre kapitel som innehåller allmänna bestämmelser (1 kap.), bestämmelser om Kronofogdemyndighetens databaser (2 kap.) och bestämmelser om enskildas rättigheter (3 kap.). Lagen är tillämplig vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas dock inte vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. Vissa av lagens bestämmelser gäller även vid behandling av uppgifter om juridiska personer och avlidna (1 kap. 1 §). Kronofogdedatabaslagen kompletterar EU:s dataskyddsförordning medan dataskyddslagen är subsidiär i förhållande till lagen (1 kap. 2 och 3 §§). De avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur ska tillämpas i stället för kronofogdedatabaslagen (1 kap. 3 a §). I lagen anges vidare att uppgifter får behandlas för de ändamål som anges för respektive databas (1 kap. 4 §). Vidare föreskrivs att Kronofogdemyndigheten är personuppgiftsansvarig för den behandling som myndigheten skall utföra (1 kap. 5 §). När det gäller personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får sådana
279Gällande rätt – dataskydd och sekretess
uppgifter behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Sådana uppgifter får i annat fall behandlas endast om det anges i 2 kap., som innehåller reglering av myndighetens databaser (1 kap. 6 §). Uppgifter som Kronofogdemyndigheten behandlar automatiserat i ett ärende ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. För uppgifter som behandlas med stöd av regleringen i 2 kap. gäller särskilda bestämmelser (1 kap. 7 §). De samlingar uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten utgör utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen (2 kap. 1, 7, 13 och 19 §§). I respektive databas får uppgifter behandlas för vissa angivna primära och sekundära ändamål.
Utsöknings- och indrivningsdatabasen
I utsöknings- och indrivningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m., ansökan om och tillsyn över näringsförbud, förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering och för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för bl.a. avräkning vid återbetalning av skatter och avgifter, kvittning vid utbetalning av bidrag, planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering och utredningar vid bestämmande och betalning av skatter, tullar och avgifter. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in, den s.k. finalitetsprincipen (2 kap. 2 och 3 §§). Det finns även bestämmelser
280Gällande rätt – dataskydd och sekretess
om vilka uppgifter som får behandlas i utsöknings- och indrivningsdatabasen (2 kap. 4 och 5 §§) samt särskilda regler om gallring i den databasen (2 kap. 6 §).
Betalningsföreläggande- och handräckningsdatabasen
I betalningsföreläggande- och handräckningsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande och tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för bl.a. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 8 och 9 §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i utsöknings- och indrivningsdatabasen (2 kap. 10 och 11 §§) samt särskilda regler om gallring i den databasen (2 kap. 12 §).
Skuldsaneringsdatabasen
I skuldsaneringsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggning av ärenden om skuldsanering och F- skuldsanering och förebyggande av överskuldsättning. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för bl.a. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra
281Gällande rätt – dataskydd och sekretess
ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 14 och 15 §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i skuldsaneringsdatabasen (2 kap. 16 och 17 §§) samt särskilda regler om gallring i den databasen (2 kap. 18 §).
Konkurstillsynsdatabasen
I konkurstillsynsdatabasen får uppgifter behandlas för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för bl.a. handläggningen av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497) och förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering. Uppgifter som behandlas för de primära ändamålen får även behandlas i databasen för att bl.a. tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering. Uppgifter får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (2 kap. 20 och 20 a §§). Det finns även bestämmelser om vilka uppgifter som får behandlas i konkurstillsynsdatabasen (2 kap. 21 och 22 §§) samt särskilda regler om gallring i den databasen (2 kap. 23 §).
Gemensamma bestämmelser för databaserna
I kronofogdedatabaslagen finns vissa gemensamma bestämmelser för databaserna. Det finns regler som rör elektroniska handlingar (2 kap. 24 §) och utlämnande av uppgifter till enskilda på medium för automatiserad behandling (2 kap. 25 §). Det finns också en bestämmelse om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (2 kap. 26 §). Vilken direktåtkomst som är tillåten till databaserna framgår av lagen (2 kap. 27 och 28 §§). Det finns också begränsningar för vilka sökbegrepp som får användas vid sökningar i databaserna (2 kap. 29 §). Vidare får Kronofogdemyndigheten får ta ut avgifter för att lämna ut
282Gällande rätt – dataskydd och sekretess
uppgifter ur en databas enligt de närmare föreskrifter som meddelas av regeringen (2 kap. 30 §).
Enskildas rättigheter
En rättighet enligt EU:s dataskyddsförordning har inskränkts genom kronofogdedatabaslagen. Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar gäller inte vid sådan behandling som är tillåten enligt kronofogdedatabaslagen eller föreskrifter som har meddelats i anslutning till lagen (3 kap. 3 §). Vidare finns en särskild bestämmelse om rättelse, blockering och utplåning av sådana uppgifter som inte har behandlats i enlighet med lagen eller anslutande författningar eller som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. En särskild bestämmelse om överklagande finns för sådana beslut (3 kap. 3 a och 4 §§).
Kronofogdedatabasförordningen
I kronofogdedatabasförordningen finns ytterligare bestämmelser om Kronofogdemyndighetens behandling av personuppgifter. Förordningen innehåller bl.a. bestämmelser om definitioner, vilka uppgifter som får behandlas i databaserna, uppgiftsskyldigheter, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling, avgifter och gallring.
3.3 Sekretess och tystnadsplikt
3.3.1 Allmänna handlingar hos myndigheterna
Reglering av allmänna handlingars offentlighet finns i 2 kap. TF. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. 85 En handling är allmän, om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet. 86
85 2 kap. 3 § TF. 86 2 kap. 4 § TF.
283Gällande rätt – dataskydd och sekretess
En upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. En sammanställning av uppgifter ur en upptagning för automatiserad behandling anses dock förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 2 kap. 7 § TF. 87 Regleringen innebär att om en myndighet har s.k. direktåtkomst till uppgifter hos en annan myndighet blir de handlingar som åtkomsten omfattar allmänna handlingar även hos den mottagande myndigheten. En sammanställning anses dock inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. 88 Om det finns sökbegränsningar eller sökförbud i en tillämplig registerförfattning anses en sammanställning, exempelvis baserad på en kategori av uppgifter som bedöms vara känsliga, därmed inte förvarad hos myndigheten. När en handling delas inom en myndighet blir den allmän först 89 om detta sker mellan två självständiga organ. Omständigheter som brukar anses ha betydelse för om en verksamhetsdel uppfyller självständighetskriteriet är bl.a. om verksamheten självständigt förvaltar viss egendom, har viss handlingsfrihet inom en angiven ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder självständigt och på eget ansvar. 90
3.3.2 Allmänt om sekretess och tystnadsplikt
Reglering av sekretess
Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400), OSL. Sekretess definieras som ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. 91 Gäller förbud enligt offentlighetsoch sekretesslagen mot att röja en uppgift, får uppgiften inte heller i
87 2 kap. 6 § TF. 88 2 kap. 7 § TF. 89 2 kap. 11 § TF. 90 Prop. 1975/76:160, om nya grundlagsbestämmelser angående allmänna handlingars offentlighet, s. 151–152, RÅ 1993 ref. 20 och RÅ 1987 ref. 28. Av HFD 2013 ref. 40 följer att organets förhållande till myndighetsledningen kan vara av särskild betydelse. 91 3 kap. 1 § OSL.
284Gällande rätt – dataskydd och sekretess
övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad. 92 De uppgifter som sekretessbestämmelserna ska skydda är viss slags information med visst innehåll. Syftet är dock att en sekretessreglering inte ska innebära en större begränsning i offentlighetsprincipen än vad som är nödvändigt för att värna det intresse som sekretessen är avsedd att skydda, jfr 2 kap. 2 § TF.
Sekretessens föremål, räckvidd och styrka
En sekretessbestämmelse består i regel av tre grundläggande rekvisit, dvs. förutsättningar för bestämmelsens tillämplighet. Dessa tre rekvisit anger sekretessens föremål, sekretessens räckvidd och sekretes- 93 sens styrka. Sekretessens föremål är information med visst innehåll som anges i lagen genom ordet uppgift tillsammans med en mer eller mindre långtgående precisering av uppgiftens art. En sekretessbestämmelses räckvidd bestäms genom att det t.ex. anges att sekretess gäller i verksamhet eller i ärende av ett visst slag eller vid viss myndighet, i samtliga fall för vissa uppgifter. 94 Vissa sekretessbestämmelser gäller dock utan att räckvidden är begränsad till viss verksamhet, ärende eller myndighet. Sådana bestämmelser finns t.ex. i 21 kap. OSL. När det gäller sekretessens styrka bestäms denna med hjälp av s.k. skaderekvisit, dvs. villkor som i regel för sekretess kräver sannolikhet i det särskilda fallet för skada av viss art om en uppgift lämnas ut. 95 Vid sekretessbestämmelser med ett rakt skaderekvisit är utgångspunkten att uppgifterna är offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår om uppgiften i det enskilda fallet lämnas ut. Skadebedömningen ska i dessa fall i huvudsak göras med utgångspunkt i själva uppgiften. Avgörande för om sekretess gäller är om uppgiften som sådan är av den arten att ett utlämnande typiskt sett kan vara ägnat att medföra skada för det intresse som ska skyd- 96 das genom bestämmelsen. Vissa bestämmelser innehåller ett kvali-
92 7 kap. 1 § OSL. 93 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 72 och Ds 2016:2, Några frågor om offentlighet och sekretess, s. 39. 94 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 72–73. 95 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 78. 96 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 80.
285Gällande rätt – dataskydd och sekretess
ficerat rakt skaderekvisit, dvs. det krävs särskilt mycket för att sekretessen ska gälla. 97 Om en sekretessbestämmelse innehåller ett omvänt skaderekvisit innebär det att sekretess som huvudregel gäller för uppgiften. Vid sådana skaderekvisit gäller sekretess om det inte står klart att en uppgift kan röjas utan att viss skada uppstår. I praktiken innebär detta att tillämparen ofta inte kan lämna ut en uppgift som omfattas av en sådan sekretessregel utan att ha kännedom om mottagarens identitet och om dennes avsikter med uppgiften. 98 Vidare kan sekretessen vara absolut, dvs. sekretessbestämmelsen saknar skaderekvisit. Sekretess gäller då utan någon skadeprövning om uppgifterna begärs ut. För att en enskild person ska lida skada eller men krävs att uppgifterna är hänförliga till en viss individ. Det innebär att avidentifierade uppgifter i princip kan lämnas ut utan hinder av sekretess. 99
Tystnadsplikten
En uppgift för vilken sekretess gäller enligt offentlighets- och sekretesslagen får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i offentlighets- och sekretesslagen eller i lag eller 100 förordning som offentlighets- och sekretesslagen hänvisar till. Ett förbud mot att röja vissa uppgifter som behandlas vid en myndighet träffar både myndigheten som sådan och dess personal. 101 Om en uppgift är sekretessbelagd får den som utgångspunkt inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad. 102 Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat 103 som brott mot tystnadsplikt. Avgörande för straffansvar är att en person röjer en uppgift som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning.
97 Ds 2016:2, Några frågor om offentlighet och sekretess, s. 40. 98 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 82. 99 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84. 100 8 kap. 1 § OSL. 101 2 kap. 1 § OSL. 102 7 kap. 1 § OSL. 103 20 kap. 3 § brottsbalken.
286Gällande rätt – dataskydd och sekretess
En grundprincip är att personen själv kan bestämma över de uppgifter som rör honom eller henne och därmed också kan välja att efterge sekretessen. 104 En person kan följaktligen lämna sitt samtycke till att en sekretesskyddad uppgift lämnas till annan person eller myndighet. I sådana fall utgör utlämnandet inte ett otillåtet röjande.
Några regler om sekretess som gäller oavsett sammanhang
Som nämns ovan finns det vissa sekretessbestämmelser som gäller oavsett i vilken verksamhet eller vid vilken myndighet uppgiften förekommer. Exempelvis gäller sekretess enligt 21 kap. 1 § OSL för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Sekretessen gäller dock inte för uppgift som tas in i beslut. Sekretess gäller vidare enligt 21 kap. 3 § OSL inom alla myndigheter för uppgift om en enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, den enskildes telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne samt för motsvarande uppgifter om den enskildes anhöriga, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Sekretess gäller även i mål eller ärende vid domstol eller annan myndighet där en part har skyddad folkbokföring enligt 16 § folkbokföringslagen för uppgift som lämnar upplysning om var den parten bor stadigvarande eller tillfälligt, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men. Detsamma gäller om uppgiften tillsammans med annan uppgift i målet eller ärendet bidrar till sådan upplysning. 105 Enligt 21 kap. 5 § OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som
104 12 kap. 2 § OSL. 105 21 kap. 3 a § OSL.
287Gällande rätt – dataskydd och sekretess
föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. En grundläggande sekretessbestämmelse, som också gäller oavsett sammanhang, innehåller en direkt koppling till det generella regelverket om dataskydd. Enligt 21 kap. 7 § OSL gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning eller dataskyddslagen. Bestämmelsen gäller när myndigheter lämnar ut personuppgifter, oavsett i vilket sammanhang personuppgifterna förekommer. De situationer som kan aktualisera bestämmelsen är exempelvis vid s.k. massuttag eller selekterade uttag. 106
Några sekretessbrytande regler som gäller oavsett sammanhang
Bestämmelsen om nödvändigt utlämnande i 10 kap. 2 § OSL innebär att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. För att denna sekretessbrytande regel ska aktualiseras krävs dock att det är en nödvändig förutsättning för fullgörandet av ett visst åliggande som en myndighet har, att en sekretessbelagd uppgift lämnas ut. 107 Sekretess hindrar inte att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndighet och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda. Sekretess hindrar aldrig att en part i ett mål eller ärende tar del av en dom eller ett beslut i målet eller ärendet. 108 Ibland kan den risk för skada som hindrar ett utlämnande undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna
106 Prop. 2017/18:105, Ny dataskyddslag, s. 135–136 och JO:s beslut 2013-08-28 (dnr 4171-2011). 107 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 465. 108 10 kap. 3 § OSL.
288Gällande rätt – dataskydd och sekretess
uppgiften vidare eller utnyttja den. 109 En myndighet kan då lämna uppgiften till den enskilde med ett sådant förbehåll. Den s.k. generalklausulen stadgar att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. 110 Bestämmelsen möjliggör informationsutbyte mellan myndigheter av uppgifter som omfattas av sekretess i fall då det saknas uttryckliga sekretessbrytande regler. Generalklausulen gäller dock inte om det rör sådan sekretess som förekommer inom vissa särskilda 111 områden, bl.a. inom socialtjänsten och hälso- och sjukvården. Den gäller inte heller om utlämnandet strider mot lag eller förordning. 112 Det innebär att om det t.ex. i lag har föreskrivits att en viss myndighet på vissa angivna villkor kan få ta del av hemliga uppgifter hos en annan myndighet, kommer det inte i fråga att, när de angivna villkoren inte är uppfyllda, lämna ut uppgifterna med stöd av generalklausulen i stället. 113
Konkurrens mellan flera sekretessbestämmelser
Om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i offentlighets- och sekretesslagen (7 kap. 3 § OSL). Bestämmelsen reglerar alltså vilken sekretessregel som ska ha företräde i de fall flera sekretessbestämmelser är tillämpliga på samma uppgift, s.k. konkurrens mellan sekretessbestämmelser. Undantag från huvudregeln i 7 kap. 3 § OSL finns i 11 kap. 8 § OSL. Där anges att bl.a. den sekretessbestämmelse som avses i 11 kap. 4 § OSL inte ska tillämpas på en uppgift när det finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. I 11 kap. 4 § OSL anges att om en myndighet hos
109 10 kap. 14 § OSL. 110 10 kap. 27 § första stycket OSL. 111 10 kap. 27 § andra stycket OSL. 112 10 kap. 27 § tredje stycket OSL. 113 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 328.
289Gällande rätt – dataskydd och sekretess
en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Det gäller dock inte en uppgift som ingår i ett beslut hos den mottagande myndigheten.
3.3.3 Sekretess mellan myndigheter och mellan självständiga
verksamhetsgrenar inom en myndighet
Allmänt om sekretess mellan och inom myndigheter
Om en viss uppgift hos en myndighet är skyddad av en sekretessbestämmelse gäller sekretesskyddet även i förhållande till andra myndigheter. Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. 114 Exempelvis gäller föreskriven sekretess mellan Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet. Sekretess hindrar dock inte att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. 115 Det är en generell regel som medför att sekretessen mellan myndigheter ger vika för uppgifter som omfattas av uppgiftsskyldighet. Bestämmelsen är tillämplig både när det gäller att lämna uppgifter mellan olika myndigheter och mellan självständiga verksamhetsgrenar inom en och samma myndighet.
Överföring av sekretess m.m.
Sekretesskyddet som följer av en sekretessregel följer som huvudregel inte med en uppgift när den lämnas från en myndighet till en annan. Det beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till sekretessintresset. Detta intresse måste i varje sammanhang vägas mot intresset av insyn i myndigheternas verksamhet. Offentlighetsintresset kan alltså kräva att uppgifter som behandlas som hemliga hos en myndighet är offentliga hos en annan myndighet som har inhämtat dem hos den förstnämnda myn-
114 8 kap. 2 § OSL. 115 10 kap. 28 § OSL.
290Gällande rätt – dataskydd och sekretess
digheten. Det finns alltså ingen generell bestämmelse om överföring av sekretess mellan myndigheter. 116 Det finns dock särskilda bestämmelser om överföring av sekretess. Vid överföring av sekretess görs det skillnad mellan primära och sekundära sekretessbestämmelser. En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa internt, exempelvis de sekretessregler för respektive myndighet som redogörs för nedan. 117 En bestämmelse om överföring av sekretess innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet (primär sekretess) ska tillämpas på uppgiften även av en annan myndighet som uppgiften lämnas till (sekundär sekretess). Om en sekretessreglerad uppgift lämnas från en myndighet till en annan myndighet gäller alltså sekretess för uppgiften hos den mottagande myndigheten bara om sekretess följer antingen av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet. 118 Om ingen av dessa förutsättningar är uppfyllda blir uppgiften alltså offentlig hos den mottagande myndigheten. Exempelvis finns en bestämmelse om överföring av sekretess som enbart gäller i en specifik situation i 11 kap. 4 § OSL, vilken avser direktåtkomst. Vid direktåtkomst gäller enligt denna bestämmelse sekretessen hos ursprungsmyndigheten som huvudregel även hos den mottagande myndigheten. 119 Motsvarande gäller bl.a. om en myndighet i verksamhet som avser tillsyn eller revision får en sekretessreglerad uppgift från en annan myndighet, samt för uppgifter som för forskningsändamål överlämnas från en myndighet till en annan. 120
Myndigheters informationsskyldighet
En myndighet ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Skyldigheten
116 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 75–76 och prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 15. 117 Se avsnitten 3.3.4–3.3.6. 118 7 kap. 2 § OSL. 119 Undantag finns dock i 11 kap. 8 § OSL. 120 11 kap. 1 och 3 §§ OSL.
291Gällande rätt – dataskydd och sekretess
anses utgöra en precisering av den allmänna samverkansskyldighet som gäller för myndigheter (jfr 8 § förvaltningslagen [2017:900], FL). Enligt Högsta förvaltningsdomstolens uttalanden i rättsfallet HFD 2021 ref. 10 står ett sådant utlämnande inte i strid med finalitetsprincipen. En skyldighet att lämna personuppgifter till en annan myndighet kan finnas reglerad i lag eller förordning. Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om en sådan uppgiftsskyldighet följer av lag eller förordning, vilket framgår av 10 kap. 28 § OSL.
3.3.4 Sekretess inom Skatteverket
Skattesekretess
Beskattningsverksamheten har en sådan fristående ställning inom Skatteverket att den utgör en självständig verksamhetsgren. Detta innebär att en sekretessbelagd uppgift hos beskattningsverksamheten inte får röjas för en annan självständig verksamhetsgren inom myndigheten om det inte är särskilt föreskrivet i lag. I 27 kap. OSL regleras skattesekretessen inom Skatteverket. Enligt 27 kap. 1 § första stycket OSL gäller sekretess i verksamhet som avser bestämmande av skatt eller fastställande av underlag för bestämmande av skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen avser det som brukar kallas skattesekretess. Sekretessen är enligt bestämmelsen absolut. Sekretess gäller vidare i verksamhet som avser förande av eller uttag ur beskattningsdatabasen enligt skattedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen (27 kap. 1 § andra stycket 1 OSL). Detta brukar kallas för databassekretess. Bestämmelsen gäller också hos Kronofogdemyndigheten och Tullverket eftersom dessa myndigheter har direktåtkomst till vissa uppgifter i beskattningsdatabasen. Även enligt denna 121 bestämmelse är sekretessen absolut. Sekretess gäller enligt 27 kap. 2 § första stycket OSL för uppgifter om enskildas personliga eller ekonomiska förhållanden som förekommer i vissa andra ärenden. Det rör sig bl.a. om särskilt ärende om revision eller annan kontroll i fråga om skatt, ärende om kom-
121 Närmare redogörelser för databassekretessen finns i avsnitt 15.5.
292Gällande rätt – dataskydd och sekretess
pensation för återbetalning av skatt, ärende om anstånd med erläggande av skatt och ärende om kassaregister enligt skatteförfarandelagen (2011:1244). I dessa ärenden råder absolut sekretess. Enligt 27 kap. 2 § andra stycket OSL gäller sekretess i ärende enligt lagen om Skatteverkets hantering av vissa borgenärsuppgifter för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Denna bestämmelse föreskriver alltså ett omvänt skaderekvisit. Sekretessen enligt 27 kap. 2 § gäller inte i fråga om beslut i vissa ärenden. 122 I 27 kap. 6 § finns undantag från sekretessen i bl.a. 1 §. Sekretessen gäller inte beslut varigenom skatt eller pensionsgrundande inkomst bestäms eller underlag för bestämmande av skatt fastställs. Sekretessen gäller dock om beslutet meddelas i ärende om förhandsbesked i taxerings- eller skattefråga, beskattning av utländska experter, forskare eller andra nyckelpersoner när beslutet har fattats av Forskarskattenämnden, trängselskatt, eller prissättningsbesked vid internationella transaktioner. I beslut varigenom trängselskatt bestäms eller underlag för bestämmande av sådan skatt fastställs gäller sekretessen dock endast för uppgift om vilken betalstation eller kontrollpunkt bilen har passerat och tidpunkten för denna passage. I 27 kap. 7 § anges bl.a. att sekretessen enligt 1 § inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i lag om förfarande vid beskattning eller lagen om behandling av uppgifter i Skatteverkets beskattningsverksamhet.
Sekretess vid internationellt informationsutbyte
Vid internationellt informationsutbyte gäller olika sekretessbestämmelser beroende på om det är Sverige som bistår en annan stat genom att lämna ut information, eller om Sverige i stället är mottagare av information från en annan stat. Sekretess kan också gälla till skydd för myndighetens kontroll i ett ärende om handräckning. Samma regler om sekretess i beskattningsverksamheten som gäller nationellt gäller även i ärenden om handräckning eller bistånd som en svensk myndighet lämnar åt en myndighet eller något annat organ
122 Se 27 kap. 2 § tredje stycket OSL.
293Gällande rätt – dataskydd och sekretess
i den andra staten eller inom den mellanfolkliga organisationen. En förutsättning är att riksdagen har godkänt ett avtal om detta och att biståndet lämnas i en sådan verksamhet som motsvarar den som avser bl.a. bestämmande av skatt. Uppgifter som förekommer i ett sådant ärende blir dock inte sekretessbelagda direkt genom de grundläggande reglerna om skattesekretess. Om uppgiften lämnas ut för att användas i en verksamhet som motsvarar den verksamhet som avses i 27 kap. 1 § första stycket OSL eller i ett sådant kontrollärende som avses i 27 kap. 2 § första stycket 1 OSL i den mottagande staten, eller hos den mellanfolkliga organisationen, gäller dock sekretessen enligt de bestämmelserna för uppgifterna. 123 När Skatteverket i stället är mottagare av uppgifterna kommer uppgifter om enskilds personliga eller ekonomiska förhållanden att omfattas av sekretess enligt de grundläggande reglerna om skattesekretess beroende på i vilket ärende handräckningen är begärd. Absolut sekretess kommer att gälla för sådana uppgifter. 124
Sekretess inom folkbokföringsverksamheten
I likhet med beskattningsverksamheten har folkbokföringsverksamheten en så fristående ställning inom Skatteverket att den utgör en egen självständig verksamhetsgren. Uppgifter om hela Sveriges befolkning registreras i folkbokföringsdatabasen och de flesta uppgifter där är normalt sett offentliga. I vissa fall kan dock en del av uppgifterna om enskildas personliga förhållanden vara sekretessbelagda. Enligt 22 kap. 1 § första stycket 1 OSL gäller nämligen sekretess för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföringen eller annan liknande registrering av befolkningen. Sekretessen gäller med ett kvalificerat rakt skaderekvisit. Sekretessen kan alltså gälla för olika kategorier av uppgifter men också för uppgifter som på grund av speciella omständigheter i det enskilda fallet är skyddsvärda. Sekretess gäller även i sådan verksamhet för uppgift i form av fotografisk bild av den enskilde, om det inte står klart att uppgiften kan röjas utan att
123 27 kap. 5 § första stycket OSL. 124 27 kap. 5 § andra stycket OSL.
294Gällande rätt – dataskydd och sekretess
den enskilde eller någon närstående till denne lider men (22 kap. 1 § andra stycket OSL). För sådana uppgifter gäller alltså ett omvänt skaderekvisit. De uppgifter inom folkbokföringsverksamheten som vanligen är offentliga är de som anses som harmlösa. 125 Det är bl.a. uppgifter om namn, adress, personnummer och civilstånd. De uppgifter i folkbokföringsverksamheten som normalt är sekretessbelagda är de som vanligtvis anses som känsliga. 126 Det kan t.ex. vara uppgifter om ändrad könstillhörighet, s.k. börd (t.ex. adoptioner inom Sverige) och förvaltarskap. För uppgifter om personer som löper risk att utsättas för förföljelse eller våld kan sekretess med ett omvänt skaderekvisit gälla till följd av s.k. skyddad folkbokföring och fingerade personuppgifter. Enligt 22 kap. 1 § gäller sekretess i ärende om skyddad folkbokföring enligt folkbokföringslagen och i ärende enligt lagen (1991:483) om fingerade personuppgifter för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I 22 kap. 3 § OSL finns en särskild bestämmelse om överföring av sekretess som föreskriver att om en myndighet får en uppgift som är sekretessreglerad i 2 § från en myndighet som handlägger ärenden som avses där, blir 2 § tillämplig på uppgiften även hos den mottagande myndigheten. Efter ansökan kan en person få sina uppgifter i folkbokföringen skyddade genom att en sekretessmarkering förs in i folkbokföringen. En sekretessmarkering är dock enbart en varningssignal och har ingen självständig betydelse. Markeringen överförs till de myndighetsregister som aviseras från folkbokföringsverksamheten. Vidare gäller sekretess i ärende om byte av namn för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. 127 Bestämmelsen har alltså ett kvalificerat rakt skaderekvisit. Sekretess gäller vidare hos Skatteverket i ärende enligt lagen (2005:130) om dödförklaring för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller inte beslut i ärende (22 kap. 4 a § OSL).
125 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 210–211. 126 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 211. 127 22 kap. 4 § OSL.
295Gällande rätt – dataskydd och sekretess
Får Skatteverket i ärende som avses i 22 kap. 4 a § OSL från en annan myndighet en uppgift som är sekretessreglerad till skydd för enskilds personliga förhållanden, blir sekretessbestämmelsen tillämplig på uppgiften även hos Skatteverket. Sekretessen gäller inte beslut i ärende. 128 Sekretessen inom folkbokföringsverksamheten ska inte kunna kringgås genom att uppgifterna får en mer vidsträckt offentlighet i andra register som omfattar befolkningen. Därför gäller reglerna i 22 kap. 1 § OSL också för annan liknande registrering av befolkningen (t.ex. SPAR) och i annan verksamhet som avser registrering av en betydande del av befolkningen när regeringen har föreskrivit det (se 6 § offentlighets- och sekretessförordningen [2009:641], OSF).
Sekretess i äktenskapsregister- och bouppteckningsverksamheterna
Det finns inga specifika sekretessregler som gäller för uppgifter i äktenskapsregistret eller i bouppteckningsverksamheten. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är sådana som är gemensamma för alla myndigheter.
Sekretess i det statliga personadressregistret (SPAR)
SPAR har organisatoriskt en så fristående ställning inom Skatteverket att det utgör en egen självständig verksamhetsgren. SPAR innehåller folkbokförings- och beskattningsuppgifter som hämtas från folkbokförings- respektive beskattningsdatabasen. Uppgifterna lämnas elektroniskt till SPAR med stöd av en sekretessbrytande bestämmelse. 129 Uppgifterna som förs över till SPAR skyddas av sekretess i folkbokförings- respektive beskattningsverksamheten. De tillämpliga bestämmelserna i de verksamheterna är i första hand folkbokföringssekretessen och skattesekretessen. 130 Det finns ingen särskild bestämmelse om överföring av sekretess för uppgifterna, vilket innebär att sekretessen inte följer med uppgifterna när de förs över till SPAR. För att uppgifterna ska omfattas av sekretess krävs därmed att de omfattas av en primär sekretessbestämmelse som gäller i den aktuella verksam-
128 22 kap. 4 b § OSL. 129 4 § SPAR-förordningen. 130 22 kap. 1 § OSL och 27 kap. 1 § OSL.
296Gällande rätt – dataskydd och sekretess
heten. SPAR anses dock vara en sådan annan liknande registrering av befolkningen som träffas av folkbokföringssekretessen vilket innebär att de folkbokföringsuppgifter som behandlas inom verksamheten med SPAR är sekretessreglerade på samma sätt som inom folkbokföringsverksamheten. Även de uppgifter som hämtas in till SPAR från beskattningsdatabasen är sekretessreglerade med stöd av folkbokföringssekretessen. Beskattningsuppgifterna i SPAR får i elektronisk form bara lämnas ut till Polismyndigheten, Säkerhetspolisen och Tullverket. 131
3.3.5 Sekretess inom Tullverket
av skatt eller fastställande av underlag för bestämmande av Sekretess gäller enligt 27 kap. 1 § OSL i verksamhet som avser bestämmande skatt eller som avser fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska förhållanden. Med skatt avses enligt 27 kap. 1 § tredje stycket OSL bl.a. tull och annan indirekt skatt. Enligt 27 kap. 2 § första stycket OSL gäller sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden i bl.a. särskilt ärende om revision eller annan kontroll i fråga om skatt samt annan verksamhet som avser tullkontroll och som inte omfattas av 1 §. I 27 kap. 3 § första stycket OSL föreskrivs att sekretessen enligt 1 och 2 §§ gäller för uppgift hos Tullverket, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men. I andra stycket anges att motsvarande sekretess gäller i en myndighets verksamhet som avser förande av eller uttag ur tulldatabasen enligt tulldatabaslagen för uppgift som har tillförts databasen, s.k. databassekretess. 132 Enligt bestämmelsen gäller sekretess med ett omvänt skaderekvisit, dvs. det finns en presumtion för sekretess. Sekretessen inom Tullverket är alltså inte lika stark som skatte- och databassekretessen inom Skatteverket. Databassekretessen som omfattar tulldatabasen gäller även andra myndigheter än Tullverket som har tillgång till tulldatabasen genom direktåtkomst. Enligt 27 kap. 6 § OSL gäller inte sekretessen uppgifter i vissa beslut, bl.a. beslut varigenom skatt bestäms. I 27 kap. 7 § första stycket 4 OSL anges bl.a. att sekretessen enligt 3 § inte hindrar att uppgift
131 7 § lagen (1998:527) om det statliga personadressregistret. 132 Närmare redogörelser för databassekretessen finns i avsnitt 15.5.
297Gällande rätt – dataskydd och sekretess
lämnas till en enskild enligt vad som föreskrivs i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet. Sekretess gäller även, i den utsträckning regeringen meddelar föreskrifter om det, bl.a. i en statlig myndighets verksamhet som består i tillståndsgivning eller tillsyn med avseende på handel för uppgift om en enskilds affärs- eller driftförhållanden om det kan antas att den 133 enskilde lider skada om uppgiften röjs. Det omfattar bl.a. tillståndsgivning och tillsyn enligt tullagen (2016:253). 134
3.3.6 Sekretess inom Kronofogdemyndigheten
Allmänt om sekretess inom Kronofogdemyndigheten
Inför att den rikstäckande Kronofogdemyndigheten skulle inrättas var bedömningen att de olika verksamheterna verkställighet, summarisk process, konkurstillsyn och skuldsanering var självständiga verksamhetsgrenar varför det ansågs råda sekretess dem emellan. 135 I dag gör dock Kronofogdemyndigheten en annan bedömning, bl.a. mot bakgrund av myndighetens omorganisering sedan dess. Någon sekretess enligt OSL anses därmed inte gälla mellan myndighetens olika verksamhetsgrenar. Bedömningen innebär att handlingar och uppgifter kan utväxlas mellan olika delar av myndigheten utan hinder av sekretess och utan att handlingarna därigenom blir allmänna. Även om det i dag inte finns någon bestämmelse i offentlighetsoch sekretesslagen som bedöms hindra att en personuppgift delas mellan medarbetare inom Kronofogdemyndigheten kan det dock strida mot myndighetens registerförfattning att ta del av uppgifter som en medarbetare inte behöver i arbetet. Av myndighetens registerförfattning framgår nämligen att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (2 kap. 26 § KFMdbL). Eftersom Kronofogdemyndighetens beslut till stor del utgör myndighetsutövning mot enskilda har intresset av allmän insyn i verksam- 136 heten ansetts vara betydande. Trots det nyss sagda finns det ett flertal regler som medför att uppgifter som myndigheten hanterar
133 30 kap. 23 § OSL. 134 9 § 1 OSF, samt punkt 48 i bilagan till OSF. 135 Prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 146–148. 136 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 288.
298Gällande rätt – dataskydd och sekretess
skyddas av sekretess. Den huvudsakliga sekretessreglering som avser Kronofogdemyndighetens verksamhetsområden finns i 34 kap. OSL.
Summarisk process
Det finns inga särskilda sekretessregler som gäller för uppgifter inom Kronofogdemyndighetens verksamhet med summarisk process, dvs. bland annat handläggning av mål om betalningsföreläggande och handräckning. Dessa uppgifter är därför ofta offentliga. Sekretessregler som ändå kan bli aktuella för dessa uppgifter är sådana som är gemensamma för alla myndigheter.
Utsökning och indrivning m.m.
Uppgifter om enskilda inom verksamheten med verkställighet och indrivning är oftast skyddade av sekretess. Enligt 34 kap. 1 § första stycket OSL gäller sekretess hos Kronofogdemyndigheten i mål eller ärende om utsökning och indrivning samt i verksamhet enligt lagen (2014:836) om näringsförbud, för uppgift om en enskilds personliga eller ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men. Bestämmelsen innehåller alltså ett omvänt skaderekvisit, varför det föreligger en presumtion för sekretess i dessa ärendetyper. Sekretessen gäller dock inte uppgift om förpliktelse som avses med den sökta verkställigheten i ett pågående mål, eller i ett avslutat mål, om verkställighet för någon annan förpliktelse söks inom två år eller om verkställighet tidigare sökts och uppgiften inte är äldre än två år (34 kap. 1 § andra stycket OSL). Sekretessen gäller inte heller beslut i mål eller ärende (34 kap. 1 § femte stycket OSL). Under motsvarande förutsättningar som i 1 § gäller sekretess i verksamhet som avser förande av eller uttag ur utsöknings- och indrivningsdatabasen enligt kronofogdedatabaslagen för uppgift om en enskilds personliga eller ekonomiska förhållanden som har tillförts databasen, s.k. databassekretess (34 kap. 2 § OSL). 137 Även enligt denna bestämmelse gäller alltså sekretess med ett omvänt skaderekvisit. I 3 kap. 3 a § KFMdbL stadgas en möjlighet för Kronofogdemyndigheten att besluta om bl.a. blockering av sådana uppgifter som
137 Närmare redogörelser för databassekretessen finns i avsnitt 15.5.
299Gällande rätt – dataskydd och sekretess
inte har behandlats i enlighet med den lagen eller anslutande författningar eller är missvisande i fråga om vilja eller förmåga att uppfylla ekonomiska förpliktelser. I 34 kap. 3 § OSL föreskrivs att uppgift i mål, ärende eller verksamhet som avses i 1 och 2 §§ och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § KFMdbL omfattas av sekretess oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. Enligt denna bestämmelse gäller alltså absolut sekretess för uppgifterna.
Skuldsanering och F-skuldsanering
Enligt 34 kap. 6 § OSL gäller sekretess hos Kronofogdemyndigheten eller domstol i ärende om skuldsanering eller F-skuldsanering för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Sekretessen gäller inte beslut i ärende. Bestämmelsen innehåller alltså ett rakt skaderekvisit, dvs. det råder presumtion för offentlighet.
Tillsyn i konkurs
Sekretess gäller hos tillsynsmyndigheten i konkurs och över rekonstruktörer, dvs. Kronofogdemyndigheten, för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs (34 kap. 7 § OSL). Bestämmelsen innehåller ett rakt skaderekvisit. Sekretessen hindrar dock inte att uppgift lämnas till en enskild enligt vad som föreskrivs i konkurslagen (1987:672). 138 Vidare gäller sekretess hos tillsynsmyndigheten i konkurs och över rekonstruktörer för uppgift som gäller misstanke om brott och som rör en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (34 kap. 8 § OSL). Här gäller alltså ett omvänt skaderekvisit.
138 34 kap. 10 § OSL.
300Gällande rätt – dataskydd och sekretess
Delgivning
Sekretess gäller i verksamhet som avser delgivning enligt delgivningslagen (2010:1932) eller bistånd med sådan delgivning för uppgift om en enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs (22 kap. 5 § OSL). Bestämmelsen innehåller alltså ett rakt skaderekvisit.
Vissa internationella sekretessregler inom
Kronofogdemyndigheten
I 34 kap. 1 a § OSL anges att under motsvarande förutsättningar som i 1 § gäller sekretess hos Kronofogdemyndigheten för uppgift om en enskilds personliga eller ekonomiska förhållanden i mål och ärenden om inhämtning av bankkontoinformation enligt Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. Vidare gäller sekretess, i den utsträckning riksdagen har godkänt ett avtal om detta med en annan stat eller med en mellanfolklig organisation, hos en myndighet i verksamhet som avses i 1–3 §§ för sådan uppgift om en enskilds personliga eller ekonomiska förhållanden som myndigheten förfogar över på grund av avtalet. Om sådan sekretess gäller, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtalet. 139 I 34 kap. 9 § anges att om sekretess gäller enligt 7 §, får de sekretessbrytande bestämmelserna i 10 kap. 15–27 §§ och 28 § första stycket inte tillämpas i strid med avtal som ingåtts med en utländsk myndighet eller ett utländskt organ. Utöver dessa bestämmelser finns i 34 kap. 10 a § en sekretessbestämmelse som reglerar sekretess vid internationellt samarbete i fråga om underhållsskyldighet.
139 34 kap. 4 § OSL.
301Gällande rätt – dataskydd och sekretess
3.3.7 Sekretess inom de brottsbekämpande verksamheterna
Skatteverkets och Tullverkets brottsbekämpande verksamheter
Inom Skatteverkets och Tullverkets brottsbekämpande verksamheter gäller särskilda sekretessregler till skydd för verksamheten. 140 Dessa bestämmelser behandlas inte närmare här eftersom vårt uppdrag inte omfattar myndigheternas brottsbekämpande verksamheter. Den brottsbekämpande verksamheten vid Skatteverket har en sådan organisatoriskt självständig ställning att en uppgift som träffas av sekretess inte får röjas för en annan verksamhetsgren inom myndigheten om det inte är särskilt föreskrivet i lag. 141 Verksamheten har även en särskild registerförfattning. 142 Också för Tullverket gäller en särskild 143 registerförfattning för den brottsbekämpande verksamheten. Till skillnad från Skatteverket har dock den brottsbekämpande verksamheten hos Tullverket inte ansetts utgöra en självständig verksamhets- 144 gren. I 35 kap. OSL finns sekretessbestämmelser till skydd för enskild i verksamhet som syftar till att förebygga eller beivra brott, m.m. För att skydda enskilda som är föremål för brottsutredningar finns regler om sekretess för uppgift om enskilds personliga och ekonomiska förhållanden. Sekretess gäller bl.a. i förundersökning i brottmål och i myndigheternas brottsbekämpande verksamhet i övrigt för att förebygga, uppdaga, utreda eller beivra brott. 145 Sekretessen gäller med ett omvänt skaderekvisit vilket innebär att utgångspunkten är sekretess. En uppgift får alltså bara lämnas ut om det står klart att uppgiften kan röjas utan att den enskilda eller någon närstående till denne lider skada eller men. Sekretess med omvänt skaderekvisit gäller även för uppgift i de register som förs med stöd av de tillämpliga register- 146 författningarna eller som annars behandlas av myndigheterna. För Tullverkets del gäller dessutom absolut sekretess för uppgifter i register över strafförelägganden samt föreläggande om ordningsbot. 147
140 Jfr 18 kap. OSL som rör sekretess till skydd främst för intresset att förebygga eller beivra brott. 141 Jfr 8 kap. 2 § OSL. 142 Lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. 143 Lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 144 Jfr prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 100– 101. 145 35 kap. 1 § första stycket 1 och 4 OSL. 146 35 kap. 1 § första stycket 7 och 9 OSL. 147 35 kap. 4 § första stycket 1 OSL.
302Gällande rätt – dataskydd och sekretess
Sekretessen till skydd för enskilda som är föremål för brottsutredningar gäller dock inte för bl.a. beslut om att åtal ska väckas, beslut om att en förundersökning inte ska inledas samt beslut om att en 148 förundersökning ska läggas ned.
Myndighetssamverkan mot viss organiserad brottslighet
Lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet gäller vid särskilt beslutad samverkan mellan myndigheter för att förebygga, förhindra eller upptäcka brottslig verksamhet som är av allvarlig eller omfattande karaktär, och bedrivs i organiserad form eller systematiskt av en grupp individer (1 §). De myndigheter som är skyldiga att lämna eller får ta emot uppgifter enligt lagen är bl.a. Skatteverket, Tullverket och Kronofogdemyndigheten. 149 Inom ramen för samverkan enligt lagen ska en myndighet trots sekretess lämna uppgift till en annan myndighet om det behövs för den mottagande myndighetens deltagande i samverkan. En uppgift ska inte lämnas om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut (2 §). Lagen gäller endast vid särskilt beslutad myndighetsöverskridande samverkan på det s.k. underrättelsestadiet. Den är dock inte tillämplig när myndigheter mer sporadiskt tar kontakt med varandra eller endast tillfälligt samarbetar kring någon specifik fråga. 150
148 35 kap. 6 § 1 OSL. 149 3 § lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och förordningen (2016:775) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet. 150 Prop. 2015/16:167, Informationsutbyte vid samverkan mot organiserad brottslighet, s. 24–31.
3034 Myndigheternas verksamheter
4.1 Skatteverket
Inledning
Skatteverket är en av Sveriges största myndigheter. Myndighetens verksamhet berör i princip alla som är bosatta i Sverige, alla svenska medborgare och företag med verksamhet i Sverige. Även personer som inte är bosatta i landet men som har tillgångar eller inkomster härifrån berörs av Skatteverkets verksamhet. Verksamheten vid myndigheten är omfattande och regleras i ett mycket stort antal författningar samt av unionsrätten. I Skatteverkets huvudsakliga uppdrag ingår att fastställa och ta ut skatter och andra avgifter så att en riktig uppbörd kan säkerställas, ansvara för frågor om fastighetstaxering, folkbokföring, personnamn, registrering av bouppteckningar och äktenskapsregistret samt att vara borgenär åt staten. Uppdraget omfattar även att bekämpa brott och att utfärda identitetskort för folkbokförda. Vår översyn omfattar inte dock inte Skatteverkets brottsbekämpande verksamhet och inte heller Skatteverkets identitetskortsverksamhet, varför någon beskrivning av dessa verksamheter inte görs nedan. Skatteverkets uppdrag styrs bl.a. av förordningen (2017:154) med instruktion för Skatteverket och genom regeringens årliga regleringsbrev och andra regeringsbeslut. Alla uppdrag framgår dock inte av instruktionen. Exempel på detta är Skatteverkets verksamhet enligt lagen om (2022:272) om konto- och värdefackssystem och med det statliga personadressregistret, SPAR (se nedan).
304Myndigheternas verksamheter
Instruktionen
Skatteverkets övergripande uppdrag beskrivs i förordningen med instruktion för Skatteverket. Skatteverket ska fastställa och ta ut skatter, socialavgifter och andra avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ska även fastställa rättvisande taxeringsvärden på fastigheter så att korrekt underlag finns för skatteberäkning och andra ändamål (1 §). Skatteverket ansvarar för frågor om folkbokföring och personnamn. Uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder (2 §). Skatteverket utfärdar identitetskort för folkbokförda i Sverige (3 §). Vidare ansvarar Skatteverket för registrering av bouppteckningar och handläggning av ärenden enligt 16 kap. ärvdabalken (4 §). Skatteverket ansvarar också för äktenskapsregistret och för registreringsärenden enligt 16 kap. äktenskapsbalken (5 §). Till Skatteverkets uppgifter hör vidare att förebygga och motverka ekonomisk brottslighet, medverka i brottsutredningar som rör vissa brott samt att delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (6 §). Skatteverket ansvarar för vissa borgenärsuppgifter (7 §) och ska fastställa pensionsgrundande inkomst (8 §). Skatteverket ska bestyrka skriftliga uppgifter om sökandens ekonomiska förhållanden vid ansökan om fri rättshjälp hos Europadomstolen för de mänskliga rättigheterna (9 §). Skatteverket ska bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som Skatteverket (10 §). Myndigheten ska också tillhandahålla behovsanpassad, lättillgänglig och kvalificerad information och service till allmänhet och företag (11 §). Skatteverket är vidare beredskapsmyndighet och sektorsansvarig myndighet enligt förordningen (2022:524) om statliga myndigheters beredskap (12 a §). Av förordningen med instruktion för Skatteverket framgår även bl.a. att myndigheten snarast ska informera Regeringskansliet (Finansdepartementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (13 §). Instruktionen innehåller även bestämmelser om samverkan, myndighetens ledning,
305Myndigheternas verksamheter
delegering och organisation (15–22 §§), samt om särskilda organ inom myndigheten (23–36 §§).
Regleringsbrevet
Genom regleringsbrevet beslutar regeringen bl.a. om Skatteverkets uppdrag, mål och återrapporteringskrav. Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) framgår bl.a. följande. Skatteverket ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för både allmänhet och företag samt motverka brottslighet. Skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt. Skatteverket ska vart fjärde år bedöma skattefelets storlek och i vilken grad skattefelet har förändrats. Nästa bedömning ska lämnas i årsredovisningen för 2025. Skatteverket ska redovisa resultatet av genomförda analyser för att utöka underlaget för kommande bedömning av skattefelet. Uppgifterna i folkbokföringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska bedöma folkbokföringsfelets storlek och redovisa vilka åtgärder som har vidtagits för att öka kvaliteten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedömningar prioritera arbetet med att minska felen. Skatteverket ska även redovisa hur resurserna i huvudsak har prioriterats till olika områden där kontrollerna kan uppnå bästa möjliga effekt och områden där risk för fel och fusk är hög. Skatteverket ska också redovisa och analysera kontrollverksamhetens resultat avseende t.ex. förändrade skattebeslut och regelefterlevnad.
Beskattningsverksamheten
Beskattningsverksamheten är omfattande och inom verksamheten tillämpas ett stort antal författningar som exempelvis reglerar skattskyldighet, förfarandet vid fastställande av underlag för och bestäm-
306Myndigheternas verksamheter
mande av skatter och avgifter samt bestämmande av pensionsgrundandande inkomst. Inom beskattningsverksamheten ryms också punktskatter på t.ex. alkohol och cigaretter. Även verksamheterna med s.k. rot- och rutavdrag ingår i verksamheten. Fastighetstaxeringen utgör en särskild del av beskattningsverksamheten. Målet med denna är att fastställa och tillhandahålla information om taxeringsvärde för landets fastigheter. Några av de författningar som reglerar Skatteverkets uppgifter inom beskattningsverksamheten är följande. I inkomstskattelagen (1999:1229) finns bl.a. bestämmelser om kommunal och statlig inkomstskatt. I lagen finns bestämmelser om bl.a. skattskyldighet för fysiska och juridiska personer, vad som ska tas upp i olika inkomstslag, om fåmansföretag och om allmänna avdrag och beräkning av skatt. I skatteförfarandelagen (2011:1244) finns bestämmelser om förfarandet vid uttag av skatter och avgifter. I lagen finns bestämmelser om bl.a. kontrolluppgifter i olika inkomstslag, Skatteverkets skyldighet att utreda och kommunicera, om revision, om andra myndigheters skyldighet att lämna uppgifter till Skatteverket, om olika tvångsåtgärder, om särskilda avgifter och om beslut om skatter och avgifter m.m. I bl.a. socialavgiftslagen (2000:980) och lagen (1994:1920) om allmän löneavgift finns bestämmelser om arbetsgivares skyldighet att betala arbetsgivaravgifter och allmän löneavgift. I mervärdesskattelagen (2023:200) finns bestämmelser om mervärdesskatt. I lagen finns bestämmelser om vilka transaktioner som är föremål för mervärdesskatt, om beskattningsbara personer, om beskattningsbara transaktioner mot ersättning, om vem som är betalningsskyldig och om transaktioner som medför avdragsrätt eller rätt till återbetalning. Bestämmelser om mervärdesskatt finns även i rådets direktiv 2006/112/EG av den 28 november 2006 om ett gemensamt system för mervärdesskatt och i rådets genomförandeförordning (EU) nr 282/2011 av den 15 mars 2011 om fastställande av tillämpningsföreskrifter för direktiv 2006/112/EG om ett gemensamt system för mervärdesskatt. I fastighetstaxeringslagen (1979:1152) finns bestämmelser om fastighetstaxering. I lagen finns bl.a. bestämmelser om skatte- och avgiftsplikt, om deklarationsskyldighet, om riktvärden för byggnader och mark av olika beskaffenhet och om allmän, förenklad och särskild fastighetstaxering.
307Myndigheternas verksamheter
Skatteverket har på beskattningsområdet ett omfattande informationsutbyte med myndigheter i andra länder både utom och inom EU. Informationsutbytet regleras bl.a. genom EU-förordningar, EU-direktiv, konventioner och mellanstatliga avtal. Ett exempel är rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning som införlivas genom lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Varefter har det införts fler bestämmelser i direktivet som införlivas genom ytterligare särskilda lagar, t.ex. genom lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet. Samarbetet mellan stater som gäller bestämda fysiska eller juridiska personers beskattning brukar delas in i olika typer. Olika typer av samarbete är bl.a. informationsutbyte på begäran, automatiskt informationsutbyte, spontant informationsutbyte, närvaro vid skatteutredning i annat land, samtidiga kontroller och gemensamma revisioner. Indelningen grundas på hur samarbetet praktiskt går till, inte vad uppgifterna handlar om eller vilka bestämmelser samarbetet grundar sig på. Alla rättsakter om administrativt samarbete ger inte stöd för alla typer av samarbete.
Folkbokföringsverksamheten
Folkbokföringens huvudsakliga uppgift är att tillhandahålla information som speglar befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Inom folkbokföringsverksamheten tillämpas ett flertal olika författningar som exempelvis reglerar förutsättningarna för folkbokföring och tilldelning av samordningsnummer dvs. en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. Inom folkbokföringsverksamheten ingår även bl.a. prövning av ärenden om personnamn, hindersprövning enligt äktenskapsbalken samt utfärdande av intyg för gravsättning eller kremering. Några av de författningar som reglerar Skatteverkets uppgifter inom folkbokföringsverksamheten är följande. I folkbokföringslagen (1991:481) finns bestämmelser om folkbokföring. I lagen finns bl.a. bestämmelser om när och hur folkbokföring ska ske, skyddad folkbokföring, personnummer, avregistrering
308Myndigheternas verksamheter
från folkbokföringen, anmälningar och ansökningar samt utredning och kontroll. I lagen (2022:1697) om samordningsnummer finns bestämmelser om samordningsnummer. Lagen innehåller även bestämmelser om personnummer som före år 2000 tilldelats utan samband med folkbokföring. I lagen finns bl.a. bestämmelser om förfarandet vid tilldelning av samordningsnummer, identitetskontroll, ändringar av registrerade identitetsuppgifter samt underrättelse- och anmälningsskyldighet. I lagen (2016:1013) om personnamn finns bestämmelser om förvärv och ändring av personnamn. I lagen finns bl.a. bestämmelser om byte och ändring av namn, särskilt skydd för efternamn, internationella förhållanden samt förfarandet vid Skatteverket.
SPAR-verksamheten
Skatteverket ansvarar för statens personadressregister, SPAR, sedan 2009. SPAR, är ett offentligt register som bl.a. får innehålla uppgifter om personer som är eller har varit folkbokförda i landet och personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort identiteten sannolik. Syftet med SPAR är att lämna ut uppgifter elektroniskt till myndigheter och enskilda under förutsättning att mottagaren uppfyller vissa villkor. SPAR-verksamheten regleras i lagen (1998:527) om det statliga personadressregistret och den tillhörande förordningen (1998:1234).
Äktenskapsregister- och bouppteckningsverksamheterna
Äktenskapsregisterverksamheten omfattar förandet av äktenskapsregistret och handläggning av registreringsärenden enligt 16 kap. äktenskapsbalken. Bouppteckningsverksamheten omfattar registreringen av bouppteckningar och förvaring av dödsboanmälningar samt handläggning av vissa andra typer av ärenden enligt 16 kap. ärvdabalken. Skatteverkets uppgifter som behörig myndighet för utfärdande av europeiska arvsintyg enligt Europaparlamentets och rådets förordning (EU) nr 650/2012 av den 4 juli 2012 om behörighet, tilllämplig lag, erkännande och verkställighet av domar samt godkännande och verkställighet av officiella handlingar i samband med arv och om
309Myndigheternas verksamheter
inrättandet av ett europeiskt arvsintyg ingår också i bouppteckningsverksamheten.
Vissa övriga uppgifter som Skatteverket har
Skatteverket är borgenär för statens fordringar. Det innebär att det är Skatteverket som bevakar statens fordringar i en konkurs. Om det blir aktuellt är det också Skatteverket som, för statens räkning, ansöker om att en gäldenär ska försättas i konkurs. Inom ramen för rollen som borgenär för statens fordringar företräder Skatteverket de flesta övriga statliga myndigheter när en skuld till staten ska betalas. Skatteverket företräder också staten vid företagsrekonstruktioner, skuldsaneringar, likvidationer, ackord och preskriptionsförlängningar. Skatteverkets uppgifter i samband med uppdraget att vara borgenär åt staten regleras i lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter. I lagen finns bestämmelser om bl.a. Skatteverkets skyldighet att göra en utredning om gäldenärens ekonomiska förhållanden och om Skatteverkets befogenheter att fatta vissa beslut och ansöka om att en gäldenär försätts i konkurs. Skatteverket hanterar ärenden om stöd vid korttidsarbete, dvs. stöd till arbetsgivare som har tillfälliga och allvarliga ekonomiska svårigheter för lönekostnader kopplade till korttidsarbete för anställda. Bestämmelser om korttidsstöd finns i lagen (2013:948) om stöd vid korttidsarbete. I lagen finns bl.a. bestämmelser om beräkning av och ansökan om preliminärt stöd, återbetalningsskyldighet och kontroll. Mellan 2020 och 2022 har Skatteverket hanterat ärenden om omställningsstöd, dvs. ekonomiskt stöd till företag vars nettoomsättning har minskat i större omfattning till följd av spridningen av sjukdomen covid-19 Bestämmelser om omställningsstöd finns i lagen (2020:548) om omställningsstöd och tillhörande förordningar. I lagen finns bl.a. bestämmelser om handläggningen av en ansökan om omställningsstöd, om utredning och kontroll, om kontrollbesök, om bevissäkring och om företrädaransvar. Skatteverket handlägger ärenden om elstöd, dvs. ekonomiskt stöd som kan ges till företag för att mildra effekterna av höga elpriser. Bestämmelser om elstöd finns i lagen (2023:230) om förfarande för elstöd till företag och den tillhörande förordningen (2023:233). I lagen finns bl.a. bestämmelser om tillgodoräknande och utbetal-
310Myndigheternas verksamheter
ning av stöd, om återbetalning och återkrav, och om indrivning, verkställighet och preskription.
4.2 Tullverket
Inledning
Tullverket har i uppdrag att fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas. Tullverket är också den myndighet som övervakar och kontrollerar trafiken till och från Sverige så att bestämmelser om in- och utförsel följs. Tullverket har även ett brottsbekämpande uppdrag. Vår översyn omfattar inte Tullverkets brottsbekämpande verksamhet varför någon mer ingående beskrivning av denna verksamhet inte görs nedan. Tullverkets uppdrag styrs av förordningen (2016:1332) med instruktion för Tullverket och genom regeringens årliga regleringsbrev och andra regeringsbeslut. Av 1 kap. 2 § tullförordningen (2016:287) framgår dessutom att Tullverket ska utföra de uppgifter som en tullmyndighet eller en behörig myndighet har enligt Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (tullkodexen) och de förordningar som meddelas med stöd av den förordningen, om inget annat sägs i lag eller förordning.
Instruktionen
Tullverkets övergripande uppdrag beskrivs i förordningen med instruktion för Tullverket. Tullverket ska fastställa och ta ut tullar, skatter och avgifter så att en riktig uppbörd kan säkerställas (1 §). Tullverket ska övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs (2 §). Tullverket ska förebygga och motverka brottslighet i samband med in- och utförsel av varor. Tullverket ska även delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (3 §). Till Tullverkets uppgifter hör vidare att bedriva viss utredningsoch åklagarverksamhet i fråga om brott mot bestämmelser om in-
311Myndigheternas verksamheter
och utförsel av varor (4 §). Tullverket ska även bedriva viss verksamhet i fråga om rattfylleribrott (5 §). Tullverket ska tillhandahålla information och god service så att allmänheten och företag har goda förutsättningar för att kunna fatta långsiktiga och hållbara beslut (6 §). Tullverket ska bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som Tullverket (7 §). Myndigheten är vidare behörig myndighet enligt lagen (2017:244) om kontroller och inspektioner på plats av europeiska byrån för bedrägeribekämpning, när det gäller vissa utpekade kontroller och inspektioner (8 a §). Tullverket är också beredskapsmyndighet enligt förordningen (2022:524) om statliga myndigheters beredskap (8 b §). Av förordningen med instruktion för Tullverket framgår även bl.a. att myndigheten snarast ska informera Regeringskansliet (Finansdepartementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (9 §). Bestämmelser om myndighetens ledning och organisation finns i 11–17 §§.
Regleringsbrevet
Genom regleringsbrevet beslutar regeringen bl.a. om Tullverkets uppdrag, mål och återrapporteringskrav. Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) framgår bl.a. följande. Tullverkets verksamhet ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle för allmänhet och företag samt motverka brottslighet. Skillnaden mellan de teoretiskt riktiga och de fastställda beloppen för skatter och avgifter (skattefelet) ska vara så liten som möjligt. Tullverket ska bedöma skattefelets storlek och i vilken grad skattefelet har förändrats. Ambitionsnivån avseende att förhindra smuggling av narkotika, vapen och explosiva varor liksom att förhindra storskalig eller frekvent illegal införsel av alkohol och tobak ska öka. Tullverket ska redovisa resultatet av kontrollverksamheten avseende smuggling av narkotika, vapen och explosiva varor samt storskalig eller frekvent
312Myndigheternas verksamheter
illegal införsel av alkohol och tobak. Av redovisningen ska det även framgå hur myndigheten har balanserat insatserna inom dessa områden mot insatser på övriga risk- och restriktionsområden, hur ambitionsnivån ökat samt vilka överväganden som gjorts. Tullverket ska enligt regleringsbrevet vidare redovisa hur myndigheten har stärkt arbetet med att förebygga brottslighet i samband med in- och utförsel av varor. Tullverket ska också redovisa effekterna av myndighetens utökade möjligheter att ingripa mot brott, t.ex. när det gäller stöldgods som är på väg att föras ut ur landet.
Tullverkets verksamhet
Unionsrätten
Tullverkets uppgifter framgår av ett flertal författningar och i mycket hög utsträckning av unionsrätten. Inom EU är tullagstiftningen till stor del harmoniserad. Kärnan i EU:s gemensamma tullagstiftning utgörs av tullkodexen, som fastställer de allmänna regler och förfaranden som ska tillämpas på varor som förs in i eller ut ur EU:s tullområde. Tullkodexen är direkt tillämplig i alla 27 medlemsstater. Förordningen kompletteras av stödjande lagstiftning i form av olika tillämpningsföreskrifter. Det finns exempelvis en kompletteringsförordning 1 och en genomförandeförordning 2 som anger närmare bestämmelser avseende vissa stadganden i tullkodexen samt syftar till att säkerställa likartade villkor för implementeringen av kodexen i alla medlemsstater. Tullkodexen innehåller bestämmelser om bl.a. tullagstiftningens tillämpningsområde, definitioner, tullmyndigheternas uppgifter samt personers rättigheter och skyldigheter enligt tullagstiftningen. Det finns även bestämmelser om exempelvis förfarandet vid beslut enligt tullagstiftningen, sanktioner, överklagande, kontroll av varor, bevarande av dokument och elektroniska system. Tullmyndigheterna ska enligt tullkodexen bl.a. ha det primära ansvaret för att övervaka unionens internationella handel. Därutöver ska
1 Kommissionens delegerade förordning (EU) 2015/2446 av den 28 juli 2015 om komplettering av Europaparlamentets och rådets förordning (EU) nr 952/2013 vad gäller närmare regler avseende vissa bestämmelser i unionens tullkodex. 2 Kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets förordning (EU) nr 952/2013 om fastställande av en tullkodex för unionen.
313Myndigheternas verksamheter
Tullmyndigheterna vidare inrätta åtgärder med syfte bl.a. att skydda unionens och dess medlemsstaters ekonomiska intressen, att säkerställa unionens och dess invånares säkerhet och skydd, samt skyddet av miljön, vid behov i nära samarbete med andra myndigheter. Vidare ska Tullmyndigheterna inrätta åtgärder med syfte att bevara en lämplig balans mellan tullkontroll och underlättande av laglig handel. Tullmyndigheterna ska vid EU:s yttre gränser kontrollera efterlevnaden av mer än 60 olika EU-rättsakter med särskilda restriktioner och krav inom olika politikområden, däribland hälsa och säkerhet, miljöskydd, fiskeri och jordbruk, marknadsövervakning och produktöverensstämmelse samt kulturarv. 3
Tullagen (2016:253) innehåller bestämmelser som kompletterar det unionsrättsliga regelverket. Lagen innehåller bl.a. bestämmelser om Tullverkets skyldighet att tillhandahålla information till andra myndigheter och bevarande av uppgifter. Tullagen innehåller även närmare reglering av förfarandet vid exempelvis tullövervakning vid införsel och utförsel av varor, olika former av tullkontroll, samt regler om sanktioner, åtgärder vid nöd eller olycka, och om delgivning.
Inregränslagen
Tullverket har befogenhet att utföra kontroller avseende vissa särskilt angivna varor, bl.a. narkotika, vapen, krigsmateriel, kulturföremål, vissa djur och djurprodukter samt vissa hälsofarliga varor som förs in eller ut ur Sverige från eller till ett annat EU-land. I lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot annat land inom Europeiska unionen, inregränslagen, finns bestämmelser om sådana kontroller. I lagen finns bl.a. bestämmelser om skyldighet för enskilda att lämna uppgifter och visa handlingar, om vilka utrymmen, föremål och försändelser en tulltjänsteman får undersöka samt under vilka omständigheter Tullverket får omhänderta varor.
3 Regeringskansliet, Faktapromemoria, Förordning om en kontaktpunkt för tullen i EU, 2020/21:FPM40, s. 2.
314Myndigheternas verksamheter
Lagen om punktskattekontroller
Tullverket har rätt att under vissa förutsättningar kontrollera och omhänderta bl.a. skattepliktiga alkohol- och tobaksvaror för att utreda om skatt ska betalas i Sverige, samt att fatta beslut om skatt. I lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter finns bestämmelser om förfarandet. I lagen finns bl.a. bestämmelser om vilka dokument, utrymmen och försändelser Tullverket får undersöka, om enskildas skyldighet att legitimera sig och uppvisa dokument samt under vilka omständigheter Tullverket får omhänderta varor.
4.3 Kronofogdemyndigheten
Inledning
Kronofogdemyndigheten är den myndighet i Sverige som har i uppdrag att se till att den som har rätt att få betalt får det. Det kan vara myndigheter, kommuner, företag eller privatpersoner som ansöker om hjälp med att få betalt. Kronofogdemyndigheten ger även stöd till den som ska betala sina skulder och ser till att betalningar sker på ett rättssäkert sätt. Myndighetens uppgifter är främst att fastställa och verkställa krav, exempelvis genom att driva in skulder efter beslut om att någon är skyldig att betala, eller genom att genomföra vräkningar. Myndigheten beslutar också om skuldsanering och utövar tillsyn över konkursförvaltare och rekonstruktörer. Myndigheten har även vissa gränsöverskridande uppdrag som härrör ur internationell samverkan kring bland annat underhållsskyldighet, handräckning i skatteärenden och verkställighet av olika beslut. Dessutom får myndigheten kontinuerligt allt fler uppgifter som är relaterade till arbetet med att motverka gängkriminalitet. Kronofogdemyndighetens uppdrag styrs bl.a. av förordningen (2016:1333) med instruktion för Kronofogdemyndigheten och genom regeringens årliga regleringsbrev och andra regeringsbeslut.
315Myndigheternas verksamheter
Instruktionen
Kronofogdemyndighetens övergripande uppdrag beskrivs i förordningen med instruktion för Kronofogdemyndigheten. Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer (1 §). Kronofogdemyndigheten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas (2 §). Myndigheten har även i uppdrag att tillhandahålla information och god service så att allmänhet och företag har goda förutsättningar för att kunna fatta långsiktiga och hållbara beslut (3 §). Myndigheten ska förebygga och motverka ekonomisk brottslighet samt delta i det myndighetsgemensamma arbetet mot den grova och organiserade brottsligheten (4 §). Vidare ska Kronofogdemyndigheten bidra till ett väl fungerande samhälle och utföra sina uppgifter på ett sätt som är rättssäkert, kostnadseffektivt och enkelt för såväl allmänhet och företag som Kronofogdemyndigheten (5 §). Kronofogdemyndigheten ska snarast informera Regeringskansliet (Finansdepartementet) om viktiga frågor som uppkommer i verksamheten och som bör komma till regeringens kännedom (7 §). Kronofogdemyndigheten ska tillsammans med Skatteverket bestämma den gemensamma utvecklingen och användningen av administrativt och tekniskt stöd inom Skatteverket (8 §). Bestämmelser om myndighetens ledning och organisation samt om kronofogdar finns i 9–16 §§.
Regleringsbrevet
Genom regleringsbrevet beslutar regeringen bl.a. om Kronofogdemyndighetens uppdrag, mål och återrapporteringskrav. Av regleringsbrevet för budgetåret 2023 (dnr Fi2022/03445) framgår bl.a. följande. Kronofogdemyndigheten ska bidra till att säkerställa finansieringen av den offentliga sektorn och bidra till ett väl fungerande samhälle för allmänhet och företag samt motverka brottslighet. Allmänhet och företag ska ha förtroende för Kronofogdemyndighetens verksam-
316Myndigheternas verksamheter
het och alla ska ges samma möjligheter och villkor vid kontakter med myndigheten. Kronofogdemyndigheten har tillförts tillfälliga medel under 2021– 2023 för att digitalisera och automatisera verksamheten.
Kronofogdemyndighetens verksamhet
Betalningsföreläggande och handräckning
Kronofogdemyndigheten ansvarar för betalningsföreläggande och handräckning, dvs. att företag eller privatpersoner kan ansöka om att få ett krav på betalning eller annan förpliktelse fastställt. Myndigheten har i uppdrag att pröva ansökningar och meddela beslut, s.k. utslag. Myndigheten hanterar också bl.a. ansökningar om vanlig handräckning, exempelvis rörande vräkning, och särskild handräckning som till exempel kan innebära ansökan om att någon ska lämna annans byggnad eller mark. I lagen (1990:746) om betalningsföreläggande och handräckning finns bl.a. bestämmelser om ansökningsprocessen, om föreläggande för svaranden att yttra sig, om kostnader i målet och om återvinning. I lagen (2008:879) om europeiskt betalningsföreläggande finns kompletterande nationella bestämmelser om handläggning av ansökningar om europeiska betalningsförelägganden (enligt Europaparlamentets och rådets förordning (EG) nr 1896/2006 om införande av ett europeiskt betalningsföreläggande).
Utsökning och indrivning
Kronofogdemyndighetens uppgifter med utsökning och indrivning, dvs att använda tvång för att ta i anspråk någons egendom eller lön för betalning av en fastställd skuld, eller att verkställa bl.a. en skyldighet att flytta från ett visst utrymme eller en skyldighet att fullgöra eller underlåta något, regleras i huvudsak i utsökningsbalken. Kronofogdemyndigheten handlägger ärenden från två typer av ingivare: staten, regioner och kommuner (allmänna mål) respektive företag och privatpersoner (enskilda mål). I allmänna mål företräds sökanden av Kronofogdemyndigheten. I utsökningsbalken finns bl.a. bestämmelser om förfarandet hos Kronofogdemyndigheten, om utmätning, om exekutiv försäljning,
317Myndigheternas verksamheter
om annan verkställighet och om kostnader. I lagen (1993:891) om indrivning av statliga fordringar m.m. finns bestämmelser som gäller särskilt vid handläggning hos Kronofogdemyndigheten av allmänna mål om verkställighet enligt utsökningsbalken.
Skuldsanering
Kronofogdemyndigheten fattar beslut om skuldsanering och F-skuldsanering. Skuldsanering innebär att en person som är svårt skuldsatt kan få hela eller delar av sina skulder avskrivna. En skuldsanering pågår vanligtvis fem år och personen har under den tiden en betalningsplan. Ett beslut om skuldsanering kan ändras om det sker oförutsedda och väsentliga förändringar i den skuldsattes ekonomi. Ett sådant beslut kan också upphävas om personen inte betalar enligt betalningsplanen, har förfarit illojalt eller fått en väsentligt förbättrad ekonomi. I skuldsaneringslagen (2016:675) finns bl.a. bestämmelser om villkor för skuldsanering, vad en ansökan ska innehålla, om Kronofogdemyndighetens kontroll, om handläggningen och om innehållet i en skuldsanering. I lagen (2016:676) om skuldsanering för företagare finns bestämmelser om en särskild form av skuldsanering för företagare och närstående till företagare (F-skuldsanering). I lagen finns bl.a. bestämmelser liknande de som finns i skuldsaneringslagen.
Tillsyn
Kronofogdemyndigheten är tillsynsmyndighet i konkursförfarandet och har i detta sammanhang uppdrag att ha tillsyn över konkursförvaltaren. I konkurslagen (1987:672) finns bestämmelser om Kronofogdemyndighetens tillsynsuppdrag. Myndigheten är också tillsynsmyndighet för rekonstruktörer enligt lagen (2022:964) om företagsrekonstruktion. Enligt lagen (2014:836) om näringsförbud är Kronofogdemyndigheten också tillsynsmyndighet avseende meddelade näringsförbud. I lagen om näringsförbud finns bl.a. bestämmelser om myndighetens rätt att begära att den som har näringsförbud lämnar uppgifter av betydelse för att klarlägga hur han eller hon försörjer sig, söka upp vederbörande i bostaden och vidta utrednings- och spaningsåtgärder som är befogade för att klarlägga hur den som har näringsförbud
318Myndigheternas verksamheter
försörjer sig. Kronofogdemyndigheten får i detta sammanhang även förelägga tredje man att lämna uppgifter om sina ekonomiska förehavanden med en person som har näringsförbud
Kreditupplysningsinformation
Kreditupplysning regleras i kreditupplysningslagen (1973:1173) och tillhandahålls av kreditupplysningsföretag med tillstånd från Integritetsskyddsmyndigheten. Med kreditupplysning avses uppgifter, omdömen eller råd som lämnas till ledning för bedömning av någon annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende (2 §). Genom kreditupplysningarna får exempelvis kreditgivare kännedom om en kredittagares betalningsvilja och betalningsförmåga. Kronofogdemyndigheten lämnar löpande ut information till företag som har tillstånd att bedriva kreditupplysning. Myndighetens utlämnande av information utgör inte kreditupplysningsverksamhet enligt kreditupplysningslagen.
Motverkande av överskuldsättning
Kronofogdemyndigheten arbetar strategiskt med att hjälpa människor att undvika ekonomiska problem och att ta sig ur överskuldsättning. Barn och unga vuxna är en prioriterad målgrupp. Detta sker inom arbetet med att motverka överskuldsättning.
3195 Utgångspunkter för en
modern och ändamålsenlig
kompletterande
dataskyddsreglering
5.1 Uppdraget och behovet av att formulera några
utgångspunkter för dess utförande
Vårt uppdrag
Vårt uppdrag omfattar bl.a. att göra en systematisk översyn av registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Uppdraget omfattar i denna del även registerförfattningarna för Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, samt regleringen av det statliga personadressregistret, SPAR. Vårt uppdrag omfattar att föreslå ändamålsenliga regler som är anpassade efter dagens behov. Den nya regleringen bör enligt våra direktiv vara flexibel och anpassade efter såväl den tekniska utvecklingen som den EU-rättsliga dataskyddsregleringen, samtidigt som enskildas personliga integritet värnas. Uppdraget omfattar alltså att föreslå ändamålsenliga och flexibla bestämmelser om personuppgiftsbehandling inom flera olika verksamheter där behoven i fråga om kompletterande dataskyddsreglering i viss utsträckning skiljer sig från varandra.
320Utgångspunkter för en modern och ändamålsenlig …
Behovet av några gemensamma utgångspunkter
I syfte att fullgöra vårt uppdrag har vi inledningsvis studerat myndigheternas uppgifter som framgår av nationell rätt och unionsrätten, samt deras organisation och verksamhet. Vi har även fördjupat oss i den befintliga allmänna och kompletterande dataskyddsregleringen, dvs. EU:s dataskyddsförordning 1 och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt bestämmelser om offentlighet och sekretess (se avsnitt 3.2). Vi har också haft en tät kontakt med Skatteverket, Tullverket och Kronofogdemyndigheten för att kartlägga deras respektive uppfattningar om vilka behov som föreligger ur ett myndighetsperspektiv, utifrån ramen för vårt uppdrag. Behovsinventeringen har av naturliga skäl utgått från myndigheternas respektive uppgifter och verksamheter. De uppgivna behoven skiljer sig därför åt på flera punkter. Vissa synpunkter har dock varit genomgående och gemensamma för samtliga tre myndigheter. Exempelvis uppfattas dagens reglering som omodern och dåligt anpassad till digitaliseringen av myndigheternas verksamhet. Dagens reglering uppfattas även i flera fall som omotiverat hindrande, utan att några uppenbara fördelar för skyddet av enskildas personliga integritet uppnås. Vår bedömning är att omfattningen av vårt uppdrag starkt talar för att några gemensamma utgångspunkter bör formuleras utifrån de aspekter som är gemensamma för samtliga verksamheter. Sammanfattningsvis kan det gemensamma behovet hos myndigheterna sägas vara att dataskyddsregleringen anpassas till rådande rättsliga och tekniska förutsättningar för personuppgiftsbehandling. Detta motsvarar också vårt uppdrag enligt våra direktiv. Behoven som myndigheterna har gett uttryck för är förvisso inte desamma för samtliga verksamheter. För Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, samt Skatteverkets SPARverksamhet är behoven av förändring mindre, eller av annan karaktär. De utgångspunkter vi behöver formulera bör dock vara giltiga även för dessa verksamheter.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
321Utgångspunkter för en modern och ändamålsenlig …
5.2 Utgångspunkter för en ändamålsenlig och
modern kompletterande dataskyddsreglering
för Skatteverket, Tullverket och
Kronofogdemyndigheten
5.2.1 Den kompletterande dataskyddsregleringen ska utgöra
ett adekvat integritetsskydd
Vår bedömning: En utgångspunkt för vårt arbete bör vara att den kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för att den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet.
Skälen för vår bedömning
Att uppgifter om enskildas personliga förhållanden måste åtnjuta ett skydd i en rättsstat framgår av skyddsreglering för den personliga integriteten både i regeringsformen och i olika internationella rättsakter (se avsnitt 3.2). Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. 2 Var och en är vidare gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av 3 den enskildes personliga förhållanden. Var och en har dessutom rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. 4 Respekten för individens självbestämmande och integritet är alltså grundläggande i en demokrati och inte enbart en dataskyddsrättslig fråga. 5 En självklar utgångspunkt för vårt arbete bör därför vara ett enskilda har ett berättigat intresse av att erbjudas skydd för information 6 om sina personliga förhållanden. Grundläggande rättigheter kan vara absoluta eller möjliga att begränsa under vissa förutsättningar. Några av de absoluta grundläggande rättigheterna i svensk rätt är att ingen får dömas till dödsstraff eller utsättas för kroppsstraff. 7 Rätten till skydd för personuppgifter
2 Artikel 8.1 Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). 3 2 kap. 6 § andra stycket RF. 4 Artikel 8.1 Europeiska konventionen om skydd för de mänskliga rättigheterna. 5 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 161. 6 Jfr prop. 2009/10:80, En reformerad grundlag, s. 175. 7 2 kap. 4, 5 och 20 §§ RF.
322Utgångspunkter för en modern och ändamålsenlig …
och mot betydande intrång i den personliga integriteten är dock inte en absolut rättighet. Liksom rätten till skydd för privat- och familjeliv, hem och korrespondens kan rätten till skydd för personuppgifter 8 och mot betydande intrång i den personliga integriteten begränsas. Enligt dataskyddsförordningen måste rätten till skydd för personuppgifter förstås utifrån sin uppgift i samhället och vägas mot andra 9 grundläggande rättigheter i enlighet med proportionalitetsprincipen. Proportionalitetsprincipen innebär att åtgärder ska vara lämpliga och nödvändiga för att uppnå det önskade resultatet, och inte innebära en orimlig börda för den enskilde i förhållande till det eftersträvade målet. Proportionalitetsprincipen framgår också av regeringsformen och i olika internationella rättsakter. 10 Inom sina respektive verksamheter behandlar Skatteverket, Tullverket och Kronofogdemyndigheten i dag en mycket stor mängd uppgifter om enskilda. Det rör sig såväl om behandling av uppgifter som bör uppfattas som mycket privata, exempelvis om hälsa, tillhörighet i trossamfund och privatekonomi, som om behandling av uppgifter som typiskt sett är mindre skyddsvärda, exempelvis om någons adress. Myndigheterna har förvisso ett legitimt behov av att behandla personuppgifter i syfte att utföra den verksamhet som riksdagen eller regering beslutat eller som krävs enligt unionsrätten. De uppgiftssamlingar som förekommer inom myndigheternas verksamheter kan dock innebära att uppgifterna är tillgängliga för myndigheterna på sådant sätt att behandlingen kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett 11 helt annat. I den kompletterande dataskyddsregleringen bör myndigheterna därför ges möjlighet att utföra personuppgiftsbehandling endast i den utsträckning det är proportionerligt i förhållande till enskildas berättigade intresse av skydd för information om sina personliga förhållanden. Det innebär att den kompletterande dataskyddsregleringen inte bör möjliggöra annan personuppgiftsbehandling än sådan som kan antas leda till att myndigheterna kan utföra sin verksamhet enligt tillämplig lagstiftning. Dataskyddsregleringen bör inte heller möjlig-
8 2 kap. 21 § RF. 9 Skäl 4 till dataskyddsförordningen. 10 Se 2 kap. 21 § regeringsformen och exempelvis artikel 5.4 i Fördraget om europeiska unionen och fördraget om europeiska unionens funktionssätt (2016/C 202/01) och artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02). 11 Prop. 2009/10:80, En reformerad grundlag, s. 175.
323Utgångspunkter för en modern och ändamålsenlig …
göra sådan personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin verksamhet, eller sådan behandling som inte står i ett rimligt förhållande till det intrång i den personliga integriteten som behandlingen innebär. En utgångspunkt för vårt arbete bör följaktligen vara att den kompletterande dataskyddsregleringen ska omfatta de bestämmelser som krävs för den ska kunna utgöra ett adekvat skydd för enskildas personliga integritet.
5.2.2 EU:s dataskyddsförordning utgör i dag den primära
rättskällan i dataskyddsfrågor
Vår bedömning: En utgångspunkt för vårt arbete bör vara att EU:s dataskyddsförordning i dag är den primära dataskyddsrättsliga rättskällan.
Skälen för vår bedömning
Myndigheterna ska tillämpa dataskyddsförordningen
De flesta författningar som omfattas av vår översyn kom till i samband med eller som en konsekvens av att personuppgiftslagen (1998:204), PUL, infördes. När dataskyddsförordningen började tillämpas ersatte den 1995 års dataskyddsdirektiv, 12 som på generell nivå hade genomförts i svensk rätt genom personuppgiftslagen, personuppgiftsförordningen (1998:1191) och dåvarande Datainspektionens föreskrifter. För att säkerställa att EU-lagstiftningen ger samma skydd för alla medborgare inom hela EU har bestämmelser som finns i en EU-förordning företräde framför nationella lagar. 13 Dataskyddsförordningen ska alltså tillämpas av enskilda och myndigheter precis som om bestämmelserna i förordningen hade funnits i en svensk författning. Det innebär att den primära regleringen avseende personuppgiftsbehandling inom svenska myndigheter i dag finns i dataskyddsförordningen.
12 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 13 Se bl.a. EU-domstolens dom den 15 juli 1964, Flaminio Costa mot E.N.E.L., mål 6/64.
324Utgångspunkter för en modern och ändamålsenlig …
En mer omfattande dataskyddsreglering
Dataskyddsförordningen innebär i många avseenden en förändring i förhållande till personuppgiftslagen och 1995 års dataskyddsdirektiv, och ställer framför allt högre krav på personuppgiftsansvariga myndigheter än tidigare. I artikel 5.1 anges de grundläggande principerna för behandling, vilka även angavs i 1995 års dataskyddsdirektiv och personuppgifts- 14 lagen. De grundläggande principerna innebär bl.a. att personuppgifter enbart får behandlas för särskilda och berättigade ändamål, att uppgifterna inte senare får behandlas på ett sätt om är oförenligt med insamlingsändamålen, att behandlingen inte får omfatta fler uppgifter än nödvändigt och att den inte får pågå längre än nödvändigt. Av artikel 5.2 i dataskyddsförordningen framgår att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna efterlevs. För att behandling av personuppgifter över huvud taget ska vara laglig enligt dataskyddsförordningen krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. Av 10 § f PUL, liksom av artikel 7 i 1995 års dataskyddsdirektiv, framgick att även offentliga aktörer kunde behandla personuppgifter på grund av sitt s.k. berättigade intresse. Enligt dataskyddsförordningen kan en myndighet som utgångspunkt inte behandla personuppgifter på den grunden. Myndigheter kan i stället som utgångspunkt bara behandla personuppgifter om det är nödvändigt för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, (artikel 6.1 c och e). Enligt dataskyddsförordningen ska dessutom den grund för behandling som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3). Något motsvarande krav på att grunden för en myndighets personuppgiftsbehandling skulle vara fastställd i unionsrätten eller den nationella rätten fanns inte i 1995 års dataskyddsdirektiv eller i personuppgiftslagen. Det har därför ansetts möjligt att med stöd av 10 § d PUL utföra behandling av personuppgifter som var nödvändig för att utföra en arbetsuppgift av allmänt intresse, även om den rättsliga grunden inte var fastställd i författ-
14 Artikel 6 i 1995 års dataskyddsdirektiv och 9 § personuppgiftslagen.
325Utgångspunkter för en modern och ändamålsenlig …
ning eller liknande. Dataskyddsförordningens bestämmelser om rättslig grund innebär däremot att bl.a. förpliktelser och uppgifter av allmänt intresse inte kan åberopas som rättsliga grunder för behandling av personuppgifter om den rättsliga grunden inte är fastställd i unionsrätten eller medlemsstatens nationella rätt. 15 Vid behandling som omfattas av artikel 6.1 c och e ska enligt artikel 6.3 också syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkten 6.1 e, vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Artikel 6.3 ställer också krav på att, i fråga om den rättsliga grunden för personuppgiftsbehandling, unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Dataskyddsförordningen innehåller dessutom ett stort antal bestämmelser om olika förhållanden kopplade till dataskydd. Bestämmelserna i förordningen rör alltså inte enbart grundläggande principer för behandling och vilken rättslig grund för behandling som måste föreligga. I förordningen finns även utförliga bestämmelser avseende den personuppgiftsansvariges ansvar att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att personuppgiftsbehandling utförs i enlighet med förordningens bestämmelser (artikel 24), bygga in dataskydd i de tekniska systemen för att rent teknisk säkerställa att de grundläggande principerna följs (artikel 25), och att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå (artikel 32). Det finns även förfaranderegler om konsekvensbedömningar och samråd med de nationella tillsynsmyndigheterna vid behandling som kan innebära särskilt hög risk för de registrerade (artiklarna 35 och 36), förfaranderegler vid gemensamt personuppgiftsansvar (artikel 26) och om personuppgiftsbiträden (artikel 28). Dataskyddsförordningen innehåller dessutom ett flertal utförliga bestämmelser om enskilda rättigheter, bl.a. avseende rätt till information om ändamålen med den behandling som utförs (kapitel III), samt bestämmelser om gränsöverskridande behandling av personuppgifter till tredjeland (kapitel V). Ytterligare en skillnad mellan dataskyddsförordningen och 1995 års dataskyddsdirektiv är att till-
15 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 42.
326Utgångspunkter för en modern och ändamålsenlig …
synsmyndigheternas befogenheter har stärkts genom dataskyddsförordningen, jfr artikel 58 i dataskyddsförordningen och artikel 28.3 i direktivet. I Sverige är det Integritetsskyddsmyndigheten, IMY, som är tillsynsmyndighet. Genom dataskyddsförordningens bestämmelser om administrativa rättsmedel, ansvar och sanktioner (kapitel VIII) har IMY möjlighet att bl.a. påföra en myndighet administrativa sanktionsavgifter på upp till motsvarande 10 000 000 kronor om behandlingen strider mot de grundläggande principerna i dataskyddsförordningen, som kravet på att personuppgifter bara får samlas in för berättigade ändamål. Ett annat exempel är om den registrerade inte får sina rättigheter tillgodosedda, som rätten till information och rättelse (artikel 83.5 och 6 kap. 2 § andra stycket lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen). Totalt innehåller dataskyddsförordningen 99 artiklar som i många fall är mycket omfångsrika. Artiklarna kompletteras vidare av 173 beaktandeskäl. Europeiska dataskyddsstyrelsen, EDPB, en paraplyorganisation som sammanför de nationella dataskyddsmyndigheterna, publicerar dessutom bl.a. riktlinjer och rekommendationer som tydliggör den närmare innebörden av dataskyddsförordningens bestämmelser.
Behovet av sektorsspecifik dataskyddsreglering har minskat
Dataskyddsförordningen baseras till stor del på 1995 års dataskyddsdirektivs struktur och innehåll men innebär även en rad förändringar. Dataskyddsförordningen som till skillnad från direktivet ska tillämpas på precis samma sätt som vore den en svensk lag utgör en mer omfattande dataskyddsreglering än 1995 års direktiv och personuppgiftslagen gjorde. Framför allt innebär dataskyddsförordningen att det i dag finns begränsningar av Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att behandla personuppgifter som inte förelåg innan förordningen började tillämpas i maj 2018. I dag finns det också högre krav på att myndigheterna ska vidta ett flertal olika åtgärder för att kunna säkerställa bl.a. lämplig säkerhet för de personuppgifter som får behandlas, och en möjlighet för IMY att besluta om administrativa sanktionsavgifter.
327Utgångspunkter för en modern och ändamålsenlig …
Trots att dataskyddsförordningen närmast är heltäckande i dataskyddsrättsliga frågor både förutsätter och medger förordningen nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens regler. Enligt förordningen finns det alltså möjlighet att i nationell rätt behålla eller införa kompletterande dataskyddsreglering. I några fall ger förordningen utrymme för undantag eller kompletteringar avseende en särskild typ av verksamhet, se artikel 9.2 g om känsliga personuppgifter och artikel 23 om möjligheterna att begränsa tillämpningsområdet för vissa skyldigheter och rättigheter. I andra fall ges medlemsstaterna möjlighet att fastställa mer specifika villkor för att anpassa bestämmelserna i förordningen för att säkerställa en laglig och rättvis behandling, vilket framgår av artikel 6.2 och 6.3 andra stycket. Principen om unionsrättens företräde innebär dock att en bestämmelse i en sektorsspecifik författning endast får tillämpas om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt. För att avgöra i vilken utsträckning det är nödvändigt med reglering som kompletterar dataskyddsförordningen inom en viss sektor krävs överväganden som tar hänsyn till de omständigheter som föreligger i den aktuella verksamheten. Inom offentlig verksamhet kan det exempelvis förekomma synnerligen integritetskänslig behandling där det kan uppfattas vara nödvändigt med kompletterande reglering för att åstadkomma ett adekvat integritetsskydd. Ett exempel är Rättsmedicinalverkets elimineringsdatabas där dna-prov från både anställda 16 och andra personer behandlas. Att dataskyddsförordningen sedan maj 2018 är den primära rättskällan i dataskyddsfrågor innebär dock att det redan finns en tydlig reglering av dataskyddsrättsliga frågor som alla, såväl myndigheter som privata ekonomiska aktörer och organisationer, som behandlar personuppgifter måste iaktta. Mot den bakgrunden bedömer vi att det inte längre finns samma generella behov som tidigare av att i sektorsspecifik dataskyddsreglering begränsa eller tydliggöra vilken personuppgiftsbehandling som får förekomma inom en myndighet, i syfte att upprätthålla ett adekvat integritetsskydd. Vilken behandling som får förekomma inom en myndighet begränsas nämligen redan av dataskyddsförordningen.
16 Jfr 6–7 §§ lag (2020:422) om Rättsmedicinalverkets elimineringsdatabas.
328Utgångspunkter för en modern och ändamålsenlig …
5.2.3 Dataskyddsförordningens dubbla syfte
Vår bedömning: En utgångspunkt för vårt arbete bör vara att dataskyddsförordningens syfte inte enbart är att skapa ett starkt skydd för den personliga integriteten, utan även att skapa en enhetlig och likvärdig nivå för integritetsskyddet inom unionen.
Skälen för vår bedömning
En sammanhängande ram för dataskyddet inom unionen
I skäl 6 till dataskyddsförordningen anges att den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar vad gäller skyddet av personuppgifter, och att tekniken gör det möjligt för bl.a. offentliga myndigheter att i sitt arbete använda sig av personuppgifter i en helt ny omfattning. Dessa förändringar kräver enligt skäl 7 en stark och mer sammanhängande ram för dataskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete, eftersom det är viktigt att skapa den tillit som behövs för att utveckla den digitala ekonomin över hela den inre marknaden. I skäl 9 till dataskyddsförordningen konstateras att 1995 års dataskyddsdirektiv inte har kunnat förhindra bristande enhetlighet i genomförandet och tillämpningen av dataskyddet i olika delar av unionen. Skillnader i nivån på skyddet av personuppgifter kan enligt skäl 9 förhindra det fria flödet av personuppgifter och därför bl.a. hindra myndigheterna från att fullgöra sina skyldigheter enligt unionsrätten. För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skäl 13, en förordning som bl.a. ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar. På så sätt blir övervakningen av behandling av personuppgifter enhetlig, sanktionerna i alla medlemsstater likvärdiga och samarbetet mellan tillsynsmyndigheterna i olika medlemsstater effektivt.
329Utgångspunkter för en modern och ändamålsenlig …
Dataskyddsförordningens dubbla syften bör beaktas
Ett av de huvudsakliga syftena med dataskyddsförordningen är att åstadkomma en harmonisering av dataskyddsregleringen inom unionen för att undanröja hindren för det fria flödet av personuppgifter inom EU. Det avser inte enbart ekonomiska aktörer utan även myndigheter. Enligt vår mening är det därför angeläget att förordningens bestämmelser inte tolkas på ett mer begränsande sätt i Sverige än i andra 17 medlemsstater. Det avser särskilt bedömningen av i vilken utsträckning det är nödvändigt eller lämpligt att med stöd av bl.a. artikel 6.2 och 6.3 andra stycket fastställa mer specifika villkor för eller begränsningar av myndigheters personuppgiftsbehandling i syfte att anpassa bestämmelserna i förordningen för att säkerställa en laglig och rättvis behandling. I avsnitt 5.2.2 har vi bedömt att betydelsen av sektorspecifik dataskyddsreglering för att upprätthålla ett adekvat integritetsskydd har minskat efter att dataskyddsförordningen började tillämpas. Förordningens dubbla syfte talar ytterligare för att kompletterande dataskyddsreglering bör övervägas noga och enbart avvika från vad som annars hade gällt enligt dataskyddsförordningen om det framstår som nödvändigt för att tillskapa ett adekvat integritetsskydd. Den kompletterande dataskyddsregleringen bör under alla förhållanden inte hindra myndigheterna att utföra sina uppgifter enligt unionsrätten eller att utföra sin verksamhet som regleras i den nationella rätten.
5.2.4 Överväganden i samband med införandet
av dataskyddslagen
Vår bedömning: De överväganden som gjordes i samband med dataskyddslagens tillkomst bör utgöra en utgångspunkt för vårt arbete.
Skälen för vår bedömning
I Sverige kompletteras dataskyddsförordningen av dataskyddslagen. I dataskyddslagen finns bestämmelser som förtydligar dataskyddsförordningens bestämmelser bl.a. i fråga om den rättsliga grund för
17 Jfr prop. 2017/18:105, Ny dataskyddslag s. 99.
330Utgångspunkter för en modern och ändamålsenlig …
personuppgiftsbehandling som är aktuell för myndigheter. Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Av 2 kap. 2 § samma lag framgår att personuppgifter får behandlas med stöd av artikel 6.1 e i dataskyddsförordningen, om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. I dataskyddslagens förarbeten finns dessutom en utförlig beskrivning av bestämmelsernas innebörd och de överväganden som regeringen gjort i frågan om hur dataskyddsförordningens krav på den rättsliga grunden ska tolkas på ett generellt plan (se avsnitt 3.2.6). De överväganden och bedömningar som regeringen gav uttryck för i dataskyddslagens förarbeten är av naturliga skäl generella, eftersom dataskyddslagen kompletterar dataskyddsförordningen på ett generellt plan. Regeringen bedömde exempelvis att risken för att myndigheter på ett generellt plan inte skulle kunna behandla personuppgifter med stöd av dataskyddsförordningen om inte kompletterande lagstiftning infördes var mycket liten, eftersom det inte borde förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknade stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser. 18 I fråga om den svenska rätten på ett generellt plan kunde anses uppfylla dataskyddsförordningens krav på proportionalitet (artikel 6.3 andra stycket) konstaterade regeringen att kravet motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Regeringen konstaterade även att genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna hade Europakonventionen inkorporerats i svensk rätt. Regeringen påpekande också att enligt 2 kap. 19 § regeringsformen får lagar och andra föreskrifter inte meddelas i strid med Sveriges åtaganden enligt Europakonventionen. Enligt regeringen borde det därför vara mycket ovanligt att svensk rätt
18 Prop. 2017/18:105, Ny dataskyddslag, s. 50.
331Utgångspunkter för en modern och ändamålsenlig …
inte uppfyller Europakonventionens krav. Mot den bakgrund borde utgångspunkten enligt regeringen vara att även dataskyddsförordningens motsvarande krav är uppfyllt i fråga om de rättsliga förpliktelser, uppgifter av allmänt intresse och den myndighetsutövning som fastställs i enlighet med svensk rätt. Enligt regeringen behövde den personuppgiftsansvarige därmed inte göra någon proportionalitetsbedömning avseende regleringen av den rättsliga grunden för behandlingen, utan kunde utgå från att svensk rätt uppfyller detta krav. 19 Skatteverket, Tullverket och Kronofogdemyndigheten har sedan en lång tid sektorspecifika dataskyddsregleringar. Även om den kompletterande dataskyddsregleringen i dag innehåller bestämmelser om frågor som inte utgör dataskydd, exempelvis arkivrättsliga frågor som rör gallring och bevarande, innehåller den främst bestämmelser som avser myndigheternas automatiserade behandling av personuppgifter. Myndigheternas verksamhet och uppdrag regleras i stället i den nationella rätten och unionsrätten. Enligt vår bedömning är den kompletterande dataskyddsregleringen därför inte av en sådan karaktär att regeringens uttalanden i förarbetena till dataskyddslagen, avseende kraven på proportionalitet och att den rättsliga grunden ska vara fastställd, inte kan utgöra en utgångspunkt för vårt arbete. De överväganden som gjordes i samband med dataskyddslagens tillkomst bör därför utgöra en utgångspunkt för vårt arbete.
5.2.5 Teknikneutral reglering
Vår bedömning: En utgångpunkt för vårt arbete bör vara att den kompletterande dataskyddsregleringen inte ska innehålla bestämmelser som förutsätter eller förhindrar användandet av någon befintlig eller framtida teknisk lösning.
Skälen för vår bedömning
Digitaliseringen av myndigheternas verksamhet
De nuvarande registerförfattningarna för Skatteverkets beskattningsoch folkbokföringsverksamheter, SPAR-verksamheten, Tullverket och Kronofogdemyndigheten kom till i samband med att person-
19 Prop. 2017/18:105, Ny dataskyddslag, s. 50.
332Utgångspunkter för en modern och ändamålsenlig …
uppgiftslagen infördes, eller för att anpassa den dåvarande regleringen av automatiserad personuppgiftsbehandling till personuppgiftlagen. 20 När personuppgiftslagen trädde i kraft i oktober 1998 var den elek- 21 troniska förvaltningen fortfarande i början av sin uppbyggnad. De flesta registerförfattningar som omfattas av vår översyn kom alltså till under en period då digitaliserad informationshantering inom den offentliga förvaltningen fortfarande var ett komplement till analog informationshantering. I dag är digital informationshantering i stället en självklarhet och huvudregel inom den offentliga sektorn. Ärenden handläggs elektroniskt och inom myndigheternas verksamhet fattas beslut i stor utsträckning med olika digitala beslutsstöd. Enskilda och andra myndigheter kommunicerar vidare med Skatteverket, Tullverket och Kronofogdemyndigheten på elektronisk väg i stor omfattning. Inom unionsrätten finns vidare krav på att vissa digitala lösningar används i det unionsgemensamma samarbetet. Exempelvis är utgångspunkten inom det unionsrättsliga tullsamarbetet att all informationshantering ska vara digital. Det gäller både avseende informationsöverföring mellan privata aktörer och tullmyndigheterna, men även vid utbyte 22 av information mellan myndigheterna inom EU. Arbetet med att öka effektiviteten i myndigheternas verksamhet och samverkan mellan myndigheterna samt att ge medborgarna en förbättrad service är dess- 23 utom i princip helt inriktat på att det ska ske på elektronisk väg. I dag är digital informationshantering alltså inte längre en avgränsad del av myndigheternas verksamhet som utförs åtskild från verksamheten i övrigt, som var fallet när den befintliga kompletterande dataskyddsregleringen infördes. I dag är digital informationshantering i stället helt integrerad i myndigheternas verksamhet och det går inte att särskilja den digitala informationshanteringen från verksamheten i sig. Regeringen har uttalat att det i dagsläget mer eller mindre regelmässigt bör anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ
20 Jfr dir. 1998:2, Översyn av skatteförvaltningens och exekutionsväsendets registerförfattningar, s. 4–5, samt dir. 1996:43, Vissa frågor avseende de centrala person-, företags- och fastighetsdataregistren, s. 9. 21 Prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 54–55. 22 Se avdelning IX i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen. 23 SOU 2015:39, Myndighetsdatalag, s. 175.
333Utgångspunkter för en modern och ändamålsenlig …
för vare sig myndigheter eller företag. 24 Regeringen har också sedan länge haft det uttalade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. 25 Regeringen har 2018 uttalat att målet för digitaliseringen av den offentliga förvaltningen bl.a. är en enklare vardag för medborgare och högre kvalitet och effektivitet i verksamheten. Vidare har regeringen gjort bedömningen att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatpersoner och företag, samtidigt som säkerheten och skyddet för den personliga integriteten ska säkerställas. 26 I budgetpropositionen för 2023 har regeringen uttalat att det behövs en ambitionshöjning för att nå sagda mål. Sverige konstateras prestera över snittet i EU, men placerar sig efter de ledande länderna när det kommer till att använda digitaliseringens möjligheter, särskilt inom offentlig sektor. Regeringen har i sammanhanget påpekat att det faktum att flera andra länder lyckas bättre än Sverige trots sämre förutsättningar, visar på att Sverige ännu inte lyckats använda digitaliseringens möjligheter fullt ut. 27 Regeringen har även uttalat att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning 28 kan ske på ett effektivt och rättssäkert sätt.
Teknikneutralitet är en förutsättning för en ändamålsenlig dataskyddsreglering
Skyddet för fysiska personer bör enligt skäl 15 till dataskyddsförordningen vara teknikneutralt och inte beroende av den teknik som används. Frågan om vad som egentligen avses med en teknikneutral reglering inte har dock inte ett självklart svar. En sådan reglering kan vara neutral i den bemärkelsen att den inte pekar ut att en viss teknisk lösning ska användas, t.ex. e-post eller vanligt brev. Även en reglering som förefaller teknikneutral har dock ofta utformats med utgångspunkt i kommunikationssätt eller informationshantering i former som i dag inte längre används, eller endast används i begränsad omfattning. Det kan röra sig om att regleringen styr att viss information ska överföras från en aktör till en annan, exempelvis genom att förutsätta att en begäran inleder ett förfarande. Sådana bestämmelser kan visserligen
24 Prop. 2017/18:105, Ny dataskyddslag, s. 47. 25 Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84. 26 Budgetpropositionen för 2019, prop. 2018/19:1 utg. omr. 2, s. 53. 27 Budgetpropositionen för 2023, prop. 2022/23:1, utg. omr. 22, s. 105. 28 Prop. 2017/18:105, Ny dataskyddslag, s. 87.
334Utgångspunkter för en modern och ändamålsenlig …
sägas vara neutrala i förhållande till vilken teknik som används. En helt digital informationshantering väcker emellertid frågor även rörande sådana bestämmelser, eftersom den digitala tekniken möjliggör en i allt väsentligt annan typ av hantering av information än vad som var möjligt när förfarandet ursprungligen reglerades. Det kan alltså vid en helt digital hantering vara svårt att avgöra vad som ska anses utgöra en begäran. Bestämmelser som kan framstå som teknikneutrala kan därför behöva förändras om målsättningen är att de faktiskt ska vara det. 29 I sammanhanget kan även påpekas att också viss reglering som inte är teknikneutral, utan som särskilt reglerar en viss digital lösning, kan komma att få en förändrad betydelse om de tekniska förutsättningarna för det avsedda förfarandet förändras. Ett tydligt exempel är begreppet utlämnande på medium för automatiserad behandling, vilket i dag avser exempelvis e-post eller direkt överföring från ett itsystem till ett annat, dvs. något helt annat än de magnetband och hålremsor som ursprungligen avsågs. 30 Vid sidan om integritetshänsyn var målsättningar om bl.a. flexibilitet och teknikoberoende vägledande vid tidpunkten för de befint- 31 liga registerförfattningarnas tillkomst. Författningarna innehåller dock i flera fall begränsningar av myndigheternas möjlighet att kommunicera digitalt med enskilda, vilket innebär att exempelvis Skatteverket i flera situationer är hänvisat till att använda vanlig postgång när information ska lämnas till enskilda. Den särskilda databasregleringen, som innebär att uppgifter som används gemensamt i en verksamhet kringgärdas av särskilda regler, utgår dessutom från tekniska förutsättningar för myndigheternas interna informationshantering som är väsentligt skilda från de som föreligger i dag. Vilka möjligheter till kommunikation och övrig informationshantering som framtida teknik för med sig är lika svårt att förutse i dag som det var runt millennieskiftet. En utgångspunkt för vårt arbete bör därför vara att regleringen ska vara teknikneutral i så hög utsträckning som möjligt. Mot bakgrund av den snabba tekniska utvecklingen förefaller det vara en förutsättning för en ändamålsenlig dataskyddsreglering. I det ligger alltså inte enbart frågan om vilken terminologi som används, utan målsättningen om teknikneutralitet bör tillåtas påverka även vilka för-
29 Jfr SOU 2018 :25, Juridik som stöd för förvaltningens digitalisering, s. 127. 30 Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen m.m., s. 75. 31 Prop. 2000/01:33, Personuppgiftsbehandling inom skatt, tull och exekution, s. 80–81.
335Utgångspunkter för en modern och ändamålsenlig …
faranden som över huvud taget regleras i den kompletterande dataskyddsregleringen.
5.2.6 En renodlad dataskyddsreglering
Vår bedömning: En utgångspunkt för vårt arbete bör vara att den nya dataskyddsregleringen endast ska omfatta bestämmelser av dataskyddsrättslig art.
Skälen för vår bedömning
Myndigheternas verksamhet regleras i flera andra sammanhang
Som framgått ovan bör en generell utgångspunkt för vårt arbete vara att myndigheternas behandling av personuppgifter inte längre kan betraktas som en separat del av respektive verksamhet, enbart av den anledningen att behandlingen är automatiserad. Enligt vår mening innebär det bl.a. att den nya dataskyddsregleringen bör utformas utifrån att det finns många andra regelverk än det dataskyddsrättsliga som styr myndigheternas verksamhet. För att åstadkomma en ändamålsenlig kompletterande dataskyddsreglering behöver därför inte enbart vad som framgår av den allmänna dataskyddsregleringen tas i beaktande. Framför allt bör en utgångspunkt vara att dataskyddsförordningens krav på att den rättsliga grunden för behandling ska vara fastställd är uppfyllt genom den reglering av myndigheternas verksamheter som framgår av unionsrätten och nationell rätt. Av de bestämmelser som styr myndigheternas verksamheter framgår i regel vilka förhållanden som tillmäts betydelse vid tillämpningen eller som är avgörande för en prövning, se kapitel 4. Att tillämpningen eller prövningen i dag sker med stöd av digital teknik behöver därför inte innebära att det finns ett behov av att exempelvis författningsreglera vilka uppgifter som får behandlas i syfte att utföra verksamheten. En begränsning av vilka uppgifter en myndighet får behandla automatiserat för att utföra sina uppgifter innebär nämligen också en begränsning av den materiella verksamhetsregleringen i sig, om verksamheten är helt digitaliserad. Förvaltningslagens (2017:900) bestämmelser – med bl.a. krav på legalitet, objektivitet och proportionalitet – bör vidare beaktas, lik-
336Utgångspunkter för en modern och ändamålsenlig …
som det arkivrättsliga regelverket med bestämmelser om gallring och arkiv som framgår av arkivlagen (1990:782). Också myndighetsförordningen (2007:515) och andra regelverk som i olika hänseenden styr myndigheternas verksamhet bör beaktas. Även offentlighets- och sekretesslagens (2009:400) bestämmelser om sekretess i vissa fall, till skydd för enskildas personliga och ekonomiska förhållanden, måste tillmätas betydelse i frågan om det finns skäl att särskilt reglera viss behandling av personuppgifter. I vilken mån kompletterande dataskyddsreglering behöver innehålla särskilda bestämmelser för att tillförsäkra enskilda ett adekvat integritetsskydd behöver övervägas mot bakgrund av sådana bestämmelser om rättigheter för enskilda och skyldigheter för myndigheter som finns i det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr myndigheternas verksamhet. Att behovet av kompletterande dataskyddsreglering övervägs i förhållande till hur myndigheternas verksamhet är reglerad i övrigt bör vara i överensstämmelse med de grunder som dataskyddsförordningen bygger på och ger uttryck för.
Kompletterande dataskyddsreglering bör inte innehålla bestämmelser om annat än dataskydd
Mot bakgrund av det som anges ovan bör en utgångspunkt för vårt arbete vara att en ändamålsenlig kompletterande dataskyddslagstiftning i så hög grad som möjligt enbart ska omfatta sådana bestämmelser av dataskyddsrättslig karaktär som av någon anledning är motiverade i den aktuella verksamheten. I de befintliga författningarna finns i dag bestämmelser om uppgiftsskyldighet, bestämmelser om gallring och bevarande samt bestämmelser om myndigheternas rätt att ta ut avgifter i vissa fall. Regelverket har med tiden blivit svåröverskådligt och det finns utrymme för olika tolkningar av bestämmelserna. Lagstiftningen har även uppfattats av myndigheterna som svårtillämpad, vilket till viss del borde vara relaterat till den stora variationen i förekommande bestämmelsers karaktär och syfte. En blandning av bestämmelser med olika funktion och rättslig karaktär som ibland dessutom överlappar varandra riskerar alltså att skapa en omotiverat komplex lagstiftning. Det nyss sagda gäller enligt vår mening särskilt bestämmelser som reglerar förhållanden som ligger nära de rena dataskyddsfrågorna, eftersom bestämmelsernas skiftande kar-
337Utgångspunkter för en modern och ändamålsenlig …
aktär och föremål kan medföra en osäkerhet kring deras innebörd. En reglering som innehåller bestämmelser av olika karaktär kan även skapa osäkerhet om dess innebörd i förhållande till andra rättsområden, exempelvis i frågor om uppgiftslämnande (jfr HFD 2021 ref. 10). En utgångspunkt för arbetet med en ändamålsenlig reglering av Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter bör alltså vara att den inte ska syfta till att reglera respektive myndighets verksamhet utanför dataskyddsområdet. Regleringen bör i stället utformas så att den enbart tar sikte på att reglera dataskyddsrättsliga frågor, dvs. i första hand frågor rörande det behov av skydd för enskildas personliga integritet som den automatiserade behandlingen av personuppgifter ger upphov till. Förändringar som sker beträffande myndigheternas tekniska, organisatoriska eller rättsliga förutsättningar att behandla personuppgifter ska därmed inte ha betydelse på det sättet att innehållet i dataskyddsregleringen behöver ändras, om det inte finns sakliga skäl för det. Sådana sakliga skäl kan vara att en myndighet får ett helt nytt uppdrag, eller att en särskilt känslig form av behandling av exempelvis biometriska uppgifter behöver begränsas, och det inte är möjligt eller lämpligt av normtekniska skäl att införa en sådan begränsning i den materiella verksamhetsregleringen.
5.2.7 Enbart det som behöver regleras ska regleras
Vår bedömning: En utgångspunkt för vårt arbete bör vara att enbart det som behöver regleras för att åstadkomma ett adekvat integritetsskydd ska regleras i kompletterande dataskyddsreglering. Regleringen bör ha en enhetlig utformning.
Skälen för vår bedömning
Enbart det som behöver regleras ska regleras
Syftet med sektorspecifika dataskyddsförfattningar är i regel att balansera en myndighets behov av att behandla personuppgifter i sin verksamhet mot ett adekvat skydd för den personliga integriteten. Så är
338Utgångspunkter för en modern och ändamålsenlig …
fallet även avseende de författningar som vår översyn omfattar. 32 Som nämnts ovan ska dock EU:s dataskyddsförordning i dag tillämpas av myndigheterna som om den vore en svensk lag, vilket enligt vår bedömning innebär att behovet av sektorspecifik kompletterande reglering har minskat. Dataskyddsförordningen innehåller nämligen redan bestämmelser om bl.a. rättslig grund, uppgiftsminimering, lagringsminimering, ändamålsbegränsningar och olika säkerhetsåtgärder som ska vidtas (se avsnitt 3.2.5). En utgångspunkt för vårt arbete bör därför vara att den kompletterande lagstiftningen endast ska omfatta bestämmelser som av någon anledning framstår som motiverade eller nödvändiga, trots att dataskyddsförordningen ska tillämpas av myndigheterna som svensk lag. I syfte att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen är det tillåtet att i den nationella rätten bl.a. reglera de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling (artikel 6.3). I vissa fall framstår det vidare som nödvändigt, och krävs dessutom enligt dataskyddsförordningen, att särskilt reglera vissa förhållanden med anknytning till dataskydd. Det gäller exempelvis de undantag från rätten att göra invändningar mot behandlingen enligt artikel 21.1 som är möjliga att göra enligt artikel 23, eller vid behandling av känsliga personuppgifter enligt artikel 9.2 g då den nationella rätten ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En sektorsspecifik reglering kan också krävas om den rättsliga grunden för behandling i enstaka fall inte är tillräcklig för att uppfylla dataskyddsförordningens krav på proportionalitet, eller tydlighet, precision och förutsebarhet (skäl 41 till dataskyddsförordningen). Om en rättsregel hade gällt enligt överordnade normer, även utan motsvarande bestämmelse i kompletterande lagstiftning, anser vi dock att det bör finnas starka skäl för att införa motsvarande bestämmelse
32 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 229, Prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverket s. 34 och prop. 1997/98: 136, Statlig förvaltning i medborgarnas tjänst, s. 70–71.
339Utgångspunkter för en modern och ändamålsenlig …
också i den kompletterade dataskyddsregleringen. En dubbel- eller i vissa fall trippelreglering riskerar framför allt att skapa osäkerhet om vad som gäller i en viss fråga. Det gäller både vid myndigheternas tillämpning och för enskilda. Möjligheten för en enskild att kunna förstå vilka dataskyddsregler som styr behandlingen av uppgifter om honom eller henne hos respektive myndighet är enligt vår mening en faktor som bör tas i beaktande vid utformningen av kompletterande dataskyddsreglering. Överskådlighet och begriplighet är nämligen viktiga komponenter för enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket. En sektorsspecifik bestämmelse som motsvarar vad som annars hade gällt enligt dataskyddsförordningen riskerar att tolkas på ett annat sätt än motsvarade bestämmelse i dataskyddsförordningen både av tillämpare och enskilda. En intern praxis kan vidare utvecklas på myndighetsnivå avseende den kompletterande bestämmelsen eller så kan redan införandet av bestämmelsen ge upphov till en föreställning om att bestämmelsen är avgörande för att en viss åtgärd ska vara laglig eller tillåten. Skäl som talar för att i den kompletterande lagstiftningen införa bestämmelser som motsvarar vad som redan gäller enligt dataskyddsförordningen kan vara att det finns ett behov av tydlighet i frågor som är centrala i den allmänna dataskyddsregleringeringen. Sådana bestämmelser kan då ha en stor betydelse för enskildas möjlighet att sätta sig in i vad som gäller på olika områden, exempelvis i fråga om vem som är personuppgiftsansvarig för viss behandling, i vilka syften den personuppgiftsansvarige får behandla uppgifter, förutsättningarna för vidarebehandling av redan insamlade uppgifter och den längsta tid personuppgifter får behandlas. Bestämmelser kan även motiveras av behovet att tydliggöra personuppgiftsansvariga myndigheters skyldigheter enligt dataskyddsförordningen. Sammanfattningsvis bör också en mer ändamålsenlig kompletterande dataskyddsreglering än vad de befintliga registerförfattningarna utgör syfta till att balansera en myndighets behov av att behandla personuppgifter i sin verksamhet mot ett adekvat skydd för den personliga integriteten. Mot bakgrund av att dataskyddsförordningen är den primära rättskällan avseende dataskyddsfrågor – som ska tilllämpas direkt av myndigheterna – bör dock enbart det som särskilt behöver regleras i det nyss nämnda syftet återfinnas i de kompletterande dataskyddsförfattningarna.
340Utgångspunkter för en modern och ändamålsenlig …
En enhetlig utformning av den kompletterande regleringen
Den kompletterande regleringen bör enligt vår mening utformas på ett enhetligt sätt, även över myndighetsgränserna. Med detta avser vi att bestämmelser som reglerar samma förhållande, exempelvis för vilka ändamål en myndighet får behandla personuppgifter, bör utformas likartat så länge det inte finns sakliga skäl för att särreglera viss behandling. På så sätt kan både enskilda och tillämpare ges bättre möjligheter att överblicka och förstå det dataskyddsrättsliga regelverket. Vi bedömer även att en ökad enhetlighet i utformningen av den kompletterande dataskyddsregleringen kan minska riskerna för att sektorsspecifika bestämmelser på myndighetsnivå tolkas på ett annat sätt än i den allmänna dataskyddsregleringen. Genom en enhetlig utformning kan dessutom osäkerhet i fråga om en bestämmelses utformning medför att den har en annan innebörd än motsvarande bestämmelse i ett annat sammanhang undvikas. Det förefaller också troligt att praxisbildning i dataskyddsfrågor kan komma att underlättas av att bestämmelser i den kompletterande dataskyddsregleringen utformas likartat. Sammanfattningsvis bör en utgångspunkt för vårt arbete vara att den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten ska utformas på ett enhetligt sätt. Målsättningen om enhetlighet bör dock bara genomföras i den utsträckning det är möjligt utifrån målsättningen om att regleringen ska utgöra ett adekvat skydd för den personliga integriteten.
3416 Nya lagar om dataskydd vid
Skatteverket, Tullverket och
Kronofogdemyndigheten
6.1 Inledning
I detta kapitel föreslår vi att de nuvarande lagarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter som omfattas av vårt uppdrag ska upphävas och ersättas av nya författningar som även de ska ha form av lag. Vi föreslår även att de förordningar som tillhör de gällande lagarna ska upphävas och att också de nya lagarna ska kompletteras av förordningar. I kapitlet redogörs för våra bedömningar avseende vilken normgivningsnivå den nya dataskyddsregleringen kräver mot bakgrund av regeringsformens bestämmelser. Vi gör även bedömningen att Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling kan innebära särskilda risker ur ett integritetsperspektiv mot bakgrund av bl.a. omfattningen och arten av den behandling som utförs.
6.2 Gällande lagar ska upphävas och ersättas av nya
Vårt förslag: De nuvarande lagarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter ska upphävas och ersättas av nya författningar som även de ska ha form av lag.
342Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Skälen för vårt förslag
De befintliga lagarna ska upphävas
Vår översyn av befintlig lagstiftning innebär att ett stort antal kapitel och paragrafer behöver ändras eller upphävas, eftersom vi föreslår att myndigheternas lagar om dataskydd ska ha en helt ny systematik. Detta kan resultera i en mycket svåröverskådlig lagstiftning. Det är vid sådana förhållanden fördelaktigt att upphäva den tidigare lagstiftningen och ersätta den med en ny. Det skulle även göra regleringen mer pedagogisk och överblickbar. Mot denna bakgrund anser vi att följande lagar bör upphävas och ersättas med nya lagar (jfr 8 kap. 18 § regeringsformen, RF): • lagen (1998:527) om det statliga personadressregistret • lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet • lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet • lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet • lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet • lagen (2015:898) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter.
Särskilda motiveringar i fråga om varför vi föreslår att lagen om det statliga personadressregistret och lagen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter ska upphävas och ersättas av nya lagar finns i avsnitten 16.4.2 och 17.4.2. Närmare motivering avseende behovet av att den nya regleringen ges i lagform finns nedan.
343Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Regeringsformens bestämmelser om normgivning
I 1 kap. 2 § första stycket RF anges att den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet. I bestämmelsens fjärde stycke anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Bestämmelsen är en målsättningsparagraf för det allmännas verksamhet. 1 I 8 kap. RF finns regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter kan också, efter bemyndigande av riksdagen eller regeringen, meddelas av andra myndigheter än regeringen och av kommuner. Ett bemyndigande att meddela föreskrifter ska alltid ges i lag eller förordning (8 kap. 1 § RF). Föreskrifter ska bl.a. meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2 RF). Riksdagen kan dock bemyndiga regeringen att, med vissa undantag som inte är aktuella här, meddela sådana föreskrifter (8 kap. 3 § RF). Regeringen får i övrigt utan bemyndigande bl.a. meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § första stycket 2 RF). I denna paragraf regleras regeringens primärområde för normgivning, vilket brukar kallas regeringens restkompetens. 2 Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 § RF). Av 8 kap. 18 § första stycket RF framgår att en lag inte får ändras eller upphävas på annat sätt än genom lag. Det innebär att om riksdagen har stiftat en lag som reglerar en myndighets verksamhet inom ett visst område, kan lagen inte ändras eller upphävas på annat sätt än genom en ny lag. Detta oavsett om riksdagen har stiftat lagen inom ett område som annars enligt grundlag primärt faller inom regeringens kompetensområde. Att det allmänna behandlar personuppgifter om enskilda har i andra lagstiftningsärenden inte ansetts innebära någon skyldighet för den
1 Prop. 1975/76:209, om ändring i regeringsformen, s. 136–138. 2 Prop. 2009/10:80, En reformerad grundlag, s. 216 och 272.
344Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Generellt gäller att bestämmelser om behandling av personuppgifter i princip är att anse som bestämmelser som införs för att skydda den enskilde. Bestämmelser om behandling av personuppgifter som statliga myndigheter under regeringen utför har därmed i princip ansetts kunna beslutas 3 av regeringen i förordningsform med stöd av restkompetensen. Utgångspunkten kan alltså sägas vara att bestämmelser om Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling inte behöver regleras i lag till följd av bestämmelserna om normgivning i 8 kap. RF. Konstitutionsutskottet har dock uttryckt att det bör vara en målsättning att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll ska regleras genom lag. Regeringen har instämt i detta. 4 Det kan ifrågasättas i vilken mån dessa uttalanden kan appliceras på myndigheters personuppgiftsbehandling som sådan, eller om uttalandena framför allt är hänförliga till förandet av regelrätta register, såsom t.ex. fastighetsregistret 5 eller belastningsregistret. Skatteverket, Tullverket och Kronofogdemyndigheten behandlar visserligen uppgifter i olika uppgiftssamlingar och i förekommande fall register för att kunna fullgöra sina uppdrag. Det görs bl.a. i enlighet med den databasreglering som gäller i dag, vilken vi föreslår inte längre ska finnas kvar (se avsnitt 9.4.2). De uppgifter som behandlas enligt den gällande databasregleringen behöver dock inte vara på ett visst sätt organiserade eller systematiserade samlingar utan kan införas helt ostrukturerat och oorganiserat i en dator. Bland annat mot denna bakgrund infördes begreppet databas i stället för register i de 6 nuvarande registerförfattningarna. Den behandling av personuppgifter som utförs vid berörda myndigheter avser med andra ord i huvudsak inte regelrätta register av den typ som nämns ovan eller register i en mer strikt betydelse, dvs. när uppgifterna är organiserade på ett systematiserat sätt enligt fastställda register 7 , se dock nedan avseende det statliga personadressregistret (SPAR). Regleringen avser i stället
3 Se bl.a. SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 202, prop. 2017/18:105, Ny dataskyddslag, s. 26 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 116. 4 Bet. 1990/91:KU11, s. 11, bet. 1997/98:KU18, s. 48 samt prop. 1990/91:60, om offentlighet, integritet och ADB, s. 58 och prop. 1997/98:44, Personuppgiftslag, s. 41. 5 Jfr SOU 2015:39, Myndighetsdatalag, s. 202. 6 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 89–91. 7 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 90.
345Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
att myndigheterna under vissa förutsättningar tillåts att behandla personuppgifter automatiserat, t.ex. avseende känsliga personuppgifter eller möjligheten att göra vissa sammanställningar. De uppgifter som tillåts behandlas (automatiserat) genom regleringen är enligt vår bedömning en nödvändig följd av den verksamhet som myndigheterna enligt andra regelverk är skyldiga att utföra. Regleringarna tillåter med andra ord inte behandling i större mån än vad som annars hade varit möjligt redan som en följd av EU:s dataskyddsförordning. 8 Det är därför svårt att anse att sådana bestämmelser utgör ett ingrepp i enskilds personliga förhållanden på det sätt som avses i 8 kap. 2 § första stycket 2 RF. Detsamma gäller bestämmelser om t.ex. tillgång till personuppgifter och sökbegränsningar, vilka avser att skydda den registrerades personliga integritet. Inte heller bör ”neutrala” regler, som bl.a. reglerar tillämpningsområde och förhållandet till annan reglering, kunna anses vara sådana bestämmelser som träffas av nämnda bestämmelse i regeringsformen. Detta innebär enligt vår mening att de föreslagna dataskyddsregleringarna inte i sig kan anses innebära några skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga förhållanden. Därmed bedömer vi att 8 kap. 2 § första stycket 2 RF inte kräver att de nya dataskyddsregleringarna ges form av lag. Som framgår ovan har det även i tidigare förarbeten ansetts att bestämmelser om behandling av personuppgifter som statliga myndigheter under regeringen utför i princip kan beslutas av regeringen i förordningsform. Det förhållandet att konstitutionsutskottet och regeringen i tidigare förarbeten ansett att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll som målsättning bör regleras genom lag påverkar enligt vår mening inte bedömningen av vad som i detta fall krävs enligt 8 kap. 2 § RF. Detta resonemang gäller dock inte fullt ut avseende den föreslagna lagen om SPAR. I den lagen kommer nämligen fortsättningsvis de rättsregler som ger stöd för förandet av själva registret att finnas. Om registret innehåller känsliga personuppgifter skulle sådana regler av mer materiell karaktär, till skillnad från regler som avser att skydda enskildas integritet, i sig kunna utgöra ett ingrepp i enskildas person-
8 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Jfr SOU 2015:39, Myndighetsdatalag, s. 207.
346Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
liga förhållanden i enlighet med 8 kap. 2 § första stycket 2 RF. 9 Så är dock inte fallet avseende SPAR. Eftersom det rör ett register som innefattar stora mängder uppgifter om enskilda registrerades personliga förhållanden kan det av detta skäl ändå, i linje med det ovan nämnda uttalandet från konstitutionsutskottet, vara det mest lämpliga att regleringen av registret ges lagform.
Regeringsformens skydd för den personliga integriteten
Utgångspunkten när det gäller frågan om myndigheters behandling av personuppgifter måste regleras genom lag blev till viss del en annan när ändringarna av regeringsformen trädde i kraft 2011. Genom ikraftträdandet av den nu gällande bestämmelsen i 2 kap. 6 § andra stycket RF utökades grundlagsskyddet för den personliga integriteten. Enligt bestämmelsen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begreppet enskilds personliga förhållanden har enligt förarbetena till bestämmelsen samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). 10 Enligt 2 kap. 20 § RF får skyddet endast begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Enligt denna bestämmelse får begränsningar enligt 20 § endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Bestämmelserna innebär att lagstiftaren noga ska redovisa sina syften när en fri- och rättighetsinskränkande lag beslutas. 11 Även utanför området för det grundlagsreglerade integritetsskyddet kan det ställas krav på att ett intrång måste ha stöd i lag till följd av reglerna i bl.a. 8 kap. RF eller artikel 8 i Europakonventionen. 12
9 Jfr SOU 2015:39, Myndighetsdatalag, s. 208 samt det ovan nämnda uttalandet från konstitutionsutskottet. 10 Se prop. 2009/10:80, En reformerad grundlag, s. 250. 11 Prop. 1975/76:209, om ändring i regeringsformen, s. 153. 12 Prop. 2009/10 :80, En reformerad grundlag, s. 177.
347Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Myndigheternas personuppgiftsbehandling omfattas av regeringsformens skydd mot betydande intrång i den personliga integriteten
Vid det ursprungliga ikraftträdandet av aktuella myndigheters nuvarande registerförfattningar hade ovan angivna bestämmelse i 2 kap. 6 § andra stycket RF ännu inte trätt i kraft. Frågorna berördes inte heller särskilt i samband den översyn av lagstiftningen som gjordes i 13 samband med att EU:s dataskyddsförordning skulle börja tillämpas. Det kan konstateras att de personuppgifter som redan nu behandlas, och även fortsättningsvis kommer att få behandlas, rör enskildas personliga förhållanden enligt 2 kap. 6 § andra stycket RF. Begreppet personliga förhållanden har, som framgår ovan, samma innebörd som i sekretesslagstiftningen. Därmed omfattas bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning, omfattas av begreppet. 14 Också uppgift om en persons ekonomi kan sägas falla under begreppet person- 15 liga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är enligt motiven till bestämmelsen inte dess huvudsakliga syfte utan vilken effekt åtgärden har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp. 16 Vad gäller begreppet kartläggning av den enskildes personliga förhållanden anges bl.a. följande i förarbetena. 17 En åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om t.ex. beskattning eller liknande, kan – även om avsikten inte är att kartlägga enskilda – i många fall anses innebära kartläggning av enskildas förhållanden. Så torde fallet vara i fråga om ett stort antal uppgiftssamlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns t.ex. lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. […]
13 Se prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning. 14 Prop. 2009/10:80, En reformerad grundlag, s. 177. 15 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84. 16 Prop. 2009/10:80, En reformerad grundlag, s. 250. 17 Prop. 2009/10:80, En reformerad grundlag, s. 180.
348Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshanteringen finns för t.ex. socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kustbevakningen samt hos domstolarna. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.
Vid aktuella myndigheter behandlas olika slags personuppgifter och behandlingen förutsätter insamling av personuppgifter som rör enskildas personliga förhållanden avseende stora delar av befolkningen. Som framgår ovan nämns i förarbetena bl.a. Skatteverkets, Tullverkets och Kronofogdemyndighetens uppgiftssamlingar som exempel på lagring och behandling av uppgifter som kan innebära kartläggning av 18 enskildas förhållanden i regeringsformens mening. Genom våra förslag kommer det fortsatt finnas särskild reglering som närmare anger förutsättningarna för berörda myndigheters personuppgiftsbehandling. För Skatteverkets del är det i vissa avseenden fråga om att behandla uppgifter om i princip samtliga personer som är bosatta i Sverige och därutöver ett stort antal svenska medborgare bosatta utomlands. Uppgifterna som behandlas är av varierande art, men rör till stor del enskildas personliga förhållanden. Det handlar både om uppgifter som i sig inte är särskilt känsliga, t.ex. uppgifter om adress eller arbetsgivare, men det kan också förekomma känsliga personuppgifter om bl.a. hälsa eller religiös övertygelse. Uppgifterna inom beskattningsverksamheten ger även en tydlig bild av den enskildes ekonomiska förhållanden, vilket typiskt sett gör dem integritetskänsliga. Det handlar bl.a. om kontrolluppgifter och uppgifter som lämnas av den enskilde på grund av den lagstadgade skyldigheten att lämna självdeklaration och även på grund av skyldigheten att medverka 19 under en efterföljande skatteutredning. Vidare kan uppgifter som sedda för sig inte framstår som ett intrång uppfattas som detta när de samlas tillsammans med andra sådana uppgifter. Detta får anses
18 Prop. 2009/10:80, En reformerad grundlag, s. 180. 19 Jfr prop. 2005/06:169, Effektivare skattekontroll m.m., s. 82.
349Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
innebära ett större integritetsintrång som från integritetssynpunkt kan medföra särskilda risker. Med hänsyn till omfattningen och arten av Skatteverkets verksamhet bedömer vi att stora delar av Skatteverkets personuppgiftsbehandling får den effekten att det kan anses utgöra kartläggning av enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF. I jämförelse med Skatteverket behandlar Tullverket färre uppgifter om enskildas personliga förhållanden, eftersom en stor del av behandlingen avser uppgifter om juridiska personer vilka förekommer i t.ex. import- och exportdeklarationer. Enskilda kommer inte heller i kontakt med Tullverket i motsvarande utsträckning, vilket får till följd att myndigheten inte behandlar uppgifter om en lika stor del av befolkningen som Skatteverket. Även fysiska personer behöver dock i vissa fall exempelvis betala tull, moms eller andra skatter och avgifter vid import eller införsel av varor. Andelen fysiska personer som köper varor från tredjeland har även ökat den senaste tiden. Denna verksamhet föranleder behandling av uppgifter om enskilda fysiska personers personliga förhållanden, såsom namn, adress, personnummer och uppgifter som ingår i underlag för tull, annan skatt och avgifter. Det finns även inom Tullverket en relativt stor del uppgifter som ger en bild av enskildas ekonomiska förhållanden och som därmed i vissa fall typiskt sett bör anses vara känsliga från integritetssynpunkt, även om det inte är lika omfattande som inom Skatteverkets beskattningsverksamhet. I Tullverkets verksamhet kan det vidare förekomma behandling av känsliga personuppgifter om bl.a. etnicitet, religiös övertygelse eller hälsa. Uppgifterna kan tillsammans innebära att behandlingen även inom Tullverkets verksamhet kan medföra integritetsrisker. Vidare kan även uppgifter om juridiska personer innehålla personuppgifter i form av t.ex. uppgifter om ett företags företrädare. Trots den mindre omfattningen av behandlingen av uppgifter om enskilda fysiska personers personliga förhållanden, bedömer vi att Tullverkets verksamhet är sådan att den personuppgiftsbehandling som utförs i vissa fall kan få den effekten att enskildas personliga förhållanden kartläggs. Även Kronofogdemyndigheten behandlar stora mängder personuppgifter i sin verksamhet. Kronofogdemyndighetens verksamhet är dock mer begränsad än den som Skatteverket och Tullverket ansvarar för. De personuppgifter som aktualiseras avser främst de personer som har eller har haft betalningssvårigheter, eller som av annan an-
350Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
ledning kommit i kontakt med myndigheten. 20 Även uppgifter om bl.a. konkursförvaltare och parter i mål om betalningsföreläggande behandlas inom myndighetens verksamhet. De uppgifter som behandlas om fysiska personer avser bl.a. uppgifter om enskildas identitet och adressuppgifter, men även uppgifter om hälsa som förekommer i t.ex. läkarintyg eller skrivelser från enskilda. Kronofogdemyndigheten har även inom ramen för sin verksamhet möjlighet att kartlägga en gäldenärs ekonomiska förhållanden på ett sätt som ger en helhetsbild som kan upplevas integritetskänslig. 21 Inom t.ex. verksamheten med att verkställa betalningsförpliktelser görs i vissa fall utredningar för att klarlägga gäldenärens inkomst- och anställningsförhållanden, familjeförhållanden och försörjningsbörda samt ta reda på om gäldenären har några utmätningsbara tillgångar. Omfattningen av undersökningen är beroende av ansökans innehåll, gäldenärens förhållanden och övriga omständigheter. Undersökningen görs i stor utsträckning genom efterforskning i olika databaser och andra register samt kontakt med gäldenären. Kronofogdemyndigheten kan även genomföra förrättning i gäldenärens bostad och eventuell verksamhetslokal. 22 I en gäldenärsutredning kan ingå uppgifter från deklarationshandlingar och mer ömtåliga uppgifter om exempelvis anstaltsvistelser, arbetslöshet och sjukdomar. 23 I samband med att lagen om behandling av uppgifter i Kronofogdemyndighetens verksamhet infördes, stärktes även sekretessen i mål eller ärende angående utsökning och indrivning samt i verksamhet enligt den dåvarande lagen (1986:436) om näringsförbud 24 från ett rakt skaderekvisit, dvs. presumtion för offentlighet, till ett omvänt skaderekvisit vilket innebär presumtion för sekretess. Skälen till detta var den ökade insamlingen av uppgifter om gäldenärers tillgångar och skulder som hade inneburit att mängder av integritetskänslig information samlats hos myndigheten samt myndighetens ökade möjligheter att kartlägga gäldenärers ekonomiska förhållanden med betydligt större precision än tidigare. 25 Vi anser att det är tydligt att det även inom Kronofogdemyndighetens verksamhet förekommer uppgifter om enskildas ekonomiska
20 Exempelvis var vid utgången av 2022 antalet skuldsatta, både fysiska och juridiska personer, 461 000 varav 85 procent var privatpersoner, se Kronofogdemyndighetens årsredovisning 2022, s. 8 och 25. 21 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 186–187. 22 Prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 121. 23 SOU 2007:22, Skyddet för den personliga integriteten – kartläggning och analys, s. 132–133. 24 Lagen har upphävts och ersatts av lagen (2014:836) om näringsförbud. 25 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 185–188.
351Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
förhållanden som måste anses vara integritetskänsliga, även om inte vissa enskilda uppgifter var för sig är det. Sammantaget innefattar alltså även Kronofogdemyndighetens uppgiftssamling en stor mängd uppgifter om enskildas personliga förhållanden. Omfattningen och arten av verksamheten är enligt vår mening också vid Kronofogdemyndigheten sådan att enskilda i vissa fall kartläggs på det sätt som avses i 2 kap. 6 § andra stycket RF. Skatteverket, Tullverket och Kronofogdemyndigheten kommer genom våra förslag även att ges utökade möjligheter att behandla personuppgifter för att göra dataanalyser och urval för kontrolländamål, och för Kronofogdemyndighetens del även för att motverka överskuldsättning. Användningen av dessa verktyg förutsätter att stora mängder uppgifter som myndigheterna förfogar över och kan samla in om enskilda behandlas för att ta fram urvalsträffar. Uppgifternas karaktär varierar mellan de olika myndigheterna till följd av de olika uppdragen, vilket beskrivits ovan. Förfarandet vid dataanalyser och urval är dock sådant att uppgifterna genom sambearbetning kan komma att skapa en bild av en enskilds personliga förhållanden som är mer heltäckande än vid t.ex. handläggning av ett enskilt ärende. Det kan i sin tur enligt vår bedömning innebära att enskilda kartläggs. Även om syftet med Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling är ett annat, får den personuppgiftsbehandling som sker inom ramen för myndigheternas verksamheter enligt vår bedömning anses vara en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket RF. Frågan blir då om intrånget är att bedöma som så betydande att det omfattas av grundlagsskyddet. Det är endast vissa kvalificerade intrång som aktualiserar en tillämpning av grundlagsskyddet. Vid bedömningen av vad som kan anses utgöra ett betydande intrång anges i förarbetena att flera omständigheter bör vägas in. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av
352Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
kvaliteten i handläggningen. Därutöver kan mängden uppgifter vara en betydelsefull faktor i sammanhanget, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen. I förarbetena framgår även att sekretesslagstiftningens styrka avseende uppgifter i en viss myndighets verksamhet inte i sig bör utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller inom eller utanför det utvidgade grundlagsskyddet. Det förhållandet att de uppgifter som behandlas omfattas av stark sekretess utgör alltså inte en omständighet som med automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av grundlagsbestämmelsens tillämpningsområde. Även andra omständigheter måste beaktas, t.ex. på vilket sätt och för vilka 26 syften mottagaren av uppgifterna hanterar utlämnade uppgifter. Vidare anges i förarbetena att vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld. I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag och med tillämpning av det kvalificerade förfarandet vid inskränkningar av de grundläggande fri- och rättigheterna i 2 kap. 22 § RF. 27 I 2 kap. 22 § första stycket RF anges att ett förslag till lag enligt 20 § ska, om det inte avslås av riksdagen, på yrkande av lägst tio av dess ledamöter vila i minst tolv månader från det att det första utskottsyttrandet över förslaget anmäldes i riksdagens kammare. Riksdagen får dock anta förslaget direkt, om minst fem sjättedelar av de röstande enas om beslutet. Myndigheterna har inom ramen för sina uppdrag uppgiftssamlingar som innefattar uppgifter om stora mängder fysiska personer, även om omfattningen till viss del varierar. Myndigheternas verksamheter består till stora delar av vad som får sägas vara ingripande myndighetsutövning mot enskilda, såsom beskattning, registrering av enskildas personliga förhållanden i folkbokföringen och indrivning av skulder. Uppdragen medför även viss behandling av känsliga personuppgifter. Den tekniska utvecklingen har under senare år varit sådan att det i dag bl.a. är möjligt att på ett relativt enkelt sätt åstadkomma precisa sammanställningar av stora mängder personuppgifter.
26 Prop. 2009/10:80, En reformerad grundlag, s. 183–184. 27 Prop. 2009/10:80, En reformerad grundlag, s. 185.
353Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Med beaktande av framför allt uppgifternas karaktär, samt ändamålen med och omfattningen av behandlingen, är det vår bedömning att i vart fall delar av myndigheternas personuppgiftsbehandling innebär ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket RF.
Regeringsformens skydd mot betydande intrång i den personliga integriteten får begränsas
Som framgår ovan följer av 2 kap. 20 och 21 §§ RF att enskildas skydd mot intrång som innebär övervakning och kartläggning av den enskildes personliga förhållanden får begränsas genom lag. Begränsningar får dock endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. För att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive verksamheter är det av vikt att myndigheterna även framöver kan behandla personuppgifter automatiserat. Myndigheterna utför viktiga samhällsuppgifter. Skatteverkets uppgifter är bl.a. att fastställa och ta ut skatter och avgifter så att en riktig uppbörd kan säkerställas. Skatteverket ansvarar vidare för bl.a. frågor om folkbokföring, äktenskapsregistret och fastighetstaxering, samt att registrera bouppteckningar och vara borgenär åt staten. Tullverkets uppgifter är bl.a. att fastställa och ta ut tullavgifter, punktskatter och kontrollavgifter, samt att övervaka och kontrollera trafiken till och från Sverige, t.ex. för att se till att inga varor som kan utgöra fara för liv eller hälsa förs in i landet. Kronofogdemyndighetens huvudsakliga uppgifter är indrivning, verkställighet, betalningsföreläggande och handräckning, skuldsanering samt tillsyn i konkurs och tillsyn över rekonstruktörer. Det rör alltså uppgifter som är viktiga med hänsyn till landets ekonomiska välstånd, men även till viss del med hänsyn till förebyggande av oordning eller brott och den nationella säkerheten. 28 En begränsning av skyddet i 2 kap. 6 § andra stycket RF för ändamålen att myndigheterna även fortsättningsvis kan fullgöra sina
28 Jfr artikel 8.2 i Europakonventionen.
354Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
åligganden är enligt vår uppfattning godtagbart i ett demokratiskt samhälle. Vid en proportionalitetsbedömning ska den enskildes rätt till personlig integritet vägas mot det allmännas intresse av att genomföra en viss åtgärd. Proportionalitetsbedömningen gör sig gällande vid all personuppgiftsbehandling hos myndigheterna. De begränsningar i skyddet för enskildas personliga integritet i 2 kap. 6 § andra stycket RF som Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling kan medföra i vissa fall, är till stor del en följd av den behandling som krävs enligt materiell verksamhetsreglering i t.ex. skatteförfarandelagen (2011:1244), folkbokföringslagen (1991:481), tullagen (2016:253) eller lagen (1990:746) om betalningsföreläggande och handräckning. Den behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten bedöms vara nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina samhällsviktiga uppgifter. Den föreslagna dataskyddsregleringen tillåter inte myndigheterna att samla in eller på annat sätt behandla personuppgifter i större omfattning än vad som följer av EU:s dataskyddsförordning, vilken gäller som lag i Sverige. Vissa bestämmelser kommer snarare att inskränka möjligheterna till viss behandling, såsom sökbegränsningar. Flertalet andra föreslagna bestämmelser införs för att skydda enskildas personliga integritet. Den utökade möjligheten att behandla uppgifter för dataanalyser och urval är noggrant avvägd utifrån myndigheternas behov och bedöms vara nödvändig i myndigheternas kontrollverksamhet. I denna verksamhet föreslås också särskilda skydds- och säkerhetsåtgärder. 29 Vidare har integritetsintresset haft betydelse vid utformningen av de sekretessregler som föreslås, vilket bl.a. innefattar absolut sekretess för uppgifter om enskildas personliga eller ekonomiska förhållanden i verksamhet med dataanalyser och urval. 30 I avsnitt 19.3 finns en samlad integritets- och proportionalitetsbedömning av våra förslag. Utöver detta finns löpande redogörelser för integritetsaspekterna och proportionalitetsbedömningar avseende de olika sakfrågorna.
29 Se avsnitt 14.11. 30 Se avsnitt 15.3.
355Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Den föreslagna regleringen bedöms sammantaget vara väl avvägd och ytterligare begränsningar behövs därmed inte för att tillgodose proportionalitetskravet.
Myndigheternas behandling av personuppgifter ska regleras i nya författningar som ges lagform
Den automatiserade personuppgiftsbehandlingen vid Skatteverket, Tullverket och Kronofogdemyndigheten som omfattas av vårt uppdrag regleras för närvarande i lagar, med tillhörande förordningar. Det är viktigt att den personuppgiftsbehandling som sker i myndigheternas verksamheter utförs på ett sätt som säkerställer ett tillräckligt skydd för den personliga integriteten för de enskilda som berörs av behandling. Av nämnda skäl är det av stor vikt att det även framöver tydligt framgår hur myndigheterna får behandla personuppgifter och detta bör därför vara utgångspunkten vid utformningen av den uppdaterade regleringen för respektive myndighet. En lagreglering kan bidra till stabilitet och långsiktig förutsebarhet i fråga om myndigheternas personuppgiftsbehandling. Även om 8 kap. RF inte kräver att myndigheternas personuppgiftsbehandling regleras i lag kan det därmed finnas flera fördelar med att så görs. Vidare har vi ovan konstaterat att i vart fall delar av Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling omfattas av det grundlagsreglerade skyddet för den personliga integriteten i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna dataskyddsregleringen måste ges i lagform. Lagarna bör syfta till att åstadkomma en jämvikt mellan myndighetens behov av effektiva arbetsformer och ett omfattande skydd för enskildas personliga integritet. Enligt vår uppfattning är det ramarna för personuppgiftsbehandlingen som ska slås fast i lag. Även de bestämmelser som är av central betydelse för integritetsskyddet bör vara 31 reglerade i lag. Vi anser att det bör finnas samma antal lagar för de verksamheter vid Skatteverket, Tullverket och Kronofogdemyndigheten som i dag omfattas av särskilda lagar avseende behandling av personuppgifter.
31 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 118–119.
356Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Övergripande om innehållet i lagarna och dess systematik Vi har i avsnitt 5.2 redogjort för ett antal allmänna utgångspunkter för vad vi anser är en ändamålsenlig och modern kompletterande dataskyddsreglering. Regleringen ska enligt vår mening vara teknikneutral och innehålla en minskad detaljreglering i förhållande till de nuvarande registerlagarna. Vidare är vår utgångspunkt att lagarna inte ska innehålla bestämmelser som inte utgör regler om dataskydd. Lagarna ska alltså enbart innehålla dataskyddsregler. Detta innebär att lagarna, med undantag för den lag som reglerar SPAR, därmed inte längre kommer att utgöra en sådan typ av fullständig registerförfattning som i dag gäller för bl.a. Skatteverket, Tullverket och Kronofogdemyndigheten. Bestämmelserna i lagarna ska komplettera EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. De kommer alltså inte att vara tillämpliga i Skatteverkets och Tullverkets brottsbekämpande verksamheter. Vissa av de föreslagna bestämmelserna är sådana som enligt dataskyddsförordningen är en förutsättning för behandling, medan andra är regler som inte har någon motsvarighet i dataskyddsförordningen, t.ex. bestämmelser om utlämnande av personuppgifter i elektronisk form eller sökbegränsningar. Ytterligare andra bestämmelser utgör snarare tydliggörande av vad som gäller för myndigheternas behandling av personuppgifter i den mån vi bedömer att det är tillåtet enligt dataskyddsförordningen. Vidare behöver det också i vissa fall finnas sektorspecifika bestämmelser som enbart gäller för en av de berörda myndigheterna till följd av de olika verksamheternas karaktär, t.ex. särskilda bestämmelser om rättelse i Kronofogdemyndighetens verksamhet. Lagarna ska ta hänsyn till de övergripande syften som slås fast i EU:s dataskyddsförordning, dvs. skyddet för fysiska personer med avseende på behandlingen av personuppgifter och det fria flödet av personuppgifter. I likhet med vad som gäller enligt dagens lagstiftning bör de olika lagarna enligt vår mening följa i huvudsak samma systematik, med undantag för lagen om det statliga personadressregistret eftersom den till skillnad från övriga föreslagna lagar har viss karaktär av materiell verksamhetslagstiftning. Lagarnas systematik bör även så långt som möjligt följa den som finns i nyare dataskyddsregleringar avseende andra myndigheter, i syfte att öka enhetligheten och underlätta tillämpningen av lagarna.
357Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
6.3 Lagarnas namn
Vårt förslag: De nya lagarna ska benämnas beskattningsdatalag, folkbokföringsdatalag, lag om det statliga personadressregistret, lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, tulldatalag respektive kronofogdedatalag. Hänvisningar till motsvarande nu gällande lagar i andra författningar ska ändras till de nya lagarnas namn. Hänvisningar i andra författningar till de nuvarande särskilda databaserna ska också ändras.
Skälen för vårt förslag
Våra allmänna utgångspunkter är att lagarna ska komplettera dataskyddsförordningen och enbart innehålla bestämmelser om dataskydd. Vidare sker myndigheternas behandling av personuppgifter i dag i princip uteslutande på automatiserad väg. Detta bör avspeglas i de nya lagarnas namn. Vi anser därför att de lagar som ska vara tillämpliga i Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Skatteverkets äktenskapsregister- och bouppteckningsverksamheter, vid förandet av det statliga personadressregistret respektive i Tullverkets verksamhet och Kronofogdemyndighetens verksamhet ska benämnas på följande sätt: • beskattningsdatalag • folkbokföringsdatalag • lag om det statliga personadressregistret • lag om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter • tulldatalag • kronofogdedatalag.
Med undantag från lagen om dataskydd i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter samt lagen om det statliga personadressregistret är namnen kortare än de nuvarande register-
358Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
lagarnas namn, vilket är en fördel. Namnen passar enligt vår mening väl även ihop med den förkortning som lagen med kompletterande bestämmelser till EU:s dataskyddsförordning brukar ges, dvs. dataskyddslagen. När det gäller lagen som ska tillämpas vid behandling av personuppgifter i SPAR kommer den genom våra förslag fortsatt att innehålla vissa regler som utgör materiell verksamhetsreglering vid sidan av rena dataskyddsregler (se avsnitt 16.4.2). Vi anser därför att den lag som reglerar SPAR fortsatt bör benämnas lagen om det statliga personadressregistret. Alla hänvisningar till motsvarande lagar som gäller i dag som finns i andra författningar ska ändras till de nya lagarnas namn. I avsnitt 9.4.2 föreslår vi att den nuvarande databasregleringen ska upphävas och inte ersättas av bestämmelser av motsvarande innebörd i de nya lagarna. Det innebär att även hänvisningar i andra författningar till de särskilda databaserna ska ändras.
6.4 Gällande förordningar ska upphävas
och ersättas av nya
Vårt förslag: De nuvarande förordningarna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter ska upphävas och ersättas av nya förordningar som kompletterar de föreslagna lagarna. Det finns i vissa fall behov av bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som kompletterar bestämmelser i de nya lagarna. Sådana bestämmelser ska därför införas i lag där det bedöms finnas ett behov av det. I de nya förordningarna ska det tas in en bestämmelse som bemyndigar respektive myndighet att meddela föreskrifter om verkställigheten av de nya lagarna och förordningarna.
Vår bedömning: Någon generell upplysningsbestämmelse om regeringens normgivningskompetens behöver inte tas in i de nya lagarna.
359Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Skälen för vårt förslag och vår bedömning
Gällande förordningar bör upphävas och ersättas av nya
Mot bakgrund av att vi föreslår att de nu gällande registerlagarna för Skatteverket, Tullverket och Kronofogdemyndigheten ska upphöra att gälla, föreslår vi även att de förordningar 32 som i dag kompletterar gällande registerlagar ska upphävas. Särskilda motiveringar i fråga om SPAR och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter finns i avsnitten 16.4.2 och 17.4.10. Vi har i avsnitt 6.2 bedömt att myndigheternas behandling av personuppgifter fortsatt ska regleras i lag. På detta sätt åstadkoms ett fortsatt starkt integritetsskydd för uppgifter om enskilda. Mot bakgrund av vad som anges i avsnitt 6.2 bedömer vi att det även finns utrymme att i viss utsträckning reglera myndigheternas personuppgiftsbehandling på annan normgivningsnivå, framför allt förordning och föreskrifter. Detta är en fördel då vi anser att de nya lagarna inte bör tyngas med alltför detaljerade bestämmelser. Lagregleringen avseende Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling bör mot denna bakgrund kompletteras med bestämmelser som meddelas genom förordning med stöd av 8 kap. 7 § RF, dvs. regeringens restkompetens. De föreskrifter som regeringen meddelar får dock inte innebära ett betydande intrång i den personliga integriteten (jfr 2 kap. 6 § andra stycket och 20 § RF).
Upplysningsbestämmelser om rätt att meddela föreskrifter
Mot bakgrund av att det följer av regleringen i 8 kap. RF att kompletterande bestämmelser kan finnas i förordning, bedömer vi att det inte finns något behov av att ta in en generell upplysningsbestämmelse om regeringens normgivningskompetens i lagarna. 33
32 Förordningen (1998:1234) om det statliga personadressregistret, förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet och förordningen (2015:905) om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. 33 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 119.
360Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
Detta utesluter dock inte att det avseende vissa bestämmelser i lagarna av tydlighetsskäl kan finnas ett behov av att upplysa om regeringens eller myndigheters rätt att med stöd av 8 kap. 7 § RF meddela vissa föreskrifter som kompletterar bestämmelser i de nya lagarna. Så är t.ex. fallet avseende de föreslagna bestämmelserna i lag som reglerar den längsta tid som personuppgifter får behandlas. En sådan information kan vara särskilt angelägen om en tillämpare får en felaktig uppfattning genom att bara läsa lagbestämmelserna i ämnet och det därigenom riskeras att bestämmelserna tillämpas fel. 34 Vidare framgår av en dom från Högsta förvaltningsdomstolen att i vissa fall kan en upplysningsbestämmelse sägas ha en materiell funktion, eftersom regeringen utan en sådan bestämmelse kan vara förhindrad att med stöd av restkompetensen meddela föreskrifter i fall då riksdagen har lagstiftat på området för regeringens restkompetens. Genom bestämmelsens avgränsning tydliggörs i vad mån regeringen kan använda sig av restkompetensen på området (HFD 2023 ref. 2). Vi föreslår mot denna bakgrund att sådana upplysningsbestämmelser tas in i lagarna där det bedöms finnas ett behov av det.
Bemyndigande till myndigheterna att meddela verkställighetsföreskrifter
I 8 kap. 11 § RF anges bl.a. att regeringen får bemyndiga en myndighet under regeringen eller någon av riksdagens myndigheter att meddela föreskrifter enligt 8 kap. 7 § RF. Det innebär att regeringen kan överlåta den normgivningskompetens som regeringen har enligt 8 kap. 7 § RF, dvs. att meddela föreskrifter om verkställighet av lag (s.k. verkställighetsföreskrifter) samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen (den s.k. restkompetensen). Med verkställighetsföreskrifter avses tillämpningsföreskrifter av rent administrativ karaktär och föreskrifter som i viss utsträckning i materiellt hänseende ”fyller ut” en lag under förutsättning att regleringen inte tillförs något väsentligt nytt. Verkställighetsföreskrifter får alltså inte innebära ett nytt åliggande för enskilda eller något som kan betraktas som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden. 35
34 Ds 2014:1, Gröna boken – Riktlinjer för författningsskrivning, s. 90. 35 Prop. 1973:90, Kungl. Maj:ts proposition med förslag till ny regeringsform och ny riksdagsordning m.m., s. 211.
361Nya lagar om dataskydd vid Skatteverket, Tullverket och Kronofogdemyndigheten
I de nuvarande registerförordningarna för Skatteverket, Tullverket och Kronofogdemyndigheten finns bestämmelser som innebär att regeringen har bemyndigat respektive myndighet att meddela föreskrifter om verkställighet av bestämmelserna i de gällande registerlagarna och tillhörande förordningarna, dvs. verkställighetsföreskrifter. 36 Föreskriftsrätten har endast i begränsad omfattning utnyttjats 37 av myndigheterna. Vi bedömer att det inte kan uteslutas att det kan uppstå ett behov för myndigheterna att meddela föreskrifter avseende verkställigheten av de nya lagarna och förordningarna. Det har inte heller kommit fram några särskilda skäl mot att ha ett sådant bemyndigande i de nya förordningarna i likhet med vad som gäller enligt de nuvarande registerförordningarna. Mot denna bakgrund anser vi att det i de nya förordningarna ska tas in en bestämmelse som bemyndigar respektive myndighet att meddela föreskrifter om verkställigheten av de nya lagarna och förordningarna. I avsnitten 16.4.9 och 17.4.10 finns särskilda motiveringar i fråga om behovet av att ha bemyndiganden som ger Skatteverket rätt att meddela föreskrifter i den föreslagna regleringen av SPAR och äktenskapsregister- och bouppteckningsverksamheterna.
36 Se 17 § andra stycket förordningen om det statliga personadressregistret, 24 § förordningen om behandling av uppgifter i Skatteverkets beskattningsverksamhet, 19 § förordningen om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, 20 § förordningen om behandling av uppgifter i Kronofogdemyndighetens verksamhet, 10 § förordningen om behandling av uppgifter i Tullverkets verksamhet och 5 § förordningen om behandling av personuppgifter i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter. 37 Se t.ex. föreskrifter (TFS 2021:5) om ändring i Tullverkets föreskrifter (TFS 2016:21) om tjänsten Mina sidor och enskilds direktåtkomst till uppgifter om sig själv i tulldatabasen.
3637 Allmänna bestämmelser
om personuppgiftsbehandling
7.1 Inledning
I detta kapitel redovisar vi våra förslag till de allmänna bestämmelser om personuppgiftsbehandling vi anser ska gälla i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter. I kapitlet finns förslag om att det ska införas bestämmelser i de nya lagarna om respektive lags syfte, tillämpningsområden och förhållande till annan reglering. Vi gör bl.a. bedömningen att uppgifter om juridiska personer och avlidna, med vissa undantag för Kronofogdemyndigheten, inte ska omfattas av de nya lagarnas tillämpningsområden. Vi föreslår också att de nya lagarna i Skatteverkets beskattningsverksamhet och i Tullverkets samt Kronofogdemyndighetens verksamheter inte ska gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. I fråga om de nya lagarnas materiella tillämpningsområden anser vi att dessa inte bör skilja sig från vad som gäller enligt de nuvarande registerlagarna, med undantag för viss verksamhet hänförlig till Skatteverkets folkbokföringsverksamhet som utförs av passmyndigheterna. Vidare föreslås i kapitlet reglering av personuppgiftsansvar, tillgången till personuppgifter och enskildas rättigheter. Viss reglering föreslås införas i lag och annan reglering i förordning. Frågor om liknande bestämmelser som behandlas i detta kapitel avseende det statliga personadressregistret (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas separat i avsnitten 16.4 och 17.4.
364Allmänna bestämmelser om personuppgiftsbehandling
7.2 Lagarnas syfte
Vårt förslag: Syftet med beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska vara att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
Skälen för vårt förslag
Sedan den 25 maj 2018 utgör EU:s dataskyddsförordning 1 den primära generella rättskällan avseende personuppgiftsbehandling inom EU. De kompletteringar till och undantag från dataskyddsförordningen som ansetts behövliga på ett generellt plan finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. I artikel 1.1 i dataskyddsförordningen framgår förordningens syfte, vilket är tvådelat. Artikeln föreskriver att i förordningen fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. Bestämmelser om en lags syfte finns i vissa moderna registerförfattningar (se t.ex. 1 § domstolsdatalagen [2015:728], 1 § utlänningsdatalagen [2016:27], 1 § vägtrafikdatalagen [2019:369] och 1 § brottsdatalagen [2018:1177]). I ytterligare andra nyare registerförfattningar har lagstiftaren dock valt att inte införa bestämmelser om en lags syfte (se t.ex. lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter och lagen [2023:457] om behandling av personuppgifter vid Utbetalningsmyndigheten). Syftesbestämmelser saknar visserligen eget materiellt innehåll, men kan enligt vår mening ändå fylla en viktig funktion, eftersom de ger vägledning angående hur de materiella bestämmelserna i en författning ska tolkas. När det gäller just sektorspecifik dataskyddsreglering är syftet dessutom i regel tvådelat. Dessa författningar syftar dels till att möjliggöra en ändamålsenlig personuppgiftsbehandling vid en myndighet eller annat organ, dels till att skydda enskilda mot integ-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
365Allmänna bestämmelser om personuppgiftsbehandling
ritetsintrång. En syftesbestämmelse kan att på ett tydligt sätt klargöra ett sådant dubbelt syfte. 2 Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets och Kronofogdemyndighetens verksamheter medför ett behov av i vissa fall omfattande behandling av personuppgifter, även känslig sådan. En sådan hantering kan innebära en risk för intrång i den personliga integriteten. Vid utformningen av lagarna måste en väl avvägd balans hittas mellan å ena sidan enskildas rätt till skydd av personuppgifter och å andra sidan samhällets rättmätiga krav på att berörda myndigheters verksamheter kan bedrivas på ett effektivt och välordnat sätt. 3 Våra förslag till nya lagar syftar till att möjliggöra en ändamålsenlig personuppgiftsbehandling vid berörda myndigheter. Ett av lagarnas syften är alltså att säkerställa att myndigheterna har de rättsliga förutsättningarna för att kunna utföra nödvändig personuppgiftsbehandling inom ramen för sina respektive verksamheter. De nya lagarna syftar även till att skydda fysiska personer mot att deras personliga integritet kränks vid myndigheternas behandling av personuppgifter. För att på ett tydligt sätt klargöra lagarnas tvådelade syften anser vi att lagarna ska innehålla en syftesbestämmelse. Bestämmelserna ska formuleras som att syftet med respektive lag är att ge myndigheterna möjlighet att behandla personuppgifter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.
7.3 Definitioner
Vår bedömning: Det bör inte införas några särskilda bestämmelser om definitioner i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen eller kronofogdedatalagen.
Vårt förslag: Det ska i beskattningsdataförordningen, folkbokföringsdataförordningen, tulldataförordningen och kronofogdedataförordningen finnas en bestämmelse som anger att ord och uttryck i respektive förordning har samma betydelse som i de tillhörande lagarna.
2 Jfr prop. 2014/15:148, Domstolsdatalag, s. 29. 3 Jfr prop. 2015/16:65, Utlänningsdatalag, s. 38 och prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 62.
366Allmänna bestämmelser om personuppgiftsbehandling
Skälen för vår bedömning och vårt förslag
Definitioner bör inte regleras i lag
Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), innehåller i dag i 1 kap. 1 a § en bestämmelse som anger att termer och uttryck som används i den lagen har samma innebörd som i inkomstskattelagen (1999:1229). Av förarbetena framgår att genom införandet av bestämmelsen klargörs att lagens termer och uttryck har samma betydelse och tillämp- 4 ningsområde som de har i inkomstskattelagen. Förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF), förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF), förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF) och förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), innehåller bestämmelser där det anges att termer och uttryck i förordningarna har samma betydelse, respektive innebörd, och tillämpningsområde som i tillhörande lagar. Den bestämmelse om definitioner som i dag finns i skattedatabaslagen utgör endast klargöranden och fyller därför inte något egentligt behov i lagen. Den nuvarande definitionsbestämmelsen, vilken hänvisar till en annan lag som inte har koppling till registerförfattningarna, bör inte heller kunna anses vara komplett bl.a. mot bakgrund av att vissa termer och uttryck i den nuvarande skattedatabaslagen härrör från t.ex. EU-rätten och inte inkomstskattelagen. Utöver detta innehåller bestämmelserna i den föreslagna beskattningsdatalagen mindre detaljerade bestämmelser och därmed också färre begrepp från den materiella verksamhetsregleringen jämfört med den nu gällande skattedatabaslagen. Mot denna bakgrund gör vi bedömningen att det inte bör införas en bestämmelse som motsvarar 1 kap. 1 a § SdbL i den nya beskattningsdatalagen. Avsikten är dock även fortsättningsvis att beskattningsdatalagens termer och uttryck har samma betydelse och tillämpningsområde som de har i inkomstskattelagen.
4 Prop. 2001/02:46, Ändringar i de särskilda skattereglerna för vissa andelsägare i fåmansföretag, m.m., s. 66 och 83.
367Allmänna bestämmelser om personuppgiftsbehandling
Av motsvarande skäl som nu har anförts avseende Skatteverkets beskattningsverksamhet bör bestämmelser om definitioner inte heller föras in i folkbokföringsdatalagen, tulldatalagen eller kronofogdedatalagen.
En tydliggörande bestämmelse i de nya förordningarna
Även de bestämmelser om definitioner som i dag finns i databasförordningarna får mot bakgrund av deras utformning anses utgöra klargörande bestämmelser. Det är enligt vår mening lämpligt att tydliggöra att begreppsanvändningen i de föreslagna lagarna och tillhörande förordningarna hänger samman med varandra och att de därmed ska tolkas och tillämpas på samma sätt. Som en jämförelse finns även liknande bestämmelser i t.ex. 2 § brottsdataförordningen (2018:1202) och 1 kap. 2 § skatteförfarandeförordningen (2011:1261). Vi föreslår mot denna bakgrund att det i de nya förordningarna ska finnas en bestämmelse som anger att ord och uttryck i respektive förordning har samma betydelse som i de tillhörande lagarna.
7.4 Lagarnas tillämpningsområden
7.4.1 Lagarnas allmänna tillämpningsområden
Vårt förslag: Beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska endast gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Vår bedömning: Lagarna bör inte omfatta behandling av personuppgifter i administrativ verksamhet.
Skälen för vårt förslag och vår bedömning
I dag omfattar skattedatabaslagen, lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen
368Allmänna bestämmelser om personuppgiftsbehandling
(2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), behandling av personuppgifter, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 5 När de nuvarande registerförfattningarna infördes gällde personuppgiftslagen (1998:204), PUL. Personuppgiftslagen omfattade behandling av personuppgifter som var helt eller delvis automatiserad. Lagen omfattade även annan behandling av personuppgifter, om uppgifterna ingick i eller var avsedda att ingå i en strukturerad samling av personuppgifter som var tillgängliga för sökning eller sammanställ- 6 ning enligt särskilda kriterier. I förarbetena till de nu gällande registerförfattningarna anförde regeringen att även speciallagstiftningen skulle ha samma tillämpningsområde som personuppgiftslagen. 7 I artikel 2.1 i dataskyddsförordningen anges att förordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Register definieras i dataskyddsförordningen som en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). I artikel 2.2 i dataskyddsförordningen anges att förordningen inte ska tillämpas vid viss behandling av personuppgifter, exempelvis sådan behandling som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Eftersom inget av de undantag som anges i artikel 2.2 i dataskyddsförordningen är tillämpligt på Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av personuppgifter i de verksamheter som här är aktuella, omfattas behandlingen av dataskyddsförordningens tillämpningsområde. Dataskyddsförordningen hindrar dock inte att medlemsstaterna fritt bestämmer tillämpningsområdet för den nationella dataskyddslagstiftningen. Det innebär att den nationella sektorspecifika lagstiftningen för den verksamhet som regleras kan ha ett vidare eller snävare tillämpningsområde än data-
5 1 kap. 1 § SdbL, 1 kap. 1 § FdbL, 1 kap. 1 § TDL och 1 kap. 1 § KFMdbL. 6 5 § PUL. 7 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86.
369Allmänna bestämmelser om personuppgiftsbehandling
skyddsförordningen och t.ex. omfatta sådan manuell behandling av personuppgifter som inte omfattas av dataskyddsförordningen. 8 Vi anser att beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen endast ska gälla vid helt eller delvis automatiserad behandling av personuppgifter eller om personuppgifterna ingår i eller kommer att ingå i ett register. Detta bör komma till uttryck i de nya lagarna. Det innebär att tillämpningsområdena på ett tydligt sätt ansluter till dataskyddsförordningens bestämmelser. Med begreppen i den föreslagna lydelsen avses detsamma som i dataskyddsförordningen. Bestämmelserna kommer genom vårt förslag att innehålla begreppet ”register”, i stället för ”en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier”. Någon skillnad i sak är dock inte avsedd. Nu föreslagen formulering har även använts i andra modernare registerförfattningar (se t.ex. 1 kap. 2 § andra stycket vägtrafikdatalagen och 1 kap. 2 § andra stycket lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Förslaget innebär att behandling som inte kommer att omfattas av lagarnas tillämpningsområden t.ex. är minnes- 9 anteckningar som enbart förs på papper. Berörda myndigheter utför viss behandling av personuppgifter även vid löpande administration, t.ex. hantering av uppgifter om personal, arbetssökande, uppdragstagare eller leverantörer. Med personuppgiftsbehandling för sådana rent administrativa ändamål menas alltså sådan behandling som inte har något samband med ett enskilt ärende eller annan sådan materiell verksamhet som avses i avsnitten 7.4.5–7.4.8 nedan. I dag innehåller de sektorspecifika registerförfattningarna ingen särreglering av sådan behandling. I stället var avsikten vid författningarnas införande att personuppgiftslagen skulle tillämpas på den administrativa delen av myndigheternas verksamheter. 10 Vi anser att det inte heller i dag finns någon anledning att låta de föreslagna lagarna omfatta sådan behandling av personuppgifter som sker i myndigheternas löpande administrativa verksamhet. Behand-
8 Jfr prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 63–64. 9 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 120. 10 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 87 och 103–104.
370Allmänna bestämmelser om personuppgiftsbehandling
lingen kan i stället grundas direkt på dataskyddsförordningen och dataskyddslagen och omfattas därför inte av de föreslagna lagarna. 11
7.4.2 Uppgifter om juridiska personer
Vår bedömning: Regleringen i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen bör, med vissa undantag i kronofogdedatalagen, inte omfatta behandling av uppgifter om juridiska personer.
Skälen för vår bedömning
Dataskyddsförordningen och dataskyddslagen reglerar behandling av personuppgifter. I dataskyddsförordningen definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person. Med identifierbar fysisk person avses en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1). Av skäl 14 till dataskyddsförordningen framgår att förordningen inte omfattar behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter. Uppgifter om juridiska personer utgör alltså inte personuppgifter enligt dataskyddsförordningen. I dag omfattar vissa av bestämmelserna i skattedatabaslagen, tulldatabaslagen och kronofogdedatabaslagen behandling av uppgifter om 12 juridiska personer. Även de registerförfattningar som föregick dagens reglering omfattade registrering och användning av uppgifter om juridiska personer. 13 I förarbetena till befintliga bestämmelser anförde
11 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 60–61 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 120. 12 1 kap. 1 § andra stycket SdbL, 1 kap. 1 § andra stycket TDL och 1 kap. 1 § andra stycket KFMdbL. 13 Se t.ex. skatteregisterlagen (1980:343), utsökningsregisterlagen (1986:617) och tullregisterlagen (1990:317).
371Allmänna bestämmelser om personuppgiftsbehandling
regeringen bl.a. följande skäl för varför vissa av bestämmelserna i de nu gällande lagarna skulle omfatta behandling av sådana uppgifter. 14
Personuppgiftslagen reglerar endast behandling av personuppgifter, dvs. uppgifter om fysiska personer som är i livet. För dataregister eller andra systematiserade uppgiftssamlingar som endast innehåller uppgifter om juridiska personer finns det alltså ingen motsvarande generell reglering av behandlingen. I beskattnings-, utsöknings- och tullverksamheten måste uppgifter om såväl juridiska som fysiska personer behandlas.
[…]
Genom den ökade användningen av elektroniska akter och elektroniska dokument kommer det att i många fall bli svårt att skilja uppgifter om juridiska personer från uppgifter om deras delägare eller ställföreträdare. I ett ärende rörande juridiska personer kan ingå uppgifter om delägare, styrelseledamöter, m.fl. Detta medför att framför allt elektroniska handlingar som rör juridiska personer måste behandlas på samma sätt som de som rör fysiska personer. Även de föreslagna bestämmelserna om gallring bör gälla såväl fysiska som juridiska personer. Gemensamma bestämmelser om gallring innebär att systemet blir enklare. Även om flertalet uppgifter omfattas av sekretess bör möjligheten att lämna ut uppgifter om juridiska personer automatiserat regleras på samma sätt som uppgifter om fysiska personer. Sekretesslagens regler medför vidare att det behövs särskilda regler för att en skattemyndighet skall få ha direktåtkomst till uppgifter om juridiska personer som beskattas i en annan region. Enligt regeringens mening talar övervägande skäl för att de nya lagarnas bestämmelser om ändamål, innehåll, åtkomst och gallring liksom i dag bör omfatta juridiska personer.
Viss dataskyddsreglering tillämpas även i andra sammanhang på uppgifter om juridiska personer, exempelvis inom brottsdatalagens område. 15 Annan nyare dataskyddsreglering omfattar inte uppgifter om juridiska personer (se t.ex. 2 § domstolsdatalagen). 16 I den utredning som föregick den nya lagen om behandling av personuppgifter vid Utbetalningsmyndigheten föreslogs att vissa bestämmelser skulle gälla även vid myndighetens behandling av uppgifter om juridiska perso- 17 ner. I den efterföljande propositionen ansåg dock regeringen att det
14 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87. 15 Se t.ex. brottsdatalagen, lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område, lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 16 Se även Ds 2013:10, Domstolsdatalag, s. 51–52. 17 SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 348–349.
372Allmänna bestämmelser om personuppgiftsbehandling
för dessa personer inte fanns några motsvarande skyddsskäl eller andra skäl att införa liknande begränsningar som föreslogs för uppgifter om avlidna. Något sådant förslag lämnades därför inte. 18 Den lag om behandling av personuppgifter vid Utbetalningsmyndigheten som sedan kom att införas omfattar inte heller behandling av uppgifter om juridiska personer. Vid den översyn som skedde av aktuella registerförfattningar med anledning av EU:s dataskyddsförordning konstaterade regeringen att den omständigheten att författningarna i vissa angivna avseenden omfattar även juridiska personer inte medför att dataskyddsförordningens bestämmelser blir tillämpliga avseende dessa. 19 Den nu gällande nationella regleringen går i dessa avseenden således längre än dataskyddsförordningen, och även dataskyddslagen. I såväl Skatteverkets som Tullverkets och Kronofogdemyndighetens verksamheter förekommer uppgifter om ett stort antal juridiska personer. Till följd av att begreppet personuppgifter definieras brett i dataskyddsförordningen utgör i vissa fall uppgifter om juridiska personer direkta eller indirekta personuppgifter som skyddas av den allmänna dataskyddsregleringen och sektorspecifik registerlagstiftning. Det kan t.ex. handla om uppgifter om firmatecknare, firmanamn eller organisationsnummer i en enskild näringsverksamhet som består av den enskilda näringsidkarens personnummer. De uppgifter som förekommer avseende dessa och som skulle kunna utgöra direkta eller indirekta personuppgifter är redan skyddade av lagstiftningen genom att de utgör personuppgifter. Vidare är det allmänt sett inte lika angeläget att skydda uppgifter om juridiska personer som uppgifter om fysiska personer. 20 I det fall det finns ett indirekt skyddsbehov för uppgifter om juridiska personer, har detta sin grund i intresset av integritetsskydd för fysiska personer. Det skyddsbehov som finns för aktuella uppgifter vid berörda myndigheter bör alltså anses vara tillgodosett genom regleringen i de föreslagna lagarna, dataskyddsförordningen och dataskyddslagen. Enligt vår mening talar dessa omständigheter för att det inte finns tillräckliga skäl att avvika från vad som gäller enligt dataskyddsförordningen genom att låta de nya lagarnas tillämpningsområden omfatta uppgifter om juridiska personer.
18 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 121. 19 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 38. 20 Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 113.
373Allmänna bestämmelser om personuppgiftsbehandling
Vid en sammantagen bedömning anser vi att de skäl som tidigare anförts för att registerförfattningarnas tillämpningsområden ska omfatta även uppgifter om juridiska personer inte är tillräckliga för att även låta de nya lagarna generellt sett omfatta sådana uppgifter. Däremot föreslår vi att en del av den i dag gällande särskilda bestämmelsen om rättelse m.m. i 3 kap. 3 a § KFMdbL ska införas i den nya kronofogdedatalagen och då även vara tillämplig på uppgifter om juridiska personer. Närmare motivering av skälen för dessa förslag finns i avsnitten 7.4.8 och 7.8.3. Att de föreslagna lagarna som utgångspunkt inte ska omfatta uppgifter om juridiska personer innebär dock inte att Skatteverket, Tullverket och Kronofogdemyndigheten måste behandla sådana uppgifter på ett annat sätt än personuppgifter. Det kan även i vissa fall vara enklare för myndigheterna att inte särskilja behandling av uppgifter om fysiska och juridiska personer för att säkerställa att de indirekta personuppgifter som kan förekomma får det skydd som krävs enligt gällande dataskyddsreglering. Det förhållandet att det är svårt att skilja sådana personuppgifter som förekommer i elektroniska handlingar åt från rena uppgifter om juridiska personer anser vi dock inte i sig är ett starkt skäl för att låta de föreslagna lagarna omfatta uppgifter om juridiska personer. 21 Det kan också finnas annan reglering som ställer krav på myndigheterna att t.ex. rätta felaktiga uppgifter om juridiska personer (jfr 36 § förvaltningslagen [2017:900], FL). I ett mål har Högsta förvaltningsdomstolen slagit fast att det förhållandet att kronofogdedatabaslagen saknade bestämmelser om rättelse av felaktiga uppgifter såvitt avsåg juridiska personer inte rimligen kunde innebära att en juridisk person skulle kunna vägras att få en sådan uppgift rättad (RÅ 2004 ref. 104). Att författningarnas tillämpningsområden inte längre omfattar juridiska personer föranleder vidare vissa andra konsekvenser, bl.a. i fråga om behov av följdändringar i annan lagstiftning. I dag finns bestämmelser om uppgiftsskyldigheter i registerförfattningarna som kan påverkas av att de nya författningarna inte föreslås omfatta uppgifter om juridiska personer. Av bl.a. detta skäl föreslår vi i avsnitt 13.4.3 att bestämmelser om Skatteverkets, Tullverkets och Kronofogdemyndighetens uppgiftsskyldigheter som i dag finns i registerförfattningarna i stället ska föras in i nya förordningar. Vidare får våra för-
21 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87.
374Allmänna bestämmelser om personuppgiftsbehandling
slag avseende tillämpningsområdena i de nya lagarna i denna del vissa konsekvenser för sekretessregler i offentlighets- och sekretesslagen (2009:400), OSL. Dessa konsekvenser hanteras i avsnitt 15.5.3. Våra förslag innebär också att uppgifter om juridiska personer kan anses få ett försämrat skydd. Som framgår ovan är det dock generellt sett inte lika angeläget att skydda rena uppgifter om juridiska personer.
7.4.3 Uppgifter om avlidna personer
Vår bedömning: Regleringen i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen bör inte omfatta behandling av uppgifter om avlidna personer.
Skälen för vår bedömning
Dataskyddsförordningen och dataskyddslagen reglerar behandling av personuppgifter. Av skäl 27 till dataskyddsförordningen framgår att förordningen inte gäller behandling av personuppgifter rörande avlidna personer. Medlemsstaterna får dock fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer. Det finns alltså inget hinder mot att de nya lagarna i tillämpliga delar även omfattar uppgifter om avlidna. I dag gäller vissa av bestämmelserna i skattedatabaslagen, folkbokföringsdatabaslagen och kronofogdedatabaslagen även vid behandling av uppgifter om avlidna. 22 I förarbetena till de nu gällande författningarna saknas närmare motivering till varför uppgifter om avlidna personer omfattas av tillämpningsområdet för vissa delar av dessa lagar. Det som anges är att regeringen ansåg att lagarnas bestämmelser om ändamål, innehåll, åtkomst och gallring även skulle omfatta 23 uppgifter om avlidna personer. Det finns även annan, mer modern, registerlagstiftning vars tillämpningsområden omfattar uppgifter om avlidna (se t.ex. 114 kap. 2 § tredje stycket socialförsäkringsbalken [SFB], 1 kap. 1 § andra stycket patientdatalagen [2008:355], 1 kap. 7 § lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 2 § tredje
22 1 kap. 1 § andra stycket SdbL, 1 kap. 1 § tredje stycket FdbL och 1 kap. 1 § andra stycket KFMdbL. 23 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 86–87.
375Allmänna bestämmelser om personuppgiftsbehandling
stycket lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Av förarbetena till Rättsmedicinalverkets registerförfattning framgår att det vid myndigheten förekommer uppgifter om avlidna i relativt stor utsträckning och att det då ofta rör sig om uppgifter som är särskilt känsliga, t.ex. uppgifter om personer som utsatts för grov brottslighet. Vidare förekommer uppgifter om enskildas psykiska och fysiska hälsa som det kan vara betydelsefullt för efterlevande att skydda. Regeringen anförde vidare att den omständigheten att lagen gäller även för uppgifter om avlidna bidrar till att upprätthålla den frid som bör tillkomma en avliden person. 24 Motsvarande skäl har angetts i förarbetena till patientdatalagen. 25 Även i förarbetena till regleringen i socialförsäkringsbalken motiveras den av den mängd uppgifter hänförliga till avlidna som förekommer i databasen. 26 När det gäller Utbetalningsmyndigheten omfattar vissa bestämmelser i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten uppgifter om avlidna. I förarbetena till regleringen konstaterade regeringen att Utbetalningsmyndigheten kan komma att behandla uppgifter om avlidna. Regeringen ansåg också att även om behandling av uppgifter om avlidna inte omfattas av dataskyddsförordningens tillämpningsområde fanns det skäl att i viss utsträckning skydda behandlingen av sådana uppgifter. 27 Annan nyare registerlagstiftning omfattar inte uppgifter om avlidna (se t.ex. domstolsdatalagen). 28 Såvitt framkommit är mängden uppgifter som rör avlidna inte av någon större omfattning inom ramen för Kronofogdemyndighetens verksamhet. De uppgifter om avlidna som behandlas rör främst dödsbon som har skulder. När det gäller Skatteverket förekommer uppgifterna främst inom ramen för folkbokföringsverksamheten och verksamhet som avser bouppteckningar, men de finns även i beskattningsverksamheten. Exempelvis registrerar Skatteverket dödsfall i folkbokföringen och om den avlidne var gift vid dödsfallet ska äktenskapet registreras som upplöst och den efterlevande makens civilstånd ändras till änka eller änkling. Skatteverket utfärdar också intyg för
24 Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 32. 25 Prop. 2007/08:126, Patientdatalag m.m., s. 52. 26 Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 45. 27 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 120. 28 Se även Ds 2013:10, Domstolsdatalag, s. 53–54.
376Allmänna bestämmelser om personuppgiftsbehandling
gravsättning och kremering samt bevakar att tiden för gravsättning och kremering hålls. Antalet uppgifter om avlidna är stort inom folkbokföringsverksamheten och uppgifterna ska även som utgångspunkt 29 bevaras. Frågan om uppgifter om avlidna ska omfattas av sektorspecifik dataskyddsreglering i Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas särskilt i avsnitt 17.4.3. Det kan undantagsvis inträffa att en person som förekommer t.ex. i ett ärende vid Skatteverket, Tullverket eller Kronofogdemyndigheten avlider under handläggningen av ärendet. Även i andra situationer kan det förekomma att uppgifter om avlidna behöver behandlas. De uppgifter om avlidna som kan förekomma vid nu aktuella verksamheter är i regel inte av samma känsliga natur som t.ex. vid Rättsmedicinalverket, inom vården eller vid Försäkringskassan. Inom beskattningsverksamheten samt Tullverkets och Kronofogdemyndighetens verksamheter rör det sig inte heller om lika stora mängder uppgifter om avlidna. Vidare har inte avlidna samma behov av integritetsskydd som levande fysiska personer. 30 Det finns enligt vår uppfattning ett stort värde i att de uppgifter som ska omfattas av de nya lagarna i så hög grad som möjligt ansluter sig till vad som gäller enligt dataskyddsförordningen. Alla bestämmelser i de nya lagarna kan inte heller tillämpas på uppgifter om avlidna, t.ex. bestämmelser om enskildas rättigheter. Att mängden uppgifter om avlidna som behandlas inom Skatteverkets folkbokföringsverksamhet är stor föranleder inte någon annan bedömning av behovet av ett utökat skydd för uppgifterna mot bakgrund av att uppgifternas art inte kan sägas vara av sådan känslig natur i jämförelse med vissa andra myndigheters verksamheter som redogörs för ovan vilka omfattas av ett sådant utökat skydd. Vidare omfattas inte uppgifter om avlidna av dataskyddsförordningens reglering avseende känsliga personuppgifter i artikel 9. Mot den angivna bakgrunden anser vi att det inte finns tillräckligt starka skäl att låta beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen eller kronofogdedatalagen omfatta behandling av uppgifter om avlidna personer. Det innebär dock inte att Skatteverket, Tullverket och Kronofogdemyndigheten måste behandla uppgifter om avlidna annorlunda än personuppgifter.
29 Jfr RA-MS 2018:38, Föreskrifter om gallring i folkbokföringsverksamheten hos Skatteverket. 30 Se t.ex. prop. 2018/19:33, Behandling av personuppgifter samt registrering och användning av fordon på vägtrafikområdet, s. 67.
377Allmänna bestämmelser om personuppgiftsbehandling
Att de nya lagarnas tillämpningsområden inte ska omfatta uppgifter om avlidna personer föranleder vissa skillnader i förhållande till vad som gäller i Skatteverkets och Kronofogdemyndighetens verksamheter i dag. Exempelvis kommer det inte finnas några särskilda krav på för vilka ändamål uppgifterna får behandlas eller en reglering av under hur lång tid uppgifter om avlidna får behandlas. En viss del av sådana uppgifter som finns i allmänna handlingar kommer dock med största sannolikhet omfattas av särskilda föreskrifter om gallring utfärdade av Riksarkivet, även om sådana föreskrifter inte avser att skydda enskildas integritet (jfr avsnitt 12.4.2). Utöver detta kommer inte heller några särskilda sökbegränsningar att gälla för aktuella uppgifter. De föreslagna sökbegränsningarna gäller dock så snart det rör en upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras. 31 Vår bedömning innebär inte att uppgifterna helt kommer att sakna skydd eftersom sekretessreglering som omfattar uppgifter om enskildas personliga och ekonomiska förhållanden även kan tillämpas på uppgifter om avlidna under vissa förutsättningar. Vid tidpunkten för införandet av den tidigare gällande sekretesslagen (1980:100) uttalades i förarbetena att det för bedömningen av sekretessfrågan i princip saknar betydelse att den vars personliga förhållanden berörs i allmän handling har avlidit. Vidare uttalades att med hänsyn till att avlidens rätt skyddas genom regler i brottsbalken och tryckfrihetsförordningen (TF) om förtal av avliden borde det inte vara uteslutet 32 att sekretesskyddet gällde också till förmån för den avlidne själv. Högsta förvaltningsdomstolen (HFD) har i ett mål ansett att karaktären på skattesekretessen för uppgifter i deklarationer som lämnats av en avliden person i vart fall borde innebära att det krävs att de personer som är delägare i dödsboet efter den avlidne medgav utlämnande. I målet fanns inga sådana medgivanden, varför de begärda deklarationerna inte lämnades ut (RÅ 85 2:62). I ett annat mål prövade HFD om sekretess gällde gentemot avliden persons moder för vissa uppgifter i socialtjänstens journal rörande den avlidne. I målet uttalade HFD bl.a. att det knappast låter sig göra att anse att en avliden person lider men, men att sekretess bör kunna gälla om uppgiften kan anses kränka den frid som bör tillkomma den avlidne, t.ex. för
31 Artikel 4.1 i dataskyddsförordningen. 32 Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A, s. 84–85.
378Allmänna bestämmelser om personuppgiftsbehandling
integritetskänsliga uppgifter som det med fog kan antas att den avlidne inte velat skulle komma till någon annans kännedom ens efter hans eller hennes död (RÅ 2007 ref. 16). Vidare innebär våra förslag i denna del att den särskilda bestämmelsen om rättelse m.m. som i dag finns i 3 kap. 3 a § KFMdbL och som gäller uppgifter om avlidna, vilken vi föreslår ska föras in i den nya kronofogdedatalagen, inte längre kommer att kunna tillämpas på uppgifter om avlidna. 33 Vi anser att det inte heller har kommit fram skäl att särskilt låta tillämpningsområdet omfatta uppgifter om avlidna i denna del. Närmare motivering till detta ställningstagande finns i avsnitt 7.8.3 nedan. De konsekvenser som ett förändrat tillämpningsområde kan komma att innebära medför enligt vår mening inte någon annan bedömning i fråga om avlidna personer ska omfattas av författningarna. Vid denna bedömning har vi tagit hänsyn till den allmänna dataskyddsregleringens tillämpningsområde, den mängd uppgifter om avlidna samt uppgifternas karaktär som är aktuella för berörda myndigheter att behandla i respektive verksamhet och att sekretess, om än i viss mindre omfattning, fortsatt kommer att gälla för uppgifter om avlidna. Utöver detta har myndigheterna andra generella regler att förhålla sig till vid utförandet av sina uppdrag, även avseende uppgifter om avlidna personer, genom regleringen i t.ex. förvaltningslagen.
7.4.4 Behandling av personuppgifter i EU:s gemensamma
informationssystem
Vårt förslag: Bestämmelserna i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem.
33 Däremot föreslås regleringen om rättelse m.m. i kronofogdedatalagen omfatta uppgifter om juridiska personer och därmed dödsbon, se avsnitt 7.8.3.
379Allmänna bestämmelser om personuppgiftsbehandling
Skälen för vårt förslag
Inledning
Den centrala frågeställningen i denna del är i vilken utsträckning nationell kompletterande dataskyddsreglering ska vara tillämplig i itmiljöer där även andra medlemsstaters behöriga myndigheter behandlar personuppgifter inom ramen för det administrativa samarbetet inom EU. Särskilt Skatteverket och Tullverket har till utredningen uppgett att det vore önskvärt att det tydliggörs vad som ska gälla avseende gemensamma tekniska plattformar och om kompletterande nationella bestämmelser över huvud taget ska tillämpas i dessa sammanhang. Om nationell reglering är tillämplig vid de aktuella behandlingarna är det enligt myndigheterna viktigt att denna i sig inte innebär ett hinder för användningen av gemensamma plattformar inom ramen för det administrativa samarbetet inom EU.
Skatteverkets behov och uppfattning om den nuvarande regleringen
Skatteverket har uppgett att de nuvarande registerförfattningarnas tillämpningsområden innebär problem för myndigheten i internationella sammanhang. I beskattningsverksamheten uppkommer frågan om i vilken utsträckning skattedatabaslagen är tillämplig inom ramen för det administrativa EU-samarbetet. Det gäller särskilt när uppgifter tillgängliggörs genom tekniska plattformar som alla medlemsstater har tillgång till eller när uppgifter används i sådana it-miljöer gemensamt. Ett exempel på en gemensam it-miljö som berörs av dataskyddsregleringen är den gemensamma plattformen för utbyte av uppgifter av rapporteringspliktiga arrangemang. Den tekniska lösningen för att genomföra utbytet av uppgifter har tagits fram av EU-kommissionen och utgörs av en teknisk plattform som i sin tur består av två olika användargränssnitt. Ett gränssnitt används enskilt av respektive myndighet och det andra används gemensamt av samtliga myndigheter. Alla behöriga myndigheter kan få tillgång till alla publicerade och rapporteringspliktiga arrangemang i det gemensamma gränssnittet. Det är avsevärt fler tjänstemän som kan få och har tillgång till det gemensamma gränssnittet än myndigheternas enskilda gränssnitt.
380Allmänna bestämmelser om personuppgiftsbehandling
Skatteverkets skyldigheter att lämna uppgifter om rapporteringspliktiga arrangemang till andra medlemsstaters behöriga myndigheter framgår av 12 d § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Genom nämnda lag implementeras rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning i svensk rätt. Av artikel 21.5 i nämnda direktiv framgår att EU-kommissionen har ansvar för att ta fram ett tekniskt och logiskt stöd för utbytet. Av artikel 25.1 framgår vidare att utbytet omfattas av dataskyddsförordningen. Utgångspunkten är att skattedatabaslagen ska tillämpas när Skatteverket i egenskap av behörig myndighet agerar för Sveriges räkning inom ramen för det administrativa samarbetet inom Europeiska unionen i fråga om beskattning och då också behandlar personuppgifter. 34 Det kan dock uppstå oklarheter avseende nationell reglerings tillämplighet vid behandling av personuppgifter i gemensamma it-lösningar. Problem kan även uppstå eftersom skattedatabaslagen går längre än dataskyddsförordningen i fråga om t.ex. behandling av känsliga personuppgifter och gallring. Det kan enligt Skatteverket också vara så att den nuvarande databasregleringen i 2 kap. SdbL inte är tillämplig på sådan behandling som sker i det enskilda användargränssnittet om syftet med publiceringen enbart är att fullgöra informationsutbytet av rapporteringspliktiga arrangemang. Samtidigt innebär den tekniska lösning som EU-kommissionen har tagit fram för utbytet i praktiken att uppgifter som publiceras av Skatteverket görs gemensamt tillgängliga i det gemensamma användargränssnittet även för den verksamhet vid Skatteverket som har tillgång till och arbetar med rapporteringspliktiga arrangemang. Den gemensamma plattformen utgör även en uppgiftssamling som används av flera tjänstemän vid Skatteverket. Om motsvarande reglering som i dag finns i 2 kap. SdbL ska anses vara tillämplig på de behandlingar som Skatteverket utför i det gemensamma gränssnittet uppstår bl.a. frågan om hur bestämmelserna ska tillämpas i förhållande till annan behandling som utförs i den gemensamma plattformen.
34 Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85, 124 och 129, prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 71–72 och 89 samt prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 172–175.
381Allmänna bestämmelser om personuppgiftsbehandling
Tullverkets behov och uppfattning om den nuvarande regleringen
Tullverket har till utredningen fört fram motsvarande problematik som Skatteverket. Myndigheten anser att den nya tulldatalagen inte bör vara tillämplig vid sådan personuppgiftsbehandling som sker i EU-gemensamma informationssystem. Tullverket har anfört att oavsett om det finns ett gemensamt personuppgiftsansvar medlemsstaterna emellan och om kommissionen bedöms vara gemensamt personuppgiftsansvarig eller personuppgiftsbiträde till medlemsstaterna för den personuppgiftsbehandling som ska ske, tas it-systemen fram gemensamt av medlemsstaterna under ledning av kommissionen. Det finns då ett gemensamt ansvar för att systemen byggs med de funktioner som krävs enligt den allmänna dataskyddsförordningen, medan varje medlemsstats behöriga myndighet är personuppgiftsansvarig för de behandlingar som dess anställda utför i systemet. Det är därför svårt att bygga in ytterligare funktioner som följer av krav i nationell lagstiftning, om det inte är möjligt att ha ett eget gränssnitt. Regleringen i de nuvarande registerförfattningarna har enligt Tullverket i praktiken resulterat i att myndigheten i vissa fall inte har kunnat följa tulldatabaslagen vid all behandling som myndigheten utför i de fall regleringen gått längre än den allmänna dataskyddsregleringen. Dessutom ställer den materiella EU-rättsliga tullagstiftningen krav på behandling som inte i alla delar är förenlig med regleringen i tulldatabaslagen, exempelvis krav på riskanalyser som inte är förenliga med sökbegränsningarna i tulldatabaslagen. Tullverket har också uppgett att det inte står helt klart om uppgifter som behandlas i EUgemensamma system ska anses vara en del av tulldatabasen eller inte, vilket i dag är relevant för tillämpligheten av vissa regler i tulldatabaslagen, t.ex. om behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. Det finns särskilda system där tullmyndigheterna inom EU delar olika former av risker för överträdelser, bl.a. Customs Risk Management System (CRMS) och Automated Fingerprint Identification System (AFIS). I båda fallen kan det förekomma nämnda uppgifter, samtidigt som kopplingen till ett specifikt ärende inte nödvändigtvis förekommer. Att tulldatabaslagen omfattar uppgifter om juridiska personer innebär vidare problem främst vid viss vidarebehandling av uppgifter för exempelvis analyser och uppföljning på central nivå, där uppgifterna inte har koppling till fysiska personer utan enbart juridiska personer.
382Allmänna bestämmelser om personuppgiftsbehandling
Kommissionen och medlemsstater som inte har nationell lagstiftning med reglering gällande behandling av uppgifter om juridiska personer har då inte någon särskild dataskyddslagstiftning att ta hänsyn till, medan Tullverket har att beakta tulldatabaslagens bestämmelser om ändamål, gallring, sökbegrepp och former för elektroniskt utlämnande. Dataskyddsförordningen innehåller t.ex. inga fasta tidsgränser för hur länge uppgifter får behandlas vilket kan utgöra ett problem i förhållande till den nu gällande sektorspecifika regleringen. Sådana tidsgränser kan dock finnas i specifika EU-rättsakter, såsom t.ex. i artikel 113 i Kommissionens genomförandeförordning (EU) 2023/1070 av den 1 juni 2023 om tekniska arrangemang för utveckling, underhåll och användning av elektroniska system för utbyte och lagring av information enligt Europaparlamentets och rådets förordning (EU) nr 952/2013 (systemförordningen). Tullverket bedömer att skyddet för den personliga integriteten säkerställs redan genom bestämmelser i den allmänna dataskyddsförordningen med kompletterande allmän dataskyddslagstiftning. Som ett exempel har Tullverket uppgett att alla utbyten av uppgifter mellan berörda aktörer ska ske elektroniskt enligt artikel 6 i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (tullkodexen). Hur proceduren ska gå till är dessutom reglerat på en mycket detaljerad nivå vilket påverkar hur it-system behöver kunna utformas. Det pågår inom EU och i medlemsstaterna för närvarande ett intensivt arbete för att genomföra digitaliseringen av informationsutbytet inom unionen. Det finns för närvarande cirka 15 EU-gemensamma system reglerade i systemförordningen. Det finns också andra EU-gemensamma it-plattformar för olika former av samarbete som inte är reglerade i systemförordningen. Därutöver pågår arbete inom EU att med att utveckla analysförmåga på central nivå, dvs. på uppgifter i centrala datalagringsplatser. Tullverket har också uppgett att det blir alltmer vanligt med s.k. single window environments för tullmyndigheter inom EU, dvs. nationella miljöer med en enda kontaktpunkt. Det innebär att en uppgiftslämnare lämnar uppgifter som behövs för flera syften vid ett och samma tillfälle. Mottagaren är personuppgiftsansvarig för de behandlingar den utför i sin egen verksamhet, men det är enligt Tullverket inte självklart hur det förhåller sig med insamlande av uppgifter som sker för andra myndigheters räkning. Om Tullverket ska
383Allmänna bestämmelser om personuppgiftsbehandling
tillhandahålla system för att tillgodose andra myndigheter med uppgifter kan fråga uppkomma om den aktuella behandlingen ryms inom Tullverkets verksamhet och om tulldatabaslagen i så fall är tillämplig på behandlingen. När uppgifter samlas in för andra myndigheters behov, finns det en risk att insamlingen och övrig behandling av uppgifterna kan vara svår att förena med regleringen i tulldatabaslagen.
Kronofogdemyndighetens behov och uppfattning om den nuvarande regleringen
Kronofogdemyndigheten har förklarat att myndigheten i dag inte utför behandling i EU-gemensamma system varför det är svårt att dra några slutsatser i fråga om eventuella problem som den nuvarande formuleringen av tillämpningsområdet i kronofogdedatabaslagen kan innebära i detta avseende. Det kan dock enligt myndigheten inte uteslutas att den i framtiden kommer att ställas inför samma problematik som Skatteverket och Tullverket i denna fråga, varför en ny reglering bör ta höjd för detta redan nu.
Behandling av personuppgifter i EU:s gemensamma informationssystem undantas från de nya lagarnas tillämpningsområden
Såväl Skatteverket som Tullverket bedriver i dag relativt omfattande gränsöverskridande verksamheter i vissa avseenden. Det förekommer även gränsöverskridande verksamhet vid Kronofogdemyndigheten, även om det inte i dag medför behandling av personuppgifter i EU-gemensamma system. 35 Sannolikt kommer den internationella verksamheten också att utökas ytterligare i framtiden. 36 Mot denna bakgrund är det vår uppfattning att tillämpningsområdena måste formuleras på ett sådant sätt att de inte innebär hinder för myndigheterna i deras internationella arbete. Frågan blir då hur detta lämpligen görs för att på ett ändamålsenligt sätt fungera i de aktuella verksamheterna. Genom de sätt på vilka vi föreslår att beskattningsdatalagens, tulldatalagens och kronofogdedatalagens tillämpningsområden ska for-
35 Se t.ex. Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur. 36 Se t.ex. EU-kommissionens förslag den 17 maj 2023 om en ny tullkodex och upphävande av förordningen (EU) 952/2013, 2023/0156 (COD).
384Allmänna bestämmelser om personuppgiftsbehandling
muleras (se avsnitten 7.4.5, 7.4.7 och 7.4.8) är vår uppfattning att den behandling av personuppgifter som myndigheterna utför i EU-gemensamma informationssystem tillsammans med andra medlemsstater i vart fall i vissa delar kan komma att omfattas av lagarna. Det skulle innebära att myndigheterna behöver tillämpa de föreslagna lagarna och dess sektorspecifika reglering, t.ex. avseende sökbegränsningar, även vid sådan behandling. Då vissa bestämmelser i de föreslagna lagarna går längre än dataskyddsförordningen är vi av uppfattningen att det, liksom i dag, kan uppstå vissa problem för myndigheterna inom ramen för EU-samarbetet. Mot bakgrund av hur regleringen generellt föreslås utformas i de nya lagarna, vilket i högre grad närmar sig den allmänna dataskyddsregleringen i dataskyddsförordningen, kommer visserligen flera av de problem som Skatteverket och Tullverket har beskrivit finns med de nuvarande registerförfattningarna vid behandling av personuppgifter i EU-gemensamma informationssystem inte längre att göra sig gällande. Som nämnts kommer det dock att finnas viss reglering som går längre än dataskyddsförordningen. Mot bakgrund av detta och med beaktande av myndigheternas behov och problemformuleringar anser vi att det finns skäl att undanta behandling av personuppgifter i EU:s gemensamma informationssystem från tillämpningsområdena i beskattningsdatalagen, tulldatalagen och kronofogdedatalagen. Syftet med en sådan reglering är att säkerställa att Skatteverket, Tullverket och Kronofogdemyndigheten kan delta i det EU-gemensamma samarbetet på ett ändamålsenligt sätt utan obefogade hinder i nationell rätt. Med EU:s gemensamma informationssystem avses ett system som används gemensamt av medlemsstaterna inom EU för insamling, registrering, strukturering, lagring, bearbetning, användning eller andra liknande behandlingar av personuppgifter. Med behandling av uppgifter i sådana gemensamma system avses sådan behandling som myndigheterna utför i systemen av t.ex. uppgifter som berörda myndigheter eller andra medlemsstaters myndigheter lämnar eller har lämnat över till systemen och som sedan finns där, visserligen åtkomliga för bl.a. Skatteverket eller Tullverket. Undantaget avser alltså inte behandling av uppgifter som enbart utförs i Skatteverkets, Tullverkets eller Kronofogdemyndighetens egna interna system som inte är förvaltade och utformade av EUkommissionen, något annat EU-organ eller av EU-kommissionen och medlemsstaterna gemensamt och där berörda myndigheter kan be-
385Allmänna bestämmelser om personuppgiftsbehandling
stämma ändamålen och medlen för behandlingen. Med andra ord avser det system som inte förvaltas nationellt. Undantaget omfattar inte heller behandling av uppgifter som myndigheterna hämtar in från de EU-gemensamma systemen i syfte att behandlas inom myndigheternas egna verksamhetssystem i enlighet med EU-rättslig reglering. Så länge berörda myndigheter behandlar uppgifterna och dessa inte tillgängliggörs i något av EU:s gemensamma informationssystem för behandling där är myndigheterna som utgångspunkt ansvariga för behandlingen enligt bestämmelserna i de föreslagna nationella dataskyddsrättsliga författningarna. När uppgifterna övergår till sådana EU-gemensamma informationssystem och behandlas i dessa gäller inte de föreslagna lagarna. Det kan dock fortfarande vara så att berörda myndigheter anses personuppgiftsansvariga för behandlingen även i de EU-gemensamma informationssystemen enligt t.ex. bestämmelser i materiell EU-rättslig reglering. 37 Det föreslagna undantaget är alltså inte nödvändigtvis knutet till om berörda myndigheter är personuppgiftsansvariga eller inte för en viss behandling av personuppgifter. Det väsentliga för de nya lagarnas tillämplighet är om uppgifterna behandlas i de EU-gemensamma informationssystemen. Det kan också vara så att samma uppgifter, oavsett på vilken grund de är inhämtade, kan behandlas i EU-gemensamma informationssystem och i de egna verksamhetssystemen vid en myndighet samtidigt. De nya lagarna kan alltså vara tillämpliga på samma uppgifter som samlats in enbart för att överföras till ett EU-gemensamt informationssystem, så länge uppgifterna även behandlas i myndighetens egna verksamhetssystem. Utöver det som nu beskrivits om den föreslagna regleringens innebörd är det inte möjligt att på ett mer exakt sätt beskriva när myndigheterna utför en specifik behandling i ett visst EU-gemensamt informationssystem på ett sätt som innebär att undantaget blir tillämpligt. Detta får i stället avgöras i den praktiska tillämpningen av bestämmelsen. Att behandling av personuppgifter i EU:s gemensamma informationssystem föreslås undantas från lagarnas tillämpningsområden innebär inte att det kommer att saknas ett datarättsligt skydd för uppgifterna. I första hand kommer EU:s dataskyddsförordning och de materiella bestämmelser som reglerar det EU-gemensamma arbetet att gälla för behandlingen. Vi anser slutligen att det bör kunna antas att sådan behandling som myndigheterna till följd av materiell EU-
37 Se t.ex. artikel 112 i systemförordningen.
386Allmänna bestämmelser om personuppgiftsbehandling
rättslig reglering får eller ska utföra i EU:s gemensamma informationssystem i sig är reglerat på ett sätt som är förenligt med EU:s dataskyddsförordning.
7.4.5 Beskattningsdatalagens tillämpningsområde
Vårt förslag: Beskattningsdatalagen ska gälla vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Lagen ska även gälla vid behandling av personuppgifter i Skatteverkets verksamhet enligt 1. lagen (1991:1047) om sjuklön, 2. lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 3. lagen (2013:948) om stöd vid korttidsarbete, 4. lagen (2020:548) om omställningsstöd, och 5. lagen (2023:230) om förfarande för elstöd till företag. Med Skatteverkets beskattningsverksamhet ska enligt beskattningsdatalagen avses 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan analys eller kontroll, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. fullgörande av förpliktelser som följer av internationella åtaganden, och 7. annan liknande uppgift som Skatteverket ska utföra.
387Allmänna bestämmelser om personuppgiftsbehandling
Skälen för vårt förslag
Den nuvarande regleringen
I dag är skattedatabaslagen tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i verkets handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, lagen (2013:948) om stöd vid korttidsarbete, lagen (1991:1047) om sjuklön, lagen (2020:548) om omställningsstöd och lagen (2023:230) om förfarande för elstöd till företag. 38 I lagen finns ingen uttrycklig definition av vad som innefattas i begreppet beskattningsverksamhet. När skattedatabaslagen infördes angavs endast att lagen var tillämplig vid behandling av personuppgifter i Skatteverkets beskattningsverksamhet. Enligt förarbetena skulle lagen förutom de tidigare skatteregistren även omfatta det dåvarande fastighetstaxeringsregistret, gåvoskatteregistret, olika punktskatteregister samt tillfälliga register som inrättades vid revision och annan kontroll. I förarbetena gavs även redogörelser för vad dessa register fick innehålla. 39 I den skattedatabaslag som sedan infördes, och som gäller även i dag, angavs sedan för vilka ändamål uppgifter fick behandlas i Skatteverkets beskattningsverksamhet, samt vilka uppgifter som fick behandlas i beskattningsdatabasen. Skatteverkets verksamhet enligt de lagar som uttryckligen räknas upp i 1 kap. 1 § SdbL har succesivt lagts till i skattedatabaslagens tilllämpningsområde allteftersom myndigheten har fått nya uppgifter som medför ett behov av personuppgiftsbehandling. I samband med att Skatteverket tog över vissa uppgifter från Kronofogdemyndigheten i fråga om borgenärsuppgifter skedde vissa ändringar i skattedatabaslagen av lagens tillämpningsområde, särskilda ändamål och databasreglering. Ändringen ansågs vara förenlig med den huvudsakliga avgränsningen av skattedatabaslagens tillämpningsområde till 40 Skatteverkets beskattningsverksamhet. Ett annat exempel är när Skatteverket fick i uppdrag att enligt lagen om sjuklön hantera uppgifter om sjuklönekostnader för att i 41 huvudsak vidarebefordras till Försäkringskassan. Regeringen uttal-
38 1 kap. 1 § SdbL. 39 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 62–68 och 122. 40 Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s. 36 och 54–55. 41 17 b och 17 c §§ lagen om sjuklön.
388Allmänna bestämmelser om personuppgiftsbehandling
ade då att det var svårt att likna hanteringen av sådana uppgifter vid något av Skatteverkets övriga åligganden. Regeringen ansåg därför att verkets handläggning i samband med insamling av dessa uppgifter uttryckligen borde anges i lagens bestämmelse om tillämpningsområdet, för att tydliggöra att hanteringen omfattades av detta. Vidare infördes ett särskilt ändamål för behandling av sådana uppgifter och en ny punkt i lagen som angav att sjuklönekostnad fick behandlas i beskattningsdatabasen. 42 Ett ytterligare exempel är när det statliga omställningsstödet i lagen om omställningsstöd infördes för att kompensera företag som drabbats av stora omsättningstapp till följd av spridningen av sjukdomen covid-19. 43 Utöver att viss verksamhet har lagts till särskilt i tillämpningsområdet för skattedatabaslagen, vid sidan av begreppet beskattningsverksamhet, faller vissa andra delar av Skatteverkets verksamhet inom skattedatabaslagens tillämpningsområde trots att det inte utgör ett led i beskattningsförfarandet. Sådan verksamhet faller då inom uttrycket beskattningsverksamhet. 44 För att täcka in behandling av uppgifter i sådan verksamhet, som ligger vid sidan av den egentliga beskattningsverksamheten, har lagstiftaren infört särskilda ändamål. Ett exempel på ett sådant ändamål regleras i 1 kap. 4 § 5 SdbL som tillsyn samt lämplighets- och tillståndsprövning och annan liknande 45 prövning. Detta specifika ändamål omfattar bl.a. Skatteverkets tillsynsverksamhet enligt alkohollagen (2010:1622). I detta fall har det alltså inte ansetts krävas någon ytterligare reglering avseende skattedatabaslagens tillämpningsområde i nuvarande 1 kap. 1 § SdbL, till skillnad från vad som ovan angetts om Skatteverkets uppgifter inom borgenärsområdet, hanteringen av uppgifter om sjuklönekostnader eller handläggningen av ärenden om omställningsstöd.
42 Prop. 2014/15:1, Budgetpropositionen för 2015, s. 391–392. 43 Se prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag, insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 90–92. 44 Prop. 2014/15:1, Budgetpropositionen för 2015, s. 392. 45 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124 och prop. 2014/15:1, Budgetpropositionen för 2015, s. 391.
389Allmänna bestämmelser om personuppgiftsbehandling
Den nya beskattningsdatalagens materiella tillämpningsområde
Den nya beskattningsdatalagen bör ha samma materiella tillämpningsområde som skattedatabaslagen. Beskattningsdatalagen föreslås därför omfatta behandling av personuppgifter i Skatteverkets beskattningsverksamhet och i Skatteverkets verksamhet enligt lagen om sjuklön, lagen om Skatteverkets hantering av vissa borgenärsuppgifter, lagen om stöd vid korttidsarbete, lagen om omställningsstöd och lagen om förfarande för elstöd till företag. Detta ska enligt vår mening komma till uttryck direkt i lagtexten. Som framgår ovan har viss verksamhet som inte utgör ett led i beskattningsförfarandet ändå ansetts ingå i begreppet beskattningsverksamhet. Det har bl.a. tydliggjorts av lagens ändamålsbestämmelser och i viss mån av databasregleringen. I avsnitt 8.4.3 gör vi bedömningen att den nya beskattningsdatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande skattedatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att den nuvarande regleringen av beskattningsdatabasen ska upphöra att gälla. I den nya beskattningsdatalagen kommer det därmed inte att vara lika tydligt vad som omfattas av Skatteverkets beskattningsverksamhet. Mot denna bakgrund anser vi att det bör införas en reglering i anslutning till bestämmelsen om beskattningsdatalagens tillämpningsområde som tydliggör vad som avses med beskattningsverksamhet i lagens materiella tillämpningsområde. På detta sätt kommer det fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt skattedatabaslagen i dag, med undantag för uppgifter om juridiska personer och avlidna (se avsnitten 7.4.2 och 7.4.3). Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt skattedatabaslagen i dag, vilket regleras i 1 kap. 4 § SdbL. Samtliga dessa ändamål får antas ha ansetts vara så näraliggande beskattningsförfarandet att de kan omfattas av regleringen i skattedatabaslagen. I det följande behandlas vad som i den nya beskattningsdatalagen ska avses med Skatteverkets beskattningsverksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
390Allmänna bestämmelser om personuppgiftsbehandling
Vad innefattas i Skatteverkets beskattningsverksamhet enligt den nya beskattningsdatalagen?
Med beskattningsverksamhet ska i beskattningsdatalagen för det första avses fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Detta knyter an till sådan verksamhet som är ett led i beskattningsförfarandet. Be- 46 greppet betalning av skatt omfattar även ärenden om ackord. Vidare ska det anges att med beskattningsverksamhet avses bestämmande av pensionsgrundande inkomst och fastighetstaxering. När dessa punkter togs med i den nuvarande 1 kap. 4 § SdbL uttalade regeringen att det var nödvändigt att ange dem som särskilda ändamål då de inte alltid utgjorde ett led i beskattningsförfarandet. 47 Vi anser mot denna bakgrund att det finns skäl att förtydliga att utförandet av sådana uppgifter ingår i Skatteverkets beskattningsverksamhet. Det ska vidare tydliggöras att revision och annan analys eller kontroll ingår i Skatteverkets beskattningsverksamhet. Det utgör en stor och nödvändig del av Skatteverkets verksamhet. Det ligger också ofta till grund för bl.a. myndighetens bestämmande av skatter och avgifter. Därutöver ska tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning anges i regleringen. Sådan verksamhet utgör inte heller ett direkt led i beskattningsförfarandet, men har en stark koppling till beskattningsverksamheten. 48 Med sådan verksamhet som ska anges i den nya lagens tillämpningsområde avses t.ex. Skatteverkets uppgifter med viss tillsyn enligt alkohollagen 49 eller Skatteverkets ansvar för att fatta beslut om godkännande av upplagshavare, registrerad varumottagare, tillfälligt registrerad varumottagare, registrerad avsändare eller skatteupplag enligt lagen (2022:155) om tobaksskatt. 50 Enligt skatteförfarandelagen (2011:1244), SFL, ska Skatteverket även t.ex. pröva och godkänna den som uppger sig bedriva eller ha för avsikt att bedriva näringsverksamhet i Sverige för F-skatt, vari ingår en viss lämplighetsprövning. 51 Skatteverket utför även lämplighetsprövningar inför godkännande av deklarationsombud. 52
46 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 47 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 48 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 49 Se 9 kap. 4 § alkohollagen. 50 Se 3 kap. 17 § lagen om tobaksskatt. 51 9 kap. 1 och 2 §§ SFL. 52 6 kap. 6 och 7 §§ SFL.
391Allmänna bestämmelser om personuppgiftsbehandling
Vidare ska det uttryckligen anges att med beskattningsverksamhet avses fullgörande av förpliktelser som följer av internationella åtaganden. Det tydliggör att även Skatteverkets skyldigheter enligt bl.a. EU-rättslig lagstiftning, såsom på mervärdesskatteområdet och punktskatteområdet, innefattas i begreppet beskattningsverksamhet. Slutligen anser vi att det ska anges att med beskattningsverksamhet avses annan liknande uppgift än de ovan uppräknade som Skatteverket ska utföra. Med denna lydelse avses ytterligare andra uppgifter som Skatteverket ska utföra, och som kan anses ha en koppling till beskattningsverksamheten som den definierats i den nu gällande skattedatabaslagen utan att utgöra ett led i beskattningsförfarandet. Avsikten är att sådana uppgifter ska omfattas av tillämpningsområdet genom att de ingår i begreppet beskattningsverksamhet. I detta ingår också uppgifter med koppling till beskattningsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen (2007:515). På detta sätt behöver ändringar i beskattningsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska behandlas automatiserat enligt den nya lagen. Ytterst blir det en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under beskattningsdatalagen, eller om tillämpningsområdet behöver utökas. Det kan göras genom att lägga till ytterligare en uttrycklig verksamhet i bestämmelsen om tillämpningsområdet, såsom skedde avseende t.ex. lagen om omställningsstöd, eller ett tillägg till definitionen av beskattningsverksamhet. I andra fall kommer det inte att behövas någon sådan uttrycklig reglering, utan lagstiftaren kan i stället konstatera att det redan faller inom någon av punkterna som föreslås tydliggöra vad som avses med Skatteverkets beskattningsverksamhet. Det är dock en bedömning som får göras från fall till fall när Skatteverket får nya uppgifter att utföra som medför behandling av personuppgifter. Som framgår ovan gäller redan en liknande systematik i dag i fråga om tilllämpningsområdet och tillåtna ändamål för behandling. Vissa mindre utökade uppdrag till Skatteverket kan komma att anses ingå i beskattningsverksamheten om personuppgiftsbehandlingen utförs som ett led i att t.ex. bestämma pensionsgrundande in-
392Allmänna bestämmelser om personuppgiftsbehandling
komst. Ett annat exempel är om nya uppdrag innebär att Skatteverket ska ta emot viss information för vidarebefordran till någon annan myndighet. I vissa fall kan utförandet av sådana uppgifter komma att anses falla in under begreppet annan liknande uppgift som Skatteverket ska utföra om det finns en koppling till beskattningsverksamheten. I annat fall kan tillämpningsområdet komma att behöva utökas. Som ett exempel på befintliga förslag om åläggande av nya uppgifter som Skatteverket kan komma att utföra, och som skulle kunna tänkas leda till att tillämpningsområdet för den nya lagen behöver utökas, kan nämnas ett delbetänkande av 2022 års skatteförfarandeutredning – åtgärder mot fusk och arbetslivskriminalitet. Förslagen innebär bl.a. att arbetsgivare ska lämna uppgifter per betalningsmottagare om frånvaro av vissa skäl i samband med arbetsgivardeklarationen, vilket skulle medföra att Skatteverkets behandling av personuppgifter kommer att utökas. Uppgifterna ska sedan tillhandahållas Försäkringskassan. Utredningen anförde att det fanns en särskild likhet med de uppgifter om kostnad för sjuklön som lämnas i samband med arbetsgivardeklarationen enligt 17 b § lagen om sjuklön och som vidarebefordras av Skatteverket till Försäkringskassan. Sådan handläggning omfattas i dag särskilt av skattedatabaslagen. Mot den bakgrunden ansåg utredningen att även förslaget om behandlingen av frånvarouppgifterna uttryckligen skulle anges i skattedatabaslagen. 53
Beskattningsverksamheten i övrigt
I 1 kap. 4 § 6 b SdbL anges handläggning av andra frågor om ansvar för någon annans skatter och avgifter som ett särskilt ändamål. Betalningsansvar för annans skatter och avgifter kan t.ex. handla om ansvar när skatteavdrag inte har gjorts med rätt belopp eller om betalningsmottagarens ansvar för arbetsgivaravgifter i vissa fall. Vi anser att sådan verksamhet får anses vara närliggande den föreslagna punkten om fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter. Även om verksamheten inte utgör ett direkt led i beskattningsförfarandet bör den därför anses omfattas av den föreslagna punkten annan liknande uppgift som Skatteverket ska utföra. Det behöver därmed inte uttryck-
53 SOU 2023:47, En utvecklad arbetsgivardeklaration – åtgärder mot missbruk av välfärdssystemen, s. 270–271.
393Allmänna bestämmelser om personuppgiftsbehandling
ligen anges i den nya lagen att med beskattningsverksamhet avses i lagen Skatteverkets handläggning av andra frågor om ansvar för någon annans skatter och avgifter. I 1 kap. 4 § 6 c SdbL föreskrivs i dag handläggning enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL som ett särskilt ändamål. Paragrafen ändrades för att tillåta Skatteverket att behandla uppgifter för tillhandahållande av information som behövdes hos Skatteverket för handläggning enligt den då nya lagen om automatiskt utbyte av upplysningar 54 om finansiella konton och 22 b kap. SFL. Ändringarna gjordes i samband med införandet av de författningar som krävdes för att bl.a. införliva OECD:s globala standard för automatiskt utbyte av upplysningar om finansiella konton samt för att genomföra rådets direktiv 2014/107/EU av den 9 december 2014 om ändring av direktivet 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplysningar i fråga om beskattning. I den nya beskattningsdatalagen kommer det att anges att med beskattningsverksamhet avses fullgörande av förpliktelser som följer av internationella åtaganden. Vi anser att det därför inte särskilt behöver anges att med beskattningsverksamhet avses t.ex. handläggning enligt lagen om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. SFL. Skatteverkets åligganden enligt dessa regleringar bedöms även falla in under den föreslagna punkten annan liknande uppgift som Skatteverket ska utföra. Vidare omfattar 1 kap. 4 § 6 d SdbL i dag handläggning enligt lagen (2017:182) om automatiskt utbyte av land-för-land-rapporter på skatteområdet och 33 a kap. SFL. Ändamålet infördes i samband med bl.a. genomförande av OECD:s standard för dokumentation vid internprissättning och land-för-land-rapportering samt genomförande av EU-direktivet om ändring i rådets direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning, avseende land-för-landrapportering (DAC 4). I förarbetena anges som motiv till ändringen att land-för-land-rapporterna skulle lämnas in till Skatteverket och eftersom Skatteverket skulle hantera rapporterna borde en ändring göras i skattedatabaslagen. 55 Vi anser att det inte särskilt behöver anges i beskattningsdatalagen att med beskattningsverksamhet avses handläggning enligt lagen om automatiskt utbyte av land-för-land-
54 Prop. 2015/16:29, En global standard för automatiskt utbyte av upplysningar om finansiella konton, s. 119 och 209. 55 Prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatteområdet, s. 62 och 83.
394Allmänna bestämmelser om personuppgiftsbehandling
rapporter på skatteområdet och 33 a kap. SFL då det bedöms falla in under punkterna fullgörande av förpliktelser som följer av internationella åtaganden samt annan liknande uppgift som Skatteverket ska utföra. I 1 kap. 4 § 6 d föreskrivs att uppgifter får behandlas för att tillhandahålla information som behövs hos Skatteverket för handläggning enligt 33 b kap. SFL. Ändringen genomfördes i samband med genomförandet av rådets direktiv (EU) 2018/822 av den 25 maj 2018 om ändring av direktiv 2011/16/EU vad gäller obligatoriskt automatiskt utbyte av upplysningar i fråga om beskattning som rör rapporteringspliktiga gränsöverskridande arrangemang (DAC 6). Syftet med direktivet är bl.a. att ge skattemyndigheterna tidig information om nya former av aggressiv skatteplanering och i vilken utsträckning de används. I samband med ändringen i skattedatabaslagen uttalade regeringen att det kunde ifrågasättas om inte den behandling av uppgifter som den föreslagna regleringen i 33 b kap. SFL gav upphov till hos Skatteverket i sin helhet omfattades av de befintliga ändamålen om revision och annan analys- eller kontrollverksamhet samt för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. För att säkerställa att uppgifterna fick behandlas för berörda ändamål ansåg regeringen dock att det borde införas en ny ändamålsbestämmelse i 1 kap. 4 § SdbL som uttryckligen angav att uppgifter även fick behandlas för att tillhandahålla information som behövdes hos Skatteverket för handläggning enligt 33 b kap. SFL. 56 I likhet med vad som anförs ovan om andra uppgifter Skatteverket har att utföra enligt EU-rättslig reglering anser vi att Skatteverkets handläggning enligt 33 b kap. SFL får anses falla under begreppet beskattningsverksamhet i den nya lagen genom att det avser fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Som föreslås ovan kommer det även anges att med beskattningsverksamhet avses revision och annan analys eller kontroll. Mot denna bakgrund anser vi att det inte särskilt behöver anges att lagen omfattar myndighetens handläggning enligt 33 b kap. skatteförfarandelagen. I 1 kap. 4 § 6 g SdbL anges handläggning enligt lagen (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen (2022:1682) om automatiskt utbyte av upplysningar
56 Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 174.
395Allmänna bestämmelser om personuppgiftsbehandling
om inkomster genom digitala plattformar och 22 c kap. SFL som ytterligare ett särskilt ändamål. Även detta ändamål infördes till följd av EU-rättslig reglering, nämligen i samband med genomförandet av rådets direktiv (EU) 2021/514 av den 22 mars 2021 om ändring av direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning. I likhet med andra nya ändamålsbestämmelser som redogörs för ovan infördes det aktuella ändamålet av tydlighetsskäl. I samband härmed anförde regeringen att det kunde ifrågasättas om det dock inte redan omfattades av ändamålen i den nuvarande 1 kap. 4 § 1, 4 57 och 7 SdbL. Av samma skäl som enligt våra bedömningar ovan avseende de nuvarande särskilda ändamålen som knyter an till EU-rättslig reglering anser vi att motsvarande ändamål som i dag anges i 1 kap. 4 § 6 g SdbL inte behöver anges särskilt i den nya beskattningsdatalagen för att det ska vara tillräckligt tydligt att sådan verksamhet omfattas av Skatteverkets beskattningsverksamhet. Vidare finns i 1 kap. 4 § 8 ett särskilt ändamål som avser hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige. Ändamålet infördes i samband med genomförande av Europaparlamentets och rådets direktiv 2009/52/EG av den 18 juni 2009 om minimistandarder för sanktioner och åtgärder mot arbetsgivare för tredjelandsmedborgare som vistas olagligt (sanktionsdirektivet). Skatteverket utsågs då till behörig myndighet att motta underrättelser från arbetsgivare om anställning av utlänningar. Regeringen uttalade i förarbetena att Skatteverkets uppgift enligt föreslagen lagstiftning huvudsakligen skulle komma att vara att registrera uppgifter som eventuellt kunde behövas för handläggning av annan myndighets utredningsärenden. Troligen skulle dock endast ett mindre antal av de registrerade uppgifterna komma att användas av andra myndigheter. Uppgifterna skulle således inte komma att regelmässigt användas av andra myndigheter. Ändamålet med Skatteverkets behandling av uppgifterna kunde därför enligt regeringen varken sägas vara av rent primär eller sekundär karaktär. För att syftet med behandlingen av uppgifterna skulle kunna uppfyllas krävdes enligt regeringen att Skatteverket kunde behandla även känsliga uppgifter. Ändamålet borde därför en-
57 Prop. 2022/23:6, Rapportering och utbyte av upplysningar om inkomster genom digitala plattformar och vissa andra ändringar i EU:s direktiv om administrativt samarbete på direktskatteområdet, s. 168.
396Allmänna bestämmelser om personuppgiftsbehandling
ligt regeringen vara att klassificera som ett primärt sådant. Regeringen föreslog därför att en ny ändamålsbestämmelse skulle föras in i 1 kap. 4 § SdbL. 58 Även Skatteverkets uppgifter enligt lagen om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige får enligt vår mening anses falla in under fullgörande av förpliktelser som följer av internationella åtaganden och annan liknande uppgift som Skatteverket ska utföra. Det behöver därför inte tydliggöras särskilt i den nya lagens tillämpningsområde. I dag anges även tillsyn, kontroll, uppföljning och planering av verksamheten som ett särskilt ändamål i 1 kap. 4 § 10 SdbL. I förarbetena anges att Skatteverket skulle ha möjlighet att som ett led i beskattningsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden. Vad som avsågs var alltså intern kontroll av och tillsyn över den löpande verksamheten, i motsats till extern kontroll och tillsyn. 59 I förarbetena till dataskyddslagen uttalade regeringen att alla myndigheter, såväl statliga som kommunala, vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Som exempel nämndes bl.a. olika former av uppföljning och utvärdering av den egna verksamheten. Vidare uttalade regeringen att behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är rättsligt grundad enligt dataskyddsförordningen och det krävs inte att de administrativa åtgärderna är fastställda i 60 enlighet med svensk rätt. Vi anser att sådana åtgärder inte utgör en så fristående del av Skatteverkets verksamhet att det särskilt behöver anges i regleringen av beskattningsdatalagens tillämpningsområde. Det är i stället den verksamhet som följer av den materiella verksamhetsregleringen som medför ett behov av att tydliggöra omfattningen av tillämpningsområdet. När sådana mer administrativa åtgärder utförs som ett led i t.ex. Skatteverkets beskattningsverksamhet ska dock den föreslagna regleringen i beskattningsdatalagen tillämpas vid behandling av personuppgifter.
58 Prop. 2012/13:125, Genomförande av direktivet om sanktioner mot arbetsgivare, s. 37–38. 59 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 60 Prop. 2017/18:105, Ny dataskyddslag, s. 60–61.
397Allmänna bestämmelser om personuppgiftsbehandling
7.4.6 Folkbokföringsdatalagens tillämpningsområde
Vårt förslag: Folkbokföringsdatalagen ska gälla vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Med Skatteverkets folkbokföringsverksamhet ska enligt folkbokföringsdatalagen avses 1. folkbokföring, 2. samordningsnummer, 3. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. annan liknande uppgift som Skatteverket ska utföra.
Vår bedömning: Folkbokföringsdatalagen bör inte omfatta behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer.
Skälen för vårt förslag och vår bedömning
Den nuvarande regleringen
Den nu gällande folkbokföringsdatabaslagen är tillämplig vid behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Lagen gäller också vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen (2022:1697) om samordningsnummer. 61 Frågan om den nya folkbokföringsdatalagen bör omfatta behandling av personuppgifter i passmyndigheternas verksamhet, vilket nyligen lades till i folkbokföringsdatabaslagens tillämpningsområde 62 , behandlas särskilt nedan. I övrigt har tillämpningsområdet för folkbokföringsdatabaslagen inte utvid-
61 1 kap. 1 § första och andra styckena FdbL. 62 Se prop. 2021/22:276, bet. 2022/23:SkU4, rskr. 2022/23:40.
398Allmänna bestämmelser om personuppgiftsbehandling
gats utöver att lagen gäller i Skatteverkets folkbokföringsverksamhet sedan den trädde i kraft 1 oktober 2001. När folkbokföringsdatabaslagen infördes uttalade regeringen att lagen skulle omfatta behandling av personuppgifter för folkbokföringsverksamheten och aviseringsverksamheten. 63 Då gällde enligt 2 § lagen (1990:1536) om folkbokföringsregister att folkbokföringsregistren fick användas för samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av uppgifter för förvaring hos statliga arkivmyndigheter. Vidare fick aviseringsregistret enligt 2 § lagen (1995:743) om aviseringsregister användas för aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter. Aviseringsregistret fick i huvudsak endast användas av myndigheter. Regeringen fick dock föreskriva att även annan än myndighet får använda registret. Med stöd härav hade regeringen föreskrivit att registret fick användas av Svenska kyrkan. Folkbokföringsdatabaslagen innehåller inte någon definition av vad som avses med folkbokföringsverksamhet. En definition av folkbokföring finns dock i dag i 1 kap. 1 § folkbokföringslagen (1991:481), FOL. Enligt denna innebär folkbokföring enligt den lagen fastställande av en persons bosättning samt registrering av de uppgifter om personen som enligt folkbokföringsdatabaslagen får förekomma i folkbokföringsdatabasen. Att Skatteverkets folkbokföringsverksamhet är ett vidare begrepp än folkbokföring och även innefattar myndighetens befattning med registrering av uppgifter om personer med samordningsnummer framgår av folkbokföringsdatabaslagen. 64 Vilka uppgifter som får förekomma i folkbokföringsdatabasen anges i dag i 2 kap. 2–5 §§ FdbL. Den legala definitionen av folkbokföring hänvisar alltså i dag till vad som framgår av databasregleringen. I avsnitt 9.4.5 föreslår vi att den legala definitionen av folkbokföring i stället ska framgå av folkbokföringslagen, genom att en ny bestämmelse införs i den lagen, som motsvarar vad som gäller enligt databasregleringen. Det innebär att folkbokföringsdatalagen inte i sig själv kommer att utgöra en rättslig grund för behandling av personuppgifter på det sätt som folkbokföringsdatabaslagen gör i dag.
63 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 139. 64 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43–44.
399Allmänna bestämmelser om personuppgiftsbehandling
Den nya folkbokföringsdatalagens materiella tillämpningsområde
Den nya folkbokföringsdatalagen bör ha samma materiella tillämpningsområde som folkbokföringsdatabaslagen, med undantag för viss verksamhet som utförs av passmyndigheterna vilket behandlas närmare nedan. Folkbokföringsdatalagen föreslås därför omfatta behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet. Detta ska enligt vår mening komma till uttryck direkt i lagtexten. I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya folkbokföringsdatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande folkbokföringsdatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. I jämförelse med vad som ovan redogörs för i fråga om Skatteverkets beskattningsverksamhet kommer det inte leda till lika stora otydligheter avseende vad som kommer att omfattas av den nya lagen. Även i den nuvarande folkbokföringsdatabaslagen kan det dock av regleringens tillämpningsområde sett tillsammans med för vilka ändamål uppgifter får behandlas sägas framgå tydligare vad personuppgiftsbehandlingen i folkbokföringsverksamheten omfattar. Med anledning av att vi föreslår att ändamålsregleringen inte ska överföras till den nya lagen på det detaljerade sätt som finns i dag anser vi dock att det även i folkbokföringsdatalagen bör införas en reglering i anslutning till bestämmelsen om lagens tillämpningsområde som tydliggör vad som avses med folkbokföringsverksamhet i lagen. På detta sätt kommer det fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt folkbokföringsdatabaslagen i dag, med de undantag som nämns ovan. Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt folkbokföringsdatabaslagen i dag, vilket regleras i 1 kap. 4 § FdbL. I det följande behandlas vad som i den nya folkbokföringsdatalagen ska avses med Skatteverkets folkbokföringsverksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
400Allmänna bestämmelser om personuppgiftsbehandling
Vad innefattas i Skatteverkets folkbokföringsverksamhet?
I folkbokföringsdatalagen ska för det första anges att Skatteverkets folkbokföringsverksamhet avser folkbokföring och samordningsnummer. Detta anges inte i dag som särskilda ändamål i 1 kap. 4 § FdbL men omfattas av den nuvarande databasregleringen i 2 kap. 3 § FdbL. I avsnitt 9.4.5 föreslår vi ändringar i folkbokföringslagen avseende bestämmelsen i 1 § FOL som i dag reglerar vad som avses med folkbokföring enligt den lagen. Vår avsikt är att begreppet folkbokföring i folkbokföringsdatalagen ska ha samma innebörd som i folkbokföringslagen. Folkbokföring kommer med våra förslag att innebära fastställande av en persons bosättning samt registrering av de uppgifter om denne som får registreras enligt den föreslagna bestämmelsen i 1 a § FOL. Inom Skatteverkets folkbokföringsverksamhet handläggs emellertid även ärenden som har annan materiell grund än folkbokföringslagen. Det rör t.ex. myndighetens prövning av ansökningar om förvärv eller ändring av ett personnamn enligt lagen (2016:1013) om personnamn eller av om det finns något hinder mot att ett äktenskap ingås enligt 3 kap. äktenskapsbalken. 65 Prövning av sådana andra typer av ärenden, som ingår i folkbokföringsverksamheten, faller i dag in under ändamålet handläggning av folkbokföringsärenden i 1 kap. 4 § första stycket 2 FdbL. Regeringen anförde i förarbetena till lagen om samordningsnummer att med anledning av förslaget att de bestämmelser som reglerade samordningsnummer skulle utmönstras ur folkbokföringslagen och föras in i en egen författning var det angeläget att i det sammanhanget i folkbokföringslagen också återställa innebörden av begreppet folkbokföring till fastställande av en persons bosättning och registrering av de uppgifter om denne som får förekomma i folkbokföringsdatabasen. 66 En ändring av 1 § FOL har sedan dess införts. Vi föreslår som tidigare nämnts att den paragrafen ska justeras genom att bl.a. hänvisningen till folkbokföringsverksamhetens registerlag tas bort och att det införs en ny reglering i folkbokföringslagen. De beslut som Skatteverket fattar enligt t.ex. lagen om personnamn innebär inte i sig själva registrering av vissa uppgifter om den aktuella personen, även om exempelvis ett bifall av en ansökan om att byta personnamn också leder till ändrad registrering i folkbok-
65 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 68. 66 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 43.
401Allmänna bestämmelser om personuppgiftsbehandling
föringen (jfr 2 § FdbF). Inte heller t.ex. ärenden om hindersprövning enligt äktenskapsbalken inför ingående av äktenskap leder i sig till registrering i folkbokföringen. För att följa lagstiftarens intentioner avseende vad som innefattas i begreppet folkbokföring respektive folkbokföringsverksamhet anser vi att t.ex. handläggning av ärenden som rent faktiskt inte avser fastställande av en persons bosättning eller registrering av uppgifter om denne som får registreras inte ska anses ingå i begreppet folkbokföring i den nya lagen. Sådana ärenden får enligt vår uppfattning anses ingå i det vidare begreppet folkbokföringsverksamhet (se nedan). Vidare anges i dag i 1 kap. 1 § lagen om samordningsnummer att ett samordningsnummer är en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. Med samordningsnummer i folkbokföringsdatalagen ska avses samma sak som i lagen om samordningsnummer. Vi föreslår också att det i den nya lagen ska anges att folkbokföringsverksamhet avser samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Motsvarande lydelse finns i dag i 1 kap. 4 § första stycket 1 FdbL. I förarbetena till ändamålsbestämmelsen uttalade regeringen att det inom ramen för folkbokföringsverksamheten ingick att fullgöra vissa kvalitetskontroller när uppgifter skulle registreras i databasen samt göra kontroller och analyser av riktigheten av registrerade uppgifter. Kontroll av uppgifter om identitet, bosättning och familjerättsliga förhållanden ansågs enligt regeringen vara en viktig del av folkbokföringsverksamheten. Detta förutsatte bl.a. att urvalskontroller gjordes, dvs. analyser av vilka personer som skulle granskas. Regeringen bedömde att denna verksamhet borde framgå av ändamålsbestämmelsen på motsvarande sätt som gällde för beskattningsverksamheten. 67 För att det ska vara tydligt att folkbokföringsdatalagen gäller när Skatteverket behandlar personuppgifter vid utförandet av sådana uppgifter anser vi att det finns skäl att uttryckligen ange att detta är en del av folkbokföringsverksamheten och därmed även den nya lagens tillämpningsområde. Vi anser också att det uttryckligen ska framgå att med folkbokföringsverksamhet avses framställning av personbevis och andra registerutdrag, vilket anges som ett särskilt ändamål i 1 kap. 4 § första stycket 4 i dag. Det särskilda ändamålet har som ovan framgår sitt
67 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.
402Allmänna bestämmelser om personuppgiftsbehandling
ursprung i den tidigare gällande lagen om folkbokföringsregister. Punkten införs i tillämpningsområdet för att det ska vara tydligt att den nya lagen omfattar sådan personuppgiftsbehandling som behöver utföras till följd av Skatteverkets uppgifter i denna del och att det är en del av folkbokföringsverksamheten. Det ska också anges att begreppet folkbokföringsverksamhet omfattar aktualisering, komplettering och kontroll av personuppgifter samt uttag av urval av personuppgifter. Även detta anges som särskilda ändamål i dag (1 kap. 4 § första stycket 5 och 6 FdbL). Ändamålen fanns ursprungligen i den tidigare gällande lagen om aviseringsregister, vilket reglerade ett register som syftade till tillhandahållande av folkbokföringsuppgifter för hela landet. 68 Att folkbokföringen fortsatt har i uppdrag att förse andra med folkbokföringsuppgifter framgår bl.a. av 2 § förordningen (2017:154) med instruktion för Skatteverket. Där anges bl.a. att uppgifterna i folkbokföringen ska spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. Sådan verksamhet som här avses ingår i folkbokföringsverksamheten även i dag. För att det ska vara tydligt att Skatteverket ska utföra aktuella uppgifter inom folkbokföringsverksamheten finner vi skäl att föreslå att det uttryckligen ska framgå i regleringen av den nya folkbokföringsdatalagens tillämpningsområde. Slutligen anser vi att det ska anges att med folkbokföringsverksamhet avses annan liknande uppgift än de ovan uppräknade som Skatteverket ska utföra. Med denna lydelse avses ytterligare andra uppgifter som Skatteverket ska utföra, och som kan anses ha en så nära koppling till de övriga punkterna om vad som utgör folkbokföringsverksamhet att det inte behöver anges särskilt. Avsikten är, på samma sätt som ovan anges avseende beskattningsverksamheten, att sådana uppgifter ska omfattas av tillämpningsområdet genom att de avser folkbokföringsverksamhet. I detta ingår också uppgifter med koppling till folkbokföringsverksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i folkbokföringsdatalagen inte göras varje gång Skatteverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska be-
68 1 § lagen om aviseringsregister.
403Allmänna bestämmelser om personuppgiftsbehandling
handlas automatiserat enligt den nya lagen. På samma sätt som anges ovan i avsnitt 7.4.5 avseende beskattningsverksamheten blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under folkbokföringsdatalagen, eller om tillämpningsområdet behöver utökas. Som ett exempel på annan liknande uppgift som Skatteverket ska utföra inom folkbokföringsverksamheten men som vi inte anser behöver anges uttryckligen är handläggning av folkbokföringsärenden enligt den materiella regleringen av detta (se vidare nedan). Vidare finns vissa typer av ärenden som Skatteverket handlägger inom ramen för folkbokföringsverksamheten vilka har sin materiella grund även i annan lagstiftning än folkbokföringslagen. Det handlar t.ex. som ovan nämnts om bestämmelser i lagen om personnamn avseende myndighetens prövning av frågor rörande personnamn och i äktenskapsbalken i fråga om myndighetens prövning av äktenskapshinder. Även handläggning av sådana ärenden omfattas av den nya lagens tillämpningsområde.
Folkbokföringsverksamheten i övrigt
I dag finns ett särskilt ändamål i 1 kap. 4 § första stycket 2 som föreskriver att uppgifter får behandlas för att tillhandahålla information som behövs för handläggning av folkbokföringsärenden. Skatteverkets handläggning av folkbokföringsärenden enligt den materiella regleringen om detta i bl.a. folkbokföringslagen får anses vara ett naturligt led i myndighetens folkbokföringsverksamhet. Detsamma gäller egentligen all handläggning av ärenden som utförs av Skatteverkets folkbokföringsverksamhet. Vi anser därför att det inte uttryckligen behöver anges för att det ska vara tydligt att folkbokföringsdatalagen även omfattar sådana åtgärder. I 1 kap. 4 § första stycket 3 anges att uppgifter får behandlas för fullgörande av underrättelseskyldighet enligt lag eller förordning. Vi anser att detta är en så integrerad del av folkbokföringsverksamheten att det inte särskilt behöver anges som en del av tillämpningsområdet. Det kommer vidare att framgå av 7 § i den föreslagna folkbokföringsdatalagen att uppgifter får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
404Allmänna bestämmelser om personuppgiftsbehandling
I likhet med skattedatabaslagen innehåller den nuvarande folkbokföringsdatabaslagen ett ändamål om tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten (1 kap. 4 § första stycket 7). I förarbetena till den bestämmelsen angav regeringen att det dåvarande Riksskatteverket och skattemyndigheterna måste ha möjlighet att som ett led i folkbokföringsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs. följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden. 69 Detta gör sig fortfarande gällande i Skatteverkets folkbokföringsverksamhet. Av samma skäl som ovan anförs i avsnitt 7.4.5 avseende beskattningsverksamheten anser vi att sådana åtgärder som rör Skatteverkets egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av folkbokföringsdatalagens tillämpningsområde.
Folkbokföringsdatalagen bör inte omfatta personuppgiftsbehandling i viss del av passmyndigheternas verksamhet
Som redan nämnts omfattar folkbokföringsdatabaslagen i dag behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (1 kap. 1 § FdbL). Tillämpningsområdet utökades på detta sätt när passmyndigheterna gavs i uppgift att utföra vissa identitetskontroller i samband med bl.a. tilldelning av samordningsnummer som innebar att behandling av personuppgifter behövde utföras. Skatteverket och passmyndigheterna ålades då att ansvara för den behandling av personuppgifter som respektive myndighet utför i detta sammanhang, vilket framgår av 1 kap. 5 § FdbL. 70 I avsnitten 9.4.6 och 9.4.9 föreslår vi att vissa integritetshöjande bestämmelser avseende de aktuella personuppgifterna flyttas från dataskyddsregleringen för folkbokföringsverksamheten till den materiella regleringen av Skatteverkets verksamhet med folkbokföring respektive samordningsnummer. I avsnitt 7.6.2 gör vi därför bedömningen att det inte bör införas en reglering i den nya folkbokföringsdatalagen som motsvarar den nu gällande bestämmelsen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför
69 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140. 70 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 80–83.
405Allmänna bestämmelser om personuppgiftsbehandling
enligt den lagen. Vi anser att det är tillräckligt att regleringen i dataskyddsförordningen och dataskyddslagen gäller för den behandling passmyndigheterna behöver utföra vid identitetskontroller i samband med bl.a. tilldelning av samordningsnummer. Denna bedömning medför enligt vår mening att det inte finns något behov av att i den nya folkbokföringsdatalagens tillämpningsområde ange att den gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer. Vi anser därför att en bestämmelse motsvarande den som finns i 1 kap. 1 § andra stycket FdbL inte bör införas i folkbokföringsdatalagen.
7.4.7 Tulldatalagens tillämpningsområde
Vårt förslag: Tulldatalagen ska gälla vid behandling av personuppgifter i Tullverkets verksamhet 1. med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter, 2. med övervakning, revision och annan analys eller kontroll, 3. i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande, 4. med fullgörande av förpliktelser som följer av internationella åtaganden, och 5. med annan liknande uppgift som Tullverket ska utföra.
Bestämmelserna i tulldatalagen ska inte gälla vid behandling av personuppgifter som omfattas av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Skälen för vårt förslag
Den nuvarande regleringen
Av 1 kap. 1 § första stycket TDL framgår bl.a. att lagen är tillämplig vid behandling av personuppgifter i Tullverkets verksamhet. I förarbetena till den nuvarande regleringen finns inte några utförliga redo-
406Allmänna bestämmelser om personuppgiftsbehandling
görelser för vad som avsågs omfattas av begreppet Tullverkets verksamhet. Lagen ersatte dock den tidigare tullregisterlagen (1990:137) som reglerade behandling av personuppgifter inom Tullverkets fiskala verksamhet. I en bestämmelse i lagens 2 § angavs vad tullregistret fick användas för, genom vilken det gick att utläsa vilken verksamhet som avsågs. Dessa bestämmelser om ändamål fördes i princip över 71 till tulldatabaslagen endast med vissa redaktionella ändringar. Utöver vissa justeringar av tulldatabaslagens tillämpningsområde i förhållande till myndighetens brottsbekämpande verksamhet har ändringar inte gjorts sedan lagen infördes.
Den nya tulldatalagens materiella tillämpningsområde
Den nya tulldatalagen bör ha samma materiella tillämpningsområde som tulldatabaslagen. Tulldatalagen föreslås därför som utgångspunkt omfatta behandling av personuppgifter i Tullverkets verksamhet. I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya tulldatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande tulldatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. Mot bakgrund av hur tulldatabaslagen är utformad i dag kan det komma att leda till vissa otydligheter avseende vad som kommer att omfattas av den nya lagen. Med anledning av att vi föreslår att dagens detaljerade ändamålsreglering inte ska överföras till den nya lagen anser vi att det i tulldatalagen bör införas en reglering i anslutning till bestämmelsen om lagens tillämpningsområde som tydliggör vad som avses med Tullverkets verksamhet i lagen. På detta sätt kommer det enligt vår mening fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde i fråga om vad som avses med Tullverkets verksamhet eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt tulldatabaslagen i dag. Regleringen ska därför ha sin utgångspunkt i för vilka primära ändamål uppgifter får behandlas enligt 1 kap. 4 § TDL. I det följande behandlas vad som i den nya tulldatalagen ska avses med Tullverkets verksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
71 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
407Allmänna bestämmelser om personuppgiftsbehandling
Vad innefattas i Tullverkets verksamhet?
I bestämmelsen om tulldatalagens tillämpningsområde ska för det första anges att lagen gäller vid behandling av personuppgifter i Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, skatt och avgifter. Det gör det tydligt att lagen omfattar utförandet av sådana uppgifter som är ett led i Tullverkets fiskala verksamhet. Lydelsen motsvarar vad som i dag anges som ett särskilt ändamål i 1 kap. 4 § 1 TDL. Vidare bör det uttryckligen anges att tulldatalagen gäller i Tullverkets verksamhet med övervakning, revision och annan analys eller kontroll. Detta utgör en stor och mycket nödvändig del av Tullverkets verksamhet och utfallet av sådana åtgärder ligger ofta till grund för bl.a. myndighetens bestämmande av tull, skatt och avgifter. Det finns därför skäl att tydliggöra att den behandling av personuppgifter som då behöver utföras omfattas av regleringen i tulldatalagen. Vi anser att det också bör tydliggöras att Tullverkets verksamhet i fråga om förbud och restriktioner i samband med in- och utförsel av varor och i samband med att varor hänförs till ett tullförfarande omfattas av lagens tillämpningsområde. Detta anges inte som ett särskilt ändamål eller i någon annan bestämmelse i tulldatabaslagen i dag. Vårt förslag i denna del till förtydligande av att det omfattas av Tullverkets verksamhet är en följd av de särskilda import- eller exportbestämmelser, dvs. restriktioner, som finns för vissa varor och som främst härrör från EU-rättslig reglering. För sådana varor krävs i vissa fall en licens eller ett tillstånd innan import är tillåten. Restriktionerna har bl.a. införts av handelspolitiska skäl, av hänsyn till miljön och människors hälsa eller säkerhet samt för att förhindra spridning av djur- och växtsjukdomar. Tullverkets uppgifter som är hänförliga till denna reglering utgör inte ett direkt eller närliggande led i verksamheten med att säkerställa en korrekt uppbörd, men de kan anses falla under fullgörande av förpliktelser som följer av internationella åtaganden (se nedan). För att tydligt knyta an till Tullverkets uppgifter att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs 72 anser vi dock att det finns skäl att tydliggöra att tulldatalagen även omfattar denna verksamhet. Vi föreslår att det ska anges särskilt i lagen.
72 Se 2 § förordningen (2016:1332) med instruktion för Tullverket.
408Allmänna bestämmelser om personuppgiftsbehandling
Vi föreslår också att det i lagen särskilt ska anges att den gäller vid behandling av personuppgifter i Tullverkets verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden. Motsvarande anges i dag i ett särskilt ändamål i 1 kap. 4 § 3 TDL och infördes i samband med tulldatabaslagens ikraftträdande. I förarbetena anges att införandet ändamålet var en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. tull- och punktskatteområdet. Dessa skyldigheter kunde innebära att personuppgifter och andra uppgifter var tvunget att behandlas på sätt som saknade direkt relevans för den nationella fiskala verksamheten. 73 Av motsvarande skäl som anges ovan i avsnitt 7.4.5 om Skatteverkets beskattningsverksamhet anser vi att det uttryckligen bör anges att fullgörandet av sådana förpliktelser som följer av bl.a. EU-rättslig lagstiftning omfattas av tulldatalagens tillämpningsområde genom att det utgör en del av Tullverkets verksamhet. Slutligen anser vi att det ska anges att lagen gäller vid behandling av personuppgifter i Tullverkets verksamhet med annan liknande uppgift som Tullverket ska utföra än de ovan uppräknade. Med denna lydelse avses ytterligare andra uppgifter som Tullverket ska utföra, och som kan anses ha en nära koppling till Tullverkets verksamhet utan att det kan anses falla under övriga föreslagna punkter. I detta ingår också uppgifter med koppling till den verksamhet som ska utföras på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i tulldatalagen inte göras varje gång Tullverket åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska behandlas automatiserat enligt den nya lagen. På samma sätt som ovan anges för Skatteverkets beskattnings- och folkbokföringsverksamheter blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under tulldatalagen, eller om tillämpningsområdet behöver utökas (se avsnitten 7.4.5 och 7.4.6). Exempelvis anser vi att uppgifter som behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer (jfr 1 kap. 4 a § TDL) bör omfattas av begreppet annan lik-
73 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 176.
409Allmänna bestämmelser om personuppgiftsbehandling
nande uppgift som Tullverket ska utföra (se vidare om detta nedan). Ett annat exempel är behandling av personuppgifter vid förebyggande informationsinsatser och service som förklarar hur tullproceduren går till, vilket är ett led i Tullverkets arbete med att minska skattefelet.
Tullverkets verksamhet i övrigt
I likhet med vad som gäller för Skatteverkets beskattnings- och folkbokföringsverksamheter anges i 1 kap. 4 § 4 TDL i dag att uppgifter får behandlas för att tillhandahålla information som behövs hos Tullverket för tillsyn, kontroll, uppföljning och planering av verksamheten. I förarbetena till den bestämmelsen uppgav regeringen att Tullverket måste ha möjlighet att som ett led i den fiskala verksamheten behandla personuppgifter med syfte att kartlägga denna, dvs. följa upp verksamheten och planera för åtgärder som ska vidtas i framtiden. 74 Detta gör sig fortfarande gällande. Av samma skäl som ovan anförs i avsnitt 7.4.5 avseende beskattningsverksamheten anser vi att sådana åtgärder som rör Tullverkets egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av tulldatalagens tillämpningsområde. Vidare anges i dag som ett särskilt ändamål i 1 kap. 4 a § TDL att uppgifter får behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer. Bestämmelsen infördes i samband med införandet av ändringar som behövde göras i den svenska lagstiftningen till följd av att det i EU-rätten infördes regler om enhetstillstånd vid övergång till fri omsättning och export, dvs. ett tillstånd som medgav att en importör eller exportör fullgjorde sina deklarations- och betalningsskyldigheter beträffande tull gentemot en viss tullmyndighet även om varorna rent fysiskt importerades till eller exporterades från en annan medlemsstat. Det infördes vidare bestämmelser i 2 kap. 8 a § TDL som medgav att Tullverket offentliggjorde förteckningar över medgivna tillstånd och innehavare av certifikat för godkända ekonomiska aktörer via Internet. 75 Denna paragraf upphävdes i samband med att en ny tullag infördes 2016. 76
74 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177. 75 Prop. 2009/10:63, Enhetstillstånd för förenklade förfaranden – nya bestämmelser i EG:s tullagstiftning, s. 1. 76 2 kap. 8 a § upphävd genom SFS 2016:276.
410Allmänna bestämmelser om personuppgiftsbehandling
I motiveringen till införandet av bestämmelsen i 1 kap. 4 a § TDL, då det tidigare dataskyddsdirektivet från 1995 77 gällde, anförde regeringen att för att undanröja eventuella tveksamheter beträffande om uppgifter fick behandlas för ändamålet att göra dem tillgängliga för allmänheten, föreslogs en ny ändamålsbestämmelse om detta. 78 Vi anser att Tullverkets uppgifter i dessa delar har en så nära koppling till myndighetens fiskala verksamhet att det inte uttryckligen behöver regleras i tulldatalagens tillämpningsområde då det faller in under begreppet annan liknande uppgift som Tullverket ska utföra. Det bedöms även vara en del av Tullverkets verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden.
Tulldatalagen ska inte gälla vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet
I 1 kap. 1 § TDL tredje stycket föreskrivs att lagen inte gäller vid behandling av personuppgifter i den brottsbekämpande verksamhet som Tullverket bedriver. En bestämmelse med motsvarande innebörd har funnits med i regleringen av tulldatabaslagens tillämpningsområde sedan lagen infördes. När den nu gällande lydelsen infördes i samband med att lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område trädde i kraft uttalade regeringen det i fortsättningen skulle avgöras utifrån syftet med behandlingen vilken reglering som är tillämplig när personuppgifter behandlas i Tullverkets brottsbekämpande verksamhet. Om syftet är att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott tillämpas brottsdatalagen och lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, medan dataskyddsförordningen med kompletterande lagstiftning är tillämplig om syftet ligger utanför dessa lagars tillämpningsområden. 79 I 1 kap. 1 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område anges att den lagen gäller utöver brottsdatalagen när Tullverket i egenskap av behörig myndighet behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa uppbörd.
77 Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 78 Prop. 2009/10:63, Enhetstillstånd för förenklade förfaranden – nya bestämmelser i EG:s tullagstiftning, s. 37. 79 Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 385.
411Allmänna bestämmelser om personuppgiftsbehandling
Tullverket är organiserat så att verksamheten som faller inom ramen för tulldatabaslagens tillämpningsområde och den brottsbekämpande verksamheten inte anses utgöra två separata verksamhetsgrenar 80 varemellan sekretess råder. Detta skiljer sig från Skatteverkets beskattningsverksamhet och brottsbekämpande verksamhet. Eftersom Tullverkets behandling av personuppgifter i myndighetens brottsbekämpande verksamhet regleras i lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område, bör sådan behandling av tydlighetsskäl uttryckligen undantas från den nya tulldatalagens tillämpningsområde. Vi föreslår därför att tulldatalagen inte ska gälla vid behandling av personuppgifter som omfattas av lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
7.4.8 Kronofogdedatalagens tillämpningsområde
Vårt förslag: Kronofogdedatalagen ska gälla vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med 1. utsökning och indrivning, 2. skuldsanering och F-skuldsanering, 3. betalningsföreläggande och handräckning, 4. europeiskt betalningsföreläggande, 5. ansökan om och tillsyn över näringsförbud, 6. tillsyn i konkurs och över rekonstruktörer, 7. att motverka överskuldsättning, 8. analys eller kontroll, 9. fullgörande av förpliktelser som följer av internationella åtaganden, och 10. annan liknande uppgift som Kronofogdemyndigheten ska utföra.
80 Jfr 8 kap. 2 § OSL.
412Allmänna bestämmelser om personuppgiftsbehandling
Den föreslagna bestämmelsen om att Kronofogdemyndigheten på begäran av en enskild snarast ska rätta, blockera eller utplåna sådana uppgifter om den enskilde som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser ska även gälla vid behandling av uppgifter om juridiska personer. Detsamma gäller Kronofogdemyndighetens underrättelseskyldighet i fråga om sådan åtgärd. Även den föreslagna bestämmelsen om överklagande av sådana beslut om rättelse m.m. ska gälla vid behandling av uppgifter om juridiska personer. Bestämmelserna i kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning.
Skälen för vårt förslag
Den nuvarande regleringen
I 1 kap. 1 § första stycket KFMdbL anges bl.a. att lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering, F-skuldsanering, betalningsföreläggande och handräckning, europeiskt betalningsföreläggande, tillsyn i konkurs samt i annan verksamhet som särskilt åligger Kronofogdemyndigheten. När kronofogdedatabaslagen infördes fanns tio regionala kronofogdemyndigheter i stället för den i dag rikstäckande myndigheten benämnd Kronofogdemyndigheten. Inom de dåvarande kronofogdemyndigheternas områden föll ett flertal verksamheter av skilda slag. Det var verksamhet med utsökning och indrivning, skuldsanering, betalningsföreläggande och handräckning samt tillsyn i konkurs. Dessutom fanns det vissa mindre arbetsuppgifter som särskilt åvilade kronofogdemyndigheterna. De register som fördes för de olika verksamhetsområdena var tidigare reglerade i olika författningar. Genom kronofogdedatabaslagen kom dock verksamheterna att omfattas av en gemensam reglering. 81
81 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156.
413Allmänna bestämmelser om personuppgiftsbehandling
De mindre arbetsuppgifter som avsågs var upptagning av protester av växlar och checkar, registrering av avhandlingar om lösöreköp, beslut när arbetsgivare ska utnyttja sin kvittningsrätt mot arbetstagare, processer i vissa lönegarantimål, kallelse på okända borgenärer samt underrättelser till målsägande i brottmål. I fråga om dessa mindre arbetsuppgifter ansåg regeringen att behandling av uppgifterna inte behövde regleras i en eller flera för ändamålen särskilt inrättade databaser. Då behandlades personuppgifter avseende dessa områden i kronofogdemyndigheternas allmänna diarier. Behandling av personuppgifter för dessa syften, med undantag från processer i vissa lönegarantimål, borde enligt regeringen omfattas av bestämmelserna i utsöknings- och indrivningsdatabasen. Den behandling av personuppgifter som behövde utföras när kronofogdemyndigheterna förde statens talan i processer enligt lönegarantilagen (1992:497), åvilade tillsynsmyndigheterna i konkurs. Sådan behandling borde därför enligt regeringen regleras gemensamt med behandling av ärenden i konkurstillsynsdatabasen. 82
Den nya kronofogdedatalagens materiella tillämpningsområde
Den nya kronofogdedatalagen bör ha samma materiella tillämpningsområde som kronofogdedatabaslagen. Kronofogdedatalagen föreslås därför som utgångspunkt omfatta behandling av personuppgifter i Kronofogdemyndighetens verksamhet. I likhet med övriga berörda myndigheters verksamheter gör vi i avsnitt 8.4.3 bedömningen att den nya kronofogdedatalagen inte längre ska innehålla lika detaljerade ändamålsbestämmelser som den nuvarande kronofogdedatabaslagen. I avsnitt 9.4.2 föreslår vi vidare att dagens databasreglering ska upphöra att gälla. Mot bakgrund av hur kronofogdedatabaslagen är utformad i dag kan det komma att leda till vissa otydligheter avseende vad som kommer att omfattas av den nya lagen. Genom regleringen i den nuvarande kronofogdedatabaslagen kan tillämpningsområdet sett tillsammans med för vilka ändamål uppgifter får behandlas i de olika databaserna sägas ge en tydligare bild av vad personuppgiftsbehandlingen i Kronofogdemyndighetens verksamhet omfattar.
82 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 157.
414Allmänna bestämmelser om personuppgiftsbehandling
Med anledning av att vi föreslår att ändamålsregleringen inte ska överföras till den nya lagen på det detaljerade sätt som finns i dag anser vi att det i kronofogdedatalagen bör införas en reglering i anslutning till bestämmelsen om lagens tillämpningsområde som definierar och på så sätt tydliggör vad som avses med Kronofogdemyndighetens verksamhet i lagen. På detta sätt kommer det enligt vår mening fortsatt vara tydligt i vilken verksamhet lagen ska tillämpas. Avsikten är dock inte att förändra den nya lagens tillämpningsområde eller inskränka för vilka ändamål uppgifter får behandlas i förhållande till vad som gäller enligt kronofogdedatabaslagen i dag. Regleringen ska därför ha sin utgångspunkt i det nuvarande tillämpningsområdet samt för vilka primära ändamål uppgifter får behandlas enligt 2 kap. 2, 8, 14 och 20 §§ KFMdbL. I det följande behandlas vad som i den nya kronofogdedatalagen ska avses med Kronofogdemyndighetens verksamhet och våra bedömningar av vad som uttryckligen behöver anges i lagen.
Vad innefattas i Kronofogdemyndighetens verksamhet?
I bestämmelsen om kronofogdedatalagens tillämpningsområde ska för det första framgå att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med utsökning och indrivning, skuldsanering och F-skuldsanering, betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande. Detta framgår även av den nu gällande kronofogdedatabaslagens tillämpnings- 83 område. Någon skillnad i sak är inte avsedd. Med utsökning och indrivning avses därmed bl.a. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, indrivning av statliga fordringar m.m. och avräkning vid återbetalning av skatter och avgifter. Till denna verksamhet kan också hänföras t.ex. myndighetens uppgift att lämna underrättelser till målsäganden i brottmål, anmäla misstanke om brott och att fullgöra sina uppgifter enligt bötesverkställighetslagen (1979:189) med tillhörande förordning. 84
83 1 kap. 1 § första stycket KFMdbL. 84 Jfr 2 kap. 2 § och 2 kap. 5 § KFMdbL samt 2 § KFMdbF.
415Allmänna bestämmelser om personuppgiftsbehandling
Vad gäller Kronofogdemyndighetens verksamhet med skuldsanering och F-skuldsanering så omfattar det bl.a. handläggning av ärenden om skuldsanering och F-skuldsanering. 85 I myndighetens verksamhet med betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande ingår t.ex. uppgifter såsom handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande, tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande. 86 Vidare ska det av kronofogdedatalagen framgå att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med tillsyn i konkurs och över rekonstruktörer. Det ska också framgå att lagen gäller i myndighetens verksamhet med ansökan om och tillsyn över näringsförbud. I dag anges i kronofogdedatabaslagen att den lagen tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med tillsyn i konkurs. 87 Vi anser alltså att det fortsatt ska framgå att tillsyn i konkurs utgör en del i Kronofogdemyndighetens verksamhet varvid kronofogdedatalagen ska tillämpas på den personuppgiftsbehandling som behöver utföras i verksamheten. I denna del av myndighetens verksamhet ingår uppgifter såsom t.ex. handläggning av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen 88 (1992:497). Även inom ramen för tillsyn i konkurs kan det dock vara aktuellt med ansökan om näringsförbud enligt lagen (2014:836) om näringsförbud. Tillsyn över rekonstruktörer kan alltså möjligen anses vara en del av konkurstillsynsverksamheten, medan ansökan om och tillsyn över näringsförbud möjligen kan ses som en del i verksamheten med utsökning och indrivning till följd av den nuvarande databasregleringen. 89 Att dessa verksamheter har inordnats under konkurstillsyn respektive utsökning och indrivning i den nuvarande kronofogdedatabaslagen kan dock ha att göra med den nuvarande databasregleringens struktur. För detta talar till viss del att lagstiftaren vad gäller sekretess enligt 34 kap. 1 § OSL har valt att ange både utsökning och
85 Jfr 2 kap. 14 § KFMdbL. Jfr även 2 kap. 17 § KFMdbL och 4 § KFMdbF. 86 Jfr 2 kap. 8 § KFMdbL. Jfr även 2 kap. 11 § KFMdbL och 3 § KFMdbF. 87 1 kap. 1 § första stycket KFMdbL. 88 Jfr 2 kap. 20 § KFMdbL. Jfr även 2 kap. 22 § KFMdbL och 5 § KFMdbF. 89 Jfr 2 kap. 2 § 4 KFMdbL, prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 158 och prop. 2021/22:215, En ny lag om företagsrekonstruktion, s. 327–329.
416Allmänna bestämmelser om personuppgiftsbehandling
indrivning samt verksamhet enligt lagen (2014:836) om näringsförbud uttryckligen i sekretessbestämmelsen. Att myndigheten har i uppgift att bedriva tillsyn över rekonstruktörer framgår av 1 § förordningen (2016:1333) med instruktion för Kronofogdemyndigheten och 7 kap. 1 § lagen (2022:964) om företagsrekonstruktion och anges som ett särskilt ändamål för konkurstillsynsdatabasen i 2 kap. 20 § 1 KFMdbL. Att Kronofogdemyndigheten ska utöva tillsyn över näringsförbud framgår av 41 § lagen om näringsförbud och anges även som ett särskilt ändamål för utsöknings- och indrivningsdatabasen i dag i 2 kap. 2 § 4 KFMdbL. Även om tillsyn över rekonstruktörer och ansökan om och tillsyn över näringsförbud i dag skulle anses omfattas av verksamheten med konkurstillsyn respektive utsökning och indrivning till följd av regleringen i kronofogdedatabaslagen anser vi att dessa uppgifter som myndigheten har att utföra uttryckligen ska anges i kronofogdedatalagens tillämpningsområde. Det gör det enligt vår mening tydligt att kronofogdedatalagen ska tillämpas vid den personuppgiftsbehandling som sker i all tillsynsverksamhet som Kronofogdemyndigheten ska bedriva enligt materiell verksamhetsreglering. Det korrelerar även bättre med gällande sekretessregler i verksamhet med utsökning och indrivning. Detta hindrar dock inte att dessa verksamheter samtidigt kan anses vara en del av verksamheten med tillsyn i konkurs respektive utsökning och indrivning, eller en separat verksamhet. Vi anser följaktligen att det i den nya kronofogdedatalagen ska anges att lagen gäller i Kronofogdemyndighetens verksamhet med ansökan om och tillsyn över näringsförbud, respektive med tillsyn i konkurs och över rekonstruktörer. Vidare anser vi att det i kronofogdedatalagen ska anges att lagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med att motverka överskuldsättning. Denna uppgift framgår inte av 1 kap. 1 § KFMdbL i dag. I 2 § förordningen med instruktion för Kronofogdemyndigheten framgår dock att Kronofogdemyndigheten ska verka för att en god betalningsvilja upprätthålls i samhället och att överskuldsättning motverkas. Att myndigheten får behandla uppgifter i utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen, skuldsaneringsdatabasen och konkurstillsynsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och i förekommande fall Skatteverkets verksamhet för förebyggande av överskuldsättning framgår
417Allmänna bestämmelser om personuppgiftsbehandling
av särskilda ändamålsbestämmelser för respektive databas. 90 Med överskuldsättning avses en situation där gäldenärens skulder är så omfattande att det saknas möjlighet att infria förpliktelserna allteftersom skulderna förfaller till betalning och denna oförmåga inte är endast tillfällig. 91 Verksamheten med att motverka överskuldsättning har av regeringen tidigare setts som en sådan annan verksamhet som särskilt åligger Kronofogdemyndigheten och som därmed inte behöver anges uttryckligen i kronofogdedatabaslagens tillämpningsområde (jfr 1 kap. 1 § KFMdbL). När förebyggande av överskuldsättning infördes som ett särskilt ändamål uttalade regeringen att verksamheten inte är en självständig verksamhet i förhållande till myndighetens verksamhet med utsökning och indrivning (verkställighet), betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande (summarisk process), skuldsanering och konkurstillsyn. Enligt regeringen utgjorde det snarare en kompletterande och integrerad del av dessa verksamheter. För att kunna bedriva ett effektivt arbete inom området ansågs denna förebyggande verksamhet behöva kunna använda uppgifter som behandlades i de olika verksamheternas databaser. Det borde enligt regeringen även finnas möjlighet att dokumentera och samla in uppgifter som endast behövdes för den förebyggande verksamheten. De då gällande ändamålsbestämmelserna ansågs inte täcka den förebyggande verksamheten på ett tillräckligt tydligt sätt, varför regeringen bedömde att en komplettering var nödvändig. 92 Eftersom Kronofogdemyndighetens verksamhet med att motverka överskuldsättning är en kompletterande och integrerad del av myndighetens övriga reglerade verksamhetsområden kan det ifrågasättas om det finns något behov av att ange det uttryckligen i en bestämmelse om kronofogdedatalagens tillämpningsområde. För att regleringen i den nya kronofogdedatalagen ska bli tillräckligt tydlig anser vi dock att det ska framgå att lagen omfattar behandling av personuppgifter i Kronofogdemyndighetens verksamhet med att motverka överskuldsättning. Med motverkande av överskuldsättning avses samma sak som förebyggande av överskuldsättning. Genom att använda begreppet motverka överskuldsättning anser vi dock att lydelsen stämmer
90 2 kap. 2 § 5, 2 kap. 8 § 3, 2 kap. 14 § 2 och 2 kap. 20 § 2 KFMdbL. 91 Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 33. 92 Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 24–26.
418Allmänna bestämmelser om personuppgiftsbehandling
bättre överens med regleringen i 2 § förordningen med instruktion för Kronofogdemyndigheten. I sak avses dock ingen ny verksamhet. Vi anser också att det uttryckligen ska framgå att Kronofogdemyndighetens verksamhet med analys och kontroll omfattas av kronofogdedatalagens tillämpningsområde. Motsvarande finns inte i kronofogdedatabaslagens bestämmelser om tillämpningsområde i dag, och det finns inte heller något särskilt ändamål som har den lydelsen för någon av databaserna. Även Kronofogdemyndigheten, likt Tullverket och Skatteverket inom ramen för beskattningsverksamheten, utför dock olika former av analyser inom ramen för sin verksamhet även om det inte är lika omfattande som vid de andra myndigheterna. Till exempel bearbetas inom ramen för uppgiften att motverka överskuldsättning befintliga uppgifter och utifrån dessa identifieras tendenser som kan leda till överskuldsättning. Vidare utförs analyser av uppgifter i databaserna för att se om myndigheten kan identifiera nya skuldfällor eller tendenser kring skulder och skuldutveckling. 93 Med kontroll avses i detta sammanhang extern kontroll, till skillnad från intern kontroll av den egna verksamheten. När det gäller Kronofogdemyndighetens kontrollverksamhet är denna inte lika omfattande som vid t.ex. Tullverket. Även Kronofogdemyndigheten måste dock utföra olika typer av kontroller inom ramen för utförandet av sina uppgifter, bl.a. för att säkerställa att beslut fattas på korrekta grunder samt för att förebygga och motverka ekonomisk brottslighet. Även om analys och kontroll kan sägas ingå som ett led i de reglerade verksamheterna vid Kronofogdemyndigheten anser vi att det bör klargöras att den behandling av personuppgifter som då sker ska omfattas av kronofogdedatalagens bestämmelser. Vidare anser vi att det uttryckligen ska framgå att kronofogdedatalagen ska tillämpas vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med fullgörande av förpliktelser som följer av internationella åtaganden. I dag anges i 2 kap. 2 § 6 KFMdbL att uppgifter får behandlas i utsöknings- och indrivningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Ändamålet infördes för att klargöra att uppgifter får behandlas i utsöknings- och indrivningsdatabasen för sådana ändamål. I förarbetena anges som exempel på sådana åtaganden de som följer av Sveriges
93 Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.
419Allmänna bestämmelser om personuppgiftsbehandling
medlemskap i EU och som regleras i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, men också sådana som följer av exempelvis det nordiska handräckningsavtalet och Europaråds- och OECD-konventionen om ömsesidig handräckning i skatteärenden. 94 I likhet med vad vi anfört avseende Skatteverkets beskattningsverksamhet ovan (se avsnitt 7.4.5) anser vi att det bör tydliggöras att även Kronofogdemyndighetens skyldigheter enligt bl.a. sådana internationella åtaganden som nu nämnts innefattas i Kronofogdemyndighetens verksamhet med följden att kronofogdedatalagen ska tillämpas vid personuppgiftsbehandlingen. Sådana uppgifter kan dock, i likhet med samtliga uppräknade punkter i den föreslagna bestämmelsen, samtidigt falla in under flera punkter såsom t.ex. även verksamhet med utsökning och indrivning. Slutligen anser vi att det ska anges att kronofogdedatalagen gäller vid behandling av personuppgifter i Kronofogdemyndighetens verksamhet med annan liknande uppgift som Kronofogdemyndigheten ska utföra än de ovan uppräknade. Lydelsen liknar vad som anges i 1 kap. 1 § KFMdbL i dag. Med denna föreslagna lydelse avses ytterligare andra uppgifter som Kronofogdemyndigheten ska utföra, och som kan anses ha en nära koppling till myndighetens övriga verksamhet. I detta ingår också uppgifter med koppling till den övriga verksamheten på så sätt att det följer av mer allmänna krav på myndigheten i t.ex. myndighetsförordningen. På detta sätt behöver ändringar i kronofogdedatalagen inte göras varje gång Kronofogdemyndigheten åläggs sådana uppgifter. Det kan här förtydligas att det förhållandet att t.ex. handläggning av ärenden enligt en viss materiell lagstiftning inte uttryckligen framgår av tillämpningsområdet, inte innebär att uppgifter som behövs för sådan handläggning inte får eller ska behandlas automatiserat enligt den nya lagen. På samma sätt som ovan anges för bl.a. Skatteverkets beskattningsverksamhet blir det ytterst en fråga för lagstiftaren att avgöra den precisa gränsdragningen i fråga om en viss ny uppgift faller in under kronofogdedatalagen, eller om tillämpningsområdet behöver utökas (se avsnitt 7.4.5). Exempel på annan liknande uppgift som Kronofogdemyndigheten har att utföra är att förebygga och motverka ekonomisk brottslighet (4 § första stycket förordningen med instruktion för Kronofogdemyndigheten).
94 Prop. 2011/12:15, Genomförande av det nya EU-direktivet om bistånd med indrivning, s. 72.
420Allmänna bestämmelser om personuppgiftsbehandling
Kronofogdemyndighetens verksamhet i övrigt
I dag anges för alla databaser, utöver skuldsaneringsdatabasen, att uppgifter i dessa får användas för information om skuldsanering och 95 F-skuldsanering. Att kronofogdedatalagen även gäller vid sådan behandling kommer att framgå av tillämpningsområdet som uttryckligen anger skuldsanering och F-skuldsanering. Slutligen anges i 2 kap. 2 § 7, 2 kap. 8 § 4, 2 kap. 14 § 4 och 2 kap. 20 § 3 KFMdbL att uppgifter får behandlas för att tillhandahålla information som behövs hos Kronofogdemyndigheten för tillsyn, kontroll, uppföljning och planering av verksamheten. I förarbetena till dessa bestämmelser uppgav regeringen bl.a. att de dåvarande kronofogdemyndigheterna måste ha möjlighet att behandla personuppgifter med syfte att följa upp verksamheten och planera för åtgärder 96 som ska vidtas i framtiden, varför ändamålen infördes. Detta gör sig fortfarande gällande i Kronofogdemyndighetens verksamhet. Av samma skäl som bl.a. ovan anförs i avsnitt 7.5.4 avseende beskattningsverksamheten anser vi att sådana åtgärder som rör Kronofogdemyndighetens egen interna verksamhet inte utgör en så fristående del att det särskilt behöver anges i regleringen av kronofogdedatalagens tillämpningsområde.
Vissa bestämmelser om rättelse m.m. samt överklagande ska även gälla vid behandling av uppgifter om juridiska personer
I avsnitt 7.8.3 nedan föreslår vi att det ska införas en bestämmelse i den nya kronofogdedatalagen som bl.a. reglerar att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. I samband härmed föreslår vi att avseende juridiska personer ska bestämmelsen vara tillämplig beträffande frågan om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Även den föreslagna bestämmelsen om underrättelseskyldighet föreslås vara
95 2 kap. 2 § 5, 2 kap. 8 § 3 och 2 kap. 20 § 2 KFMdbL. 96 Se bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 159.
421Allmänna bestämmelser om personuppgiftsbehandling
tillämplig. Vi föreslår också att en bestämmelse om överklagande av beslut om rättelse m.m. ska vara tillämplig i fråga om juridiska personer. Eftersom vi i avsnitt 7.4.2 föreslår att kronofogdedatalagen som utgångspunkt inte ska vara tillämplig på uppgifter om juridiska personer behöver undantag göras för regleringen i bestämmelsen om rättelse m.m., Kronofogdemyndighetens underrättelseskyldighet och överklagande av beslut i samband härmed. Vi föreslår därför att det i kronofogdedatalagen anges att bestämmelsen om rättelse m.m. av uppgifter som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, bestämmelsen om underrättelseskyldighet samt den tillhörande överklagandebestämmelsen även ska gälla vid behandling av uppgifter om juridiska personer.
Kronofogdedatalagen ska inte gälla vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar
I 1 kap. 1 § första stycket KFMdbL anges i dag att lagen inte tillämpas vid behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning. I samband med att bestämmelsen infördes bedömde regeringen att den generella reglering som finns i EU:s dataskyddsförordning, dataskyddslagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning som utgångspunkt var tillräcklig när det gäller behandlingen av personuppgifter. Följaktligen ansåg regeringen att de särskilda regler om personuppgiftsbehandling som fanns i kronofogdedatabaslagen inte borde tillämpas vid Kronofogdemyndighetens behandling av personuppgifter i insolvensregistret över skuldsaneringar och F-skuldsaneringar. Särskilda bestämmelser i lag om ändamålet med behandlingen och gallring bedömdes dock motiverade att införa i lagen med kompletterande bestämmelser till 2015 års insolvensförordning. 97 Det har inom ramen för utredningen inte kommit fram skäl att frångå regeringens tidigare bedömningar i denna del. Vi föreslår därför att det i den nya kronofogdedatalagen ska anges att bestämmelserna i lagen inte ska gälla vid behandling av personuppgifter i insol-
97 Prop. 2018/19:48, Insolvensregister enligt 2015 års insolvensförordning, s. 28–29.
422Allmänna bestämmelser om personuppgiftsbehandling
vensregistret över skuldsaneringar och F-skuldsaneringar enligt lagen med kompletterande bestämmelser till 2015 års insolvensförordning.
7.5 Lagarnas förhållande till annan reglering
7.5.1 Lagarna ska komplettera den allmänna
dataskyddslagstiftningen
Vårt förslag: Det ska införas bestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att lagarna innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Lagarna ska även innehålla bestämmelser som föreskriver att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandlingen av personuppgifter enligt de nya lagarna, om inte annat följer av de nya lagarna eller föreskrifter som har meddelas i anslutning till dessa.
Skälen för vårt förslag
EU:s dataskyddsförordning är i alla delar bindande och direkt tillämplig i samtliga medlemsstater inom EU. Förordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Den ska alltså tillämpas av myndigheter och enskilda på samma sätt som om den vore lag antagen av Sveriges riksdag. Dataskyddsförordningen gäller alltså oavsett om det i de föreslagna lagarna införs en bestämmelse som hänvisar till den eller inte. Vi anser dock att det i de nya lagarna bör införas upplysningsbestämmelser för att tydliggöra att lagarna innehåller kompletterande bestämmelser till dataskyddsförordningen. Sådana bestämmelser tydliggör de nya lagarnas förhållande till förordningen och klargör att lagarna inte kan tillämpas fristående, utan ska tillämpas tillsammans med dataskyddsförordningen. Bestämmelserna förekommer i berörda myndigheters registerlagar även i dag och vi anser att så bör vara fallet även fortsättningsvis. Hänvisningen till dataskyddsförordningen föreslås vara dynamisk, vilket innebär att hänvisningen avser förordningen i dess vid varje tidpunkt gällande lydelse. Denna hänvisningsteknik bedöms som den
423Allmänna bestämmelser om personuppgiftsbehandling
lämpligaste, eftersom lagarna annars kan komma att behöva ändras vid varje eventuell ändring av dataskyddsförordningen. Bestämmelsen bör därför utformas på motsvarande sätt som i myndigheternas nuvarande registerlagar och som i andra sektorspecifika lagar som kompletterar dataskyddsförordningen (se t.ex. 3 domstolsdatalagen och 1 kap. 3 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). I svensk rätt har det antagits generella kompletterande bestämmelser till dataskyddsförordningen genom dataskyddslagen. Dataskyddslagens bestämmelser är subsidiära i förhållande till annan nationell dataskyddsreglering, dvs. eventuella specialbestämmelser i andra författningar om behandling av personuppgifter ska tillämpas framför de allmänna bestämmelserna i dataskyddslagen. Detta följer direkt av lagen (se 1 kap. 6 § dataskyddslagen). Det behövs därför egentligen inte någon materiell bestämmelse för att specialbestämmelser i de nya lagarna ska ges företräde framför de generella bestämmelserna i dataskyddslagen. För att det, liksom i dag 98 , ska vara tydligt hur de nya lagarna förhåller sig till dataskyddslagen föreslår vi dock att de nya lagarna ska innehålla bestämmelser som tydliggör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid myndigheternas behandling av personuppgifter, om inte annat följer av de nya lagarna eller föreskrifter som har meddelats i anslutning till dessa. Sådana tydliggörande bestämmelser är även vanligt förekommande i andra modernare registerförfattningar (se t.ex. 4 § domstolsdatalagen, 5 § vägtrafikdatalagen och 1 kap. 3 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten).
7.5.2 Kronofogdedatalagens förhållande till EU:s
kvarstadsförordning
Vårt förslag: Det ska införas en bestämmelse i kronofogdedatalagen som tydliggör att de avvikande bestämmelser om behandling av personuppgifter som finns i EU:s kvarstadsförordning gäller i stället för kronofogdedatalagen.
98 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 51–53.
424Allmänna bestämmelser om personuppgiftsbehandling
Skälen för vårt förslag
I 1 kap. 3 b § KFMdbL finns i dag en bestämmelse som föreskriver att de avvikande bestämmelser om behandling av personuppgifter som finns i Europaparlamentets och rådets förordning (EU) nr 655/2014 av den 15 maj 2014 om inrättande av ett europeiskt förfarande för kvarstad på bankmedel för att underlätta gränsöverskridande skuldindrivning i mål och ärenden av privaträttslig natur ska tillämpas i stället för kronofogdedatabaslagen. I förarbetena till bestämmelsen, som infördes i samband med införandet av kompletterande bestämmelser i svensk rätt 99 , anges att uppgifter som Kronofogdemyndigheten kommer att behandla i sin verksamhet för verkställighet och informationsinhämtning enligt kvarstadsförordningen omfattas av kronofogdedatabaslagen. I förordningen, härefter benämnd kvarstadsförordningen, finns dock en särskild bestämmelse om uppgiftsskydd (se artikel 47). I den anges bl.a. att personuppgifter endast får användas för det ändamål för vilka de tas emot, behandlas eller överförs enligt förordningen. I övrigt uppställs krav på att personuppgifter som behandlas ska vara adekvata, relevanta och inte omfatta mer än vad som är nödvändigt med hänsyn till det ändamålet. Det anges också inom vilken tid personuppgifter ska gallras av den behöriga myndigheten, informationsmyndigheten eller annan enhet som ansvarar för verkställigheten. Vidare anges i förarbetena att bestämmelserna om uppgiftsskydd i kvarstadsförordningen har företräde framför svensk lagstiftning som syftar till att uppfylla Sveriges åtaganden enligt dataskyddsdirektivet, t.ex. kronofogdedatabaslagen (artikel 48 d). För att uppmärksamma detta förhållande ansåg regeringen att det borde införas en hänvisning till kvarstadsförordningen i databaslagen. Hänvisningen i databaslagen skulle enligt regeringen utformas så att det framgår att bestämmelser i kvar- 100 stadsförordningen som avviker från databaslagen har företräde. I dag gäller inte längre dataskyddsdirektivet som kvarstadsförordningen hänvisar till genom artikel 48 d. Vi har inte funnit att kvarstadsförordningen har ändrats sedan dataskyddsförordningen trädde i kraft. Avseende bestämmelserna i den föreslagna nya kronofogdedatalagen skiljer sig dessa från de bestämmelser som i dag finns om bl.a. ändamål och gallring i den nuvarande kronofogdedatabaslagen.
99 Se bl.a. lagen (2016:757) om kvarstad på bankmedel inom EU. 100 Prop. 2015/16:148, Kvarstad på bankmedel inom EU, s. 48–49.
425Allmänna bestämmelser om personuppgiftsbehandling
I den nya kronofogdedatalagen föreslår vi bl.a. att det ska finnas en bestämmelse som anger att personuppgifter även får behandlas för andra ändamål än insamlingsändamålet, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (se avsnitt 8.4.5). Vi föreslår också en bestämmelse som föreskriver att personuppgifter inte får behandlas under längre tid än som behövs med hänsyn till ändamålet med behandlingen (se avsnitt 12.4.3). Som nämns ovan finns det i kvarstadsförordningen vissa särskilda bestämmelser om bl.a. uppgiftsskydd som är mer specifika än de bestämmelser som föreslås införas i kronofogdedatalagen. Kvarstadsförordningen har företräde framför nationella lagar som stiftas av EU:s medlemsstater. 101 Enligt vår bedömning innebär detta att de bestämmelser om behandling av personuppgifter som regleras i kvarstadsförordningen kommer att ha företräde framför bestämmelserna i den nya kronofogdedatalagen. Detta ligger också i linje med regeringens tidigare uttalanden avseende följden av artikel 48 d i kvarstadsförordningen, även om den bestämmelsen hänvisar till det numera upphävda dataskyddsdirektivet. Mot denna bakgrund föreslår vi att det i den nya kronofogdedatalagen ska tydliggöras att de avvikande bestämmelser om behandling av personuppgifter som finns kvarstadsförordningen gäller i stället för kronofogdedatalagen. Bestämmelsen motsvarar alltså den nuvarande bestämmelsen i 1 kap. 3 b § KFMdbL.
7.6 Personuppgiftsansvar
7.6.1 Respektive myndighet ska vara personuppgiftsansvariga
enligt de nya lagarna
Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndigheten ska vara personuppgiftsansvariga för den behandling av personuppgifter som myndigheterna utför enligt beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen respektive kronofogdedatalagen och enligt föreskrifter som har meddelats i anslutning till de lagarna.
101 Jfr EU-domstolens dom den 15 juli 1964 i mål nr 6/64, Flaminio Costa mot E.N.E.L.
426Allmänna bestämmelser om personuppgiftsbehandling
Vår bedömning: Det behöver inte införas några särskilda bestämmelser om personuppgiftsbiträden i de nya lagarna.
Skälen för vårt förslag och vår bedömning
En reglering av myndigheternas personuppgiftsansvar vid behandling av personuppgifter enligt de nya lagarna
Begreppet personuppgiftsansvarig är centralt i dataskyddsförordningen. Dataskyddsförordningen förutsätter att det finns en personuppgiftsansvarig för all personuppgiftsbehandling som sker. Enligt artikel 4.7 i dataskyddsförordningen avses med personuppgiftsansvarig i förordningen en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Den som är personuppgiftsansvarig för viss personuppgiftsbehandling har en rad skyldigheter denne måste uppfylla enligt regleringen i dataskyddsförordningen. Exempelvis ska den personuppgiftsansvarige ansvara för och kunna visa att de grundläggande principerna för behandling av personuppgifter enligt artikel 5 i dataskyddsförordningen efterlevs (artikel 5.2). Den personuppgiftsansvarige ska också t.ex. tillhandahålla information om personuppgiftsbehandlingen (artiklarna 12–14) samt genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Registerförfattningar innehåller ofta en reglering av vem som är personuppgiftsansvarig. En sådan bestämmelse är, såvitt gäller myndigheter, av störst vikt när det är fråga om en myndighet som är del av en större myndighetsstruktur, om det finns utrymme för tvekan kring vilken myndighet som har ansvaret för behandlingen av personuppgifter. Regleringen kan dock vara berättigad även i andra fall, för att förenkla för rättstillämparen och undvika otydligheter. 102
102 Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34.
427Allmänna bestämmelser om personuppgiftsbehandling
I dag finns det bestämmelser om personuppgiftsansvar i registerlagarna. I 1 kap. 6 § SdbL och 1 kap. 5 § KFMdbL anges att Skatteverket respektive Kronofogdemyndigheten är personuppgiftsansvariga för den behandling av personuppgifter som verket respektive myndigheten ska utföra. I 1 kap. 6 § TDL anges att Tullverket är personuppgiftsansvarigt för behandling av personuppgifter. De olika ordalydelserna innebär enligt vår uppfattning inga sakliga skillnader utan härrör troligen från att bestämmelserna om personuppgiftsansvar ursprungligen var utformade på ett annat sätt för Skatteverkets beskattningsverksamhet och Kronofogdemyndigheten i förhållande till Tullverket på grund av att endast Tullverket vid tiden för lagarnas ikraftträdande utgjorde en enda myndighet. 103 När det gäller bestämmelsen om personuppgiftsansvar i 1 kap. 5 § FdbL har en ny lydelse trätt i kraft den 1 september 2023. 104 I bestämmelsen föreskrivs numera att Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt folkbokföringsdatabaslagen. Bestämmelsen i fråga om passmyndigheternas personuppgiftsansvar behandlas särskilt i avsnitt 7.6.2 nedan. För att det ska vara tydligt vem som är personuppgiftsansvarig bedömer vi att det fortsatt ska regleras i de nya lagarna. Sådan reglering är möjlig enligt dataskyddsförordningen och gör det enkelt för den registrerade att identifiera vem som är personuppgiftsansvarig för viss behandling. Vi föreslår därför att det av lagarna ska framgå att respektive myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Detta ska gälla med undantag från passmyndigheterna som i dag är personuppgiftsansvariga enligt folkbokföringsdatabaslagen (se avsnitt 7.6.2 nedan). Sådana bestämmelser innebär även att det tydliggörs att respektive myndighet är personuppgiftsansvarig för den behandling inom myndighetens verksamhet som utförs av andra aktörer på uppdrag av myndigheten i egenskap av personuppgiftsbiträden. Det kan här nämnas att det är i rättstillämpningen som frågan om personuppgiftsansvarets fördelning slutligt avgörs. 105
103 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 97. 104 Ändrad genom SFS 2022:1700. 105 Prop. 2017/18:36, Ett mer effektivt informationsutbyte vid Nationellt centrum för terrorhotbedömning, s. 19 och prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 29.
428Allmänna bestämmelser om personuppgiftsbehandling
Det kan dock uppkomma situationer där myndigheterna inte har faktiska möjligheter att påverka vare sig ändamålen eller medlen för behandlingen. Det skulle exempelvis kunna förekomma att ändamålen och medlen för en viss behandling bestäms i EU-rätten på ett sätt som innebär att myndigheterna inte är personuppgiftsansvariga enligt dataskyddsförordningens definition om detta. Den nuvarande regleringen kan dock innebära att myndigheterna även är personuppgiftsansvariga för sådan behandling, om den behandling som utförs faller inom ramarna för lagarnas tillämpningsområden. Sådana situationer kan uppkomma även genom den föreslagna regleringen i de nya lagarna. Mot bakgrund av bl.a. detta föreslår vi i avsnitt 7.4.4 att lagarna som utgångspunkt inte ska vara tillämpliga vid behandling av personuppgifter i EU:s gemensamma informationssystem. Det innebär i sin tur att de föreslagna bestämmelserna om personuppgiftsansvar inte heller ska tillämpas vid sådan behandling. I de fall det uppkommer ytterligare situationer i vilka myndigheterna inte kan anses vara personuppgiftsansvariga enligt definitionen av detta begrepp, men bestämmelserna i de nya lagarna innebär att myndigheterna ändå anses vara det, får lagstiftaren göra överväganden om även sådana ytterligare situationer ska undantas från lagarnas tillämpningsområden eller på annat sätt särregleras.
Det behövs inga särskilda bestämmelser om personuppgiftsbiträden
Enligt skäl 74 till dataskyddsförordningen åläggs personuppgiftsansvariga ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar genom förordningens bestämmelser. Detta helhetsansvar innebär alltså att ansvaret för behandlingen sträcker sig till att även omfatta den personuppgiftsbehandling som utförs av ett personuppgiftsbiträde. 106 Enligt artikel 4.8 i dataskyddsförordningen definieras personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Vid de berörda myndigheterna kan det förekomma att personuppgiftsbiträden anlitas. Det kan handla om att myndigheterna anlitar ett externt företag till vilket viss behandling av personuppgifter överlåts. I de fall myndigheterna anlitar ett personuppgiftsbiträde ska
106 Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 34.
429Allmänna bestämmelser om personuppgiftsbehandling
parterna skriva ett s.k. personuppgiftsbiträdesavtal om personuppgiftsbiträdets behandling av personuppgifter för myndigheternas räkning (artikel 28.3 i dataskyddsförordningen). Enligt artikel 29 får ett personuppgiftsbiträde och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas (artikel 28.1). Utöver denna reglering finns ytterligare bestämmelser om personuppgiftsbiträden i dataskyddsförordningen. Det kan konstateras att bestämmelserna om personuppgiftsbiträden som föreskriver vad som gäller när personuppgiftsansvariga anlitar personuppgiftsbiträden regleras på ett detaljerat sätt i dataskyddsförordningen. Vi bedömer att denna reglering är tillräcklig. Det finns därför inget behov av att införa bestämmelser om personuppgiftsbiträden i de nya lagarna. Det kan i sammanhanget nämnas att vi är av uppfattningen att det inte bör finnas något principiellt hinder mot att två offentligrättsliga organ ingår ett personuppgiftsbiträdesavtal. 107
7.6.2 Passmyndigheters personuppgiftsansvar bör
inte regleras i folkbokföringsdatalagen
Vår bedömning: Det bör inte införas en reglering i den nya folkbokföringsdatalagen som motsvarar den nu gällande bestämmelsen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt den lagen.
107 Jfr artikel 4.8 i dataskyddsförordningen och prop. 2014/15:148, Domstolsdatalag, s. 36.
430Allmänna bestämmelser om personuppgiftsbehandling
Skälen för vår bedömning
Den nya lagen om samordningsnummer och den nuvarande regleringen i folkbokföringsdatabaslagen
Den 1 september 2023 trädde lagen om samordningsnummer i kraft. Bestämmelserna i den lagen syftar till att stärka systemet med samordningsnummer och innefattar regler som innebär att Skatteverket har tagit över ansvaret för bl.a. identitetskontroller vid tilldelning av 108 samordningsnummer. Ett samordningsnummer är en identitetsbeteckning för den som inte är eller har varit folkbokförd i Sverige. 109 Enligt den nya lagen får en person som inte är eller har varit folkbokförd tilldelas ett samordningsnummer efter begäran av en sådan myndighet eller ett sådant organ som regeringen bestämmer eller efter ansökan av en enskild som har en sådan anknytning till Sverige att han eller hon kan antas behöva en identitetsbeteckning. 110 Samordningsnummer kan numera tilldelas i tre nivåer beroende på vilken identitetskontroll som föregått tilldelningen. 111 Det handlar om personer som har styrkt sin identitet eller gjort identiteten sannolik. I vissa fall 112 får samordningsnummer även tilldelas den vars identitet är osäker. En person som ska styrka sin identitet i samband med tilldelning av samordningsnummer ska som huvudregel inställa sig personligen 113 för identitetskontroll. Vid en identitetskontroll med personlig inställelse ska den som innehar ett pass, ett identitetskort eller en annan motsvarande handling på begäran överlämna handlingen. Den som har beviljats uppehållstillstånd i Sverige ska på begäran överlämna sitt uppehållstillståndskort. 114 Om en handling som överlämnats har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran låta den myndighet som utför identitetskontrollen ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar dem som finns i handlingen. 115 Det kan i sammanhanget nämnas att det i folkbokföringslagen har införts
108 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 1. 109 1 kap. 1 § första stycket lagen om samordningsnummer. 110 2 kap. 1 § första stycket lagen om samordningsnummer. 111 2 kap. 1 § andra stycket samt 2 kap. 2–6 §§ lagen om samordningsnummer. 112 2 kap. 1 § andra stycket lagen om samordningsnummer. 113 2 kap. 2 § lagen om samordningsnummer. 114 2 kap. 3 § lagen om samordningsnummer. 115 2 kap. 4 § lagen om samordningsnummer.
431Allmänna bestämmelser om personuppgiftsbehandling
bestämmelser med motsvarande innebörd som tillämpas av Skatteverket vid bl.a. anmälan om inflytning till Sverige. 116 Ytterligare reglering av bl.a. identitetskontroll i samband med tilldelning av samordningsnummer har införts i förordningen (2023:363) om samordningsnummer. Där finns bl.a. bestämmelser om att en passmyndighet kan begära tilldelning av samordningsnummer och i ett sådant fall ska personlig inställelse för identitetskontroll ske där. 117 Vidare får i vissa fall en person som inte befinner sig i Sverige inställa sig för identitetskontroll hos en beskickning eller ett karriärkonsulat som enligt 2 § passlagen (1978:302) fullgör uppgift som passmyndighet utom riket och är behörig att handlägga ärenden om vanliga pass. Beskickningen eller karriärkonsulatet ska vid inställelsen bedöma om den som ska tilldelas ett samordningsnummer har styrkt sin identitet. 118 Bedömningen av om tilldelningen av ett samordningsnummer ska föregås av personlig inställelse för identitetskontroll där den enskilde styrker sin identitet görs av Skatteverket. Skatteverket ska, efter att en begäran om samordningsnummer kommit in, informera den person en begäran eller ansökan rör om att han eller hon måste inställa sig personligen hos Skatteverket eller annan myndighet för identitetskontroll och styrka sin identitet. 119 Det är Skatteverket som är beslutande myndighet i ärenden om samordningsnummer vilket också innebär ansvar för identitetskontroll och identitetsbedömning för att bedöma om förutsättningarna för tilldelning eller förnyelse är uppfyllda. För att möjliggöra identitetskontroll genom personlig inställelse för personer som omfattas av en begäran om tilldelning av samordningsnummer och som befinner sig i utlandet kommer som ovan framgår vissa svenska utlandsmyndigheter komma i fråga för 120 att utföra identitetskontroll enligt lagen om samordningsnummer. I en bestämmelse i folkbokföringsdatabaslagen som trädde i kraft den 1 september 2023 anges att när en kontroll enligt 26 b och 26 c §§ FOL eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras (1 kap. 7 § FdbL).
116 26 a–26 c §§ FOL. 117 11 § förordningen om samordningsnummer. 118 12 § förordningen om samordningsnummer. 119 10 § tredje stycket förordningen om samordningsnummer och prop. 2021/22:276, Stärkt system för samordningsnummer, s. 58–59. 120 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 80–81.
432Allmänna bestämmelser om personuppgiftsbehandling
I avsnitt 9.4.9 föreslår vi att denna bestämmelse om omedelbar förstöring av uppgifterna inte ska regleras i den nya folkbokföringsdatalagen, utan i 26 c § andra stycket FOL respektive 2 kap. 4 § andra stycket lagen om samordningsnummer. Den automatiserade behandling av personuppgifter som regleringen om stärkt identitetskontroll i samband med bl.a. tilldelning av samordningsnummer innebär får ske i folkbokföringsdatabasen. Ansiktsbild, fingeravtryck och de biometriska uppgifter som tas fram ur dessa får alltså behandlas i folkbokföringsdatabasen. 121 När kontrollen har genomförts ska uppgifterna som framgår ovan omedelbart förstöras. 122 Den nya regleringen om samordningsnummer innebär att flera myndigheter genomför identitetskontroller i samband med bl.a. tilldelning av samordningsnummer. Det innebär i sin tur att fler myndigheter än Skatteverket behandlar personuppgifter vid identitetskontrollerna. 123 Utöver bestämmelsen i 1 kap. 7 § FdbL har ytterligare bestämmelser om personuppgiftsbehandling införts med anledning av bestämmelserna om den stärkta identitetskontrollen i lagen om samordningsnummer. I 1 kap. 1 § andra stycket FdbL anges att folkbokföringsdatabaslagen också gäller vid behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (se mer om detta i avsnitt 7.4.6 ovan). Som nämns i avsnitt 7.6.1 anges vidare i 1 kap. 5 § FdbL att Skatteverket och varje passmyndighet är personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför enligt denna lag. Innan dessa ändringar angavs i bestämmelsen att Skatteverket är personuppgiftsansvarigt för den behandling av personuppgifter som verket ska utföra. Tillägget innebär alltså att passmyndighet som genomför identitetskontroll inför Skatteverkets beslut om tilldelning av samordningsnummer ska vara personuppgiftsansvarig för den personuppgiftsbehandling som sker vid myndigheten i anledning av identitetskontrollen. 124 I propositionen som föregick ändringarna av 1 kap. 5 § FdbL anförde regeringen att som en allmän huvudregel kan anses gälla att den myndighet som utför och styr över en personuppgiftsbehandling
121 2 kap. 2 § och 2 kap. 3 § första stycket 21 FdbL. Se även prop. 2021/22:276, Stärkt system för samordningsnummer, s. 68–72. 122 1 kap. 7 § FdbL. 123 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 81. 124 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 151.
433Allmänna bestämmelser om personuppgiftsbehandling
också bör ansvara för behandlingen, om det inte finns skäl för något annat. Även om beslut om tilldelning eller förnyelse av samordningsnummer i och för sig tillkommer Skatteverket ensamt, har Skatteverket enligt regeringen ingen möjlighet att utöva kontroll och inflytande över övriga myndigheters personuppgiftsbehandling. Respektive myndighet borde därför enligt regeringen ansvara för den personuppgiftsbehandling som myndigheten utför. Bestämmelsen om personuppgiftsansvar i folkbokföringsdatabaslagen ändrades därför för att klargöra att varje myndighet som utgångspunkt är ansvarig för 125 den behandling av personuppgifter som myndigheten utför.
Passmyndigheter bör inte vara personuppgiftsansvariga enligt den föreslagna folkbokföringsdatalagen
I dag är alltså passmyndigheter personuppgiftsansvariga enligt folkbokföringsdatabaslagen för viss behandling av personuppgifter i folkbokföringsdatabasen hänförliga till identitetskontroll enligt lagen om samordningsnummer. I avsnitt 9.4.2 föreslår vi att den nuvarande databasregleringen ska upphävas och inte ersättas med bestämmelser av motsvarande innebörd i den föreslagna folkbokföringsdatalagen. Av bl.a. denna anledning föreslår vi inte heller att folkbokföringsdatalagens tillämpningsområde ska omfatta behandling av personuppgifter i passmyndigheternas verksamhet som rör identitetskontroller enligt lagen om samordningsnummer (se avsnitt 7.4.6). I avsnitt 9.4.9 gör vi vidare bedömningen att bestämmelsen i 1 kap. 7 § FdbL om att fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram vid en passmyndighets kontroll enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer omedelbart ska förstöras inte längre ska regleras i dataskyddssammanhang, utan i lagen om samordningsnummer. Med beaktande av bl.a. detta anser vi att det inte finns skäl att i den föreslagna folkbokföringsdatalagen införa en bestämmelse som klargör att varje myndighet som utgångspunkt är ansvarig för den behandling av personuppgifter som myndigheten utför. 126 Det bör alltså inte införas en bestämmelse i folkbokföringsdatalagen som motsvarar den nu gällande bestämmelsen i folkbokföringsdatabaslagen om att varje passmyndighet är personuppgiftsansvarig för den be-
125 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 82. 126 Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 82.
434Allmänna bestämmelser om personuppgiftsbehandling
handling av personuppgifter som respektive myndighet utför enligt den lagen. Som ovan framgår i avsnitt 7.6.1 innehåller EU:s dataskyddsförordning regler om bl.a. personuppgiftsansvar och vad ansvaret innebär. Kompletterande bestämmelser om myndigheters personuppgiftsbehandling finns i dataskyddslagen. Vi gör bedömningen att det för passmyndigheternas behandling av personuppgifter vid identitetskontroll enligt lagen om samordningsnummer är tillräckligt med de bestämmelser om personuppgiftsbehandling som finns i EU:s dataskyddsförordning och dataskyddslagen. Redan i dag finns viss annan typ av verksamhet som utförs vid utlandsmyndigheterna, t.ex. enligt pass-, utlännings- eller medborgarskapslagstiftningen, varvid EU:s dataskyddsförordning och den kompletterande dataskyddslagen och andra särskilda författningar gäller. Inte heller för den övriga passverksamheten finns någon särskild registerförfattning. I passärenden tillämpas EU:s dataskyddsförordning och dataskyddslagens bestämmelser om rättslig grund och undantag för när behandling av känsliga personuppgifter är tillåten. 127 Enligt vår mening kommer det genom den föreslagna folkbokföringsdatalagen samt den allmänna dataskyddsregleringen i dataskyddsförordningen och dataskyddslagen sett tillsammans med de materiella reglerna om identitetskontroll enligt lagen om samordningsnummer stå tillräckligt klart vilken myndighet som är personuppgiftsansvarig för vilken personuppgiftsbehandling. Skatteverket kommer enligt vårt förslag till bestämmelse om personuppgiftsansvar i folkbokföringsdatalagen att vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt den lagen och enligt föreskrifter som har meddelats i anslutning till lagen (se avsnitt 7.6.1). Lagen föreslås omfatta sådan behandling som Skatteverket utför i verksamhet med samordningsnummer (se avsnitt 7.4.6). Det innebär att i de fall Skatteverket utför den behandling av personuppgifter som föranleds av den förstärkta identitetskontrollen i lagen om samordningsnummer, är myndigheten personuppgiftsansvarig för behandlingen. Även om det är Skatteverket som beslutar om tilldelning eller förnyelse av samordningsnummer, är vi av uppfattningen att vår reglering inte innebär att myndigheten blir personuppgiftsansvarig även för den personuppgiftsbehandling som passmyndigheter utför vid identitetskontroll i samband med ett ärende enligt lagen om samordningsnummer. Detta eftersom den personuppgiftsbehandlingen
127 Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 81.
435Allmänna bestämmelser om personuppgiftsbehandling
då inte utförs av Skatteverket enligt den föreslagna folkbokföringsdatalagen. I stället avgör dataskyddsförordningens definition av personuppgiftsansvarig vilken passmyndighet som är ansvarig för den 128 behandling som respektive myndighet utför.
7.7 Tillgången till personuppgifter
Vårt förslag: Det ska införas bestämmelser i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen som föreskriver att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. I de till lagarna tillhörande förordningarna ska regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att respektive myndighet ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.
Skälen för vårt förslag
En uttrycklig reglering i lag om att tillgången till personuppgifter ska begränsas och åtkomsten kontrolleras och följas upp regelbundet
Enligt artikel 29 i dataskyddsförordningen får en fysisk person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, endast behandla dessa på instruktion från den personuppgiftsansvarige. Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att personuppgifter inte behandlas utöver vad den personuppgiftsansvarige har gett instruktioner om (artikel 32.4 i dataskyddsförordningen). Den personuppgiftsansvarige har alltså ett ansvar för att anställda och andra uppdragstagare inte behandlar personuppgifter utöver vad den personuppgiftsansvarige har bedömt lämpligt.
128 Artikel 4.7 i dataskyddsförordningen.
436Allmänna bestämmelser om personuppgiftsbehandling
Utgångspunkten är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (jfr artikel 5.1 f i dataskyddsförordningen). Vilken spridning av personuppgifter som en viss behandling innebär har av naturliga skäl stor inverkan på integritetsriskerna med behandlingen. Om personuppgifter sprids ökar risken för att uppgifterna kommer att användas på ett sätt som innebär ett intrång i de registrerades personliga integritet. Att begränsa tillgången till personuppgifter är en viktig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen (jfr artikel 9.2 g i dataskyddsförordningen). Skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter följer visserligen redan av dataskyddsförordningen. 129 Vi anser dock att det av integritetsskäl ska finnas bestämmelser i de nya lagarna som tydliggör att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. En särskild reglering med sådan innebörd finns redan i dag i 2 kap. 26 § KFMdbL. 130 Sådana bestämmelser finns även i andra, nyare, registerförfattningar (se t.ex. 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter skiljer sig åt. Det är därför svårt att på ett generellt plan närmare ange formerna för hur tillgången till personuppgifter ska begränsas vid dessa. Enligt den föreslagna bestämmelsen klargörs dock att respektive myndighet har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32 i dataskyddsförordningen). Innebörden av bestämmelserna är att det ska finnas ett berättigat behov av åtkomst till personuppgifter. Den som är anställd vid en av myndigheterna ska alltså inte ges obegränsad tillgång till alla personuppgifter som behandlas vid myndigheten. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Det ska finnas ett reellt behov eller behovet ska kunna förutses finnas i verksamheten. Det kan exempelvis
129 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 136. 130 Se även prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 26–27 och 35.
437Allmänna bestämmelser om personuppgiftsbehandling
innebära att de medarbetare vid Skatteverket som arbetar med handläggning av vissa ärenden enligt skatteförfarandelagen inte får tillgång till de uppgifter som de som utför dataanalyser och urval har tillgång till. Det är tillräckligt att det finns ett potentiellt behov av åtkomst för att sådan ska medges. En medarbetare får alltså ha åtkomst till sådana uppgifter som det är tänkbart att han eller hon behöver utifrån sina arbetsuppgifter. Vidare ska det införas bestämmelser i de nya lagarna som föreskriver att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Ett sådant krav i lag utgör en skyddsåtgärd i syfte att begränsa intrånget i enskildas integritet. Det är även viktigt för att myndigheterna ska kunna upptäcka och åtgärda obehörig åtkomst. Liknande regleringar finns också i andra registerförfattningar (se t.ex. 9 § studiestödsdatalagen [2009:287] och 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Kontroller ska genomföras systematiskt och återkommande och inte bara när myndigheterna av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan t.ex. ske genom uppföljning av loggar. Det bör dock vara upp till myndigheterna själva att närmare bestämma formerna för kontrollen. Det bör här framhävas att förekomsten av bestämmelser om tillgång till personuppgifter i de nya lagarna inte innebär att myndigheterna kan bortse från övriga krav på lämpliga säkerhetsåtgärder som föreskrivs i dataskyddsförordningen. Som ett exempel kan nämnas att det i dataskyddsförordningen ställs krav på inbyggt dataskydd och dataskydd som standard i den utsträckning det är lämpligt med hänsyn till bl.a. kostnader, behandlingens art och omfattning och de risker som behandlingen innebär (artikel 25). Ett exempel på ett sådant inbyggt dataskydd är loggning.
Det ska finnas krav på vissa rutiner i förordning
Vi anser att det i de förordningar som föreslås tillhöra de nya lagarna av integritetsskäl ska införas bestämmelser om krav på att myndigheterna ska ha vissa rutiner för tillgång till personuppgifter. Detta även om också sådana krav på de personuppgiftsansvariga myndigheterna kan anses följa redan av dataskyddsförordningens krav (jfr t.ex. artikel 32 i dataskyddsförordningen). Särskilda bestämmelser i
438Allmänna bestämmelser om personuppgiftsbehandling
förordning syftar till att tydliggöra att myndigheterna har sådana skyldigheter. Vi gör bedömningen att sådana bestämmelser som nu föreslås införas i förordning omfattas av regeringens restkompetens 131 enligt 8 kap. 7 § regeringsformen. Motsvarande bestämmelser finns även i t.ex. 4 och 5 §§ förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten. Myndigheterna föreslås ansvara för att det inom myndigheterna finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Sådana rutiner kan t.ex. tas in i myndigheternas arbetsordning eller beslutas om som separata rutiner. Det är enligt vår mening viktigt att myndigheterna har sådana rutiner som här avses för att bl.a. förhindra att anställda tilldelas vidare behörighet till uppgifter än vad som behövs för utförandet av arbetsuppgifter eller att anställda som byter arbetsuppgifter har kvar vidare behörigheter än vad som behövs av hänsyn till de nya arbetsuppgifterna. Vi anser också att det i förordning ska föreskrivas att myndigheterna ansvarar för att det inom myndigheterna finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter. Sådana rutiner kan exempelvis avse kontroll av vem som har läst, skapat, ändrat, raderat eller på annat sätt behandlat personuppgifter samt tidpunkten för åtgärden. Det är enligt vår bedömning av vikt att myndigheterna har sådana rutiner för att se till att de i lag föreslagna kraven på tillgång till personuppgifter följs. Bestämmelsen innebär dock inte att det ställs upp några uttryckliga krav på att all personuppgiftsbehandling inom lagarnas tillämpningsområden ska loggas. Rutinerna ska dock avse sådan regelbunden kontroll som ska utföras enligt de föreslagna lagbestämmelserna om tillgång till personuppgifter.
131 Jfr prop. 2021/22 :272, Statens stöd till trossamfund samt demokrativillkor vid stöd till civilsamhället, s. 148–149.
439Allmänna bestämmelser om personuppgiftsbehandling
7.8 Enskildas rättigheter
7.8.1 Rätten att göra invändningar ska inte gälla
Vårt förslag: Artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar ska inte gälla vid sådan behandling som är tillåten enligt de nya lagarna eller föreskrifter som har meddelats i anslutning till lagarna.
Skälen för vårt förslag
Rätten att göra invändningar mot behandling av personuppgifter regleras i artikel 21 i dataskyddsförordningen. Vid den behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning ska den registrerade enligt artikel 21.1 ha rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får då inte längre behandla personuppgifterna om inte denne kan visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Begränsningar i rätten att göra invändningar får enligt dataskyddsförordningen endast göras under de förutsättningar som anges i artikel 23, eller i vissa situationer med stöd av artikel 89.2–3. Enligt artikel 23 i dataskyddsförordningen är det möjligt för medlemsstaterna att begränsa rätten att göra invändningar. Det krävs att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att det utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Sådana lagstiftningsåtgärder ska enligt artikeln innehålla specifika bestämmelser när så är relevant, avseende bl.a. ändamålen med behandlingen, lagringstiden samt tillgängliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål.
440Allmänna bestämmelser om personuppgiftsbehandling
Vid införandet av dataskyddslagen bedömde regeringen att det inte var lämpligt att inskränka rätten att göra invändningar mot myndigheters behandling av personuppgifter genom ett generellt undantag i dataskyddslagen. Sådana undantag skulle i stället övervägas på sektorsspecifik nivå. 132 Många registerförfattningar innehåller begränsningar av rätten att göra invändningar (se t.ex. 2 a § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 18 b § utlänningsdatalagen och 1 kap. 4 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten). Ett huvudsakligt skäl till detta är att det ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter oberoende av den registrerades inställning. Vidare har bedömningen gjorts att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. 133 I nuvarande reglering avseende aktuella myndigheter finns bestämmelser som reglerar frågan om rätten att göra invändningar. Enligt bestämmelserna gäller artikel 21.1 i dataskyddsförordningen om rätten att göra invändningar inte vid sådan behandling som är tillåten enligt respektive lag eller föreskrifter som har meddelats i anslutning till lagen. 134 Bestämmelser med liknande innebörd har funnits sedan lagarna infördes och justerades i viss mån i samband med den översyn av lagarna som gjordes med anledning av att dataskyddsförordningen skulle börja tillämpas. Innebörden av bestämmelserna är att tillåten behandling av personuppgifter får ske även om den enskilde motsätter sig detta. I förarbetena till de nu gällande bestämmelserna gjorde regeringen bedömningen att den behandling som myndigheterna utför i regel får antas vara av sådan karaktär att behandlingen får fortsätta enligt artikel 21.1 även om den registrerade invänder mot behandlingen. Att den registrerade har möjlighet att invända mot behandlingen bedömdes dock kunna påverka effektiviteten i myndigheternas verksamhet. 135 I samma förarbeten ansågs det vara av stor betydelse att personuppgifter får behandlas oberoende av den registrerades inställning i
132 Prop. 2017/18:105, Ny dataskyddslag, s. 105–106. 133 Prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 45. 134 3 kap. 3 § SdbL, 3 kap. 1 § FdbL, 3 kap. 1 § TDL och 3 kap. 3 § KFMdbL. 135 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 85.
441Allmänna bestämmelser om personuppgiftsbehandling
sådan verksamhet hos Skatteverket, Tullverket och Kronofogdemyndigheten som avsågs i berörda lagar. Den tillåtna behandlingen ansågs vidare vara en förutsättning för att myndigheterna skulle kunna utföra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. Myndigheterna ansågs också i princip undantagslöst kunna påvisa skäl för fortsatt behandling som vägde tyngre än den registrerades intressen i det enskilda fallet. Under sådana förhållanden och för att fullt ut säkerställa förutsättningarna för de aktuella myndigheterna att behandla relevanta personuppgifter skulle den registrerade enligt regeringen inte heller fortsättningsvis ha någon rätt att motsätta sig sådan personuppgiftsbehandling som var tillåten enligt lagarna. Begränsningarna ansågs vidare vara en nödvändig och proportionell åtgärd i syfte att säkerställa ett viktigt mål av generellt allmänt intresse. De integritetsskyddande bestämmelserna i lagarna ansågs också minimera risken för kränkning av den registrerades rättigheter och friheter. Regeringen bedömde med dessa utgångspunkter att de bestämmelser som innebar att behandling av personuppgifter fick utföras även om den registrerade motsätter sig behandlingen mot den bakgrunden var förenliga med dataskyddsförordningen och kunde därför 136 vara kvar även i fortsättningen. Enligt vår uppfattning saknas det skäl att nu göra någon annan bedömning i dessa frågor. Även med beaktande av de förslag till förändringar av regleringarna som vi lämnar kommer myndigheternas behandling av personuppgifter fortsättningsvis att omgärdas av integritetsskyddande bestämmelser som minimerar riskerna för kränkningar av den registrerades rättigheter och friheter. Vi gör också bedömningen att de föreslagna ändamålsbestämmelserna är sådana specifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandling som avses i artikel 23.2 i dataskyddsförordningen (jfr avsnitt 8.4.2). Det har inte heller kommit fram något skäl för att göra en annan bedömning i fråga om att behandlingen är nödvändig för att myndigheterna ska kunna utföra sina uppdrag på ett korrekt, effektivt och rättssäkert sätt samt att myndigheternas skäl för fortsatt behandling väger tyngre vid den intresseavvägning som ska göras. Med hänsyn till detta föreslår vi att det i beskattningsdatalagen, folkbokföringsdatalagen, tulldatalagen och kronofogdedatalagen ska
136 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 85–86.
442Allmänna bestämmelser om personuppgiftsbehandling
införas bestämmelser som föreskriver att artikel 21.1 i EU:s dataskyddsförordning om rätten att göra invändningar inte ska gälla vid sådan behandling som är tillåten enligt de nya lagarna eller föreskrifter som har meddelats i anslutning till lagarna.
7.8.2 Rätten till information m.m. i Skatteverkets
beskattningsverksamhet
Vårt förslag: Det ska införas en bestämmelse i beskattningsdatalagen som reglerar att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska vissa bestämmelser om rätt till information och tillgång till personuppgifter i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
Vår bedömning: Motsvarande reglering som i dag finns i skattedatabaslagen om rätt till rättelse och radering av personuppgifter och begränsning av behandling samt anmälningsskyldigheten avseende rättelse eller radering av personuppgifter och begränsning av behandling enligt dataskyddsförordningen ska inte införas i den nya beskattningsdatalagen.
Skälen för vårt förslag och vår bedömning
Rätten till information och tillgång till personuppgifter
I 3 kap. 2 a § SdbL finns en bestämmelse som anger att vid behandling av personuppgifter på grund av samarbete enligt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13 och 15–19 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Bestämmelsen infördes i samband med att dataskyddsförordningen började gälla. En bestämmelse med motsvarande lydelse infördes dock
443Allmänna bestämmelser om personuppgiftsbehandling
redan i samband med genomförandet av rådets direktiv 2011/16/EU av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EG, härefter benämnt direktivet om administrativt samarbete (som tidigare brukade kallas för handräckningsdirektivet). Direktivet genomfördes i huvudsak genom införandet av lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning. Bakgrunden till den tidigare lydelsen av 3 kap. 2 a § SdbL var bl.a. att det i artikel 25 i direktivet om administrativt samarbete föreskrevs att medlemsstaterna för en korrekt tillämpning av direktivet skulle begränsa tillämpningsområdet för bl.a. de skyldigheter och rättigheter som avsågs i artiklarna 10, 11.1 och 12 i 1995 års dataskyddsdirektiv i den utsträckning som behövdes för att skydda de intressen som avsågs i artikel 13.1 e i det direktivet. Artiklarna 10, 11.1 och 12 i nämnda direktiv rörde viss information till den som de insamlade uppgifterna avsåg, om behandlingen av dessa och rättelse, utplåning eller blockering av uppgifter. Bestämmelsen i skattedatabaslagen ansågs av regeringen t.ex. kunna bli aktuell att tillämpa i en situation när uppgifter behandlades med anledning av en begäran om utbyte av upplysningar och det kunde befaras att det skulle försvåra genomförandet av utredning eller beslut i skatteärende i den andra medlemsstaten att lämna sådan infor- 137 mation till den registrerade. I den dåvarande bestämmelsen i 3 kap. 2 a § SdbL angavs att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning skulle inte 23, 25, 26, 28 och 42 §§ PUL tillämpas om sådana begränsningar var nödvändiga med hänsyn till ett intresse som angavs i 8 a § f PUL. Bestämmelserna i 23, 25, 26, 28 och 42 §§ PUL avsåg regler om information till den registrerade som skulle lämnas självmant, information som skulle lämnas efter ansökan, rättelse m.m. samt upplysningar till allmänheten om behandlingar som inte anmälts till tillsynsmyndigheten. Det intresse som avsågs genom 8 a § f PUL var ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen.
137 Se prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 70–73 och prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 73.
444Allmänna bestämmelser om personuppgiftsbehandling
I dag har direktivet om administrativt samarbete anpassats till den reglering som gäller enligt EU:s dataskyddsförordning genom att artikel 25 numera hänvisar till dataskyddsförordningen och inte till det upphävda dataskyddsdirektivet. I artikel 25.1 i direktivet om administrativt samarbete anges bl.a. att medlemsstaterna ska, för en korrekt tillämpning av direktivet, begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1, och 15 i förordning (EU) 2016/679 i den utsträckning som behövs för att skydda de intressen som avses i artikel 23.1 e i den förordningen. Artiklarna 13, 14.1 och 15 i dataskyddsförordningen avser viss information till den som de insamlade uppgifterna avser samt den registrerades rätt till tillgång till personuppgifter. Artikel 23.1 e innebär att begränsningar av vissa rättigheter får göras bl.a. i syfte att säkerställa viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. När den nuvarande bestämmelsen i 3 kap. 2 a § SdbL infördes bedömde regeringen att den dåvarande bestämmelsen i skattedatabaslagen var förenlig med artikel 23 i dataskyddsförordningen. För att bestämmelsens sakliga innebörd skulle vara densamma som tidigare, ansåg regeringen att den då gällande hänvisningen till 8 a § f PUL inte skulle ersättas av en hänvisning till artikel 23.1 e i dataskyddsförordningen. I stället skulle lagtexten enligt regeringen utformas så att det framgick att de rättigheter som anges i artiklarna 13 och 15 i dataskyddsförordningen inte skulle tillämpas om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. 138 Avseende de begränsningar som i dag gäller i 3 kap. 2 a § SdbL av rättigheterna i artiklarna 13 och 15 i dataskyddsförordningen anser vi att motsvarande reglering ska tas in i den nya beskattningsdatalagen. Om så inte görs innebär det sakliga ändringar i förhållande till de krav på genomförande som finns i direktivet om administrativt samarbete. Det har inte kommit fram skäl som gör att det finns anledning att denna reglering inte fortsatt ska gälla. Bestämmelsen bedöms vidare fortsatt uppfylla de krav som ställs på en rättighets-
138 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 73.
445Allmänna bestämmelser om personuppgiftsbehandling
begränsande bestämmelse enligt artikel 23 i dataskyddsförordningen. 139 I likhet med vad regeringen tidigare har anfört bör det i den nya bestämmelsen inte göras någon hänvisning till artikel 23 i dataskyddsförordningen i syfte att säkerställa att bestämmelsens sakliga innebörd blir densamma som i dag.
Rättelse, radering och begränsning av behandling samt viss information som ska tillhandahållas
När det gäller de rättigheter som tidigare reglerades i 28 § PUL finns dessa i dag i artiklarna 16–19 i dataskyddsförordningen. I artiklarna regleras den registrerades rätt till rättelse, radering och begränsning av behandling samt skyldigheten för den personuppgiftsansvarige att underrätta mottagare av personuppgifter om vidtagna korrigeringsåtgärder. Den nuvarande bestämmelsen i 3 kap. 2 a § SdbL avser inte endast, som framgår ovan, begränsningar av rätten till information och tillgång till uppgifter. Bestämmelsens begränsningar omfattar även enskildas rättigheter enligt artiklarna 16–19 i dataskyddsförordningen. Som nämns ovan infördes bestämmelsen i 3 kap. 2 a § SdbL ursprungligen för att genomföra artikel 25 i direktivet om administrativt samarbete. I samband med att den nuvarande lydelsen av bestämmelsen infördes anförde regeringen att bestämmelsen uppfyller de krav som ställs på en rättighetsbegränsande bestämmelse enligt artikel 23 i dataskyddsförordningen. Mot den bakgrunden ansåg regeringen att bestämmelsen skulle vara kvar även i den del som gäller begränsning av rätten till rättelse, radering och begränsning av behandling i artiklarna 16–18 och av anmälningsskyldigheten i artikel 19. 140 Det kan konstateras att lydelsen av artikel 25 i direktivet om administrativt samarbete vid tiden för införandet och ändringen av 3 kap. 2 a § SdbL, vilken hänvisade till bl.a. artikel 12 i 1995 års dataskyddsdirektiv, omfattade krav på begränsning av rätten till rättelse m.m. I dag hänvisar dock inte artikel 25 i direktivet om administrativt samarbete till motsvarande bestämmelser om rättelse m.m. i dataskyddsförordningen. Den nuvarande lydelsen av artikel 25 i direk-
139 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 80. 140 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 80.
446Allmänna bestämmelser om personuppgiftsbehandling
tivet om administrativt samarbete infördes genom rådets direktiv (EU) 2021/514 av den 22 mars 2021 om ändring av direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning. I dag föreskrivs följande i artikel 25.1 i direktivet om administrativt samarbete. Allt utbyte av upplysningar enligt detta direktiv ska omfattas av Europaparlamentets och rådets förordning (EU) 2016/679. Medlemsstaterna ska emellertid, för en korrekt tillämpning av detta direktiv, begränsa tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1, och 15 i förordning (EU) 2016/679 i den utsträckning som behövs för att skydda de intressen som avses i artikel 23.1 e i den förordningen.
Frågan är om det mot denna bakgrund finns skäl att inte införa en bestämmelse som motsvarar den som finns i dag i 3 kap. 2 a § SdbL i fråga om enskildas rättigheter enligt artiklarna 16–19 i dataskyddsförordningen. Inledningsvis kan konstateras att dataskyddsförordningen ställer vissa krav på en rättighetsbegränsande bestämmelse enligt artikel 23. En sådan begränsning måste ske med respekt för andemeningen i de grundläggande rättigheterna och friheterna. Begränsningen ska också utgöra en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning,- budget- eller skattefrågor, folkhälsa och social trygghet. I dag anges i 3 kap. 2 a § SdbL att bl.a. artiklarna 16–19 i dataskyddsförordningen inte ska tillämpas, om sådana begränsningar är nödvändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. Det är därmed tillämparen som behöver göra en bedömning av om en begränsning av aktuella rättigheter är nödvändiga av dessa skäl vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning. 141 Såsom bestämmelsen är utformad i dag finns det enligt vår uppfattning inga skäl att frångå regeringens tidigare bedömning att bestämmelsen i sig uppfyller de krav som ställs på en rättighetsbegränsande bestämmelse enligt artikel 23 i dataskyddsförordningen.
141 Jfr prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 73.
447Allmänna bestämmelser om personuppgiftsbehandling
Som framgår ovan infördes 3 kap. 2 a § i SdbL för att genomföra artikel 25 i direktivet om administrativt samarbete. I dag omfattar artikeln endast de skyldigheter och rättigheter som föreskrivs i artiklarna 13, 14.1 och 15 i dataskyddsförordningen. Mot denna bakgrund gör vi bedömningen att den nya bestämmelsen vi föreslår ska införas i den beskattningsdatalagen inte ska omfatta artiklarna 16–19 i dataskyddsförordningen. Förslaget innebär alltså en ändring i sak. Som ovan framgår har regeringen i samband med införandet av den ursprungliga bestämmelsen i skattedatabaslagen som exempel på en situation då bestämmelsen ska tillämpas angett att det kan vara när personuppgifter behandlas med anledning av en begäran om utbyte av upplysningar och det kan befaras att det skulle försvåra genomförandet av utredning eller beslut i skatteärende i den andra medlemsstaten att lämna sådan information till den registrerade eller någon annan som det enligt bestämmelsen ska lämnas information till. 142 När det kommer till skyldigheterna och rättigheterna enligt artiklarna 16–19, dvs. rätten till rättelse och radering av personuppgifter och begränsning av behandling samt anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling, utgör dessa enligt vår uppfattning inte sådana rättigheter som t.ex. skulle försvåra utredningen eller beslut i skatteärende i en annan medlemsstat som mottar upplysningar. Vidare kan det konstateras att 3 kap. 2 a § SdbL i dag inte omfattar artikel 14.1 i dataskyddsförordningen. Artikel 14.1 handlar om information som ska tillhandahållas om personuppgifterna inte har erhållits från den registrerade. Av samma skäl som anförts ovan, dvs. för att uppnå syftet med bestämmelsen som är att genomföra artikel 25 i direktivet om administrativt samarbete som omfattar artikel 14.1, anser vi att den nya bestämmelsen vi föreslår i beskattningsdatalagen även ska omfatta artikel 14.1 i dataskyddsförordningen. Sammanfattningsvis innebär våra bedömningar att det i den föreslagna beskattningsdatalagen ska införas en bestämmelse som föreskriver att vid behandling av personuppgifter på grund av samarbete enligt lagen om administrativt samarbete inom Europeiska unionen i fråga om beskattning ska artiklarna 13, 14.1 och 15 i EU:s dataskyddsförordning inte tillämpas, om sådana begränsningar är nöd-
142 Prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 73.
448Allmänna bestämmelser om personuppgiftsbehandling
vändiga med hänsyn till ett viktigt ekonomiskt eller finansiellt intresse hos Europeiska unionen eller en stat som ingår i unionen. I likhet med regeringens tidigare bedömning är vi av uppfattningen att en sådan bestämmelse inte i sig innebär en begränsning i allmänhetens rätt att enligt offentlighetsprincipen få del av allmänna handlingar. 143 Vidare kan det framhållas att bestämmelsen inte är avsedd att innebära några förändringar i sak utöver de ändrade hänvisningarna till dataskyddsförordningen i förhållande till den bestämmelse som i dag finns i 3 kap. 2 a § SdbL.
7.8.3 Rättelse och överklagande vid Kronofogdemyndigheten
Vårt förslag: Det ska införas en bestämmelse i den nya kronofogdedatalagen som reglerar att på begäran av en enskild ska Kronofogdemyndigheten snarast rätta, blockera eller utplåna sådana uppgifter om den enskilde som inte har behandlats i enlighet med den lagen eller anslutande författningar, eller som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Bestämmelsen ska inte vara tillämplig på uppgifter om avlidna. Avseende juridiska personer ska bestämmelsen vara tillämplig enbart beträffande frågan om uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd att rätta, blockera eller utplåna uppgifter om den enskilde begär det eller om mera betydande skada eller olägenhet för den enskilde kan undvikas på detta sätt. Någon underrättelse ska dock inte behöva lämnas om detta skulle innebära en oproportionerligt stor arbetsinsats. Bestämmelsen ska även vara tillämplig på juridiska personer. Beslut om rättelse ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Bestämmelsen ska även vara tillämplig på sådana beslut som avser rättelse, blockering eller utplåning av uppgifter om juridiska personer.
143 Prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 72.
449Allmänna bestämmelser om personuppgiftsbehandling
Vår bedömning: Det behövs ingen upplysningsbestämmelse om att det i fråga om personuppgifter finns bestämmelser om rättelse m.m. i EU:s dataskyddsförordning.
Skälen för vårt förslag och vår bedömning
Bakgrunden till den nu gällande bestämmelsen om rättelse i kronofogdedatabaslagen
I dag finns en särskild bestämmelse under rubriken rättelse i 3 kap. 3 a § KFMdbL som har följande lydelse. Kronofogdemyndigheten ska på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som 1. inte har behandlats i enlighet med denna lag eller anslutande författningar, eller 2. är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. I fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning.
Bestämmelsens första och andra stycke infördes ursprungligen den 1 juni 2008 i 3 kap. 3 a § KFMdbL. 144 Innan dess fanns i kronofogdedatabaslagen en bestämmelse i 3 kap. 3 § som föreskrev att bestämmelserna i personuppgiftslagen om rättelse och skadestånd skulle gälla vid behandling av personuppgifter enligt kronofogdedatabaslagen eller anslutande författningar. Hänvisningen till personuppgiftslagens rättelsebestämmelse gällde all behandling av uppgifter i Kronofogdemyndighetens verksamhet. 145 I 28 § PUL fanns en bestämmelse som föreskrev att den personuppgiftsansvarige var skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte hade behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Para-
144 Prop. 2007/08:116, bet. 2007/08:SkU30, rskr. 2007/08:165. 145 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 12.
450Allmänna bestämmelser om personuppgiftsbehandling
grafen var avsedd att ha samma innebörd som artikel 12 b och c i 1995 års dataskyddsdirektiv. 146 I artikel 12 b i dataskyddsdirektivet angavs att medlemsstaterna skulle säkerställa att varje registrerad hade rätt att från den registeransvarige i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i direktivet rättade, utplånade eller blockerade, särskilt om dessa var ofullständiga eller felaktiga. I artikel 12 c föreskrevs att medlemsstaterna skulle säkerställa att varje registrerad hade rätt att från den registeransvarige få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med artikel 12 b, om detta inte visade sig vara omöjligt eller innebar en oproportionerligt stor ansträngning. Av det förhållandet att det i bestämmelsen i 28 § PUL inte angavs vilken av de alternativa metoderna rättelse, blockering och utplånande som skulle väljas i olika situationer följde att det i princip var den som skulle göra korrigeringen, dvs. den personuppgiftsansvarige, som fick välja själv. 147 Bakgrunden till den särskilda bestämmelsen om rättelse som infördes i 3 kap. 3 a § KFMdbL år 2008 är enligt förarbetena bl.a. att situationen vad gäller rättelse i Kronofogdemyndighetens databaser vid den tiden då rättelsebestämmelsen i personuppgiftslagen skulle tillämpas inte ansågs vara tillfredsställande. Då förekom att de vid den tiden olika regionala kronofogdemyndigheterna tolkade innebörden av rättelseskyldigheten enligt 28 § PUL på olika sätt, och även domstolarnas praxis i frågan syntes variera. Att förekomma med mål som registrerats i utsöknings- och indrivningsdatabasen kunde enligt regeringen, med tanke på uppgifternas spridning och användning utanför Kronofogdemyndigheten, få långtgående konsekvenser för den enskilde. Det var mot den bakgrunden enligt regeringen inte rimligt att behöva figurera med sådana uppgifter i fall där det inte behövde ha förelegat någon verklig vare sig ovilja eller oförmåga att betala. 148 Vid utformningen av den särskilda rättelsebestämmelsen uttalade regeringen att det kunde diskuteras om förslaget innebar en utvidgning av skyldigheten att vidta rättelse, eller bara ett förtydligande av vad som redan då gällde. Det viktigaste var emellertid enligt reger-
146 Prop. 1997/98:44, Personuppgiftslag, s. 132. 147 Prop. 1997/98:44, Personuppgiftslag, s. 86. 148 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 13–14.
451Allmänna bestämmelser om personuppgiftsbehandling
ingen att ändringen, tillsammans med den utbyggnad av sekretesskyddet som föreslogs, banade väg för en tillämpning som tillgodosedde såväl kraven på Kronofogdemyndighetens diarieföring som de enskildas berättigade krav på att inte behöva förekomma med uppgifter som ger ett i sak ogrundat intryck av bristande vilja eller förmåga att göra rätt för sig. 149 Därmed infördes i kronofogdedatabaslagen ändrade bestämmelser som innebar att uppgifter skulle rättas bl.a. i det fallet att de är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Rättelsen var fristående från personuppgiftslagens reglering. I likhet med vad som gällde enligt 28 § PUL togs en bestämmelse om skyldighet att underrätta tredje man om rättelsen i vissa fall in i lagen. Vidare gjordes en ändring i 1 kap. 1 § kronofogdedatabaslagen för att det tydligt skulle framgå att rättelsebestämmelsen var tillämplig även på uppgifter om juridiska personer och avlidna. 150 Den tidigare bestämmelsen i 3 kap. 3 § KFMdbL, som hänvisade till personuppgiftslagen, gällde enbart fysiska personer. 151 I förarbetena angav regeringen vidare att utplåning normalt inte skulle komma i fråga när det gäller missvisande uppgifter, utan i stället skulle blockering vara den huvudsakliga rättelsemetoden. Att uppgifterna blockeras innebär att uppgifterna ska vara förknippade med information om att de är spärrade och om anledningen till spärren och att personuppgifterna inte ska lämnas ut till tredje man annat än med stöd av 2 kap. TF. När uppgifter rättas kan de få stå kvar men i rättat skick. Definitionerna härrör från den bestämmelse som tidigare fanns i 28 § PUL. Om uppgifterna var felaktiga även i ett diarieperspektiv ansågs det normalt inte finnas något hinder mot att de, i stället för att blockeras, utplånas. Regeringen konstaterade vidare att det i princip är den personuppgiftsansvarige som själv får välja metod. 152 Som framgår ovan användes begreppen rättelse, utplåning och blockering även i dataskyddsdirektivet. När bestämmelsen i 3 kap. 3 a § KFMdbL infördes 2008 framhöll regeringen vidare att den inte endast avsåg verkställighet och indrivning utan även andra verksamheter hos Kronofogdemyndigheten. 153
149 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17–18. 150 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 16–19. 151 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 12. 152 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 20. 153 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 19.
452Allmänna bestämmelser om personuppgiftsbehandling
EU:s dataskyddsförordning, som började tillämpas den 25 maj 2018, innehåller reglering av rätt till rättelse och radering av personuppgifter, rätt till begränsning av behandling och anmälningsskyldighet (artiklarna 16–19). I samband med att dataskyddsförordningen utfärdats behölls den tidigare utökade rätten till korrigering av vissa missvisande uppgifter i Kronofogdemyndighetens databaser, med ett nytt tredje stycke i 3 kap. 3 a § som upplyser om att i fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning. I samband härmed uttalade regeringen att det inte finns några hinder i dataskyddsförordningen mot att behålla denna utökade rätt till rättelse. Vidare ansåg regeringen att 3 kap. 3 a § andra stycket KFMdbL, innehållandes en bestämmelse om underrättelseskyldighet, kunde behållas även om bestämmelsen inte fullt ut har någon motsvarighet i dataskyddsförordningen till följd av att den innebär att underrättelse till tredje man ska ske i vissa fall då underrättelse inte behöver lämnas enligt dataskyddsförordningen. När det gäller det införda tredje stycket i bestämmelsen anförde regeringen att för fysiska personer skulle de särskilda bestämmelserna för Kronofogdemyndighetens verksamhet gälla vid sidan av de rättigheter som följer av dataskyddsförordningen. Detta skulle enligt regeringen tydliggöras genom att det i bestämmelsen upplyses om att det i fråga om personuppgifter även finns bestämmelser om rättelse m.m. i dataskyddsförordningen. 154 Att den nuvarande bestämmelsen även är tillämplig på uppgifter om juridiska personer och avlidna saknar motsvarighet i dataskyddsförordningen. 155
Det ska införas en särskild bestämmelse om rättelse i kronofogdedatalagen
I dag är Kronofogdemyndigheten en central förvaltningsmyndighet och inte flera regionala sådana. Förutsättningarna för en enhetlig tillämpning av rättelsebestämmelserna i den allmänna dataskyddsregleringen bör därmed ha förbättrats. Vidare innehåller dataskyddsförordningen redan i sig direkt tillämpliga bestämmelser om bl.a. rättelse och radering. Den nya kronofogdedatalagen föreslås inte heller omfatta behandling av uppgifter om juridiska personer eller avlidna.
154 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 78–80. 155 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79.
453Allmänna bestämmelser om personuppgiftsbehandling
Detta kan tala för att det, utöver regleringen om rättelse m.m. som finns i dataskyddsförordningen, inte längre behöver finnas några särskilda bestämmelser om rättelse som gäller i Kronofogdemyndighetens verksamhet. Regeringens tidigare uttalanden om de konsekvenser för enskilda som kan uppkomma genom att ha registrerade mål hos Kronofogdemyndigheten äger dock enligt vår mening fortsatt giltighet. Det kan även efter dataskyddsförordningens utfärdande finnas uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser utan att behandlingen av uppgifterna kan anses strida mot kronofogdedatalagen eller anslutande författningar. I förarbetena till den ursprungliga bestämmelsen i 3 kap. 3 a § KFMdbL anges som exempel på uppgifter som vid den tiden i praxis inte hade ansetts som felaktiga i personuppgiftslagens mening, men som ändå skulle anses vara missvisande, uppgifter om en ansökan om verkställighet som visserligen har föregåtts av betalningsuppmaning men där denna inte har kommit adressaten till handa. Enbart ett påstående att någon betalningsuppmaning inte hade mottagits kunde enligt regeringen dock knappast anses tillräckligt för rättelse. Därutöver ansågs krävas att påståendet vann stöd av andra omständigheter, t.ex. att den som avsågs med uppgiften hade flyttat i nära anslutning till den tidpunkt när betalningsuppmaningen skickats ut. 156 Exemplet är enligt vår mening fortsatt aktuellt i detta sammanhang. Att helt ta bort den särskilda bestämmelsen om rättelse hade vidare med största sannolikhet inneburit en mer inskränkt möjlighet för Kronofogdemyndigheten att korrigera, blockera eller ta bort felaktiga eller missvisande uppgifter i förhållande till de behov som finns. Dataskyddsförordningen hindrar inte heller att den utökade rätten till rättelse av vissa missvisande uppgifter i Kronofogdemyndighetens verksamhet behålls. 157 Vi gör sammantaget bedömningen att det fortsatt finns skäl för en särskild reglering av rättelse m.m. för uppgifter i Kronofogdemyndighetens verksamhet. Det skulle säkerställa att det vid myndigheten inte finns uppgifter där det inte behöver ha förelegat någon verklig vare sig ovilja eller oförmåga att betala. Mot denna bakgrund föreslår vi att det bör införas en särskild bestämmelse om rättelse
156 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 29. 157 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79.
454Allmänna bestämmelser om personuppgiftsbehandling
m.m. i 18 § kronofogdedatalagen. Detta även om begreppet missvisande inte förekommer i dataskyddsförordningens bestämmelser om rättelse m.m. i artiklarna 16–19.
Utformningen av den särskilda bestämmelsen om rättelse i den nya kronofogdedatalagen
När det gäller den nya kronofogdedatalagen föreslår vi att den generellt sett inte ska omfatta behandling av uppgifter om juridiska personer eller avlidna (se avsnitten 7.4.2 och 7.4.3). Som ovan nämns gäller den nu gällande rättelsebestämmelsen i 3 kap. 3 a § KFMdbL även uppgifter om avlidna och juridiska personer. En konsekvens av våra förslag avseende tillämpningsområdet är att om rättelsebestämmelsen förs över oförändrad till den nya lagen blir den nuvarande lydelsen i 3 kap. 3 a § första stycket 1 inte möjlig att tillämpa fullt ut. Detta då det i bestämmelsen anges att Kronofogdemyndigheten på begäran av den registrerade snarast ska rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med denna lag eller anslutande författningar. Samtidigt anser vi att motsvarande bestämmelse bör införas i den nya lagen avseende fysiska personer. När den tidigare bestämmelsen om rättelse i 3 kap. 3 § KFMdbL hänvisade till 28 § PUL omfattade den endast fysiska personer. Att den senare bestämmelsen i 3 kap. 3 a § KFMdbL även skulle tillämpas på uppgifter om juridiska personer och avlidna klargjordes genom en ändring av 1 kap. 1 § KFMdbL i samband med att den nya rättelsebestämmelsen infördes 2008. I förarbetena finns ingen närmare motivering till denna utvidgning trots att det rörde en bestämmelse om behandling av personuppgifter. 158 I en hemställan från Skatteverket som föregick lagstiftningsärendet angavs dock att Skatteverket ansåg att den befintliga rättelsebestämmelsen skulle byggas ut genom att det uttryckligen skulle föreskrivas att rättelsebestämmelsen omfattar begreppet ”missvisande” och att bestämmelsen är tillämplig även på juridiska personer och avlidna. 159 Vi anser att en bestämmelse motsvarande 3 kap. 3 a § första stycket 1 KFMdbL i den nya lagen inte ska omfatta juridiska personer och avlidna. Juridiska personer och avlidna omfattas inte av bestämmel-
158 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 16–19. 159 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 11.
455Allmänna bestämmelser om personuppgiftsbehandling
serna i EU:s dataskyddsförordning. 160 Den nya kronofogdedatalagen ska utgöra kompletterande reglering till dataskyddsförordningen (se avsnitt 7.5.1). Vår uppfattning är att den aktuella bestämmelsen syftar till att säkerställa att fysiska personers integritet inte kränks. Personlig integritet är ett begrepp som är nära knutet till skyddet för privatlivet. Juridiska personer och avlidna kan enligt vår mening inte anses få ett sämre integritetsskydd ur ett dataskyddsrättsligt perspektiv genom att den aktuella bestämmelsen inte längre omfattar dessa subjekt eftersom skyddet för den personliga integriteten i bl.a. dataskyddsförordningen inte gäller för dem. Med andra ord anser vi att det förhållandet att bestämmelsen inte längre bör omfatta juridiska personer och avlidna är en följd av att dataskyddsförordningen inte omfattar dessa subjekt, vilket i sig inte innebär att avlidna och juridiska personer får ett sämre skydd ur ett integritetsskyddsperspektiv. I de fall vissa uppgifter om juridiska personer innefattar en personuppgift, t.ex. uppgift om firmatecknare, tillgodoses skyddet genom bl.a. de regler som nu föreslås till skydd för fysiska personers personliga integritet. Bedömningen utesluter dock inte att det kan finnas andra grunder på vilka den personuppgiftsansvarige t.ex. måste rätta en uppgift. Vid den tid då kronofogdedatabaslagen inte innehöll några särskilda bestämmelser om rättelse avseende juridiska personer har Högsta förvaltningsdomstolen slagit fast att det förhållandet inte rimligen i sig kunde innebära att en juridisk person ska kunna vägras att få en felaktig uppgift rättad (RÅ 2004 ref. 104). Vidare finns vissa bestämmelser om rättelse i 36 § FL. Vi anser att också en bestämmelse motsvarande 3 kap. 3 a § första stycket 2 KFMdbL ska tas in i den nya kronofogdedatalagen. Enligt bestämmelsen ska Kronofogdemyndigheten på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Också denna bestämmelse är i dag tillämplig på uppgifter om juridiska personer och avlidna. Bestämmelsen får sägas vara utökad i förhållande till den allmänna dataskyddsförordningen. 161 Syftet med att införa bestämmelsen var i huvudsak att tillgodose såväl kraven på Kronofogdemyndighetens diarieföring som de enskildas berättigade krav på att inte behöva före-
160 Se bl.a. skäl 14 och 27 till dataskyddsförordningen. 161 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17.
456Allmänna bestämmelser om personuppgiftsbehandling
komma med uppgifter som ger ett i sak ogrundat intryck av bristande vilja eller förmåga att göra rätt för sig. 162 Även sådana ogrundade intryck avseende juridiska personer kan få negativa konsekvenser på ett sätt som gör att det finns skäl att fortsatt låta bestämmelsen omfatta sådana subjekt. Det rör sig framför allt om ekonomiska konsekvenser. Det finns till skillnad från det som nu har sagts ingen motsvarande anledning att låta bestämmelsen omfatta avlidna personer. För sådana subjekt, undantaget dödsbon, uppkommer t.ex. inte några ekonomiska konsekvenser om den särskilda rättelsebestämmelsen inte omfattar dessa. De bestämmelser om rättelse m.m. som finns i EU:s dataskyddsförordning omfattar inte heller avlidna personer. Att juridiska personer omfattas av bestämmelsen i vissa delar innebär dock att dödsbon kommer att kunna begära rättelse enligt regleringen i den nya kronofogdedatalagen. Mot denna bakgrund föreslår vi att det ska införas en särskild bestämmelse om lagens tillämpningsområde i fråga om att den aktuella bestämmelsen även gäller vid behandling av uppgifter om juridiska personer (se avsnitt 7.4.8). Vidare anser vi att begreppet ”den registrerade” ska bytas ut mot ”en enskild”. Med enskild avses i tillämpliga fall både fysiska och juridiska personer. När det gäller begreppet ”missvisande” anges i förarbetena till den nuvarande rättelsebestämmelsen att prövningen av om uppgifterna är missvisande eller inte ska göras med utgångspunkt från förhållandena vid tidpunkten för registreringen. 163 Vi anser att detta tydligt bör komma till uttryck i bestämmelsen. I lagen ska det därför anges att Kronofogdemyndigheten på begäran av en enskild snarast ska rätta, blockera eller utplåna sådana uppgifter om den enskilde som vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. Någon ändring i sak är dock inte avsedd. Vad gäller hur rekvisiten missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser ska tillämpas är vår avsikt att även tidigare förarbetsuttalanden och praxis äger fortsatt giltighet. Detsamma gäller övriga rekvisit som överförs oförändrade från 3 kap. 3 a § KFMdbL till den nya kronofogdedatalagen.
162 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 17–18. 163 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 29.
457Allmänna bestämmelser om personuppgiftsbehandling
När det gäller begreppen utplåning eller blockering förekommer inte dessa i dataskyddsförordningen, vilket var fallet i det tidigare dataskyddsdirektivet. I dag används i stället begreppen rättelse och radering av personuppgifter samt begränsning av behandling (artiklarna 16–19 i dataskyddsförordningen). Vi har mot denna bakgrund övervägt om det finns skäl att modernisera bestämmelsen genom att införa begrepp som bättre stämmer överens med dataskyddsförordningen. En översyn av dessa begrepp har också efterfrågats av Kronofogdemyndigheten under utredningens arbete. En sådan förändring kräver enligt vår mening relativt grundliga överväganden, bl.a. av om det skulle innebära några materiella förändringar i förhållande till vad som gäller i dag samt hur det skulle påverka bestämmelsen om sekretess för blockerade uppgifter i 34 kap. 3 § OSL. Vidare innebär våra förslag ingen ändring av den tidigare bedömningen regeringen gjort i fråga om att det bör vara blockering som är den huvudsakliga rättelsemetoden i Kronofogdemyndighetens verksamhet. Det framgår inte heller att det ansågs finnas anledning att ändra begreppen vid den översyn som gjordes med anledning av EU:s dataskyddsförordning. Det ansågs då inte finnas något hinder mot att behålla bestäm- 164 melsen med dessa begrepp. Mot denna bakgrund anser vi sammantaget att en eventuell förändring av de aktuella begreppen inte bör göras inom ramen för den här utredningen. I 3 kap. 3 a § andra stycket KFMdbL finns i dag en reglering av att om uppgifterna lämnats ut till tredje man, ska Kronofogdemyndigheten underrätta denne om åtgärd enligt första stycket, om den registrerade begär det eller om mera betydande skada eller olägenhet för den registrerade kan undvikas på detta sätt. Någon underrättelse behöver dock inte lämnas, om detta skulle innebära en oproportionerligt stor arbetsinsats. Bestämmelsen har sitt ursprung i 28 § PUL och fördes över från denna till 3 kap. 3 a § KFMdbL 2008 i stort sett oförändrad. 165 Vid översynen av kronofogdedatabaslagen med anledning av EU:s dataskyddsförordning uttalade regeringen att denna bestämmelse saknar fullt ut motsvarighet i dataskyddsförordningen, eftersom den innebär att underrättelse till tredje man ska ske i vissa fall då underrättelse inte behöver lämnas enligt dataskyddsförordningen. Regeringen uttalade vidare att det inte fanns något hinder i
164 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79. 165 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 19.
458Allmänna bestämmelser om personuppgiftsbehandling
dataskyddsförordningen mot att behålla bestämmelsen. Bestämmelsen behölls därmed. 166 Sådana underrättelser det är fråga om enligt denna bestämmelse handlar ofta om underrättelser till kreditupplysningsföretag. Bestämmelsen hänger samman med att det i 8 § fjärde stycket kreditupplysningslagen (1973:1173) anges att en uppgift som har inhämtats från Kronofogdemyndigheten ska gallras när den har blockerats av Kronofogdemyndigheten med stöd av 3 kap. 3 a § kronofogdedatabaslagen. 167 Vi anser att en motsvarande bestämmelse behöver införas även i den nya kronofogdedatalagen. Att vi föreslår att den nya bestämmelsen som motsvarar 3 kap. 3 a § första stycket 1 KFMdbL inte längre ska omfatta juridiska personer eller att avlidna inte längre ska omfattas av den särskilda rättelsebestämmelsen över huvud taget påverkar inte denna bedömning. Bestämmelsen om Kronofogdemyndighetens underrättelseskyldighet ska dock i tillämpliga delar även gälla för rättade, blockerade eller utplånade uppgifter om juridiska personer (jfr avsnitt 7.4.8). Slutligen anges i dag i 3 kap. 3 a § tredje stycket KFMdbL att i fråga om personuppgifter finns bestämmelser om rättelse m.m. också i EU:s dataskyddsförordning. Bestämmelsen, som är en upplysningsbestämmelse, infördes i samband med att dataskyddsförordningen började gälla. I förarbetena angav regeringen att för fysiska personer skulle de särskilda bestämmelserna för Kronofogdemyndighetens verksamhet gälla vid sidan av de rättigheter som följer av dataskyddsförordningen. Detta skulle enligt regeringen tydliggöras genom att det i bestämmelsen upplyses om att det i fråga om personuppgifter även finns bestämmelser om rättelse m.m. i dataskyddsförordningen. Enligt regeringen tydliggjorde detta att för fysiska personer – till skillnad från juridiska personer – skulle de särskilda bestämmelserna gälla vid sidan av de rättigheter som följer av dataskyddsförordningen. 168 Med anledning av att dataskyddsförordningen är direkt tillämplig för medlemsstaterna, samt att vi föreslår att en bestämmelse motsvarande 3 kap. 3 a § första stycket 1 KFMdbL inte ska omfatta juridiska personer i den nya kronofogdedatalagen, anser vi att det inte finns något behov av att i den nya lagen ta in en bestämmelse som motsvarar 3 kap. 3 a § tredje stycket KFMdbL. Av betydelse är
166 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 79–80. 167 Jfr prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 30. 168 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 80.
459Allmänna bestämmelser om personuppgiftsbehandling
även att det av en bestämmelse i kronofogdedatalagen kommer att framgå att lagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning. Eftersom det endast rör sig om en upplysningsbestämmelse bedömer vi att det inte innebär någon ändring i sak i förhållande till det gällande rättsläget. Slutligen vill vi framhålla att det förhållandet att uppgifterna inte längre kommer att finnas i det som är den juridiska konstruktionen databas enligt vår uppfattning inte bör föranleda att den särskilda bestämmelsen om rättelse m.m. ska tillämpas på något annat sätt i sak i förhållande till i dag. Om Kronofogdemyndigheten har uppgifter registrerade, oavsett i vilken form eller i vilken typ av tekniskt system uppgifterna finns registrerade, som inte har behandlats i enlighet med den nya kronofogdedatalagen eller anslutande författningar, eller uppgifterna vid tidpunkten för registreringen är missvisande i fråga om den enskildes vilja eller förmåga att uppfylla sina ekonomiska förpliktelser, ska uppgifterna rättas, blockeras eller utplånas i enlighet vad som föreskrivs härom i den nya kronofogdedatalagen.
Något om sekretess för blockerade uppgifter
I dag gäller sekretess enligt 34 kap. 3 § OSL för uppgift i mål, ärende eller verksamhet som avses i 34 kap. 1 och 2 §§, dvs. inom utsökning och indrivning, och som Kronofogdemyndigheten har beslutat att blockera med tillämpning av 3 kap. 3 a § kronofogdedatabaslagen oavsett vad som föreskrivs i nämnda paragrafer. Vid tillämpning av 1 § andra stycket ska bortses från sökt verkställighet beträffande vilken uppgiften blockerats. Kronofogdemyndigheten har till utredningen uppgett att det finns skäl att överväga om blockerade uppgifter även i andra verksamheter än utsökning och indrivning bör omfattas av sekretess. Detta mot bakgrund av att exempelvis även ansökningar och utslag i mål om betalningsföreläggande samt beslut om skuldsanering kan leda till att betalningsanmärkningar registreras hos kreditupplysningsföretag. Redan när bestämmelsen i 3 kap. 3 a § KFMdbL infördes berördes i förarbetena frågan om sekretess även bör gälla i andra verksamheter än i verksamhet med utsökning och indrivning. Regeringen uttalade då att även om blockering används som rättelsemetod för uppgifter i t.ex. betalningsföreläggande- och handräckningsdatabasen kommer
460Allmänna bestämmelser om personuppgiftsbehandling
det inte att finnas något skydd mot att uppgifterna lämnas ut med stöd av offentlighetsprincipen. Regeringen anförde vidare att de problem med missvisande uppgifter som då uppmärksammats främst hade gällt uppgifter i utsöknings- och indrivningsdatabasen. Därmed ville regeringen inte utesluta att det kunde finnas skäl som talade för att införa sekretesskydd för vissa uppgifter även i exempelvis betalningsföreläggande- och handräckningsdatabasen. Mot bakgrund av att det då inte fanns några sekretessregler alls som rörde verksamheten med betalningsföreläggande och handräckning var det emellertid något som enligt regeringen skulle kräva ingående överväganden, bl.a. om hur en sekretessregel på det området lämpligen skulle utformas för att syftet skulle uppnås utan att åtkomsten till information begränsas i alltför hög grad. Det var därför inte aktuellt att då lägga fram något förslag till en sådan reglering. 169 I dag finns en sekretessregel som gäller i ärende om skuldsanering eller F-skuldsanering för uppgift om en enskilds personliga förhållanden. Sekretessen gäller dock inte beslut i ärende (34 kap. 6 § OSL). Någon sekretess finns däremot inte heller i dag avseende Kronofogdemyndighetens verksamhet med betalningsföreläggande och handräckning. När den nuvarande sekretessbestämmelsen som i dag finns i 34 kap. 3 § OSL infördes uttalade regeringen att för att blockering skulle bli fullt effektiv som rättelsemetod krävdes det att Kronofogdemyndigheten hade möjlighet att vägra lämna ut den blockerade uppgiften för det fall att den begärdes utlämnad på annat sätt än på elektronisk väg, och då med åberopande av offentlighetsprincipen. En ny sekretessregel skulle därför införas som enligt regeringen borde ha som utgångspunkt att Kronofogdemyndigheten hade beslutat om block- 170 ering av en uppgift. Motsvarande resonemang bör visserligen kunna föras för samtliga uppgifter som i dag leder till betalningsanmärkningar och som har blockerats av Kronofogdemyndigheten. Detta särskilt avseende verksamhet med skuldsanering och F-skuldsanering för vilken det numera finns en särskild sekretessregel. Kronofogdemyndigheten har dock uppgett att detta inte upplevs som ett stort problem i dag, främst mot bakgrund av den bestämmelse om gallring av blockerade uppgifter som finns i 8 § fjärde stycket kreditupplysningslagen samt
169 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 23–24. 170 Prop. 2007/08:116, Rättelse av uppgifter i Kronofogdemyndighetens verksamhet m.m., s. 21–22.
461Allmänna bestämmelser om personuppgiftsbehandling
bestämmelsen om underrättelse till kreditupplysningsföretag i 17 § förordningen (1991:1339) om betalningsföreläggande och handräckning. Myndigheten har även uppgett att det inte är vanligt med blockering inom verksamheten med skuldsanering. En bestämmelse om underrättelseskyldighet till tredje man i vissa fall föreslås också fortsatt att finnas i anslutning till den särskilda bestämmelsen om rättelse m.m. Vidare skulle nya eller ändrade sekretessregler i fråga om uppgifter som har blockerats av Kronofogdemyndigheten även inom ramen för verksamhet med skuldsanering, F-skuldsanering och betalningsföreläggande och handräckning, i likhet med vad regeringen tidigare fört fram, kräva ingående överväganden. Detta oaktat att det i dag finns en särskild regel om sekretess avseende uppgifter inom myndighetens verksamhet med skuldsanering och F-skuldsanering. Vi anser att sådana överväganden inte lämpar sig att göra inom ramen för utredningens uppdrag. Vi stannar därför vid att konstatera att Kronofogdemyndigheten har uttryckt att det finns skäl att överväga att införa sekretess för blockerade uppgifter även inom andra verksamheter vid myndigheten.
Bestämmelser om överklagande
I 3 kap. 4 § KFMdbL anges att beslut om rättelse enligt 3 kap. 3 a § första stycket får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelsen trädde i kraft under 2018. Den ersatte en tidigare bestämmelse som föreskrev att en myndighets beslut om rättelse och om information som ska lämnas enligt 26 § PUL får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt lagen fick inte överklagas. Den tidigare bestämmelsen omfattade, till skillnad från vad som gällde för Skatteverket och Tullverket, även sådana beslut om rättelse enligt 3 kap. 3 a § första stycket 2 KFMdbL där det är fråga om uppgifter som är missvisande i fråga om den registrerades vilja eller förmåga att uppfylla sina ekonomiska förpliktelser. I samband med lagändringen 2018 uttalade regeringen i förarbetena mot denna bakgrund att för att det tydligt ska framgå att även beslut enligt punkten 2 fick
462Allmänna bestämmelser om personuppgiftsbehandling
överklagas skulle en överklagandebestämmelse finnas kvar i kronofogdedatabaslagen. 171 I förarbetena uttalade regeringen även att det fortsatt skulle vara möjligt för juridiska personer att överklaga de två olika besluten om rättelse i kronofogdedatabaslagen, dvs. enligt både punkten 1 och 2 i 3 kap. 3 a §. 172 Även dataskyddslagen innehåller bestämmelser om överklagande som här blir aktuella. I samband med att de nu gällande överklagandebestämmelsen infördes uttalade regeringen att fysiska personer kommer att kunna överklaga beslut om rättelse enligt 3 kap. 3 a § första stycket 1 KFMdbL med stöd av dataskyddslagen och ansågs därmed inte behöva tillämpa den särskilda överklagandebestämmelsen i sådana fall. Regeringen uttalade vidare att juridiska personer inte omfattas av dataskyddslagens tillämpningsområde och skulle i stället komma att kunna överklaga sådana beslut med stöd av den särskilda överklagandebestämmelsen. När det gällde beslut om rättelse enligt 3 kap. 3 a § första stycket 2 uttalade regeringen att såväl fysiska som juridiska personer skulle komma att ha rätt att överklaga dessa med 173 stöd av den särskilda överklagandebestämmelsen. Därmed omfattar den nuvarande överklagandebestämmelsen beslut enligt både punkt 1 och punkt 2 i 3 kap. 3 a § första stycket KFMdbL. Av motsvarande skäl som regeringen anförde enligt ovan anser vi att det ska införas en särskild överklagandebestämmelse i 19 § kronofogdedatalagen. Även om vi föreslår att bestämmelsen som motsvarar den tidigare 3 kap. 3 a § första stycket 1 inte längre ska omfatta juridiska personer anser vi att bestämmelsen om överklagande av tydlighetsskäl ska omfatta beslut om rättelse enligt både punkt 1 och 2 i den föreslagna bestämmelsen om rättelse m.m. i 18 §. Detta oaktat att dataskyddslagens regler om överklagande blir tillämpliga vid beslut om rättelse m.m. för fysiska personer. Det innebär att överklagandebestämmelsen även ska vara tillämplig på sådana beslut som avser rättelse, blockering eller utplåning av uppgifter om juridiska personer som fattats i enlighet med 18 § första stycket 2 kronofogdedatalagen (jfr avsnitt 7.4.8).
171 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 94. 172 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 94–95. 173 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 95.
463Allmänna bestämmelser om personuppgiftsbehandling
Vidare föreslår vi att den nuvarande bestämmelsen i 3 kap. 4 § andra stycket KFMdbL ska överföras oförändrad till den nya kronofogdedatalagen. Det innebär att prövningstillstånd även fortsättningsvis kommer att krävas vid överklagande till kammarrätten.
4658 Ändamålsbestämmelser
8.1 Inledning
Vårt övergripande uppdrag är att göra en fullständig översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar och då bl.a. bedöma om det finns utrymme för minskad detaljreglering. Avseende nuvarande ändamålsbestämmelser omfattar vårt uppdrag att utreda om det finns ett behov av utvidgad ändamålsreglering, för att säkerställa att reglerna är anpassade efter den tekniska utvecklingen. Vi har dessutom i uppdrag att överväga en mindre detaljerad ändamålsreglering, exempelvis avseende de s.k. sekundära ändamålsbestämmelserna. I detta kapitel redogör vi för olika aspekter av ändamål med personuppgiftsbehandling och betydelsen av ändamålet med behandlingen utifrån den allmänna dataskyddsreglertingen, främst EU:s dataskyddsförordning. 1 Vi redogör även för olika aspekter av ändamålsbestämmelser i nationell rätt. I kapitlet går vi vidare igenom de överväganden som låg till grund för den ursprungliga utformningen av befintliga ändamålsbestämmelser i myndigheternas registerförfattningar. Därutöver redogörs för regeringens överväganden i samband med att dataskyddsförordningen skulle börja tillämpas, samt ändamålsregleringen för den nya databas som sedan maj 2023 regleras i folkbokföringsdatabaslagen. Vi redogör även för befintliga ändamålsbestämmelser i registerförfattningarna för Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten. Sedan redogör vi för våra överväganden avseende vilka behov av förändring som föreligger samt lämnar förslag på hur en ny reglering
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
466Ändamålsbestämmelser
av tillåtna ändamål för behandling av personuppgifter ska utformas. Vi redogör i det sammanhanget särskilt för hur ändamålsbestämmelserna i dag förhåller sig till databasregleringen och finalitetsprincipen. Slutligen redogör vi för våra överväganden avseende en föreslagen förändring avseende beskattningsdatabasens ändamålsreglering. De förslag som lämnas avser nya bestämmelser för Skatteverkets beskattningsverksamhet och folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten. Frågor som rör ändamålsbestämmelser i Skatteverkets verksamhet med det statliga personadressregistret, SPAR, samt Skatteverkets verksamhet med äktenskapsregistret och bouppteckningar behandlas särskilt i avsnitten 16.4.4 och 17.4.4. Särskilda överväganden om ändamålsbestämmelser avseende dataanalyser och urval finns dessutom i avsnitt 14.8.
8.2 Allmänt om ändamålsbestämmelser
8.2.1 Ändamål och den personuppgiftsansvariges ansvar
Den rättsliga grunden sätter upp ramarna för ändamålen
För att behandling av personuppgifter över huvud taget ska vara laglig enligt EU:s dataskyddsförordning krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. Behandling som grundar sig på en rättslig förpliktelse som den personuppgiftsansvarige har att utföra, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 c och e) måste som utgångpunkt ha en grund i unionsrätten eller i en medlemsstats nationella rätt (artikel 6.3 första stycket). Enligt dataskyddsförordningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offent- 2 liga myndigheternas behandling av personuppgifter. I lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges i vilka situationer personuppgifter får behandlas med stöd av artikel 6.1 c och e i dataskyddsförordningen.
2 Skäl 47 till dataskyddsförordningen.
467Ändamålsbestämmelser
Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas med stöd av artikel 6.1 c om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. Av 2 kap. 2 § samma lag framgår att personuppgifter får behandlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning. Kravet på att all behandling måste ha en rättslig grund innebär att den materiella och processuella verksamhetsreglering som styr en myndighets uppgifter också styr för vilka ändamål myndigheten får behandla personuppgifter. Den rättsliga grund som myndigheterna kan basera sin personuppgiftsbehandling på, dvs den materiella och processuella verksamhetsregleringen, begränsar därmed även för vilka ändamål personuppgifter får behandlas. Det finns följaktligen en nära koppling mellan den materiella och processuella verksamhetsregleringen och de ändamål för behandling som kan bli aktuella.
Ändamålets betydelse i dataskyddsförordningen
Det måste alltid finnas minst ett ändamål med personuppgiftsbehandling. Detta uttrycks i artikel 5.1 b i dataskyddsförordningen som att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med behandlingen är avgörande för flera av de grundläggande principer för personuppgiftsbehandling som uttrycks i artikel 5 i dataskyddsförordningen. Principen om ändamålsbegränsning (finalitetsprincipen) innebär att uppgifter inte får vidarebehandlas för ändamål som är oförenliga med insamlingsändamålet, artikel 5.1 b. Principen om uppgiftsminimering innebär att de personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, artikel 5.1 c. Principen om korrekthet innebär bl.a. att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga, i
468Ändamålsbestämmelser
förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål, artikel 5.1 d. Principen om lagringsminimering innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas, artikel 5.1 e. Betydelsen av ändamålet med behandling av personuppgifter är dock inte begränsad till de grundläggande principerna. Av artikel 13.1 framgår att om personuppgifter samlas in från den registrerade ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna information om bl.a. ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. Samma sak gäller enligt artikel 14.1 om personuppgifterna inte har erhållits från den registrerade. Enligt artikel 17.1 har en registrerad rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål raderar personuppgifter om de inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats. Det ansvar som den personuppgiftsansvarige har att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen utgår enligt artikel 24.1 bl.a. från ändamålet med behandlingen. Behandlingens ändamål har också betydelse för den personuppgiftsansvariges skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för fysiska personers rättigheter och friheter enligt artikel 32. Av artikel 35.1 framgår att om en typ av behandling, särskilt med användning av ny teknik och med beaktande av bl.a. dess sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Varje personuppgiftsansvarig ska vidare föra ett register över behandling som utförts under dess ansvar och registret ska bl.a. innehålla uppgifter om ändamålen med behandlingen enligt artikel 30.1 c. Utöver exemplen ovan har ändamålet med behandlingen betydelse för tillämpningen av flera olika bestämmelser i dataskyddsförordningen. Ändamålet med behandling av personuppgifter har därmed en central betydelse i den allmänna dataskyddsregleringen.
469Ändamålsbestämmelser
Den personuppgiftsansvarige bestämmer ändamålen
Av definitionen av begreppet personuppgiftsansvarig i dataskyddsförordningen framgår att det är den personuppgiftsansvarige som bestämmer ändamålen och medlen för behandlingen (artikel 4.7). Av artikel 5.2 framgår vidare att det är den personuppgiftsansvarige som ska ansvara för och kunna visa att de grundläggande principerna för behandling efterlevs (principen om ansvarsskyldighet). Som utgångspunkt är det alltså den personuppgiftsansvarige, och inte lagstiftaren eller någon annan aktör, som ansvarar för att formulera särskilda och berättigade ändamål för behandlingen av personuppgifter i det enskilda fallet.
Nationell rätt kan komplettera och begränsa den
personuppgiftsansvariges möjlighet att bestämma ändamål
Dataskyddsförordningen medger nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Det gäller särskilt sådan behandling som sker inom den offentliga sektorn. Av artikel 6.2 framgår att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 till förordningen framgår att detta även gäller för behandlingen av känsliga personuppgifter. Den rättsliga grunden kan vidare enligt artikel 6.3 andra stycket innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar samt typer av behandling och förfaranden för behandling. Under vissa förutsättningar kan de rättigheter för enskilda som följer av dataskyddsförordningen begränsas. De begränsningar av enskildas rättigheter som enligt artikel 23.1 är möjligt att införa i nationell rätt ska enligt artikel 23.2 a innehålla specifika bestämmelser av-
470Ändamålsbestämmelser
seende ändamålen med behandlingen eller kategorierna av behandling. Det innebär att lagstiftaren i vissa fall inte bara får utan också måste ta ställning till och ange vilka ändamål med behandling eller kategorier av behandling som kan motivera ett undantag från en eller flera rättigheter.
8.2.2 Allmänt om ändamålsbestämmelser i registerförfattningar
och annan dataskyddsreglering
Ändamålsbestämmelser i registerförfattningar
och annan dataskyddsreglering
Svenska registerförfattningar och annan dataskyddsreglering som innehåller sektorsspecifika bestämmelser om myndigheters personuppgiftsbehandling kompletterar EU:s dataskyddsförordning. Kompletterande dataskyddsreglering innehåller normalt också bestämmelser som anger för vilka ändamål personuppgifter får behandlas. Även lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), innehåller bestämmelser om ändamål. Det finns dock sektorsspecifik reglering som inte innehåller ändamålsbestämmelser. Exempelvis innehåller 26 a kap. skollagen (2010:800), som reglerar behandling av personuppgifter, ingen bestämmelse som begränsar eller anger för vilka ändamål personuppgifter får behandlas. Flera myndigheter saknar dessutom helt sektorsspecifik lagstiftning på dataskyddsområdet, exempelvis gäller detta för Integritetsskyddsmyndigheten, IMY, och Skatteverkets verksamhet med evenemangsstöd. I lagstiftningsärendet gällande dataskyddslagen tog regeringen ställning till de svenska registerförfattningarnas förenlighet med dataskyddsförordningens bestämmelser. Regeringen uttalade då i fråga om ändamålsbestämmelser att dataskyddsförordningen inte ställer något krav på att ändamål ska vara fastställda i författning men att det heller inte finns något som hindrar att detta görs, under förut-
471Ändamålsbestämmelser
sättning att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas. 3 Högsta förvaltningsdomstolen har i rättsfallet HFD 2021 ref. 10 uttalat att det inte råder någon tvekan om att det, under förutsättning att vissa grundläggande krav upprätthålls, är tillåtet att i nationell rätt bestämma både de ändamål för vilka personuppgifter får behandlas och de ändamålsbegränsningar som lagstiftaren anser ska gälla, och att ändamålsbestämmelser i registerförfattningar inte är av unionsrättslig karaktär. Det innebar enligt domstolen att principen om unionsrättens företräde inte gjorde sig gällande i frågan om hur nationella bestämmelser om en myndighets skyldighet att lämna offentliga uppgifter till andra myndigheter förhåller sig till ändamålsbestämmelser i den utlämnande myndighetens registerförfattning (se vidare avsnitten 13.2.4 och 13.4.3).
Ändamålsbestämmelsers funktion och syfte
Olika syften
Ändamålsbestämmelser utgör i regel dataskyddsreglering som syftar till att stärka skyddet för den personliga integriteten. 4 Vilken karaktär den aktuella författningen har påverkar dock vilket syfte som finns med ändamålsbestämmelserna. Registerförfattningar och annan dataskyddsreglering kan nämligen ha olika karaktär beroende på om föremålet för regleringen är en myndighets totala informationshantering inom en viss verksamhet eller enbart avser förandet av ett visst register, alternativt ett förtydligande av den materiella verksamhetsregleringen. Mer renodlade registerförfattningar reglerar register som enligt riksdag eller regering ska föras och som ska ha ett visst obligatoriskt innehåll. Genom en sådan registerförfattning får en myndighet ansvar för att föra ett visst register, och registerföringen blir genom författningsregleringen en del i myndighetens uppdrag. 5 Ändamålsbestämmelser i en författning som särskilt avser förandet av ett visst register, som exempelvis ändamålsbestämmelserna i lagen (1998:527) om det statliga personadressregistret, SPAR-lagen, har en delvis annan
3 Prop. 2017/18:105, Ny dataskyddslag, s. 48, 50 och 51. 4 Jfr prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85, 99 och 100. 5 Jfr SOU 2015:39, Myndighetsdatalag, s. 97.
472Ändamålsbestämmelser
funktion än de som reglerar för vilka ändamål en myndighet mer övergripande får behandla personuppgifter (se avsnitt 16.4.4). När ändamålsbestämmelser anger för vilka ändamål ett register som SPAR får föras utgör de i högre utsträckning en del av den materiella regleringen av själva registret än rena dataskyddsbestämmelser. 6 Om ändamålsbestämmelser finns i författningar vars övergripande funktion är att reglera personuppgiftsbehandling i stort inom en viss verksamhet eller inom en särskild myndighet avser bestämmelserna inte bara att viss registerföring ska eller får ske. I och med att tillämpningsområdet för sådana författningar normalt är vidare än att enbart reglera personuppgifter i ett särskilt register har ändamålsbestämmelserna i dessa fall en annan funktion. Utmärkande för sådana ändamålsbestämmelser är att de i huvudsak reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för författningens tillämpningsområde. 7 Sådana bestämmelser har en tydlig dataskyddsrättslig karaktär. I andra fall kan särskilda ändamålsbestämmelser anses krävas för att komplettera den rättsliga grunden för behandlingen, så att den uppfyller dataskyddsförordningens krav på tydlighet precision och förutsebarhet, se exempelvis avsnitt 14.8 om dataanalyser och urval. En lag som innehåller ändamålsbestämmelser kan också motiveras av att den materiella verksamhetsregleringen av en myndighets uppgifter 8 annars inte anges i lag. Särskilda ändamålsbestämmelser kan också aktualiseras vid behandling i mycket avgränsade uppgiftssamlingar med särskilt känsliga uppgifter. 9 Ändamålsbestämmelser fyller därmed olika syften beroende på inom vilken verksamhet de är avsedda att tillämpas och hur verksamheten är reglerad i övrigt. I det följande avser vi dock med ändamålsbestämmelser sådana bestämmelser som reglerar vilken personuppgiftsbehandling myndigheter får utföra inom ramen för en dataskyddsförfattnings tillämpningsområde, och som är av tydlig dataskyddskaraktär.
6 SOU 2015:39, Myndighetsdatalag, s. 98. 7 Jfr SOU 2015:39, Myndighetsdatalag, s. 100. 8 Prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, s. 21. 9 Jfr 1 § lagen (2020:422) om Rättsmedicinalverkets elimineringsdatabas.
473Ändamålsbestämmelser
En yttersta ram för behandling av personuppgifter?
Regeringen har i senare lagstiftningsarbete uttalat att ändamålsbestämmelser kan sägas anpassa tillämpningen av dataskyddsförordningen 10 och säkerställa en laglig och rättvis behandling av personuppgifter. Bestämmelser om tillåtna ändamål har också karaktäriserats av regeringen som en yttersta ram inom vilken personuppgiftsbehandling är tillåten. 11 Regeringen har dock även uppmärksammat att ändamålet med behandlingen enligt den allmänna dataskyddsregleringen inte får vara så vagt eller vittomfattande att någon prövning av om de personuppgifter som behandlas är adekvata och relevanta för ändamålet inte är möjlig. Enligt regeringen innebär det att det många gånger kommer att behöva formuleras mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i en myndighets verk- 12 samhet, än de som anges i registerförfattning. Regeringen har även uttalat dels att ändamålsbestämmelser i många fall borde kunna ses som en del i den rättsliga grunden för personuppgiftsbehandling, 13 dels att ändamålsbestämmelser kan utgöra ett fastställande av den rättsliga grunden för en rättslig förpliktelse eller arbetsuppgift av allmänt intresse, 14 i vart fall när materiell reglering inte fastställer sagda grund.
Primära och sekundära ändamålsbestämmelser
Dataskyddsförordningens bestämmelser om rättslig grund medför, som vi redan nämnt, att en myndighet som utgångspunkt endast får behandla personuppgifter om det är nödvändigt för att fullgöra en rättslig förpliktelse, för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning. Enligt dataskyddsförordningen är det lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. 15 Dataskyddsförordningen förutsätter alltså att myn-
10 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 124. 11 Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform s. 43. 12 Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 43. 13 Prop. 2018/19:65, Personuppgiftsbehandling i viss verksamhet som rör allmän ordning och säkerhet – anpassningar till EU:s dataskyddsreform, s. 44 14 Prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning, s. 83. 15 Skäl 47 till dataskyddsförordningen.
474Ändamålsbestämmelser
digheters verksamhet som föranleder behandling av personuppgifter är rättsligt reglerad. Även enligt svensk rätt måste myndighetsutövning mot enskild alltid ha stöd i författning. 16 Eftersom myndigheter som utgångspunkt inte har någon rättslig möjlighet att behandla personuppgifter för ändamål som faller utanför deras författningsreglerade uppdrag och uppgifter utgår ändamålsbestämmelser normalt från myndigheternas uppdrag i enlighet med lag eller förordning, och det därtill knutna behovet av att behandla personuppgifter. Bestämmelser som avser ändamål för personuppgiftsbehandling som uppkommer i myndighetens verksamhet brukar benämnas primära ändamål. De primära ändamålsbestämmelserna kan se olika ut beroende på om den aktuella författningen ska tillämpas i all verksamhet som en myndighet ansvarar för, eller endast vissa delar. Här kan dock nämnas att rent administrativa göromål (exempelvis personaladministrativ verksamhet) ofta faller utanför den kompletterande dataskyddsregleringens tillämpningsområde. Om författningen är avsedd att tillämpas i all verksamhet som en myndighet bedriver behöver ändamålsbestämmelserna täcka all den behandling som är nödvändig för att myndigheten ska kunna utföra sin verksamhet, med undantag för personaladministrativ verksamhet och annan sådan verksamhet som kan medföra personuppgiftsbehandling hos myndigheter gene- 17 rellt. Sekundära ändamål avser ofta tillhandahållande av personuppgifter till externa mottagare, inte sällan andra myndigheter eller andra offentliga aktörer. På samma sätt som de primära ändamålen ofta speglar myndighetens författningsreglerade arbetsuppgifter speglar de sekundära ändamålen ofta bestämmelser som föreskriver ett mer omfat- 18 tande utlämnande av uppgifter från den aktuella myndigheten.
En uttömmande ändamålsreglering upphäver finalitetsprincipen i sammanhanget
Finalitetsprincipen innebär att personuppgifter får vidarebehandlas för tillkommande ändamål, men med begränsningen att dessa ändamål inte får vara oförenliga med de ursprungliga insamlingsändamå-
16 Se 8 kap. 2 § 2 och 3 § regeringsformen, samt 5 § förvaltningslagen (2017:900). 17 Jfr regeringens uttalanden i prop. 2022/23:34, Utbetalningsmyndigheten, s. 124. 18 Jfr t.ex. 114 kap. 8 § socialförsäkringsbalken och 13 § utlänningsdatalagen (2016:27).
475Ändamålsbestämmelser
len. 19 Principen medför att uppgifter kan komma att behandlas för flera andra ändamål än de för vilka de från början samlades in. Finalitetsprincipen framgår som redan nämnts av artikel 5.1 b i dataskyddsförordningen och utgör en av de grundläggande principerna för behandling av personuppgifter. Högsta förvaltningsdomstolen har i avgörandet HFD 2021 ref. 10 uttalat att när finalitetsprincipen är tillämplig är det den principen som ytterst sätter gränsen för vad som kan anses vara en tillåten behandling, dvs. den som är personuppgiftsansvarig måste göra en kontroll av om en senare behandling av personuppgifter är oförenlig med de ändamål för vilka uppgifterna först samlades in. I svenska registerförfattningar eller annan kompletterande dataskyddsreglering motsvaras finalitetsprincipen ofta av en särskild bestämmelse i anslutning till övriga ändamålsbestämmelser. Även om finalitetsprincipen inte uttryckligen anges i en kompletterande författning så gäller den som utgångspunkt ändå, som en följd av att dataskyddsförordningen ska tillämpas. Som nämnts i avsnitt 8.2.1 är det enligt artikel 6.3 i dataskyddsförordningen tillåtet att i den nationella rätten införa ändamålsbegränsningar. Ändamålsbegränsningar kan avse för vilka ändamål en viss kategori uppgifter får behandlas, eller att personuppgifter endast får behandlas för särskilt angivna ändamål. Om en ändamålsbegränsning av det senare slaget har införts så utesluter det vidarebehandling. Ändamålsbestämmelser kan därmed i vissa fall vara uttömmande, dvs. bestämmelserna anger de enda ändamål som uppgifter får behandlas för. Om ändamålsbestämmelserna exempelvis anger att uppgifter endast, eller bara får behandlas för de angivna ändamålen är ingen vidarebehandling för andra ändamål tillåten. Det innebär att finalitets- 20 principen inte gäller i det sammanhanget.
En stor variation i utformningen av ändamålsbestämmelser
Ändamålsbestämmelser kan utformas på olika sätt och vara mer eller mindre detaljerade. I vissa fall anger ändamålsbestämmelser endast att personuppgifter får behandlas för att myndigheten ska kunna
19 Jfr prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 1. 20 Jfr prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning, s. 90 och prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 21–23.
476Ändamålsbestämmelser
utföra sina uppgifter i den verksamhet som avses i författningens tillämpningsområde. Exempelvis är ändamålsregleringen för den nya Utbetalningsmyndigheten brett formulerad. Av den primära ändamålsbestämmelsen i 1 kap. 6 § första stycket lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten framgår följande. Utbetalningsmyndigheten får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter att 1. administrera ett system med transaktionskonto, och 2. förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen.
Av 6 och 7 §§ samma lag framgår att Utbetalningsmyndigheten också får behandla personuppgifter för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (sekundärt ändamål), eller för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för (finalitetsprincipen). Någon ytterligare bestämmelse som reglerar för vilka ändamål myndigheten får behandla personuppgifter finns inte i lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Ett annat exempel på en brett formulerad ändamålsbestämmelse är den reglering som finns i 2 kap. 1 och 2 §§ lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. Utöver bestämmelser om uppgiftslämnande som följer av lag eller förordning (sekundärt ändamål), samt andra ändamål som är förenliga med insamlingsändamålet (finalitetsprincipen), anges endast att Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten (primära ändamål). I andra fall har ändamålsbestämmelserna utformats på ett mer detaljerat sätt. Exempelvis är de bestämmelser som reglerar för vilka ändamål Transportstyrelsen får behandla personuppgifter av motsatt karaktär i förhållande till exemplen ovan. Ändamålsbestämmelserna i vägtrafikdatalagen (2019:369) 21 omfattar 16 paragrafer, 2 kap. 3–18 §§.
21 Det betänkande som ligger till grund för propositionen till vägtrafikdatalagen, SOU 2010:76, Transportstyrelsens databaser på vägtrafikområdet – integritet och effektivitet, överlämnades redan 2010 och kommitteens arbete påbörjades så tidigt som 2008. Lagens grundläggande utformning kom alltså till långt innan dataskyddsförordningen började tillämpas, trots att SFS-numret kan ge sken av motsatsen.
477Ändamålsbestämmelser
I detta sammanhang regleras utförligt tillåtna ändamål i de olika verksamheterna som Transportstyrelsen ansvarar för. För Transportstyrelsens fordonsverksamhet anges exempelvis i 2 kap. 3 § vägtrafikdatalagen följande. Personuppgifter får behandlas i Transportstyrelsens verksamhet som rör fordon om det är nödvändigt för att hantera frågor om 1. fordons registrering eller användning eller därmed sammanhängande frågor, 2. typgodkännande eller enskilt godkännande, 3. huruvida ett fordon och dess utrustning är tillförlitligt från säkerhetssynpunkt och i övrigt lämpligt för trafik, eller 4. skatter, avgifter, ersättningar eller premier.
Även de bestämmelser i 2 kap. 4 § vägtrafikdatalagen som anger lagens sekundära ändamål är mycket detaljerade. Också den ändamålsreglering som gäller för Försäkringskassans och Pensionsmyndighetens personuppgiftsbehandling är mer detaljerad i sin utformning. I 114 kap. 7 § första stycket socialförsäkrings- 22 balken anges i dag följande. Försäkringskassan och Pensionsmyndigheten får i sin verksamhet behandla personuppgifter om det är nödvändigt för att 1. återsöka vägledande avgöranden, 2. tillgodose behov av underlag som krävs för att den registrerades eller annans rättigheter eller skyldigheter i fråga om förmåner och ersättningar som avses i 2 § ska kunna bedömas eller fastställas, 3. informera om sådana förmåner och ersättningar som avses i 2 §, 4. handlägga ärenden, 5. planera verksamhet samt genomföra resultatstyrning, resultatuppföljning, resultatredovisning, utvärdering och tillsyn av respektive verksamhet, eller 6. framställa statistik i fråga om verksamhet enligt 4 och 5.
Regleringen av de sekundära ändamålen i 114 kap. 8 § socialförsäkringsbalken är också mycket detaljerad. 23 Av exemplen ovan, som enbart utgör en bråkdel av de många registerförfattningar och annan kompletterande dataskyddsreglering
22 Jfr dock föreslagen ny lydelse i prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 6. 23 Regeringen har dock föreslagit att den detaljerade regleringen av sekundära ändamål ska upphävas till förmån för en reglering som liknar den som i dag gäller för bl.a. Utbetalningsmyndigheten och Rättsmedicinalverket, se prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 46–48.
478Ändamålsbestämmelser
som finns i dag, framgår att det finns en stor variation i hur de primära och sekundära ändamålsbestämmelserna utformas i olika myndighetssammanhang. Skillnaderna i utformning avser som framgår ovan inte enbart hur detaljerat ändamålen beskrivs utan även vilka ändamål som lagstiftaren har bedömt uttryckligen behöver regleras. Det kan exempelvis ifrågasättas i vilken utsträckning Försäkringskassan hade varit förhindrad att behandla personuppgifter vid ärendehandläggning om det inte hade angivits som ett särskilt ändamål i 114 kap. 7 § 4 SFB.
8.3 Befintliga ändamålsbestämmelser för Skatteverkets
beskattnings- och folkbokföringsverksamheter,
Tullverket och Kronofogdemyndigheten
8.3.1 Bakgrund
Databaserna och finalitetsprincipen
Vid tidpunkten för de befintliga registerförfattningarnas tillkomst bedömde regeringen att enbart de frågor som var viktigast ur integritetssynpunkt skulle regleras i lag. 24 Regeringen konstaterade att en grundläggande princip vid personuppgiftsbehandling var att behandling inte fick vara oförenlig med de ändamål för vilka uppgifterna hade samlats in (finalitetsprincipen). Enligt regeringen borde det därför klart anges i lagarna för vilka ändamål uppgifter skulle få behandlas. Därigenom gavs enligt regeringen en tillräcklig garanti för att den personliga integriteten hos de registrerade skulle skyddas även utan en närmare reglering av vilka uppgifter som skulle få behandlas. 25 Finalitetsprincipen framgick vid den tidpunkten av 9 § d personuppgiftslagen (1998:204), PUL. Genom hänvisningar i registerförfattningarna till den bestämmelsen skulle finalitetsprincipen vara tillämplig
24 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99 Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fungera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhetsområde. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Kronofogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m. 25 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85.
479Ändamålsbestämmelser
även vid behandling med stöd av respektive registerförfattning, men utan att en bestämmelse som motsvarade finalitetsprincipen fanns i författningarna. 26 Enligt regeringen skulle Skatteverkets och Tullverkets registerförfattningar ges en likartad systematik, med en uppräkning av tillåtna ändamål som också reglerade för vilka ändamål uppgifter i en gemensamt tillgänglig databas fick användas. För Kronofogdemyndighetens del skulle ändamål i stället anges separat för var och en av de fyra databaser som skulle regleras i registerlagen. Inom databaserna skulle uppgifter som samlats in för något av de för databasen angivna ändamålen utgöra ”allmän egendom”. 27
Beskattningsverksamheten
Avseende beskattningsverksamheten bedömde regeringen att en detaljerad ändamålsbeskrivning som innefattade någon form av uppräkning av olika skatter och avgifter skulle komma att bli svåröverskådlig. Situationen skulle bli än mer komplicerad av att beskattningsområdet var ett av samhällets mest dynamiska i fråga om lagstiftningstakt. Ändamålsbestämmelserna för beskattningsverksamheten skulle i stället utformas så att de gav en rimlig avvägning mellan behovet av en förenkling av de dittills gällande reglerna och integritetssynpunkter. Som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra när, hur och vilka uppgifter som behandlades. Vidare konstaterade regeringen att en lag om behandling av personuppgifter inte styrde skatteförvaltningens verksamhet, utan i stället bestämdes verksamhetens inriktning av den materiella och processuella lagstiftningen på området jämte de instruktioner som gällde. Enligt regeringen borde därför ändamålet med beskattningsdatabasen vara att ge information som behövdes inom skatteförvaltningen för fastställande av underlag för skatter och avgifter samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. Syftet med bestämmelsen var att all beskattningsverksamhet som bedrevs av skatteförvaltningen skulle utgöra ett primärt ändamål. 28 Regeringen konstaterade dock att vissa ändamål som innefattades i beskattningsverksamheten behövde regleras särskilt. Bestämmande
26 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 92–93. 27 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 232. 28 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123.
480Ändamålsbestämmelser
av pensionsgrundande inkomst, samt fastighetstaxering i vissa fall, utgjorde enligt regeringen inte ett led i beskattningsförfarandet. Dessa arbetsuppgifter behövde därför anges som särskilda ändamål. 29 Regeringen konstaterade även att revision och annan kontroll utgjorde en stor del av verksamheten, och att innehållet i det centrala skatteregistret hade utökats med uppgifter från bl.a. länsstyrelserna och Tullverket enbart för att underlätta kontrollverksamheten och öka möjligheten att ta fram kontrollvärda objekt. Inom ramen för beskattningsverksamheten utfördes även kontroller som inte i första hand ledde till fastställande av underlag för skatter eller avgifter, utan kunde utmynna i påpekanden om en kommande bedömning. Skattemyndigheterna behövde även behandla uppgifter för kontroll eller revision av personer eller företag som inte var registrerade hos myndigheterna trots att de möjligen borde betala skatter och avgifter, s.k. nonfilers. Enligt regeringens mening borde revision och annan kontroll därför anges som ett särskilt ändamål. 30 Vad gällde andra verksamheter som skattemyndigheterna ansvarade för, bl.a. avseende kontroll av lämplighet för F-skatt och viss tillsyn, ansåg regeringen att dessa hade så stark koppling till beskattningsverksamheten att det var naturligt att beskattningsdatabasen användes för denna tillsyn. För att täcka in samtliga dessa åligganden som låg lite vid sidan av den beskattningsverksamhet som utmynnade i t.ex. fastställande av skatteunderlag, borde som ett särskilt ändamål anges tillsyn och lämplighets-, tillstånds- och liknande prövning. 31 Som ett annat särskilt ändamål borde enligt regeringen anges fullgörande av ett åliggande som följde av ett för Sverige bindande internationellt åtagande. Det var enligt regeringen en följd av den ökade internationaliseringen och då främst Sveriges skyldighet att till EU redovisa information inom bl.a. punktskatte- och mervärdesskatteområdet. 32 Slutligen borde som primära ändamål anges tillsyn, kontroll, uppföljning och planering av verksamheten. Enligt regeringen behövde det finnas möjlighet att som ett led i beskattningsverksamheten behandla personuppgifter med syfte att kartlägga verksamheten, dvs.
29 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 30 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123–124. 31 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 32 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124.
481Ändamålsbestämmelser
följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden. 33 Vad gäller sekundära ändamål bedömde regeringen de ändamål för vilka uppgifterna skulle användas hos mottagaren borde utgöra ett sekundärt ändamål för beskattningsdatabasen för att en myndighet skulle tillåtas ha direktåtkomst till uppgifter som fanns där. Även när det kunde förutses att ett regelmässigt utlämnande till andra myndigheter kunde komma att ske på annat sätt än genom direktåtkomst borde detta framgå av de sekundära ändamålen. En uppräkning av sekundära ändamål som inte avsåg utlämnande genom direktåtkomst kunde dock enligt regeringen inte bli uttömmande, eftersom det inte var möjligt att förutse samtliga de situationer då uppgifter kunde komma att lämnas ut till myndigheter eller andra för olika ändamål. De sekundära ändamålen som inte var särskilt inriktade på direktåtkomst avsåg de fall där det var möjligt att förutsäga att uppgifter kunde komma att lämnas ut i förhållandevis stor omfattning. 34 Då de dåvarande skatteregistren redan fick användas i kronofogdemyndigheternas exekutiva verksamhet, och kronofogdemyndigheterna under en lång tid haft direktåtkomst till uppgifterna, ansåg regeringen att ett sekundärt ändamål även i fortsättningen vara utsökning och indrivning. Eftersom Tullverket föreslogs få tillgång till uppgifter i beskattningsdatabasen genom direktåtkomst ansåg regeringen att ett sekundärt ändamål även skulle vara att ge information som behövdes i författningsreglerad verksamhet utanför skatteförvaltningen för fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter. Regeringen konstaterade vidare att utlämnande till dåvarande Riksförsäkringsverket 35 och Centrala studiestödsnämnden gjordes regelmässigt och det borde därför framgå av de sekundära ändamålen. Som ett särskilt sekundärt ändamål skulle därför anges att uppgifter fick användas för att utgöra underlag för beslut och kontroll av bidrag och andra stöd. Därutöver borde även anges att uppgifter fick användas för pensionsberäkning. Eftersom de regionala fastighetsregistren redan fick användas för aktualisering och komplettering av
33 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 34 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 126. 35 Riksförsäkringsverket upphörde den 31 december 2004 då Försäkringskassan bildades, se prop. 2003/04:69, En ny statlig myndighet för socialförsäkringens administration, s. 14–17.
482Ändamålsbestämmelser
uppgifter om fastigheter i andra myndigheters register skulle även detta framgå av de sekundära ändamålen. 36
Folkbokföringsverksamheten
För folkbokföringsverksamheten bedömde regeringen att de respektive ändamål som folkbokföringsregistret, enligt dåvarande lagen (1990:1536) om folkbokföringsregister, och aviseringsregistret, enligt dåvarande lagen (1995:743) om aviseringsregister fick användas för även skulle finnas i den nya lagen om behandling av personuppgifter i folkbokföringsverksamheten. Som ändamål skulle därför, med vissa redaktionella ändringar, anges samordning av identifieringsuppgifter för fysiska personer och andra folkbokföringsuppgifter, handläggning av folkbokföringsärenden, framställning av personbevis och andra registerutdrag samt uttag av folklängder och andra samlingar av uppgifter för förvaring hos statliga arkivmyndigheter, samt aktualisering, komplettering och kontroll av samt uttag av urval av personuppgifter. 37 Regeringen konstaterade vidare att kontroll av uppgifter om bl.a. identitet och bosättning och var en viktig del av folkbokföringsverksamheten som förutsatte att urvalskontroller gjordes, dvs. analyser av vilka personer som skulle granskas. Enligt regeringens bedömning 38 borde även denna verksamhet framgå av ändamålsbestämmelserna. Mot bakgrund av ett primärt ändamål för folkbokförings- och aviseringsregistren närmast kunde sägas vara att bistå samhället i stort, och inte bara den egna verksamheten, med uppgifter om fysiska personer i Sverige ansåg regeringen att någon indelning i primära och sekundära ändamål inte var lämplig i sammanhanget. 39
Tullverket
De ändamål som vid tidpunkten angavs i tullregisterlagen (1990:137), skulle enligt regeringens mening med vissa redaktionella ändringar även gälla för tulldatabasen. Det var fastställande, uppbörd, restitution och redovisning av tull och skatter m.m. som skulle betalas till Tullverket, fullgörande av övervakning, kontroll och revisioner inom
36 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 125–126. 37 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140. 38 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140. 39 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 140.
483Ändamålsbestämmelser
Tullverkets verksamhetsområde, planering och tillsyn av tullverksamheten samt framställning av viss statistik Liksom för beskattningsverksamheten ansåg regeringen att ett särskilt ändamål även för tulldatabasen skulle vara fullgörandet av ett åliggande som följde av ett för Sverige bindande åtagande. Slutligen borde enligt regeringen också tillsyn, kontroll, uppföljning och planering av verksamheten vara primära ändamål, eftersom Tullverket behövde ha möjlighet att som ett led i verksamheten behandla personuppgifter med syfte att kartlägga denna, dvs. följa upp verksamheten och planera för åtgärder som 40 skulle vidtas i framtiden. Vad gäller de sekundära ändamålen konstaterade regeringen att uppgifter som behandlades i tullregistret ofta behövde användas av myndigheter inom skatteförvaltningen. Vid tidpunkten fick tullregistret därför användas för viss prövning och tillsyn samt revision och kontroll som ankom på skatteförvaltningen. Riksskatteverket och skattemyndigheterna hade också direktåtkomst till uppgifter i tullregistret. Enligt regeringen skulle tulldatabasen även i fortsättningen få användas för dessa ändamål. Uppgifter som rörde import och export lämnades vid tidpunkten också ut till flera andra myndig- 41 heter med stöd av dåvarande 118 § tullagen (1994:1550). Eftersom uppgifterna användes av dessa myndigheter huvudsakligen för kontroll och tillsyn och ansåg regeringen att även denna användning borde omfattas av de sekundära ändamålen. Regeringen konstaterade vidare att för den exekutiva verksamheten hade dåvarande kronofogdemyndigheterna ett stort behov av uppgifter från Tullverket. Kronofogdemyndigheterna föreslogs dessutom få tillgång till uppgifter i tulldatabasen genom direktåtkomst. Som ett särskilt sekundärt ändamål med tulldatabasen borde därför också anges utsökning 42 och indrivning.
Kronofogdemyndigheten
Till skillnad från vad som skulle gälla för Skatteverket och Tullverket skulle personuppgiftbehandlingen vid dåvarande kronofogdemyndigheterna inte regleras utifrån en databas. I stället borde enligt regeringen fyra olika databaser införas, med särskilda ändamålsbestäm-
40 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177. 41 Regleringen finns numera i 1 kap. tullagen (2016:253). 42 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 177.
484Ändamålsbestämmelser
melser för varje databas. Uppdelningen skulle ske utifrån utsökning och indrivning, betalningsföreläggande och handräckning, samt skuldsanering och konkurstillsyn. Regeringen bedömde att skillnaderna mellan de olika verksamhetsområdena i fråga om ändamålen med och vilka uppgifter som skulle få behandlas i en databas i vissa avseenden var så stora att lagstiftningen annars hade blivit svåröverskådlig. 43
Utsöknings och indrivningsdatabasen
Ett av de primära ändamålen för utsöknings- och indrivningsdatabasen skulle enligt regeringen vara verkställighet enligt utsökningsbalken eller annan författning samt indrivning av statliga fordringar m.m. Det ändamålet skulle täcka in all målhantering som kronofogdemyndigheterna ansvarade för inom det exekutiva området. Kronofogdemyndigheternas arbete med avräkning och kvittning skulle vidare utgöra ett primärt ändamål. En ytterligare uppgift som kronofogdemyndigheterna ansvarade var övervakning av näringsförbud, vilket också skulle utgöra ett primärt ändamål för behandling i utsöknings- och indrivningsdatabasen. Mot bakgrund av att Riksskatteverket hade delegerat vissa ärenden, bl.a. om företrädaransvar, till kronofogdemyndigheterna och det enligt regeringen var tveksamt om dessa omfattades av de föreslagna ändamålen ansåg regeringen att det särskilt borde anges att utsöknings- och indrivningsdatabasen fick användas för handläggningen av sådana ärenden. Det behövde enligt regeringen vidare finnas en möjlighet att behandla personuppgifter med syfte att följa upp verksamheten och planera för åtgärder som skulle vidtas i framtiden, varför tillsyn, kontroll, uppföljning och planering av verksamheten skulle utgöra ett särskilt ändamål. 44 Vad gällde de sekundära ändamål som skulle gälla för utsökningsoch indrivningsdatabasen konstaterade regeringen att även andra myndigheter behövde tillgång till uppgifter om personer som var föremål för exekutiva åtgärder för att kunna genomföra avräkning och kvittning vid utbetalningar av olika slag. Avräkning vid återbetalning av skatter och avgifter samt kvittning vid utbetalning av bidrag skulle därför anges som sekundära ändamål. Inom skatteförvaltningen och hos Tullverket fanns vidare ett behov av tillgång till uppgifter om
43 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156–157. 44 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 158–159.
485Ändamålsbestämmelser
exekutiva åtgärder för verksamheten med uttag av skatt och tull. Regeringen ansåg därför att som sekundära ändamål skulle även anges planering, samordning och uppföljning av revisions- och annan kontrollverksamhet vid beskattning och tulltaxering samt utredningar vid bestämmande och uppbörd av skatter, tullar och avgifter. Regeringen konstaterade vidare att det hos andra myndigheter fanns ett stort behov av information om att en person var föremål för exekutiva åtgärder vid ett flertal prövnings- och tillsynsförfaranden. Som ett särskilt sekundärt ändamål för utsöknings- och indrivningsdatabasen skulle därför anges tillsyn och lämplighets-, tillstånds- och annan liknande prövning. 45
Betalningsföreläggande- och handräckningsdatabasen
Regeringen bedömde att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter i betalningsföreläggande- och handräckningsdatabasen. Det primära ändamålet var nämligen handläggning av mål om betalningsföreläggande eller handräckning (den summariska processen). Liksom i övriga verksamheter inom såväl kronofogdemyndigheterna som andra myndighetsorganisationer behövde det dessutom finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Som primära ändamål skulle därför även anges tillsyn, kontroll, uppföljning och planering av verksamheten. 46 Vissa uppgifter som skulle finnas i betalningsföreläggande- och handräckningsdatabasen skulle enligt regeringen komma att användas av olika myndigheter i deras verksamhet. Som exempel kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Ett sekundärt ändamål med databasen borde därför enligt regeringen vara tillsyn och kontroll samt 47 lämplighets- och tillståndsprövning och annan liknande prövning.
45 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 159. 46 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 163. 47 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 163.
486Ändamålsbestämmelser
Skuldsaneringsdatabasen
Även för kronofogdemyndigheternas verksamhet med frågor om skuldsanering ansåg regeringen att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter i databasen. De primära ändamålen var nämligen just handläggning av skuldsaneringsärenden. Liksom i övriga verksamheter behövde det finnas möjligheter att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll och uppföljning. Primära ändamål skulle därför även vara tillsyn, kontroll, uppföljning och planering av verksamheten. 48 Regeringen konstaterade att det fanns ett behov hos andra myndigheter av information om att en person hade ansökt om skuldsanering vid olika prövnings- och tillsynsförfaranden. Som exempel gavs kommunernas tillståndsgivning i fråga om utskänkning av alkohol och länsstyrelsernas tillsyn över restauranger m.m. Ett sekundärt ändamål med databasen skulle därför vara tillsyn samt lämplighetsoch tillståndsprövning och annan liknande prövning. 49
Konkurstillsynsdatabasen
Regeringen konstaterade att kronofogdemyndigheterna, som tillsynsmyndighet i konkurs, även hade i uppdrag att föra statens talan i vissa mål enligt lönegarantilagen. Tillsynsmyndigheten kunde även själv väcka talan mot ett beslut som den ansåg var felaktigt. Eftersom målen handlas av tillsynsmyndigheterna, var det enligt regeringens mening lämpligt att samordna den regleringen med den för behandling av personuppgifter i konkurstillsynsärenden. För kronofogdemyndigheternas verksamhet som avsåg frågor om konkurstillsyn samt vissa processer enligt lönegarantilagen ansåg regeringen att det var förhållandevis enkelt att slå fast de ändamål som skulle vara styrande för behandling av personuppgifter i databasen. Det grundläggande primära ändamålet var nämligen just handläggning av konkurstillsynsärenden och mål enligt lönegarantilagen. Liksom i övriga verksamheter behövde det även finnas möjlighet att utvärdera den egna verksamheten och på olika sätt behandla personuppgifter för intern kontroll
48 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 167. 49 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 167.
487Ändamålsbestämmelser
och uppföljning. Som primära ändamål skulle därför även tillsyn, kontroll, uppföljning och planering av verksamheten anges. 50 Uppgifter rörande konkurstillsyn och lönegaranti användes enligt regeringen inte av andra myndigheter för tillsyn eller lämplighets-, tillstånds- och annan liknande prövning. Inte heller användes uppgifterna av andra myndigheter för andra ändamål. Något sekundärt 51 ändamål skulle därför inte tas in i lagen.
8.3.2 Översyn i förhållande till EU:s dataskyddsförordning
Inför att EU:s dataskyddsförordning skulle börja tillämpas gjordes en översyn över registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. I detta sammanhang konstaterade regeringen att ändamålsbestämmelserna i registerförfattningarna angav den yttersta ram inom vilken personuppgifter fick behandlas och att ändamålsbestämmelserna i respektive lag hade utformats utifrån den berörda myndighetens verksamhet. 52 Regeringen uttalade även att ändamålsbestämmelser i lagstiftning som reglerar myndigheters personuppgiftsbehandling är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling enligt artikel 6.2 i förordningen. Detta framgick enligt regeringen även av artikel 6.3 i dataskyddsförordningen som anger att den rättsliga grunden kan innehålla särskilda bestämmelser om bl.a. ändamålsbegränsningar. Regeringen konstaterade vidare att i enlighet med artikel 23.2 a i dataskyddsförordningen skulle dessutom, åtminstone när så var relevant, lagstiftning som begränsar tillämpningsområdet för förordningens skyldigheter och rättigheter innehålla specifika ändamålsbestämmelser. Detta innebar enligt regeringen att ändamålsbestämmelserna som, tillsammans med finalitetsprincipen, gav myndigheterna ändamålsenliga möjligheter att behandla personuppgifter och samtidigt minskade risken för obefogade intrång i den personliga integriteten, kunde behållas. 53
50 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 169–170. 51 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 170. 52 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 54 och 57. 53 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 56.
488Ändamålsbestämmelser
Enligt regeringens bedömning borde finalitetsprincipen, som tidigare reglerades genom en hänvisning till personuppgiftslagen (se avsnitt 8.3.1), även fortsättningsvis utgöra den yttersta ram inom vilken personuppgifter skulle få behandlas. Regeringen ansåg dock att det av tydlighetsskäl fanns anledning att införa en uttrycklig bestämmelse som innebar att uppgifter som behandlades enligt de primära ändamålen även skulle få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlades på ett sätt som var oförenligt med det ändamål för vilket de samlades in. En sådan bestämmelse, tillsammans med uppräkningen av tillåtna ändamål i de berörda lagarna, utgjorde enligt regeringen en ändamålsbegränsning som fick införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen. 54 Regeringen ansåg vidare att det också kunde finnas skäl att göra vissa justeringar och förtydliganden i ändamålsbestämmelserna, som inte hade ett direkt samband med den nya dataskyddsregleringen. Vad avsåg de sekundära ändamålsbestämmelser fick det enligt regeringen förutsättas att, när bestämmelser som påbjöd eller tillät utlämnande hade införts, det hade gjorts en avvägning mellan intresset av att uppgiften lämnades ut och intresset av att skydda enskilda personers integritet, vid vilken man hade funnit att uppgiften skulle eller fick lämnas ut. Eftersom regleringen av de sekundära ändamålen inte var uttömmande konstaterade regeringen att utlämnande som skedde med stöd av en föreskrift som innebar att uppgifter fick lämnas ut kunde ske även utan uttryckligt stöd i registerförfattningarna. Enligt regeringen kunde det dock vara lämpligt att utforma de sekundära ändamålsbestämmelserna så att de omfattade utlämnande som skedde både med stöd av en bestämmelse om uppgiftsskyldighet och med stöd av en bestämmelse som tillät uppgiftslämnande. I registerförfattningarna borde därför anges att uppgifter fick behandlas om det behövdes för att fullgöra uppgiftslämnande som skedde i överensstämmelse med lag eller förordning. 55
54 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 56–57. 55 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 57–58.
489Ändamålsbestämmelser
8.3.3 En ny databas för Skatteverkets folkbokföringsverksamhet
Den 1 maj 2023 trädde bestämmelser i kraft med innebörden att det i Skatteverkets folkbokföringsverksamhet skulle inrättas en ny databas; analys- och urvalsdatabasen. Databasen regleras i dag i 2 a kap. folkbokföringsdatabaslagen, se vidare om den nya databasen i avsnitt 14.3.3 om Skatteverkets arbete med dataanalyser och urval. I likhet med regleringen av de databaser som relaterats ovan gäller särskilda ändamålsbestämmelser för den nya analys- och urvalsdatabasen. I förarbetena till ändamålsbestämmelserna för den nya databasen uttalade regeringen att det ändamål som föreskrevs i 1 kap. 4 § första stycket 1 FdbL redan tillät att uppgifter behandlades för att tillhandahålla information som behövs för kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter. Regeringens förslag innebar dock att behandling av personuppgifter för dataanalyser och urval skulle få ske i syfte att förebygga, förhindra och upptäcka felaktigheter i form av saknade eller oriktiga uppgifter i folkbokföringsverksamheten. Regeringen ansåg att det ändamålet klart och tydligt borde komma till uttryck i lagen. Inom ändamålet skulle folkbokföringsverksamhetens arbete med dataanalyser och urval komma att rymmas. Behandling i form av inhämtning och fortsatt behandling av uppgifter i syfte att utgöra underlag för dataanalyser och urval skulle också komma att omfattas av ändamålet. Ändamålet skulle även omfatta t.ex. uppföljning och 56 utveckling av analys- och urvalsmodeller.
8.3.4 Befintliga ändamål för beskattningsverksamheten
Primära ändamål
Enligt 1 kap. 4 § SdbL får uppgifter behandlas för att tillhandahålla information som behövs hos Skatteverket för 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering,
56 Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 24–25.
490Ändamålsbestämmelser
4. revision och annan analys- eller kontrollverksamhet, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. handläggning a) enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, b) av andra frågor om ansvar för någon annans skatter och avgifter, c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), d) enligt lagen (2017:182) om automatiskt utbyte av land-förland-rapporter på skatteområdet och 33 a kap. skatteförfarandelagen, e) enligt 33 b kap. skatteförfarandelagen, f) enligt lagen (2013:948) om stöd vid korttidsarbete och lagen (2020:548) om omställningsstöd samt handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och g) enligt lagen (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen (2022:1682) om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. skatteförfarandelagen, 7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, 8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige, 9. hantering av uppgifter om sjuklönekostnad, och 10. tillsyn, kontroll, uppföljning och planering av verksamheten.
491Ändamålsbestämmelser
Sekundära ändamål
Enligt 1 kap. 5 § SdbL får uppgifter som behandlas enligt 1 kap. 4 § SdbL även behandlas för 1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Skatteverket för a) fastställande av underlag för samt redovisning, bestämmande, betalning och återbetalning av skatter eller avgifter, b) utsökning, indrivning, skuldsanering och F-skuldsanering, c) att utgöra underlag för beräkning, beslut och kontroll i fråga om förmån, bidrag och andra stöd, d) pensionsberäkning, e) tillsyn och kontroll samt lämplighets- och tillståndsprövning och annan liknande prövning, och f) aktualisering och komplettering av uppgifter om fastigheter i andra myndigheters register, 2. att tillhandahålla information som behövs i Skatteverkets brottsbekämpande verksamhet enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, 3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Föreslagen reglering (Cesop-uppgifter)
Regeringen har den 25 maj 2023 överlämnat proposition 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, till riksdagen. Riksdagen fattade beslut den 25 oktober 2023. I propositionen föreslås bl.a. två nya bestämmelser, 1 kap. 4 a och 5 a §§ SdbL. De föreslagna bestämmelserna omfattar särskilda ändamålsbegränsningar, avseende både primära ändamål och sekundära ändamål, för vissa uppgifter som Skatteverket ska samla in från betaltjänstleverantörer och sända vidare
492Ändamålsbestämmelser
till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektroniskt system, kallat Cesop. Dessa förslag behandlas närmare i avsnitt 8.4.8 nedan.
8.3.5 Befintliga ändamål för folkbokföringsverksamheten
Folkbokföringsdatabasen
Primära ändamål Enligt 1 kap. 4 § första stycket FdbL får uppgifter behandlas för att tillhandahålla information som behövs för 1. samordnad behandling, kontroll och analys av identifieringsuppgifter för fysiska personer och av andra folkbokföringsuppgifter, 2. handläggning av folkbokföringsärenden, 3. fullgörande av underrättelseskyldighet enligt lag eller förordning, 4. framställning av personbevis och andra registerutdrag, 5. aktualisering, komplettering och kontroll av personuppgifter, 6. uttag av urval av personuppgifter, och 7. tillsyn, kontroll, uppföljning och planering av folkbokföringsverksamheten.
Sekundära ändamål Enligt 1 kap. 4 § andra stycket FdbL får uppgifter även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Insamlade uppgifter får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
493Ändamålsbestämmelser
Analys- och urvalsdatabasen
Primära ändamål Enligt 1 kap. 4 a § FdbL får uppgifter också behandlas för att tillhandahålla information som behövs för dataanalyser och urval i syfte att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringsverksamheten.
Sekundära ändamål Några sekundära ändamål som särskilt avser uppgifter som behandlas i analys- och urvalsdatabasen finns inte i folkbokföringsdatabaslagen.
8.3.6 Befintliga ändamål för Tullverket
Primära ändamål
Enligt 1 kap. 4 § TDL får uppgifter behandlas för att tillhandahålla information som behövs hos Tullverket för 1. bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, 2. övervakning, revision och annan analys- eller kontrollverksamhet, 3. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och 4. tillsyn, kontroll, uppföljning och planering av verksamheten. Enligt 1 kap 4 a § TDL får uppgifter vidare behandlas för att informera allmänheten om tillstånd och om certifikat för godkända ekonomiska aktörer.
Sekundära ändamål
Enligt 1 kap. 5 § TDL får uppgifter som behandlas enligt 1 kap. 4 § TDL även behandlas för 1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Tullverket för
494Ändamålsbestämmelser
a) fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter eller avgifter, b) revision och annan analys- eller kontrollverksamhet, c) tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, och d) utsökning och indrivning, 2. att tillhandahålla information som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 1 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, 3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
8.3.7 Befintliga ändamål för Kronofogdemyndighetens databaser
Utsöknings- och indrivningsdatabasen
Primära ändamål Uppgifter får enligt 2 kap. 2 § KFMdbL behandlas i utsöknings- och indrivningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens och Skatteverkets verksamhet för 1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, 2. indrivning av statliga fordringar m.m., 3. avräkning vid återbetalning av skatter och avgifter, 4. ansökan om och tillsyn över näringsförbud, 5. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering,
495Ändamålsbestämmelser
6. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och 7. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål Enligt 2 kap. 3 § KFMdbL får uppgifter som behandlas enligt 2 kap. 2 § samma lag även behandlas i databasen för 1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för a) avräkning vid återbetalning av skatter och avgifter, b) kvittning vid utbetalning av bidrag, c) planering, samordning och uppföljning av revision och annan kontrollverksamhet vid beskattning och tulltaxering, d) utredningar vid bestämmande och betalning av skatter, tullar och avgifter, e) ärenden om ansvar för någon annans skatter och avgifter, och f) kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 2. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering, 3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
496Ändamålsbestämmelser
Betalningsföreläggande- och handräckningsdatabasen
Primära ändamål
Enligt 2 kap. 8 § KFMdbL får uppgifter får behandlas i betalningsföreläggande- och handräckningsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för 1. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande, 2. tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande, 3. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och 4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål
Enligt 2 kap. 9 § KFMdbL får uppgifter som behandlas enligt 2 kap. 8 § samma lag även behandlas i databasen för 1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 2. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering, 3. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 4. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
497Ändamålsbestämmelser
Skuldsaneringsdatabasen
Primära ändamål Enligt 2 kap. 14 § KFMdbL får uppgifter 14 § behandlas i skuldsaneringsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för 1. handläggning av ärenden om skuldsanering och F- skuldsanering, 2. förebyggande av överskuldsättning, 3. att föra ett insolvensregister över skuldsaneringar och F- skuldsaneringar enligt lagen (2017:473) med kompletterande bestämmelser till 2015 års insolvensförordning, och 4. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål Enligt 2 kap. 15 § KFMdbL får uppgifter som behandlas enligt 2 kap. 14 § samma lag även behandlas i databasen för 1. att tillhandahålla information som behövs i författningsreglerad verksamhet hos någon annan än Kronofogdemyndigheten för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 2. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 3. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Konkurstillsynsdatabasen
Primära ändamål Enligt 2 kap. 20 § KFMdbL får uppgifter behandlas i konkurstillsynsdatabasen för att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för
498Ändamålsbestämmelser
1. handläggningen av konkurstillsynsärenden, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497), 2. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering, och 3. tillsyn, kontroll, uppföljning och planering av verksamheten.
Sekundära ändamål
Enligt 2 kap. 20 a § KFMdbL får uppgifter som behandlas enligt 2 kap. 20 § samma lag även behandlas i databasen för 1. att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering, 2. att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, och 3. andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
8.3.8 Myndigheternas uppfattning om nuvarande
ändamålsreglering
Skatteverket
Skatteverkets uppfattning är att befintliga ändamålsbestämmelser även kan beskrivas som en sammanfattning av de materiella regler som styr Skatteverkets verksamheter och anger vilka uppgifter Skatteverket har i dessa. Det går enligt Skatteverket att ifrågasätta om det är ändamålsenligt eller nödvändigt att särskilt reglera personuppgiftsbehandling som sker för att utföra författningsreglerade uppgifter när behandlingen är nödvändig för att följa gällande rätt. Skatteverket anser att det finns vissa risker med att föra ett gammalt arv vidare utan närmare bedömning av vilket faktiskt behov av nationella kompletterande bestämmelser som behövs i förhållande till EU:s dataskyddsförordning och den allmänna dataskyddslagen. En av riskerna med den nuvarande regleringen är enligt Skatteverket
499Ändamålsbestämmelser
att principen om ändamålsbegränsning enligt artikel 5.1 b i dataskyddsförordningen inte får avsedd effekt. Om ett ändamål inte fastställs i enlighet med artikel 5.1 b kan det medföra svårigheter för myndigheterna att tillämpa övriga bestämmelser i dataskyddsförordningen. Det finns nämligen en risk att befintliga ändamålsbestämmelser ska anses motsvara sådana särskilda, uttryckligt angivna ändamål som avses enligt artikel 5.1 b. Enligt Skatteverkets bedömning behöver dock ett ändamål preciseras mer för att det ska vara möjligt att avgöra vilka uppgifter som får behandlas eller hur länge uppgifterna får behandlas. Skatteverket anser att det är av yttersta vikt att den nationella kompletterande dataskyddsregleringen möjliggör att myndigheterna kan utföra sina uppdrag på ett effektivt sätt utan hinder av svårtolkade och obsoleta bestämmelser. Enbart med utgångspunkt i dataskyddskyddförordningen har myndigheterna å ena sidan långtgående skyldigheter och enskilda å andra sidan ett omfattande skydd. Skatteverkets uppfattning är att behovet av kompletterande nationell reglering i dag i större utsträckning ska bedömas med utgångspunkt i det nyss sagda. Skatteverkets bedömning är att en bred ändamålsbestämmelse är mer ändamålsenlig än dagens reglering, och skapar bättre förutsättningar för myndigheterna att utföra sina reglerade uppgifter. En ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina författningsreglerade uppgifter tydliggör enligt Skatteverket att det i huvudsak är myndighetens materiella reglering som sätter de yttersta ramarna för myndighetens personuppgiftsbehandling. En sådan reglering är för alla myndigheter mer logisk med utgångspunkt i bestämmelserna om rättslig grund i kompletterande dataskyddslag som fastställer och tydliggör att det är den rättsliga förpliktelsen, uppgiften av allmänt intresse respektive myndighetsutövningen som ska ha stöd i rättsordningen. Dataskyddsförordningen ställer inte ett krav på att själva behandlingen av personuppgifter måste regleras. Det som redan framgår av lag och förordning behöver därför enligt Skatteverket som utgångspunkt inte regleras ytterligare i en kompletterande registerförfattning. En bred ändamålsbestämmelse tydliggör enligt Skatteverket att det är de materiella bestämmelserna som sätter gränserna för vilken behandling som är tillåten. En bred ändamålsbestämmelse ger heller inte myndigheterna någon utökad möjlighet att behandla person-
500Ändamålsbestämmelser
uppgifter i förhållande till vad som redan framgår av kompletterande dataskyddslag och befintliga materiella bestämmelser. De materiella bestämmelserna avgränsar alltså myndigheternas möjligheter att behandla personuppgifter. En bred ändamålsbestämmelse medför mot denna bakgrund ingen egentlig utvidgning av möjligheterna att behandla personuppgifter. Det är nämligen i första hand när de materiella bestämmelserna ändras på ett sådant sätt att det blir nödvändigt att behandla flera personuppgifter som det blir fråga om en utvidgning. Med en bred ändamålsbestämmelse tydliggörs enligt Skatteverket också att Skatteverket själv behöver fastställa de närmare ändamålen med behandlingen vilket säkerställer en adekvat tillämpning av dataskyddsförordningen. En bred ändamålsbestämmelse skapar heller ingen osäkerhet för andra myndigheter i fråga om de över huvud taget får vidta vissa åtgärder som inte finns angivet som ett särskilt ändamål i deras särskilda dataskyddsreglering.
Tullverket
Tullverket har uppgett att nuvarande ändamålsbestämmelser inte utgör några problem för myndighetens verksamhet. En uppräkning av ändamål ger enligt Tullverket ramar som anger i vilka syften personuppgifter får samlas in och behandlas. Uppräkningen ger dessutom ett tydligt stöd för möjligheten att vidarebehandla personuppgifter för andra ändamål än insamlingsändamålet utan att myndigheten behöver tillämpa finalitetsprincipen. Enligt Tullverket är det ur ett effektivitetsperspektiv inte hållbart att göra en bedömning av finalitetsprincipen i varje enskilt fall och det är oklart i vilken omfattning det är möjligt för myndigheten att göra generella bedömningar i förväg. Det unionsrättsliga tullsamarbetet kräver numera en helt digitaliserad tullhantering och informationsflödet till Tullverket är till följd av detta omfattande. Den grundläggande tanken är att enskilda endast ska behöva lämna information till Tullverket vid ett tillfälle och att uppgifterna sedan ska kunna vidarebehandlas för flera olika ändamål. Tullverket bedömer att det skulle vara mycket tidskrävande för myndigheten att i dessa sammanhang behöva tillämpa finalitetsprincipen och att ett sådant förfarande också skulle medföra stor osäkerhet och ineffektivitet. Det skulle dessutom kunna uppstå situa-
501Ändamålsbestämmelser
tioner där ändamålet för en vidarebehandling vid en finalitetsprövning inte skulle bedömas vara förenligt med insamlingsändamålet. Trots det anser Tullverket att det finns nackdelar med en primär ändamålsbestämmelse som räknar upp tillåtna ändamål, eftersom ändamålen i uppräkningen inte är tillräckligt specificerade för att utgöra ändamål i dataskyddsförordningens mening. I stället speglar uppräkningen i den nuvarande reglering på ett mycket övergripande sätt Tullverkets uppdrag som det regleras i förordningen (2016:1332) om instruktion för Tullverket och materiell lagstiftning. Det innebär att myndigheten ändå måste ange särskilda, uttryckligt angivna och berättigade ändamål för den personuppgiftsbehandling som ska utföras, samt härleda behandlingen till en materiell rättslig grund. Om regeringen ger Tullverket nya uppgifter som inte ligger inom ramen för de redan angivna ändamålen krävs i många fall förändringar inte bara i den materiella lagstiftningen, utan även i den sektorspecifika dataskyddslagstiftningen. I annat fall saknas förutsättningar för myndigheten att behandla personuppgifter elektroniskt för att kunna utföra de nya uppgifterna. Tullverket anser dock att en bred primär ändamålsbestämmelse kan vara att föredra, under förutsättning att det är fortsatt tydligt att vidarebehandling av personuppgifter inom ramen för hela Tullverkets uppdrag får ske för andra ändamål än insamlingsändamålet. En bred ändamålsbestämmelse som anger att en myndighet får behandla personuppgifter om det är nödvändigt för att kunna utföra sina uppgifter enligt lag eller förordning är enligt Tullverket mer flexibel. Under förutsättning att lagstiften eller unionsrätten har tilldelat myndigheten en författningsreglerat uppgift får denna då utföras elektroniskt utan att det regleras särskilt. Det är enligt Tullverket möjligt att en bred ändamålsbestämmelse inte tillför något i sak utöver vad som redan gäller enligt övrig dataskyddsreglering. En bred ändamålsbestämmelse gör det dock tydligt att det är myndigheternas uppdrag och materiella reglering som utgör fundamentet för en laglig personuppgiftsbehandling och som i princip sätter de yttersta ramarna för myndighetens personuppgiftsbehandling. Tullverket anser att det också blir tydligare att det är myndigheten som måste ange det bestämda ändamålet med behandlingen. Kritik som framförts mot en bred ändamålsbestämmelse är att det ger en bristande förutsägbarhet och transparens avseende personuppgiftsbehandlingen. Tullverket konstaterar dock att myndigheternas uppgifter regleras i både myn-
502Ändamålsbestämmelser
dighetsinstruktioner och materiell lagstiftning. Dessutom finns i den allmänna dataskyddsförordningen en skyldighet för personuppgiftsansvariga att tillhandahålla information om den personuppgiftsbehandling som myndigheten utför. Utifrån detta bedömer Tullverket att personuppgiftsbehandlingen skulle vara såväl förutsägbar som transparent även med en bred ändamålsbestämmelse Tullverket anser dock att det med en bred ändamålsbestämmelse inte blir lika tydligt att vidarebehandling av personuppgifter får ske för andra ändamål än insamlingsändamålet utan att en prövning enligt finalitetsprincipen först görs. Det behöver därför enligt Tullverkets uppfattning framgå på ett tydligt sätt att lagstiftaren har gjort bedömningen att sådan vidarebehandling som myndigheten behöver utföra för att kunna fullgöra sitt uppdrag är en nödvändig och proportionerlig åtgärd i ett demokratiskt samhälle.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att myndigheten instämmer i de synpunkter som förts fram av Skatteverket. Kronofogdemyndigheten har även påpekat att dagens ändamålsbestämmelser omfattar otydliga begrepp och att den upplevs som svår och detaljerad. Regleringen kräver nämligen komplicerade analyser som saknar betydelse för den enskildes integritet. En ordning där myndigheten måste göra kontinuerliga bedömningar av om en tilltänkt behandling ryms inom mer öppet formulerade ändamål skulle enligt Kronofogdemyndigheten vara att föredra. Framtida ändamålsbestämmelser bör enligt Kronofogdemyndigheten vara så öppna som möjligt och hänvisa till vad myndigheten behöver enligt de författningar som reglerar kärnverksamheterna. Myndigheten har även fört fram att en ny lagstiftning bör utgå från dataskyddsförordningens reglering, struktur och terminologi och bör vara fokuserad på grundläggande krav och säkerhet.
503Ändamålsbestämmelser
8.4 Överväganden och förslag
8.4.1 Det finns ett behov av att uppdatera befintliga
ändamålsbestämmelser
Vår bedömning: Det finns ett behov av en utvidgad ändamålsreglering i syfte att säkerställa att reglerna är anpassade efter den tekniska och rättsliga utvecklingen.
Skälen för vår bedömning
Någon allmän översyn av de registerförfattningar som gäller i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter har inte gjorts sedan registerförfattningarna infördes. Som framgår av avsnitt 8.3.1 jämfört med avsnitten 8.3.4–8.3.7 är både ändamålsbestämmelsernas systematik och bestämmelserna i sak i stora drag oförändrade sedan tillkomsten. Jämte de bestämmelser som reglerar vilka uppgifter myndigheterna får behandla i sina databaser, se avsnitt 9.3.2, utgör ändamålsbestämmelserna en central del i dagens registerförfattningar. Av förarbetena till bestämmelserna framgår också att bestämmelser om tillåtna ändamål för behandling vid tidpunkten ansågs ha en stor betydelse för det integritetsskydd som registerförfattningarna avsåg att åstadkomma. Frågan är då i vilken utsträckning de bestämmelser som tidigare har ansetts vara av så stor betydelse för skyddet för den personliga integriteten över huvud taget bör förändras. När de nuvarande ändamålsbestämmelsernas generella struktur och innehåll togs fram var både de rättsliga och tekniska förutsättningarna för myndigheternas automatiserade personuppgiftsbehandling väsentligt annorlunda mot vad de är i dag. Då var manuell handläggning av enskilda ärenden det vanligaste arbetssättet. Det innebär att när dagens ändamålsbestämmelser togs fram utgjorde de en slags särreglering som avsåg för vilka ändamål uppgifter fick behandlas med en särskild teknik som utgjorde ett undantag från standardförfarandet. I dag är i stället i princip all informationshantering digitaliserad, såväl inom myndigheter som i samhället i stort. Ändamålsbestämmelserna som ursprungligen avsett en avgränsad form av informationshanter-
504Ändamålsbestämmelser
ing är därmed i dag tillämpliga på nästan all informationshantering som förekommer inom myndigheterna. I dag utgör EU:s dataskyddsförordning också den primära rättsliga regleringen av myndigheternas behandling av personuppgifter. Dataskyddsförordningen innebär i många avseenden en förändring i förhållande till personuppgiftslagen och ställer högre krav på den personuppgiftsansvariga myndigheten. För att en myndighet över huvud taget ska ha rätt att behandla personuppgifter enligt dataskyddsförordningen måste ett antal villkor vara uppfylla. Vad avser ändamålsbestämmelser i kompletterande dataskyddsreglering är det främst bestämmelserna om vilka rättsliga grunder för behandling som en myndighet kan åberopa som bör uppmärksammas. Utrymmet för en myndighet att behandla personuppgifter är nämligen mer begränsat i dag än när de befintliga ändamålsbestämmelserna tillkom, vilket vi redogör för i avsnitt 5.2.2. De befintliga bestämmelserna om tillåtna ändamål för personuppgiftsbehandling i Skatteverkets beskattnings- och folkbokföringsverksamheter samt i Tullverkets och Kronofogdemyndighetens verksamheter utmärks dessutom av att de är utformade i syfte att omfatta samtliga arbetsuppgifter som ryms inom respektive lags materiella tillämpningsområde, jfr avsnitten 8.2.2 och 8.3.4–8.3.7. Det rör sig alltså inte om ändamålsbestämmelser för särskilda register eller avgränsade uppgiftssamlingar med särskilt känslig information som endast får behandlas för avgränsade ändamål. Ändamålsbestämmelserna avser i stället behandling i och utanför databaser där personuppgifter får behandlas för samtliga ändamål, som även motsvarar myndigheternas arbetsuppgifter på området. Den materiella och processuella regleringen av myndigheternas arbetsuppgifter framgår av ofta mycket utförliga och omfattande författningar i nationell rätt eller i unionsrätten (jfr kapitel 4). Mot bakgrund av digitaliseringen av förvaltningen och utvecklingen inom den allmänna dataskyddsregleringen anser vi sammanfattningsvis att sektorsspecifika ändamålsbestämmelsers betydelse för integritetsskyddet, i vart fall avseende sådana bestämmelser som här är aktuellt, har minskat avsevärt sedan millennieskiftet. Det finns därför ett behov av en översyn och en utvidgning av befintliga ändamålsbestämmelser, i syfte att säkerställa att reglerna är anpassade efter den tekniska och rättsliga utvecklingen.
505Ändamålsbestämmelser
8.4.2 De nya lagarna bör innehålla bestämmelser om ändamål
Vår bedömning: De finns ett behov av att införa ändamålsbestämmelser i de nya lagarna.
Skälen för vår bedömning
EU:s dataskyddsförordnings bestämmelser om rättslig grund innebär att myndigheterna inte lagligen kan behandla personuppgifter för andra syften än att utföra de uppgifter och uppdrag som riksdagen och regeringen ger myndigheterna, eller som framgår av unionsrätten (se avsnitten 5.2.2 och 8.2.1). Utöver de begränsningar av när, hur och varför svenska myndigheter får behandla personuppgifter som framgår av den allmänna dataskyddsregleringen finns det också annan reglering som begränsar myndigheterna i detta avseende. Legalitetsprincipen är grundlagsfäst genom 1 kap. 1 § regeringsformen, RF, som anger att den offentliga makten utövas under lagarna. Legalitetsprincipen innebär att myndigheternas maktutövning i vidsträckt mening, även i den mån den förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen. Regeringen har uttalat att det inte borde förekomma någon offentlig verksamhet i Sverige av vikt för samhällets funktioner som saknar stöd i författning eller beslut som har meddelats i enlighet med regeringsformens bestämmelser. 57 Även enligt 5 § första stycket förvaltningslagen (2017:900), FL, gäller att svenska myndigheter endast får vidta sådana åtgärder som har stöd i rättsordningen. Bestämmelsen i förvaltningslagen måste anses omfatta myndigheters personuppgiftsbehandling och innebär i det sammanhanget att endast personuppgiftsbehandling för ändamål som har stöd i rättsordningen är tillåten. Myndigheterna har vidare enligt sina respektive instruktioner en skyldighet att utföra sina uppdrag på ett rättssäkert sätt (se avsnitten 4.1–4.3) och enligt 3 § myndighetsförordningen (2007:515) har myndighetens ledning ett ansvar för att verksamheten följer gällande rätt. Även de bestämmelserna måste anses omfatta myndigheternas personuppgiftsbehandling och bör i sammanhanget anses innebära ett skydd dels mot personuppgiftsbehandling för godtyckliga ändamål,
57 Prop. 2017/18:105, Ny dataskyddslag, s. 49–50.
506Ändamålsbestämmelser
dels mot personuppgiftsbehandling som saknar rättslig grund i dataskyddsförordningens mening. Också offentlighets- och sekretesslagens (2009:400), OSL, bestämmelser om sekretess och tystnadsplikt begränsar myndigheters möjlighet att behandla personuppgifter genom utlämnande eller överföring till en annan myndighet eller verksamhetsgren. 58 Det skulle därmed kunna argumenteras att den allmänna dataskyddsregleringen, tillsammans med övriga bestämmelser som begränsar myndigheternas möjligheter att behandla personuppgifter, på ett tillfredställande sätt redan ställer upp de begränsningar av för vilka ändamål myndigheterna får behandla personuppgifter som krävs för att uppnå ett adekvat integritetsskydd i detta avseende. Utifrån det perspektivet går det att ifrågasätta om det finns något faktiskt behov av att i ytterligare ett sammanhang, dvs. också i den kompletterande sektorsspecifika dataskyddsregleringen, reglera för vilka ändamål Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter med digitala hjälpmedel. I avsnitt 6.2 har vi dock konstaterat att i vart fall delar av Skatteverkets, Tullverkets och Kronofogdemyndighetens personuppgiftsbehandling omfattas av det grundlagsreglerade skyddet för den personliga integriteten i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna dataskyddsregleringen måste ges i lagform. I avsnitt 6.2 har vi även bedömt att en behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten i vissa fall är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina samhällsviktiga uppgifter. En ändamålsbestämmelse i lag innebär att ramen för behandling av personuppgifter i ett informationssystem med ett stort antal, och i vissa fall integritetskänsliga, uppgifter fastställs av riksdagen. Ändamålsbestämmelserna är alltså de bestämmelser som ger lagstöd för sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integriteten. Mot den bakgrunden framstår det som nödvändigt att införa nya bestämmelser som tillåter myndigheterna att behandla personuppgifter för vissa ändamål. Även om dataskyddsförordningen inte ställer upp något generellt krav på att tillåtna ändamål för myndigheters personuppgiftsbehandling ska anges i en särskild författning finns det dock bestämmelser
58 2 kap. 1 § och 8 kap. 1 och 2 §§ OSL.
507Ändamålsbestämmelser
där viss reglering krävs. Enligt artikel 21.1 i dataskyddsförordningen har enskilda som utgångspunkt rätt att göra invändningar mot behandling av personuppgifter som sker för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. I avsnitt 7.8.1 har vi dock föreslagit att enskilda inte ska kunna motsätta sig behandling enligt artikel 21.1 vid sådan behandling som är tillåten enligt de föreslagna nya datalagarna eller föreskrifter som har meddelats i anslutning till dem. Vi har i samma kapitel bedömt att begränsningen av enskildas rätt att göra invändningar är motiverad eftersom Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamhet och uppgifter motsvarar viktiga mål av generellt allmänt intresse. En sådan inskränkning är enligt artikel 23.1 tillåten i nationell rätt i vissa fall, men den lagstiftningsåtgärden bör då innehålla specifika bestämmelser avseende ändamålen med behandlingen eller kategorierna av behandling. Även mot denna bakgrund framstår det som nödvändigt att i de nya datalagarna införa bestämmelser som anger för vilka ändamål personuppgifter får behandlas. I avsnitt 14.8 bedömer vi dessutom att särskilda ändamålsbestämmelser krävs för viss behandling i myndigheternas kontrollverksamhet. Kompletterande bestämmelser om för vilka ändamål en särskild myndighet får behandla personuppgifter kan även i övrigt anses fylla en viktig funktion, trots att de på ett generellt plan inte kan anses så betydelsefulla för integritetsskyddet som innan dataskyddsförordningen började tillämpas. Som nämnts i avsnitt 8.2.2 har regeringen tidigare bedömt att ändamålsbestämmelser anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling av personuppgifter. Regeringen har också i andra lagstiftningsärenden uttalat att ändamålsbestämmelser bidrar till att behandlingen av personuppgifter sker på ett korrekt, lagligt och öppet sätt. Att ta bort ändamålsbestämmelserna skulle enligt regeringen leda till otydlighet och oförutsebarhet och inte vara till nytta för vare sig myndigheterna eller de registrerade personerna. 59 Vår bedömning är sammanfattningsvis att de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten bör innehålla bestämmelser som anger för vilka ändamål uppgifter får behandlas. Sådana bestämmel-
59 Prop. 2017/18: 112, Anpassningar av registerförfattningar på arbetsmarknadsområdet till EU:s dataskyddsförordning, s. 53.
508Ändamålsbestämmelser
ser är nödvändiga för att uppfylla regeringsformens krav på lagstöd för viss behandling och dataskyddsförordningens krav på angivna ändamål eller kategorier av behandling vid vissa begränsningar av enskildas rättigheter.
8.4.3 En brett formulerad ändamålsbestämmelse
Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområde. Av tydlighetskäl ska den primära ändamålsbestämmelsen kompletteras av en upplysningsbestämmelse om regeringens möjlighet att med stöd av sin s.k. restkompetens meddela föreskrifter om ändamålen med behandlingen.
Skälen för vårt förslag
Befintliga ändamålsbestämmelser motsvarar inte särskilda ändamål för behandling enligt dataskyddsförordningen
Som framgår av avsnitt 8.2.1 ges ändamålet med personuppgiftsbehandling en mycket stor betydelse i flera av EU:s dataskyddsförordnings bestämmelser. Det är mot det särskilda, uttryckligt angivna och berättigade ändamålet som ett flertal av de grundläggande principerna ska prövas och iakttas. Ändamålet med behandlingen avgör därmed bl.a. vilka uppgifter som får behandlas, hur länge de får behandlas och för vilka tillkommande ändamål de får vidarebehandlas. I avsnitt 8.3.1 har vi redogjort för att regeringen redan vid tidpunkten för nuvarande författningars tillkomst uttalade att ändamålsbestämmelser skulle utformas så att de gav en rimlig avvägning mellan behovet av en förenklad reglering och integritetssynpunkter, och som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra när, hur och vilka uppgifter som behandlades. Vidare konstaterade regeringen i det sammanhanget att en lag om behandling av personuppgifter inte styrde myndighetens verksamhet, utan i stället bestämdes verksamhetens inriktning av den materiella och processuella lagstiftningen på området jämte de instruktioner som gällde.
509Ändamålsbestämmelser
Regeringen uttalade även att den verksamhet som bedrevs med stöd av de materiella författningarna som reglerade myndigheternas uppgifter utan inskränkning skulle omfattas av rätten att behandla per- 60 sonuppgifter. Dessa uttalanden illustrerar enligt vår mening att ändamålen som framgår av ändamålsbestämmelserna inte går att likställa med sådana särskilda, uttryckligt angivna och berättigade ändamål som dataskyddsförordningen kräver ska finnas för varje behandling. Av förarbetsuttalandena framgår även att det inte har varit bestämmelsernas syfte. Mot bakgrund av den rättsliga utvecklingen, dvs. främst dataskyddsförordningens begränsningar avseende den rättsliga grunden och krav på särskilda, uttryckligt angivna och berättigade ändamål som är så utförligt angivna att en prövning av de grundläggande principerna är möjlig att göra, bör dagens ändamålsbestämmelser närmast kunna jämställas med rambestämmelser som pekar ut gränserna för tillåten behandling. Givet hur detaljerat ändamålet måste anges i det enskilda fallet, för att kunna ligga till grund för en bedömning av en specifik behandlings förenlighet med de grundläggande principerna enligt dataskyddsförordningen, framstår det dessutom som omöjligt att i en sektorsspecifik dataskyddsreglering ange samtliga särskilda ändamål som kan komma att aktualiseras inom en myndighets verksamhet. Sådana bestämmelser skulle komma att bli mycket omfattande. För verksamhet som är baserad på regelbundna och återkommande företeelser, exempelvis beskattningsår eller momsredovisningsperioder, skulle bestämmelserna dessutom behöva ändras kontinuerligt.
Är det ändå bestämmelser om ändamål?
Ändamålsbestämmelser i dataskyddsreglering som är avsedda att omfatta en myndighets eller verksamhetsgrens samtliga arbetsuppgifter bör enligt vår mening tolkas på så sätt att de pekar ut ramarna för den behandling som regleras i lagen eller förordningen. Liknande bedömningar har som framgår ovan i avsnitt 8.2.2 gjorts i flera andra lagstiftningsärenden. Det kan mot den bakgrunden ifrågasättas i vilken utsträckning det alls är meningsfullt att tala om dessa bestämmelser som ändamålsbestämmelser, eftersom deras föremål inte kan anses
60 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 93.
510Ändamålsbestämmelser
vara sådana ändamål som dataskyddsförordningen förutsätter. Vi har därför övervägt om det finns skäl för att föreslå att bestämmelserna ska benämnas på ett annat sätt. Ett skäl som talar för en förändrad terminologi är att det skulle ge en tydligare och mer rättvisande bild av bestämmelsernas föremål, dvs. att peka ut den rättsliga grunden och därmed även ramarna för behandling som regleras i den aktuella författningen. En sådan ordning kan också upplevas som mer i enlighet med den allmänna dataskyddsregleringens systematik, vilket också uppmärksammats i andra sammanhang. Informationshanteringsutredningen (Ju 2011:11) hade som huvuduppdrag att se över registerlagstiftningen och vissa därmed sammanhängande frågor. I sitt slutbetänkande gjorde Informationshanteringsutredningen bedömningen att det i många registerförfattningar och liknande reglering hade skett en sammanblandning mellan vad som i dataskyddsrättslig mening är särskilda bestämda ändamål respektive tillåtna rättsliga grunder för behandling (jfr avsnitt 8.2.1). Enligt utredningen fanns det därför en risk för att tillämparen blandade samman ändamål med rättslig grund. Risken bestod i att tillämparen skulle godta ett i författning bestämt allmänt ändamål 61 som ett särskilt, berättigat och tillräckligt preciserat ändamål. I brottsdatalagen (2018:1177) och här relevant sektorsspecifik lagstiftning inom brottsdatalagens område, dvs. lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område och lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område benämns motsvarade bestämmelser inte som ändamålsbestämmelser. I stället anges där bestämmelser som pekar ut ramarna för den behandling som kan ske med stöd av lagarna under rubriken rättsliga grunder. 62 Under rubriken ändamål anges i stället bl.a. att personuppgifter bara får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. 63 I förarbetena till bestämmelserna i brottsdatalagen bedömde regeringen att det fanns fog för Informationshanteringsutredningens uppfattning att vad som i dataskyddsrättslig mening är tillåtna rättsliga grunder för behandling och vad som är renodlade ändamålsbestämmelser ibland har blandats samman. Det var enligt regeringen därför
61 SOU 2015:39, Myndighetsdatalag, s. 277–278. 62 Se 2 kap. 1 § brottsdatalagen, 2 kap. 1 § lagen om Tullverkets behandling av personuppgifter inom brottsdatalagens område och 2 kap. 1 § lagen om Skatteverkets behandling av personuppgifter inom brottsdatalagens område. 63 2 kap. 3 § första stycket brottsdatalagen.
511Ändamålsbestämmelser
lämpligt att det gjordes tydligare skillnad mellan bestämmelser om rättslig grund och ändamålsbestämmelser. 64 Även inom dataskyddsreglering som kompletterar dataskyddsförordningen finns liknande reglering. Exempelvis förkommer motsvarande bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten under rubriken ”när behandling av personuppgifter är tillåten”. Trots att vi i sak delar de huvudsakliga invändningar som framgår av Informationshanteringsutredningens slutbetänkande anser vi att det finns skäl för att benämna bestämmelserna som just ändamålsbestämmelser i de nya lagarna. Det främsta skälet är att regleringen som kompletterar den allmänna dataskyddsregleringen enligt vår mening bör vara enhetlig även över myndighetsgränserna. I det stora flertalet författningar som kompletterar dataskyddsförordningen och dataskyddslagen har bestämmelserna även efter maj 2018 fortsatt anges under rubriken ändamål. Så är exempelvis fallet i lagen (1998:621) om misstankeregister 65 , lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, patientdatalagen (2008:355), studiestödsdatalagen (2009:287) domstolsdatalagen (2015:728), utlänningsdatalagen (2016:27), vägtrafikdatalagen, 114 kap. socialförsäkringsbalken och lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Det innebär att bestämmelser som kompletterar dataskyddsförordningen och som pekar ut ramarna för behandling av personuppgifter vid Polismyndigheten och domstolarna (i vissa fall), Arbetsförmedlingen, aktörer inom hälso- och sjukvården, Centrala studiestödsnämnden (CSN), Migrationsverket, Transportstyrelsen, Försäkringskassan, Pensionsmyndigheten och Utbetalningsmyndigheten i dag regleras som ändamålsbestämmelser. Dessa offentliga aktörer är några av Sveriges största myndigheter och i likhet med Skatteverket, Tullverket och Kronofogdemyndigheten behandlar de i mycket hög utsträckning personuppgifter i sin verksamhet. Att ha en avvikande terminologi för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten riskerar enligt vår mening att skapa osäkerhet om bestämmelsernas innebörd både för andra myndigheter och enskilda.
64 Prop. 2017/18:232, Brottsdatalag, s. 115. 65 Lagen om misstankeregister gäller utöver brottsdatalagen, vilket framgår av 1 a § Lagen om misstankeregister. Enligt 1 b § samma lag kompletterar dock lagen dataskyddsförordningen vid behandling av personuppgifter som inte omfattas av brottsdatalagen.
512Ändamålsbestämmelser
Ändamålsbestämmelser är dessutom ett etablerat begrepp i förarbeten, praxis och doktrin. Att överge begreppet ändamålsbestämmelser riskerar enligt vår mening att skapa osäkerhet även i förhållande till dessa rättskällor. Vår bedömning är i stället att det i dataskyddsammanhang är både möjligt och lämpligt att låta begreppet ändamål ha olika betydelse beroende på i vilket sammanhang begreppet förekommer. Det säger sig nästan självt att en brett formulerad ändamålsbestämmelse inte bör kunna likställas med ett sådant särskilt, uttryckligt angivet och berättigat ändamål som dataskyddsförordningen kräver och som bl.a. avgör vilka uppgifter som får behandlas och hur länge. Ändamålsbestämmelser i sådan dataskyddsreglering som ska tilllämpas inom en viss sektor eller verksamhet bör alltså anses peka ut ramarna för den personuppgiftsbehandling som en författning reglerar. Ändamålen utgör där en slags sammanfattande beskrivning av den rättsliga grunden och därmed de särskilda ändamål som kan komma att aktualiseras inom författningens materiella tillämpningsområde. Det skulle även kunna uttryckas som att ändamålsbestämmelser av den aktuella karaktären anger de syften med behandling som kan komma i fråga för en viss myndighet. Ansvaret för att formulera särskilda, uttryckligt angivna och berättigade ändamål i det enskilda fallet vilar dock på den personuppgiftsansvariga myndigheten i enlighet med artikel 5.2 i dataskyddsförordningen. Sammanfattningsvis anser vi att bestämmelser som anger ramarna för myndigheternas personuppgiftsbehandling även i de nya lagarna ska benämnas ändamålsbestämmelser.
En bred primär ändamålsbestämmelse
Mot bakgrund av de uttalanden som regeringen gjorde i samband med bestämmelsernas tillkomst kan dagens ändamålsbestämmelser inte anses vara utformade i syfte att begränsa behandling som sker för att utföra en eller flera författningsreglerade uppgifter som myndigheterna har inom respektive registerförfattnings materiella tillämpningsområde. Som vi nämnt ovan uttalade regeringen i sammanhanget bl.a. att den verksamhet som bedrevs med stöd av de materiella författningarna som reglerade myndigheternas uppgifter utan inskränkning skulle omfattas av rätten att behandla personuppgifter. I detta avse-
513Ändamålsbestämmelser
ende framstår bestämmelserna i stället främst som tillåtande. Bestämmelserna begränsar dock myndigheternas möjligheter till personuppgiftsbehandling som sker för andra ändamål än de som följer av den materiella och processuella regleringen av myndigheternas verksamhet inom det materiella tillämpningsområdet för respektive lag. Det är dock en begränsning som i dag redan ställs upp av dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 c och e. Även ändamålsbestämmelserna i de nya lagarna behöver täcka all den behandling som är nödvändig för att respektive myndighet ska kunna utföra sin verksamhet, med undantag för personaladministrativ verksamhet och annan sådan verksamhet som kan medföra personuppgiftsbehandling hos myndigheter generellt. Vi föreslår därför att Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter om det är nödvändigt för att utföra sin verksamhet inom de nya datalagarnas respektive materiella tillämpningsområde. Det kan här åter påpekas att kravet på nödvändighet i dataskyddsrättsliga sammanhang inte innebär ett krav på att behandlingsåtgärden ska vara ound- 66 gänglig. I de exempel på brett formulerade ändamålsbestämmelser vi redogjort för ovan, för Utbetalningsmyndigheten och Rättsmedicinalverket, anges vilken verksamhet som avses, se avsnitt 8.2.1. Det skulle därför kunna ifrågasättas om en så brett formulerad ändamålsbestämmelse som vi föreslår är lämplig, eftersom den inte ens anger vilken verksamhet som avses. I avsnitt 7.4 föreslår vi dock att de bestämmelser i de nya lagarna som anger respektive materiellt tillämpningsområde ska kompletteras av en bestämmelse som förtydligar vilken verksamhet som avses med exempelvis beskattningsverksamhet. Den beskrivning av myndigheternas verksamhet som föreslås motsvarar i centrala delar dagens ändamålsbestämmelser. Genom att förtydliga det materiella tillämpningsområdet ges dessa bestämmelser en avgränsande funktion gentemot obefogad behandling som också dagens ändamålsbestämmelser har. Eftersom förtydligandet inte föreslås finnas i den breda ändamålsbestämmelsen minskas enligt vår bedömning risken för att ändamålsbestämmelsen förväxlas med sådana särskilda och uttryckligt angivna ändamål som dataskyddsförordningen föreskriver i artikel 5.1 b.
66 Prop. 2017/18:105, Ny dataskyddslag, s. 189.
514Ändamålsbestämmelser
Ändamålsbestämmelsens räckvidd
Den föreslagna ändamålsbestämmelsen är avsedd att omfatta samtliga de ändamål som anges i dagens ändamålsbestämmelser. Även nya arbetsuppgifter som kan komma att aktualiseras för myndigheterna, inom det materiella tillämpningsområdet, kommer som utgångspunkt rymmas inom ändamålsbestämmelsen. I dag behöver lagstiftaren överväga om behandling för ett tillkommande ändamål ska tillåtas inom databaserna eller inte, och om det tillkommande ändamålet behöver regleras särskilt eller om det redan omfattas av befintlig reglering. Även med vårt förslag kommer lagstiftaren behöva göra vissa överväganden i samband med att nya materiella bestämmelser införs. De frågor som blir aktuella att ta ställning till kommer dock vara om den tillkommande behandlingen ryms inom det materiella tillämpningsområdet eller inte, och om detta behöver utökas för att den tillkommande behandlingen ska omfattas av den kompletterande dataskyddsregleringen. Vi anser att en brett formulerad ändamålsbestämmelse, som möjliggör för myndigheterna att behandla personuppgifter i syfte att utföra sina författningsreglerade uppgifter, men hindrar dem från sådan behandling som inte är hänförlig till utförandet av dessa uppgifter, måste anses uppfylla ett mål av allmänt intresse. 67 Eftersom myndigheterna genom den föreslagna bestämmelsen inte ges möjlighet till annan behandling än den som ändå hade varit tillåten med stöd av den allmänna dataskyddsregleringen måste den även anses vara proportionell mot det legitima mål som eftersträvas, dvs. att myndigheterna ska kunna utföra de uppgifter som riksdag och regering ger dem, eller som framgår av unionsrätten. En brett formulerad ändamålsbestämmelse innebär också att lagstiftningen avseende för vilka syften myndigheterna får behandla personuppgifter är både teknikneutral och flexibel.
Den breda ändamålsbestämmelsen omfattar även tester och utveckling av digitala system
Även sådana ändamål som i dag inte uttrycks särskilt men som utgör integrerade delar av myndigheternas verksamhet inom det materiella tillämpningsområdet ryms inom den brett formulerade ändamåls-
67 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 48, 50 och 51.
515Ändamålsbestämmelser
bestämmelsen. Här kan exempelvis nämnas att lagrådet har uttryckt att planering, uppföljning och utvärdering av en verksamhet är en integrerad del av själva verksamheten och inte någon från denna fristående aktivitet samt att detta är så självklart att det inte behöver sägas uttryckligen. 68 Också utveckling av nya digitala arbetssätt genom tester m.m. utgör i dag en integrerad del av myndigheternas verksamhet. Regeringen har tidigare i flera olika sammanhang uttalat att behandling av personuppgifter för teständamål är något som normalt inte brukar regleras i särskilda registerförfattningar, och att det måste anses vara en slags huvudprincip att testverksamhet inte behöver regleras som ett särskilt ändamål. 69 I förarbetena till dataskyddslagen uppmärksammade regeringen att alla myndigheter vidtar en rad administrativa åtgärder som krävs för att myndigheten ska fungera. Krav på myndigheterna att vidta sådana administrativa åtgärder kunde enligt regeringen framgå direkt eller indirekt av författning eller beslut. Det förekommer dock även att myndigheterna, för att fungera, behöver vidta administrativa åtgärder som varken direkt eller indirekt kan sägas följa av författning eller beslut. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion var därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter, vilka måste vara fastställda i enlighet med gällande rätt. 70 Regeringen har också sedan länge haft det uttalade målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter, vilket vi redogör för närmare i avsnitt 5.2.5. 71 Regeringen har även uttalat att det är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt. 72 Reger-
68 Se t.ex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 179 och prop. 2014/15:63, Åklagardatalag, s. 63. 69 Prop. 2015/16:65, Utlänningsdatalag, s. 64 och prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 20. Jfr även regeringens uttalanden med innebörden att behandling för ändamålen uppföljning, utveckling och testning av analys- och urvalsmodeller inte regleras särskilt för Utbetalningsmyndigheten i prop. 2022/23:34, Utbetalningsmyndigheten, s. 205. 70 Prop. 2017/18:105, Ny dataskyddslag, s. 60–61. 71 Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84. 72 Prop. 2017/18:105, Ny dataskyddslag, s. 87.
516Ändamålsbestämmelser
ingen har vidare uttalat att det i dagsläget mer eller mindre regelmässigt bör anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatisk väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag. 73 Enligt myndighetsförordningen ska en myndighets ledning också se till att verksamheten bedrivs effektivt att myndigheten hushållar väl med statens medel. Myndigheter har enligt myndighetsförordningen även en skyldighet att fortlöpande utveckla verksamheten. 74 Att myndigheternas olika författningsreglerade uppgifter också omfattar att utveckla effektiva och säkra digitala arbetssätt är därför enligt vår mening tydligt. Tester som avser utveckling av befintlig eller ny it-infrastruktur bör därför vara en sådan administrativ och integrerad uppgift som myndigheterna behöver utföra för att kunna sköta sina respektive verksamheter. I det nyss sagda ingår även utveckling av sådana modeller som i dagligt tal kallas AI, dvs. olika former av digitala system för bl.a. maskininlärning (se avsnitt 14.3.2). Enbart under tiden sedan vi påbörjade vårt uppdrag har olika avancerade AI-program dels gjorts allmänt tillgängliga, dels utvecklats i en synnerligen hög takt. AI tillhör följaktligen en teknikfamilj under mycket snabb utveckling som kan bidra till en mängd samhälleliga vinster. För tillfället pågår arbetet med att reglera AI-användning på EUnivå. I april 2021 föreslog kommissionen EU:s första regelverk för AI i förordningsform. Enligt förslaget ska AI-system analyseras och klassificeras utifrån den risk de utgör, och vissa särskilt riskfyllda AI-modeller kommer att vara förbjudna. De olika risknivåerna kommer i övrigt att innebära mer eller mindre reglering. När förslaget har godkänts kommer det att vara världens första lagstiftning om AI. I kommissionens förslag uttalas att tekniken kan ge bättre prognoser, optimera verksamheter och resurstilldelning och individanpassa digitala lösningar för enskilda och organisationer. 75 AI, dvs. maskininlärning och liknande tekniker, har sammanfattningsvis stora möjligheter att bidra till en mer effektiv verksamhet för myndigheterna och bättre service till enskilda. AI innebär även
73 Prop. 2017/18:105, Ny dataskyddslag, s. 47. 74 3 och 6 §§ myndighetsförordningen. 75 Jfr skäl 3 i förslaget till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter, COM(2021) 206.
517Ändamålsbestämmelser
risker, både för enskilda och olika samhällsinstitutioner. Det går dock inte att bortse från att utvecklingen och användandet av AI sannolikt inte går att helt stoppa eller styra på ett mer övergripande plan. I stället bör ett ändamålsenligt förhållningssätt till utvecklingen vara att myndigheterna måste tillåtas förbereda sig på och kunna hantera kommande utveckling av AI. Eftersom användning av AI i dag är tillgänglig för i princip alla med en internetuppkoppling bör sådan teknik anses utgöra ett digitalt verktyg bland andra som också myndigheterna måste kunna använda sig av. Myndigheterna kommer dock behöva anpassa sin hantering av dessa tekniker efter den nya AI-förordningen när den trätt i kraft och börjar tillämpas. Myndigheterna måste även iaktta den allmänna dataskyddsregleringen vid utveckling och användande av AI, vilket bl.a. kommer kräva samråd med IMY, se bl.a. avsnitten 11.7.3 och 14.11.3 om konsekvensbedömning enligt artikel 35 i dataskyddsförordningen. Sådan behandling som syftar till att effektivisera verksamheten och göra den mer rättssäker, även i de fall den innefattar tester och utveckling av AI-teknik, bör därmed anses ha ett sådant samband med myndigheternas verksamhet i övrigt att någon särskild ändamålsbestämmelse inte behövs för den verksamheten. Analyser, tester och utveckling av verksamheten som inte sker i kontrollsyfte för att förebygga, förhindra och upptäcka fel i verksamheterna kan därmed ske med stöd av den generella primära ändamålsbestämmelsen, jfr avsnitt 14.8. Exempelvis har Kronofogdemyndigheten uppgett att myndigheten arbetar med att utveckla sätt att genom analyser och urval försöka förutse återkallelser av ansökningar om betalningsföreläggande och handräckning mot bakgrund av att cirka 40 procent av alla ansökningar återkallas. Syftet med sådana analyser och urval är att effektivisera myndighetens arbete och rikta resurserna dit de behövs som mest då arbetet med fysisk delgivning är tids- och resurskrävande för myndigheten. Genom sådana åtgärder hoppas Kronofogdemyndigheten kunna fördela resurserna till de mål som sannolikt inte kommer att återkallas. Användningen av analyser och urval i detta sammanhang görs alltså inte direkt i syfte att förebygga, förhindra eller upptäcka fel. Vad gäller känsliga personuppgifter i testverksamhet har vi i avsnitt 10.7 föreslagit att sådana uppgifter enbart ska får behandlas om det är nödvändigt för ändamålet med behandlingen. Denna begräns-
518Ändamålsbestämmelser
ning kommer även gälla vid testverksamhet bl.a. i syfte att utveckla nya digitala system.
En särskild ändamålsbestämmelse för dataanalyser och urval
Utöver den brett formulerade primära ändamålsbestämmelsen som motiverats ovan föreslår vi i avsnitt 14.8 ytterligare en primär ändamålsbestämmelse för viss behandling för dataanalyser och urval. Den särskilda ändamålsbestämmelse som i dag avser analys- och urvalsdatabasen i Skatteverkets folkbokföringsverksamhet, se avsnitt 8.3.5, föreslås ersättas av den särskilda ändamålsbestämmelsen avseende dataanalyser och urval. Överväganden och bedömningar avseende den särskilda ändamålsbestämmelsen om dataanalyser och urval framgår av avsnitt 14.8.
En upplysningsbestämmelse i lagen om att begränsning eller förtydligande av ändamålsbestämmelserna kan ske i förordning
Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (se 8 kap. 2 § första stycket 2 RF). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (se 8 kap. 7 § RF). Denna föreskriftsrätt brukar kallas för regeringens restkompetens, se avsnitt 6.2 och 6.4. Regeringen kan i fråga om de primära ändamålsbestämmelsernas räckvidd komma att behöva ta ställning till om finalitetsprincipens tillämplighet ska begränsas avseende viss behandling, eller om behandlingen är av sådan karaktär att det är motiverat att införa andra särskilda ändamålsbegränsningar, se avsnitt 8.4.8. Vissa uppgifter som kan komma att behandlas kan vidare bedömas inte vara lämpliga för behandling vid dataanalyser och urval. Det kan även uppkomma behov av att förtydliga att de brett formulerade ändamålsbestämmelsernas räckvidd, utan att ett sådant förtydligande innebär en begränsning eller en utvidgning. Regeringen kan med stöd av sin restkompetens enligt 8 kap. 7 § RF i förordning införa begränsningar eller förtyd-
519Ändamålsbestämmelser
liganden som inte innebär en utvidgning avseende ändamålen för behandling av personuppgifter. Detta bör av tydlighetsskäl framgå av en bestämmelse i anslutning till de primära ändamålsbestämmelserna. Vi föreslår därför att det i lagen upplyses om att regeringen kan meddela föreskrifter om ändamålen med behandlingen.
8.4.4 Sekundära ändamålsbestämmelser
Vårt förslag: Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter som behandlas enligt de primära ändamålsbestämmelserna för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Skälen för vårt förslag
Utlämnande av personuppgifter genom överföring, spridning eller tillhandahållande på annat sätt utgör behandling enligt EU:s dataskyddsförordning. 76 Utlämnande av uppgifter kan därmed, liksom all annan behandling, bara ske om det finns en rättslig grund för den behandling som utlämnandet innebär. Förutom kravet på att behandlingen ska vila på en rättslig grund måste även övriga krav som framgår av den allmänna dataskyddsregleringen beaktas vid ett utlämnande, samt att utlämnandet är förenligt med eventuella bestämmelser om sekretess, se avsnitt 13.2. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndigheternas egen verksamhet, dels behandlas för att lämnas ut till andra. Visst utlämnande kan ske inom ramen för ett primärt ändamål, exempelvis när uppgiftslämnandet utgör en del av myndigheternas handläggning av ärenden. Att lämna ut uppgifter till personer som direkt eller indirekt berörs av ett ärende omfattas exempelvis av de befintliga primära ändamålen för beskattningsverksamheten. 77 Visst utlämnande kan också ske med stöd av generella bestämmelser i tryckfrihetsförordningen samt offentlighets- och sekretesslagen, t.ex. den s.k. general-
76 Artikel 4.2 i dataskyddsförordningen. 77 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 99.
520Ändamålsbestämmelser
klausulen i 10 kap. 27 § OSL. Mer omfattande uppgiftslämnande till andra myndigheter följer dock normalt av bestämmelser som särskilt reglerar det specifika utlämnandet. Som framgår av avsnitt 8.3.1 motsvarade de befintliga sekundära ändamålen ursprungligen de situationer där det gick att förutse att information regelmässigt skulle komma att användas av andra myndigheter eller i annan författningsreglerad verksamhet. I samband med översynen inför att dataskyddsförordningen skulle börja tillämpas tillkom även en bestämmelse med innebörden att uppgifter även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen uttalade då att när bestämmelser som påbjuder eller tillåter utlämnande har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. 78 I likhet med dagens primära ändamål pekar de befintliga sekundära ändamålen ut ramarna för myndigheternas personuppgiftsbehandling genom utlämnande. De allra flesta registerförfattningar och annan kompletterande dataskyddsreglering innehåller i dag en uppdelning mellan primära och sekundära ändamål. Även nyare författningar, som tillkommit efter att dataskyddsförordningen började tillämpas, innehåller en liknande uppdelning av ändamål, exempelvis lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. Det får anses vara en generell princip att sagda uppdelning görs i dataskyddsreglering inom dataskyddsförordningens tillämpningsområde. Vi bedömer att det inte finns skäl för att i dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten avvika från denna princip. I likhet med primära ändamålsbestämmelser bör sekundära ändamålsbestämmelser kunna anses anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling av personuppgifter, samt bidra till att behandlingen av personuppgifter sker på ett korrekt och öppet sätt. En sådan bestämmelse gör det tydligt för de registrerade att uppgifterna kan komma att behandlas även för utlämnande till andra. Om de nya datalagarna inte skulle innehålla sekundära ändamålsbestämmelser riskerar det att leda till otydlighet och oförutsebarhet och inte vara till nytta för vare sig myndigheterna
78 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 57.
521Ändamålsbestämmelser
eller de registrerade personerna. Vi föreslår därför en sekundär ändamålsbestämmelse om att personuppgifter som får behandlas enligt de primära ändamålsbestämmelserna i de nya datalagarna också ska få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Det innebär att de föreslagna bestämmelserna också motsvarar vad som redan gäller i dag. Begränsningen till personuppgifter som behandlas enligt de primära ändamålen innebär att det inte kan bli aktuellt för myndigheterna att samla in uppgifter i det enda syftet att senare lämna ut dem. Uppgifter som får lämnas ut med stöd av bestämmelsen måste alltså redan vara föremål för behandling enligt ett särskilt, uttryckligt angivet och berättigat ändamål som ryms inom den ram som de primära ändamålsbestämmelserna ställer upp. Med bestämmelsen avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Det kan såväl röra sig om en uttrycklig uppgiftsskyldighet som uppgiftslämnande sker i syfte att fullgöra skyldigheten att i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter om framgår av 8 § andra stycket FL. Ett utlämnande kan också aktualiseras av skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång, enligt 6 kap. 5 § OSL.
8.4.5 Finalitetsprincipen
Vårt förslag : Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter som behandlas enligt de primära ändamålsbestämmelserna även för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
522Ändamålsbestämmelser
Skälen för vårt förslag
En grundläggande princip inom den allmänna dataskyddsregleringen
Som nämnts i bl.a. avsnitt 8.2.2 framgår av artikel 5.1 b i EU:s dataskyddsförordning att personuppgifter inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in (finalitetsprincipen). Finalitetsprincipen utgör en av de grundläggande principerna för personuppgiftsbehandling enligt dataskyddsförordningen och det normala är därför att den gäller för myndigheters personuppgiftsbehandling även utan det anges särskilt i kompletterande reglering. Enligt dataskyddsförordningen kan medlemsstaterna, under vissa förutsättningar och i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen 79 i nationell rätt. Regeringen har tidigare bedömt att tydlighetsskäl talar för att införa en uttrycklig bestämmelse i kompletterande dataskyddsreglering om att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges, så länge som behandlingen inte är oförenlig med insamlingsändamålen. 80 I regel uttrycks detta även genom en särskild bestämmelse i den aktuella författningen. 81 Även i Skatteverkets, Tullverkets och Kronofogdemyndighetens befintliga registerförfattningar kommer finalitetsprincipen till uttryck genom en särskild bestämmelse, i de flesta fall som ett av de sekundära ändamålen. 82 Det kan i och för sig ifrågasättas i vilken utsträckning det krävs en uttrycklig bestämmelse om finalitetsprincipen, eftersom den som utgångspunkt gäller även utan en bestämmelse i kompletterande reglering. Eftersom regeringen vid flera tillfällen bedömt att en sådan bestämmelse är påkallad av tydlighetskäl får det dock anses vara en grundprincip att finalitetsprincipen framgår av en särskild bestämmelse i sektorsspecifik kompletterande lagstiftning. Något skäl att för Skatteverkets, Tullverkets och Kronofogdemyndighetens del avvika från
79 Skäl 8 till dataskyddsförordningen. 80 Se exempelvis prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, s. 24 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 128. 81 Jfr bl.a. prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 10 och 21. 82 1 kap. 5 § 4 SdbL, 1 kap. 4 § FdbL,1 kap. 5 § 4 TDL och 2 kap. 3 § 4, 2 kap. 9 § 4, 2 kap. 15 § 3 och 2 kap. 20 a § 3 KFMdbL.
523Ändamålsbestämmelser
den principen har inte framkommit. Bestämmelser som ger uttryck för finalitetsprincipen bör alltså finnas i de nya datalagarna. Bestämmelserna tydliggör att finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen gäller vid behandling av personuppgifter enligt respektive lag, dvs. att personuppgifter får behandlas för andra ändamål än dem för vilka de har samlats in, under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen. Behandling av personuppgifter enligt bestämmelsen förutsätter att uppgifterna har samlats in för ett primärt ändamål. Bestämmelsen ska ha samma innebörd som dataskyddsförordningens bestämmelse, och bör tolkas på samma sätt. Det innebär att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål inte ska anses vara oförenlig med insamlingsändamålen. Det innebär vidare att de omständigheter som anges i förordningen ska beaktas vid bedömningen av om behandlingen är förenlig med insamlingsändamålen. Utöver de primära och sekundära ändamål som anges i en sektorsspecifik dataskyddsreglering, och som pekar ut ramarna för den behandling som är tillåten, utgör finalitetsprincipen den yttersta gränsen för tillåten behandling inom författningens tillämpningsområde. I likhet med de primära och sekundära ändamålsbestämmelser vi föreslår bör en bestämmelse som motsvarar finalitetsprincipen kunna anses anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling av personuppgifter, samt bidra till att behandlingen av personuppgifter sker på ett korrekt och öppet sätt. En sådan bestämmelse gör det tydligare för den registrerade att uppgifterna kan behandlas även för andra ändamål än de som uppgifterna samlas in för. Om de nya lagarna inte skulle innehålla en bestämmelse som motsvarar finalitetsprincipen riskerar det alltså att leda till otydlighet och oförutsebarhet. Den föreslagna bestämmelsen har formulerats på det sätt som är gängse i kompletterande dataskyddsreglering efter att dataskyddsförordningen har trätt i kraft, se t.ex. 1 kap. 5 a § lagen (2001:183) om behandling av personuppgifter i verksamhet med val och omröstningar, 4 a § studiestödsdatalagen, 114 kap. 10 § socialförsäkringsbalken, 11 § kustbevakningsdatalag (2019:429), 7 § lagen (1996:1156) om receptregister och 9 § lagen om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap.
524Ändamålsbestämmelser
Användningsbegränsningar
I internationella avtal och sektorspecifika rättsakter finns ibland bestämmelser som innebär att en svensk myndighet endast får använda uppgifter som myndigheten får enligt avtalet eller rättsakten för vissa angivna ändamål eller i viss verksamhet. Det rör sig inte alltid om uppgifter som innefattar personuppgifter, men kan göra det. Användningsbegränsningar som finns i EU-förordningar gäller direkt för svenska myndigheter utan att dess artiklar behöver genomföras i svensk rätt. Vissa användningsbegränsningar har införts i svenska författningar, t.ex. i de fall de regleras i EU-direktiv. Exempelvis finns bestämmelser med sådant innehåll i lagen (1990:314) om ömsesidig handräckning i skatteärenden, lagen (2000:1219) om internationellt tullsamarbete, lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen samt lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning. En bestämmelse om användningsbegränsning kan vara utformad på olika sätt. I t.ex. 20 § lagen (2012:843) om administrativt samarbete inom Europeiska unionen i fråga om beskattning anges följande. Upplysningar som Skatteverket tar emot från en myndighet i en annan medlemsstat får användas för beskattningsändamål i fråga om de skatter som denna lag gäller för samt mervärdesskatt och andra indirekta skatter. De får också användas för fastställande och uppbörd av andra skatter och avgifter som omfattas av lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen eller för fastställande och uppbörd av socialavgifter. De får dessutom användas i samband med rättsliga och administrativa förfaranden som kan leda till påföljd och som inletts på grund av överträdelse av skattelagstiftningen. Upplysningarna får inte användas för andra ändamål än de som anges i första stycket utan att den myndighet som tillhandahåller upplysningarna tillåter det. Om upplysningarna ursprungligen härrör från en myndighet i en tredje medlemsstat, kan sådant tillstånd endast beviljas av den myndigheten. Tillstånd krävs dock inte för att upplysningar, rapporter, redogörelser och andra dokument eller vidimerade kopior av eller utdrag ur sådana ska få åberopas eller användas som bevisning. Skatteverket får använda upplysningar som det fått från en behörig myndighet i en annan medlemsstat för ändamål som den andra behöriga myndigheten har uppgett i en förteckning och meddelat att den tillåter användning för, utan att tillåtelse enligt andra stycket behövs. En svensk myndighet ska följa de villkor som gäller för användningen av upplysningarna enligt denna paragraf, oavsett vad som annars är föreskrivet i lag eller annan författning.
525Ändamålsbestämmelser
Regler om användningsbegränsningar är vanligen inte placerade i kompletterande dataskyddsreglering. De får dock betydelse för hur vissa uppgifter, som ibland innefattar personuppgifter, får användas av myndigheter, däribland Skatteverket, Tullverket och Kronofogdemyndigheten. De kan också få betydelse för uppgiftsutbyte mellan myndigheter. Bestämmelser som innehåller användningsbegränsningar har i flera svenska förarbeten inte i sig ansetts påverka allmänhetens rätt att med stöd av offentlighetsprincipen ta del av allmänna handlingar. Innebörden har i stället ansetts vara att en svensk myndighet inte får utnyttja upplysningar som inhämtats från en annan medlemsstat i sin verksamhet på annat sätt än som anges i bestämmelsen. Det är vidare först när en myndighet har rätt att ta del av uppgifter för sådana ändamål som det blir aktuellt att utnyttja sekretessbrytande regler. 83 I 9 kap. 2 § OSL finns en upplysningsbestämmelse som anger att bestämmelser som begränsar möjligheten att använda vissa uppgifter som en svensk myndighet har fått från en myndighet i en annan stat finns i vissa närmare angivna lagar som räknas upp i paragrafen. Uppräkningen är inte uttömmande. Bestämmelsen innebär inte i sig att någon sekretess gäller och inte heller någon begränsning eftersom dessa följer av de särskilda lagarna som räknas upp. 84 I den mån Skatteverket, Tullverket eller Kronofogdemyndigheten får eller samlar in personuppgifter i enlighet med internationella avtal eller EU-rättsakter och uppgifterna omfattas av användningsbegränsningar, får myndigheterna som ovan framgår inte utnyttja uppgifterna i sina respektive verksamheter på annat sätt än som anges i bestämmelsen. Vi bedömer att sådana användningsbegränsningar bör anses vara en del av den rättsliga grunden för behandlingen av uppgifterna, och lagstiftaren får därmed anses antingen ha tagit ställning till att finalitetsprincipen inte ska gälla fullt ut för vissa uppgiftskategorier, eller i vilka fall vidarebehandling är förenlig med finalitetsprincipen. Flera användningsbegränsningar finns vidare i direkt tillämpliga EU-rättsakter. Med andra ord ger finalitetsprincipen inte något stöd för att behandla uppgifter i strid med användningsbegränsningar som följer av internationella avtal eller sektorspecifika rättsakter.
83 Se t.ex. prop. 2011/12:15, Genomförande av det nya EU-direktivet om bistånd med indrivning, s. 53–54, prop. 2012/13:4, Genomförande av det nya EU-direktivet om administrativt samarbete i fråga om beskattning, s. 86 och prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatteområdet, s. 83–84. 84 SOU 2015:39, Myndighetsdatalag, s. 155–156 och 159.
526Ändamålsbestämmelser
8.4.6 Finalitetsprincipen och databasregleringen
Vår bedömning: De bedömningar som lagstiftaren tidigare gjort avseende förenligheten mellan olika ändamål bör ha fortsatt giltighet trots att databasregleringen upphävs.
Skälen för vår bedömning
Möjligheten att göra undantag från finalitetsprincipen i nationell rätt
Regleringen av myndigheternas databaser omfattar bestämmelser som särskilt avser sådana uppgifter som får behandlas gemensamt i verksamheten, se avsnitt 9.2. Att uppgifterna behandlas gemensamt innebär att de får behandlas för samtliga ändamål som gäller för uppgifterna i databasen. I avsnitt 9.4.2 har vi föreslagit att databasregleringen ska upphävas och inte motsvaras av bestämmelser med liknande innebörd i de nya datalagarna. EU:s dataskyddsförordning innehåller inte något krav på särskilda regler i nationell rätt för behandling av personuppgifter som ska användas gemensamt i en myndighets verksamhet. Däremot begränsar finalitetsprincipen vidareanvändning till vad som är förenligt med insamlingsändamålet. Att uppgifter samlas in för flera olika ändamål är dock inte ovanligt. En potentiell vidarebehandling som anges redan vid insamlingstillfället aktualiserar inte finalitetsprincipen. Det är följaktligen enbart om ett tillkommande ändamål inte angetts vid insamlingstillfället som finalitetsprincipen aktualiseras. Vissa faktorer som ska beaktas vid prövning av vidarebehandlingens förenlighet med insamlingsändamålet (finalitetsprövning, också kallat förenlighetsprövning) framgår av artikel 6.4 i dataskyddsförordningen. Där anges bl.a. att kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, samt det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige ska beaktas. Som utgångspunkt är det den personuppgiftsansvariga myndigheten som har ansvaret för att genomföra en finalitetsprövning inför behandling för tillkommande ändamål (artikel 5.2). Av artikel 13 i 1995 års dataskyddsdirektiv framgick uttryckligen att det var möjligt att göra undantag från finalitetsprincipen i natio-
527Ändamålsbestämmelser
nell rätt i vissa fall. Möjligheten till sådana undantag är dock inte lika tydligt uttryckt i dataskyddsförordningen. I samband med den översyn som gjordes inför att dataskyddsförordningen skulle börja tilllämpas uttalade dock regeringen följande.
Även enligt dataskyddsförordningen är det under vissa förutsättningar tillåtet med bestämmelser som medger att insamlade personuppgifter vidarebehandlas även om det nya ändamålet är oförenligt med insamlingsändamålet. Detta kan utläsas av skäl 50 där bl.a. följande anges. Om den registrerade har gett sitt medgivande eller behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Slutsatsen får också stöd av en motsatstolkning av artikel 6.4. Där finns en särskild bestämmelse för det fall då en behandling för andra ändamål än det ändamål för vilket uppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. […]
Bland de mål som anges i artikel 23.1 nämns säkerställandet av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse. Det är tydligt att artikel 6.4, liksom skäl 50, utgår från att en sådan ytterligare behandling som utgör en nödvändig och proportionell åtgärd under alla omständigheter skulle vara tillåten. Regeringen bedömer mot bakgrund av det ovan anförda att dataskyddsförordningen i vart fall inte ger ett mindre utrymme än 1995 års dataskyddsdirektiv att föreskriva i nationell rätt att ytterligare behandling av personuppgifter får ske, även om den ytterligare behandlingen inte är förenlig med det ändamål för vilket uppgifterna samlades in. Lagbestämmelser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål kan i vissa fall utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga lagbestämmelser anses utgöra undantag från finalitetsprincipen. Dessa måste i så fall förutsättas vara förenliga med 1995 års dataskyddsdirektiv, och är då i enlighet med ovanstående resonemang även förenliga med dataskyddsförordningen. 85
Vi anser att det i dag inte finns skäl att göra någon annan bedömning av frågan om det är möjligt att i nationell rätt göra undantag från finalitetsprincipen än den regeringen gav uttryck för 2018. Sådana
85 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 47–48.
528Ändamålsbestämmelser
undantag bör därmed anses vara tillåtna under vissa förutsättningar. Att undantag från finalitetsprincipen är möjliga att införa i den nationella rätten under vissa förutsättningar framgår även av EU-domstolens förhandsavgörande i mål C 268/21 den 2 mars 2023, punkterna 33–38. 86 När ett undantag från finalitetsprincipen har införts i nationell rätt, exempelvis genom att vissa uppgiftsskyldigheter har införts (se avsnitt 13.2.4 om bestämmelser om utlämnande) måste den enligt vår mening innebära att den personuppgiftsansvariga myndigheten inte är skyldig att utföra en finalitetsprövning innan uppgifter vidarebehandlas med stöd av bestämmelsen. Samma sak bör gälla bestämmelser som utgör en tillämpning av finalitetsprincipen, dvs. när det i den nationella rätten har fastställts och närmare angetts för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig (jfr skäl 50 till dataskyddsförordningen).
Databasregleringen
I samband med databasregleringens tillkomst uttalade regeringen att begreppet databas skulle införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som används gemensamt inom en verksamhet och för vilka särskilda regler skulle gälla. Enligt regeringen skulle en uppgift anses gemensamt tillgänglig och därmed utgöra en del av en databas om den registrerades och lagrades i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter hade möjlighet att vid behov och i olika sammanhang – t.ex. i samband med handläggningen av ett ärende – ta del av uppgiften direkt på automatiserad väg. Att olika personalkategorier hade olika behörighet och att vissa uppgifter därför i praktiken var åtkomliga endast för ett begränsat antal personer hos olika myndigheter inom en myndighetsorganisation, förtog i sig inte uppgifternas egenskap som 87 gemensamma. Uppgifter som får behandlas i databaserna får följaktligen även behandlas för samtliga övriga ändamål som gäller för respektive databas, se avsnitten 8.3.4–8.3.7, och utgör ”allmän egendom” i den verksamheten. 88 I en nyligen föreslagen förändring av ändamålen för be-
86 C 268/21, Norra Stockholm Bygg, ECLI:EU:C:2023:145. 87 Prop. 2000/01:33 s. Behandling av personuppgifter inom skatt, tull och exekution, s. 88–89. 88 Prop. 2000/01:33 s. Behandling av personuppgifter inom skatt, tull och exekution, s. 232.
529Ändamålsbestämmelser
skattningsdatabasen har regeringen tydligt uttryckt att den behandling som omfattas av ändamålsbestämmelserna innebär att Skatteverket – förutsatt att det finns behov av det – kan behandla uppgifterna i sin verksamhet för samtliga ändamål i 1 kap. 4 § SdbL och lämna uppgifterna till andra med stöd av 1 kap. 5 § samma lag (se avsnitt 8.4.8 nedan om s.k. Cesop-uppgifter). 89 Befintliga primära ändamålsbestämmelser i kombination med databasregleringen innebär att det finns ett rättsligt stöd för vidarebehandling inom ramen för de ändamål som gäller för databasen, utan att någon prövning enligt finalitetsprincipen behöver göras. Det innebär dock inte att myndigheterna kan använda vilka uppgifter som helst för vilka ändamål som helst. I dag liksom vid tidpunkten för författningarnas tillkomst är en grundläggande förutsättning att enbart de uppgifter som behövs för ändamålet får behandlas i det enskilda fallet, vilket tidigare framgick av 9 f § PUL och i dag framgår av artikel 5.1 c i dataskyddsförordningen. Den lagtekniska möjligheten till vidarebehandling för ett annat ändamål medför alltså inte att uppgifter kan behandlas slentrianmässigt eller urskillningslöst.
Databasregleringens betydelse
Genom den kompletterande dataskyddsreglering vi föreslår i de nya datalagarna ska myndigheterna inte ges sämre möjligheter att behandla uppgifter än vad som följer av befintlig reglering. Vi uppfattar dock att de undantag från finalitetsprincipen som är möjliga enligt dataskyddsförordningen förutsätter att vidarebehandlingen för sådana ändamål som är oförenliga med insamlingsändamålet måste ha stöd i nationell rätt. Någon vidarebehandling för icke förenliga ändamål kan därmed inte ske utan att det finns stöd för behandlingen i en författning. En viktig fråga är därför om dagens databasreglering kan anses utgöra ett undantag från finalitetsprincipen eller en tillämpning av finalitetsprincipen. Om databasregleringen utgör ett undantag från finalitetsprincipen skulle upphävandet av bestämmelserna om databaser, dvs. det rättsliga stödet för vidarebehandling för oförenliga ändamål, också försämra myndigheternas möjlighet att behandla personuppgifter. I den situationen skulle det visserligen kunna argumenteras att
89 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 108.
530Ändamålsbestämmelser
om myndigheterna anser att en vidarebehandling, som i dag är tillåten med stöd av databasregleringen, inte är förenlig med insamlingsändamålen kan myndigheterna bara peka ut en ny rättslig grund för behandling och samla in uppgifterna på nytt. Det förfarandet är dock resurskrävande i alla led och skulle enligt vår mening försämra myndigheternas möjlighet att bedriva en effektiv verksamhet. Frågan om databasregleringen utgör en tillämpning av eller ett undantag från finalitetsprincipen bör därför behandlas. Regeringen har som framgår ovan tidigare uttalat att bestämmelser som innebär att uppgifter som har samlats in för ett ändamål får eller ska behandlas för ett annat ändamål i vissa fall kan utgöra en tillämpning av finalitetsprincipen, dvs. regeringen och riksdagen har gjort bedömningen att behandlingen är förenlig med den principen. I andra fall kan befintliga bestämmelser anses utgöra undantag från finalitetsprincipen. 90 Något förtydligande av vilka undantagsbestämmelser som avsågs gavs inte i det sammanhanget. Vår bedömning är dock att uttalandet om undantag från finalitetsprincipen främst bör avse de sekundära ändamålsbestämmelserna, som i huvudsak avser utlämnande i syfte att tillgodose behov hos någon annan myndighet. Även för vidarebehandling inom en databas skulle dock databasregleringen kunna anses utgöra en sådan nationell reglering som medger vidarebehandling för ett annat ändamål än det ursprungliga, oavsett dess förenlighet med insamlingsändamålet. Det finns därför skäl att närmare granska de överväganden regeringen gjort i detta avseende.
Beskattningsdatabasen
Frågan om databasregleringen utgör en tillämpning av eller ett undantag från finalitetsprincipen blir särskilt tydlig avseende databasregleringen för beskattningsverksamheten. Regleringen tillämpas nämligen i själva verket även på viss verksamhet som Skatteverket ansvarar för men som inte utgör ett led i beskattningsförfarandet, se avsnitt 8.3.1 och 8.3.4. Sedan databasregleringens tillkomst tillåts exempelvis behandling i beskattningsdatabasen för tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, vilket utgör sådan verksamhet som är skild från beskattningsverksamheten. I förarbetena
90 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 47.
531Ändamålsbestämmelser
uttalades att de tillsynsverksamheter som avsågs (bl.a. enligt alkohollagstiftningen) hade en så stark koppling till beskattningsverksamheten att det var naturligt att beskattningsdatabasen användes för 91 denna tillsyn. I det fallet, och avseende övriga ändamål som funnits sedan bestämmelsernas tillkomst, får regeringen anses ha bedömt att behandlingen i databasen var förenlig med insamlingsändamålen. Sedan bestämmelsernas tillkomst har dock flera primära ändamål tillkommit där det inte är lika enkelt att dra slutsatsen att bestämmelserna innebär en tillämpning av finalitetsprincipen och inte ett undantag från den. Det kan exempelvis ifrågasättas om insamlingsändamål som rör beskattning är förenligt med ändamålet hantering av sjuklönekostnader. Sjuklönekostnaderna hanteras nämligen av Skatteverket i huvudsak för att vidarebefordras till Försäkringskassan. 92 När ändamålet hantering av sjuklönekostnader infördes i databasregleringen gjordes dock ingen uttrycklig bedömning utifrån finalitetsprincipen. Däremot gjordes vissa uttalanden som tyder på att behandlingen skulle anses vara ett undantag från finalitetsprincipen, exempelvis konstaterade regeringen att förslaget i praktiken innebar att det i Skatteverkets databas i vissa fall skulle komma att registreras personuppgifter, utan att Skatteverket hade behov av dessa i den egna verksamheten. 93 Regeringen gjorde dock även andra uttalanden som tyder på att behandlingen skulle anses vara förenlig med finalitetsprincipen, exempelvis rörande den övergripande kopplingen till skattekontot samt den generella skyldigheten att lämna in arbetsgivardeklarationer till Skatte- 94 verket, där även uppgift om sjuklönekostnad skulle anges. I samband med införandet av lagen om stöd vid korttidsarbete, som också utgör en sådan verksamhet som ligger vid sidan av beskattningsverksamheten, gjorde regeringen en uttalad finalitetsprövning. Regeringen konstaterade i det sammanhanget att vid handläggningen av ärenden om stöd vid korttidsarbete skulle Skatteverket behöva kontrollera uppgifter i ärendena mot uppgifter i beskattningsdatabasen som samlats in för andra ändamål, och att sådan behandling var förenlig med de ändamål för vilka uppgifterna samlats in. 95 Motsvarande bedömning har även gjorts i förarbetena till vissa andra sådana verk-
91 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124. 92 Jfr 17 b och17 c §§ lagen (1991:1047) om sjuklön. 93 Budgetpropositionen för 2015, prop. 2014/15:1, s. 393. 94 Budgetpropositionen för 2015, prop. 2014/15:1, s. 392–394. 95 Budgetpropositionen för 2014, prop. 2013/14:1, s. 377.
532Ändamålsbestämmelser
samheter som inte utgör ett led i beskattningsförfarandet dvs. ändamålen handläggning av ärenden enligt lagen om omställningsstöd och enligt lagen om förfarande för elstöd till företag. I förarbetena avseende omställningsstöd konstaterades att det fanns ett behov av att samköra de uppgifter som lämnas i ansökan om stöd med sådana beskattningsuppgifter som Skatteverket redan hade tillgång till. I fråga om en sådan behandling kunde anses vara förenlig med finalitetsprincipen gjorde regeringen följande bedömning. Den som lämnar uppgifter till Skatteverket för beskattningsändamål i t.ex. inkomstdeklarationen måste kunna räkna med att sådana uppgifter sedan kan komma att användas för andra ändamål såsom för kontroll av olika förmåner och stöd [vår kursivering]. I detta fall är flera av de uppgifter som lämnats för beskattningsändamål relevanta för Skatteverkets kontroll och för att välja ut kontrollobjekt vid myndighetens hantering av omställningsstöd. Bedömningen görs att sådan behandling av uppgifterna i beskattningsdatabasen är förenlig med de ändamål för vilka uppgifterna samlats in. 96
Även i förarbetena avseende elstöd konstaterade regeringen att flera av de uppgifter som lämnats för beskattningsändamål var relevanta för Skatteverkets kontroll och för att välja ut kontrollobjekt vid hantering av elstöd. Regeringens bedömning var att sådan behandling av uppgifterna i beskattningsdatabasen var förenlig med de ändamål för vilka uppgifterna samlats in. 97 Trots de till synes svårförenliga ändamålen (beskattning och handläggning av ansökan om stöd) bedömde regeringen i dessa fall att den enskilde måste räkna med att uppgifter som lämnats i en beskattningssituation kan komma att användas för andra ändamål och även för kontroll av vederbörandes rätt till olika förmåner. Regeringen drog därför slutsatsen att sådan vidarebehandling av beskattningsuppgifterna inte strider mot finalitetsprincipen. Vad gäller behandling i databasen för hantering av vissa borgenärsuppgifter m.m. framgår i förarbetena inte annat än att sådan bör 98 tillåtas. Något uttalande om finalitetsprincipen gjordes alltså inte. Mot bakgrund av verksamhetens karaktär anser vi dock att bestämmelsen bör anses utgöra en tillämpning av finalitetsprincipen.
96 Prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag, insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 92. 97 Prop. 2022/23:107, Vissa förfarandefrågor för elstöd till företag, s. 29. 98 Prop. 2006/07:99, En fristående kronofogdemyndighet m.m., s. 36.
533Ändamålsbestämmelser
Avseende uppgifter som behövs för hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige, konstaterade regeringen att de uppgifter som Skatteverket skulle komma att tillföras genom underrättelserna från arbetsgivare inte föll in under något av de då föreskrivna ändamålen. Regeringen konstaterade också att Skatteverkets uppgift enligt föreslagen lagstiftning huvudsakligen skulle vara att registrera uppgifter som eventuellt skulle kunna behövas för handläggning av annan myndighets utredningsärenden. Enligt regeringen var det dock troligt att endast ett mindre antal av de registrerade uppgifterna skulle komma att användas av andra myndigheter. Ändamålet med Skatteverkets behandling av uppgifterna kunde därför varken sägas vara av rent primär eller sekundär karaktär. För att syftet med behandlingen av uppgifterna skulle kunna uppfyllas krävdes dock att Skatteverket kunde behandla även känsliga personuppgifter och ändamålet borde därför klassificeras som ett primärt sådant. Regeringen föreslog därför att en ny ändamålsbestämmelse skulle föras in i 1 kap. 99 4 § SdbL. Något resonemang om finalitetsprincipen fördes inte i sammanhanget. I förarbetena till ändamålet avseende automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen, SFL, konstaterade regeringen att ändamålsbestämmelsen i 1 kap. 4 § SdbL var utformad så att i stort sett hela Skatteverkets verksamhet inom beskattningsområdet omfattades, men i klargörande syfte skulle 100 dock ett särskilt ändamål införas. Någon uttalad finalitetsprövning gjordes inte, men regeringens motivering tyder enligt vår mening på att tillåtligheten av behandlingen i databasen har ansetts utgöra en tillämpning av finalitetsprincipen. För behandling för ändamålet automatiskt utbyte av land-förland-rapporter på skatteområdet och 33 a kap. SFL konstaterades i förarbetena enbart att uppgifterna skulle lämnas in till Skatteverket, och att ändringen av ändamålsbestämmelsen var en följdändring till införandet av lagen om automatiskt utbyte av land- för land-rapporter på skatteområdet. 101 Någon uttalad prövning av databasbehand-
99 Prop. 2012/13:125, Genomförande av direktivet om sanktioner mot arbetsgivare, s. 36–38. 100 Prop. 2015/16:29, En global standard för automatiskt utbyte av upplysningar om finansiella konton, s. 67, 111 och 119. 101 Prop. 2016/17:47, Dokumentation vid internprissättning och land-för-land-rapportering på skatteområdet, s. 62 och 83.
534Ändamålsbestämmelser
lingens förenlighet med finalitetsprincipen gjordes inte. Givet verksamhetens karaktär förefaller dock bestämmelsen vara ett uttryck för finalitetsprincipen och inte ett undantag från den. Vad gäller behandling för hantering av rapporteringspliktiga arrangemang, dvs, ändamålet 33 b kap. SFL, uttalade regeringen att Skatteverket skulle behöva behandla uppgifterna i beskattningsdatabasen och för att genomföra adekvata analyser av risker i skattesystemet. Enligt regeringen var behandlingen även nödvändig för att Skatteverket skulle kunna genomföra riskbaserade urval för skatterevisioner eller andra utredningsåtgärder för kontroll. Det kunde enligt regeringen ifrågasättas om inte den behandling som var aktuell rymdes inom de då befintliga ändamålen. Ett särskilt ändamål säker- 102 ställde dock enligt regeringen tillåtligheten av behandlingen. Även vad gäller behandling i databasen för ändamålet som rör verksamhet enligt lagen om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. SFL gjorde regeringen motsvarande bedömning. 103 Uttalandena i dessa sammanhang får anses tyda på att bestämmelserna motsvarar en tillämpning av finalitetsprincipen. Sammanfattningsvis kan det alltså konstateras att regeringen i vissa fall har behandlat frågan om finalitetsprincipen när nya ändamål har tillförts beskattningsdatabasregleringen, men inte alltid. Trots att något uttalande om finalitetsprincipen inte alltid föregått införandet av nya ändamål anser vi att den övergripande bedömningen från regeringens sida förefaller ha varit att enbart behandling som var sinsemellan förenlig skulle tillåtas inom databasen. Regeringens uttalande avseende hantering av uppgifter från arbetsgivare om utlänningar som inte har rätt att vistas i Sverige tyder dock på att behandling i databasen främst förefaller ha varit den mest praktiska lösningen.
102 Prop. 2019/20:74, Genomförande av EU:s direktiv om automatiskt utbyte av upplysningar som rör rapporteringspliktiga gränsöverskridande arrangemang, s. 173–174. 103 Prop. 2022/23:6, Rapportering och utbyte av upplysningar om inkomster genom digitala plattformar och vissa andra ändringar i EU:s direktiv om administrativt samarbete på direktskatteområdet, s. 168.
535Ändamålsbestämmelser
Folkbokföringsdatabasen
Till skillnad från de olika ändamål som gäller för beskattningsdatabasen är de ändamål som gäller för folkbokföringsdatabasen inte hänförliga till någon uppgift som ligger vid sidan av vad som avses med folkbokföringsverksamhet, se avsnitten 8.3.1 och 8.3.5. Sedan databasregleringen infördes har det inte heller tillkommit något nytt primärt ändamål, och de befintliga ändamålen har inte heller förändrats i sak. Den behandling som i dag får utföras för dataanalyser och urval regleras nämligen särskilt och får enbart ske i en särskild uppgiftssamling. Mot bakgrund av regeringens uttalanden i samband med regleringens tillkomst bedömer vi att bestämmelserna om folkbokföringsdatabasen utgör en tillämpning av finalitetsprincipen, och inte ett undantag från den.
Tulldatabasen
Databasregleringen för Tullverket har likheter med den som gäller för Skatteverkets folkbokföringsverksamhet. Några ändamål som ligger vid sidan av Tullverkets generella verksamhet finns inte och de primära ändamål som gäller för tulldatabasen har inte förändrats sedan bestämmelserna infördes, se avsnitten 8.3.1 och 8.3.6. Mot bakgrund av regeringens uttalanden i samband med regleringens tillkomst bedömer vi att bestämmelserna om tulldatabasen utgör en tillämpning av finalitetsprincipen, och inte ett undantag från den.
Regeringens bedömningar bör ha fortsatt giltighet
I avsnitten ovan har vi kunnat konstatera att dagens databasreglering för Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverket snarare förefaller utgöra en tillämpning av finalitetsprincipen än ett undantag från den. Inget av de primära ändamålen avser exempelvis behandling enbart för någon annan myndighets arbetsuppgifter, eller för uppgifter som en annan självständig verksamhetsgren ansvarar för. Även de ändamål inom beskattningsverksamheten som anger att Skatteverket får samla in vissa uppgifter, trots att en annan myndighet senare ska eller kan komma att använda dessa, av-
536Ändamålsbestämmelser
ser arbetsuppgifter i form av insamling m.m. som Skatteverket ansvarar för och som får anses ligga nära beskattningsverksamheten. Vår bedömning att databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets verksamhet förefaller utgöra en tillämpning av finalitetsprincipen baseras delvis på de förarbetsuttalanden som gjordes i samband med författningarnas tillkomst och sådana förarbetsuttalanden som gjorts i samband med att ändamålsregleringen utökats. Vid bedömningen har vi dock även tagit i beaktande att tillåtligheten av behandling inom respektive databas aldrig varit en förutsättning för att behandling för nya författningsreglerade uppgifter över huvud taget ska vara tillåten. För det fall myndigheterna inte skulle tillåtas behandla uppgifterna i respektive databas skulle behandlingen kunna ske med stöd av allmänna bestämmelser dvs. personuppgiftslagen eller dataskyddsförordningen och dataskyddslagen. Att databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets verksamhet inte utgör ett undantag från finalitetsprincipen innebär att upphävandet av databasregleringen som vi föreslår i avsnitt 9.4.2 inte medför att det enda stödet för vidarebehandling också upphävs. Vidarebehandlingen kan nämligen fortsatt ske med stöd av finalitetsprincipen. Det kan här åter påpekas att myndigheterna redan vid insamlingstillfället har möjlighet att ange flera ändamål med insamlingen av uppgifter. Om den tilltänkta vidarebehandlingen anges redan vid insamlingstillfället aktualiseras inte behovet av någon finalitetsprövning. Vi anser dock att myndigheterna bör kunna utgå från att regeringens överväganden om vidarebehandlingens förenlighet, som den nuvarande lagstiftningen ger uttryck för, är giltiga även i framtiden. Att databasregleringen upphävs innebär ju inte i sig att de befintliga ändamålen blir sinsemellan oförenliga. Eftersom de befintliga ändamålsbestämmelserna inte går att likställa med sådana särskilda ändamål som en eventuell vidarebehandling ska prövas mot bör dock regeringens tidigare bedömning av olika ändamåls förenlighet anses utgöra en generell utgångspunkt. Dagens ändamålsbestämmelser motsvaras i stora drag av de bestämmelser vi föreslår ska komplettera bestämmelsen som anger det materiella tillämpningsområdet, se avsnitt 7.4. Det får enligt vår mening till följd att bestämmelser i de nya datalagarna som kompletterar det materiella tillämpningsområdet också bör anses ge uttryck för mellan vilka uppgifter och verksam-
537Ändamålsbestämmelser
heter vidareanvändning typiskt sett kan komma i fråga, utan att behandlingen ska anses vara oförenlig med insamlingsändamålet. Det innebär också att möjligheten till vidarebehandling av uppgifter inom Skatteverkets beskattnings- och folkbokföringsverksamheter samt Tullverkets verksamhet inte försämras av våra förslag.
Kronofogdemyndighetens databaser
Kronofogdemyndighetens personuppgiftsbehandling reglas i dag i fyra olika databaser. På samma sätt som för Tullverket och Skatteverkets folkbokföringsverksamhet är de ursprungliga ändamålen för respektive databas i stora delar de samma i dag som vid tidpunkten för regleringens tillkomst. Databasregleringen förefaller därmed vara ett uttryck för finalitetsprincipen inom respektive databas, se avsnitten 8.3.1 och 8.3.7. Vissa förändringar har dock skett. De primära ändamålsbestämmelserna för var och en av de fyra databaserna har kompletterats på så sätt att uppgifter får behandlas för tillhandahållande av information som behövs i Kronofogdemyndighetens verksamhet för förebyggande av överskuldsättning. Med undantag för ändamålsregleringen för skuldsaneringsdatabasen har det ändamålet senare kompletterats med och information om skuldsanering och F-skuldsanering. I förarbetena uttalade regeringen att den förebyggande verksamheten inte var någon självständig verksamhet i förhållande till de andra verksamhetsområdena, utan snarare en kompletterande och integrerad del av dessa. För att kunna bedriva ett effektivt arbete inom området behövde denna förebyggande verksamhet ha möjlighet att använda uppgifter som behandlades i de olika databaserna. Enligt regeringen borde det också finnas möjlighet att dokumentera och samla in uppgifter endast för den förebyggande verksamheten. Trots att den förebyggande verksamheten enligt regeringen var en integrerad del av de andra verksamhetsområdena ansågs inte de befintliga ändamålen täcka den på ett tillräckligt tydligt sätt, och en komplettering var därför nödvändig. Regeringen uttalade även att det inte kunde anses vara ändamålsenligt att låta den aktuella behandlingen av uppgifter ligga utanför den reglering som redan fanns i lagen om behandling av uppgifter 104 i Kronofogdemyndighetens verksamhet.
104 Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 25.
538Ändamålsbestämmelser
Uttalanden om den förebyggande verksamheten som en integrerad del av de övriga verksamheterna får enligt vår mening anses innebära att regeringen har bedömt att en vidareanvändning för ändamålet att förebygga överskuldsättning är förenligt med samtliga primära ändamål som gäller för databaserna i dag. Tillägget avseende information om skuldsanering kom till i samband med den övergripande reformering av skuldsaneringsinstitutet som regeringen föreslog 2016. Då infördes även ett nytt sekundärt ändamål för alla databaser förutom skuldsaneringsdatabasen; att tillhandahålla information som behövs i Kronofogdemyndighetens verksamhet för handläggning av ärenden om skuldsanering och F-skuldsanering. Kronofogdemyndigheten fick i detta sammanhang även i uppgift att lämna upplysningar om skuldsanering till skuldsatta som fanns i myndighetens register. Regeringen konstaterade i förarbetena att genom sin roll som verkställande myndighet hade Kronofogdemyndigheten redan kunskap om den ekonomiska situationen för gäldenärer som fanns i dess register, t.ex. med anledning av att den skuldsatte hade varit föremål för utsökning. För att Kronofogdemyndigheten skulle kunna fullgöra sin upplysningsskyldighet krävdes dock tillgång till relevanta register. Uppgifter i utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen och konkurstillsynsdatabasen skulle därför få behandlas för 105 information om och handläggning av ärenden om skuldsanering. Vad gäller Kronofogdemyndighetens arbete med ärenden om skuldsanering och F-skuldsanering betonade regeringen vikten av att Kronofogdemyndigheten hade tillgång till ett korrekt underlag för sin bedömning. Enligt regeringen var det därför nödvändigt att myndigheten skulle få behandla personuppgifter för handläggningen av 106 ärenden om skuldsanering och F-skuldsanering i sina databaser. I samband med förändringarna som nyss redogjorts för gjorde regeringen inga direkta uttalanden i fråga om finalitetsprincipen. Däremot lyfte regeringen det nära samband som förelåg mellan skuldsaneringen och övriga verksamheter inom Kronofogdemyndigheten. Vi bedömer därför att regeringens uttalanden bör tolkas som att behandling för skuldsaneringsändamål har bedömts vara förenligt med samtliga övriga ändamål som gäller för databaserna.
105 Prop.2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 55 och 57. 106 Prop.2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 65 och 116.
539Ändamålsbestämmelser
Vad gäller skuldsaneringsdatabasen har, utöver justeringen som föranleddes av införandet av F-skuldsanering, ett primärt ändamål tillkommit i sak sedan millennieskiftet. Enligt Europaparlamentets och rådets förordning (EU) 2015/848 om insolvensförfaranden, 2015 års insolvensförordning, ska medlemsstaterna upprätta nationella insolvensregister där vissa uppgifter om insolvensförfaranden ska offentliggöras. Kronofogdemyndigheten är registreringsmyndighet för insolvensregistret och uppgifter i skuldsaneringsdatabasen får därför sedan 2019 användas för registrering i insolvensregistret över skuldsaneringar och F-skuldsaneringar. I förarbetena till ändringen uttalade regeringen enbart att Kronofogdemyndigheten bör kunna använda uppgifter i skuldsaneringsdatabasen för att föra insolvensregistret 107 över skuldsaneringar och F-skuldsaneringar. Någon uttrycklig bedömning avseende finalitetsprincipen gjordes inte. Däremot bör det tillkommande ändamålets karaktär utesluta någon annan slutsats än att bestämmelsen utgör en tillämpning av finalitetsprincipen. Sammanfattningsvis förefaller förebyggandeändamål och skuldsaneringsändamål ha ansetts vara förenliga med samtliga övriga ändamål som gäller för Kronofogdemyndigheternas databaser. Frågan blir då om de särreglerade databasernas olika primära ändamål i övrigt kan anses vara sinsemellan förenliga, på samma sätt som redogjorts för rörande Skatteverkets olika verksamheter i beskattningsdatabasen. I förarbetena till den ursprungliga regleringen uttalade regeringen i och för sig att vissa av verksamheterna till stor del hade anknytning till varandra, och att personer som förekom i ett ärende om skuldsanering i många fall även var föremål för utsökningsåtgärder. Regeringen ansåg dock att det fanns anledning att i vissa delar reglera de olika verksamhetsområdena för sig. I fråga om ändamålen med och vilka uppgifter som får behandlas i en databas var skillnaderna i vissa avseenden så stora att lagstiftningen annars hade blivit svåröverskådlig. 108 Några år efter nuvarande reglerings tillkomst föreslog Kronofogdemyndigheten att de sekundära ändamålsbestämmelserna för utsöknings- och indrivningsdatabasen, betalningsföreläggande- och handräckningsdatabasen och skuldsaneringsdatabasen skulle kompletteras på så sätt att uppgifter också skulle få behandlas för tillhandahållande av information som behövdes i annan författningsreglerad verksamhet vid Kronofogdemyndigheten. Förslaget syftade till att
107 Prop. 2018/19:48, Insolvensregister enligt 2015 års insolvensförordning, s.29. 108 Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 156 f.
540Ändamålsbestämmelser
möjliggöra ett utökat samutnyttjande av insamlade uppgifter i myndighetens verksamheter. Regeringen valde då att inte genomföra föreslagna ändringar på den grunden att förslaget inte var tillräckligt väl 109 underbyggt. Någon ledning i frågan om de olika ändamålens förenlighet i övrigt finns alltså inte i förarbeten.
Förenlighet mellan olika ändamål i Kronofogdemyndighetens verksamhet
Vad gäller Kronofogdemyndighetens databaser har vi nyss bedömt att regeringens uttalanden tyder på att i vart fall vidarebehandling inom dagens databaser samt för ändamål kopplade till förebyggande av överskuldsättning samt till skuldsanering och F-skuldsanering är förenligt med samtliga övriga ändamål som gäller för respektive databas. Regleringen bör därmed anses utgöra en tillämpning av finalitetsprincipen i dessa avseenden. Vad gäller förenligheten mellan övriga ändamål går det inte att dra någon slutsats utifrån tidigare förarbeten. Enligt vår mening finns det dock vissa omständigheter som talar för att vidarebehandling för övriga befintliga ändamål som gäller för databaserna också kan anses vara förenligt med finalitetsprincipen, enligt den prövning som anges i artikel 6.4 i dataskyddsförordningen. En aspekt av finalitetsprövningen är förekomsten av lämpliga skyddsåtgärder. I detta avseende har vi föreslagit att den nya kronofogdedatalagen ska innehålla sökbegränsningar avseende känsliga personuppgifter, krav på rutiner, samt att tillgången till personuppgifter ska begränsas till vad var och en behöver för sina arbetsuppgifter. Inom stora delar av verksamheten vid Kronofogdemyndigheten finns vidare sekretessregler till skydd för enskildas integritet. Det bör därför anses finnas lämpliga skyddsåtgärder. Kronofogdemyndighetens verksamhet är dessutom relativt avgränsad. Kopplingen mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med en möjlig ytterligare behandling får därmed anses vara förhållandevis stark. Utsökning och indrivning, olika former av skuldsanering, olika former av betalningsföreläggande och handräckning samt tillsyn i konkurs m.m. utgör områden som dels handläggs inom och en och samma myndighet som primärt sysslar med dessa frågor, dels i stor utsträckning rör frågor om in-
109 Prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 30.
541Ändamålsbestämmelser
solvens, obligationsrätt, sakrätt och avtalsrätt. De olika verksamheterna inom Kronofogdemyndigheten får med andra ord anses ligga rättsligt nära varandra. Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige är också betydelsefullt. Även här gör sig samma överväganden gällande; Kronofogdemyndighetens verksamhet är avgränsad till specifika rättsområden där olika rättsliga anspråk avseende egendom prövas. Vi anser att en enskild som lämnar en uppgift till Kronofogdemyndigheten typiskt sett bör kunna förutse att den uppgiften även kan komma att behandlas inom myndigheten i ett annat sammanhang. Vid bedömningen ska även personuppgifternas art beaktas, särskilt om känsliga personuppgifter eller uppgifter om fällande domar i brottmål och överträdelser behandlas. Denna aspekt av finalitetsprövningen medför dock inte ett absolut förbud eller hinder mot vidarebehandling av sådana uppgifter. I Kronofogdemyndighetens befintliga databaser behandlas känsliga personuppgifter. Även uppgifter om olika lagöverträdelser behandlas. I den mån sådana uppgifter behandlas för ett ändamål knutet till en databas, men är relevanta, adekvata och inte för omfattande i förhållande till ett ändamål knutet till en annan databas, får uppgifternas karaktär i detta sammanhang anses ha en något mindre betydelse. Slutligen ska också eventuella konsekvenser för den enskilde tas i beaktande. En vidarebehandling inom Kronofogdemyndigheten kan resultera i olika konsekvenser för den enskilde, beroende på omständigheterna i det enskilda fallet. Att en vidarebehandling kan medföra en negativ konsekvens för den registrerade medför dock inte undantagslöst att vidarebehandlingen därmed framstår som oförenlig. Regeringens ovan angivna uttalanden rörande beskattningsuppgifter och olika stödåtgärder illustrerar det nyss sagda. 110 Givet Kronofogdemyndighetens särskilda ställning, samt den förhållandevis avgränsade verksamheten, bör den registrerade kunna räkna med att uppgifter kan komma att användas även i andra sammanhang inom myndigheten och även i sådana som kan vara till nackdel för honom eller henne.
110 Prop. 2019/20:181, Extra ändringsbudget för 2020 – Förstärkt stöd till välfärd och företag, insatser mot smittspridning och andra åtgärder med anledning av coronaviruset, s. 92.
542Ändamålsbestämmelser
Sammanfattningsvis bör även vidarebehandling inom tillämpningsområdet för den nya kronofogdedatalagen som huvudregel vara möjlig med stöd av finalitetsprincipen. Liksom anges ovan bör den bestämmelse i den nya kronofogdedatalagen som tydliggör lagens materiella tillämpningsområde därför i viss mån kunna tjäna som en utgångpunkt för vilken vidarebehandling som är förenlig med finalitetsprincipen. Eftersom det i dag inte finns någon gemensam databas och följaktligen inte heller några bedömningar i förarbeten som avser förenligheten mellan samtliga ändamål går det dock inte att dra någon annan slutsats än att Kronofogdemyndigheten i enlighet med artikel 5.2 i dataskyddsförordningen ansvarar för att göra en ny prövning enligt artikel 6.4 av om en vidarebehandling för ett ändamål utanför dagens respektive databasregleringar, eller för andra ändamål än förebyggande av överskuldsättning eller skuldsanering eller F-skuldsanering, är tilllåten. Här kan dock åter påpekas att myndigheten har möjlighet att ange ett flertal ändamål vid insamlingstillfället.
8.4.7 Reglering av vidarebehandling?
Vår bedömning: Någon ytterligare bestämmelse om tillåten vidarebehandling bör inte införas i de nya datalagarna.
Skälen för vår bedömning
Som vi redogjort för tidigare är det enligt skäl 50 i dataskyddsförordningen möjligt att i nationell rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Vi har därför övervägt om det är lämpligt att i de nya lagarna införa en bestämmelse som tydliggör att vidarebehandling för ett annat ändamål inom det materiella tillämpningsområdet som utgångspunkt är tillåten. En sådan bestämmelse skulle motsvara dagens databasreglering, se avsnitt 8.4.6, och säkerställa att myndigheterna inte ges sämre möjligheter till en effektiv informationshantering än i dag. Som vi redogjort för ovan förefaller dock de befintliga primära ändamålen inte vara sinsemellan oförenliga. De uttalanden som regeringen tidigare gjort avseende befintliga ändamål bör dessutom kunna
543Ändamålsbestämmelser
ligga till grund för en bedömning av liknande vidarebehandlings förenlighet även i framtiden. Myndigheterna har dessutom redan i dag möjlighet att samla in uppgifter för fler än ett ändamål, och uppgifterna får då användas för samtliga dessa ändamål, utan att en finalitetsprövning aktualiseras. Insamlingsändamålen behöver dessutom inte vara sinsemellan förenliga. Vi anser därför att det inte finns något behov av bestämmelser som tillåter sådan vidarebehandling som både ryms inom finalitetsprincipen och som sker för ett ändamål som är nödvändigt för att myndigheten ska kunna utföra en arbetsuppgift som följer av den lagstiftning som faller inom respektive datalags materiella tillämpningsområde. Det kan dock tillkomma ändamål för vilka regeringen eller riksdagen anser finalitetsprincipen inte ska vara tillämplig, se exempelvis avsnitt 8.4.8 nedan. I dessa situationer kan det därför behöva göras undantag från tillämpligheten av finalitetsprincipen genom en bestämmelse i förordning med stöd av 8 kap. 7 § RF. I avsnitt 8.4.3 har vi därför föreslagit att en upplysningsbestämmelse ska komplettera de primära ändamålen. Enligt artikel 5.1 a i dataskyddsförordningen ska behandling ske öppet i förhållande till den registrerade, vilket skulle kunna anses utgöra ett skäl för att vidarebehandling inom ramen för respektive författning också fortsättningsvis ska uttryckas i lag. Kravet på öppenhet bör dock anses huvudsakligen rikta sig till den personuppgiftsansvarige och inte till lagstiftaren, artikel 5.2 i dataskyddsförordningen. Redan genom den föreslagna bestämmelsen som motsvarar finalitetsprincipen tydliggörs dessutom för enskilda att behandling för andra ändamål än insamlingsändamålen kan komma att aktualiseras.
8.4.8 Uppgifter som lämnas av betaltjänstleverantörer
till Skatteverket ska inte omfattas av någon särskild
ändamålsbegränsning
Vår bedömning: De uppgifter som betaltjänstleverantörer ska lämna för att Skatteverket ska föra över dem till det centrala elektroniska systemet inom EU kallat Cesop bör inte omfattas av särskilda bestämmelser i nya beskattningsdatalagen eller beskattningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna.
544Ändamålsbestämmelser
Skälen för vår bedömning
Bakgrund
Den 25 maj 2023 beslutade regeringen om en proposition benämnd Nya krav på betaltjänstleverantörer att lämna uppgifter (prop. 2022/23:121). Propositionen har föranletts av att det den 18 februari 2020 beslutades ett nytt direktiv inom mervärdesskatteområdet. 111 , Sammanfattningsvis innebär det att en ny skyldighet införs för betaltjänstleverantörer att redovisa uppgifter om vissa gränsöverskridande betalningstransaktioner som de genomför till Skatteverket. Skatteverket ska sända uppgifterna vidare till Europeiska kommissionen som i sin tur samlar uppgifterna i ett centralt elektroniskt system, kallat Cesop. I Cesop ska uppgifterna från betaltjänstleverantörerna lagras, sammanställas och analyseras tillsammans med vissa andra uppgifter. Medlemsstaterna får under vissa förutsättningar åtkomst till uppgifterna i Cesop för att bekämpa mervärdesskattebedrägerier. Uppgifterna kan användas av medlemsstaterna så länge de inte strider mot användningsbegränsningarna i förordningen, 112 113 jfr avsnitt 8.4.5. Bestämmelserna träder i kraft den 1 januari 2024. I 33 c kap. SFL ska anges vilken typ av uppgifter som ska lämnas av betaltjänstleverantörerna. Det handlar bl.a. om uppgifter om betaltjänstleverantörens företagsidentifieringskod samt betalningsmottagarens namn eller företagsnamn, adress, registreringsnummer för mervärdesskatt eller annat nationellt skattenummer och IBANnummer eller, om IBAN-nummer inte är tillgängligt, en annan identifieringskod för betalningsmottagaren. Vidare omfattas uppgifter om bl.a. datum, tidpunkt, belopp och valuta för betalningarna och för eventuella återbetalningar som är relaterade till dessa betalningar. 114 Av förordningen om administrativt samarbete följer att de uppgifter som inhämtas med stöd av förordningen från Cesop endast får användas för vissa angivna syften, bl.a. för att fastställa beskattningsunderlaget för mervärdesskatt eller för uppbörden av mervärdesskatt (artikel 55.1). Uppgifter som Skatteverket hämtar från Cesop får
111 Rådets direktiv (EU) 2020/284 om ändring av direktiv 2006/112/EG vad gäller införandet av vissa krav för betaltjänstleverantörer, samt en kompletterande förordning, rådets förordning (EU) 2020/283 om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri (förordningen om administrativt samarbete). 112 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 1 och 27. 113 Riksdagsskrivelse 2023/24:12. 114 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 52–53.
545Ändamålsbestämmelser
användas av Skatteverket och andra myndigheter för de ändamål som framgår av förordningen. 115
Regeringens bedömning av att det bör införas särskilda ändamålsbegränsningar för uppgifter som samlas in från betaltjänstleverantörer
Uppgifterna som samlas in från betaltjänstleverantörer ska behandlas beskattningsdatabasen. 116 Utgångspunkten för databasregleringen är att uppgifter i databasen får behandlas för andra ändamål än insamlingsändamålet, dvs. vara gemensamt tillgängliga (se avsnitt 9.2). Skatteverket har i lagstiftningsarbetet med Cesop uppgett att uppgifter som samlas in från betaltjänstleverantörer kan vara till nytta för kontroll av mervärdesskatt, inkomskatt och spelskatt samt vid myndighetens omvärlds- och riskanalyser. Enligt Skatteverket skulle möjligheten att behandla de från betaltjänstleverantörerna insamlade uppgifterna för dessa syften leda till en mer effektiv skattekontroll, 117 vilket i sin tur kan antas leda till ökade skatteinkomster. I förarbetena till den nya regleringen avseende Cesop bedömde regeringen att den EU-rättsliga regleringen i och för sig inte hindrar att de insamlade uppgifterna används för andra ändamål än informationsöverföring till Cesop. 118 Enligt regeringen krävdes dock en särskild proportionalitetsbedömning för att bedöma om det var lämpligt att Skatteverket och andra myndigheter skulle få behandla uppgifter som lämnats av betaltjänstleverantörerna för andra ändamål än överföring till Cesop. 119 Regeringen uttalade i det sammanhanget att de flesta uppgifter som ska lämnas sannolikt kommer att avse betalningar som har ett kommersiellt syfte och som sker till företag som är juridiska personer. Det kunde dock inte uteslutas att även betalningar till någon som inte är en kommersiell aktör kommer att omfattas. Uppgifterna kunde därför enligt regeringen komma att innehålla information om såväl enskilda näringsidkare som privatpersoner och om betalningar som inte har ett kommersiellt syfte. Vidare konstaterade regeringen att de personuppgifter som kommer att behandlas är inte sådana känsliga uppgifter som avses i artikel 9.1 i
115 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 83–88. 116 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 106. 117 SOU 2022:25, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 183. 118 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 88–90. 119 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 92.
546Ändamålsbestämmelser
EU:s dataskyddsförordning. Regeringen ansåg dock att det kunde vara fråga om delvis integritetskänsliga uppgifter om främst enskildas ekonomiska förhållanden. Regeringen beaktade även att de insamlade uppgifterna kommer från betaltjänstleverantörerna, dvs. tredje man, och inte från de företag som ska granskas. Enligt regeringen kommer uppgifterna när de samlas in inte ha något direkt samband med beskattningen och kommer endast till mycket liten del komma att få någon betydelse vid skattekontroll. 120 Regeringens bedömning var därför att de aktuella uppgifterna inte ska få användas av Skatteverket för kontroll av mervärdesskatt, inkomstskatt eller spelskatt. Uppgifterna ska dock få användas i den utsträckning det behövs för att Skatteverket ska kunna fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, t.ex. enligt lagen (1997:1024) om Skatteverkets brottsbekämpande verksamhet, lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet eller om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda enligt 10 kap. 27 § OSL. Det ansågs alltså inte ha kommit fram tillräckliga skäl för att vid den tidpunkten låta Skatteverket använda dessa uppgifter för fler ändamål än informationsöverföring till Cesop och för uppgiftslämnande som redan i dag sker med stöd av lag eller förordning. Sammanfattningsvis ansåg regeringen att Skatteverkets behov av att använda de insamlade uppgifterna i flera fall inte uppvägde intrånget i enskildas personliga integritet. Med anledning av detta kommer en ny ändamålsbestämmelse i 1 kap. 4 a § SdbL införas som begränsar för vilka ändamål uppgifter som betaltjänstleverantörer har lämnat till Skatteverket får behand- 121 las. Skatteverkets möjligheter att använda uppgifterna som samlas in från betaltjänstleverantörer kommer därmed begränsas i svensk rätt i förhållande till vad som följer av den EU-rättsliga regleringen. Begränsningen omfattar dock inte de uppgifter som Skatteverket inhämtar från Cesop i enlighet med artikel 24b i rådets förordning (EU) nr 904/2010. 122
120 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 93–94. 121 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 90 och 106–111. 122 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 108.
547Ändamålsbestämmelser
Bör det införas särskilda bestämmelser i beskattningsdatalagen eller beskattningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna?
Vårt förslag till ny beskattningsdatalag med tillhörande förordning innebär en genomgripande förändring i förhållande till den nuvarande regleringen. Ett grundläggande syfte med våra förslag är att dataskyddsförordningens regler om personuppgiftsbehandling ska få större genomslag i den kompletterande dataskyddsregleringen Vidare gäller vår föreslagna reglering enbart behandling av uppgifter om fysiska personer och inte om juridiska personer (se avsnitt 7.4.2), varför behandling av uppgifter om juridiska personer inte kommer att vara aktuell att på något sätt reglera i den föreslagna nya beskattningsdatalagen. Våra bedömningar avser med andra ord enbart uppgifter om fysiska personer. Till skillnad från regeringens tidigare ställningstagande gör vi bedömningen att de uppgifter som betaltjänstleverantörer ska lämna till Skatteverket enligt den nya EU-rättsliga regleringen inte bör omfattas av särskilda bestämmelser i beskattningsdatalagen eller beskattningsdataförordningen som begränsar för vilka ändamål Skatteverket får behandla uppgifterna. Någon begränsning av finalitetsprincipen bör därmed inte göras för dessa uppgifter. Som framgår ovan har regeringen bedömt att EU-rätten inte innehåller några hinder mot att de insamlade uppgifterna från betaltjänstleverantörerna används för fler ändamål än informationsöverföring till Cesop. Vi har inte funnit någon anledning att frångå denna bedömning. Det kan därmed konstateras att det inte finns någon anledning att mot bakgrund av den aktuella EU-rättsliga regleringen införa specifika ändamålsbegränsningar i nationell sektorspecifik dataskyddsrättslig reglering. Vi anser att detta är ett tungt vägande skäl till att inte heller göra det i den föreslagna beskattningsdatalagen eller beskattningsdataförordningen. De användningsbegränsningar som finns i EU-rätten gäller endast för uppgifter som inhämtas från Cesop, där de dessförinnan har bearbetats tillsammans med andra uppgifter från andra medlemsstater. Att Skatteverket får behandla de uppgifter som hämtas in från betaltjänstleverantörerna för andra ändamål än för att vidarebefordra dem till Cesop bör därför inte medföra att ändamålen inte längre blir begränsade i den utsträckning som föreskrivs för uppgifterna i
548Ändamålsbestämmelser
Cesop. 123 Vidare finns bestämmelser i de aktuella EU-rättsakterna som syftar till att begränsa integritetsintrånget, såsom regler om vilka uppgifter som ska lämnas till Skatteverket, vilka aktörer som är skyldiga att lämna uppgifter samt hur länge betaltjänstleverantörerna ska lagra uppgifterna. Att Skatteverket ges möjlighet att behandla uppgifterna även för andra ändamål än för att lämna över uppgifterna till Cesop förtar enligt vår mening inte effekten av de nu nämnda integritetshöjande åtgärderna. Skatteverket måste även, inför en eventuell vidarebehandling, göra en bedömning av den tillkommande behandlingens förenlighet med insamlingsändamålet. Regeringen har som ovan framgått konstaterat att de uppgifter som samlas in från betaltjänstleverantörer avser en stor mängd betalningsinformation och delvis integritetskänsliga uppgifter. Utifrån regeringens beskrivning av de uppgifter det handlar om, dvs. de flesta uppgifter avser betalningar som har ett kommersiellt syfte och som sker till företag som är juridiska personer samt att det inte rör sig om känsliga personuppgifter, gör vi bedömningen att det inte rör sig om en så stor andel integritetskänsliga personuppgifter, även om mängden uppgifter är omfattande. Vi anser mot denna bakgrund att varken uppgifternas art eller omfattning talar för att det rör sig om uppgifter som behöver omfattas av särskilda ändamålsbegränsningar eller en begränsning av finalitetsprincipens giltighet i den kompletterande dataskyddsregleringen för att ett adekvat integritetsskydd ska upprätthållas. Till detta bör läggas att Skatteverkets uppgivna behov, dvs. generellt en mer effektiv skattekontroll och i sin tur ökade skatteinkomster, är berättigade behov för behandling av de aktuella uppgifterna, under förutsättning att den tillkommande behandlingen är förenlig med insamlingsändamålet. Vidare kommer uppgifter som inhämtas från Cesop under vissa förutsättningar att vara tillåtna för Skatteverket att använda för t.ex. kontroll av inkomstskatt, så länge uppgifterna har inhämtats för rätt syfte. 124 Det kan vara fråga om samma uppgifter som Skatteverket har överfört till Cesop, som eventuellt har bearbetats tillsammans från uppgifter överförda av andra medlemsstater. Att detta är tillåtet följer av den EU-rättsliga regleringen. 125 Sådana uppgifter bör, till följd av den bearbetning som sker i Cesop, enligt vår mening kunna
123 Jfr prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 92. 124 Prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 96. 125 Artikel 55 i förordningen om administrativt samarbete.
549Ändamålsbestämmelser
antas vara mer integritetskänsliga än de som Skatteverket får direkt från betaltjänstleverantörerna, där endast en mindre del avser personuppgifter. Att EU-rätten innehåller användningsbegränsningar för uppgifter som inhämtas från Cesop men inte från betaltjänstleverantörer tyder även på att så är fallet. Även dessa omständigheter menar vi utgör skäl för att anse att det bör vara möjligt för Skatteverket att använda uppgifter som samlas in från betaltjänstleverantörer även andra ändamål. Vidare bör det enligt vår mening rent principiellt inte anses vara mer integritetskänsligt att Skatteverket får vidarebehandla uppgifterna för att utföra sina författningsreglerade uppgifter, än för att fullgöra uppgiftslämnande enligt lag eller förordning, oaktat att proportionalitetsbedömningar har gjorts i de senare lagstiftningsärendena. I samband med införandet av redan befintliga uppgiftsskyldigheter från Skatteverket till andra myndigheter har det nämligen inte gjorts några specifika överväganden avseende just de uppgifter som betaltjänstleverantörer lämnar till Skatteverket. Det skulle i och för sig kunna hävdas att behandlingen av uppgifterna i sin helhet som kan komma att ske inom Skatteverket skiljer sig från en behandling i form av utlämnande. Efter att uppgifterna lämnats ut till mottagaren kan de dock komma att behandlas för helt andra ändamål än de som aktualiseras inom Skatteverkets beskattningsverksamhet. Efter utlämnandet är det nämligen mottagarens insamlingsändamål som blir avgörande för vilken ytterligare behandling som är möjlig. Utlämnandet kan dessutom komma att avse en stor mängd uppgifter, beroende på vilka behov av uppgifterna som finns hos mottagaren. Mot denna bakgrund anser vi sammantaget att det är proportionerligt att Skatteverket ges en rättslig möjlighet att behandla de insamlade uppgifterna från betaltjänstleverantörer även för andra ändamål, under förutsättning att en prövning enligt finalitetsprincipen medger en sådan vidarebehandling. Det har alltså inte kommit fram tillräckliga skäl för att reglera sådana uppgifter på ett annat sätt än övriga uppgifter. Eftersom särskilda ändamålsbegränsningar i beskattningsdatalagen eller beskattningsdataförordningen inte kan anses vara behövliga för att uppnå ett adekvat integritetsskydd bör sådana bestämmelser enligt vår bedömning inte införas. Om regeringen trots vad som anges ovan anser att det i den nya föreslagna kompletterande dataskyddsregleringen för Skatteverket bör införas särskilda ändamålsbegränsningar avseende uppgifter om
550Ändamålsbestämmelser
fysiska personer, bör sådana enligt vår mening föras in i den föreslagna beskattningsdataförordningen. En sådan bestämmelse skulle kunna ha en lydelse som motsvarar de föreslagna bestämmelserna i 1 kap. 4 a § och 1 kap. 5 a § SdbL, alternativt en begränsning av bestämmelsen som motsvarar finalitetsprincipen. 126 Då vår föreslagna reglering endast avser personuppgifter, dvs. uppgifter om fysiska juridiska personer, gör vi inget särskilt ställningstagande avseende uppgifter om juridiska personer i detta sammanhang. Vi ser dock generellt sett inte att det skulle finnas någon anledning att se annorlunda på sådana uppgifter. I avsnitt 14.9.4 finns särskilda överväganden om att Skatteverket bör få använda uppgifterna för att göra mer övergripande dataanalyser och urval.
8.4.9 Skyddet för den personliga integriteten
Vår bedömning: De föreslagna ändamålsbestämmelserna utgör ett adekvat skydd för den personliga integriteten.
Skälen för vår bedömning
För att uppfylla kraven i EU:s dataskyddsförordning behöver den nationella och unionsrättsliga reglering som utgör den rättsliga grunden för myndigheternas personuppgiftsbehandling uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 dataskyddsförordningen). Regleringen ska dessutom vara tydlig, precis och förutsägbar för personer som omfattas av den (skäl 41 till dataskyddförordningen). Den behandling av personuppgifter som är nödvändig för att utföra myndigheternas respektive verksamheter förutsätter, särskilt för Skatteverkets verksamheter, tillgång till uppgifter som rör stora delar av befolkningen. Kraven på tydlighet och förutsebarhet vid utformningen av den materiella och processuella regleringen av myndigheternas verksamhet är därför höga. De nya ändamålsbestämmelserna behöver i likhet med de nu gällande täcka all den behandling som är nödvändig för att respektive
126 Se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 7–8.
551Ändamålsbestämmelser
myndighet ska kunna utföra sin verksamhet inom respektive datalags materiella tillämpningsområde. Mot bakgrund av att dataskyddsförordningen ska tillämpas av myndigheterna som vore det en svensk författning bör ändamålsbestämmelserna enligt vår mening inte utformas på ett sätt som riskerar att ge intryck av att de har en självständig betydelse, utgör sådana särskilda ändamål som avses i artikel 5.1 b i dataskyddsförordningen eller innebär en avvikelse från den allmänna dataskyddsregleringen. De villkor som måste vara uppfyllda för att personuppgiftsbehandling ska vara laglig framgår nämligen av dataskyddsförordningen. Jämfört med dagens reglering innebär våra förslag att mindre detaljerade ändamålsbestämmelser ska sätta ramarna för i vilka syften personuppgifter får behandlas. Frågan är då om en brett formulerad ändamålsbestämmelse på ett mer generellt plan än vad som behandlats i avsnitten ovan kan sägas vara förenligt med ett adekvat integritetsskydd. Vi har ovan konstaterat att dagens ändamålsbestämmelser inte kan likställas med sådana särskilda, uttryckligt angivna och berättigade ändamål som ska finnas för varje behandling enligt dataskyddsförordningen. Det innebär att de personuppgiftsansvariga myndigheterna även i dag, i enlighet med principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen, behöver formulera de särskilda ändamålen med varje personuppgiftsbehandling och utifrån detta vidta de åtgärder som krävs avseende bl.a. säkerhet och uppgifts- och lagringsminimering. Någon förändring i detta avseende uppkommer inte med anledning av den breda primära ändamålsbestämmelse vi föreslår. Våra förslag innebär vidare inte att myndigheterna ges några nya uppdrag eller uppgifter i sina respektive verksamheter. Den materiella verksamhetsregleringen inom respektive ny datalags tillämpningsområde påverkas inte av våra förslag. Annorlunda uttryckt medför våra förslag inte att några nya rättsliga grunder för personuppgiftsbehandling införs i svensk rätt. Myndigheterna kommer alltså inte behöva behandla personuppgifter för att utföra andra uppgifter eller bedriva annan verksamhet än i dag med anledning av förslagen. Vad förslagen innebär är att ramarna för tillåten personuppgiftsbehandling inom respektive datalags materiella tillämpningsområde uttrycks på ett mindre detaljerat sätt än i dag. Dagens ändamålsbestämmelser begränsar myndigheternas möjligheter till personuppgiftsbehandling som sker för andra ändamål än de som följer av
552Ändamålsbestämmelser
den materiella och processuella regleringen av myndigheternas uppgifter. Det är dock en begränsning som redan ställs upp av dataskyddsförordningens bestämmelser om rättslig grund i artikel 6.1 c och e. Vidare är det den rättsliga grunden för behandlingen som måste uppfylla dataskyddsförordningens krav på bl.a. tydlighet precision och förutsebarhet. Att ramarna för den personuppgiftsbehandling som är tillåten enligt de nya datalagarna uttrycks på ett mindre detaljerat sätt än i dag bör därmed inte medföra att dataskyddsförordningens krav inte är uppfyllda. Att de brett formulerade ändamålsbestämmelsernas räckvidd även omfattar exempelvis utvecklingen av nya och befintliga it-system genom bl.a. testning kan dock komma att innebära att personuppgifter behandlas i andra situationer än i dag. Den eventuella tillkommande behandlingen är dock ett resultat av den tekniska utvecklingen, och inte utformningen av de kompletterande primära ändamålsbestämmelserna. Redan i dag bör nämligen utveckling och testning av itsystem vara möjlig med stöd av de befintliga ändamålsbestämmelserna och finalitetsprincipen. Testning och utveckling av digitala arbetssätt är dessutom ett naturligt led i den effektivisering av verksamheterna, med bibehållet integritetsskydd, som myndigheterna måste eftersträva för att följa gällande rätt. Som tidigare har påpekats har regeringen i andra sammanhang uttalat att behandling av personuppgifter för teständamål är något som normalt inte brukar regleras i särskilda registerförfattningar, och att det måste anses vara en slags huvudprincip att testverksamhet inte behöver regleras som ett sär- 127 skilt ändamål. Mot det eventuella integritetsintrång en mindre detaljerad kompletterande ändamålsreglering medför, exempelvis vid testning och utveckling av digitala arbetssätt, bör ställas myndigheternas behov av att kunna bedriva en ändamålsenlig verksamhet. Vi anser att Skatteverket, Tullverket och Kronofogdemyndigheten måste ges rättsliga förutsättningar att utnyttja de möjligheter som digitaliseringen ger för att utföra sin verksamhet, fatta materiellt korrekta beslut och i övrigt säkerställa att gällande rätt följs inom verksamheterna. Väl utvecklade system för informationshantering inom den offentliga sek-
127 Prop. 2015/16:65, Utlänningsdatalag, s. 64 och prop. 2019/20:113, En mer ändamålsenlig dataskyddsreglering för studiestödsverksamheten, s. 20. Jfr även regeringens uttalanden med innebörden att behandling för ändamålen uppföljning, utveckling och testning av analys- och urvalsmodeller inte regleras särskilt för Utbetalningsmyndigheten i prop. 2022/23:34, Utbetalningsmyndigheten, s. 205.
553Ändamålsbestämmelser
torn är enligt vår mening en förutsättning för att myndigheterna både på kort och lång sikt ska kunna utföra sina verksamheter och möta de utmaningar som globaliseringen och den digitala utvecklingen i samhället i övrigt medför. Utvecklingen av olika AI-system är i dag oerhört snabb och sannolikt inte något som går att hejda eller begränsa på nationell nivå. AI kan förväntas bidra till att avancerade upplägg för exempelvis skatteundandragande eller andra felaktigheter blir tillgängliga för fler aktörer och i högre utsträckning än i dag. Myndigheterna bör därför ges möjligheter att förbereda sig på och hantera de utmaningar AI kan komma att innebära för den offentliga sektorn. Myndigheterna måste också ges rättsliga förutsättningar för att vid behov utveckla e-tjänster och it-lösningar som ökar tillgängligheten och effektiviteten vid kontakt med fysiska personer och bolagssektorn. En sådan utveckling riskerar dock att hindras eller försenas av en kompletterande dataskyddsreglering som går utöver vad som är påkallat i syfte att säkerställa ett adekvat integritetsskydd. De registrerades skydd för den personliga integriteten tillgodoses dessutom genom flera olika skyddsåtgärder. Den kompletterande dataskyddsregleringen föreslås innehålla begränsningar av möjligheterna att behandla känsliga personuppgifter, begränsningar av tillgången till personuppgifter, begränsningar av den längsta tid uppgifter får behandlas och krav på olika rutiner (se avsnitten 7.7, 10.7, 10.9, 11.7.6 och 12.4.3). Tillsammans med det dataskyddsrättsliga regelverket i övrigt samt sekretesslagstiftningen och den allmänna förvaltningsrättsliga regleringen medför de föreslagna primära ändamålsbestämmelserna i de nya datalagarna enligt vår mening ett adekvat skydd för den personliga integriteten. Sammantaget bedömer vi att förslaget om brett formulerade primära ändamålsbestämmelser tillgodoser behoven av personuppgiftsbehandling vid myndigheterna samtidigt som hänsyn tas till behovet av ett adekvat integritetsskydd. Det innebär att ändamålsbestämmelserna i den kompletterande dataskyddsregleringen inte möjliggör annan personuppgiftsbehandling än sådan som kan antas leda till att myndigheterna kan utföra sin verksamhet enligt tillämplig lagstiftning. En brett formulerad ändamålsbestämmelse möjliggör inte heller sådan personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin respektive verksamhet, och inte heller sådan behandling som inte står i ett rimligt
554Ändamålsbestämmelser
förhållande till det intrång i den personliga integriteten som behandlingen innebär. Den föreslagna regleringen bör mot bakgrund av detta anses vara proportionerligt. Förenligheten mellan ett adekvat integritetsskydd och den föreslagna ändamålsbestämmelsen om dataanalyser och urval i Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten behandlas särskilt i avsnitt 14.12.
5559 Databasregleringen
9.1 Inledning
Vårt övergripande uppdrag är att göra en fullständig översyn av Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar. I uppdraget ligger även att överväga om det finns utrymme för minskad detaljreglering jämfört med i dag, t.ex. när det gäller vilka uppgifter som får behandlas i de olika databaserna. En översyn av de nuvarande registerförfattningarnas struktur och terminologi ingår även i uppdraget. Vi ska beakta bl.a. förslagen i betänkandet Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen (SOU 2020:35). Förslagen i det betänkandet har numera resulterat bl.a. i prop. 2022/23:34, Utbetalningsmyndigheten, med förslag till lagstiftning med anledning av inrättandet av en ny myndighet, Utbetalningsmyndigheten, samt ny lagstiftning om bl.a. Utbetalningsmyndighetens behandling av personuppgifter. I detta kapitel redogör vi för olika aspekter av dagens databasreglering. Vi beskriver först översiktligt historiska aspekter av den generella regleringen av myndigheters informationssamlingar. Sedan 1 redogör vi för relevanta bestämmelser i EU:s dataskyddsförordning samt ger exempel på lagstiftning som införts efter dataskyddsförordningen började tillämpas. Därefter redogör vi särskilt för regeringens överväganden i samband med att databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten infördes. Därutöver redogörs för regeringens överväganden i samband med att dataskyddsförordningen skulle börja tillämpas, samt den befintliga regleringen av databaser i register-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
556Databasregleringen
författningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Slutligen redogör vi för våra överväganden avseende vilka behov av förändring som föreligger samt lämnar förslag på hur dessa behov ska tillgodoses. Vår bedömning är att databasregleringen ska upphävas och inte motsvaras av bestämmelser med liknande innebörd i de nya författningarna. Mot bakgrund av vissa lagtekniska aspekter av den nuvarande regleringen av folkbokföringsdatabasen lämnas dock vissa särskilda förslag för folkbokföringsverksamheten. Våra överväganden i detta kapitel avser myndigheternas verksamheter som anges ovan. Myndigheternas verksamhet med dataanalyser och urval behandlas dock särskilt i kapitel 14. Frågor som rör Skatteverkets verksamhet med det statliga personadressregistret, SPAR, samt Skatteverkets verksamhet med äktenskapsregistret och bouppteckningar behandlas särskilt i kapitel 16 och kapitel 17.
9.2 Databasreglering och dataskydd
9.2.1 Databasbegreppets bakgrund
Olika betydelse beroende på sammanhang
Enligt Svensk Ordbok (2021) är ordet databas belagt sedan 1960-talet och betyder en större samling uppgifter som finns lagrade på systematiskt sätt i datamaskin så att enskilda uppgifter snabbt kan hittas, t.ex. genom sökning per kategori. I 1 kap. 2 § yttrandefrihetsgrundlagen, YGL, definieras databas som en samling av information lagrad för automatiserad behandling. I det sammanhanget betyder databas dock i princip detsamma som ordet webbplats. Det ställs inte upp några krav på att en databas behöver innehålla kvalificerad eller väl strukturerad information för att omfattas av definitionen, och information som finns på internet träffas 2 normalt av begreppet. I rent tekniska sammanhang avser databasbegreppet i dag oftast s.k. relationsdatabaser som består av ett antal tabeller som har en inbördes relation till varandra. Informationen sparas som poster i
2 Axberger, Yttrandefrihetsgrundlagen (1991:1469), 1 kap. 2 §, Karnov (JUNO) [hämtad 2023-08-31].
557Databasregleringen
rader inuti tabellerna och för att söka fram information eller ändra i informationen används s.k. SQL, Structured Query Language. 3 Ordet databas kan därmed ha olika betydelse beroende på i vilket sammanhang det förekommer, men avser i regel någon slags digitaliserad informationshantering. I registerförfattningar och annan dataskyddsreglering avser begreppet databas, eller liknande begrepp som uppgiftssamling eller gemensamt tillgängliga uppgifter, ofta en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i en verksamhet. En dataskyddsrättslig reglering av en databas behöver alltså inte avse en uppgiftssamling som är avgränsad tekniskt. 4 I dessa sammanhang är databas i stället ofta ett rent juridiskt begrepp. I viss dataskyddsreglering förekommer bestämmelser som avser sådana mer regelrätta register som har karaktären av en teknisk databas. Dessa bestämmelser föreskriver ofta att ett register ska föras för vissa avgränsade ändamål. Regleringen av det statliga personadressregistret, SPAR, är ett sådant exempel (se avsnitt 16.4.1). Redogörelsen i avsnitten nedan avser inte sådana register som fyller en särskild och avgränsad funktion, likt SPAR, utan avser myndigheters interna uppgiftssamlingar.
Personregister och datalagen
Datalagen
I datalagen (1973:289) användes begreppet personregister som utgångspunkt för regleringen. Med personregister avsågs enligt 1 § datalagen register, förteckning eller andra anteckningar som fördes med hjälp av automatisk databehandling och som innehöll personuppgift som kunde hänföras till den som avsågs med uppgiften. Varje sammanställning av personuppgifter med hjälp av automatisk databehandling ansågs under datalagen innebära att ett personregister hade inrättats. 5 I förarbetena till datalagen konstaterades att med ADB-teknik, dvs. automatisk databehandlingsteknik, var det i princip möjligt att utföra alla tänkbara åtgärder för hantering av uppgifter. Departements-
3 Luleå tekniska universitet, webbsida, Vad är en databas? Tillgänglig: https://www.ltu.se/centres/2.39556/Vad-ar-en-databas-1.43398 [hämtad 2023-08-31]. 4 Prop. 2022/23:43, Utbetalningsmyndigheten, s. 138. 5 Jfr Ds 2001:67, Behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, s. 17.
558Databasregleringen
chefen bedömde att ADB-tekniken hade medfört en radikal omvandling av informationsbehandlingen och kommit att få en sådan betydelse att den inte längre kunde undvaras. 6 Frågan om ADB-teknikens inverkan på enskilda människors privatliv hade dock väckt en livlig debatt. Det hade bl.a. förts fram att riskerna för en otillbörlig inblandning i enskildas privatliv hade ökat väsentligt genom ADBteknikens utveckling, vilket departementschefen instämde i. Departementschefen uttalade dock att den enskildes rätt att bli lämnad i fred aldrig kunde vara absolut och i ett utvecklat samhälle kunde man inte undvara personinformationssystem som gav underlag för beslut inom bl.a. förvaltningen. Det behövdes dock vissa spärrar som garanterade att den enskildes privatliv inte skadades på ett otillbörligt sätt. Regler om tillståndsprövning och tillsyn samt andra bestämmelser om dataregistrering skulle därför tas in i en särskild lag, datalagen. Departementschefen betonade att varje reglering som infördes på datahanteringsområdet behövde ses som ett provisorium. Det var fråga om lagstiftning på ett helt nytt område och om erfarenheten visade att regleringen i något avseende blev onödigt betungande eller hämmande för utvecklingen behövde ändringar och kompletteringar kunna 7 genomföras. Utgångspunkten i datalagen var att bara den som anmält sig till Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) och 8 fått licens för det skulle få inrätta och föra personregister. I samband med att ett sådant tillstånd lämnades skulle Datainspektionen också meddela föreskrift om ändamålet med registret, och om sär- 9 skilda skäl förelåg fick tillståndet begränsas till viss tid. För att få inrätta och föra känsliga register krävdes dessutom ett särskilt tillstånd från Datainspektionen. Ett sådant tillstånd behövdes i regel för att inrätta och föra register med uppgifter om brott och brottsmisstankar, uppgifter om hälsotillstånd eller sexualliv, omdömen om den registrerade eller personuppgifter som hämtats från något annat register. 10
6 Prop.1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 68. 7 Prop.1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 89 och 92. 8 2 § datalagen. 9 5 § datalagen. 10 4 § datalagen.
559Databasregleringen
Om ett personregister beslutats av riksdagen eller regeringen krävdes dock inget tillstånd. 11 Datainspektionen skulle enligt datalagen, i den mån det behövdes för att förebygga risk för otillbörligt intrång i personlig integritet, meddela föreskrifter för tillståndsgivna register. Föreskrifterna skulle i dessa fall avse bl.a. inhämtande av uppgifter för personregistret, vilka personuppgifter som fick ingå i personregistret, utförandet av den automatiska databehandlingen, den tekniska utrustningen, de bearbetningar av personuppgifterna i registret som fick göras med automatisk databehandling och de personuppgifter som fick göras tillgängliga. 12
Registerlagar
Under datalagens giltighetstid reglerades ofta myndigheters personregister i särskilda lagar och dessa personregister krävde inte särskilt tillstånd från Datainspektionen. Lagstiftaren tog då ofta över Datainspektionens roll genom att detaljerat ange bl.a. vilka uppgifter som fick finnas i registret. För skatteförvaltningen fanns bl.a. skatteregisterlagen (1980:343). I 1 § skatteregisterlagen föreskrevs att det för vissa angivna ändamål, bl.a. revision och annan kontrollverksamhet samt redovisning, bestämmande och betalning av skatt, med hjälp av automatisk databehandling skulle föras ett centralt skatteregister för hela riket och ett regionalt skatteregister för varje region. För Tullverkets del var informationshanteringen länge helt manuell. 13 Under år 1990 utfärdades dock tullregisterlagen (1990:137) som föreskrev att Tullverket fick föra ett tullregister med hjälp av automatisk databehandling som bl.a. fick användas för fastställande, uppbörd, och redovisning av tull, annan skatt och avgifter som skulle betalas till Tullverket och fullgörande av övervaknings-, kontroll- och revisionsuppgifter inom Tullverkets område, 1 och 2 §§ tullregisterlagen. För informationshantering inom exekutionsväsendet för bl.a. verkställighet enligt utsökningsbalken skulle det enligt 1 § utsökningsregisterlagen (1986:617) med hjälp av automatisk databehandling föras
11 2 a § datalagen. 12 6 § datalagen. 13 Prop. 1989/90:40, om tullregisterlag m.m., s. 10.
560Databasregleringen
dels ett för hela landet gemensamt utsökningsregister (det centrala utsökningsregistret), dels ett regionalt utsökningsregister för varje region.
Personuppgiftslagen
Genom personuppgiftslagen (1998:204), PUL, upphävdes datalagen. I förarbetena uttalade regeringen att utvecklingen inom informationstekniken hade gått rasande fort och inget talade för att den skulle komma att hejdas eller mattas inom den närmaste framtiden. Den nya teknikens möjligheter kunde enligt regeringen lätt användas på sätt som inte borde tolereras i ett demokratiskt samhälle, och individen kunde därför kräva ett skydd mot integritetskränkningar av samhället. Enligt regeringen behövde dock också beaktas de helt legitima behov av att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det dåvarande. I varje välfärdssamhälle med sociala ambitioner var det enligt regeringen nödvändigt att i viss utsträckning använda personanknuten information. 14 I betänkandet Integritet Offentlighet Informationsteknik (SOU 1997:39) hade Datalagskommittén redogjort för två olika sätt att reglera dataskyddsfrågor. Regleringen kunde antingen ske genom en missbruksmodell, dvs. reglering av sådant utnyttjande av personuppgifter som kunde karaktäriseras som ett missbruk, eller en hanteringsmodell, dvs, reglering av själva hanteringen av personuppgifter. 15 Enligt kommittén syntes dock vid tidpunkten en sträng hanteringsmodell dömd att misslyckas. Risken var enligt kommittén uppenbar att till och med myndigheter skulle komma att bortse från delar av regleringen. 16 Mot bakgrund bl.a. av vad som krävdes enligt 1995 års 17 dataskyddsdirektiv var dock kommittén av den åsikten att hanteringsmodellen var att föredra. 18 Även regeringen ansåg att det inte var möjligt att uppfylla skyldigheten att genomföra direktivet på annat sätt än genom att införa en lagstiftning av hanteringsmodell. Enligt regeringen framstod emel-
14 Prop. 1997/98:44, Personuppgiftslag, s. 30. 15 SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 179. 16 SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 183. 17 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 18 SOU 1997:39, Integritet Offentlighet Informationsteknik, s. 189–191.
561Databasregleringen
lertid en sådan lagstiftning som inte särskilt modern. Regeringen uttalade också att mycket av den användning av personuppgifter som den alltmer genomgripande datoriseringen har medfört borde betraktas som harmlös. Enligt regeringen fanns det därför starka skäl för att verka för att det skulle bli möjligt att gå ifrån en lagstiftning av hanteringsmodell, och Sveriges inflytande i EU skulle utnyttjas för 19 att påverka i denna riktning. Utgångspunkten i personuppgiftslagen var att behandling av personuppgifter skulle vara tillåten i de fall och på de villkor lagen an- 20 gav. Det tidigare licens- och tillståndsförfarandet avseende personregister avskaffades därmed också och myndigheter kunde därför behandla personuppgifter direkt med stöd av personuppgiftslagen. I personuppgiftslagen användes inte begreppet register över huvud taget för olika samlingar av uppgifter. Däremot uttalade regeringen i lagens förarbeten att det inom den offentliga sektorn ofta förekom stora mängder känsliga uppgifter och uppgifter som hade hämtats in med stöd av straffsanktionerad uppgiftsplikt. Därför var det särskilt viktigt med ett starkt integritetsskydd när det gällde uppgifter inom all offentlig verksamhet. Myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skulle därför som utgångspunkt regleras särskilt i lag, liksom tidigare. 21
9.2.2 Databaser och uppgiftssamlingar
En modernare form av registerlag
När datalagen ersattes av personuppgiftslagen kom också vissa äldre registerlagar, som hade införts när datalagen gällde, att ersättas av en modernare variant av registerlag. Även de äldre registerlagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten kom att ersättas av en modernare form av registerlag, se avsnitt 9.3.1 nedan. Trots att det inte längre fanns ett krav på tillstånd och licens från Datainspektionen, eller beslut av riksdag eller regering, för att en myndighet skulle få behandla personuppgifter automatiserat ansågs det i flera fall ändå finnas ett behov av att särskilt reglera myndig-
19 Prop. 1997/98:44, Personuppgiftslag, s. 36. 20 Prop. 1997/98:44, Personuppgiftslag, s. 64. 21 Prop. 1997/98:44, Personuppgiftslag, s. 41.
562Databasregleringen
heters uppgiftssamlingar, och begreppet databas började då användas. Som framgår ovan hade regeringen i samband med personuppgiftslagens införande också uttalat att myndigheters register borde regleras särskilt i lag även efter personuppgiftslagens ikraftträdande. Att en myndighets databas eller motsvarande skulle eller fick finnas reglerades därför ofta i lagform. Vilka uppgifter som fick ingå i databaser, uppgiftssamlingar eller register reglerades dock normalt i förordning och inte i lag. 22 I samband med att förslaget om en ny lag om behandling av personuppgifter inom socialförsäkringens administration, som skulle ersätta socialförsäkringsregisterlagen (1997:934), uttalade regeringen exempelvis att särskilda författningar som reglerar särskilt känsliga behandlingar av personuppgifter innebar bättre förutsättningar för en ändamålsenlig utformning av integritetsskyddet. 23 Regeringen ansåg även att det fanns ett behov av att särskilt kunna reglera sådan automatiserad behandling av personuppgifter som innebar att fler än ett fåtal personer hade sådan tillgång till uppgifterna att de förutom att ta del av dem även kunde bearbeta dem eller förfoga över dem på annat sätt. Sådan behandling av personuppgifter var enligt regeringen typiskt sett mer integritetskänslig än när endast en enstaka person förfogade över uppgifterna. Begreppet databas skulle användas som centralt begrepp, och det avgörande för om en uppgift användes gemensamt i en verksamhet, och därmed utgjorde en beståndsdel i en databas, skulle vara om den behandlades på ett sätt som medförde att den utgjorde ”allmän egendom” i verksamheten. 24 Även inom den arbetsmarknadspolitiska verksamheten infördes under 2002 begreppet databas som en juridisk beteckning för vissa fastställda automatiserade uppgiftssamlingar. Databasregleringen ersatte lagen (1994:459) om arbetsförmedlingsregister. Databasbegreppet avsåg enligt regeringen sådana uppgiftssamlingar som skulle användas gemensamt inom verksamheten och för vilka särskilda regler skulle gälla beträffande känsliga och ömtåliga personuppgifter. 25 Reger-
22 Jfr exempelvis 4 § i den numera upphävda förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, 2 § förordningen (2003:766) om behandling av personuppgifter inom socialförsäkringens administration och 3–5 §§ förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. 23 Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 39. 24 Prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens administration, s. 47–48. 25 Ds 2001:67, Ny lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, s. 34.
563Databasregleringen
ingen uttalade att av integritetsskäl borde stora uppgiftssamlingar som hanterades av myndigheter, och som gav möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler. Särskilda bestämmelser skulle därför gälla för behandling av uppgifter i databaser i den arbetsmarknadspolitiska verksamheten, exempelvis avseende vilka uppgifter som skulle få behandlas i databasen, vilken åtkomst bl.a. myndigheter skulle ha till uppgifterna samt vad som gällde vid bevarande och gallring. 26
9.2.3 Dataskyddsförordningen och reglering av myndigheters
uppgiftssamlingar efter 2018
EU:s dataskyddsförordning
Den primära rättskällan för dataskydd
EU:s dataskyddsförordning är sedan den började tillämpas den 25 maj 2018 den primära generella rättskällan avseende dataskydd inom EU. Dataskyddsförordningen innehåller inga bestämmelser som särskilt avser myndigheters uppgiftssamlingar, register eller databaser. Däremot innehåller den fler bestämmelser, som dessutom i många fall ställer högre krav på personuppgiftsansvariga, än 1995 års dataskyddsdirektiv och personuppgiftslagen gjorde, se avsnitt 5.2.2.
Rättslig grund för behandling
För att behandling av personuppgifter över huvud taget ska vara laglig krävs att något av de villkor som anges i artikel 6.1 i dataskyddsförordningen är uppfyllda. De villkor som oftast blir aktuella för offentliga aktörer är de som framgår av artikel 6.1 c och e, dvs. behandling som är nödvändig på grund av en rättslig förpliktelse eller på grund av en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Behandling som grundar sig på en rättslig förpliktelse som den personuppgiftsansvarige har att utföra, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, måste som utgångpunkt ha en grund i unionsrätten eller i en medlemsstats nationella rätt. Enligt dataskyddsförord-
26 Ds 2001:67, Ny lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, s. 42.
564Databasregleringen
ningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter. 27 Unionsrätten eller den nationella rätten måste enligt dataskyddsförordningen även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 28 I 2 kap. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, anges i vilka situationer personuppgifter får behandlas av svenska myndigheter med stöd av artikel 6.1 c och e i dataskyddsförordningen. Såvitt här är aktuellt är det sammanfattningsvis endast om behandlingen är nödvändig för att utföra de uppgifter som myndigheten har och som framgår av lag eller annan författning, eller av beslut som har meddelats med stöd av lag eller annan författning.
Uppgiftsminimering
En av dataskyddsförordningen grundläggande principer för behandling är principen om uppgiftsminimering, artikel 5.1 c, som innebär att de uppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt skäl 39 till dataskyddsförordningen måste varje behandling av personuppgifter dessutom bl.a. vara rättvis, begränsad till vad som är nödvändigt för de ändamål som uppgifterna behandlas för och endast utföras om syftet med behandlingen inte rimligen kan uppnås genom andra medel. Prövningen av vilka uppgifter som enligt principen om uppgiftsminimering får behandlas är knuten till ändamålen med behandlingen. Kravet på att all behandling måste ha en rättslig grund innebär att den materiella och processuella regleringen som styr en myndighets verksamhet också styr för vilka ändamål myndigheten får behandla personuppgifter (jfr avsnitt 8.2.1). Eftersom de uppgifter som får behandlas måste vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen, som i sin tur begränsas av den materiella och processuella verksamhetsregleringen, finns det följaktligen en nära koppling mellan den rättsliga grunden och de personuppgif-
27 Skäl 47 till dataskyddsförordningen. 28 Artikel 6.3 i dataskyddsförordningen.
565Databasregleringen
ter som en myndighet får behandla. Annorlunda uttryckt får en myndighet enligt dataskyddsförordningen inte behandla fler eller andra personuppgifter än vad som behövs för att utföra sin författningsreglerade verksamhet. Dataskyddsförordningens bestämmelser tillåter inte att en myndighet samlar in personuppgifter för obestämda framtida behov, för att uppgifterna kan komma till nytta i framtiden eller för att skaffa fram information om förhållanden som saknar betydelse för, eller är överflödiga i förhållande till, myndighetens behov av att kunna utföra sin författningsreglerade verksamhet. Dataskyddsförordningen innehåller även ett krav på att integritetsskydd byggs in i de tekniska system som används för behandling av personuppgifter, uttryckt genom kravet på inbyggt dataskydd och dataskydd som standard (artikel 25). Kraven enligt artikel 25 innebär bl.a. att personuppgiftsansvariga myndigheter är skyldiga att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska åtgärderna säkerställa att personuppgifter inte görs tillgängliga för ett obegränsat antal fysiska personer (artikel 25.2). För att kunna visa att dataskyddsförordningens bestämmelser följs bör en personuppgiftsansvarig enligt skäl 78 till dataskyddsförordningen anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bl.a. bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras och att den personuppgiftsansvarige vidtar åtgärder för att kunna skapa och förbättra säkerhetsanordningar. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar. I avsnitt 11.5.3 lämnas en utförligare redogörelse för de krav som artikel 25 ställer upp på den personuppgiftsansvariga.
566Databasregleringen
Övriga bestämmelser som är relevanta för myndigheters databaser
Enligt artikel 24 har den personuppgiftsansvariga ett ansvar att, med beaktande av bl.a. behandlingens art och omfattning samt riskerna för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningens bestämmelser. Det innebär att en myndighet måste vidta tekniska och organisatoriska åtgärder med hänsyn bl.a. till vilka och hur många uppgifter som behandlas. För att visa att datskyddsförordningens bestämmelser följs ska personuppgiftsansvariga också föra register över behandling som sker under deras ansvar (skäl 82 till förordningen). Av artikel 30.1 framgår att registret ska innehålla bl.a. en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter. Av artikel 30.4 framgår att den personuppgiftsansvariga ska göra registret tillgängligt för tillsynsmyndigheten. Personuppgiftsansvariga ska enligt artikel 32.1 också vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till riskerna med behandlingen för fysiska personers rättigheter och friheter, bl.a. utifrån behandlingens art, omfattning, sammanhang och ändamål. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, särskilt till risken för bl.a. obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas, artikel 32.2. Enligt artikel 32.4 ska personuppgiftsansvariga som utgångspunkt också vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges överinseende endast behandlar personuppgifter på instruktion från den personuppgiftsansvariga. Det innebär att myndigheterna har en skyldighet att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig bl.a. utifrån vilka och hur många uppgifter som behandlas samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna, samt se till att medarbetare inte behandlar personuppgifter på ett sätt som är omotiverat utifrån deras arbetsuppgifter. Enligt artikel 35.1 ska den personuppgiftsansvariga också göra en konsekvensbedömning om en behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter och friheter. Vid denna bedömning ska personuppgiftsansvariga bl.a. göra en bedömning av
567Databasregleringen
behovet av och proportionaliteten hos behandlingen i förhållande till syftena med den, och de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att bl.a. kunna visa att dataskyddsförordningens bestämmelser efterlevs (artikel 35.7 b och d). I avsnitt 11.7.3 redogörs närmare för förfarandet vid konsekvensbedömningar och kravet på samråd med IMY enligt artikel 36 i dataskyddsförordningen.
Särskild reglering av uppgiftssamlingar även efter 2018
Även efter att dataskyddsförordningen och dataskyddslagen började tillämpas har automatiserade uppgiftssamlingar i den offentliga sektorn ansetts behöva regleras särskilt. Exempelvis uttalade regeringen i förarbetena till bestämmelserna om det s.k. transaktionskontoregistret i lagen (2023:457) om personuppgiftsbehandling vid Utbetalningsmyndigheten att en reglering av formen för behandlingen vid myndighetens fullgörande av uppgiften att administrera systemet med transaktionskonto var lämplig. Motiveringen var bl.a. att myndigheten på ett ordnat sätt skulle kunna organisera och få en överblick över de utbetalningar som myndigheten administrerar. Enligt regeringen framstod begreppet register som lämpligt för uppgiftssamlingen. Däremot ansåg regeringen att det inte fanns skäl att i lag ange närmare vilka slags uppgifter som registret skulle få innehålla, då det varken var nödvändigt utifrån ett integritetsperspektiv eller var möjligt att göra. 29 Också för dataanalyser och urval skulle Utbetalningsmyndigheten enligt regeringen föra en uppgiftssamling, benämnd uppgiftssamlingen för dataanalyser och urval. Regeringen konstaterade att ett stort antal och även känsliga uppgifter behövde behandlas för dataanalyser och urval, och att uppgifterna skulle hämtas in från andra myndigheter och aktörer samt från transaktionskontoregistret. Regeringen bedömde därför att det med hänsyn till omfattningen och uppgifternas karaktär fanns ett behov av en strukturerad samling av uppgifter som satte upp gränser för vilka uppgifter som fick användas. 30 Regeringen ansåg även att särskilda skyddsåtgärder borde införas för den aktuella behandlingen. 31 Av 3 kap. 2 § lagen om personuppgifts-
29 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 138–139. 30 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 143. 31 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 146.
568Databasregleringen
behandling vid Utbetalningsmyndigheten framgår att endast de personuppgifter som behövs för att göra dataanalyser och urval får behandlas i uppgiftssamlingen, och att personuppgifterna som behandlas för att göra dataanalyser och urval inte får behandlas någon annanstans än i uppgiftssamlingen. Regeringen har även bedömt att närmare reglering av vilka uppgifter som får behandlas i uppgiftssamlingen är motiverad. Sådan reglering har införts i 8 § förordningen om (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten. Även för Myndigheten för arbetsmiljökunskap ansåg regeringen att det fanns skäl att särskilt reglera de uppgiftssamlingar som skulle förekomma inom myndigheten. Regeringen konstaterade i förarbetena till lagen (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap att samlingar av stora mängder personuppgifter som bevaras över en längre tid oundvikligen var förenade med risker för intrång i den personliga integriteten. Därför borde samlingarna vara omgärdade av särskilda säkerhetsåtgärder. 32 Att myndigheters uppgiftssamlingar regleras särskilt är dock inte utan undantag, även när det gäller mycket omfattande behandling som också omfattar känsliga personuppgifter. Exempelvis finns inte någon särskilt reglering av uppgiftssamlingar i utlänningsdatalagen (2016:27) eller domstolsdatalagen (2015:728). I sammanhanget kan även nämnas att Försäkringskassan och Pensionsmyndigheten hemställt om att särregleringen av socialförsäkringsdatabasen, dvs. den databas som i dag regleras särskilt i 114 kap. socialförsäkringsbalken, ska upphävas. Förslaget har remitterats och nyligen lagts fram i en proposition. 33 34 Det kan också nämnas att lagrådet har lämnat förslaget utan erinran.
32 Prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap, s. 34. 33 Prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 27. 34 Lagrådet, utdrag ur protokoll vid sammanträde 2023-09-27, tillgängligt: https://www.lagradet.se/wp-content/uploads/2023/09/En-modern-dataskyddsreglering-pasocialforsakringsomradet-1.pdf [hämtad 2023-09-30].
569Databasregleringen
9.3 Befintlig databasreglering för Skatteverkets
beskattnings- och folkbokföringsverksamheter,
Tullverket och Kronofogdemyndigheten
9.3.1 Bakgrund
Databaser ersatte personregister
Reformbehovet
Som framgått av avsnitt 9.2.1 reglerades personuppgiftsbehandling inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och nuvarande Kronofogdemyndigheten före 2001 i ett flertal olika registerlagar. Regeringen konstaterade i förarbetena till nuvarande reglering att de äldre registerlagarna innehöll detaljerade bestämmelser om bl.a. vilka uppgifter som fick finnas i registren. 35 Ett exempel var skatteregisterlagen som på grund av den höga graden av detaljreglering hade ändrats vid ett femtiotal tillfällen sedan 1980. Enligt regeringen var lagen vid tidpunkten såväl svåröverskådlig som svårtillämpad. Den lagstiftning som skulle reglera användandet av datorstöd i framtiden behövde enligt regeringen i stället vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågick. En reglering av t.ex. det närmare innehållet skulle bli mycket detaljerad och ändringar i den materiella lagstiftningen kunde enligt regeringen ofta få konsekvenser för vilka uppgifter som skulle registreras. 36 Att helt undvika reglering av vilka uppgifter som fick behandlas kunde dock leda till oklarheter och svårigheter för de tillämpande myndigheterna. I lagarna borde därför anges de yttre ramarna för vad registret fick innehålla. I vissa fall, t.ex. i fråga om folkbokförings-
35 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99 Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fungera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhetsområde. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Kronofogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m. 36 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84.
570Databasregleringen
verksamheten, kunde det dock vara motiverat att uttömmande reglera innehållet i lag. 37 Regeringen konstaterade dock att det traditionella registerbegreppet vid flera tillfällen hade kritiserats och ansåg att det inte längre var ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Begreppet register var inte heller så väl lämpat att användas som beteckning för det samlade datasystemet hos myndigheter som tillämpade elektronisk ärendehantering. I ett sådant system lagrades inkomna handlingar i ett ärende i en elektronisk akt efter att ha lästs av genom s.k. skanning eller sänts in av den enskilde i elektronisk form. Handlingar som upprättades i ärendet framställdes genom automatiserad behandling och lagrades även huvudsakligen i elektronisk form. Begreppet register borde enligt regeringen på detta område förbehållas sådana automatiserade uppgiftssamlingar som faktiskt utgjorde register i strikt betydelse, nämligen när uppgifter var organiserade på ett systematiskt sätt enligt fastställda kriterier. Databas hade enligt regeringen rent språkligt en mer naturlig anknytning till automatiserade sammanställningar i allmänhet och hade den fördelen att det inte tekniskt avgränsade hur en samling uppgifter var uppbyggd eller orga- 38 niserad. Begreppet databas skulle införas som en juridisk beteckning på vissa fastställda automatiserade uppgiftssamlingar som skulle användas gemensamt inom en verksamhet och för vilka särskilda regler skulle gälla. Definitionen hade enligt regeringen även den fördelen att den inte tekniskt avgränsade hur en samling uppgifter var uppbyggd eller organiserad. Det innebar att om flera register – i egentlig bemärkelse – var sammanlänkande och samtliga uppgifter i de olika registren på ett gemensamt sätt var tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så utgjorde dessa register en databas. En databas kunde alltså innehålla flera mindre databaser, varav en del kunde vara regelrätta register. Från integritetssynpunkt var det dock enligt regeringen viktigt att stora uppgiftssamlingar som hanterades av myndigheter och som gav möjligheter till sammanställningar av en rad olika uppgifter om enskilda personer, omgärdades av särskilda skyddsregler. För behandling av uppgifter i
37 Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 85. 38 Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 88–91.
571Databasregleringen
databaser skulle därför särskilda bestämmelser gälla på en rad punkter, bl.a. i fråga om vilka uppgifter som fick behandlas. 39 Även vad gällde elektroniska handlingar skulle särskilda bestäm- 40 melser gälla. När det gällde behandlingen av känsliga uppgifter behövde det enligt regeringen göras en åtskillnad mellan behandling av uppgifter i elektroniska handlingar i ärendehanteringssystem och annan behandling. Vid registrering av mer traditionell karaktär, dvs. när uppgifter registrerades för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften hos en myndighet, skulle känsliga personuppgifter och uppgifter om lagöverträdelser m.m. få behandlas i en databas endast om det var särskilt angivet i den lag som reglerade behandlingen av personuppgifter. 41
Skatteverkets beskattningsverksamhet
Uppgiftskategorierna för beskattningen borde enligt regeringen ange vad som fick behandlas i den informationsbaserade delen av databasen, dvs. uppgifter som då fanns i det centrala skatteregistret eller register som fördes med tillstånd av Datainspektionen. Regeringen eller den myndighet regeringen bestämde skulle kunna ge de närmare föreskrifter om innehållet som behövdes. Enligt regeringen skulle de primära ändamålen vara styrande och uppgifter som inte behövdes för de primära ändamålen skulle inte få finnas i databasen. En grundläggande förutsättning för att en uppgift över huvud taget skulle få behandlas i databasen var därmed att den behövdes för beskattnings- 42 verksamheten. De uppgifter som skulle få finnas i beskattningsdatabasen var samtliga uppgifter som då fanns i olika författningsreglerade eller tillståndspliktiga register inom skatteförvaltningens beskattningsverksamhet samt sådana ytterligare uppgifter som kunde bli nödvändiga att registrera i framtiden. Samtliga uppgifter som skattemyndigheterna
39 Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 88. 40 Enligt regeringen avsågs med elektroniska handlingar beslut och andra handlingar som upprättats i elektronisk form av skattemyndigheterna, de deklarationer som lämnats in i elektronisk form till myndigheterna samt de inkomna pappersbaserade handlingar som bildfångats, dvs. avbildats elektroniskt, se prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 63. Elektroniska handlingar ska alltså i sammanhanget inte förstås som synonymt med upptagningar för automatiserad behandling i enlighet med 2 kap. 3 § tryckfrihetsförordningen, vilket är Riksarkivets definition, se 2 kap. 1 § RA-FS 2009:1. 41 Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101. 42 Prop. 2000/01: 33, Behandling av personuppgifter inom skatt, tull och exekution, s. 128. De ändamål som regeringen föreslog framgår av avsnitt 8.3.1.
572Databasregleringen
behövde för att vid ärendehantering få tillgång till nödvändig information eller för att beslut om debitering eller återbetalning av skatter och avgifter m.m. skulle kunna fattas skulle få behandlas i databasen. Utöver det skulle även beslut få registreras i databasen med angivande av skälen för beslutet, liksom yrkande och grunder i ett ärende. När uppgifter om yrkanden, grunder och beslut m.m. fördes in i databasen på annat sätt än i elektroniska handlingar, skulle de emellertid inte få omfatta känsliga personuppgifter. Behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelsen i den informationsbaserade delen av databasen borde enligt regeringen regleras i lag i detalj och motsvara vad som redan gällde vid tidpunkten. 43 För att täcka in uppgifter som behandlades av andra skäl än beskattning på grund av att Sverige gentemot exempelvis EU var förpliktigat att hantera viss information, skulle behandling i databasen få ske av uppgifter som behövdes för fullgörande av ett åliggande som följde av ett för Sverige bindande internationellt åtagande. 44
Skatteverkets folkbokföringsverksamhet
Regeringen konstaterade att inom folkbokföringsverksamheten var förändringstakten förhållandevis låg i fråga om vilka uppgifter om fysiska personer som behövde behandlas på automatiserad väg i den informationsbaserade delen av databasen. Den uppräkning av uppgifter som då fanns i lagen (1990:1536) om folkbokföringsregister var dessutom både begränsad till sin omfattning och av central betydelse i folkbokföringsverksamheten. Regeringen ansåg därför att de uppgifter som fick behandlas på samma sätt som tidigare skulle anges direkt i lag. Bestämmelserna om vilka uppgifter databasen fick innehålla borde i stort sett oförändrade föras över från de befintliga bestämmelserna. I folkbokföringsdatabasen skulle också uppgifter om yrkande, grunder och beslut i ett ärende samt andra uppgifter som behövdes för handläggningen av ett ärende få behandlas. Motsvarande uppgifter registrerades då i stor utsträckning i de handläggningsregister som fördes enligt förordningen (1991:750) om folkbokföringsregister. 45
43 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129. 44 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 130. 45 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141.
573Databasregleringen
När sådana uppgifter behandlades på annat sätt än i elektroniska handlingar skulle dock begränsningar i fråga om vilka känsliga personuppgifter m.m. som fick behandlas gälla. De uppgifter som registrerades i det särskilda handläggningsregistret enligt förordningen om folkbokföringsregister m.m. skulle även fortsättningsvis få behandlas, eftersom det var uppgifter som behövdes för handläggning av ärenden. Vilka övriga uppgifter som skulle få behandlas för handläggningen av ärenden borde regleras i förordning, framför allt uppgifter om personer som aldrig varit folkbokförda. 46 Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skulle i princip endast få behandlas i elektroniska handlingar i ärendehanteringssystem. Känsliga personuppgifter m.m. som i andra fall skulle få behandlas i databasen borde enligt regeringen regleras uttryckligt i lag. För folkbokföringsdatabasens del saknades dock enligt regeringen anledning att behandla andra sådana uppgifter än de som ingick i den från lagen om folkbokföringsregister överflyttade uppräkningen av uppgifter som fick behandlas i databasen. 47
Tullverket
Regeringen konstaterade att i tullregisterlagen angavs endast ramarna för vilka uppgifter som fick finnas i registret, vilket överensstämde med vad som föreslogs i fråga om skatteförvaltningens och kronofogdemyndigheternas verksamhet. Då gällande bestämmelser borde mot den bakgrunden överföras till den nya lagen. För att täcka in vissa uppgifter som behandlades av andra skäl än de som omfattades av Tullverkets ordinarie verksamhet på grund av att Sverige gentemot exempelvis EU var förpliktigat att hantera viss information skulle även anges att behandling fick ske i databasen av uppgifter som behövdes för fullgörande av ett åliggande som följde av ett för Sverige bindande internationellt åtagande. Eftersom det inte kunde uteslutas att känsliga personuppgifter kunde förekomma i en handling som gavs in av en enskild borde även sådana uppgifter få behandlas i databasen, om de fanns i en handling som hade kommit in till eller upprättats av Tullverket. 48
46 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141–142. 47 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 142. 48 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 178.
574Databasregleringen
Kronofogdemyndighetens databaser
För den särskilda behandlingen i databaser inom Kronofogdemyndigheten ansåg regeringen att det fanns anledning att reglera de olika verksamhetsområdena för sig. I fråga om ändamålen med och vilka uppgifter som skulle få behandlas i en databas var skillnaderna i vissa avseenden så stora att lagstiftningen annars hade blivit svåröverskådlig. Regeringen ansåg därför att behandlingen av personuppgifter i kronofogdemyndigheternas verksamhet skulle delas in i olika databaser för utsökning och indrivning, betalningsföreläggande och handräckning, skuldsanering och konkurstillsyn. 49
Utsöknings- och indrivningsdatabasen
Uppgiftskategorierna som skulle anges i lag avsåg det som fick behandlas i den informationsbaserade delen av databasen, dvs. uppgifter som redan registrerades i det s.k. centrala utsökningsregistret. En grundläggande förutsättning för att en uppgift över huvud taget skulle få behandlas var att den behövdes för de primära ändamålen med databasen. 50 Grundläggande uppgifter om enskilda som behövdes för att den exekutiva verksamheten skulle fungera behövde få registreras, bl.a. uppgifter om personnummer, namn, adress samt uppgifter om civilstånd och hemmaboende barn. Även information om en svarandes och eventuella familjemedlemmars ekonomi var enligt regeringen av avgörande betydelse. I vissa fall krävdes att även andra uppgifter om egendom behandlades, exempelvis uppgifter om namn m.m. på panträttshavare och hyresgäster. Yrkande och grunder samt beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende skulle också få registreras i databasen. De uppgifterna skulle i stor omfattning komma att återfinnas i elektroniska handlingar i ärendehanteringssystemen, men uppgifter om beslut m.m. behövde enligt regeringen kunna återfinnas i databasen utan att en handläggare hade tillgång till den elektroniska akten i det aktuella ärendet. När uppgifter om yrkanden, grunder och beslut m.m. fördes in i databasen på annat sätt än i elektroniska handlingar, fick de dock inte omfatta känsliga person-
49 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 157–158. 50 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 160. De ändamål som regeringen föreslog skulle gälla för nuvarande Kronofogdemyndighetens respektive databaser framgår av avsnitt 8.3.1.
575Databasregleringen
uppgifter m.m. När det var nödvändigt att få tillgång till ett beslut som innehöll känsliga uppgifter och övriga handlingar i ett ärende, borde detta enligt regeringen tas fram genom ärendehanteringssystemet. Möjligheten att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. borde dock enligt regeringen uttömmande regleras i lag. I den exekutiva verksamheten fanns behov av att behandla främst uppgifter om böter eller skadestånd på grund av brott i de fall dessa utgjorde grunden för en begäran om verkställighet. Även uppgifter om att det hos åklagare hade anmälts misstanke om brott behövde behandlas. I lagen skulle det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar. 51
Betalningsföreläggande-och handräckningsdatabasen
Regeringen konstaterade att de dåvarande betalningsföreläggandeoch handräckningsregistren i första hand var avsedda som hjälpmedel vid målhanteringen och att innehållet i dem var anpassat efter det. I registren fick finnas identifieringsuppgifter gällande parterna samt övriga förhållanden som var av betydelse för delgivningsförfarandet. Registren fick även innehålla uppgifter som var direkt knutna till målhanteringen, bl.a. målnummer, inkomstdag, saken, yrkanden och grunder, handlingar som kommit in eller skickats ut i målen, delgivning, frister, beslut i målet samt annat som tillförts målet och som var av betydelse för handläggningen. I likhet med vad som föreslogs i fråga om utsöknings- och indrivningsdatabasen borde det enligt regeringen i lag endast anges vilka kategorier av uppgifter som skulle få behandlas i den informationsbaserade databasen. Databasens innehåll borde enligt regeringen i huvudsak motsvara vad som då gällde enligt lagen (1991:876) om register för betalningsföreläggande och handräckning. Grundläggande identitets- och andra basuppgifter för fysiska och juridiska personer skulle få behandlas. Detsamma gällde yrkanden och grunder samt beslut och övriga åtgärder i ett mål. Enligt regeringen borde behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. även här regleras uttömmande i lag. Inom den verksamhet som rörde den summariska processen fanns behov av att behandla främst uppgifter om skadestånd på grund av
51 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 160–161.
576Databasregleringen
brott i de fall dessa utgjorde grund för en begäran om utslag. I lagen borde det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar. 52
Skuldsaneringsdatabasen
I likhet med vad som föreslogs i fråga om utsöknings- och indrivningsdatabasen borde det enligt regeringen i lag endast anges vilka kategorier av uppgifter som fick behandlas i den informationsbaserade databasen. Innehållet i databasen borde enligt regeringen i huvudsak motsvara vad som då gällde enligt förordningen (1994:348) om register för skuldsaneringsärenden. De uppgifter som skulle få behandlas i databasen var vanliga identifikationsuppgifter och handlingar som kommit in eller skickats ut samt beslut i ärendet. Detsamma gällde yrkanden och grunder och övriga åtgärder i ett mål. Slutligen borde även vissa uppgifter om skulderna och om en enskilds ekonomiska förhållanden få behandlas. Regeringen konstaterade vidare att information om en sökandes och eventuella familjemedlemmars ekonomi var av avgörande betydelse i ett ärende om skuldsanering. Med ekonomiska förhållanden avsågs bl.a. uppgifter om inkomster, skuldbelopp, när skulder förföll till betalning, borgensåtaganden samt anstånd med betalning. Behandlingen av känsliga personuppgifter och uppgifter om lagöverträdelser m.m. borde uttömmande regleras i lag. Inom den verksamhet som rörde skuldsanering fanns enligt regeringen behov av att behandla främst uppgifter om böter eller skadestånd på grund av brott i de fall dessa utgjorde grund för en fordran i ett ärende. I lagen skulle det därför anges att sådana uppgifter fick behandlas även på annat sätt än i elektroniska handlingar. 53
Konkurstillsynsdatabasen
I likhet med vad som föreslogs i fråga om utsöknings- och indrivningsdatabasen borde enligt regeringen i lag endast anges vilka kategorier av uppgifter som fick behandlas i databasen. Regeringen konstaterade att det dåvarande konkurstillsynsregistret innehöll uppgifter om konkursförvaltare, ställföreträdare och konkursgäldenärer. Registret
52 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 164. 53 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 168.
577Databasregleringen
fick i fråga om dessa personer innehålla uppgifter om bl.a. namn, adress, person- eller organisationsnummer, tingsrättens beslutsdatum, förvaltararvoden och lönegaranti. De uppgifter som fick registreras skulle enligt regeringens mening även få behandlas i konkurstillsynsdatabasen. Eftersom ett konkursbo var föremålet för behandlingen av uppgifter i databasen ansåg regeringen att det uttryckligen borde framgå att uppgifter om ett konkursbo skulle få behandlas. Därutöver borde yrkanden och grunder samt beslut med angivande av skälen för beslutet och övriga åtgärder i ett ärende få behandlas. Uppgifter om enskildas ekonomiska förhållanden behövde också få behandlas i ett ärende om konkurstillsyn. Detsamma gällde uppgifter om konkursbeslut och andra domstols- eller myndighetsbeslut som behövdes i ett ärende. Vid prövning av lönegarantifrågor var enligt regeringen även uppgifter om arbetstagarens eventuella andel i företaget av betydelse och sådana uppgifter skulle därför få behandlas i databasen. Regeringen konstaterade dock att de dåvarande konkurstillsynsregistren inte fick innehålla uppgifter om brott eller misstanke om brott, uppgifter om näringsförbud eller uppgifter som utgör omdöme eller annan värderande upplysning om den registrerade. Enligt regeringens mening fanns det inte heller något behov av att behandla sådana uppgifter i verksamheten med konkurstillsyn eller vid handläggningen av mål enligt lönegarantilagen. När det gällde känsliga personuppgifter och uppgifter om lagöverträdelser m.m. skulle dock behandling av sådana uppgifter få ske om uppgifterna förekom i en handling som kommit in eller upprättats i ett ärende. 54
En ny databas i folkbokföringsverksamheten
En databas för analys och urval
I samband med att Skatteverket nyligen gavs utökade möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten bedömde regeringen att behandlingen var sådan att formerna för densamma borde regleras och att det fanns behov av en reglering som satte gränser för vilka uppgifter som skulle få användas. Regeringen konstaterade i sammanhanget åter att behandling som innebar att fler än ett fåtal personer hade såväl tillgång till som möjlighet att bearbeta eller förfoga över uppgifter på annat sätt, typiskt sett ansågs mer integri-
54 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 171–172.
578Databasregleringen
tetskänslig än vad som var fallet när endast någon enstaka person förfogade över uppgifterna. Regeringen ansåg att databasbegreppet skulle användes för den uppgiftssamling som skulle regleras och som skulle 55 kunna användas gemensamt i verksamheten.
Innehållet i analys- och urvalsdatabasen
I den nya databasen får i huvudsak de uppgifter som redan får behandlas i folkbokföringsdatabasen behandlas. Kravet på att Skatteverket skulle ha korrekta uppgifter i folkbokföringsdatabasen var dock enligt regeringen svårt att upprätthålla när myndigheten inte kan nyttja uppgifter från andra aktörer. Regeringen ansåg därför att Skatteverket borde ges möjligheter till effektivisering i folkbokföringsverksamheten genom att i den nya databasen också få använda uppgifter från andra verksamheter inom Skatteverket liksom från andra 56 myndigheter.
9.3.2 Databaserna i dag
Beskattningsdatabasen
En samling uppgifter
Beskattningsdatabasen regleras i 2 kap. lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL). Av 2 kap. 1 § SdbL framgår att det i beskattningsverksamheten ska finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges 1 kap. 4 och 5 §§ samma lag. 57
55 Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 22. 56 Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 25. 57 Se avsnitt 8.3.4 om primära och sekundära ändamål i Skatteverkets beskattningsverksamhet.
579Databasregleringen
Personkrets
Av 2 kap. 2 § SdbL jämfört med 1 kap. 4 § 1–9 samma lag framgår att i databasen får uppgifter behandlas om personer som omfattas av Skatteverkets verksamhet med 1. fastställande av underlag för samt bestämmande, redovisning, betalning och återbetalning av skatter och avgifter, 2. bestämmande av pensionsgrundande inkomst, 3. fastighetstaxering, 4. revision och annan analys- eller kontrollverksamhet, 5. tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning, 6. handläggning a) enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, b) av andra frågor om ansvar för någon annans skatter och avgifter, c) enligt lagen (2015:912) om automatiskt utbyte av upplysningar om finansiella konton och 22 b kap. skatteförfarandelagen (2011:1244), d) enligt lagen (2017:182) om automatiskt utbyte av land-förland-rapporter på skatteområdet och 33 a kap. skatteförfarandelagen, e) enligt 33 b kap. skatteförfarandelagen, f) enligt lagen (2013:948) om stöd vid korttidsarbete och lagen (2020:548) om omställningsstöd samt handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och g) enligt lagen (2022:1681) om plattformsoperatörers inhämtande av vissa uppgifter på skatteområdet, lagen (2022:1682) om automatiskt utbyte av upplysningar om inkomster genom digitala plattformar och 22 c kap. skatteförfarandelagen, 7. fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande,
580Databasregleringen
8. hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige, och 9. hantering av uppgifter om sjuklönekostnad. Uppgifter om andra personer får enligt 2 kap. 2 § SdbL behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas I 2 kap. 3 § SdbL anges att följande uppgifter får behandlas i beskattningsdatabasen för de primära ändamålen som anges i 1 kap. 4 § samma lag: 1. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, ägarförhållanden samt firmatecknare och andra företrädare, 3. registrering för skatter och avgifter, 4. underlag för fastställande av skatter och avgifter, 5. bestämmande av skatter och avgifter, 6. underlag för fastighetstaxering, 7. revision och annan kontroll av skatter och avgifter, 8. uppgifter som behövs för handläggning enligt lagen (2007:324) om Skatteverkets hantering av vissa borgenärsuppgifter, 9. avgiftsskyldighet till ett registrerat trossamfund och medlemskap i fackförening, 10. yrkanden och grunder i ett ärende, 11. beslut, betalning, redovisning och övriga åtgärder i ett ärende, 12. uppgifter som behövs vid hantering av underrättelser från arbetsgivare om anställning av utlänningar som avses i lagen (2013:644) om rätt till lön och annan ersättning för arbete utfört av en utlänning som inte har rätt att vistas i Sverige,
581Databasregleringen
13. uppgifter som behövs för handläggning enligt lagen (2013:948) om stöd vid korttidsarbete eller lagen (2020:548) om omställningsstöd eller för handläggning av sådant stöd som avses i lagen (2023:230) om förfarande för elstöd till företag, och 14. uppgifter om sjuklönekostnad.
Av 2 kap. 3 § SdbL framgår också att även andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande får behandlas i databasen. Av 2 kap. 4 a § SdbL framgår att även uppgifter och handlingar som ingår i det datoriserade system som avses i artikel 1 i Europaparlamentets och rådets beslut (EU) 2020/263 av den 15 januari 2020 om datorisering av uppgifter om förflyttningar och kontroller av punktskattepliktiga varor får behandlas i databasen. I 2 § förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF), anges närmare vilka uppgifter som får behandlas i beskattningsdatabasen beträffande personer som avses i 2 kap. 2 § SdbL. Listan på uppgifter är mycket omfattande och avser bl.a. uppgifter som behövs vid Skatteverkets handläggning av ärenden som görs med stöd av olika särskilt angivna lagar och andra författningar med bestämmelser om skatter och socialavgifter, samt för planerad, beslutad, pågående eller avslutad revision och annan kontroll av skatter, avgifter och stöd. I 2 § SdbF anges dock även ett flertal andra uppgiftskategorier, exempelvis uppgifter från aktiebolagsregistret och från vägtrafikregistret.
Känsliga personuppgifter
Av 2 kap. 4 § SdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
582Databasregleringen
Folkbokföringsdatabasen
En samling uppgifter Folkbokföringsdatabasen regleras i andra kapitlet i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL). Av 2 kap. 1 § FdbL framgår att det i folkbokföringsverksamheten ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära ändamålen som anges 1 kap. 58 4 § samma lag.
Personkrets Av 2 kap. 2 § FdbL framgår att i databasen får uppgifter behandlas om personer som har tilldelats personnummer eller samordningsnummer. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas Av 2 kap. 3 § FdbL framgår att för de ändamål som anges i 1 kap. 4 § samma lag får följande uppgifter behandlas i databasen 1. person- eller samordningsnummer, 2. namn, 3. födelsetid, 4. födelsehemort, 5. födelseort, 6. 6. adress, 7. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, distrikt och folkbokföring under särskild rubrik, 8. medborgarskap, 9. civilstånd,
58 Se avsnitt 8.3.5 om ändamål i Skatteverkets folkbokföringsverksamhet.
583Databasregleringen
10. make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen, 11. samband enligt 10 som är grundat på adoption, 12. inflyttning från utlandet, 13. avregistrering enligt 19–22 §§ folkbokföringslagen (1991:481), 14. anmälan enligt 5 kap. 2 § vallagen (2005:837), 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, 17. uppehållsrätt för en person som är folkbokförd, 18. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 19. vilandeförklaring enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 20. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 21. fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa.
Av 2 kap. 3 § andra stycket FdbL framgår dessutom att i databasen får även uppgifter behandlas som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495), oavsett om uppgifterna är sådana som avses i 1 kap. 6 § FdbL, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av tredje stycket i samma paragraf framgår även att i ärenden om tilldelning av personnummer enligt 18 b § folkbokföringslagen eller samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. I ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker.
584Databasregleringen
I 2 kap. 4 § första stycket FdbL anges att i databasen får uppgifter behandlas om yrkanden, grunder och beslut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende. Av 4 § första stycket förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF), framgår att för handläggning av ärenden får i databasen behandlas uppgifter som avses i 5 kap. 2 § offentlighets- och sekretesslagen (2009:400) och andra ärendeuppgifter om den person som ärendet rör. Av 4 § andra stycket i samma förordning framgår att för handläggning av sådana ärenden som avses i 1 § andra stycket folkbokföringslagen (1991:481) får behandlas uppgifter om personer som inte är eller har varit folkbokförda. I 4 § tredje stycket samma förordning anges att Skatteverket meddelar närmare föreskrifter om vilka uppgifter som får behandlas enligt första och andra styckena.
Känsliga personuppgifter
Enligt 2 kap. 5 § FdbL får en handling som har kommit in i ett ärende behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Analys- och urvalsdatabasen i folkbokföringsverksamheten
En samling uppgifter
Analys- och urvalsdatabasen i folkbokföringsverksamheten regleras i 2 a kapitlet i folkbokföringsdatabaslagen. Av 2 a kap. 1 § FdbL framgår att i folkbokföringsverksamheten ska det finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de ändamål som anges i 1 kap. 4 a § 59 samma lag.
59 Se 8.3.5 om ändamål i Skatteverkets folkbokföringsverksamhet för den särskilda databasen.
585Databasregleringen
Personkrets Av 2 a kap. 1 § FdbL jämfört med 2 kap. 2 § samma lag framgår att i analys- och urvalsdatabasen får uppgifter om personer som har tilldelats personnummer eller samordningsnummer, och om andra personer om det behövs för handläggningen av ett ärende, behandlas.
Uppgifter som får behandlas Av 2 a kap. 3 § FdbL jämfört med 2 kap. 3 och 4 §§ samma lag framgår att i databasen får följande uppgifter behandlas: 1. person- eller samordningsnummer, 2. namn, 3. födelsetid, 4. födelsehemort, 5. födelseort, 6. adress, 7. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, distrikt och folkbokföring under särskild rubrik, 8. medborgarskap, 9. civilstånd, 10. make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen, 11. samband enligt 10 som är grundat på adoption, 12. inflyttning från utlandet, 13. avregistrering enligt 19–22 §§ folkbokföringslagen (1991:481), 14. anmälan enligt 5 kap. 2 § vallagen (2005:837), 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, 17. uppehållsrätt för en person som är folkbokförd,
586Databasregleringen
18. tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen (2022:1697) om samordningsnummer, 19. vilandeförklaring enligt 3 kap. 2 § lagen om samordningsnummer med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, 20. tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit, och 21. fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa.
Av 2 kap. 3 § andra stycket FdbL framgår dessutom att i databasen får även uppgifter behandlas som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495), oavsett om uppgifterna är sådana som avses i 1 kap. 6 §. Av tredje stycket i samma paragraf framgår att i ärenden om tilldelning av personnummer enligt 18 b § folkbokföringslagen eller samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. I ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker. I 2 kap. 4 § första stycket FdbL anges att i databasen får även uppgifter behandlas om yrkanden, grunder och beslut i ett ärende samt andra uppgifter som behövs för handläggningen av ett ärende. Av 5 c § FdbF framgår att även sådana uppgifter som ska lämnas av andra myndigheter till Skatteverket för kontroll av uppgifter i folkbokföringsverksamheten får behandlas i databasen. Uppgifter om fastigheter, byggnader, lagfarter och tomträtter får också behandlas.
Känsliga personuppgifter
Någon särskild bestämmelse som endast avser behandling av känsliga personuppgifter i analys- och urvalsdatabasen finns inte. Känsliga personuppgifter som får behandlas i folkbokföringsdatabasen med stöd av 2 kap. 5 § FdbL får inte behandlas i analys- och urvalsdatabasen.
587Databasregleringen
Tulldatabasen
En samling uppgifter Tulldatabasen regleras i andra kapitlet i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL). Av 2 kap. 1 § TDL framgår att i Tullverkets verksamhet ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamålen som framgår av 1 kap. 4 och 5 §§ samma lag. 60
Personkrets Av 2 kap. 2 § jämfört med 1 kap. 4 § 1–3 TDL framgår att i databasen får uppgifter behandlas om personer som omfattas av Tullverkets verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, övervakning, revision och annan analys- eller kontrollverksamhet, samt fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas I 2 kap. 3 § TDL anges att följande uppgifter får behandlas i tulldatabasen för de primära ändamålen som anges i 1kap. 4 § samma lag: 1. en fysisk persons identitet och bosättning, 2. en juridisk persons identitet, säte, firmatecknare och andra företrädare, 3. identitetsbeteckningar för transportmedel, containrar och tankar, 4. tulltaxor, 5. registrering för skatter och avgifter, 6. underlag för tull, annan skatt och avgifter, 7. bestämmande av tull, annan skatt och avgifter,
60 Se avsnitt 8.3.6 om primära och sekundära ändamål i Tullverkets verksamhet.
588Databasregleringen
8. revision och annan kontroll av tull, annan skatt och avgifter, 9. tillstånd och licenser som krävs för import eller export av varor, 10. yrkanden och grunder i ett ärende, och 11. beslut, betalning, redovisning och övriga åtgärder i ett ärende.
Av samma bestämmelse framgår att även andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande får behandlas i databasen. I 2 § förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF), bemyndigas Tullverket får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databasen. Några sådana föreskrifter har dock inte meddelats.
Känsliga personuppgifter
Av 2 kap. 4 § TDL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Utsöknings- och indrivningsdatabasen
En samling uppgifter
Utsöknings- och indrivningsdatabasen regleras liksom övriga databaser i Kronofogdemyndighetens verksamhet i andra kapitlet i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL). Av 2 kap. 1 § KFMdbL framgår att i verksamheten med utsökning och indrivning ska det finnas en samling uppgifter som med hjälp av automatiserad
589Databasregleringen
behandling används gemensamt i verksamheten för de primära och sekundära ändamålen som framgår av i 2 kap. 2 och 3 §§ KFMdbL. 61
Personkrets Av 2 kap. 4 § jämfört med 2 kap. 2 § 1–5 KFMdbL framgår att i utsöknings- och indrivningsdatabasen får uppgifter behandlas om personer som omfattas av Kronofogdemyndighetens och Skatteverkets verksamhet med 1. verkställighet eller annan åtgärd som särskilt åligger Kronofogdemyndigheten enligt utsökningsbalken eller annan författning, 2. indrivning av statliga fordringar m.m., 3. avräkning vid återbetalning av skatter och avgifter, 4. ansökan om och tillsyn över näringsförbud, och 5. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering. Av 2 kap. 4 § KFMdbL framgår även att uppgifter om andra personer får behandlas i databasen om det behövs för handläggningen av ett mål.
Uppgifter som får behandlas I 2 kap. 5 § KFMdbL anges att följande uppgifter får behandlas i utsöknings- och indrivningsdatabasen för de primära ändamålen som anges i 2 kap. 2 § samma lag: 1. en fysisk persons identitet, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte, firmatecknare och andra företrädare, 3. en enskilds ekonomiska förhållanden, 4. näringsförbud, 5. egendom som berörs i ett mål, 6. yrkanden och grunder i ett mål eller ärende,
61 Se avsnitt 8.3.7 om primära och sekundära ändamål i Kronofogdemyndighetens verksamhet.
590Databasregleringen
7. beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende, och 8. Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål.
Av 2 kap. 5 § andra stycket KFMdbL framgår också att i databasen får även andra uppgifter behandlas som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. I 2 § förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), anges närmare bestämmelser om uppgifter som får behandlas i databasen. I 6 § KFMdbF anges även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Betalningsföreläggande- och handräckningsdatabasen
En samling uppgifter
Av 2 kap. 7 § KFMdbL framgår att i verksamheten med betalningsföreläggande och handräckning samt europeiskt betalningsföreläggande ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 8 och 9 §§ samma lag.
591Databasregleringen
Personkrets Av 2 kap. 10 § jämfört med 2 kap. 8 § 1–3 KFMdbL framgår att i betalningsföreläggande- och handräckningsdatabasen får uppgifter behandlas om personer som omfattas av verksamhet med 1. handläggningen av mål om betalningsföreläggande, handräckning eller europeiskt betalningsföreläggande, 2. tillhandahållande av utslag i mål om betalningsföreläggande och handräckning samt verkställighetsförklaring i mål om europeiskt betalningsföreläggande, 3. förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering.
Uppgifter om andra personer får enligt 2 kap. 10 § KFMdbL behandlas om det behövs för handläggningen av ett mål.
Uppgifter som får behandlas Av 2 kap. 11 § KFMdbL framgår att för de primära ändamål som anges i 2 kap. 8 § samma lag får följande uppgifter behandlas i databasen: 1. en fysisk persons identitet, bosättning och anställning, 2. en juridisk persons identitet, säte, firmatecknare och andra företrädare, 3. yrkanden och grunder i ett mål, 4. övriga förhållanden, om uppgifterna tillförs ett mål och är av betydelse för handläggningen, 5. beslut och övriga åtgärder i ett mål, och 6. lagöverträdelser som innefattar brott eller domar i brottmål, om uppgifterna utgör grund för en begäran om utslag.
I 3 § KFMdbF anges närmare bestämmelser om uppgifter som får behandlas i databasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
592Databasregleringen
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Skuldsaneringsdatabasen
En samling uppgifter
Av 2 kap. 13 § KFMdbL framgår att i verksamheten med skuldsanering och F-skuldsanering ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 14 och 15 §§ KFMdbL.
Personkrets
Enligt 2 kap. 16 § jämfört med 2 kap. 14 § 1 och 2 KFMdbL får uppgifter behandlas i databasen om personer som omfattas av verksamhet med handläggning av ärenden om skuldsanering och F-skuldsanering eller förebyggande av överskuldsättning. Uppgifter om andra personer får behandlas om det behövs för handläggningen av ett ärende.
Uppgifter som får behandlas
Av 2 kap. 17 § KMdbL framgår att för de primära ändamål som anges i 2 kap. 14 § samma lag får följande uppgifter behandlas i databasen: 1. en fysisk persons identitet, bosättning och familjeförhållanden, 2. en juridisk persons identitet, säte och företrädare, 3. en enskilds ekonomiska förhållanden, 4. yrkanden och grunder i ett ärende,
593Databasregleringen
5. beslut och övriga åtgärder i ett ärende, 6. lagöverträdelser som innefattar brott eller domar i brottmål, om uppgifterna utgör grund för en fordran i ett ärende, och 7. beslut, betalning, redovisning och övriga åtgärder som rör gäldenärens betalningar enligt skuldsaneringslagen (2016:675) och lagen (2016:676) om skuldsanering för företagare.
I 4 § KFMdbF anges närmare bestämmelser om uppgifter som får behandlas i skuldsaneringsdatabasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
Konkurstillsynsdatabasen
En samling uppgifter
Av 2 kap. 19 § KFMdbL framgår att i verksamheten med tillsyn i konkurs ska det finnas en samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de primära och sekundära ändamål som anges i 2 kap. 20 och 20 a §§ KFMdbL.
Personkrets
Av 2 kap. 21 § jämfört med 2 kap. 20 § 1 och 2 KFMdbL framgår att i konkurstillsynsdatabasen får uppgifter behandlas om personer som omfattas av verksamhet med handläggning av konkurstillsynsären-
594Databasregleringen
den, ärenden om tillsyn över rekonstruktörer och mål enligt lönegarantilagen (1992:497), samt förebyggande av överskuldsättning och information om skuldsanering och F-skuldsanering. Uppgifter om andra personer får enligt 2 kap. 21 § KFMdbL behandlas om det behövs för handläggningen av ett mål eller ärende.
Uppgifter som får behandlas
Enligt 2 kap. 22 § KFMdbL får, för de primära ändamål som anges i 2 kap. 20 § samma lag, följande uppgifter behandlas i databasen: 1. ett konkursbos identitet, 2. en fysisk persons identitet och bosättning, 3. en juridisk persons identitet, säte, firmatecknare och andra företrädare, 4. en enskilds ekonomiska förhållanden, 5. domstols eller myndighets beslut, 6. yrkanden och grunder i ett mål eller ärende, och 7. beslut och övriga åtgärder i ett mål eller ärende.
Av 5 § KFMdbF framgår närmare bestämmelser om uppgifter som får behandlas i konkurstillsynsdatabasen. I 6 § KFMdbF anges som redan nämnts även att Kronofogdemyndigheten får meddela närmare föreskrifter om vilka uppgifter som får behandlas i databaserna.
Känsliga personuppgifter
Av 2 kap. 24 § KFMdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 6 § samma lag, dvs. känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning.
595Databasregleringen
9.3.3 Myndigheternas uppfattning om nuvarande
databasreglering
Allmänt om databasregleringen
Skatteverket, Tullverket och Kronofogdemyndigheten har samtliga uppgett att befintlig reglering av databaser inte speglar deras verksamhet i dag. Att de olika databaserna är särskilt reglerade kan enligt myndigheterna ge intryck av att uppgiftssamlingarna inom en myndighet utgör separata it-system. Dagens it-miljöer består dock av komplexa verksamhetsstöd där informationen behandlas i olika it-komponenter och tekniska databaser. It-lösningarna och dess komponenter har komplexa samband med varandra och kan vara verksamhetsöverskridande. Juridisk avgränsning i form av reglering för särskilda databaser skapar därför vissa tolknings- och tillämpningsproblem vid utvecklingen av verksamheternas it-stöd. Enligt myndigheterna framstår termen databas dessutom som missvisande och omodern. Normalt talas i stället om vilka uppgifter som är gemensamt tillgängliga för en verksamhet och om logisk separation i en gemensam digital infrastruktur. Logisk separation innebär att de olika verksamheterna har egna digitala sfärer. Tekniska åtgärder gör att åtkomst och sammanblandning av uppgifter mellan de olika sfärerna som utgångspunkt inte är möjlig och en verksamhet kan följaktligen bara få tillgång till uppgifter i sin egen sfär. Logisk separation fungerar därmed som ett slags digitalt inre skalskydd och säkerställer regelefterlevnad. Verksamhetssystemen inom en sfär har sedan bara tillgång till de uppgifter som behövs för respektive system och en handläggare får genom behörighetsstyrd åtkomst bara tillgång till de uppgifter som han eller hon behöver utifrån sina arbetsuppgifter.
Skatteverket
Skatteverket anser att databasregleringen regelmässigt utgör en begränsning och innebär att uppgifter endast får användas gemensamt i en verksamhet när det särskilt föreskrivs i lag eller förordning. Denna dubbelreglering anses vara onödig eftersom myndigheten enligt de allmänna dataskyddsbestämmelserna inte får behandla fler uppgifter än de som behövs för att genomföra sitt uppdrag enligt rättsordningen. Skatteverket anser därför att de grundläggande principerna i artikel 5
596Databasregleringen
i EU:s dataskyddsförordning (särskilt principen om laglighet och uppgiftsminimering) tillsammans med de materiella bestämmelser som reglerar beskattnings- och folkbokföringsverksamheterna ska styra vilka uppgifter myndigheten ska få behandla gemensamt. Nuvarande reglering av vilka uppgifter som får behandlas i Skatteverkets databaser är dessutom inte enhetlig. Innehållsregleringen av uppgifter som får användas gemensamt i folkbokföringsverksamheten är på en detaljnivå som motsvarar regleringen av ett register och utgår inte från det behov som finns att behandla uppgifter gemensamt i verksamheten. Detaljnivån medför också ett behov av att ändra innehållet i lag vid varje tillfälle verksamheten måste behandla enstaka personuppgifter gemensamt, vilket har resulterat i en svårbegriplig detaljreglering av uppgifter. Motsvarande detaljnivå föreligger inte för beskattningsverksamheten som i regel utgår från uppgifter som behövs för att handlägga olika typer av ärenden. I vissa andra fall kan regleringen vara mycket omfångsrik och tillåta att personuppgifter behandlas gemensamt i en verksamhet för informationsutbyte och annan handräckning enligt internationella åtaganden. En principiell utgångspunkt för reglerna om databasernas innehåll är enligt Skatteverket vidare att de utgår från uppgifter som behövs vid handläggningen av olika typer av ärenden. Verksamheternas behov av att behandla personuppgifter finns även vid s.k. faktiskt handlande (exempelvis vid analys och urval). En reglering som endast tillåter behandling av personuppgifter vid handläggning eller vid ärendehantering tillgodoser inte myndighetens behov att kunna behandla personuppgifter. Vid dataanalyser och urval för kontrolländamål behandlas personuppgifter i dag i relativt stor utsträckning även utanför beskattningsdatabasen. Det sker när alla relevanta uppgifter för ett urval inte får behandlas i databasen under en urvalsprocess. Det ställer särskilda krav på behandlingen eftersom uppgifterna helt eller delvis inte får behandlas på ett sådant sätt att de är att betrakta som gemensamt tillgängliga. Detta utgör en begränsning som försvårar hanteringen då det i regel kräver att uppgifterna hanteras i en särskild it-miljö och dessutom gäller andra bestämmelser för behandlingen. I dessa fall är det i princip först när en faktisk kontrollåtgärd övervägs som uppgifterna återigen får hanteras gemensamt i verksamheten. Databasregleringen medför också vissa svårlösta tillämpningsfrågor inom ramen för EU-samarbetet när uppgifter i EU-gemensamma in-
597Databasregleringen
formationssystem görs gemensamt tillgängliga för Skatteverkets anställda. Vidare är begreppet databas svårtolkat eftersom det i regel förstås som en tekniskt avgränsad databas och inte primärt som en juridisk definition av gemensamt tillgängliga uppgifter i en verksamhet.
Tullverket
Tullverket anser att begreppet tulldatabasen ska tas bort i den nya lagstiftningen. Nästan samtliga personuppgifter som behandlas i Tullverkets verksamhet behandlas i tulldatabasen och det saknas behov av att skilja på hur personuppgifter behandlas. Det är enligt Tullverket svårt att se mervärdet av särreglering mellan dessa uppgifter och de som behandlas utanför tulldatabasen. Med ett och samma regelverk för all behandling av personuppgifter inom tillämpningsområdet skulle skyddsnivån för all personuppgiftsbehandling bli enhetlig och det skulle inte längre behövas en tidskrävande bedömning av om uppgifter är gemensamt tillgängliga eller inte. Uppdelningen skapar i dag merarbete utan uppenbara integritetsvinster. Personuppgifter som behandlas i tulldatabasen omfattas av ett särskilt kapitel med extra skyddsregler. Då skyddsreglerna i nuvarande reglering skiljer sig åt beroende av om personuppgifterna ska anses behandlas i tulldatabasen eller inte behöver Tullverket kontinuerligt göra överväganden kring om uppgifter behandlas i tulldatabasen eller inte. Det är då främst frågan om i vilka situationer en uppgift ska anses behandlas gemensamt i verksamheten som skapar tolkningsproblem. Tulldatabasen har enligt Tullverket förlorat i betydelse som en avgränsad uppgiftssamling, dels eftersom nästan alla uppgifter inom lagens tillämpningsområde får anses behandlas gemensamt, dels eftersom uppräkningen av uppgiftskategorier inte längre ger en tydlig bild av de uppgifter som behandlas i databasen. De tekniska möjligheterna och kraven på Tullverket att behandla och dela data elektroniskt har dessutom ökat. Den utökade elektroniska behandlingen, främst i olika informationssystem, medför att personuppgifter i större utsträckning kan göras tillgängliga för fler och därmed betraktas som gemensamt tillgängliga. Inte heller dagens uppräkning av uppgiftskategorier som får behandlas i databasen ger enligt Tullverket en tydlig avgränsning av
598Databasregleringen
tulldatabasen. Det är EU-lagstiftning som till stor del styr vilka uppgifter som Tullverket ska eller får behandla. Ett flertal uppgifter faller inte in under de uppräknade uppgiftskategorierna, utan får behandlas med stöd av det undantag som anger att det i databasen även får behandlas andra uppgifter som behövs för fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande. Tullverkets bedömning är att ju fler uppgifter som behandlas med stöd av undantaget desto sämre återspeglar uppräkningen vilka uppgifter som behandlas i tulldatabasen. Uppräkningen av uppgiftskategorier fyller då enligt Tullverket inte någon egentlig funktion.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att databasregleringen, detaljnivån till trots, uppfattas som oprecis till sin utformning. De olika kategorierna av uppgifter som uttömmande räknas upp ger nämligen utrymme för en förhållandevis vid tolkning. I vissa fall kan emellertid en nödvändig uppgift falla utanför regleringen, vilket leder till praktiska svårigheter. Till skillnad från Skatteverkets och Tullverkets reglering är Kronofogdemyndighetens ändamålsreglering helt kopplad till databaserna, vilket enligt Kronofogdemyndigheten medför omotiverat skarpa gränsdragningar. Det är också så att när Kronofogdemyndigheten får en ny uppgift i den materiella verksamhetsregleringen måste denna hänföras till någon av de fyra databaserna för att myndigheten ska ha rättsliga förutsättningar för att kunna utföra uppdraget. Ett exempel är tillsyn av näringsförbud, som egentligen inte har något samband med Kronofogdemyndighetens verksamhet med utsökning och indrivning, men som regleras inom ändamålen för den databasen. Regleringen utifrån databas är stämmer emellertid inte alltid överens med hur Kronofogdemyndigheten organisatoriskt hanterar arbetsuppgiften och det är inte heller givet att samma verksamhetssystem används. Kronofogdemyndigheten har dessutom uppdrag som involverar flera verksamheter, såsom delgivning och förebyggande av överskuldsättning och även då är regleringen utifrån databas problematisk. Databasbegreppet har enligt Kronofogdemyndigheten spelat ut sin roll och det uppfattas snarast försvåra tillämpningen av dataskyddsreglerna.
599Databasregleringen
Kronofogdemyndigheten menar att integritetsskyddsfrågan i första hand bör lösas genom grundläggande dataskyddskrav och säkerhetsbestämmelser, och inte genom reglering av särskilda uppgiftssamlingar och uppräkning av olika kategorier av uppgifter som får behandlas. Myndighetens inställning är att det saknas skäl att reglera databaser och deras innehåll i ett dataskyddssammanhang.
9.4 Överväganden och förslag
9.4.1 Strukturen i den kompletterande dataskyddsregleringen
behöver anpassas efter den rättsliga och tekniska
utvecklingen
Vår bedömning: Det finns ett behov av att anpassa den kompletterande dataskyddsregleringen till de rättsliga och tekniska förutsättningar för myndigheters personuppgiftsbehandling som föreligger i dag.
Skälen för vår bedömning
Databasregleringen har i dag två funktioner
Databasregleringen för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten utgör en samling bestämmelser som enbart gäller för uppgifter som används gemensamt i respektive verksamhet och som hanteras digitalt. De särskilda regler som gäller för gemensamt tillgängliga uppgifter avser bl.a. gallring, elektroniskt utlämnande och vilka sökbegrepp som får användas. En central kategori bestämmelser är de som avser vilka uppgifter som får behandlas i databaserna, se avsnitt 9.3.2 ovan. Som framgår av avsnitt 9.3.1 gjorde regeringen i förarbetena till dagens reglering en åtskillnad mellan uppgifter som hanterades i ärendehanteringssystemen och uppgifter som skulle få finnas i de informationsbaserade delarna av databaserna. Bestämmelserna om vilka uppgifter som skulle få behandlas i databaserna kom till i syfte att begränsa vilka uppgifter som fler än ett fåtal personer skulle få ha tillgång till, dvs. vilka uppgifter som skulle vara gemensamt tillgängliga med hjälp av automatiserad behandling. Någon begränsning av
600Databasregleringen
vilka uppgifter som får behandlas utanför databaserna finns inte i dagens reglering. Den informationstekniska utvecklingen har dock lett till förändringar av myndigheternas arbetsmetoder, vilket gör att det ställs ökade krav på ett teknikneutralt regelverk. Genom den nästan fullständiga digitaliseringen av myndigheternas verksamhet har bestämmelserna om vilka uppgifter databaserna får innehålla också kommit att utgöra en begränsning av vilka uppgifter myndigheterna över huvud taget kan behandla för att utföra sina författningsreglerade uppgifter, om det inte är möjligt att behandla uppgifter helt avskilt från övriga system, vilket vi utvecklar nedan. Frågan om det finns skäl för att införa särskilda regler för sådan behandling som innebär att fler än ett fåtal personer har tillgång till uppgifterna bör enligt vår mening hållas skild från frågan om det finns skäl för att särskilt reglera vilka personuppgifter en myndighet får behandla för att utföra sina uppgifter. Databasbegreppet har dessutom en stark koppling till finalitetsprincipen, som utvecklats i avsnitt 8.4.6. Finalitetsprincipen framgår av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter efter insamlingstillfället inte får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in. Syftet med dagens databasreglering var inte att begränsa annat än vilka uppgifter som skulle få göras gemensamt tillgängliga inom myndigheterna. Trots det anser vi att det, mot bakgrund av den funktion regleringen har kommit att få, även finns skäl att i sammanhanget beröra frågan om det bör införas begränsningar av vilka uppgifter myndigheterna får behandla för att utföra sina författningsreglerade uppgifter.
Den rättsliga utvecklingen
Sedan datorer och annan digital teknik började användas inom den offentliga sektorn har det i lagstiftningsarbete genomgående lagts stor vikt vid att i integritetsskyddande syfte begränsa myndigheters möjlighet att använda den nya tekniken (se avsnitten 9.2.1–9.2.3). De risker som har ansetts vara förknippade med automatiserad informationshantering inom offentlig verksamhet motiverade datalagens krav på tillstånd och licens, eller beslut av riksdag eller regering, för att en myn-
601Databasregleringen
dighet över huvud taget skulle få behandla personuppgifter automatiserat. De risker som har förknippats med digitaliseringen av myndigheternas verksamhet har även motiverat detaljerad sektorsspecifik reglering bl.a. av vilka uppgifter som skulle få behandlas automatiserat i personregister. Särskild reglering av vilka uppgifter som flera personer inom en myndighet skulle få ha tillgång till har också ansetts motiverad av integritetsskäl. I efterhand har dock regleringen av myndigheters användning av digital teknik ofta framstått som omotiverat restriktiv, trots att den tekniska utvecklingen hela tiden medfört utökade möjligheter i detta avseende. Vid skatteregisterlagens tillkomst hade exempelvis flera remissinstanser varit mycket kritiska. Kritiken rörde bl.a. att man genom den föreslagna regleringen inte hade avgränsat registerföringen tillräckligt i författning, att integritetsriskerna som var förknippade med ADB-registrering inte skulle komma att kunna bemästras genom lagen, att effektivitetskravet drivits för långt på bekostnad av integritetsintresset och att sekretesskyddade uppgifter från bl.a. självdeklarationer endast i yttersta undantagsfall borde få tas in i digitala 62 register. Vid tidpunkten för den nuvarande databasregleringens tillkomst var det enligt regeringen i stället skatteregisterlagen som framstod som både svåröverskådlig och svårtillämpad och det konstaterades att den hade behövt genomgå ett stort antal ändringar (se avsnitt 9.3.1). Samma reglering som i slutet av 1970-talet av många uppfattades som obalanserad till nackdel för integritetsskyddet, uppfattades alltså i slutet av 1990-talet som obalanserad till nackdel för en effektiv informationshantering inom beskattningsverksamheten. I dag är det i stället databasregleringen som kan framstå som onödigt hindrande och komplex (se avsnitt 9.3.3). Vid tidpunkten för databasregleringens tillkomst utgjordes den allmänna dataskyddsregleringen av 1995 års dataskyddsdirektiv och personuppgiftslagen, genom vilken direktivet genomfördes. Den allmänna dataskyddsregleringen vid den tidpunkten innebar större möjligheter för myndigheter att behandla personuppgifter än i dag. Då kunde även myndigheter behandla personuppgifter på den rättsliga grunden berättigat intresse (vilken i dag motsvaras av artikel 6.1 f i dataskyddsförordningen), och det fanns inget krav på att en uppgift av allmänt intresse skulle vara fastställd i nationell rätt (artikel 6.3 i dataskyddsförordningen), se avsnitt 5.2.2.
62 Prop. 1979/80:146, med förslag till skatteregisterlag, s. 19.
602Databasregleringen
I dataskyddsförordningen saknas i och för sig bestämmelser som särskilt reglerar vilket skydd enskilda ska ges när uppgifter om dem behandlas i uppgiftssamlingar inom en myndighet. I avsnitt 9.2.3 har vi dock redogjort för kopplingen mellan den rättsliga grunden, ändamålen för behandlingen och principen om uppgiftsminimering enligt dataskyddsförordningen. Skyddet för enskilda i förhållande till myndigheters personuppgiftsbehandling utgörs främst av bestämmelserna om rättslig grund för behandlingen, kraven på särskilda, uttryckligt angivna och berättigade ändamål för behandling och principerna om uppgiftsminimering och lagringsminimering, som är kopplade till ändamålen. Sammanfattningsvis har myndigheterna enligt den allmänna dataskyddsregleringen i dag en skyldighet att endast behandla personuppgifter som är nödvändiga för att utföra sina författningsreglerade uppgifter. Det innebär att det inte är tillåtet för en myndighet att samla in personuppgifter för obestämda framtida behov, för att de kan komma att behövas eller för att skaffa information om förhållanden som saknar betydelse för eller är överflödiga i förhållande till myndighetens behov av att utföra sina författningsreglerade uppgifter. I sammanhanget bör nämnas att också förvaltningslagen (2017:900), FL, ställer krav på myndigheterna i detta avseende. Enligt 5 § FL får en myndighet endast vidta åtgärder som har stöd i rättsordningen, och i sin verksamhet ska myndigheten vara saklig och opartisk. En myndighet får enligt samma bestämmelse ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Åtgärden får vidare aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot (jfr bl.a. avsnitten 5.2.6, 5.2.7 och 8.4.2). Skyddet för enskilda enligt dataskyddsförordningen består även i de krav på säkerhetsåtgärder och tekniska åtgärder som ska säkerställa att principen om uppgiftminimering efterlevs och inte minst de krav på vissa förfaranden som innebär att myndigheterna också måste kunna visa att så sker. Myndigheterna måste även göra konsekvensbedömningar i vissa fall, där behovet av och proportionaliteten hos behandlingen i förhållande till syftena med den ska prövas, och samråda med IMY om behandlingen bedöms kunna vara riskfylld. I sista hand finns även möjligheten för IMY att förbjuda viss särskilt riskfylld behandling (jfr avsnitt 11.7.3).
603Databasregleringen
Dataskyddsförordningens bestämmelser, samt den komplettering och det förtydligande av dessa som framgår av dataskyddslagen, innebär att det i dag finns ett starkare skydd än vid databasregleringens tillkomst för enskildas integritet i fråga om hur och vilka uppgifter en myndighet lagligen kan behandla i sin verksamhet. Den befintliga regleringen av databaser är därmed utformad utifrån andra rättsliga förutsättningar för myndigheters personuppgiftsbehandling än de som gäller i dag. Mot bakgrund av de stora förändringar som skett inom den allmänna dataskyddsregleringen finns det enligt vår mening grund för bedömningen att databasregleringen inte är anpassad efter den rättsliga utvecklingen, och att det finns ett behov av att anpassa den till dagens förhållanden. Det nyss sagda gäller särskilt med beaktande av att databasregleringen genom digitalisering har fått en annan funktion än den avsedda, dvs. att den ofta begränsar vilken information Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten över huvud taget kan behandla.
Den tekniska utvecklingen
Under datalagens giltighetstid utgjorde digital hantering av information ett undantag från övrig verksamhet inom myndigheterna och som krävde tillstånd och licens eller beslut av regering eller riksdag för att få utföras. Även vid tidpunkten för databasregleringens tillkomst var hanteringen av information inom myndigheterna till största delen manuell. Det innebär att när dagens juridiska struktur, dvs. med särreglerade databaser och reglering av vilka uppgifter databaserna får innehålla, infördes så var den en slags särreglering för användandet av en teknik som utgjorde ett undantag från standardförfarandet. I förarbetena framgår att regeringen utgick från att det var möjligt att göra en åtskillnad mellan ärendehanteringssystemen och en informationsbaserad databas, se avsnitten 9.3.1 och 9.3.3. I dag är förhållandena i stället de motsatta. I princip all informationshantering är nu digitaliserad, såväl inom myndigheter som i samhället i stort. Databasregleringen som ursprungligen avsett en avgränsad form av informationshantering är alltså i dag tillämplig vid nästan all informationshantering som förekommer inom myndigheterna. Det innebär att databasregleringen i dag har vissa likheter
604Databasregleringen
med den ordning som gällde under datalagen. Om en uppgift inte ingår i någon av de kategorier som enligt lag eller förordning får förekomma i databasen får den inte förekomma där, och om det inte finns möjlighet att behandla uppgiften avskilt så får uppgiften inte behandlas alls, oavsett behovet i övrigt. På grund av detta har exempelvis regleringen av beskattningsdatabasen behövt ändras vid ett flertal tillfället för att möjliggöra behandling som krävts av ny materiell reglering, se avsnitt 8.4.6. Även om regeringens avsikt med databasregleringen var att införa databaser som ett rent juridiskt begrepp som skulle vara teknikoberoende och flexibelt, avgränsas det rent tekniskt såväl i förarbetena och som i bestämmelsernas utformning. Som vi redan har nämnt förutsätter dagens reglering bl.a. en uppdelning mellan en informationsbaserad del av myndigheternas it-system, som i flera fall förefaller ha överförts i det närmaste oförändrat i sak från de gamla registerlagarna, och ärendehanteringssystem (se avsnitt 9.3.1). Dagens reglering förutsätter även en särbehandling av elektroniska handlingar. Redan vid databasregleringens tillkomst ifrågasattes från myndighetshåll om inte databasbegreppet utgjorde en inadekvat beteckning för myndigheternas informationshanteringssystem. Även regeringen bedömde att det inte var möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skulle anses ske i en databas och därmed omfattas av det särskilda regelverket för denna. Enligt regeringen berodde detta inte minst på att det inte var möjligt att förutse den tekniska utvecklingen inom dataområdet och de möjligheter som kunde öppna sig 63 i fråga om informationsöverföring. Mot bakgrund av den tekniska utvecklingen de senaste 20 åren förefaller den gränsdragningen i dag vara ännu svårare. I dag är it-systemen inom myndigheterna inte längre avgränsade på så sätt att det går att göra en tydlig åtskillnad mellan ärendehanteringssystem och andra former av digital hantering av uppgifter (se avsnitt 9.3.3). Det som rent faktiskt motsvarar den juridiska definitionen av myndigheternas databaser består i dag av flera olika uppgiftssamlingar och informationshanteringssystem som kommunicerar i komplexa samband. Tillämpningen av databasregleringen förutsätter dock prövningar av om uppgifter ska anses vara gemensamt tillgängliga eller inte, vilket kräver överväganden som baseras på hur de tekniska systemen är uppbyggda och hur de kommunicerar med varandra. Begreppet databas framstår därför i dag som missvisande
63 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 90–91.
605Databasregleringen
om syftet är att beteckna myndigheternas tekniska infrastruktur för informationsbehandling. Databasregleringen är sammanfattningsvis utformad efter väsentligt andra tekniska förutsättningar för informationshantering än de som råder i dag, vilket bl.a. fått till följd att regleringen både är svårtillämpad och har fått en annan tillämpning än vad som var avsett. I avsnittet ovan har vi gjort bedömningen att de stora förändringar som skett inom den allmänna dataskyddsregleringen medför att databasregleringen inte kan anses vara anpassad efter den rättsliga utvecklingen. Utifrån de stora skillnaderna mellan den allmänna dataskyddsregleringen vid tidpunkten för bestämmelsernas införande och i dag har vi bedömt att det finns ett behov av att anpassa databasregleringen till dagens förhållanden. Också de förändringar som skett på det tekniska området innebär enligt vår mening att databasregleringen inte kan anses vara anpassad efter aktuella förutsättningar för personuppgiftsbehandling. Det finns därmed ett behov av att anpassa regleringen till dagens förhållanden även utifrån tekniska aspekter.
9.4.2 Att fler än ett fåtal personer har tillgång till vissa
uppgifter kräver inte särskild reglering
Vår bedömning: Det saknas behov av att för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten införa särskilda regler för sådan behandling av personuppgifter som innebär att fler än ett fåtal personer har tillgång till uppgifterna.
Skälen för vår bedömning
Dataskyddsförordningens systematik för riskhantering
Som påpekats tidigare finns det inte några bestämmelser i EU:s dataskyddsförordning som särskilt avser sådana uppgiftssamlingar inom en myndighet som fler än ett fåtal personer inom myndigheten har tillgång till. I stället innehåller dataskyddsförordningen flera olika bestämmelser med innebörden att den personuppgiftsansvariga måste anpassa de åtgärder som vidtas, för att säkerställa att förordningens bestämmelser följs, efter de risker som är förknippade med behand-
606Databasregleringen
lingen, se avsnitt 9.2.3. Det innebär att myndigheterna är skyldiga att alltid anpassa dataskyddet efter de särskilda integritetsrisker som behandlingen innebär. För uppgifter som görs gemensamt tillgängliga, och där det alltså finns en högre risk för de registrerade än om bara ett fåtal medarbetare har tillgång till uppgifterna, måste myndigheterna vidta särskilda tekniska och organisatoriska åtgärder som är adekvata i förhållande till bl.a. vilka och hur många uppgifter som behandlas, samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna. Myndigheterna måste också kunna visa att inte fler uppgifter än som behövs för ändamålet behandlas, samt vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig bl.a. utifrån vilka och hur många uppgifter som behandlas samt den omständigheten att flera personer har möjlighet att ta del av uppgifterna. Myndigheterna måste även se till att medarbetare inte behandlar personuppgifter på ett sätt som är omotiverat utifrån dennas arbetsuppgifter. De organisatoriska åtgärder som en myndighet vidtar ska dessutom redan från början vara utformade så att endast den minsta mängd personuppgifter som krävs för de särskilda åtgärderna behandlas, särskilt när personal med olika arbetsuppgifter och olika behov får åtkomst till uppgifter. Myndigheterna bör dessutom begränsa vilka som kan få tillgång till personuppgifter (och vilken typ av tillgång) grundat på en bedömning av tillgångens nödvändighet. 64 Dataskyddsförordningen innehåller alltså flera bestämmelser som får betydelse för integritetsskyddet i myndigheters uppgiftssamlingar. Betydelsen för integritetsskyddet av särskilda regler för myndigheternas uppgiftssamlingar får mot den bakgrunden anses ha minskat väsentligt sedan 2018. Dataskyddsförordningens bestämmelser är dessutom mer utförliga och ställer i vissa avseende högre krav på myndigheterna än dagens databasreglering gör. Redan av den anledningen finns det enligt vår mening skäl för att inte införa en särreglering avseende uppgifter som är gemensamt tillgängliga inom Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
64 Jfr redogörelsen i avsnitt 11.5.3 för Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard, Version 2.0.
607Databasregleringen
Samma kompletterande regler bör gälla för all behandling inom tillämpningsområdet
En central aspekt av dagens databasreglering är att den innebär en skillnad i skyddsnivå mellan å ena sidan uppgifter som behandlas inom en verksamhet på så sätt att de är tillgängliga för fler än ett fåtal personer, och å andra sidan en sådan personuppgiftsbehandling som sker avgränsat, där endast ett mindre antal personer har tillgång till uppgifterna. Även om en mer omfattande tillgång till personuppgifter inom en myndighet medför att riskerna för de registrerades personliga integritet ökar går det enligt vår mening att ifrågasätta om en sådan skillnad i integritetsskydd i dag är motiverad. Av avsnitt 9.2.3 framgår att den uppgiftssamling för dataanalyser och urval hos Utbetalningsmyndigheten som regleras i lagen om personuppgiftsbehandling vid Utbetalningsmyndigheten inte utgör en databasreglering liknande den som gäller för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Det finns exempelvis ingen bestämmelse som gäller för uppgiftssamlingen vid Utbetalningsmyndigheten som föranleder ett behov hos myndigheten att bedöma om en uppgift är gemensamt tillgänglig eller inte, och inga särskilda regler som avser när handlingar i uppgiftssamlingen ska gallras eller särskilda bestämmelser om elektroniskt utlämnande. I stället utgörs regleringen av uppgiftssamlingen vid Utbetalningsmyndigheten huvudsakligen av bestämmelser som anger vilka uppgifter som får behandlas i uppgiftssamlingen, att de enbart får behandlas där, samt krav på viss dokumentation och uppföljning. Regleringen av uppgiftssamlingen för Utbetalningsmyndighetens dataanalyser och urval förefaller alltså i huvudsak reglera vilka särskilda dataskyddsregler som ska gälla vid myndighetens verksamhet med dataanalyser och urval. 65 Den avgränsar också myndighetens uppdrag att genomföra dataanalyser och urval till de uppgifter som anges. Att regleringen avser en uppgiftssamling förefaller därmed inte ha motiverats av att uppgifter som flera personer inom myndigheten har tillgång till behöver omgärdas av särskilda regler. De befintliga databaserna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten omfattar i och för sig merparten av all den personuppgiftsbehandling som sker vid myndigheterna inom det materiella tillämpningsområ-
65 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 165–166.
608Databasregleringen
det. Hos myndigheterna sker dock fortfarande även viss annan behandling av personuppgifter, t.ex. behandling som utförs av en enskild medarbetare eller av en begränsad grupp medarbetare (se avsnitt 9.3.3). Så var fallet redan vid den befintliga regleringens tillkomst och det kan i dag liksom tidigare bl.a. handla om dataanalyser som sker avgränsat från övrig verksamhet utan möjlighet till åtkomst för andra 66 medarbetare. För behandling utanför databaserna gäller inte de särskilda skyddsåtgärder som föreskrivs för uppgifter som behandlas i databaserna, frånsett vissa bestämmelser om gallring, trots att även den avgränsade behandlingen kan omfatta stora mängder personuppgifter. I registerförfattningarna finns inte heller några begränsningar av vilka uppgifter som får behandlas utanför databaserna för de ändamål som anges i respektive lag, förutom det som i registerlagarna anges om känsliga personuppgifter. Även om databasbegreppet inte utgår från någon särskild teknisk avgränsning eller utformning så rör det sig ändå om en i grunden teknisk fråga, dvs. om åtkomst som på ett rent tekniskt plan är begränsad eller gemensam. Som utgångspunkt bör dock skyddet för fysiska personer vara teknikneutralt och inte beroende av den teknik som används hos respektive myndighet, vilket framgår av skäl 15 till dataskyddsförordningen. Det går enligt vår mening att ifrågasätta om lagstiftning som enbart låter vissa uppgifter omfattas av ett högre integritetsskydd, utifrån en bedömning som utgår från hur den tekniska åtkomsten till uppgifterna är utformad, fullt ut är förenlig med kravet på ett teknikneutralt integritetsskydd. Dataskyddsförordningens krav på säkerhet utgår dessutom från behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Vid behandling av känsliga personuppgifter gäller krav på skyddsåtgärder oavsett om myndigheter behandlar uppgifterna i gemensamma verksamhetssystem eller i ett begränsat utrymme, se avsnitt 10.7. Som vi redan konstaterat är risken för bl.a. obehörig spridning av personuppgifterna självfallet större i ett gemensamt system där personuppgifterna görs tillgängliga för fler personer än när uppgifterna finns i ett system med begränsad åtkomst. Det är dock inte bara tillgängligheten som avgör vilka åtgärder som måste vidtas för att behandlingen ska anses vara förenlig med dataskyddsförordningens bestämmelser. Också mäng-
66 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 67–68.
609Databasregleringen
den uppgifter och framför allt uppgifternas karaktär är viktiga faktorer vid bedömningen av om behandlingen bör omgärdas av särskilda skyddsåtgärder. Skyddsnivån för sådana uppgifter som behandlas vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten bör därför vara lika hög oavsett tillgänglighet i de tekniska systemen. Sammanfattningsvis finns det enligt vår mening inte längre några skäl för att skilja på behandling av personuppgifter i myndigheternas databaser och behandling utanför databaserna. Samma skyddsåtgärder bör i stället gälla för all behandling av personuppgifter som sker inom det materiella tillämpningsområdet för respektive ny föreslagen datalag. Någon särreglering för databaser eller andra uppgiftssamlingar enbart utifrån om de används gemensamt i verksamheterna bör därför inte finnas i den nya dataskyddsregleringen.
9.4.3 Vilka uppgifter som får behandlas bör som
utgångspunkt inte regleras särskilt
Vår bedömning: Det saknas skäl att i de nya lagarna införa bestämmelser om vilka uppgifter myndigheterna får behandla för att utföra sina uppgifter inom respektive lags materiella tillämpningsområde.
Skälen för vår bedömning
Reglering av vilka uppgifter som får behandlas och den rättsliga grunden för behandlingen
De rättsliga grunder för personuppgiftsbehandling som en myndighet kan stödja behandlingen på måste enligt EU:s dataskyddsförordning vara fastställda i unionsrätten eller i nationell rätt (artikel 6.3). I förarbetena till dataskyddslagen klargjorde regeringen att det inte krävs en reglering av den personuppgiftsbehandling som ska ske med stöd av de rättsliga grunder som kan aktualiseras för myndigheter. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att ut-
610Databasregleringen
öva myndighet. 67 Det finns alltså inte något generellt krav inom den allmänna dataskyddsregleringen på att i författning ange vilka uppgifter en myndighet får behandla. Redan vid tidpunkten för de befintliga registerlagarnas tillkomst uttalade regeringen dessutom att som utgångspunkt var det behovet av uppgifter i verksamheten som skulle styra vilka uppgifter som behandlades. Vidare konstaterade regeringen i det sammanhanget att en lag om behandling av personuppgifter inte styrde myndighetens verksamhet, utan i stället bestämdes verksamhetens inriktning av den materiella och processuella lag- 68 stiftningen på området jämte de instruktioner som gällde. Dataskyddsförordningen ställer dock upp vissa krav på den rättsliga grunden som kan medföra att en reglering av vilka uppgifter som får behandlas ändå framstår som nödvändig. Av artikel 6.3 framgår nämligen att unionsrätten och den nationella rätten måste vara proportionell mot det legitima mål som eftersträvas och enligt skäl 41 bör den rättsliga grunden vara tydlig och precis och dess tillämpning vara förutsägbar för personer som omfattas av den. I dataskyddslagens förarbeten uttalade regeringen att skäl 41 är ett uttryck för legalitetsprincipen och därför inte utgör någon nyhet inom den svenska offentliga förvaltningen. Regeringen uttalade även att vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvän- 69 dig måste bedömas från fall till fall, utifrån verksamhetens karaktär. Ett exempel på när reglering av vilka uppgifter som får behandlas har ansetts nödvändig är bestämmelserna om uppgiftssamlingen för Utbetalningsmyndighetens dataanalyser och urval (se avsnitt 9.2.3). Enligt 1 § förordningen (2023:461) med instruktion för Utbetalningsmyndigheten ska myndigheten förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen. Enligt 2 § samma förordning ska myndigheten 1. göra dataanalyser och urval, 2. genomföra inledande och fördjupade granskningar enligt lagen (2023:455) om Utbetalningsmyndighetens granskning av utbetalningar, och
67 Prop. 2017/18:105, Ny dataskyddslag, s. 49. 68 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 123. 69 Prop. 2017/18:105, Ny dataskyddslag, s. 51.
611Databasregleringen
3. administrera ett system med transaktionskonto enligt lagen (2023:454) om transaktionskonto vid Utbetalningsmyndigheten.
Utbetalningsmyndighetens uppgift att utföra dataanalyser och urval regleras inte i någon särskild författning, utan endast i en bestämmelse i myndighetens instruktion. 70 Även i övrigt är regleringen av Utbetalningsmyndighetens uppgifter förhållandevis knapphändig och motsvaras av instruktionen och de lagar som anges i 2 § 2–3 ovan med tillhörande förordningar. Mot den bakgrunden kan en reglering av vilka uppgifter som får behandlas vid myndighetens dataanalyser och urval uppfattas som nödvändig för att uppfylla kravet på tydlighet, förutsebarhet och proportionalitet. 71 Till skillnad från regleringen av Utbetalningsmyndighetens verksamhet med dataanalyser och urval är den nationella och unionsrättsliga lagstiftning som styr Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten mycket omfattande, se kapitel 4 och avsnitten 14.2.1–14.2.3. Den är också i många fall mycket detaljerad avseende vilka förhållanden och uppgifter som har betydelse för en prövning eller som krävs för tillämpningen av en viss rättsregel. Något annat än enstaka exempel är inte möjligt att ge här, men det sagda illustreras bl.a. av följande bestämmelser. Av 3 kap. 7 § inkomstskattelagen (1999:1229) framgår att i syfte att avgöra om en person som tidigare har varit bosatt i Sverige har väsentlig anknytning hit ska följande beaktas: – om han är svensk medborgare, – hur länge han var bosatt här, – om han inte varaktigt är bosatt på en viss utländsk ort, – om han vistas utomlands för studier eller av hälsoskäl, – om han har en bostad här som är inrättad för åretruntbruk, – om han har sin familj här, – om han bedriver näringsverksamhet här,
70 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 114–115. 71 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 165–166.
612Databasregleringen
– om han är ekonomiskt engagerad här genom att inneha tillgångar som, direkt eller indirekt, ger honom ett väsentligt inflytande i näringsverksamhet här, – om han har en fastighet här, och – liknande förhållanden.
Vår bedömning är att det inte kan anses vara otydligt eller svårt att förutse vilka slags uppgifter Skatteverket kan komma att behöva behandla med stöd av den rättsliga grund som 3 kap. 7 § inkomstskattelagen utgör. Av 15 § första stycket folkbokföringslagen framgår att en vistelse för service och omvårdnad eller för stöd, hjälp och annan lättåtkomlig service i en sådan bostad för äldre människor som avses i 5 kap. 5 § andra och tredje styckena socialtjänstlagen (2001:453) i en annan kommun än den där personen var eller borde ha varit folkbokförd när han eller hon flyttade till den aktuella bostaden, inte ska anses leda till ändrad bosättning om vistelsen har beslutats av den kommun där han eller hon var eller borde ha varit folkbokförd. Om personen inte längre disponerar en bostad på den fastighet där han eller hon förut var eller borde ha varit folkbokförd, anses personen bosatt endast i kommunen eller, om ändrade förhållanden föranleder det, på en annan fastighet. Även om bestämmelsen i 15 § första stycket folkbokföringslagen inte uttryckligen anger de olika uppgifter som ska beaktas vid tilllämpningen, framgår tydligt vilka förhållanden som ges betydelse för var personen i fråga ska vara folkbokförd. Dessa förhållanden, bl.a. om den registrerade vid prövningstidpunkten disponerar en bostad på den fastighet där han eller hon förut var folkbokförd, är i sin tur också styrande för vilka uppgifter Skatteverket måste behandla vid tillämpningen av bestämmelsen. Det kan därför inte anses vara otydligt eller svårt att förutse vilka slags uppgifter Skatteverket kan komma att behöva behandla med stöd av den rättsliga grund som 15 § första stycket folkbokföringslagen utgör. Av artikel 47.2 i tullkodex 72 framgår att inom ramen för riskhantering och tullkontroller och om det är nödvändigt för att minimera risker och bekämpa bedrägerier, får tullmyndigheterna och andra
72 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen.
613Databasregleringen
behöriga myndigheter med varandra och med kommissionen utbyta uppgifter som mottas om införsel, utförsel, transitering, befordran, lagring och slutanvändning, inbegripet posttrafik, som befordras mellan unionens tullområde och länder eller territorier utanför unionens tullområde, om förekomst och befordran inom unionens tullområde av icke-unionsvaror och varor som omfattas av förfarandet för slutanvändning samt om resultaten av eventuella kontroller. Tullmyndigheterna och kommissionen får också utbyta sådana uppgifter med varandra i syfte att säkerställa en enhetlig tillämpning av tullagstiftningen. Vilka uppgifter som får behandlas av Tullverket med stöd av den rättsliga grund som artikel 47.2 i tullkodex utgör är inte lika tydligt som avseende de två andra exemplen ovan, enbart utifrån bestämmelsens utformning. Läst tillsammans med andra bestämmelser, exempelvis de som avser vilka uppgifter som ska lämnas vid införsel och utförsel av varor, framstår det dock inte som oklart eller svårt att förutse vilka uppgifter som kan komma att behöva behandlas av Tullverket. Av 7 § skuldsaneringslagen (2016:675) framgår att skuldsanering får beviljas om gäldenären är insolvent och så skuldsatt att han eller hon med hänsyn till samtliga omständigheter inte kan antas ha förmåga att betala sina skulder inom överskådlig tid. Vilka uppgifter Kronofogdemyndigheten kan komma att behandla med stöd av den rättsliga grund som 7 § skuldsaneringslagen utgör är svårt att förutse, eftersom det avser samtliga omständigheter som kan vara relevanta i det enskilda fallet. I förarbetena till bestämmelsen anges att i beräkningen måste samtliga kända omständigheter beaktas. Exempel som tas upp är bl.a. gäldenärens ålder, hälsa, inkomst, arbetsförmåga, utbildning och möjlighet att vid arbetslöshet erhålla arbete och förväntade inkomster. Andra förhållanden som kan beaktas är t.ex. gäldenärens familjeförhållanden och förhållandena på arbetsmarknaden både på bostadsorten och i allmänhet. 73 Kravet på att omständigheterna ska ha betydelse för gäldenärens förmåga att betala medför enligt vår mening att det ändå är tydligt vilken sort uppgifter som avses, dvs. sådana som kan påverka en skuldsatt människas möjligheter att betala sina skulder. Att någon annan begränsning inte görs av vilka uppgifter som får tillmätas betydelse vid Krono-
73 Prop. 2015/16:125, Skuldsanering – förbättrade möjligheter för överskuldsatta att starta om på nytt, s. 207.
614Databasregleringen
fogdemyndighetens prövning innebär enligt vår mening inte att den rättsliga grunden för behandlingen framstår som oprecis, oförutsebar eller oproportionell mot det legitima mål som eftersträvas. Den rättsliga grunden för behandling av personuppgifter vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten kan sammanfattningsvis inte sägas vara vagt formulerad eller knapphändig. Något behov av att i författning ange vilka personuppgifter myndigheterna får behandla för att utföra sina författningsreglerade uppgifter kan därför inte anses föreligga av det skälet. Det skulle dock kunna argumenteras att en begränsning i författning av vilka uppgifter en myndighet får behandla för att utföra sina uppgifter är påkallad för att den rättsliga grunden ska vara proportionerlig, särskilt om det rör omfattande behandling och sådan behandling som enskilda inte har rätt att motsätta sig. En sådan reglering borde även kunna motiveras av karaktären på uppgifterna och vad de ska användas till, exempelvis personuppgifter som är mycket integritetskänsliga eller skyddsvärda. Som vi påpekat ovan är dock regleringen av myndigheternas respektive verksamheter mycket omfattande. I regel anges, direkt eller indirekt, vilka förhållanden och uppgifter som ska ha betydelse för tillämpningen av respektive bestämmelse. I de fall där det redan av den materiella verksamhetsregleringen framgår vilka uppgifter den ansvariga myndigheten får eller måste behandla för att utföra sin verksamhet, eller vilka förhållanden som påverkar utfallet av en viss prövning, bör inte kravet på proportionalitet anses kräva att dessa uppgiftskategorier också anges i den kompletterande dataskyddsregleringen. Principen om uppgiftsminimering kräver dessutom redan att de personuppgiftsansvariga myndigheterna begränsar den mängd uppgifter som behandlas för ett visst ändamål till vad som är nödvändigt för att uppnå ändamålen med behandlingen. Det avser både om vilka personer uppgifter behandlas (de som träffas av den materiella verksamhetsregleringen) som vilka uppgifter om personerna som behandlas (de uppgifter som enligt den materiella verksamhetsregleringen tillmäts betydelse). Dessutom ska en längsta tid för behandlingen bestämmas utifrån ändamålet med behandlingen (principen om lagringsminimering). Redan av bestämmelserna i dataskyddsförordningen följer att Skatteverket, Tullverket och Kronofogdemyndigheten inte får samla in och senare behandla fler personuppgifter än vad som är
615Databasregleringen
nödvändigt för att utföra sin verksamhet enligt nationell rätt eller unionsrätten. Databasregleringen tillkom dessutom inte i syfte att sätta upp begränsningar för vilka uppgifter myndigheterna över huvud taget skulle få behandla, utan i syfte att reglera vilka uppgifter som skulle få vara gemensamma i en verksamhet. Vidare ger regleringen stöd för att använda de gemensamma uppgifterna för samtliga reglerade ändamål. Dagens uppräkning av vilka uppgifter som får finnas i databaserna (se avsnitt 9.3.2) kan alltså främst ses som en del av den rättsliga grunden avseende behandling som innebär att uppgifterna används gemensamt, och att uppgifterna därmed även kan användas för andra ändamål än insamlingsändamålet, se avsnitt 8.4.6 om finalitetsprincipen och databasregleringen. Frågan om vidarebehandling är dock en fråga som är skild från frågan om vilka uppgiftskategorier som får behandlas i syfte att utföra de uppgifter som myndigheterna enligt lag och förordning, eller unionsrätten, är skyldiga att utföra. Att bestämmelserna ändå har fått en begränsande funktion har att göra med att de fått ett vidare tillämpningsområde genom digitaliseringen av myndigheternas verksamhet. Det skulle kunna argumenteras att en reglering som motsvarar databasregleringen behövs även i en helt digitaliserad verksamhet, eftersom behovet av att särreglera gemensamt tillgängliga uppgifter också kan uppkomma utifrån ett proportionalitetskrav. Frågan om vilka uppgifter som får användas gemensamt i en verksamhet, dvs. även för andra ändamål än insamlingsändamålet, avgörs genom den prövning som ska göras enligt finalitetsprincipen (finalitetsprövning, också kallat förenlighetsprövning). I den mån en kategori uppgifter inte bör användas gemensamt, eller annorlunda uttryckt vidarebehandlas, inom en myndighet förefaller dock en lämpligare lösning vara att särskilda bestämmelser införs som tar sikte på att finalitetsprincipen inte ska vara tillämplig för den uppgiftskategorin, eller att uppgifterna enbart får användas för vissa ändamål, se avsnitt 8.4.6 om finalitetsprincipen och databasregleringen. I den mån en sådan begränsning införs bör det också innebära att den rättsliga grunden för behandling av den specifika kategorin uppgifter har justerats för att göra den rättsliga grunden proportionell i förhållandet till det eftersträvade målet. I avsnitten 8.4.7 och 8.4.8 gör vi dock bedömningen att någon sådan reglering inte framstår som motiverad i dag.
616Databasregleringen
Sammanfattningsvis är vår bedömning att en reglering av vilka uppgifter Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten ska få behandla inte är nödvändig för att den rättsliga grunden ska anses vara proportionell mot det legitima mål som eftersträvas. Det kan dock inte uteslutas att ett sådant behov uppkommer i framtiden avseende vissa särskilt skyddsvärda uppgiftskategorier. Först i en sådan situation bör det enligt vår bedömning uppkomma skäl för en reglering som går utöver vad som redan följer av principen om uppgiftsminimering och finalitetsprincipen, som utgör grundläggande principer för behandling enligt dataskyddsförordningen.
Är reglering av vilka uppgifter som får behandlas nödvändig med hänsyn till grundlagsskyddet mot intrång i den personliga integriteten?
Skyddet mot betydande intrång i den personliga integriteten regleras i 2 kap. 6 § andra stycket RF. I de fall myndigheters personuppgiftsbehandling utgör en begränsning av detta integritetsskydd har regeringen tidigare bedömt att ramarna för myndighetens personuppgiftsbehandling måste slås fast i lag, liksom att de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Mer detaljerade bestämmelser som kompletterar lagregleringen kan finnas i förordning och får inte utgöra ett betydande intrång i den personliga integriteten. 74 I avsnitt 6.2 har vi bedömt att en behandling av personuppgifter vid myndigheterna som utgör ett intrång i det grundlagsreglerade skyddet för den personliga integriteten i vissa fall är nödvändig för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina respektive samhällsviktiga verksamheter. Vi har i avsnitt 8.4.3 om ändamålsbestämmelser bedömt att grundlagsskyddets krav på lagform tillgodoses genom den där föreslagna ändamålsbestämmelsen. I avsnitt 14.8 har vi även föreslagit en särskild lagreglerad ändamålsbestämmelse för dataanalyser och urval. En ändamålsbestämmelse i lag innebär att ramen för behandling av personuppgifter i ett informationssystem med ett stort antal, och i vissa fall integritetskänsliga, uppgifter fastställs av riksdagen. Ändamålsbestämmelserna är därmed de bestämmelser som ger lagstöd för
74 Se t.ex. prop. 2014/15:148, Domstolsdatalag, s. 23.
617Databasregleringen
sådan behandling som kan anses omfattas av grundlagsskyddet för den personliga integriteten. Mot den bakgrunden har vi bedömt att det är nödvändigt att införa nya bestämmelser som tillåter myndigheterna att behandla personuppgifter för vissa ändamål. Enligt vår bedömning kan dock inte grundlagsskyddet också anses kräva en reglering av vilka kategorier av personuppgifter som får behandlas inom myndigheterna.
9.4.4 Folkbokföringsdatabasen och definitionen
av folkbokföring
Vår bedömning: Legaldefinitionen av folkbokföring bör inte hänvisa till dataskyddsregleringen.
Skälen för vår bedömning
Från kyrkan till staten
Under flera hundra år var det kyrkan som, genom prästernas ansvar att föra husförhörslängder, registrerade uppgifter om befolkningen. Uppgifterna bevarades bl.a. i olika kyrkoböcker. 75 Det rörde sig om anteckningar om dop och andra religiösa händelser, men även födelsetid och bosättning. 76 Uppgifterna i kyrkobokföringen användes tidigt även som underlag för s.k. mantalsskrivning vars huvuduppgift var 77 att ligga till grund för beskattningen. Genom 1946 års folkbokföringsreform fastslogs att folkbokföringens huvudsakliga syfte var att hålla register över medborgarna för samhällets behov. 78 1987 fattade riksdagen beslut om en ny organisation för folkbokföringen med innebörden att ansvaret för den löpande folkbokföringen skulle föras över från kyrkan till de lokala skattemyndigheterna. I samband med den nya organiseringen av folkbokföringen konstaterade regeringen att den grundläggande betydelse
75 Skatteverkets webbsida, Folkbokföringens historia, tillgänglig: https://skatteverket.se/privat/folkbokforing/attvarafolkbokford/folkbokforingenshistoria.4. 18e1b10334ebe8bc80003006.html [hämtad 2023-09-14]. 76 Prop. 1986/87:158, om ny organisation för folkbokföring, s. 28. 77 Prop. 1986/87:158, om ny organisation för folkbokföring, s. 2–3. 78 Skatteverkets webbsida, Folkbokföringens historia, tillgänglig: https://skatteverket.se/privat/folkbokforing/attvarafolkbokford/folkbokforingenshistoria.4. 18e1b10334ebe8bc80003006.html [hämtad 2023-09-14].
618Databasregleringen
som folkbokföringen hade för samhället förutsatte en mer rationell hantering av folkbokföringen än tidigare. Det lämpligaste var därför att skatteförvaltningen skulle ha ansvaret för den löpande folkbok- 79 föringen.
Folkbokföringsregister
Vid 1987 års folkbokföringsreform uttalade regeringen att de manuella register som fanns inom folkbokföringen skulle ersättas av ADBförda register, dvs. datoriserade register. Regeringen konstaterade att datalagens bestämmelser skulle komma att bli tillämpliga på registren, men ansåg att folkbokföringsverksamhetens registerfrågor skulle regleras i en särskild lag i syfte att stärka skyddet för de registrerades personliga integritet. I lagen skulle bl.a. registerinnehållet regleras. 80 Vilka uppgifter det rörde sig om följde enligt regeringen av särskilda bestämmelser som främst återfanns i dåvarande folkbokföringslagen (1967:198) och folkbokföringskungörelsen (1967:495). Regeringen konstaterade att även många andra författningar, bl.a. namnlagen (1982:670) och föräldrabalken, innehöll bestämmelser om uppgiftsskyldighet till folkbokföringsmyndigheten. 81 I registerlagen skulle slås fast dels för vilka personer som uppgifter fick föras in, dels vilka uppgifter som registreringen fick avse. Beskrivning av innehållet skulle i allt väsentligt vara heltäckande. Endast de uppgifter som behövdes för folkbokföringsverksamheten skulle finnas i registret, vilket i princip var fråga om de uppgifter som skulle finnas antecknade enligt bestämmelser i framför allt folkbokföringsförfattningarna, men också i andra författningar, t.ex. namnlagen. 82
Registerlagarna och den materiella regleringen
I förarbetena till den nuvarande folkbokföringslagen, FOL, uttalade regeringen att det sedan länge hade rått enighet om att den dåvarande folkbokföringen hade brister och behövde rationaliseras och förbättras. 83 Som ett led i rationaliseringen och förbättringen skulle folkbok-
79 Prop. 1986/87:158, om ny organisation för folkbokföring, s. 21, 22, 24 och 32. 80 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 15. 81 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 16–17. 82 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 23. 83 Prop. 1990/91:153, om ny folkbokföringslag m.m., s. 81.
619Databasregleringen
föringsregistren börja föras med hjälp av automatisk databehandling hos skattemyndigheterna. Ett lokalt register skulle finnas för varje lokalt skattekontors verksamhetsområde och ett centralt referens- 84 register skulle finnas för hela landet. Ursprungligen hade 1 § FOL därmed följande lydelse. Folkbokföring sker fortlöpande i register som skattemyndigheten för enligt särskilda bestämmelser.
Från och med 1995 hade bestämmelsen i 1 § följande lydelse. Folkbokföring enligt denna lag innebär fastställande av en persons bosättning samt registrering av uppgifter om identitet, familj och andra förhållanden som enligt lagen (1990:1536) om folkbokföringsregister får förekomma i sådant register. 85
I förarbetena till den nya lydelsen konstaterade regeringen att regleringen i lagen i huvudsak gick ut på att fastställa var en person skulle anses vara bosatt. Folkbokföring innefattade dock också beslut om att registrera olika personuppgifter, bl.a. civilstånd, vilket inte klart framgick av bestämmelsens tidigare lydelse. Frågan om vad som utgjorde ärende enligt folkbokföringslagen hade därför gett upphov till olika tolkningar. Bestämmelsen borde därför ändras så att det klargjordes att folkbokföring även innefattade registrering av personuppgifter. 86 I dag hänvisas inte längre till lagen om folkbokföringsregister i 1 § första stycket FOL, utan till folkbokföringsdatabaslagen. Lydelsen i denna del kom till i samband med att databasregleringen infördes. Bestämmelsens förändrade lydelse var dock enligt regeringen 87 enbart en följd av införandet av folkbokföringsdatabaslagen.
Legaldefinitionen av folkbokföring bör inte längre hänvisa till dataskyddsregleringen
Databasregleringens syfte är att reglera vilka uppgifter som får behandlas gemensamt inom folkbokföringsverksamheten för vissa ändamål. Mot bakgrund av de tekniska och rättsliga förutsättningarna för personuppgiftsbehandling som råder i dag framstår en särskild regler-
84 Prop. 1990/91:153, om ny folkbokföringslag m.m., s. 133. 85 SFS (1994:1975). 86 Prop. 1994/95:94, Ändringar i folkbokföringslagen m.m., s. 14. 87 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 227.
620Databasregleringen
ing av vilka uppgifter som får göras gemensamt tillgängliga inom en myndighet som obehövlig, se avsnitt 9.4.2. Den legala definitionen av vad folkbokföring utgör är dock knuten till databasregleringen, dvs. regleringen av vilka uppgifter som får behandlas gemensamt i verksamheten. Databasregleringen borde därför också anses utgöra en oundgänglig del av den rättsliga grunden för behandling av personuppgifter inom folkbokföringsverksamheten. Det skulle kunna anses utgöra ett skäl för att även i den nya folkbokföringsdatalagen föreslå en särskilt reglerad uppgiftssamling där enbart vissa uppgifter får behandlas. En av våra utgångspunkter för att åstadkomma en ändamålsenlig och modern lagstiftning är dock att dataskyddsreglering och materiell reglering bör hållas åtskilda, se avsnitt 5.2.6. Utifrån den synvinkeln bör dagens systematik i stället förändras. Den absoluta merparten av alla människor som kan antas komma att vistas i Sverige under minst ett år ska folkbokföras. Den rättsliga grunden för en så omfattande och därtill obligatorisk registrering bör enligt vår mening vara särskilt tydlig och förutsebar. 88 Även mot bakgrund av den stora betydelse folkbokföringsuppgifter kan ha i olika situationer bör höga krav kunna ställas på den rättsliga grunden för behandlingen. Som exempel kan registrering av civilstånd eller relation till barn ha betydelse i frågor om enskildas rätt till olika förmåner. En registrering i folkbokföringsdatabasen får dessutom en presumtionsverkan, vilket ytterligare tydliggör betydelsen av att den rättsliga grunden för folkbokföring är tydlig och förutsebar. Högsta förvaltningsdomstolen har uttalat att stabiliteten när det gäller registrerade identitetsuppgifter är av så central betydelse att beviskravet för att ändra sådana uppgifter måste vara högt. För att få bifall till en begäran om ändring av registrerade identitetsuppgifter, måste den enskilde presentera bevisning som innebär att det klart framgår att de nya uppgifterna är riktiga. Vid bevisvärderingen ska beaktas om den enskilde på ett tillfredsställande sätt kan förklara varför de tidigare uppgifterna har lämnats samt i vilka avseenden eventuella handlingar och annan bevisning som har åberopats till stöd för dem är felaktiga. 89 Ytterligare ett förhållande som talar för att de bestämmelser som reglerar vad folkbokföring innebär bör vara tydliga och förutsebara
88 Jfr skäl 41 till EU:s dataskyddsförordning. 89 Jfr Högsta förvaltningsdomstolens avgörande HFD 2019 ref. 9 i fråga om bevisbörda och beviskrav vid ändring av identitetsuppgifter i folkbokföringen.
621Databasregleringen
är att den som lämnar en oriktig uppgift till grund för beslut om folkbokföring kan dömas för folkbokföringsbrott till böter eller fängelse. 90 En ordning där legaldefinitionen av folkbokföring knyts till en särreglerad uppgiftssamling i dataskyddsregleringen måste dock anses vara både omotiverat komplicerad och svårtillgänglig, särskilt för enskilda registrerade. Det nyss sagda förstärks av att samtliga uppgiftskategorier som anges i databasregleringen inte motsvarar sådana uppgifter om en person som registreras i samband med folkbokföring. Syftet med databasen är att reglera vilka uppgifter som får vara gemensamt tillgängliga inom verksamheten, inte att ange vilka uppgifter om en person som registreras i samband med folkbokföring. Ett exempel på att samtliga uppgifter som får behandlas i folkbokföringsdatabasen inte utgör personuppgifter som registreras i samband med folkbokföring är de uppgifter som får behandlas i databasen men som avser uppgifter med anknytning till systemet med samordningsnummer, enligt 2 kap. 3 § första stycket 18–20 FdbL. Samordningsnummer tilldelas dock enbart personer som inte är eller har varit folkbokförda. 91 Ett annat exempel på att samtliga uppgifter som i dag får behandlas i databasen inte utgör sådan personinformation som registreras vid folkbokföring är de uppgifter som enligt 2 kap. 3 § andra stycket FdbL får behandlas i databasen. I bestämmelsen anges uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen. I förarbetena konstaterade regeringen att uppgifterna som fanns registrerade enligt detta stycke oftast avsåg vilket lagrum en registrering grundade sig på, t.ex. enligt vilken bestämmelse i namnlagen som ett namnbyte hade skett. Med stöd av bestämmelsen kunde även upplysningar om att en uppgift var obestyrkt finnas antecknade. Regeringen påpekade i sammanhanget att några nya uppgifter inte skulle komma att antecknas i folkbokföringsregistren enligt bestämmelsen. Det rörde sig enligt regeringen endast om att i det då nya folkbokföringsregistret föra in de uppgifter som den 30 juni 1991 fanns antecknade i personakter. Motsvarande nya uppgifter skulle därefter enligt regeringen föras in i diarierna och bestämmelsen hade därför karaktären av en övergångsbestämmelse. 92 De uppgifter som enligt 2 kap.
90 42 § FOL. 91 2 kap. 1 § lagen om samordningsnummer. 92 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 41.
622Databasregleringen
3 § andra stycket FdbL får behandlas i databasen avser alltså inte någon specifik uppgift om en person som registreras i samband med att han eller hon folkbokförs. I dag framgår som redan nämnts av 1 § FOL att folkbokföring innebär fastställande av en persons bosättning samt registrering av de uppgifter om personen som får förekomma i folkbokföringsdatabasen. I folkbokföringsdatabasen får dock flera uppgiftskategorier behandlas som inte motsvarar uppgifter om en person som registreras vid folkbokföring. Det kan därför upplevas som otydligt vilka uppgifter som får, när det är relevant, registreras om en person när han eller hon folkbokförs. Vilka uppgifter som får registreras om en person vid folkbokföring bör dock vara tydligt. Vår bedömning är att det inte är ändamålsenligt att vad folkbokföring innebär i fråga om registrering av uppgifter utgår från vilka uppgifter som får behandlas i en särskilt reglerad uppgiftssamling i den kompletterande dataskyddsregleringen. Legaldefinitionen av folkbokföring bör alltså inte hänvisa till den kompletterande dataskyddsregleringen.
9.4.5 Vad folkbokföring innebär ska framgå
av folkbokföringslagen
Vårt förslag: Folkbokföring enligt folkbokföringslagen ska innebära fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt lagen. Skatteverket ska få registrera följande uppgifter om en person: 1. personnummer, 2. samordningsnummer, 3. namn, 4. födelsetid, 5. födelsehemort, 6. födelseort och födelseland, 7. adress, 8. folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, folkbokföring under särskild rubrik och distrikt,
623Databasregleringen
9. medborgarskap, 10. civilstånd, 11. make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, 12. samband enligt 11 som är grundat på adoption, 13. inflyttning från utlandet, 14. avregistrering, 15. gravsättning, 16. personnummer som personen har tilldelats i ett annat nordiskt land, och 17. uppehållsrätt.
Skälen för vårt förslag
Definitionen av folkbokföring bör framgå av folkbokföringslagen
Som vi konstaterat i avsnittet ovan innebär dagens systematik, där legaldefinitionen av folkbokföring hänvisar till en särskilt reglerad uppgiftssamling i den kompletterande dataskyddsregleringen, att det kan upplevas som otydligt vilka uppgifter som registreras om en person när han eller hon folkbokförs. I fortsättningen bör det enligt vår mening finnas en större tydlighet kring vilka uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs. Vi har inte kunnat se att dagens systematik har motiverats av att den ansetts vara särskilt flexibel eller ändamålsenlig eller tillgodosett något annat faktiskt behov. Något annat skäl för att behålla dagens systematik har vi inte heller funnit. Vi bedömer därför att behovet av tydlighet kan bli tillgodosett genom att vad folkbokföring innebär i fråga om registrering av uppgifter anges i folkbokföringslagen. Det nyss sagda innebär att lydelsen av 1 § FOL bör ändras till att avse sådana uppgifter som får registreras enligt lagen. Vi föreslår därför att folkbokföring enligt folkbokföringslagen ska innebära fastställande av en persons bosättning samt registrering av de uppgifter om personen som får registreras enligt lagen.
624Databasregleringen
En ny bestämmelse som i relevanta delar motsvarar regleringen av databasens innehåll
Vilka uppgifter som får registreras i samband med folkbokföring bör framgå av en ny paragraf i folkbokföringslagen. Som vi nämnt ovan utgör dock inte alla uppgifter som i dag får behandlas i folkbokföringsdatabasen enligt 2 kap. 3 § FdbL sådana uppgifter som ska registreras vid folkbokföring. Enbart de uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs ska anges i den nya bestämmelsen. Skatteverket har ett ansvar för att vissa uppgifter registreras i samband med folkbokföring. Syftet med den nya bestämmelsen är att tydliggöra vilka uppgifter om en person som Skatteverket får registrera om en person i samband med att han eller hon folkbokförs. Den syftar inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla i verksamheten med folkbokföring. Som vi påpekat i avsnitt 9.4.3 ovan är det den materiella verksamhetsregleringen som styr vilka uppgifter Skatteverket får behandla för att utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i den nya bestämmelsen innebär alltså inte att Skatteverket är förhindrat att behandla sådana uppgifter, utan enbart att det inte är en sådan uppgift om en person som, om det är relevant, registreras i samband med folkbokföring.
Grundläggande folkbokföringsuppgifter
Att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden är inte bara en förutsättning för Skatteverkets fastställande av skatter utan även för att andra samhällsfunktioner ska ha ett korrekt underlag för beslut och åtgärder. Uppgifter i folkbokföringen kan ligga till grund för bl.a. ersättningar och bidrag men även samhällsplanering och forskning. 93 Vissa uppgifter som i dag får behandlas i folkbokföringsdatabasen är tydligt kopplade till folkbokföringens syfte och dessa uppgifter bör även anges i den nya bestämmelsen i folkbokföringslagen. Det rör sig bl.a. om uppgifter om personnummer, namn, födelsetid, adress, folkbokföringsfastighet, medborgarskap, civilstånd, vissa familjeförhållanden
93 Prop. 2020/21:160, Säkrare samordningsnummer och bättre förutsättningar för korrekta uppgifter i folkbokföringen, s. 23.
625Databasregleringen
och inflyttning från utlandet. Dessa uppgifter som får behandlas i folkbokföringsdatabasen och som även bör anges i den nya bestämmelsen i folkbokföringslagen framgår av 2 kap. 3 § första stycket 1– 13 och 15–17 FdbL. Nedan bedömer vi dock att vissa justeringar bör göras i förhållande till den reglering som i dag finns i FdbL. Vi förslår därför att uppgifter som anges i 2 kap. 3 § första stycket 1–13 och 15–17 FdbL anges i den nya bestämmelsen i folkbokföringslagen, med vissa justeringar.
Registrering av uppgift om födelseland
Enligt 2 kap. 3 § första stycket 4 och 5 FdbL får uppgift om födelsehemort och födelseort behandlas i folkbokföringsdatabasen. Innan databasregleringen infördes fanns motsvarande bestämmelse i lagen om folkbokföringsregister. När databasregleringen tillkom fördes bestämmelser om vilka uppgifter det tidigare folkbokföringsregistret fick innehålla i stort sett oförändrade till regleringen av vilka uppgifter databasen fick innehålla, och därmed göras gemensamt tillgängliga. 94 I förarbetena till bestämmelserna i lagen om folkbokföringsregister konstaterade regeringen att med födelsehemort avsågs normalt den församling i vilken personens moder var folkbokförd när personen i fråga föddes. Med födelseort menades enligt regeringen både födelseort och land för en person som var född i utlandet. 95 Skatteverket har uppgett till utredningen att uppgift om födelseland alltid behandlas i databasen för personer som är födda utomlands, med stöd av bestämmelserna i folkbokföringsdatabaslagen och de nyss nämnda förarbetsuttalandena. Som vi konstaterat ovan bör den nya regleringen vara tydlig avseende vilka uppgifter som registreras i samband med att en person folkbokförs. Mot bakgrund av nämnda förarbetsuttalanden får det med födelseort, enligt vår bedömning, även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl bör detta uttryckligen framgå av den nya bestämmelsen i folkbokföringslagen. Detta förtydligande innebär dock ingen ändring i sak eller utvidgning av vad folkbokföring innebär.
94 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 141. 95 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.
626Databasregleringen
Annan person som den registrerade har samband med inom folkbokföringen
I dag får enligt 2 kap. 3 § första stycket 10 FdbL uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen behandlas i folkbokföringsdatabasen. Vad som avses med annan person som den registrerade har samband med inom folkbokföringen framgår dock inte av den bestämmelsen. Däremot framgår av 5 § FdbF att detta begrepp avser annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Det är enligt vår mening svårt att hitta ett skäl till att vad som avses ska regleras skilt från bestämmelsen i sig. Eftersom uttrycket dessutom redan har en avgränsad betydelse bör denna av tydlighetsskäl framgå direkt av den nya bestämmelsen i folkbokföringslagen. Vi föreslår därför att uppgifter om make, barn, föräldrar, vårdnadshavare och annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt ska få registreras vid folkbokföring. Även om bestämmelsen därmed får en ändrad lydelse i förhållande till i dag bör det inte utgöra någon ändring i sak eller utvidgning av vad folkbokföring innebär.
Anmälan enligt 5 kap. 2 § vallagen
Enligt 2 kap. 3 § första stycket FdbL får anmälan enligt 5 kap. 2 § vallagen behandlas i folkbokföringsdatabasen. Av bestämmelsen i vallagen framgår att svenska medborgare som inte längre är folkbokförda i landet ska tas upp i röstlängd under tio år från den dag folkbokföringen upphörde. Därefter ska de, för tio år i sänder, tas med i röstlängden endast om de skriftligen har anmält sin adress hos Skatteverket. Bestämmelsen avser alltså adressanmälningar från personer som sedan mer än tio år tillbaka inte är folkbokförda i Sverige. När bestämmelsen i folkbokföringsdatabaslagen infördes skulle ett helt nytt röstlängdsystem införas. Utlandssvenskar skulle då tas upp i röstlängd automatiskt mot bakgrund av de uppgifter som fanns i folkbokföringssystemet i tio år efter utflyttningen. I övergångsbestämmelserna till den nya regleringen angavs att vid bl.a. val till riksdagen skulle de som inte varit folkbokförda i landet någon gång efter den 1 juli 1991 bara tas upp i röstlängd om de hade anmält att
627Databasregleringen
de ville finnas i den. I den då gällande särskilda röstlängden kunde det enligt regeringen finnas ett antal svenskar som inte varit folkbokförda i landet efter den 1 juli 1991, som genom att ansöka om att bli upptagna i särskild röstlängd deklarerat sitt intresse att delta i val i Sverige. För att säkerställa denna grupps möjlighet att rösta i kommande val föreslog regeringen att uppgifter om namn och adress över dessa väl- 96 jare skulle få föras över till de lokala folkbokföringsregistren. Enligt 5 kap. 1 § andra stycket vallagen ska röstlängder i dag bl.a. grundas på de uppgifter som 30 dagar före valdagen finns i folkbokföringsdatabasen. Uppgifterna om anmälan enligt 5 kap. 2 § vallagen fyller därmed en viktig funktion mot bakgrund av hur röstlängderna framställs. Det rör dock uppgifter om personer som sedan mer än tio år tillbaka inte är folkbokförda i Sverige. Mot den bakgrunden går det enligt vår mening att ifrågasätta i vilken utsträckning sådana uppgifter kan anses avse uppgifter som registreras om en person när han eller hon folkbokförs. Uppgifterna kan i och för sig sägas vara en konsekvens av att en person vid något tillfälle varit folkbokförd i Sverige, vilket skulle kunna tala för att de även ska anges i den nya bestämmelsen i folkbokföringslagen. Mot bakgrund av den långa tid som måste ha förflutit sedan personen senast var folkbokförd för att en anmälan enligt 5 kap. 2 § vallagen ska aktualiseras är dock vår bedömning att uppgifterna inte kan anses avse sådana uppgifter som registreras om en person i samband med folkbokföring. I den nya bestämmelsen i folkbokföringslagen bör sådana uppgifter därför inte anges. Det innebär inte att Skatteverket kommer att vara förhindrat att behandla uppgifter om anmälningar enligt 5 kap. 2 § vallagen inom folkbokföringsverksamheten. Som framgår ovan följer av den bestämmelsen att Skatteverket ska ta emot anmälningar om adress från svenska medborgare som sedan mer än tio år tillbaka inte är folkbokförda i landet. Det finns följaktligen en rättslig grund för Skatteverkets behandling av sådana uppgifter även om det inte särskilt anges i folkbokföringslagen. Vi har dessutom i avsnitt 9.4.2 ovan föreslagit att folkbokföringsdatabasregleringen upphävs. Bestämmelsen i 5 kap. 1 § andra stycket vallagen om vilka uppgifter röstlängder ska grundas på måste alltså under alla förhållanden ändras, se avsnitt 6.3 om följdändringar.
96 Prop. 1996/97:70, Ny vallag, s. 22, 69, 139 och 250.
628Databasregleringen
Registrering av uppgift om uppehållsrätt
I 2 kap. 3 § första stycket 17 FdbL anges att uppgift om uppehållsrätt för en person som är folkbokförd får behandlas i folkbokföringsdatabasen. Eftersom vi föreslår att dessa uppgifter i stället ska anges direkt i folkbokföringslagen framstår tillägget om att uppgiften om uppehållsrätt enbart ska registreras för den som är folkbokförd som överflödigt. Vi anser därför att det saknas skäl att ange detta i den nya bestämmelsen i folkbokföringslagen. Förslaget utgör ingen ändring i sak och innebär inte heller i övrigt någon förändring av vad folkbokföring innebär.
Uppgifter med särskild koppling till systemet för samordningsnummer
Att enbart de uppgifter som, när det är relevant, får registreras av Skatteverket med anledning av att en person folkbokförs ska anges i den nya bestämmelsen innebär att uppgifter som i dag anges i 2 kap. 3 § första stycket FdbL, men som enbart är relevanta i systemet för samordningsnummer, inte ska anges i bestämmelsen. De uppgifter som i dag anges i 2 kap. 3 § första stycket 18–20 FdbL och som avser verksamhet enligt lagen om samordningsnummer ska därför inte anges i den nya bestämmelsen. I dag anges i 2 kap. 3 § 1 första stycket FdbL att person- eller samordningsnummer får behandlas i folkbokföringsdatabasen. Personnummer är särskilt knutet till folkbokföring, vilket framgår av 18 § FOL. Den bestämmelsen anger att det för varje folkbokförd person fastställs ett personnummer som identitetsbeteckning. Det förekommer dock att en person blir folkbokförd efter att först ha tilldelats ett samordningsnummer. Enligt 28 § FOL ska en anmälan enligt 25 eller 26 § samma lag innehålla uppgift om person- eller samordningsnummer. Skatteverket har uppgett till utredningen att när en person med samordningsnummer folkbokförs så diarieförs folkbokföringsärendet på samordningsnumret. I samband med att personen folkbokförs och personnummer fastställs sker en hänvisning mellan personnumret och personens tidigare samordningsnummer (som blir vilandeförklarat). 97 Mot bakgrund av att uppgift om samordningsnummer behandlas i ett folkbokföringsärende när en person med samordningsnummer
97 Jfr 1 kap. 1 § och 3 kap. 2 § 2 lagen om samordningsnummer.
629Databasregleringen
folkbokförs bedömer vi att samordningsnummer, i likhet med nuvarande reglering i folkbokföringsdatabaslagen, bör anges i den nya bestämmelsen om vilka uppgifter om en person som får registreras vid folkbokföring.
Fingeravtryck, ansiktsbilder och biometriska uppgifter
Av 2 kap. 3 § första stycket 21 FdbL framgår att fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa får behandlas i folkbokföringsdatabasen. Dessa uppgifter får dock enbart behandlas i samband med viss identitetskontroll enligt 26 b och 26 c §§ FOL eller enligt 2 kap. 3 och 4 §§ lagen om samordningsnummer. Efter kontrollen är utförd ska dock uppgifterna omedelbart förstöras, vilket i dag framgår av 1 kap. 7 § FdbL. De kan därmed inte anses utgöra sådana uppgifter om en person som ska registreras i samband med folkbokföring. Vi föreslår därför att dessa uppgifter inte ska anges i den nya bestämmelsen. Vad gäller registrering av sådana uppgifter i ärenden om samordningsnummer återkommer vi till nedan.
Registrering av uppgifter som var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen
Som vi redogjort för i avsnitt 9.4.4 får vissa uppgifter som inte avser någon specifik uppgift om en person behandlas i databasen med stöd av 2 kap. 3 § andra stycket FdbL. Av bestämmelsen framgår att uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen får behandlas i databasen. Som vi redogjort för i avsnitt 9.4.4 uttalade regeringen i bestämmelsens förarbeten att de uppgifter som avsågs, exempelvis enligt vilken bestämmelse i namnlagen som ett namnbyte hade skett, i fortsättningen skulle registreras i diarierna och att några nya uppgifter inte skulle komma att antecknas enligt bestämmelsen. Det rörde sig enligt regeringen endast om att i det då nya folkbokföringsregistret föra in de uppgifter som den 30 juni 1991 fanns antecknade i personakter. Enligt regeringen hade bestämmelsen därför karaktären av en övergångsbestämmelse. 98
98 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 41.
630Databasregleringen
Mot bakgrund av bestämmelsens karaktär, och då några särskilda uppgifter om en person inte framgår av bestämmelsen, bedömer vi att bestämmelsen inte bör ha någon motsvarighet i folkbokföringslagen. Det innebär inte att Skatteverket kommer att vara förhindrat att i framtiden behandla dessa uppgifter i sin verksamhet. Som vi redogör för i avsnitt 9.4.3 ovan är det den materiella regleringen av verksamheten som är avgörande för vilka uppgifter som får behandlas. I den mån uppgifterna är nödvändiga att behandla för att Skatteverket ska kunna utföra sina uppgifter som framgår av lag och förordning finns det därmed inget hinder mot att uppgifterna behandlas även i fortsättningen.
Registrering av uppgift om kön?
Av 18 § FOL framgår att det för varje folkbokförd person fastställs ett personnummer som identitetsbeteckning. Personnumret innehåller födelsetid, födelsenummer och kontrollsiffra. Födelsenumret består av tre siffror och är udda för män och jämnt för kvinnor. Uppgift om kön framgår därmed alltid i samband med folkbokföring, eftersom det för alla som folkbokförs ska fastställas ett personnummer och det inte är möjligt att fastställa ett personnummer utan att också vederbörandes kön indirekt framgår av numret. Att personnummer ingår i de uppgifter om en person som registreras vid folkbokföring framgår i dag av 2 kap. 3 § första stycket 1 FdbL. Av 2 kap. 4 § första stycket FdbL framgår att utöver de uppgifter som anges i 2 kap. 3 § samma lag får även uppgifter som behövs för handläggning av ett ärende behandlas i databasen. Skatteverket har uppgett till utredningen att för att ett personnummer ska genereras behöver handläggaren i ärendet ange om det är fråga om en man eller en kvinna. Skatteverket behandlar alltså uppgift om en persons kön i folkbokföringsdatabasen i samband med handläggning av ett folkbokföringsärende. Av 2 kap. 8 § FdbL framgår sammanfattningsvis att en myndighet, om det inte är olämpligt ur integritetssynpunkt, får ha direktåtkomst till samtliga uppgifter i folkbokföringsdatabasen om myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem, med undantag för sådana uppgifter som avses i 2 kap. 3 § andra stycket
631Databasregleringen
FdbL. 99 Utöver det undantaget begränsas inte myndigheters tillgång till uppgifter i folkbokföringsdatabasen till de uppgifter som anges i 2 kap. 3 § första stycket. 100 Trots att kön inte är en uppgiftskategori som i dag anges i 2 kap. 3 § första stycket FdbL är det en uppgift som inte enbart indirekt behandlas i folkbokföringsdatabasen genom personnumret, utan som behandlas i databasen med stöd av 2 kap. 4 § första stycket samma lag, för att ett personnummer ska kunna genereras. Vi har därför övervägt om det i den nya bestämmelsen i folkbokföringslagen även bör anges kön som en av de uppgiftskategorier om en person som får registreras i samband med folkbokföring. Ett sådant tillägg skulle kunna anses bidra till ökad tydlighet och förutsebarhet för de registrerade. Vår bedömning är dock att ett förslag med den innebörden skulle utgöra en sådan förändring i förhållande till befintlig reglering som går utanför ramen för vårt uppdrag att föreslå. Vi lämnar därför inte något sådant förslag.
9.4.6 Övriga ändringar inom folkbokföringen till följd
av databasregleringens upphörande
Vårt förslag: I folkbokföringslagen ska Skatteverket ges ett uttryckligt ansvar för registrering enligt lagen. Att fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa omedelbart ska förstöras efter kontroll ska framgå av folkbokföringslagen. I folkbokföringslagens bestämmelser om vilka uppgifter en anmälan om flyttning eller anmälan om inflyttning från utlandet ska innehålla, samt Skatteverkets rätt att förelägga en person att lämna uppgifter för kontroll, ska hänvisas till den föreslagna nya bestämmelsen om vilka uppgifter som får registreras. Vad som är avgörande för vilket distrikt som i samband med folkbokföring ska anges för en person ska framgå av folkbokföringsförordningen.
99 Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (HFD 2015 ref. 61). 100 Jfr prop. 2015/16:28, Vissa frågor om behandling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverket, s. 46.
632Databasregleringen
Skälen för vårt förslag
Dataskyddsreglering bör även i övrigt skiljas från materiell reglering
Utöver den betydelse databasregleringen har för legaldefinitionen av folkbokföring finns det också andra bestämmelser i den kompletterande dataskyddsregleringen för folkbokföringsverksamheten som har materiell betydelse för Skatteverkets uppgifter enligt folkbokföringslagen. Nya bestämmelser bör därför införas när databasregleringen upphävs. Mot bakgrund av vår utgångspunkt att materiell verksamhetsreglering bör skiljas från dataskyddsregleringen i så hög utsträckning som möjligt bör de nya motsvarande bestämmelserna placeras den materiella regleringen av folkbokföring.
Skatteverkets ansvar för registrering
Att Skatteverket har en skyldighet att registrera vissa uppgifter i samband med folkbokföring, och att registrera ändring av dessa uppgifter, framgår i dag av 2 § FdbF som har följande lydelse. När en person folkbokförs eller när ändring görs av någon uppgift som får behandlas enligt 2 kap. 3 § lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska uppgift om detta registreras i folkbokföringsdatabasen.
Mot bakgrund av vikten av tydlighet inom folkbokföringen har vi övervägt om bestämmelsen bör ges en motsvarighet i folkbokföringslagen. Det framgår dock redan av 1 § tredje stycket FOL att folkbokföring sker genom Skatteverkets försorg. Uppgifterna i folkbokföringen ska dessutom spegla befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder, vilket framgår av 2 § förordningen (2017:154) med instruktion för Skatteverket. Skatteverkets skyldighet att registrera vissa uppgifter och att hålla uppgifterna uppdaterade framgår därmed redan av folkbokföringslagen och myndighetens instruktion. Av artikel 5.1 d i EU:s dataskyddsförordning framgår vidare att personuppgifter ska vara riktiga och om nödvändigt uppdaterade, och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
633Databasregleringen
Det är dock viktigt att det inte råder några tvivel om att Skatteverket ansvarar för att registrera de uppgifter som anges i den föreslagna nya bestämmelsen. För att det inte ska råda några tvivel om Skatteverkets ansvar i detta avseende bör det framgå tydligare än i dag av 1 § FOL, som anger att folkbokföring sker genom Skatteverkets försorg. 1 § tredje stycket FOL bör i stället ange att Skatteverket ansvarar för folkbokföring. Mot den bakgrunden bedömer vi att 2 § FdbF inte behöver motsvaras av en ny bestämmelse i folkbokföringslagen.
Uppgifter som omedelbart ska förstöras
I syfte att stärka identitetskontrollen i samband med bl.a. inflyttning har det nyligen införts möjligheter för Skatteverket att kontrollera biometriska uppgifter som finns lagrade i vissa identitetshandlingar. 101 Den utökade identitetskontrollen innebär en skyldighet för enskilda att vid inflyttning från utlandet inställa sig personligen hos Skatteverket för identitetskontroll, och på begäran överlämna eventuellt pass, identitetskort eller annan motsvarande handling eller uppehållstillståndskort. Om en sådan handling har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran också låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar de som finns i handlingen. Detta förfarande regleras i dag i 26 b och 26 c §§ FOL. I samband med detta infördes även en ny bestämmelse i folkbokföringsdatabaslagen, 1 kap. 7 §, med innebörden att när kontrollen har genomförts ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 102 Bestämmelsen infördes samtidigt som en ändring i regleringen av vilka uppgifter som får behandlas i databasen (2 kap. 3 § första stycket 21 FdbL). En bestämmelse som motsvarar den som anges i 1 kap. 7 § FdbL bör därför föras in i folkbokföringslagen. Eftersom denna del av identitetskontrollen regleras i 26 c § FOL är det lämpligt att en sådan bestämmelse fogas till den paragrafen som ett nytt andra stycke.
101 Jfr prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 44–48. 102 SFS 2022:1281 och prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 53–55.
634Databasregleringen
Uppgifter som ska lämnas vid anmälan om flyttning och inflyttning från utlandet samt vid föreläggande för kontroll av uppgifter
I folkbokföringslagens bestämmelser om vilka uppgifter en anmälan om flyttning eller inflyttning från utlandet ska innehålla (28 § FOL) hänvisas i dag till uppgifter som får föras in i folkbokföringsdatabasen. Även i bestämmelsen som reglerar Skatteverkets möjlighet att förelägga en person att lämna de uppgifter eller visa upp de handlingar som behövs för kontroll av eller komplettering av uppgifter (31 § FOL) hänvisas till de uppgifter som får föras in i folkbokföringsdatabasen. Som en följd av våra förslag ovan bör dessa hänvisningar i stället avse registrering som är tillåten enligt den föreslagna nya bestämmelsen i 1 a § FOL.
Uppgift om distrikt
En av de uppgifter som ska registreras vid folkbokföring är distrikt. Hur distrikt ska bestämmas framgår i dag av 5 a § FdbF, som har följande lydelse. Vilket distrikt som enligt 2 kap. 3 § 7 lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet ska anges för en person avgörs av den personens belägenhetsadress på den fastighet där personen är folkbokförd med stöd av 6 § folkbokföringslagen (1991:481). Med distrikt avses här detsamma som i 2 § förordningen (2015:493) om distrikt.
Bestämmelsen i 5 a § FdbF utgör ett förtydligande av vad som avses med begreppet distrikt i folkbokföringen, och hur det ska bestämmas. Vår bedömning är därför att bestämmelsen bör finnas kvar, men anpassas efter våra förlag i övrigt. Mot bakgrund av bestämmelsens förtydligande karaktär bedömer vi att bestämmelsen bör föras in i folkbokföringsförordningen (1991:749), FOF. Att uppgift om distrikt får registreras vid folkbokföring framgår i dag av 2 kap. 3 § första stycket 7 FdbL. De övriga uppgifter som anges i den bestämmelsen är folkbokföringsfastighet, lägenhetsnummer, folkbokföringsort, och folkbokföring under särskild rubrik. I 4 § FOF finns i dag en bestämmelse av liknande karaktär som nuvarande 5 a § FdbF, som dessutom avser en annan uppgift som anges i 2 kap. 3 § första stycket 7 FdbL, nämligen folkbokföring under särskild rubrik. Det framstår därför som mest lämpligt att föra in en be-
635Databasregleringen
stämmelse motsvarande 5 a § FdbF i folkbokföringsförordningen, i anslutning till 4 §.
9.4.7 Folkbokföringsdatabasen och regleringen
av samordningsnummer
Vår bedömning: Det finns ett behov av att förtydliga att även ärenden om samordningsnummer innebär registrering av vissa uppgifter.
Skälen för vår bedömning
Även ärenden om samordningsnummer kräver viss registrering
I Sverige finns två identitetsbeteckningar för fysiska personer. För personer som folkbokförs enligt bestämmelserna i folkbokföringslagen fastställs ett personnummer som identitetsbeteckning. Personer som inte är eller har varit folkbokförda får i stället på begäran eller efter ansökan tilldelas ett samordningsnummer enligt de bestämmelser som finns i lagen om samordningsnummer och den kompletterande förordningen (2023:363) om samordningsnummer. Innan systemet med samordningsnummer infördes år 2000 kunde Skatteverket tilldela personnummer till vissa personkategorier som inte skulle folkbokföras, s.k. TP-nummer. 103 Lagen om samordningsnummer innehåller även bestämmelser om sådana personnummer som tilldelats utan samband med folkbokföring. 104 Varken person- eller samordningsnummer medför i sig några rättigheter eller skyldigheter men har stor betydelse för ett praktiskt fungerande liv i Sverige. Numrens huvudsakliga syfte är att undvika personförväxling och underlätta informationsutbyte om personer. Liksom folkbokföringsuppgifter aviseras uppgifter om personer som har tilldelats samordningsnummer till myndigheter genom Navet, Skatteverkets system för distribution av uppgifter från folkbokföringsverksamheten. För att ett person- eller samordningsnummer ska kunna motverka personförväxling och möjliggöra en säker överför-
103 Prop. 1997/98:9, Skydd för förföljda personer, samordningsnummer, m.m., s. 74–76. 104 1 kap. 1 § andra stycket lagen om samordningsnummer.
636Databasregleringen
ing av tillförlitliga personuppgifter mellan olika användare måste tilldelning av nummer ske efter en fullgod identitetskontroll. 105 Som framgår av avsnitt 9.3.2 får enligt 2 kap. 2 § FdbL uppgifter om personer som har tilldelats samordningsnummer behandlas i folkbokföringsdatabasen. Av 1 kap. 2 § lagen om samordningsnummer framgår också att uppgifter om personer som har tilldelats samordningsnummer får registreras i folkbokföringsdatabasen enligt folkbokföringsdatabaslagen. Vilka uppgifter som registreras vid handläggning av ärenden om samordningsnummer avviker till viss del från vilka uppgifter som registreras vid folkbokföring.
Det finns ett behov av att tydliggöra att ärenden om samordningsnummer innebär registrering av vissa uppgifter
Samordningsnummer tilldelas efter begäran av en myndighet eller ett sådant annat organ som regeringen bestämmer, eller efter ansökan av en enskild. 106 Samordningsnummer kan förnyas efter ansökan av en myndighet eller ett sådant annat organ, liksom av den enskilde, samt förklaras vilande under visa förutsättningar. 107 Vad gäller s.k. TP-nummer kan dessa med stöd av lagen om samordningsnummer under vissa förutsättningar förklaras vilande eller förnyas. 108 Tilldelningen av samordningsnummer medför registrering av många personer och uppgifterna som registreras är viktiga för såväl de enskilda som för myndigheter och andra som behöver uppgifterna. Som redan nämnts aviseras uppgifter om personer som har tilldelats ett samordningsnummer ut till andra myndigheter via Navet. Uppgifter om personer som har tilldelats samordningsnummer och som har styrkt sin identitet eller gjort sin identitet sannolik lämnas också ut till enskilda genom det statliga personadressregistret, SPAR. 109 Att ändra en identitetsuppgift i efterhand om den som har tilldelats ett samordningsnummer kräver att de nya uppgifterna kontrolleras med samma krav på säkerhet som vid tilldelningen av samordningsnummer efter styrkt identitet. 110
105 Jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 21. 106 2 kap. 1 § lagen om samordningsnummer. 107 3 kap. 1–3 §§ lagen om samordningsnummer. 108 3 kap. 4 § lagen om samordningsnummer. 109 4 § lagen (1998:527) om det statliga personadressregistret. 110 2 kap. 7 § lagen om samordningsnummer, jfr prop. 2021/22:276, Stärkt system för samordningsnummer, s. 141.
637Databasregleringen
Det är alltså viktigt att den rättsliga grunden för behandling av personuppgifter är tydlig och förutsebar även avseende samordningsnummer, särskilt eftersom de uppgifter som registreras används för att förse andra aktörer med information om den registrerade. Att Skatteverket har en registreringsskyldighet i sammanhanget följer dock av bl.a. folkbokföringsdatabasregleringen. Eftersom databasregleringen föreslås upphävas finns det ett behov av att i den materiella regleringen av samordningsnummer tydliggöra att även ärenden om samordningsnummer innefattar viss registrering av personuppgifter.
9.4.8 Ärenden om samordningsnummer kräver viss registrering
Vårt förslag: Av lagen om samordningsnummer ska det framgå att Skatteverket får registrera vissa uppgifter om en person som har tilldelats samordningsnummer. Följande uppgifter får registreras om en person som har tilldelats samordningsnummer: 1. samordningsnummer, 2. personnummer, 3. namn, 4. födelsetid, 5. medborgarskap, 6. födelseort och födelseland, 7. kontaktadress, 8. om personens identitet är styrkt, sannolik eller osäker, 9. tidpunkt för när vilandeförklaring kan komma att ske, 10. vilandeförklaring med angivande av med vilket stöd förklaringen skett, och 11. tidpunkt för när en person har avlidit.
638Databasregleringen
Skälen för vårt förslag
Skatteverkets skyldighet att registrera uppgifter
Av 2 § FdbF framgår att när en person folkbokförs eller när ändring görs av någon uppgift som får behandlas enligt 2 kap. 3 § FdbL ska uppgift om detta registreras i folkbokföringsdatabasen. Skatteverkets skyldighet att enligt den bestämmelsen registrera uppgifter avser alltså folkbokföring samt ändring av uppgifter oavsett i vilket sammanhang de registrerats. Till skillnad från vad som gäller avseende folkbokföring finns det inte någon bestämmelse i förordningen med instruktion för Skatteverket som tydliggör att Skatteverket har ett ansvar för systemet med samordningsnummer. Av 1 kap. 2 § lagen om samordningsnummer framgår dock att Skatteverket beslutar i ärenden enligt lagen och att uppgifter om personer som har tilldelats samordningsnummer registreras i folkbokföringsdatabasen. Att Skatteverket har en skyldighet att registrera uppgifter om en person vid handläggning av ärenden om samordningsnummer framgår därmed av lagen om samordningsnummer.
Uppgifter som får registreras
Regleringen i 2 kap. FdbL över vilka uppgifter som får förekomma i folkbokföringsdatabasen är i dag bestämmande för den registrering som sker vid handläggning av ärenden om tilldelning av samordningsnummer och andra ärenden enligt lagen om samordningsnummer. Då samordningsnummer endast tilldelas personer som inte är eller har varit folkbokförda är det inte samtliga uppgifter som anges i 2 kap. 3 § FdbL som ska registreras vid tilldelning av ett samordningsnummer. Som framgår av avsnitt 9.4.4 kan vissa uppgifter som i dag får registreras i folkbokföringsdatabasen dessutom inte anses vara hänförliga vare sig till den registrering som sker vid folkbokföring eller till den registrering som sker vid tilldelning av samordningsnummer eller handläggning av andra ärenden enligt lagen om samordningsnummer. Det är exempelvis uppgifter om anmälan enligt 5 kap. 2 § vallagen eller sådana uppgifter som omedelbart ska förstöras efter en identitetskontroll. För att det ska vara tydligt vilka uppgifter som Skatteverket får registrera om en person som har tilldelats samordningsnummer bör
639Databasregleringen
en ny bestämmelse införas i lagen om samordningsnummer. Syftet med den nya bestämmelsen är att tydliggöra vilka uppgifter om en person som Skatteverket får registrera i samband med att han eller hon tilldelas ett samordningsnummer. Det är alltså fråga om de uppgifter som aviseras ut till andra myndigheter via Navet och som i viss utsträckning också är tillgängliga för enskilda och myndigheter genom SPAR. I den nya bestämmelsen bör därför enbart de uppgifter anges som får registreras av Skatteverket med anledning av att en person tilldelas samordningsnummer eller i samband med handläggning av andra ärenden om samordningsnummer enligt lagen. Den nya bestämmelsen syftar dock inte till att begränsa vilka uppgifter Skatteverket över huvud taget får behandla för att utföra verksamhet enligt lagen om samordningsnummer. Som vi påpekat i avsnitt 9.4.3 ovan är det den materiella regleringen som styr vilka uppgifter Skatteverket får behandla för att utföra sina uppgifter som framgår av lag och förordning. Att en uppgiftskategori inte anges i den nya bestämmelsen innebär därmed inte att Skatteverket är förhindrat att behandla sådana uppgifter, utan enbart att det inte är en sådan uppgift om en person som registreras i samband med att han eller hon tilldelas ett samordningsnummer eller i samband med handläggningen av andra ärenden enligt lagen om samordningsnummer.
Grunduppgifter om en person
I den nya bestämmelsen bör för det första uppgift om samordningsnummer anges. En person som tidigare har tilldelats ett TP-nummer har inte varit folkbokförd och kan också tilldelas ett samordningsnummer. Även personnummer bör därför anges i den nya bestämmelsen. Av 6 § första stycket och 7 § förordningen om samordningsnummer framgår att en begäran om tilldelning av samordningsnummer bl.a. ska innehålla uppgifter om den enskildes namn, födelsetid, medborgarskap, kön, födelseort och kontaktadress. Av 8 § samma förordning framgår att dessa uppgifter även ska anges i en ansökan om tilldelning av samordningsnummer. I 2 kap. 3 § första stycket 2, 3, 5, 6 och 8 FdbL anges i dag att ett flertal grunduppgifter om en person får behandlas i folkbokföringsdatabasen som i stort motsvarar de uppgifter som en begäran eller ansökan om tilldelning av samordnings-
640Databasregleringen
nummer ska innehålla. Det är uppgift om namn, födelsetid, medborgarskap, födelseort och adress. Vi föreslår därför att de uppgifter som anges i 2 kap. 3 § första stycket 1–3, 5, 6 och 8 FdbL ska anges i den nya bestämmelsen i lagen om samordningsnummer. Mot bakgrund av att det i en begäran eller ansökan om samordningsnummer ska anges en s.k. kontaktadress bör dock det begreppet användas i stället för adress.
Registrering av uppgift om födelseland
Även om samordningsnummer kan tilldelas personer som är födda i Sverige bör det vara mycket vanligt att samordningsnummer tilldelas personer som är födda i ett annat land. Av 2 kap. 3 § första stycket 5 FdbL framgår att uppgift om födelseort får behandlas i folkbokföringsdatabasen. Som framgår av avsnitt 9.4.5 ovan avses enligt förarbetena till bestämmelsen inte enbart ort för den som är född utanför Sverige, utan även land. 111 Mot bakgrund av nämnda förarbetsuttalanden får det med födelseort, enligt vår bedömning, även anses avse födelseland för en person som är född utomlands. Av tydlighetsskäl bör detta uttryckligen framgå av den nya bestämmelsen i lagen om samordningsnummer. Detta förtydligande innebär dock ingen ändring i sak eller utvidgning av vilka uppgifter om en person som registreras i samband med tilldelning av samordningsnummer eller vid handläggning av andra ärenden enligt lagen.
Uppgifter med särskild koppling till systemet med samordningsnummer
Av 2 kap. 3 § första stycket 18–20 FdbL framgår att vissa uppgifter med särskild koppling till systemet med samordningsnummer och övriga ärenden enligt lagen om samordningsnummer får behandlas i folkbokföringsdatabasen. Det är uppgifter om tidpunkt för när vilandeförklaring kan komma att ske enligt 3 kap. 2 § 1 lagen om samordningsnummer, vilandeförklaring enligt 3 kap. 2 § samma lag, med angivande av om förklaringen skett med stöd av punkt 1 eller 2 i den paragrafen, samt tidpunkt för när en person med samordningsnummer eller en person med personnummer som inte är eller har varit folkbokförd har avlidit.
111 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 40.
641Databasregleringen
Vad gäller uppgifter om när en person med personnummer som inte är eller har varit folkbokförd har avlidit avser detta personer med s.k. TP-nummer och personer som tilldelats personnummer med stöd av 18 b § FOL. TP-numren har tidigare tilldelats i situationer där det enligt senare regler i stället skulle ha tilldelats samordningsnummer. Mot den bakgrunden har regeringen bedömt det vara rimligt att TP-numren omfattas av samma regler om vilandeförklaring och förnyelse som gäller för samordningsnummer. 112 Syftet med den föreslagna nya bestämmelsen i lagen om samordningsnummer är dock att tydliggöra vilka uppgifter som Skatteverket får registrera om en person som har tilldelats samordningsnummer, dvs, de uppgifter om personen som kan komma att aviseras genom Navet eller lämnas ut via SPAR. Som redan nämnts innebär inte det förhållande att en uppgift inte anges i uppräkningen att Skatteverket är förhindrat att behandla uppgiften om det är nödvändigt för att utföra uppgifter som framgår av lag eller förordning. TP-nummer förklaras vidare vilande på samma sätt som samordningsnummer, (3 kap. 4 § lagen om samordningsnummer), vilket innebär att Skatteverket har en rättslig grund för att behandla uppgifter om att en person med s.k. TP-nummer har avlidit. Uppgift om att en person med personnummer som inte är eller har varit folkbokförd har avlidit bör sammanfattningsvis inte anges i den nya bestämmelsen i lagen om samordningsnummer. Samma uppgifter som anges i 2 kap. 3 § första stycket 18–20 FdbL, med undantag för uppgift om när en person med personnummer som inte är eller har varit folkbokförd har avlidit, bör därför anges även i den nya bestämmelsen i lagen om samordningsnummer. Av 2 kap. 3 § tredje stycket FdbL framgår, såvitt här är aktuellt, att i ärenden om tilldelning av samordningsnummer får även anges grunden för tilldelningen och de handlingar som har legat till grund för identifiering. Av samma bestämmelse framgår att i ärenden om tilldelning eller förnyelse av samordningsnummer får även anges om den enskildes identitet är styrkt, sannolik eller osäker. Regeringen har uttalat att information om personens identitet har styrkts, gjorts sannolik eller är osäker alltid bör aviseras tillsammans med ett samordningsnummer. 113 Uppgifter om den enskildes identitet är styrkt, sannolik
112 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 94. 113 Prop. 2021/22:276, Stärkt system för samordningsnummer, s. 89.
642Databasregleringen
eller osäker bör därför också anges i den nya bestämmelsen i lagen om samordningsnummer. Vad gäller grunden för tilldelning av samordningsnummer och de handlingar som legat till grund för identifiering gör vi dock en annan bedömning. Bestämmelsen har funnits i folkbokföringsdatabaslagen sedan dess tillkomst och motsvarar 7 § tredje stycket lagen om folk- 114 bokföringsregister. I förarbetena till den bestämmelsen uttalade regeringen sig inte särskilt om behovet av att behandla uppgifter om grunden för tilldelningen och de handlingar som legat till grund för identifiering i folkbokföringsregistret. Uppgiftsregistreringen vid tilldelning av samordningsnummer borde dock enligt regeringen främst styras av kravet på en säker nummertilldelning. Den myndighet som begärde samordningsnummer borde därför ange tillgängliga uppgifter om personens namn, födelsetid, kön, födelseort och medborgarskap. De uppgifter som lämnades skulle enligt regeringens mening också få registreras. 115 Bestämmelsen avser i denna del ingen specifik uppgift om en person utan utgör i stället ett stöd för att angivna uppgifter ska få behandlas i folkbokföringsdatabasen, dvs. göras gemensamt tillgängliga i verksamheten. Databasregleringen föreslås nu upphöra, se avsnitt 9.4.2. Eftersom det inte är fråga om en eller flera specifika uppgifter om en person bör uppgifter om grunden för tilldelning av samordningsnummer och de handlingar som legat till grund för identifiering inte anges i den nya bestämmelsen i lagen om samordningsnummer. Att Skatteverket får behandla uppgifter om grunden för tilldelningen följer av den materiella regleringen av systemet med samordningsnummer, jfr 2 kap. 1 § och 3 kap. 1 § lagen om samordningsnummer. Något hinder mot att Skatteverket behandlar uppgifter om de handlingar som legat till grund för identifieringen finns inte heller. Det framgår i stället av den materiella regleringen av systemet med samordningsnummer att sådan behandling är nödvändig för att Skatteverket ska kunna utföra sina uppgifter enligt lagen. Av 6 § andra stycket förordningen om samordningsnummer framgår exempelvis att tillsammans med en begäran om samordningsnummer ska det ges in en kopia av de handlingar som Skatteverket ska lägga till grund för identifiering. I de fall begärande myndighet ska ansvara för identitets-
114 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 206. 115 Prop. 1997/98:9, Skydd för förföljda personer, samordningsnummer, m.m., s. 83–84.
643Databasregleringen
kontrollen ska i stället en kopia av de handlingar som legat till grund för identifieringen ges in.
Registrering av uppgift om kön?
Av 2 kap. 8 § första stycket lagen om samordningsnummer framgår att samordningsnumret ska utgå från den enskildes födelsetid. Numret ska anges med sex siffror, två för året, två för månaden och två för dagen i nu nämnd ordning. Siffrorna för dag ska adderas med 60. Därefter anges ett tresiffrigt individnummer, som är udda för män och jämnt för kvinnor, samt en kontrollsiffra. I likhet med fastställande av personnummer inom folkbokföringen innebär tilldelning av ett samordningsnummer undantagslöst att även uppgifter om kön framgår av det tilldelade numret. En begäran eller ansökan om tilldelning av samordningsnummer ska dessutom innehålla uppgift om den enskildes kön (6–8 §§ förordningen om samordningsnummer). Vi har därför övervägt om det i den nya bestämmelsen i lagen om samordningsnummer även bör anges kön som en av de uppgiftskategorier om en person som får registreras i samband med tilldelning av samordningsnummer eller handläggning av andra ärenden enligt lagen. Ett sådant tillägg skulle kunna anses bidra till ökad tydlighet och förutsebarhet för de registrerade. Vår bedömning är dock att det skulle utgöra en sådan förändring i förhållande till befintlig reglering som går utanför ramen för vårt uppdrag att föreslå. Vi lämnar därför inte något förslag med den innebörden.
9.4.9 Övriga ändringar rörande samordningsnummer till följd
av databasregleringens upphävande
Vårt förslag: Att fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa omedelbart ska förstöras efter kontroll ska framgå av lagen om samordningsnummer. Bestämmelsen i lagen om samordningsnummer om myndigheters underrättelseskyldighet om det kan antas att en uppgift är felaktig eller ofullständig ska hänvisa till de uppgifter som får registreras enligt lagen.
644Databasregleringen
Bestämmelsen om att en person med samordningsnummer ska anmäla ändring av kontaktadress ska inte hänvisa till någon särskild registrering.
Skälen för vårt förslag
Uppgifter som omedelbart ska förstöras efter kontroll
Samordningsnummer kan tilldelas i tre nivåer beroende på vilken identitetskontroll som föregått tilldelningen, det är antingen med styrkt, sannolik eller osäker identitet, 2 kap. 2–6 §§ lagen om samordningsnummer. För att en persons identitet ska anses vara styrkt krävs som utgångspunkt personlig inställelse hos Skatteverket för identitetskontroll, och att personen på begäran överlämnar eventuellt pass, identitetskort eller annan motsvarande handling eller uppehållstillståndskort. Om en sådan handling har ett lagringsmedium där fingeravtryck eller ansiktsbild är sparade, ska innehavaren på begäran också låta Skatteverket ta fingeravtryck och ansiktsbild i digitalt format för att kontrollera att dessa motsvarar de som finns i handlingen. Detta förfarande regleras i dag i 2 kap. 3 och 4 §§ lagen om samordningsnummer. När kontrollen har genomförts ska, enligt 1 kap. 7 § folkbokföringsdatabaslagen, fingeravtryck och ansiktsbild samt de biometriska uppgifter som har tagits fram omedelbart förstöras (se även avsnitt 9.4.6). En bestämmelse som motsvarar den som anges i 1 kap. 7 § FdbL bör därför föras in i lagen om samordningsnummer. Eftersom denna del av identitetskontrollen regleras i 2 kap. 4 § i den lagen är det lämpligt att en sådan bestämmelse fogas till den paragrafen som ett nytt andra stycke.
Myndigheters underrättelseskyldighet och ändring av kontaktadress
Av 4 kap. 1 § första stycket lagen om samordningsnummer framgår att en myndighet ska underrätta Skatteverket om det kan antas att en uppgift i folkbokföringsdatabasen om någon som har tilldelats ett samordningsnummer är oriktig eller ofullständig. Eftersom databasregleringen föreslås upphöra bör hänvisningen i stället göras till uppgifter som får registreras enligt lagen. Någon förändring i sak är dock inte avsedd.
645Databasregleringen
En ansökan eller begäran om ett samordningsnummer ska normalt innehålla uppgift om den enskildes kontaktadress, se 6–8 §§ förordningen om samordningsnummer. Även den bestämmelse i 4 kap. 2 § första stycket lagen om samordningsnummer som anger att personer med samordningsnummer som har en kontakadress registrerad har en skyldighet att anmäla ändringar hänvisar i dag till folkbokföringsdatabasen. Som en följd av att databasregleringen föreslås upphöra bör även denna hänvisning utgå.
64710 Känsliga personuppgifter,
uppgifter om lagöverträdelser
samt person- och
samordningsnummer
10.1 Inledning
I detta kapitel redogör vi för regleringen av behandling av känsliga personuppgifter, uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott samt person- och samordningsnummer. Kapitlet omfattar Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet. Frågor om behandling av sådana särskilda kategorier av uppgifter samt tillåtna sökningar i det statliga personadressregistret (SPAR) och Skatteverkets äktenskapsregister- och bouppteckningsverksamheter behandlas separat i avsnitten 16.4.9, 17.4.5 och 17.4.6. Vi gör i kapitlet bedömningen att det till följd av den generella 1 dataskyddsregleringen, dvs. EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, finns utrymme för en mindre detaljerad reglering av behandling av sådana särskilda kategorier av uppgifter. Vi föreslår att det ska införas nya sektorspecifika bestämmelser i lag om tillåtligheten av myndigheternas behandling av känsliga personuppgifter. Vi gör vidare bedömningen att det inte längre finns skäl att begränsa eller på annat sätt särreglera myndigheternas behandling av uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott. Vi föreslår också att befintliga bestämmelser om sökbegrepp ska ersättas av nya, mer ändamålsenliga, bestämmelser om sökbegräns-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
648Känsliga personuppgifter, ...
ningar. Bestämmelserna bör som huvudregel förbjuda sökningar som görs i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Mot bakgrund av myndigheternas behov av att i vissa fall göra sökningar för att få fram ett urval av personer grundat på sådana uppgifter ska dock vissa sektorspecifika undantag finnas. Vidare föreslår vi att sökbegränsningarna inte heller ska omfatta sökningar i en viss handling eller i ett visst ärende. För folkbokföringsverksamheten bedömer vi att den nuvarande särskilda bestämmelsen om sökbegrepp som avser vissa relationssamband med en registrerad som är grundat på adoption bör finnas kvar. När det gäller den särskilda bestämmelsen om sökbegrepp i fråga om uppgifter om utslag vid Kronofogdemyndigheten bör det inte införas någon motsvarande bestämmelse i kronofogdedatalagen. Slutligen gör vi bedömningen att det inte behöver finnas särskilda bestämmelser om behandling av personnummer och samordningsnummer i de nya lagarna.
10.2 Den generella dataskyddsrättsliga regleringen
10.2.1 Känsliga personuppgifter
EU:s dataskyddsförordning
Dataskyddsförordningens förbud mot att behandla känsliga personuppgifter
Enligt artikel 9.1 i dataskyddsförordningen är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska upp gifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. 2
2 Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga, se artikel 4.13. Med biometriska uppgifter avses personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter, se artikel 4.14. Med uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus, se artikel 4.15.
649Känsliga personuppgifter, ...
Dessa typer av personuppgifter benämns i svensk rätt som känsliga personuppgifter. 3 De kategorier av personuppgifter som avses i artikel 9.1 är till sin natur särskilt känsliga och ges därför ett särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. 4 Bestämmelsen i artikel 9.1 är direkt tillämplig och kräver inga åtgärder av med- 5 lemsstaterna. Dataskyddsförordningens förbud ska enligt artikel 9.2 inte tillämpas om någon av de situationer som beskrivs i punkterna a–j föreligger. Det finns inte något utrymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet. Det är dock tillåtet att behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c och e, även när det gäller känsliga personuppgifter (artikel 6.2 och skäl 10). Några undantag i artikel 9.2 har också uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt. Det gäller bl.a. bestämmelsen i artikel 9.2 g som rör behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse. Tröskeln för att en personuppgiftsansvarig ska få behandla känsliga personuppgifter är alltså högre än den som gäller för behandling av andra personuppgifter i samma situation. Det innebär dock inte att undantagen måste genomföras i svensk rätt för att vara tillämpliga. 6
Behandling för att fastställa, göra gällande eller försvara rättsliga anspråk
Ett undantag från förbudet i artikel 9.1 i dataskyddsförordningen är om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet (artikel 9.2 f). Denna bestämmelse föranledde inte några nationella författningsåtgärder. 7 Dataskyddsförordningen innehåller inte någon definition av begreppet rättsligt anspråk. Av skälen framgår dock att det är tillåtet med behandling av känsliga personuppgifter där så krävs för fastställande, utövande eller försvar av rättsliga anspråk, oavsett om detta
3 Prop. 2017/18:105, Ny dataskyddslag, s. 74–75. 4 Skäl 51 till dataskyddsförordningen. 5 Prop. 2017/18:105, Ny dataskyddslag, s. 74–75. 6 Prop. 2017/18:105, Ny dataskyddslag, s. 75. 7 Prop. 2017/18:105, Ny dataskyddslag, s. 76.
650Känsliga personuppgifter, ...
sker inom ett domstolsförfarande eller inom ett administrativt eller ett utomrättsligt förfarande. 8 Begreppet har mot denna bakgrund tolkats så att det omfattar anspråk om vilka man kan föra talan i domstol eller ett domstolsliknande organ och som kan utkrävas av eller med hjälp av statsmakterna, t.ex. Kronofogdemyndigheten. 9 Exempel på rättsliga anspråk som i svensk rätt har ansetts omfattas av begreppet är anspråk på offentliga förmåner såsom ekonomiskt bistånd eller skatteavdrag och trossamfundens anspråk på medlemsavgifter via den statliga avgiftshjälpen. 10 Själva behandlingen av de känsliga personuppgifterna behöver inte gå ut på att fastställa, göra gällande eller försvara det rättsliga anspråket. Det räcker att behandlingen av de känsliga personuppgifterna är nödvändig för att någon, t.ex. den personuppgiftsansvarige, ska kunna fastställa, göra gällande eller försvara det rättsliga anspråket. 11
Behandling av hänsyn till ett viktigt allmänt intresse
Enligt artikel 9.2 g i dataskyddsförordningen gäller ett undantag från förbudet i artikel 9.1 om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse. Detta undantag tillämpas huvudsakligen inom myndigheters verksamhet. 12 Viktiga allmänna intressen är enligt dataskyddsförordningen exempelvis unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsan och social trygghet. 13 Andra exempel är internationella utbyten av uppgifter mellan t.ex. skatte- och 14 tullmyndigheter. Det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse. 15 Verksamhet som innefattar myndighetsutövning anses dock vara ett viktigt allmänt intresse. När det gäller myndigheters behandling anses det också utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför
8 Skäl 52 till dataskyddsförordningen. 9 Se Öman, Dataskyddsförordningen (GDPR) m.m. (2022, version 2A, JUNO), kommentaren till artikel 9.2 f. 10 Jfr SOU 1997:39, Integritet – Offentlighet – Informationsteknik, s. 378 och prop. 2017/18:127, Återinförande av skattereduktion för fackföreningsavgift, s. 25. 11 Prop. 2017/18:113, Anpassning av domstolsdatalagen till EU:s dataskyddsförordning, s. 27. 12 Jfr skäl 19 till dataskyddsförordningen. 13 Jfr artikel 23.1 e i dataskyddsförordningen. 14 Skäl 112 till dataskyddsförordningen. 15 Prop. 2017/18:105, Ny dataskyddslag, s. 83. Jfr artiklarna 6.1 e och 9.2 g i dataskyddsförordningen.
651Känsliga personuppgifter, ...
området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt. 16 Vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse krävs även enligt artikel 9.2 g att uppgifterna behandlas på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen konstaterade vid införandet av dataskyddslagen 17 att detta innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen. Det ställs sedan särskilda krav på det rättsliga stödet för att behandling av känsliga personuppgifter ska få ske. Detta måste också vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Regeringen har vidare bedömt att det kan ifrågasättas om tillägget i artikel 9.2 g innehåller ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse. Däremot tillkommer enligt artikel 9.2 g ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen, vilket gällde redan innan dataskyddsförordningen trädde i kraft. Enligt regeringen innebär dock inte kravet att undantaget i sig måste införas i svensk rätt för att vara tillämpligt. 18
Dataskyddslagen
Allmänt om regleringen i 3 kap. 3 § dataskyddslagen
Enligt 3 kap. 3 § dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs
16 Prop. 2017/18:105, Ny dataskyddslag, s. 83. 17 Prop. 2017/18:105, Ny dataskyddslag, s. 84. 18 Prop. 2017/18:105, Ny dataskyddslag, s. 84.
652Känsliga personuppgifter, ...
enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Vid behandling som sker enbart med stöd av de nu nämnda grunderna är det enligt 3 kap. 3 § andra stycket förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Bestämmelsen i dataskyddslagen kompletterar artikel 9.2 g i dataskyddsförordningen. 19 När bestämmelsen infördes i dataskyddslagen konstaterade regeringen att det inte kan tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas. Regeringen bedömde därför att det behövdes särskilda bestämmelser i dataskyddslagen som är tillämpliga för alla myndigheter och som uppfyller kraven i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen i 3 kap. 3 § dataskyddslagen är avsedd att gälla för offentlig verksamhet där sektorspecifik reglering avseende behandling av känsliga personuppgifter saknas. Den ersätter dock inte artikel 6 eller artikel 9.2 g i dataskyddsförordningen. Den rättsliga grunden för behandlingen måste sökas någon annanstans än i dataskyddslagen. Vidare kan de krav på lämpliga och särskilda åtgärder som ställs i artikel 9.2 g vara uppfyllda även genom andra bestämmelser. Behandling av känsliga personuppgifter kan alltså ske med stöd av artikel 9.2 g även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts. 20
Behandling som krävs enligt lag
Enligt 3 kap. 3 § första stycket 1 dataskyddslagen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheterna och behandlingen krävs enligt lag. I förarbetena uttalas att viss behandling av känsliga personuppgifter är oundviklig i myndigheternas verksamhet som en direkt följd av kraven i exempelvis offentlighetsoch sekretesslagen (2009:400), OSL, och förvaltningslagen (2017:900), FL. Det rör sig om bl.a. krav på diarieföring och skyldighet att ta emot e-post. Enligt regeringen är den grundlagsfästa rätten att ta del
19 1 kap. 1 § första stycket dataskyddslagen. 20 Prop. 2017/18:105, Ny dataskyddslag, s. 85 och 91.
653Känsliga personuppgifter, ...
av allmänna handlingar ett viktigt allmänt intresse. Den nödvändiga behandling av personuppgifter som sker vid hanteringen av allmänna handlingar har rättslig grund i svensk rätt, framför allt i offentlighetsoch sekretesslagen, arkivlagstiftningen och förvaltningslagen. Denna lagstiftning innehåller enligt regeringen lämpliga och särskilda åtgärder som skyddar enskildas integritet, t.ex. i form av sekretess, rätt till partsinsyn och föreskrifter om informationssäkerhet och gallring. Enligt regeringens bedömning kan därmed även känsliga personuppgifter behandlas då det är nödvändigt i dessa sammanhang, med stöd av artikel 9.2 g i dataskyddsförordningen. För att det inte skulle råda något tvivel om att denna nödvändiga behandling var tillåten också efter ikraftträdandet av dataskyddsförordningen ansåg regeringen att dataskyddslagen skulle innehålla en uttrycklig bestämmelse som tydliggör detta. 21
Behandling som är nödvändig för handläggningen av ett ärende
Enligt 3 kap. 3 § första stycket 2 dataskyddslagen får myndigheter också behandla känsliga personuppgifter om behandlingen är nödvändig för handläggningen av ett ärende. Enligt regeringen är myndighetsutövning och övriga uppgifter av allmänt intresse som myndigheter har befogenhet att utföra alltid fastställda i enlighet med svensk rätt och behandling av personuppgifter kan därmed ske på denna rättsliga grund. Det står enligt regeringens bedömning klart att det också är ett viktigt allmänt intresse att myndigheternas ärendehandläggning kan ske på ett effektivt och rättssäkert sätt. 22 Att behandlingen måste vara nödvändig för handläggningen av ärendet innebär bl.a. att bara sådana uppgifter som behövs i ärendet får behandlas. Behandlingsåtgärden behöver dock inte vara oundgänglig. 23
Behandling som inte innebär ett otillbörligt intrång
Enligt 3 kap. 3 § första stycket 3 dataskyddslagen får myndigheter behandla känsliga personuppgifter i annat fall om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.
21 Prop. 2017/18:105, Ny dataskyddslag, s. 86. 22 Prop. 2017/18:105, Ny dataskyddslag, s. 87. 23 Prop. 2017/18:105, Ny dataskyddslag, s. 194.
654Känsliga personuppgifter, ...
Av förarbetena till bestämmelsen framgår att även inom ramen för myndigheters faktiska verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden, är behandling av känsliga personuppgifter ofta nödvändig med hänsyn till viktiga allmänna intressen. Det kan t.ex. röra sig om att myndigheten besvarar en fråga från en medborgare som via e-post uppgett känsliga personuppgifter. Mot bakgrund av vikten av att samhällets funktioner upprätthålls uttalade regeringen att dataskyddslagen på ett likartat sätt som personuppgiftslagen (1998:204), PUL, dittills hade gjort skulle ge myndigheterna ett visst utrymme för behandling av känsliga personuppgifter även i den faktiska verksamheten. Utformningen av bestämmelsen i 3 kap. 3 § första stycket 3 är anpassad för att överensstämma med artikel 9.2 g i dataskyddsförordningen. Bestämmelsen tar sikte på sådan behandling som inte omfattas av övriga bestämmelser i dataskyddslagen om behandling av känsliga personuppgifter för viktiga allmänna intressen. 24 Vidare är bestämmelsen i dataskyddslagen utformad på ett sätt som säkerställer att det alltid finns lämpliga och särskilda åtgärder för den registrerade, på det sätt som krävs för att nödvändig behandling av känsliga personuppgifter ska vara tillåten enligt artikel 9.2 g. Regeringen konstaterade i förarbetena att det i svensk rätt redan finns en omfattande sekretessreglering, till skydd för enskildas ekonomiska och personliga förhållanden, som i många fall utgör en tillräcklig skyddsåtgärd. Dessutom infördes en särskild sökbegränsning (se 3 kap. 3 § andra stycket dataskyddslagen). Regeringen bedömde dock att en särskild bestämmelse som reglerar möjligheten att behandla känsliga personuppgifter i myndigheternas faktiska verksamhet borde innehålla ytterligare särskilda skyddsåtgärder. Bestämmelsen innehåller därför ett krav på att behandlingen inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet. Detta krav motverkar enligt regeringen att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten, utan att annat författningsstöd finns. Det krävs att den personuppgiftsansvarige, i det enskilda fallet, gör en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportionalitetsbedömning där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Detta innebär inte att den personuppgiftsansvarige måste göra en bedömning i förhål-
24 Prop. 2017/18:105, Ny dataskyddslag, s. 88–89.
655Känsliga personuppgifter, ...
lande till varje berörd individ. Ju mindre tydligt myndighetens behov av att behandla uppgifterna är, desto större är dock sannolikheten för att de registrerades intresse typiskt sett väger tyngre och att intrånget därför bör betraktas som otillbörligt. Bestämmelsen kan t.ex. inte läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter. 25
Sökbegränsning
Av 3 kap. 3 § andra stycket dataskyddslagen framgår att vid behandling som sker enbart med stöd av bestämmelsens första stycke är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. I förarbetena uttalas att en sökning som avslöjar och sammanställer känsliga personuppgifter är en åtgärd som i sig innebär en integritetskränkning. Företeelsen ligger nära det som ursprungligen har motiverat förbudet mot behandling av känsliga personuppgifter, nämligen möjligheten att kartlägga personer på grundval av exempelvis etnicitet eller politiska åsikter. Med en sökbegränsning uppnås därmed ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna. Den befintliga bestämmelsen utformades mot bakgrund av en bestämmelse om sökbegränsning som föreslogs gälla enligt brottsdatalagen. Det är därmed förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det innebär att det inte är tillåtet göra sökningar för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning. 26
10.2.2 Personuppgifter som rör fällande domar i brottmål
och lagöverträdelser som innefattar brott
I artikel 10 i dataskyddsförordningen anges att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 (härefter benämnda uppgifter om lagöverträdelser) endast får utföras under kontroll av en myndighet eller då behand-
25 Prop. 2017/18:105, Ny dataskyddslag, s. 89–90 och 194–195. 26 Prop. 2017/18:105, Ny dataskyddslag, s. 90–91 och 195.
656Känsliga personuppgifter, ...
ling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brott- 27 mål får endast föras under kontroll av en myndighet. Den del av artikel 10 som rör behandling av uppgifter under kontroll av myndighet är direkt tillämplig. Det innebär att myndigheter inte behöver uttryckligt stöd i föreskrifter eller särskilda beslut för att få behandla sådana uppgifter. Det finns dock ett visst utrymme för att i nationell rätt förtydliga innebörden av artikel 10 (skäl 8 till dataskyddsförordningen). Regeringen har därför ansett att det uttryckligen bör framgå av dataskyddslagen att personuppgifter som rör lagöverträdelser får behandlas av myndigheter. 28 Av 3 kap. 8 § första stycket dataskyddslagen framgår följaktligen att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Det finns inte något sökförbud i dataskyddslagen som omfattar sådana uppgifter som avses i artikel 10 i dataskyddsförordningen. Vidare anses uppgifter om lagöverträdelser vara av integritetskänslig karaktär varför de ofta är omgärdade av sekretess i det allmännas verk- 29 samhet.
10.2.3 Personnummer och samordningsnummer
Ett identifikationsnummer, t.ex. personnummer eller samordningsnummer, är alltid en personuppgift enligt dataskyddsförordningen. 30 Enligt artikel 87 får medlemsstaterna närmare bestämma på vilka särskilda villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas. Ett nationellt identifikationsnummer eller ett annat vedertaget sätt för identifiering ska
27 Begreppet säkerhetsåtgärder i artikel 10 har av regeringen bedömts som likvärdigt med straffprocessuella tvångsmedel, dvs. t.ex. häktning och anhållande enligt 24 kap. rättegångsbalken, se prop. 2017/18:105, Ny dataskyddslag, s. 98. Integritetsskyddsmyndigheten har i ett rättsligt ställningstagande bedömt att information om ett rättsligt förfarande som inletts mot en fysisk person utgör personuppgifter som rör lagöverträdelser som innefattar brott, att friande domar i brottmål omfattas av begreppet brottsuppgifter samt att uppgifter om att en fysisk person har eller kan ha begått ett visst brott (brottsmisstankar) kan utgöra brottsuppgifter, även om något rättsligt förfarande inte har inletts, om uppgifterna har en viss konkretionsgrad, se Rättsligt ställningstagande IMYRS 2021:1 – innebörden av begreppet ”personuppgifter som rör lagöverträdelser som innefattar brott”, s. 2. 28 Prop. 2017/18:105, Ny dataskyddslag, s. 99. 29 Prop. 2021/22:59, Ett ändamålsenligt skydd för tryck- och yttrandefriheten, s. 41. 30 Artikel 4.1 i dataskyddsförordningen.
657Känsliga personuppgifter, ...
i sådana fall endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt dataskyddsförordningen. Personnummer och samordningsnummer är inte känsliga personuppgifter i dataskyddsförordningens mening men har getts en särställning genom artikel 87. 31 Dataskyddsförordningen kräver dock inte att medlemsstaterna inför en särskild reglering av behandling av sådana uppgifter. Detta är en skillnad i förhållande till vad som tidigare gällde enligt 1995 års dataskyddsdirektiv 32 , vilket ställde krav på att medlemsländerna skulle reglera användningen av personnummer i lag. 33 Det har i svensk rätt införts en särskild bestämmelse om behandling av personnummer och samordningsnummer som har sin grund i artikel 87 i dataskyddsförordningen. Enligt 3 kap. 10 § dataskyddslagen 34 får personnummer och samordningsnummer behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker 35 som den innebär ska göras. I 3 kap. 11 § dataskyddslagen finns en bestämmelse som innebär att regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. Några sådana ytterligare föreskrifter har ännu inte meddelats.
10.3 Den nuvarande regleringen för Skatteverket,
Tullverket och Kronofogdemyndigheten
Av 1 kap. 7 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), framgår att känsliga personuppgifter och uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden får behandlas endast om upp-
31 Prop. 2017/18:105, Ny dataskyddslag, s. 101. 32 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 33 Se artikel 8.7 i dataskyddsdirektivet samt SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 105. 34 Bestämmelsen motsvarar den tidigare gällande regleringen i 22 § PUL, se prop. 2017/18:105, Ny dataskyddslag, s. 199. 35 Prop. 2017/18:105, Ny dataskyddslag, s. 199.
658Känsliga personuppgifter, ...
gifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. Bestämmelsen reglerar när behandling av sådana uppgifter får göras i ett ärende i det fall behandlingen inte sker i en databas utan t.ex. i en föredragningspromemoria, tjänsteanteckning eller liknande. 36 Dessa uppgifter får i annat fall behandlas endast om det är särskilt angivet i 2 kap. Av 2 kap. 4 § SdbL framgår att en handling som har kommit in i ett ärende får behandlas i databasen och får innehålla uppgifter som avses i 1 kap. 7 §. En handling som upprättats i ett ärende får behandlas i databasen och får innehålla sådana uppgifter om de är nödvändiga för ärendets handläggning. Av 2 kap. 10 § SdbL framgår att vid sökning efter handlingar som avses i 4 § får endast uppgift om namn, person- eller samordningsnummer, beteckning för fastighet samt uppgifter som avses i 5 kap. 2 § OSL användas som sökbegrepp. 37 Det innebär att datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning handlingen fått vid registreringen, i förekommande fall uppgifter om handlingens avsändare eller mottagare och kort vad handlingen rör får användas som sökbegrepp. I bestämmelsens andra stycke anges att uppgifter som avses i 1 kap. 7 § SdbL inte får användas som sökbegrepp. Motsvarande reglering finns även i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL). Regleringen i skattedatabaslagen innebär att Skatteverket i dag saknar möjlighet att behandla uppgifter om t.ex. anmälningar om misstankar om brott i beskattningsdatabasen. 38 När det gäller känsliga personuppgifter finns särskilda regler om att uppgifter om avgifts-
36 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199. 37 Sökbegrepp har i andra sammanhang ansetts avse bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funktion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd, se prop. 2007/08:126, Patientdatalag m.m., s. 68. Om t.ex. namnet på en viss sjukdom används för att söka fram eller sammanställa alla handlingar som innehåller detta ord är namnet på sjukdomen ett sökbegrepp, se SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 281–282. 38 Enligt bl.a. 17 § skattebrottslagen (1971:69) har Skatteverket en skyldighet göra en anmälan till åklagaren så snart det finns anledning att anta att brott enligt den lagen har begåtts. Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129.
659Känsliga personuppgifter, ...
skyldighet till trossamfund och medlemskap i fackförening får behandlas i databasen och därmed gemensamt i verksamheten. 39 I övrigt får Skatteverket inte registrera känsliga personuppgifter i beskatt- 40 ningsdatabasen om de inte ingår i en elektronisk handling. När det gäller Skatteverkets folkbokföringsverksamhet framgår sedan den 1 september 2023 av 2 kap. 3 § första stycket 21 FdbL att uppgifter i form av fingeravtryck, ansiktsbilder och biometriska uppgifter som tas fram ur dessa får behandlas i folkbokföringsdatabasen. Enligt 2 kap. 3 § andra stycket får vidare uppgifter behandlas i databasen som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen (1967:495), oavsett om uppgifterna är sådana som avses i 1 kap. 6 §, dvs. känsliga personuppgifter m.m. Utöver detta finns för folkbokföringsverksamheten vissa särskilda begränsningar av vilka sökbegrepp som får användas vid sökningar i folkbokföringsdatabasen. Enligt 2 kap. 10 § första stycket FdbL får uppgifter om födelseort samt make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen 41 i de fall de är grundat på adoption inte användas som sökbegrepp. Detsamma gäller uppgifter om inflyttning från utlandet eller uppehållsrätt för en person som är folkbokförd. Vidare får uppgifter om medborgarskap användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). I folkbokföringsdatabaslagen finns även vissa bestämmelser som uttryckligen reglerar behandling av personnummer och samordningsnummer. Till exempel anges i 2 kap. 3 § första stycket 1 att för de ändamål som anges i 1 kap. 4 § får person- eller samordningsnummer behandlas i databasen. I övriga aktuella registerförfattningar finns i stället bl.a. bestämmelser om att myndigheterna får behandla uppgifter om en fysisk persons identitet inom databaserna. 42
39 Se 2 kap. 3 § första stycket 9 SdbL. 40 Se 2 kap. 4 § SdbL och prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 129. 41 Med annan person som den registrerade har samband med inom folkbokföringen enligt 2 kap. 3 § 10 FdbL avses annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt, se 5 § förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF). 42 Se bl.a. 2 kap. 3 § första stycket 1 SdbL, 2 kap. 3 § första stycket 1 TDL och 2 kap. 5 § första stycket 1 KFMdbL.
660Känsliga personuppgifter, ...
Sedan den 1 maj 2023 finns ett nytt 2 a kap. i folkbokföringsdatabaslagen. Kapitlet innehåller bestämmelser om den s.k. analys- och urvalsdatabasen. Enligt 2 a kap. 3 § får för de ändamål som anges i 1 kap. 4 a § de uppgifter som avses i 2 kap. 3 och 4 §§ behandlas. Bestämmelsen innebär att uppgifter om fingeravtryck, ansiktsbilder och biometriska uppgifter samt andra känsliga personuppgifter om de den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den upphävda folkbokföringskungörelsen får behandlas i databasen. Uppgifter om fingeravtryck, ansiktsbilder och biometriska uppgifter får dock endast tillfälligt behandlas i folkbokföringsdatabasen för att kontrollera handlingars äkthet och innehavarens identitet. Därefter ska uppgifterna i folkbokföringsdatabasen 43 omedelbart förstöras. I praktiken bör det därför inte bli aktuellt att behandla sådana uppgifter i analys- och urvalsdatabasen. I övrigt får uppgifter om känsliga personuppgifter eller uppgifter om lagöverträdelser inte behandlas i folkbokföringsverksamhetens analys- och urvalsdatabas. 44 Vidare finns i 2 a kap. 4 § FdbL en bestämmelse om sökbegrepp som anger att vid sökning i analys- och urvalsdatabasen gäller det som i 2 kap. 10 § sägs om sökbegrepp vid sökning i folkbokföringsdatabasen. I kronofogdedatabaslagen finns vissa ytterligare bestämmelser om behandling av uppgifter om lagöverträdelser. I uppräkningarna av vilka uppgifter som får behandlas i utsöknings- och indrivningsdatabasen för ett i 2 kap. 2 § angivet ändamål ingår Kronofogdemyndighetens anmälan av misstanke om brott samt, om uppgifterna utgör grund för en begäran om verkställighet, uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål. 45 I betalningsföreläggande- och handräckningsdatabasen får för de ändamål som anges i 2 kap. 8 § uppgifter om lagöverträdelser som innefattar brott eller domar i brottmål behandlas, om uppgifterna utgör grund för en begäran om utslag. 46 Slutligen får i skuldsaneringsdatabasen för ett i 2 kap. 14 § angivet ändamål uppgifter om lagöverträdelser som innefattar
43 1 kap. 7 § FdbL. Se även prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 71. 44 Jfr prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 29. 45 2 kap. 5 § första stycket 8 KFMdbL. 46 2 kap. 11 § första stycket 6 KFMdbL.
661Känsliga personuppgifter, ...
brott eller domar i brottmål behandlas, om uppgifterna utgör grund för en fordran i ett ärende. 47 För Kronofogdemyndigheten finns också särskild reglering om sökbegrepp. I 2 kap. 29 § KFMdbL anges att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräckningsdatabasen i fråga om uppgifter om utslag i målet.
10.4 Annan lagstiftning på området
I andra myndighetsspecifika registerförfattningar finns olika typer av reglering av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser, varav vissa inskränker möjligheten att behandla sådana uppgifter i förhållande till dataskyddsförordningen och dataskyddslagen. Det är relativt vanligt förekommande att regleringen är utformad på ett sådant sätt att den uttryckligen tillåter en viss myndighet att behandla känsliga personuppgifter och uppgifter om lagöverträdelser m.m. inom vissa angivna ramar. Det finns dock även bestämmelser som i stället anger vad som inte är tillåtet avseende behandling av sådana kategorier av uppgifter. Utöver detta förekommer lagstiftning som begränsar användningen av vissa sökbegrepp. Flera av de registerförfattningar som innehåller bestämmelser om behandling av de särskilda kategorier av uppgifter som här är aktuella har sitt ursprung i bestämmelser som tillkom under den tid 1995 års dataskyddsdirektiv och personuppgiftslagen gällde. Sådana bestämmelser kan i sig även ha sitt ursprung från den tid då den tidigare datalagen (1973:289) gällde. Sedan dataskyddsförordningen trädde i kraft har bestämmelserna setts över för att anpassas till denna. I många fall har det dock inte skett någon genomgripande materiell översyn av reglerna annat än att lagstiftaren sett till att de inte strider mot dataskyddsförordningen. I vissa registerförfattningar anges att känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas för vissa i lagen angivna ändamål. 48 I andra anges att endast vissa uttryckligt angivna katego- 49 rier av känsliga personuppgifter får behandlas i vissa databaser. Det
47 2 kap. 17 § första stycket 6 KFMdbL. 48 Se t.ex. 6 § studiestödsdatalagen (2009:287) och 114 kap. 11–12 §§ socialförsäkringsbalken. 49 9 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen.
662Känsliga personuppgifter, ...
finns också bestämmelser som anger att känsliga personuppgifter endast får behandlas för vissa i lag särskilt angivna ändamål under förutsättning att uppgifterna är absolut nödvändiga för syftet med behandlingen eller att sådan behandling får utföras i löpande text för vissa i lag angivna ändamål om uppgifterna är absolut nödvändiga för att fullgöra arbetsuppgifter i viss verksamhet. 50 Det förekommer vidare bestämmelser där det mer allmänt anges att känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksam- 51 heten. Ytterligare en typ av bestämmelse som förekommer anger att känsliga personuppgifter får behandlas endast om det är absolut nödvändigt för syftet med behandlingen. 52 Annan reglering som kan återfinnas i registerförfattningar är en bestämmelse om att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personen utifrån sådana känsliga uppgifter som avses i artikel 9.1 i dataskyddsförordningen. 53 I ytterligare annan, mer modern, registerförfattning finns det ingen särreglering som uttryckligen tillåter behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser, men däremot regler som innehåller 54 särskilda sökförbud. I den lag (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten som träder i kraft den 1 januari 2024 anges i 9 § att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen. I ett par nu pågående lagstiftningsärenden finns liknande förslag till reglering, som dock även föreslås innehålla en uttrycklig hänvisning till bl.a. artikel 9.2 g i dataskyddsförordningen. 55 När det gäller sektorspecifik reglering av sökbegrepp innehåller vissa registerförfattningar bestämmelser om att det är förbjudet att använda sökbegrepp som avslöjar känsliga personuppgifter eller uppgifter om lagöverträdelser eller liknande formuleringar. 56 Ofta finns då sådana bestämmelser tillsammans med undantag för när sökbegrepp
50 14 § utlänningsdatalagen (2016:27). 51 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. 52 5 § kriminalvårdsdatalagen (2018:1235). 53 13 § domstolsdatalagen (2015:728). 54 2 kap. 3–4 §§ lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter. 55 Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 59–71 samt Ds 2023:13, En registerlag för Inspektionen för socialförsäkringen, s. 61–72. 56 Se t.ex. 14 § domstolsdatalagen och 14 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.
663Känsliga personuppgifter, ...
som avslöjar sådana uppgifter får användas 57 , alternativt formulerat som situationer när sökförbudet inte gäller. 58 Det finns också viss reglering som i stället uttömmande anger vilka sökbegrepp som får användas vid sökning efter uppgifter eller i samband med sammanställningar vilket därmed utesluter användning av känsliga personuppgifter som sökbegrepp. 59 Utöver detta förekommer sökbegränsningar i registerförfattning som anger att det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Till förbudet kan då även undantag finnas. 60 I nyare lagstiftning eller pågående lagstiftningsärenden förekommer ofta olika former av sökförbud som utgår från syftet med en viss sökning snarare än att myndigheter förbjuds att använda vissa sökbegrepp. 61
10.5 Myndigheternas behov
Myndigheternas uppfattningar om den nuvarande regleringen
Skatteverket och Tullverket anser att den nuvarande regleringen av behandling av känsliga personuppgifter och uppgifter om lagöverträdelser är problematisk. Skatteverket är av uppfattningen att regleringen är mycket begränsande då all behandling av känsliga personuppgifter i princip måste vara knuten till ett ärende. Detta gäller såväl behandling i som utanför de reglerade uppgiftssamlingarna. Enligt Skatteverkets uppfattning är det mest ändamålsenligt att inte särreglera behandlingen av känsliga personuppgifter. Det är också viktigt att känsliga personuppgifter kan hanteras vid utveckling av verksamheten, t.ex. för utvecklings- och teständamål, när så behövs. Avseende regleringen om sökbegrepp anser Skatteverket att den, om den ska finnas kvar, bör ändras till sökbegränsningar och i stället utgöra ett förbud mot att utföra sökningar för att få fram ett urval av personer grundat på känsliga personuppgifter.
57 Se t.ex. 8 § studiestödsdatalagen. 58 Se t.ex. 15 § domstolsdatalagen och 14 § lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten. 59 15 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. 60 Se t.ex. 17 § utlänningsdatalagen och 6 § kriminalvårdsdatalagen. 61 Se t.ex. 3 § lagen om Rättsmedicinalverkets behandling av personuppgifter, 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten samt Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 73–77.
664Känsliga personuppgifter, ...
Tullverket har särskilt poängterat att regleringen av uppgifter om lagöverträdelser är mycket mer begränsande i tulldatabaslagen än vad som är motiverat av dataskyddsförordningens reglering. Bestämmelserna om rättslig grund och uppgiftsminimering i dataskyddsförordningen bör enligt Tullverket vara en tillräcklig reglering såvitt avser behandlingen av dessa uppgifter. Under alla förhållanden bör regleringen vara vidare än i dag och tillåta behandling om det är motiverat utifrån ändamålen med behandlingen. Det kan enligt Tullverket också noteras att all behandling av personuppgifter vid myndigheten inte sker inom ramen för handläggning av ärenden och att det därför finns skäl att inte koppla regleringen till just handläggningen av ett ärende. För Tullverkets del avser detta enligt myndigheten exempelvis behandling vid utförandet av riskanalyser och urval, men också uppföljning och utvärdering av den egna verksamheten. Tullverket har också uppgett att syftet med den nuvarande regleringen är svårtolkat. Enligt myndigheten är det otydligt om begränsningen av tillåtna sökbegrepp avser sökningar efter inkomna och upprättade handlingar generellt eller endast sökningar efter handlingar som innehåller känsliga personuppgifter och uppgifter om lagöverträdelser. Om begränsningen avser sökningar generellt medför regleringen enligt Tullverket direkta hinder i verksamheten. Regleringen kan då också medföra att onödiga juridiska bedömningar behöver göras i situationer där inga eller begränsade integritetsintressen gör sig gällande. Det är enligt Tullverket också otydligt om sökförbudet endast gäller för att hitta ärenden och handlingar eller om det är sökning bland uppgifter generellt som är otillåtet på det sätt som anges i regleringen. Enligt Tullverkets uppfattning bör en framtida reglering inte vara mer långtgående än vad som är nödvändigt för att tillvarata viktiga integritetsintressen. Det finns enligt Tullverket också skäl att skilja på vad som ska gälla för känsliga personuppgifter och uppgifter om lagöverträdelser. Tullverket ser inte något behov av att reglera sökförbud kopplat till uppgifter om lagöverträdelser. Om regleringen även fortsättningsvis ska likna den som gäller i dag behöver det enligt Tullverket finnas undantag som möjliggör utförandet av riskanalyser och urval samt uppföljning och utvärdering av ärenden, arbetsmetoder och metoder för riskanalyser och urval. Kronofogdemyndigheten har påpekat att den nuvarande regleringen är föråldrad och att det finns behov av en tydligare reglering
665Känsliga personuppgifter, ...
som är bättre anpassad till moderna ärendehanteringssystem där all handläggning sker digitalt. Även om dagens bestämmelser inte hindrar att uppgifter som behandlas i ett ärende förs över till andra ärenden, om de är nödvändiga för handläggningen av dem, är särregleringen vad gäller databaser problematisk. Vidare kan enligt Kronofogdemyndigheten formuleringarna av bestämmelsen om sökbegrepp vara begränsande. Regleringen är enligt myndigheten svårtolkad och inte utformad för digital ärendehandläggning. I stället för reglering av sökbegrepp vore det enligt Kronofogdemyndigheten bättre att reglera sökbegränsningar som en skyddsåtgärd. Myndigheten anser också att det saknas skäl att alls reglera sökningar som rör uppgifter om lagöverträdelser. Sökbegränsningen om utslag är därtill utformad på så sätt att motsvarande uppgifter kan sökas fram på annat sätt. Regleringen har därför enligt myndigheten spelat ut sin roll.
Myndigheterna behöver behandla känsliga personuppgifter
och uppgifter om lagöverträdelser
Skilda behov som är svåra att kartlägga på ett uttömmande sätt
Skatteverket, Tullverket och Kronofogdemyndigheten behandlar alla i någon mån känsliga personuppgifter. Omfattningen av behovet av behandling av sådana uppgifter skiljer sig dock åt. Den behandling av känsliga personuppgifter som faktiskt äger rum är emellertid i stor utsträckning nödvändig för att myndigheterna ska kunna utföra sina uppgifter. Det är svårt att uppskatta omfattningen av respektive myndighets behandling av känsliga personuppgifter. I förarbetena till de nu gällande registerförfattningarna angavs att det sällan torde komma i fråga för dessa myndigheter att behandla känsliga personuppgifter. 62 Mot bakgrund av detta och med hänsyn till myndigheternas uppdrag och uppgifter kan slutsatsen dras att det inte heller i dag är fråga om en stor del av de personuppgifter som myndigheterna behandlar. Det är också svårt att mer detaljerat ange alla kategorier av känsliga personuppgifter som myndigheterna behandlar. Myndigheterna kan exempelvis inte styra över vilka känsliga personuppgifter som kommer in till myndigheterna från enskilda i ärenden eller i andra fall då enskilda kontaktar myndigheterna. Sådana uppgifter behöver bl.a. kunna behandlas under hela ärendehandläggningen till dess att
62 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101.
666Känsliga personuppgifter, ...
ett beslut har fattats. Vilka kategorier av känsliga personuppgifter som behöver kunna behandlas kan också relativt snabbt förändras till följd av ändringar i den materiella verksamhetsregleringen, som t.ex. inkomstskattelagen (1999:1229), IL, eller den unionsrättsliga tullkodexen med kompletterande lagstiftningsakter. 63 Det är också ett skäl till att det är svårt att uttömmande kartlägga vilka typer av känsliga person- 64 uppgifter som myndigheterna behöver stöd för att kunna behandla. Skatteverket, Tullverket och Kronofogdemyndigheten har vidare i vissa fall behov av att kunna behandla uppgifter om lagöverträdelser. Liksom vad gäller känsliga personuppgifter är det svårt att uppskatta omfattningen och kategorier av uppgifter om lagöverträdelser som myndigheterna behandlar. Även om det är svårt att på ett mer exakt sätt uppskatta och kartlägga omfattningen och kategorierna av känsliga personuppgifter och uppgifter om lagöverträdelser som behandlas och kan komma att behöva behandlas inom myndigheternas verksamheter ges några exempel i följande avsnitt.
Gemensamma behov
Myndigheterna behöver fortsatt kunna behandla känsliga personuppgifter och uppgifter om lagöverträdelser som inkommer till myndigheterna i bl.a. elektroniska handlingar, såsom e-postmeddelanden, från enskilda vars innehåll myndigheterna själva inte kan styra över. 65 Så kan vara fallet både inom och utom ett enskilt ärende. Sådana uppgifter kan också vara i den enskildes intresse att myndigheterna behandlar och beaktar inom ramen för exempelvis ett ärende. 66 Vidare behöver myndigheterna fortsatt kunna behandla känsliga personuppgifter och uppgifter om lagöverträdelser i handlingar som upprättas av myndigheten. Det kan röra sig om ett behov av att använda sådana uppgifter i en skriftlig motivering till ett beslut, för att skriva ner vad en enskild framför i ett telefonsamtal i en tjänsteanteckning som elek-
63 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen. 64 Ett exempel på att den materiella verksamhetsregleringen kan förändras snabbt är att det tidigare gavs möjlighet till skattereduktion för fackföreningsavgift, men regleringen av denna skattereduktion togs bort den 1 april 2019 efter att enbart kort dessförinnan ha återinförts från och med den 1 juli 2018, se SFS 2018:626 och SFS 2019:128 samt prop. 2017/18:127, Återinförande av skattereduktion för fackföreningsavgift. 65 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101–102. 66 Jfr prop. 2015/16:65, Utlänningsdatalag, s. 80.
667Känsliga personuppgifter, ...
troniskt tillförs ett ärende eller för att upprätta en föredragningspromemoria som förberedelse inför föredragning av ett beslut. Även själva besluten i ärendehandläggningen kan behöva innehålla känsliga personuppgifter eller uppgifter om lagöverträdelser eftersom det i vissa fall kan vara avgörande för t.ex. utgången i det enskilda målet eller ärendet. Utöver behandling av känsliga personuppgifter och uppgifter om lagöverträdelser som är kopplade till ärendehandläggning finns ytterligare situationer när myndigheterna behöver kunna behandla sådana uppgifter, nämligen i s.k. faktisk verksamhet. Berörda myndigheter har uppgett att det även finns ett behov av att kunna behandla uppgifterna för att t.ex. utföra tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Enligt vår mening är det viktigt att myndigheterna kan bevaka och utvärdera effektiviteten och kvaliteten i den egna verksamheten. Så har även regeringen tidigare bedömt vara fallet för t.ex. Migrationsverket och andra myndigheter som omfattas av utlänningsdatalagen. 67 Behovet kan t.ex. uppkomma genom att myndigheterna av regeringen åläggs att ta fram viss statistik som bygger på känsliga personuppgifter, exempelvis hur många som under en viss period har medgetts befrielse från förseningsavgifter av hälsoskäl. Sådana behov kan även finnas internt hos myndigheterna för att kunna planera och fördela resurser till rätt områden inom verksamheterna. Myndigheterna har också ett behov av att kunna behandla känsliga personuppgifter och uppgifter om lagöverträdelser för att göra dataanalyser och urval. Närmare redogörelser för och överväganden av denna fråga finns i avsnitt 14.9.2. Vid utlämnande eller inhämtande av uppgifter till eller från andra myndigheter kan myndigheterna komma att ta del av uppgifter om lagöverträdelser. 68 Vidare kan det förekomma situationer när myndigheterna gör en anmälan om misstankar om brott till Polismyndigheten eller åklagare. Sådana uppgifter måste enligt vår mening kunna behandlas av myndigheterna, liksom uppgifter om anmälan t.ex. lett till åtal och en efterföljande fällande dom. 69
67 Prop. 2015/16:65, Utlänningsdatalagen, s. 82. 68 Se t.ex. lagen (2016:774) om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet med tillhörande förordning. 69 Jfr SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 366.
668Känsliga personuppgifter, ...
Skatteverkets beskattningsverksamhet
Skatteverket behöver inom ramen för beskattningsverksamheten t.ex. kunna behandla uppgifter om människors religiösa övertygelse för att 70 hantera kyrkoavgiften samt avgifter till annat registrerat trossamfund 71 än Svenska kyrkan i inkomstdeklarationer. Vidare har avgift till fackförening fram till den 1 april 2019 medfört rätt till avdrag varför sådana uppgifter fortfarande behandlas vid Skatteverket. 72 Det finns också ett behov av att kunna hantera uppgifter om fysiska personers hälsa i form av bl.a. sjukdomar som kan åberopas som skäl för anstånd med betalning av skatter eller avgifter. Det kan även röra sig om fall där Skatteverket kan besluta om hel eller delvis befrielse från en särskild avgift om det är oskäligt att avgiften tas ut med fullt belopp, varvid det särskilt ska beaktas om den felaktighet eller passivitet som har lett till avgiften kan antas ha bl.a. berott på hälsa eller liknande förhållande. 73 Uppgifter om hälsa behöver också kunna behandlas till följd av de individuppgifter i arbetsgivardeklarationer som lämnas in till Skatteverket vilka t.ex. kan avse uppgifter om sjukpenning och rehabiliteringspenning. 74 Vidare finns regler om att skattereduktion ska göras för bl.a. sjukersättning och aktivitetsersättning. 75 Känsliga personuppgifter om enskilda behöver i vissa fall även behandlas vid tilldelning av organisationsnummer för bl.a. juridiska personer enligt lagen (1974:174) om identitetsbeteckning för juridiska personer m.fl., samt vid namn- eller adressändring för juridiska personer. Det kan nämligen av inskickat underlag framgå att vissa utpekade fysiska personer är företrädare för föreningar eller andra sammanslutningar som t.ex. avser politiska partier eller religiösa samfund. Vidare har Skatteverket ett behov av att behandla uppgifter om lagöverträdelser för att utföra vissa av sina uppdrag. Exempelvis finns en skyldighet för myndigheten att göra anmälan till åklagare så snart det finns anledning att anta att brott enligt skattebrottslagen (1971:69)
70 7 och 8 §§ lagen (1998:1591) om Svenska kyrkan, 16 § lagen (1998:1593) om trossamfund och 56 kap. 8 § skatteförfarandelagen (2011:1244), SFL. 71 Se bl.a. 1 och 5 §§ lagen (1999:291) om avgift till registrerat trossamfund, 16 § lagen om trossamfund och 56 kap. 8 § SFL. 72 Se 67 kap. 2 § IL i sin lydelse enligt SFS 2018:626 då skattereduktion skulle göras för bl.a. fackföreningsavgift. Bestämmelsen upphävdes dock att gälla i denna del genom SFS 2019:128, se prop. 2018/19:45, Avskaffad skattereduktion för fackföreningsavgift. 73 Se 51 kap. 1 § SFL. Se även prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101. 74 Jfr bl.a. 2 kap. 15 § socialavgiftslagen (2000:980). 75 67 kap. 2 § IL.
669Känsliga personuppgifter, ...
har begåtts 76 eller så snart det finns anledning att anta att någon har gjort sig skyldig till bokföringsbrott eller grovt bokföringsbrott enligt 11 kap. 5 § brottsbalken. 77 Det finns också ett behov av att behandla uppgifter om lagöverträdelser för att kunna tillämpa regleringen som rör förbudet mot dubbla förfaranden i beskattningsverksamheten. 78 Ett annat exempel är att Skatteverket behöver ha möjlighet att behandla brottmålsdomar i utredningar om företrädaransvar. I sådana domar kan även känsliga personuppgifter förekomma. Vidare behöver myndigheten behandla uppgifter om lagöverträdelser inför godkännande av deklarationsombud, varvid omständigheten att ombudet har dömts för brott i näringsverksamhet eller för annan ekonomisk brottslighet har betydelse för lämplighetsbedömningen. 79
Skatteverkets folkbokföringsverksamhet
I Skatteverkets folkbokföringsverksamhet finns sedan den 1 september 2023 ett behov av att kunna behandla biometriska uppgifter i form av fingeravtryck och ansiktsbild till följd av en ändring i folkbokföringslagen (1991:481), FOL, och lagen (2022:1697) om samordningsnummer. 80 Vidare kan uppgifter om att en person vistas på sjukhus eller i fängelse vara relevant i bosättningsutredningar, vilket indirekt i vissa 81 fall bör kunna ses som uppgifter om hälsa samt lagöverträdelser. Ett annat exempel är ärenden om skyddad folkbokföring 82 i vilka Skatteverket kan behöva behandla känsliga personuppgifter om bl.a. hälsa, religiös övertygelse, politiska åsikter eller sexuell läggning. Sådana kategorier av uppgifter förekommer i t.ex. handlingar från den enskilde samt yttranden från psykolog eller socialtjänst. I ärenden om skyddad folkbokföring är det även vanligt att det förekommer uppgifter
76 17 § skattebrottslagen. 77 18 § första stycket 4 skatteförfarandeförordningen (2011:1261), SFF. 78 Se bl.a. 49 kap. 10 a och 10 b §§ SFL. 79 6 kap. 6 § SFL. 80 Se 26 b § och 26 c § FOL samt 2 kap. 3 och 4 §§ lagen om samordningsnummer. I den nuvarande folkbokföringsdatabaslagen anges i 2 kap. 3 § första stycket 21 att Skatteverket får behandla sådana uppgifter i folkbokföringsdatabasen för de ändamål som anges i 1 kap. 4 § samma lag. 81 Se 9 § FOL. 82 Se bl.a. 16 § första stycket FOL i vilken det anges att en person som av särskilda skäl kan antas bli utsatt för brott, förföljelser eller allvarliga trakasserier på annat sätt, får efter egen ansökan medges att vara folkbokförd på en annan folkbokföringsort än där personen är bosatt (skyddad folkbokföring) om åtgärden med hänsyn till den enskildes förmåga och övriga förutsättningar kan antas tillgodose behovet av skydd.
670Känsliga personuppgifter, ...
om lagöverträdelser i t.ex. brottmålsdomar och yttranden från Polismyndigheten. Vidare kan uppgifter om medborgarskap eller inflyttning från utlandet i förekommande fall innehålla uppgifter som avslöjar etniskt ursprung. Sådana uppgifter faller visserligen som regel utanför förbudet mot att behandla uppgifter om etniskt ursprung, men om uppgiften i det enskilda fallet avslöjar etniskt ursprung utgör den känsliga personuppgifter. 83 Uppgifterna måste dock kunna registreras av Skatteverket för att uppfylla kraven i bl.a. folkbokföringslagen. Skatteverket har även inom folkbokföringsverksamheten en skyldighet att göra en anmälan till Polismyndigheten eller till åklagare så snart det finns anledning att anta att någon har gjort sig skyldig till vissa i folkbokföringsförordningen (1991:749) respektive förordningen (2023:363) om samordningsnummer särskilt uppräknade brott. 84
Tullverket
Tullverket behöver t.ex. ha stöd för att behandla uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Det behövs bl.a. vid hantering av deklarationer för in- och utförsel av varor samt vid riskhantering i syfte att hindra in- eller utförsel av varor som kan skada människors liv eller hälsa. I sådana fall kan typen av vara, t.ex. läkemedel eller böcker samt tidskrifter, tillsammans med uppgifter om avsändare och mottagare, 85 avslöja känsliga personuppgifter om en fysisk person. Det kan t.ex. avslöja vilken sjukdom en enskild person har mot bakgrund av vilket läkemedel som importeras. Vidare kan sådana uppgifter också behöva behandlas för att säkerställa efterlevnaden av produktsäkerhetskrav, t.ex. då det finns risk för läkemedelsförfalskning. Ett annat konkret exempel är in- eller utförsel av varor som adresserats till politiska, religiösa, kulturella eller fackliga organisationer vilka indirekt kan avslöja uppgifter om enskilda personers etnicitet, politiska åsikter, reli-
83 Prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 325 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 363. 84 11 § folkbokföringsförordningen och 20 § förordningen om samordningsnummer. 85 Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178 där regeringen uttalar att smugglingsmetoder eller föremål som smugglas kan avslöja religiös övertygelse eller politiska åsikter.
671Känsliga personuppgifter, ...
giösa övertygelse eller medlemskap i fackförening. Inom sitt uppdrag med säkerhet och skydd behöver Tullverket även övervaka import av varor till vissa individer. Det rör sig bl.a. om individer som har bedömts förekomma i ett sammanhang där de skulle kunna ha en roll i anskaffningsförsök av varor som kan komma att användas i terroristrelaterad verksamhet. Ett annat exempel är att Tullverket vid bedömningen av om det finns förutsättningar för hel eller delvis befrielse från tulltillägg eller förseningsavgift särskilt ska beakta om den felaktighet eller passivitet som lett till avgiften kan antas ha berott på bl.a. hälsa varför sådana typer av känsliga personuppgifter behöver kunna behandlas. 86 Tullverket har också behov av att kunna behandla uppgifter om lagöverträdelser. Exempelvis anges i tullkodexen att kriterierna för att bevilja status som ”godkänd ekonomisk aktör” 87 innefattar bl.a. frånvaro av alla former av allvarliga överträdelser eller upprepade överträdelser av tullagstiftningen och skattereglerna, inbegripet att den sökande inte får vara dömd för allvarliga brott som rör hans eller hennes ekonomiska verksamhet. 88 Vidare har Tullverket till följd av EUgemensamma riskkriterier en skyldighet att beakta tidigare brottslig- 89 het vid riskanalyser som leder till urval för kontroll. Ett annat exempel är att en tullkontroll kan resultera i ett beslag varför sådana uppgifter behöver kunna behandlas. Det är också nödvändigt att Tullverket kan följa upp resultat och effektiviteten i myndighetens metoder för tullkontroll. 90
Kronofogdemyndigheten
Även Kronofogdemyndigheten behöver behandla känsliga personuppgifter för att utföra vissa uppgifter. Exempelvis kan grunden för ett krav inom verksamheten med betalningsföreläggande vara utebliven betalning av avgift till fackförening. Vidare kan uppgifter om hälsa behöva behandlas i ärenden om skuldsanering och verkställig-
86 Se 5 kap. 17 § första stycket 1 tullagen (2016:253). 87 Se bl.a. artiklarna 38 och 39 i tullkodexen. 88 Artikel 39 a i tullkodexen. 89 Att det finns EU-gemensamma riskkriterier för tullmyndigheterna inom arbetet med säkerhet och skydd framgår bl.a. av artikel 46.3 i tullkodexen. Riskkriterierna anges i en genomförandeakt som antagits av EU-kommissionen genom artikel 50.1 i tullkodexen och är inte offentliga. Se för vidare information Europeiska kommissionens hemsida, https://taxationcustoms.ec.europa.eu/measures-customs-risk-management-framework_en [hämtad 2023-03-27]. 90 Jfr t.ex. Riksrevisionen (2019), Tullverkets kontroll – en träffsäker verksamhet?, rapport 2019:12.
672Känsliga personuppgifter, ...
het. Exempelvis är enligt 7 § skuldsaneringslagen (2016:675) ett av kriterierna för skuldsanering att gäldenären inte kan antas ha förmåga att betala sina skulder inom överskådlig tid. Om gäldenären exempelvis påstår bristande arbetsförmåga som ett skäl för skuldsanering kan detta behöva underbyggas genom att han eller hon ger in ett läkarintyg till Kronofogdemyndigheten. Gäldenären kan också behöva ge in t.ex. ett läkarintyg i ett omprövningsärende av en redan beviljad skuldsanering om denne ansöker om att på grund av sjukdom få betala mindre. Kronofogdemyndigheten har också ett behov av att kunna behandla uppgifter om beslut om olika ekonomiska ersättningar, t.ex. sjukpenning, från Försäkringskassan vilka kan utgöra känsliga personuppgif- 91 ter. Redan uppgiften om att någon har beviljats en socialförsäkringsförmån har nämligen ansetts kunna utgöra en känslig personuppgift om hälsa. 92 Kronofogdemyndigheten behöver vidare kunna behandla uppgifter om lagöverträdelser. Så är fallet avseende exempelvis skadestånd i brottmål då det kan ligga till grund för en fordran inom verksamheten med betalningsföreläggande och verkställighet eller som är en del av de 93 skulder som omfattas av en ansökan om skuldsanering. Förekomsten av en skuld på grund av skadestånd för brott kan också påverka skälighetsbedömningen enligt 9 § skuldsaneringslagen på det sättet att omständigheten måste beaktas i beslut. Kronofogdemyndigheten kan också behöva behandla uppgifter om lagöverträdelser för att kontakta målsäganden efter dom i brottmål. 94 Utöver detta behöver så- 95 dana uppgifter bl.a. behandlas vid tillsyn över näringsförbud och vid tillsyn över konkursförvaltare då uppgift om brott kan ha betydelse för bedömning av lämpligheten och frågan om entledigande. 96 Inom verksamheten med verkställighet kan vidare uppgifter om fällande domar i brottmål behöva behandlas som ett led i myndighetens säkerhetsbedömning inför förrättning.
91 Se 3 § förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter. 92 Prop. 2022/23:34, Utbetalningsmyndighetens, s. 134 och SOU 2020:35, Kontroll för ökad tilltro – en ny myndighet för att förebygga, förhindra och upptäcka felaktiga utbetalningar från välfärdssystemen, s. 363. 93 12 § skuldsaneringslagen. 94 2 kap. 3 § andra stycket utsökningsförordningen (1981:981). 95 41 § lagen (2014:836) om näringsförbud. 96 7 kap. 1 och 5 §§ konkurslagen (1987:672).
673Känsliga personuppgifter, ...
10.6 Den nuvarande regleringen bör ses över
och uppdateras
Vår bedömning: De nu gällande bestämmelserna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bör ses över och uppdateras.
Skälen för vår bedömning
Känsliga personuppgifter
När de nuvarande bestämmelserna utformades och trädde i kraft gällde 1995 års dataskyddsdirektiv och den numera upphävda personuppgiftslagen med tillhörande förordning. Personuppgiftslagen byggde på dataskyddsdirektivet som krävde införlivning i svensk rätt. Personuppgiftslagen innehöll inte några särskilda undantag från det då gäll- 97 ande förbudet mot behandling av känsliga personuppgifter som var tillämpliga i de aktuella verksamheterna. 98 Den generella regleringen innebar därmed att det behövde finnas uttryckliga bestämmelser som tillät behandling av känsliga personuppgifter för att täcka nödvändig behandling. 99 När personuppgiftslagen gällde var det vidare vanligt att sektorspecifika registerförfattningar innehöll särskild reglering av myndigheters behandling av känsliga personuppgifter. 100 Det kan till viss del bero på att artikel 8.4 i dataskyddsdirektivet föreskrev att under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse fick medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag för behandling av känsliga personuppgifter än de som nämndes i artikel 8.2. Till skillnad från dataskyddsdirektivet och personuppgiftslagen innebär dataskyddsförordningen att de föreskrivna undantagen från förbudet mot behandling av känsliga personuppgifter är direkt tillämpliga för de nationella myndigheterna, även om vissa undantag i sig kräver
97 13 § PUL. 98 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 101. 99 Jfr SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 291. 100 SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet, s. 291.
674Känsliga personuppgifter, ...
kompletterande nationell lagstiftning. 101 Myndigheterna kan därmed stödja viss behandling av känsliga personuppgifter redan på grundval av dataskyddsförordningens bestämmelser under de förutsättningar som där anges. Berörda myndigheter har uttryckt att den nuvarande utformningen av lagstiftningen i olika avseenden är problematisk. 102 Det kan konstateras att de nuvarande registerförfattningarna är mer detaljerade och långtgående än dataskyddsförordningen och dataskyddslagen. Berörda myndigheters reglering skiljer sig något åt till följd av de olika behoven i verksamheterna. Det kan dock konstateras att de befintliga registerförfattningarna huvudsakligen tillåter behandling av känsliga personuppgifter och uppgifter om lagöverträdelser 103 i följande situationer. 104 • Behandling utanför databaserna får ske under förutsättning att uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det. I ett sådant fall görs ingen skillnad mellan uppgifter i och utom elektroniska handlingar. • Behandling inom databaserna får ske i form av uppgifter som registreras för att kunna vara sökbara och användbara vid den allmänna ärendehanteringen och verksamhetsdriften endast om det är särskilt angivet i den lag som reglerar behandlingen av personuppgifter. • Behandling inom databaserna får även ske om uppgifterna finns i en elektronisk handling som har kommit in i ett ärende. • Behandling inom databaserna får slutligen ske om uppgifterna finns i en elektronisk handling som har upprättats i ett ärende om de är nödvändiga för ärendets handläggning.
I dataskyddsförordningen och dataskyddslagen görs inte någon uppdelning mellan uppgifter som förekommer i elektroniska handlingar eller som enskilda sökbara uppgifter. Det kan visserligen finnas verksamheter inom vilka det är motiverat att upprätthålla en mer avgränsad
101 T.ex. kräver undantaget i artikel 9.2 g att det viktiga allmänna intresset ska grunda sig på unionsrätten eller nationell rätt vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 102 Se avsnitt 10.5. 103 Samma regler gäller generellt sett för såväl känsliga personuppgifter som uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. 104 Se avsnitt 10.3 för en utförligare redogörelse av gällande rätt.
675Känsliga personuppgifter, ...
reglering. 105 Skatteverket, Tullverket och Kronofogdemyndigheten kan dock genom de nuvarande bestämmelserna hindras att utföra vissa av de författningsreglerade uppgifter som åligger dem. Exempelvis har myndigheterna begränsade möjligheter att behandla känsliga personuppgifter i s.k. faktisk verksamhet som inte utgör ärendehandläggning. Sådan behandling kan dock behöva utföras för att myndigheterna t.ex. ska kunna delta i olika nationella eller EU-rättsliga samverkansprojekt på det sätt som olika författningar eller regeringsbeslut kräver. Den nuvarande regleringen kan också utgöra en begränsning av möjligheterna att behandla känsliga personuppgifter för ändamålen tillsyn, kontroll, uppföljning och planering av verksamheterna, samt framställning av statistik eller testverksamhet. Det hindrar också myndigheternas möjligheter att göra vissa urval av bl.a. ärenden eller personer för ytterligare kontroll. Dessa begränsningar kan ifrågasättas eftersom sådan verksamhet är en förutsättning för att myndigheterna fortlöpande ska kunna bevaka effektiviteten och kvaliteten i verksamheten. Det är bl.a. av vikt för att upprätthålla en väl fungerande ärendehandläggning, vilket i sin tur gagnar enskilda registrerade. Vi anser att det finns goda möjligheter att säkerställa ett tillräckligt integritetsskydd på andra sätt än att helt undanta vissa möjligheter för myndigheterna att över huvud taget behandla sådana uppgifter, t.ex. genom att reglera särskilda sökbegränsningar och tillgången till uppgifterna (se bl.a. avsnitten 7.7 och 10.9). Vidare innebär dagens reglering att inkommande elektroniska handlingar som innehåller känsliga personuppgifter som inte hör till ett 106 ärende inte får behandlas inom databaserna. Det kan t.ex. röra sig om e-postmeddelanden från enskilda med allmänna frågor som myndigheten måste besvara till följd av den allmänna serviceskyldigheten. 107 Dessa regler kan i sig påverka hur myndigheterna rent tekniskt behöver utforma sina verksamhetsstöd. Vi bedömer att ett fullgott integritetsskydd även i sådana situationer kan uppnås genom andra
105 Prop. 2017/18:105, Ny dataskyddslag, s. 91. 106 När det gäller behandling av känsliga personuppgifter i handlingar som inkommer till eller upprättas av myndigheterna kan det nämnas att oaktat om behandlingen kan anses vara nödvändig, t.ex. för att handlägga ett ärende, kan den behöva bevaras för att uppfylla tryckfrihetsförordningens krav på utlämnande av allmänna handlingar samt arkivlagens krav på bevarande av allmänna handlingar. Sådan fortsatt behandling är dock tillåten även enligt dataskyddsförordningen med stöd av artikel 5.1 b alternativt på den grunden att tryckfrihetsförordningens regler har företräde framför dataskyddsförordningen och dataskyddslagen, se 1 kap. 7 § dataskyddslagen samt artikel 85 i dataskyddsförordningen. 107 6 § andra stycket FL.
676Känsliga personuppgifter, ...
medel än en reglering som innebär att en viss typ av behandling inte är tillåten nationellt för de berörda myndigheterna. Utöver detta bedömer vi att den nuvarande regleringen kan vara svår att tillämpa vid en helt digitaliserad ärendehandläggning. Som framgått ovan gäller i dag, med vissa undantag för Kronofogdemyndigheten och Skatteverket, att vid handläggning av ärenden inom respektive databas får känsliga personuppgifter framför allt behandlas i handlingar som kommit in till eller upprättats av myndigheterna. I annat fall behöver behandlingen ske utanför databaserna samt avse uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det (se t.ex. 1 kap. 7 § SdbL). Huvuddelen av myndigheternas ärendehandläggning sker dock i dag inom databaserna vilket innebär att de uppgifter som behövs för ärendehandläggning vanligen är gemensamt tillgängliga i olika verksamhetssystem. Det finns visserligen vissa skillnader mellan myndigheterna i detta avseende. Kronofogdemyndigheten ser det som att i princip all ärendehandläggning vid myndigheten i dag sker inom databaserna vilket innebär att bestämmelsen i 1 kap. 6 § KFMdbL, som reglerar behandling utanför databaserna och som är vidare än bestämmelserna i 2 kap., sällan blir aktuell att tillämpa. Inom Skatteverkets beskattningsverksamhet sker dock viss ärendehandläggning utanför databaserna, vilket innebär att bestämmelsen om behandling av känsliga personuppgifter utanför beskattningsdatabasen tillämpas i vissa fall. Oaktat de skillnader som kan finnas mellan myndigheterna kan det ifrågasättas om det mot bakgrund av den nuvarande, närmast fullständigt, digitaliserade ärendehandläggningen fortsatt finns skäl att upprätthålla den nuvarande regleringen. Då bestämmelserna skiljer på uppgifter som behandlas inom eller utanför databaserna kan regleringen leda till att myndigheterna anpassar ärendehandläggningen till registerförfattningarna i stället för att utveckla det mest effektiva arbetssättet. Vidare behöver myndigheterna i vissa fall lägga tid och resurser på att avgöra vad som är en (elektronisk) handling trots att någon sådan uppdelning inte finns i dataskyddsförordningen eller dataskyddslagen. Den nuvarande regleringen riskerar dessutom att hindra myndigheternas arbete med att digitalisera ärendehandläggningen. Eftersom känsliga personuppgifter i dag enbart får behandlas i handlingar i verksamhetssystem som används gemensamt av fler än ett fåtal tjänstemän försvåras utvecklingen av nya system som ska användas gemensamt genom vilka enskilda kan lämna in uppgifter som inte
677Känsliga personuppgifter, ...
ingår i en elektronisk handling. 108 Det kan här nämnas att regeringen i samband med införandet av dataskyddslagen anförde att nödvändig behandling av känsliga personuppgifter, bl.a. i elektroniska ärendehanteringssystem, bör vara tillåten vid handläggningen av ett ärende oavsett om uppgifterna förekommer i löpande text eller inte. Enligt regeringen skulle befintliga skyddsåtgärder t.ex. i fråga om sekretessbestämmelser i stället kompletteras med en sökbegränsning, dvs. nuvarande 3 kap. 3 § andra stycket dataskyddslagen. 109 Även det förhållandet att vi föreslår att det inte längre ska finnas någon reglering av databaser (se avsnitt 9.4.2) föranleder nya överväganden och en uppdatering av den aktuella regleringen. Vi anser att det inte längre bör göras någon skillnad på behandling av känsliga personuppgifter som kan anses vara gemensamt tillgängliga eller inte. Dataskyddsförordningens särskilda reglering avseende känsliga personuppgifter gäller oaktat om en enskild medarbetare behandlar sådana personuppgifter i ett ordbehandlingsprogram på sin dator eller om uppgifterna finns i ett verksamhetssystem som är tillgängligt för en större mängd medarbetare vid myndigheten. Så bör enligt vår mening även vara fallet vid sådan behandling som sker vid Skatteverket, Tullverket och Kronofogdemyndigheten. Sammantaget anser vi att de nu gällande bestämmelserna om känsliga personuppgifter behöver ses över och uppdateras. Integritetsskäl kräver dock noggranna överväganden av en förändrad reglering som innebär att myndigheterna ges en utökad möjlighet att behandla känsliga personuppgifter m.m. i förhållande till vad som gäller i dag. 110
Uppgifter om lagöverträdelser
Enligt den nuvarande ordningen gäller i huvudsak samma regler för berörda myndigheters behandling av uppgifter om lagöverträdelser som vid behandling av känsliga personuppgifter. 111 Det innebär att myndigheterna får behandla uppgifter om lagöverträdelser i mindre utsträckning än vad som gäller enligt dataskyddsförordningen och dataskyddslagen. Vid tidpunkten för införandet av de nu gällande be-
108 Jfr SOU 2018:25, Juridik som stöd för förvaltningens digitalisering, s. 444. 109 Prop. 2017/18:105, Ny dataskyddslag, s. 88. 110 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 63 och prop. 2017/18:105, Ny dataskyddslag, s. 91. 111 Se avsnitt 10.3 för närmare redogörelser av den nuvarande sektorspecifika regleringen.
678Känsliga personuppgifter, ...
stämmelserna angavs i artikel 8.5 i dataskyddsdirektivet bl.a. att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder endast fick utföras under kontroll av en myndighet. Vidare angavs att medlemsstaterna fick föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skulle behandlas under kontroll av en myndighet. I den numera upphävda 21 § PUL angavs bl.a. att det var förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. När Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar anpassades till dataskyddsförordningen konstaterade regeringen att sådana bestämmelser om behandling av uppgifter om lagöverträdelser som fanns i registerförfattningarna inte krävs med anledning av artikel 10 i dataskyddsförordningen eller dataskyddslagen. Regeringen konstaterade därefter att begränsningarna i berörda myndigheters registerförfattningar har införts i syfte att skydda den personliga integriteten. Då det inte hade framkommit några skäl att upphäva dessa bestämmelser bedömde regeringen att de skulle finnas 112 kvar. Av de skäl som anförts ovan avseende känsliga personuppgifter anser vi dock att det inte längre är ändamålsenligt att upprätthålla den nuvarande regleringen, vilken bl.a. gör skillnad på uppgifter i handlingar och uppgifter i eller utom databaserna samt särreglerar behandling som sker vid ärendehandläggning. När det gäller behandling av uppgifter om lagöverträdelser finns det dessutom inte lika begränsande reglering för myndigheter i fråga om sådan behandling i artikel 10 i dataskyddsförordningen till skillnad från vad som gäller för behandling av känsliga personuppgifter. Detsamma gäller i fråga om dataskyddslagens bestämmelser (3 kap. 8 §). Vidare har dataskyddsförordningens ikraftträdande inneburit vissa materiella skillnader i förhållande till vad som tidigare gällde enligt dataskyddsdirektivet. Exempelvis omfattas inte längre uppgifter om friande domar i brottmål eller administrativa frihetsberövanden av ordalydelsen i den generella EU-rättsliga dataskyddsregleringen. 113
112 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 66. 113 Prop. 2017/18:105, Ny dataskyddslag, s. 98.
679Känsliga personuppgifter, ...
Mot denna bakgrund anser vi att det även finns skäl att se över och uppdatera de nu gällande bestämmelserna om behandling av uppgifter om lagöverträdelser.
10.7 En ny reglering av behandling av känsliga
personuppgifter
Vårt förslag: Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Skälen för vårt förslag
Behandling av känsliga personuppgifter för ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen
För att Skatteverket, Tullverket och Kronofogdemyndigheten ska få behandla känsliga personuppgifter vid utförandet av sina respektive uppdrag krävs att behandlingen är tillåten. Som vi redogör för i avsnitt 10.2.1 är behandling av känsliga personuppgifter som huvudregel förbjuden enligt dataskyddsförordningen (artikel 9.1). Det finns dock ett antal undantag som innebär att förbudet inte ska tillämpas (artikel 9.2). Det undantag som framför allt kommer att komma i fråga för berörda myndigheter att tillämpa är artikel 9.2 g. Enligt den artikeln är det tillåtet att behandla känsliga personuppgifter om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen har uttalat att det anses utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras uppdrag på ett korrekt, rättssäkert och effektivt sätt. 114 För
114 Prop. 2017/18:105, Ny dataskyddslag, s. 83.
680Känsliga personuppgifter, ...
myndigheters del innefattar detta bl.a. den behandling av känsliga personuppgifter som är nödvändig för att de ska kunna utföra sina uppdrag enligt materiell verksamhetslagstiftning och respektive myndighets instruktion. I skäl 112 till dataskyddsförordningen anges internationella utbyten av uppgifter mellan bl.a. skatte- eller tullmyndigheter som exempel på viktiga allmänintressen. Syftet med Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av personuppgifter är exempelvis att fastställa och ta ut skatter, tullar, socialavgifter och andra avgifter för att säkerställa 115 en riktig uppbörd , ge olika samhällsfunktioner ett korrekt underlag för beslut och åtgärder genom folkbokföringsuppgifterna 116 , övervaka och kontrollera trafiken till och från Sverige 117 eller driva in 118 skulder i samhället. Myndigheternas arbetsuppgifter är bl.a. av betydelse för att en rad olika samhällsfunktioner ska fungera och i förlängningen för att upprätthålla samhällets tilltro till välfärdssystemen. När myndigheterna behandlar känsliga personuppgifter som är nödvändiga för att myndigheterna ska kunna utföra sina uppgifter är det alltså fråga om sådan behandling som avses i artikel 9.2 g i dataskyddsförordningen, dvs. en behandling som är av viktigt allmänt intresse. När det gäller myndigheternas materiella verksamhetsreglering som fastställts i svensk rätt bör utgångspunkten vara att denna uppfyller kraven på proportionalitet i artikel 6.1 c och e i dataskyddsförordningen. 119 Som ovan nämnts ställer artikel 9.2 g krav på att behandlingen av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet. Regeringen har tidigare uttalat att detta innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av de som avses i artikel 6.1 c eller e, dvs. en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen på det sätt som regeringen ansett är fallet avseende de rättsliga grunderna i artikel 6.1. 120 Artikel 9.2 g bör alltså tolkas så att det är den materiella verksamhetsregleringen vilken reglerar myndig-
115 Jfr 1 § förordningen (2017:154) med instruktion för Skatteverket och 1 § förordningen (2016:1332) med instruktion för Tullverket. 116 Jfr 2 § förordningen med instruktion för Skatteverket. 117 Jfr 2 § förordningen med instruktion för Tullverket. 118 Jfr 1 § förordningen (2016:1333) med instruktion för Kronofogdemyndigheten. 119 Prop. 2017/18:105, Ny dataskyddslag, s. 50. 120 Prop. 2017/18:105, Ny dataskyddslag, s. 84.
681Känsliga personuppgifter, ...
heternas uppgifter, och därmed det viktiga allmänna intresset, som ska ligga till grund för behandlingen och vara proportionerlig, vilket den som utgångspunkt kan anses vara i svensk rätt. Vidare ställer dataskyddsförordningen särskilda krav på det rättsliga stödet, vilket måste vara förenligt med det väsentliga innehållet i rätten till dataskydd. I förarbetena till dataskyddslagen uttalar regeringen att det är svårt att föreställa sig en rättslig grund för behandling av personuppgifter som uppfyller kraven i artikel 6, men som ändå inte är förenlig med det väsentliga innehållet i rätten till dataskydd. Om grunden för behandlingen inte är förenlig med det väsentliga innehållet i rätten till dataskydd, torde den enligt regeringen inte utgöra en godtagbar rättslig grund för behandling av personuppgifter över huvud taget. Det kan enligt regeringen därför ifrågasättas om tillägget i artikel 9.2 g utgör ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse. 121 Under förutsättning att berörda myndigheter, vid behandling av personuppgifter för ett allmänt intresse, har rättslig grund för den behandling som är nödvändig att utföra, bör alltså kravet på förenlighet med det väsentliga innehållet i rätten till dataskydd kunna ses som uppfyllt. Utöver detta tillkommer enligt artikel 9.2 g ett krav på att gällande rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. I de föreslagna lagarna kommer det att finnas bestämmelser som kompletterar dataskyddsförordningens bestämmelser om när behandling av personuppgifter kan tillåtas. Lagarna kommer också att innehålla olika former av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som myndigheterna utför. Det handlar t.ex. om bestämmelser om personuppgiftsansvar, tillgång till personuppgifter, sökbegränsningar och längsta tid för behandling. Därutöver finns och föreslås finnas sekretessbestämmelser som är tillämpliga inom respektive myndighets verksamhet (se avsnitten 3.3.4–3.3.6 och 15.2–15.5). Sammantaget innebär detta enligt vår bedömning att den behandling av känsliga personuppgifter som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra uppfyller kraven i artikel 9.2 g om att den nationella rätten ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till data-
121 Prop. 2017/18:105, Ny dataskyddslag, s. 84.
682Känsliga personuppgifter, ...
skydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Behandlingen bör regleras i de nya lagarna
När Skatteverket, Tullverket och Kronofogdemyndigheten behandlar känsliga personuppgifter görs det i dag i enlighet med de sektorspecifika registerförfattningarna. Dessa författningar är begränsande i förhållande till dataskyddsförordningen och dataskyddslagen. Frågan är om det fortfarande kan anses vara nödvändigt med sektorspecifik reglering av behandling av känsliga personuppgifter. Om så är fallet blir nästa fråga hur en sådan reglering bör se ut. Skatteverkets, Tullverkets och Kronofogdemyndighetens behov av att behandla känsliga personuppgifter har beskrivits i avsnitt 10.5. Vi konstaterar ovan att samtliga krav som ställs upp i artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas med hänsyn till ett viktigt allmänt intresse är uppfyllda för den personuppgiftsbehandling som sker vid Skatteverket, Tullverket och Kronofogdemyndigheten inom ramen för de nya lagarna. Den behandling som är nödvändig för myndigheterna att utföra för att verksamheterna ska kunna bedrivas på ett korrekt och effektivt sätt är därmed enligt vår mening redan tillåten enligt dataskyddsförordningen. Artikel 9.2 g i dataskyddsförordningen är direkt tillämplig i myndigheternas verksamheter. Det är dock möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser avseende känsliga personuppgifter (artikel 6.2 och 6.3 samt skäl 10). 122 Som framgår av avsnitt 10.2.1 finns i 3 kap. 3 § dataskyddslagen en generell bestämmelse som ger myndigheter stöd för behandling av känsliga personuppgifter för ett viktigt allmänt intresse. Enligt denna bestämmelse får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag (3 kap. 3 § första stycket 1), om behandlingen är nödvändig för handläggningen av ett ärende (3 kap. 3 § första stycket 2), eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt
122 Se även bl.a. prop. 2017/18:105, Ny dataskyddslag, s. 75 och prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 61.
683Känsliga personuppgifter, ...
intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket 3). Bestämmelsen i 3 kap. 3 § dataskyddslagen är enligt förarbetena avsedd att gälla för offentlig verksamhet där sektorspecifik reglering avseende behandling av känsliga personuppgifter saknas. I samma förarbeten anges att det kan finnas anledning att för vissa sektorer närmare precisera och avgränsa möjligheterna att behandla känsliga personuppgifter ytterligare och det kan finnas ett berättigat behov av att behandla känsliga personuppgifter i större omfattning än vad dessa 123 bestämmelser medger. Skatteverket, Tullverket och Kronofogdemyndigheten kommer enligt vår bedömning att kunna behandla personuppgifter enligt 3 kap. 3 § första stycket 1 dataskyddslagen i t.ex. de fall behandlingen krävs i myndigheternas verksamhet som en direkt följd av framför allt offentlighets- och sekretesslagens och förvaltningslagens bestämmelser om hur allmänna handlingar ska hanteras. 124 En relativt omfattande del av berörda myndigheters verksamheter består vidare av ärendehandläggning i förvaltningslagens mening. Regleringen i 3 kap. 3 § första stycket 2 dataskyddslagen bedöms därför vara tillräcklig för att myndigheterna ska kunna behandla känsliga personuppgifter som behövs i ett ärende. 125 Det är dock inte lika tydligt att myndigheterna kommer att ha det stöd som krävs för att behandla känsliga personuppgifter i annat fall, nämligen i faktisk verksamhet, dvs. sådan verksamhet som inte utgör handläggning av ärenden. Enligt 3 kap. 3 § första stycket 3 dataskyddslagen får som ovan nämnts sådan annan behandling ske, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Även sådan behandling sker löpande i berörda myndigheters verksamheter. Det kan i vissa fall röra sig om ett behov av att behandla relativt stora mängder känsliga personuppgifter, t.ex. vid hantering av inkommande handlingar som inte hör till ärenden eller vid utförande av dataanalyser och urval. Av den allmänna motiveringen till 3 kap. 3 § första stycket 3 dataskyddslagen framkommer bl.a. att bestämmelsen har getts ett snävt tillämpningsområde för att markera att den är avsedd att användas restriktivt. Vidare framgår av motiven att kravet på att behandlingen
123 Prop. 2017/18:105, Ny dataskyddslag, s. 91. 124 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194. 125 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.
684Känsliga personuppgifter, ...
inte får ske om den innebär ett otillbörligt intrång i de registrerades integritet, motverkar att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten utan att annat författningsstöd finns. I förarbetenas författningskommentar anges att bestämmelsen inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten. 126 Det kan göras gällande att dessa förarbetsuttalanden innebär att behandling av personuppgifter inom myndigheternas kärnverksamhet inte kan ske med stöd av 3 kap. 3 § första stycket 3 dataskyddslagen. 127 Enligt vår mening bör dock inte det förhållandet att bestämmelsen inte kan tillämpas slentrianmässigt anses innebära att behandling av känsliga personuppgifter i en myndighets löpande verksamhet aldrig kan stödja sig på denna grund. Snarare bör tillämpningssvårigheter i vissa myndigheters verksamheter kunna uppkomma till följd av att bestämmelsen ska användas restriktivt samt att personuppgiftsansvariga myndigheter vid tillämpning av bestämmelsen, i det enskilda fallet, måste göra en bedömning av om behandlingen innebär ett otillbörligt intrång i den registrerades personliga integritet. För att avgöra om intrånget är otillbörligt måste myndigheten göra en proportio- 128 nalitetsbedömning. Just sådana tillämpningssvårigheter kan enligt vår bedömning uppkomma om Skatteverket, Tullverket och Kronofogdemyndigheten behöver stödja viss personuppgiftsbehandling på 3 kap. 3 § första stycket 3 dataskyddslagen. Detta mot bakgrund av den omfattande och löpande behandling av känsliga personuppgifter i faktisk verksamhet som myndigheterna har ett behov av att kunna 129 utföra. Det kan därför ifrågasättas om berörda myndigheter vid varje tillfälle kommer att ha det stöd som krävs för sådan behandling i den löpande verksamheten. I förarbetena till bestämmelsen anges vidare att den inte kan läggas till grund för att skapa integritetskänsliga sammanställningar av känsliga personuppgifter. 130 Sådana sammanställningar kommer dock i särskilda fall kunna aktualiseras, bl.a. till följd av de möjligheter till att göra dataanalyser och urval som myndigheterna får genom våra förslag.
126 Prop. 2017/18:105, Ny dataskyddslag, s. 88–89 och 194. 127 Jfr Ds 2023:10, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 69 och Ds 2023:13, En registerlag för Inspektionen för socialförsäkringen, s. 67–68 samt SOU 2023:21, Informationsförsörjning på skolområdet – Skolverkets ansvar, s. 262. 128 Prop. 2017/18:105, Ny dataskyddslag, s. 194. 129 Se avsnitt 10.5 avseende myndigheternas olika behov av att kunna behandla känsliga personuppgifter i bl.a. faktisk verksamhet. 130 Prop. 2017/18:105, Ny dataskyddslag, s. 195.
685Känsliga personuppgifter, ...
Vi gör sammantaget bedömningen att dataskyddslagens bestämmelser om behandling av känsliga personuppgifter för ett viktigt allmänt intresse inte säkerställer att myndigheterna i tillräcklig utsträckning har det rättsliga stöd som krävs för nödvändig behandling i den löpande faktiska verksamheten. Enligt förarbetena till dataskyddslagen kan dock de krav på lämpliga och särskilda åtgärder som ställs i artikel 9.2 g i dataskyddsförordningen vara uppfyllda även genom andra bestämmelser än de som finns i 3 kap. 3 § dataskyddslagen. Av samma förarbeten framgår att behandling av känsliga personuppgifter alltså kan ske med stöd av artikel 9.2 g även i andra fall, under förutsättning att lämpliga och särskilda åtgärder fastställts. 131 Vi har ovan bedömt att det kommer att finnas lämpliga och särskilda skyddsåtgärder som ska tillämpas vid myndigheternas behandling av personuppgifter, bl.a. genom de föreslagna sökförbuden nedan (se avsnitt 10.9). Även övriga krav i artikel 9.2 g bedöms vara uppfyllda. Trots att det inte står helt klart att 3 kap. 3 § första stycket 3 kommer att kunna ge det stöd som krävs för myndigheternas behandling av känsliga personuppgifter i faktisk verksamhet bör myndigheterna alltså redan med stöd av artikel 9.2 g i dataskyddsförordningen kunna behandla känsliga personuppgifter i den utsträckning som är nödvändig. Regleringen i 3 kap. 3 § dataskyddslagen infördes även för att det inte kan tas för givet att det för all offentlig verksamhet redan finns lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g för att känsliga personuppgifter ska få behandlas. 132 Detta talar sammantaget för att några särskilda nationella bestämmelser som ger berörda myndigheter rätt att behandla känsliga personuppgifter inom de föreslagna lagarnas tillämpningsområden inte behövs. Vi har mot denna bakgrund övervägt att inte särreglera tillåtligheten av myndigheternas behandling av känsliga personuppgifter. Det skulle innebära att dataskyddsförordningens och dataskyddslagens bestämmelser i stället skulle vara tillämpliga, med undantag för de sökbegränsningar som föreslås nedan (se avsnitt 10.9). Även om Skatteverket, Tullverket och Kronofogdemyndigheten troligen kommer att kunna behandla känsliga personuppgifter i den utsträckning som är nödvändig på grundval av den allmänna dataskyddsregleringen anser vi att det för berörda myndigheter finns skäl att införa en ny särskild reglering avseende sådan behandling i de
131 Prop. 2017/18:105, Ny dataskyddslag, s. 91. 132 Prop. 2017/18:105, Ny dataskyddslag, s. 85.
686Känsliga personuppgifter, ...
föreslagna lagarna. Det skulle göra det tydligt att myndigheterna har stöd för all den behandling av känsliga personuppgifter som är nödvändig i myndigheternas verksamheter. Det finns dock inte skäl att genom särskilda bestämmelser ytterligare begränsa möjligheterna att behandla känsliga personuppgifter i förhållande till vad som gäller enligt den generella dataskyddsregleringen. En sådan begränsning skulle riskera att hindra Skatteverket, Tullverket och Kronofogdemyndigheten från att kunna utföra sina författningsreglerade uppgifter på ett ändamålsenligt sätt. Det är, som redan konstaterats, mycket svårt att förutse alla de situationer då myndigheterna kan komma att ha ett legitimt behov av att behandla känsliga personuppgifter. I avsnitt 10.6 har vi redogjort för vår bedömning att de nu gällande bestämmelserna om Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter och uppgifter om lagöverträdelser bör ses över och uppdateras. Mot bakgrund av dessa slutsatser anser vi inte heller att de begränsningar som nuvarande reglering innefattar bör föras över till de nya lagarna. Vi anser i stället att det i de nya lagarna bör införas bestämmelser om att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla känsliga personuppgifter om det är nödvändigt med hänsyn till ändamålet med behandlingen. Det rör sig om sådana specifika bestämmelser som det är tillåtet att införa i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Sådana särskilda bestämmelser i de föreslagna lagarna innebär att regleringen kommer att gälla före bestämmelsen om behandling av känsliga personuppgifter för ett vik- 133 tigt allmänt intresse i 3 kap. 3 § första stycket dataskyddslagen. De ersätter dock varken artikel 6 eller artikel 9.2 g i dataskyddsförordningen. 134 Som tidigare nämnts utför berörda myndigheter omfattande personuppgiftsbehandling som rör en stor del av Sveriges befolkning. Det svårt att överblicka och på något mer precist sätt beskriva all den behandling av känsliga personuppgifter som myndigheterna behöver kunna utföra till följd av sina författningsreglerade uppgifter. Det förhållandet att myndigheternas författningsreglerade uppgifter förändras över tid, vilket även kan ske snabbt, ställer krav på att regleringen av myndigheternas personuppgiftsbehandling är tillräckligt flexibel samtidigt som den personliga integriteten värnas. En tillåtande
133 Se 1 kap. 6 § dataskyddslagen. 134 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 91.
687Känsliga personuppgifter, ...
reglering som den nu föreslagna skulle enligt vår mening uppfylla dessa krav. Vidare ger det myndigheterna förutsättningar att utföra sina respektive uppdrag utan att rättslig osäkerhet begränsar det arbete som måste utföras. Det bidrar också till en ökad transparens i förhållande till bl.a. de registrerade och tillsynsmyndigheten. Syftet med en sådan bestämmelse skulle vidare vara att det så långt som möjligt ska stå klart för myndigheterna att det finns lagstöd för den behandling av känsliga personuppgifter som behöver utföras inom respektive verksamhet. Detta är även av vikt då myndigheternas personuppgiftsbehandling i vissa fall innebär betydande intrång i enskildas personliga integritet. När det gäller behandling som innebär betydande intrång i den personliga integriteten och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs även särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF. 135 Bestämmelserna om behandling av känsliga personuppgifter bör av tydlighetsskäl hänvisa till att de avser uppgifter som anges i artikel 9.1 i dataskyddsförordningen. Samtliga kategorier av känsliga personuppgifter kommer alltså att få behandlas inom lagarnas tillämpningsområden. Ett skäl till detta är att det är svårt att förutse alla de kategorier av känsliga personuppgifter som berörda myndigheter har behov av att kunna behandla, bl.a. mot bakgrund av att myndigheterna inte kan styra över vilka uppgifter som vid varje given tidpunkt kommer in till dem. Det kan därför inte uteslutas att samtliga kategorier av känsliga personuppgifter är nödvändiga att behandla nu eller i framtiden. Hänvisningen till artikel 9.1 innebär vidare att bestämmelsen avser förordningen i den vid varje tidpunkt gällande lydelsen. I likhet med regeringens bedömning i andra lagstiftningsärenden bedömer vi att någon uttrycklig hänvisning till artikel 9.2 g inte behövs, eftersom en förutsättning för regleringen är att behandlingen är nödvändig för ett viktigt allmänt intresse. 136 Begreppet nödvändigt innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. 137 Det behöver alltså inte vara omöjligt för myndigheterna att utföra sina författningsreglerade uppgifter om inte känsliga personuppgifter behandlas. Behandlingen måste dock alltid vara motiverad utifrån de författningsreglerade uppgifterna och behövas för att myndigheterna ska kunna bedriva respek-
135 Prop. 2017/18:105, Ny dataskyddslag, s. 90. 136 Se t.ex. prop. 2018/19 :118, Reglering av mikrosimuleringsmodellen Fasit, s. 33 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 132. 137 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 194.
688Känsliga personuppgifter, ...
tive verksamhet på ett korrekt, rättssäkert och effektivt sätt. 138 Om det finns andra sätt genom vilka ändamålet med behandlingen kan uppnås, bör dessa emellertid användas i stället. Det kan t.ex. handla om att uppgifterna anonymiseras eller att andra typer av uppgifter behandlas. Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av känsliga personuppgifter som har samband med bestämmande av skatt eller tull, för att avgöra om någon har rätt till skuldsanering eller för att avgöra om någon ska medges skyddad folkbokföring i enlighet med i författning fastställda bestämmelser får dock typiskt sett anses vara exempel på situationer då behandlingen av känsliga personuppgifter är nödvändig av hänsyn till ett viktigt allmänt intresse. 139 Vid myndigheternas bedömning av vad som utgör nödvändig behandling av hänsyn till ett viktigt allmänt intresse behöver dataskyddsförordningens grundläggande principer om bl.a. uppgiftsminimering (artikel 5.1 c) och lagringsminimering (artikel 5.1 e) alltid beaktas. Sammanfattningsvis föreslår vi alltså att de nya lagarna ska innehålla en bestämmelse som anger att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Myndigheterna kan även komma att tillämpa andra undantag i artikel 9.2 i EU:s dataskyddsförordning
Vi har ovan bedömt att Skatteverket, Tullverket och Kronofogdemyndigheten kan behandla känsliga personuppgifter med stöd av undantaget för ett viktigt allmänt intresse i artikel 9.2 g i EU:s dataskyddsförordning. Beroende på omständigheterna i det enskilda fallet kan dock myndigheterna komma att behöva behandla känsliga personuppgifter även på grundval av andra direkt tillämpliga undantag som föreskrivs i dataskyddsförordningen. Det finns inte heller någonting i dataskyddsförordningen som hindrar att flera undantag som tillåter behandling av känsliga personuppgifter är tillämpliga samtidigt.
138 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83. 139 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83.
689Känsliga personuppgifter, ...
Inom myndigheternas kärnverksamheter kan det exempelvis bli aktuellt att tillämpa undantaget i artikel 9.2 f. 140 Enligt den bestämmelsen är behandling av känsliga personuppgifter tillåten om den är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk. En tillämpning av detta undantag kan t.ex. bli aktuellt vid Skatteverkets fastställande av skatteavdrag eller vid bestämmande av hur mycket en registrerad fysisk person som är medlem i Svenska kyrkan ska betala in till Skatteverket. Undantaget kan även tänkas träffa t.ex. Tullverkets arbete med att fastställa tullar, skatter och avgifter eller Kronofogdemyndighetens uppgift att meddela utslag i enlighet med en ansökan i ett mål om betalningsföreläggande eller handräckning. I motsats till artikel 9.2 g ställer artikel 9.2 f inte upp några sär- 141 skilda krav på innehållet i unionsrätten eller den nationella rätten. Ytterligare ett exempel är att det kan bli aktuellt för berörda myndigheter att tillämpa undantaget i artikel 9.2 j i dataskyddsförordningen, framför allt vid behandling som behövs för att följa regler om arkivering. Enligt den artikeln är behandling av känsliga personuppgifter tillåten om den är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I detta fall ställs alltså särskilda krav på unionsrätten eller nationell rätt för att behandling ska kunna ske med stöd av undantaget. 142 Ytterligare bestämmelser om behandling med stöd av artikel 9.2 j i dataskyddsförordningen finns därför i 3 kap. 6 och 7 §§ dataskyddslagen.
140 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 61. 141 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 75. 142 Prop. 2017/18:105, Ny dataskyddslag, s. 75.
690Känsliga personuppgifter, ...
En utvidgning av möjligheten att behandla känsliga personuppgifter är proportionerlig
Genom att förändra regleringen avseende behandling av känsliga personuppgifter på det sätt som vi föreslår i detta avsnitt kommer myndigheterna att ges större möjligheter att behandla känsliga personuppgifter jämfört med i dag. En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden. Det kommer genom våra förslag t.ex. inte längre göras någon skillnad på vilka regler som gäller beroende på om känsliga personuppgifter behandlas i elektroniska handlingar eller som registrerade uppgifter i olika verksamhetssystem. Om övriga krav för behandlingen av känsliga personuppgifter är uppfyllda kommer myndigheterna alltså tillåtas föra över känsliga personuppgifter från handlingar till t.ex. ett fritextfält. Det kommer vidare inte längre finnas någon mer avgränsad reglering för behandling av uppgifter som kan anses vara gemensamt tillgängliga än vad som kommer gälla för sådan behandling som utförs av t.ex. en enskild medarbetare vid dennes lokala dator i ett ordbehandlingsprogram eller i en föredragningspromemoria. Myndigheterna kommer också kunna behandla känsliga personuppgifter i högre utsträckning i s.k. faktisk verksamhet eftersom föreslagen reglering inte kommer vara kopplad till ärendehandläggning. Det betyder också att känsliga personuppgifter kommer att kunna behandlas för t.ex. tillsyn, kontroll, uppföljning, planering av en verksamhet, framställning av statistik eller testverksamhet och liknande interna behov så länge dataskyddsförordningens krav är uppfyllda. 143 Det kommer inte heller att finnas någon sektorspecifik lagreglering som närmare avgränsar på vilket sätt eller i vilken verksamhet behandling av känsliga personuppgifter får ske. Med andra ord kommer alla typer av känsliga personuppgifter att få behandlas av myndigheterna, med undantag för vad som nedan anges om sökförbud, så länge det finns rättsligt stöd genom ett tillämpligt undantag för behandlingen och förutsättningarna för sådan behandling i övrigt är uppfyllda.
143 Det kan här nämnas att regeringen avseende andra myndigheters personuppgiftsbehandling tidigare har bedömt att det inte behövs någon särskild ändamålsbestämmelse för att känsliga personuppgifter ska få behandlas för tillsyn, kontroll, uppföljning eller planering av en verksamhet, se prop. 2015/16:65, Utlänningsdatalag, s. 82.
691Känsliga personuppgifter, ...
De nuvarande reglerna infördes bl.a. i syfte att skydda den personliga integriteten. 144 Våra bedömningar kan visserligen sägas innebära att enskildas integritetsskydd blir mindre starkt i förhållande till vad som gäller vid berörda myndigheters behandling i dag då känsliga personuppgifter m.m. kommer tillåtas att behandlas i fler situationer. Det kommer också att ställas högre krav på den personuppgiftsansvariga myndigheten att avgöra vad som är tillåten behandling i t.ex. faktisk verksamhet. Våra bedömningar innebär dock inte att myndigheterna ges möjlighet att behandla känsliga personuppgifter utan att det finns en legitim grund för att göra det. Mot bakgrund av att en del av dataskyddsförordningens syfte är att varken begränsa eller förbjuda det fria flödet 145 av personuppgifter inom unionen anser vi att det är ändamålsenligt och i linje med EU-rätten att låta motsvarande reglering om tillåten behandling av känsliga personuppgifter få större genomslag i berörda myndigheters verksamheter, tillsammans med de föreslagna kompletterande bestämmelserna som ger stöd för behandlingen. Mot bakgrund av den betydelse berörda myndigheter har i att upprätthålla ett väl fungerande välfärdssystem som enskilda har förtroende för, anser vi att det är av stor vikt att de inte hindras i arbetet med att bidra till ett väl fungerande samhälle eller bedriva sin respektive verksamhet på ett korrekt, effektivt och rättssäkert sätt. Vidare anser vi att våra bedömningar inte medför ett otillräckligt integritetsskydd för enskilda registrerade. Det är i grunden är en direkt tillämplig EU-förordning samt en nationell lag avsedd att komplettera denna på det sätt som EU-förordningen kräver som kommer att avgöra vilken behandling som är tillåten. En stor del av integritetsskyddet bör därutöver anses ligga i andra reglerade skyddsåtgärder, såsom bestämmelser om sekretess, sökbegränsningar och tillgången till uppgifter. 146 I dag är även personuppgiftsansvaret samt de skyldigheter som följer av detta tydligt reglerade i dataskyddsförordningen, och det finns bestämmelser om sanktionsavgifter som kan bli tilllämpliga vid felaktig behandling. 147 Det är även vår uppfattning att en dataskyddsreglering inte bör riskera att inskränka myndigheternas möjlighet att utföra de uppdrag som bl.a. riksdag och regering har
144 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104. 145 Artikel 1.3 i dataskyddsförordningen. 146 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 88. 147 Se bl.a. artikel 4.7, artikel 24 samt artikel 83 i dataskyddsförordningen. Se även bl.a. 2 kap. 2–7 §§ dataskyddslagen.
692Känsliga personuppgifter, ...
gett dem. Som framkommit i avsnitt 10.5 har de berörda myndigheterna också ett enligt vår bedömning legitimt behov av att i sina verksamheter behandla känsliga personuppgifter på det sätt som är tillåtet enligt den generella dataskyddsregleringen. Vid tidpunkten då de nu gällande lagarna om personuppgiftsbehandling vid berörda myndigheter justerades med anledning av dataskyddsförordningens ikraftträdande uttalade regeringen att det i lagarna fanns särskilda bestämmelser som var ägnade att värna den enskildes personliga integritet, t.ex. en begränsning till uppgifter som lämnats i ett ärende eller är nödvändiga för handläggningen av det och regler om förbud mot att söka på känsliga personuppgifter i databaser. Regeringen uttalade vidare att denna reglering uppfyller dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen, varför den ansågs möjlig att behålla. 148 Vi menar att oavsett det förhållandet att våra förslag innebär att denna begränsande reglering inte längre kommer att finnas kvar, kommer regleringen att innehålla sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen. Detta genom de nya lagarnas särskilda skyddsåtgärder samt befintliga och föreslagna sekretessbestämmelser. Redan när dataskyddsförordningen skulle börja tillämpas övervägde regeringen även alternativet att låta dataskyddslagens bestämmelser om behandling av känsliga personuppgifter gälla vid behandling enligt berörda myndigheters registerlagar. Enligt regeringen hade det dock inneburit en utvidgning av möjligheterna att behandla känsliga personuppgifter på ett sätt som det då inte hade framkommit ett behov av. Bestämmelserna i berörda lagar behölls därför. 149 Vi har ovan bedömt att det inte heller nu är lämpligt att låta den generella dataskyddsregleringens bestämmelser om känsliga personuppgifter gälla vid myndigheternas behandling av känsliga personuppgifter. Som framkommit i avsnitt 10.6 anser vi dock att det i dag finns skäl att uppdatera och utvidga den nuvarande regleringen mot bakgrund av den generella dataskyddsregleringens utformning och myndigheternas behov.
148 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 62–63. 149 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 63.
693Känsliga personuppgifter, ...
Behandling av känsliga personuppgifter bör dock naturligtvis aldrig ske slentrianmässigt. 150 Känsliga personuppgifter bör tvärtom behandlas restriktivt och myndigheterna behöver göra en bedömning 151 av om kraven för sådan behandling är uppfyllda i det enskilda fallet. Dataskyddsförordningen ställer höga krav för sådan behandling. Det måste alltid finnas en rättslig grund för behandlingen och de grundläggande principerna för behandling samt de särskilda krav som gäller för behandling av känsliga personuppgifter måste följas. Behandling av ovidkommande uppgifter i myndigheternas verksamheter är därmed inte tillåten. Till exempel kan Skatteverket, liksom i dag, inte behandla uppgifter om enskildas sexuella läggning vid bestämmande av skatt. Därutöver måste myndigheterna hålla en hög skyddsnivå för sådana typer av uppgifter genom att se till att det finns tillräckliga tekniska och organisatoriska säkerhetsåtgärder på plats. 152 Våra övriga förslag som syftar till att stärka dataskyddet innebär också att ytterligare skyddsåtgärder måste vidtas. Samtliga skyddsåtgärder kommer vidare att gälla all behandling, oavsett vilken typ av uppgifter det rör. Som vi konstaterat ovan anser vi att den behandling myndigheterna behöver utföra står i proportion till det eftersträvade syftet och att behandlingen uppfyller kraven i bl.a. artikel 9.2 g i dataskyddsförordningen. Enligt vår bedömning finns det tillräckliga skäl att inte begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av känsliga personuppgifter i förhållande till dataskyddsförordningen på det sätt som gäller i dag, trots den utvidgning som den föreslagna regleringen innebär. Mot bakgrund av vad som nu har anförts får en särskild bestämmelse som tillåter nödvändig behandling anses stå i proportion till det intrång i de registrerades personliga integritet sådan behandling kan medföra. Sammantaget anser vi att den nuvarande regleringen av behandling av känsliga personuppgifter kan utmönstras och ersättas av den föreslagna utan att det påverkar regleringens proportionalitet.
150 Jfr prop. 2000/01:80, Ny socialtjänstlag m.m., s. 144. 151 Jfr SOU 2017:29, Brottsdatalag, s. 270. 152 Se artiklarna 24, 25 och 32 i dataskyddsförordningen. T.ex. anges i artikel 25.1 om inbyggt dataskydd och dataskydd som standard att behandlingens art samt risker för fysiska personers rättigheter och friheter ska beaktas vid genomförandet av tekniska och organisatoriska säkerhetsåtgärder så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas.
694Känsliga personuppgifter, ...
10.8 Behandling av personuppgifter
om lagöverträdelser bör inte längre
begränsas eller på annat sätt regleras särskilt
Vår bedömning: Den behandling av personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott som Skatteverket, Tullverket och Kronofogdemyndigheten behöver utföra bör inte längre begränsas eller på annat sätt särregleras i de nya lagarna.
Skälen för vår bedömning
Behandlingen bör inte längre begränsas eller på annat sätt särregleras i lag eller förordning
Enligt artikel 10 i EU:s dataskyddsförordning får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet. Regeringen har i propositionen som föregick dataskyddslagen uttalat att den del av artikel 10 som rör behandling av uppgifter under kontroll av en myndighet är direkt tillämplig och i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet. 153 Innebörden av artikel 10 har förtydligats i svensk rätt genom bestämmelsen i 3 kap. 8 § dataskyddslagen i vilken det anges att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Behandling av uppgifter om lagöverträdelser kan anses vara särskilt riskfylld och är därför särskilt reglerad i dataskyddsförordningen, om än inte på ett lika begränsande sätt för myndigheter som t.ex. regleringen avseende känsliga personuppgifter i artikel 9. Särskild reglering avseende behandling av uppgifter om lagöverträdelser finns
153 Prop. 2017/18:105, Ny dataskyddslag, s. 99.
695Känsliga personuppgifter, ...
även ofta i registerförfattningar för myndigheter. I Skatteverkets, Tullverkets och Kronofogdemyndighetens nuvarande registerlagar 154 har regleringen av behandling av uppgifter om lagöverträdelser en 155 vidare innebörd än i artikel 10 i dataskyddsförordningen. I de lagarna regleras som ovan nämnts behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Så såg även regleringen ut i den numera upphävda 21 § PUL, som hade sin grund i 1995 års dataskyddsdirektiv. De nuvarande bestämmelserna om behandling av personuppgifter om lagöverträdelser i berörda myndigheters sektorspecifika registerförfattningar utgör alltså en begränsning av den generella dataskyddsregleringen i dataskyddsförordningen och dataskyddslagen. De närmare behov av att behandla personuppgifter om lagöverträdelser som Skatteverket, Tullverket och Kronofogdemyndigheten har framgår i avsnitt 10.5. De utgör dock inte en så stor del av den sammanlagda behandlingen av personuppgifter som någon av de berörda myndigheterna utför. Behoven ser vidare olika ut beroende på i vilken verksamhet sådan behandling sker. Gemensamt är dock att det inte är möjligt att förutse eller i författning avgränsa all den behandling som myndigheterna behöver kunna göra för skilda ändamål som ett led i utförandet av respektive myndighets författningsreglerade uppdrag. Myndigheterna kan exempelvis inte styra vilka uppgifter som enskilda inkommer med i elektroniska handlingar men som till följd av den allmänna förvaltningsrättsliga samt verksamhetsspecifika regleringen behöver behandlas i myndigheternas verksamheter. Att Skatteverket, Tullverket och Kronofogdemyndigheten får behandla personuppgifter om lagöverträdelser följer redan av dataskyddsförordningen och dataskyddslagen. Några sektorspecifika bestämmelser avseende myndigheters behandling av personuppgifter om lagöverträdelser krävs alltså inte med anledning av artikel 10 i dataskyddsförordningen eller 3 kap. 8 § dataskyddslagen för att sådan behandling ska vara tillåten. På motsvarande sätt krävs inte heller några bestämmelser som begränsar sådan behandling. 156 Vi bedömer att den generella regleringen i sig är tillräcklig för att myndigheterna ska tillåtas utföra den behandling som är nödvändig.
154 Se 1 kap. 7 § SdbL, 1 kap. 6 § FdbL, 1 kap. 7 § TDL och 1 kap. 6 § KFMdbL. 155 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 98. 156 Jfr prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 66.
696Känsliga personuppgifter, ...
Frågan är då om det trots allt finns skäl att i de föreslagna lagarna ytterligare begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter till sådan behandling eller i övrigt förtydliga tillåtligheten av här avsedd behandling. I förarbetena till de nuvarande registerförfattningarna nämns behandling av uppgifter om lagöverträdelser endast som behandling av 157 känsliga personuppgifter m.m. Motiven innehåller inte tydliga skäl till varför sådana uppgifter ansågs behöva begränsas även i förhållande till dataskyddsdirektivet och personuppgiftslagen som då gällde. De skäl som anförs för den nuvarande regleringen synes i stället vara de samma avseende känsliga personuppgifter och uppgifter om lagöverträdelser, dvs. av integritetsskäl, trots att det för de senare kategorierna av uppgifter inte heller då fanns några särskilda krav för att myndigheter skulle få behandla sådana uppgifter. 158 I samband med att dataskyddsförordningen skulle börja tillämpas uttalade regeringen att de nuvarande begränsningarna i dessa registerförfattningar infördes i syfte att skydda den personliga integriteten och att det inte fanns några skäl att upphäva de då gällande bestämmelserna med anledning av dataskyddsförordningens införande. Bestämmelserna kvar- 159 stod därmed med vissa redaktionella ändringar. Dataskyddsförordningen hindrar alltså i och för sig inte nationell lagstiftning som begränsar myndigheters behandling av uppgifter om lagöverträdelser. Vi är dock av uppfattningen att den nationella regleringen i aktuellt hänseende bör utgå från dataskyddsförordningens bestämmelser då det utgör en för Sverige bindande och direkt tillämplig EU-förordning. För det fall begränsningar av något skäl kan anses behövas, är det dessa som enligt vår mening bör kräva motivering. En motsatt utgångspunkt skulle riskera att hindra det fria flödet av personuppgif- 160 ter inom EU , bl.a. genom att försvåra det samarbete Skatteverket, Tullverket och Kronofogdemyndigheten har, och i vissa fall är skyldiga att ha, med andra svenska myndigheter eller motsvarande myndigheter i andra medlemsstater inom EU. I bl.a. skäl 9 till dataskyddsförordningen anges att skillnader i nivån på skyddet av fysiska personer rättigheter och friheter, särskilt rätten till skydd för personuppgifter, vid behandling av personuppgifter i olika medlems-
157 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104. 158 Se artikel 8 i dataskyddsdirektivet samt 21 § PUL. 159 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 66. 160 Se artikel 1.1 i dataskyddsförordningen.
697Känsliga personuppgifter, ...
stater kan förhindra det fria flödet av personuppgifter över hela unionen. Vidare anges att dessa skillnader därför bl.a. kan hindra myndigheterna att fullgöra skyldigheter inom unionsrätten. Vi anser att de behov av behandling av personuppgifter om lagöverträdelser som vi redogjort för i avsnitt 10.5 talar för att det inte bör införas några ytterligare begränsningar i förhållande till dataskyddsförordningen i de föreslagna lagarna. Behandlingen krävs för att myndigheterna på ett korrekt, effektivt och ändamålsenligt sätt ska kunna utföra sina uppdrag som tilldelats dem genom lag eller förordning efter beslut av riksdagen eller regeringen, eller genom unionsrättslig reglering. Begränsningar av möjligheten att behandla uppgifter om lagöverträdelser skulle i vissa fall riskera att utgöra hinder mot sådan behandling som krävs enligt andra författningar. Vidare talar varken arten eller omfattningen av den aktuella personuppgiftsbehandlingen vid någon av de berörda myndigheterna för att särskilda begränsningar av integritetsskäl bör införas. Det kommer även att säkerställas ett starkt skydd för sådana uppgifter genom den allmänna dataskyddsregleringen, de föreslagna lagarna samt befintlig och föreslagen sekretessreglering. I de fall myndigheterna har ett behov av att för egen del samla in och behandla personuppgifter om lagöverträdelser, till skillnad från när sådana uppgifter inkommer till myndigheterna från t.ex. enskilda, är det som ovan beskrivits hänförligt till myndigheternas respektive uppdrag där sådana typer av uppgifter i vissa fall behövs. Det står då redan klart för vilka ändamål och på vilket sätt sådana uppgifter får behandlas. I övriga fall är det inte möjligt för myndigheterna att formulera något ändamål för vilket uppgifterna får behandlas. De grundläggande krav på behandlingen som anges i de nya lagarna är därmed tillräckliga begränsningar för myn- 161 digheternas möjlighet att behandla uppgifter om lagöverträdelser. Vi anser sammantaget att det inte längre finns tillräckliga skäl för att begränsa eller på annat sätt särreglera berörda myndigheters behandling av personuppgifter om lagöverträdelser. Därmed behöver det inte längre finnas sektorspecifik reglering i dessa avseenden.
161 Jfr det resonemang som fördes avseende förslaget att inte införa en generell begränsning av myndigheters möjligheter till behandling av uppgifter om lagöverträdelser m.m. i förhållande till den generella dataskyddsregleringen i SOU 2015:39, Myndighetsdatalag, s. 312–313.
698Känsliga personuppgifter, ...
Särskilt om vissa administrativa sanktioner
Skatteverket, Tullverket och Kronofogdemyndigheten behandlar samtliga information som innehåller uppgifter om olika former av s.k. administrativa sanktioner som påminner om straffrättsliga påföljder. Exempelvis behandlar Skatteverket uppgifter om skattetillägg, Tullverket uppgifter om tulltillägg och Kronofogdemyndigheten uppgifter om näringsförbud. Sådana uppgifter kan ofta kopplas till en 162 viss identifierbar fysisk person. En fråga som har uppkommit är hur vår bedömning avseende att det inte krävs någon särskild reglering utöver den generella dataskyddsregleringen när det gäller uppgifter om lagöverträdelser, förhåller sig till myndigheternas behandling av uppgifter om administrativa sanktioner som påminner om eller som i vissa fall kan anses utgöra en straffrättslig påföljd. Viss ledning för frågan om artikel 10 i dataskyddsförordningen alls omfattar information som innehåller personuppgifter som rör administrativa sanktioner finns i praxis från EU-domstolen. I en dom har EU-domstolen uttalat att lagöverträdelser som innefattar brott i artikel 10 uteslutande avser just brott. Det framgår enligt EUdomstolen bl.a. av förberedelsearbetet inför antagandet av dataskyddsförordningen då Europaparlamentets förslag att låta begreppet administrativa sanktioner uttryckligen ingå i bestämmelsen inte antogs. Mot denna bakgrund har EU-domstolen ansett att unionslagstiftaren, genom att avsiktligt avstå från att ta med adjektivet administrativ i artikel 10 i dataskyddsförordningen, avsåg att låta det utökade skydd som föreskrivs i denna bestämmelse vara begränsat till det straffrättsliga området. Ordalydelsen ska dock i regel ges en 163 självständig och enhetlig tolkning inom hela EU. Utöver detta har regeringen i propositionen Utbetalningsmyndigheten bedömt att en hänvisning till artikel 10 i en bestämmelse om sökförbud som utgår från syftet med en sökning inte begränsar myndighetens möjligheter att behandla uppgifter om administrativa sanktioner som kan anses utgöra en straffrättslig påföljd, t.ex. skatte- 164 tillägg.
162 Jfr artikel 4.1 i dataskyddsförordningen. 163 EU-domstolens dom den 22 juni 2021 i mål C-439/19, B mot Latvijas Republikas Saeima, punkterna 77–78 och 81. 164 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 134. Jfr även prop. 2017/18:105, Ny dataskyddslag, s. 98–99.
699Känsliga personuppgifter, ...
Det ovan anförda tyder enligt vår mening på att det nuvarande rättsläget är sådant att artikel 10 i dataskyddsförordningen ska tolkas så att bestämmelsen inte anses omfatta information som innefattar personuppgifter som rör administrativa sanktioner. Mot denna bakgrund gör vi bedömningen att en avsaknad av sektorspecifik reglering avseende tillåten behandling av personuppgifter som rör lagöverträdelser inte kommer att begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att behandla uppgifter om sådana administrativa sanktioner. Inte heller i det fall rättsläget skulle tolkas på ett annat sätt, eller att ytterligare tydliggörande praxis i frågan kommer från EU-domstolen, anser vi att det kommer att finnas några hinder mot att myndigheterna får behandla sådana uppgifter. Detta mot bakgrund av att artikel 10 i dataskyddsförordningen samt 3 kap. 8 § dataskyddslagen innebär att det under alla förhållanden är tillåtet för myndigheter att behandla personuppgifter som avses i artikel 10 i dataskyddsförordningen.
En utvidgning av möjligheten att behandla uppgifter om lagöverträdelser är proportionerlig
Vår bedömning innebär en utvidgning av berörda myndigheters möjligheter att behandla uppgifter om lagöverträdelser i förhållande till vad som gäller i dag. Det kommer bl.a. inte göras någon skillnad på om sådana uppgifter behandlas i elektroniska handlingar eller som registrerade uppgifter i olika verksamhetssystem. De ändringar som skedde i den EU-rättsliga generella dataskyddsregleringen i fråga om vilka uppgifter artikel 10 i dataskyddsförordningen omfattar kommer även få genomslag på berörda myndigheters behandling. All behandling som omfattas av artikel 10 i dataskyddsförordningen och 3 kap. 8 § dataskyddslagen kommer alltså att vara tillåten så länge övriga krav för behandling av personuppgifter är uppfyllda, oavsett på vilket sätt de behandlas och oavsett om uppgifterna förekommer i ett ärende eller inte. Myndigheterna kommer också i högre utsträckning att få behandla uppgifter om lagöverträdelser i s.k. faktisk verksamhet. I likhet med vad som anförts i avsnitt 10.7 om känsliga personuppgifter kommer uppgifter om lagöverträdelser därmed även att kunna behandlas för t.ex. tillsyn, kontroll, uppföljning, planering av en verksamhet, framställning av statistik eller testverksamhet och
700Känsliga personuppgifter, ...
andra liknande interna behov så länge förutsättningarna för detta enligt t.ex. artiklarna 5 och 6 i dataskyddsförordningen är uppfyllda. Detsamma gäller myndigheternas möjligheter att behandla sådana uppgifter när urval görs av bl.a. ärenden för ytterligare kontroll. Som nämnts ovan infördes den nuvarande regleringen bl.a. i syfte att skydda den personliga integriteten. 165 En utökad möjlighet till behandling innebär en större risk för otillåten behandling, spridning av uppgifter och i vissa fall integritetsintrång genom kartläggning av enskildas personliga förhållanden. Våra bedömningar innebär dock inte att myndigheterna ges möjlighet att behandla uppgifter om lagöverträdelser utan att det finns en legitim grund för att göra det. Det har framkommit att berörda myndigheter i flera fall har ett utökat behov av att kunna utföra behandling av uppgifter om lagöverträdelser i förhållande till den nuvarande regleringen. Det beror bl.a. på att myndigheterna sedan lagarnas tillkomst har tilldelats nya uppdrag och skyldigheter som medför detta utökade behov. Möjligheterna att behandla personuppgifter om lagöverträdelser kommer dock att vara begränsade till situationer vad myndigheternas respektive uppdrag kräver. Mot bakgrund av de uppdrag som Skatteverket, Tullverket och Kronofogdemyndigheten har i de delar som omfattas av denna översyn kommer det inte att röra sig om omfattande behandling. Vi anser att den behandling myndigheterna ges möjlighet att utföra genom våra bedömningar är proportionerlig. Det är angeläget att myndigheterna kan utföra sina uppdrag på ett korrekt, effektivt och rättssäkert sätt. Behandlingen är nödvändig för att myndigheterna ska kunna utföra sina författningsreglerade uppdrag, vilka är uppgifter som utgör allmänintresse. Om de nuvarande bestämmelserna behålls kommer det fortsatt försvåra tillämpningen och innebära att myndigheterna behöver lägga resurser på att bedöma om en viss uppgift t.ex. kan anses finnas i en elektronisk handling eller inte. En sådan reglering är inte heller teknikneutral eller flexibel. Det kan även på ett obefogat sätt hindra myndigheterna från att utföra vissa befintliga eller nya arbetsuppgifter som de tilldelas genom t.ex. uppdrag från regeringen eller i syfte att lämna information till andra myndigheter i enlighet med lag eller förordning. Behandlingen kommer vidare att omgärdas av flera säkerhetsåtgärder i de sektorspecifika föreslagna lagarna, dataskyddslagen samt dataskyddsförordningen. Därtill finns tillämpliga sekretessregler. Vi anser att sådana åtgärder säkerställer
165 Se prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 100–104.
701Känsliga personuppgifter, ...
ett fullgott integritetsskydd. Något skäl att av den anledningen förbjuda behandling som annars hade varit tillåten enligt den generella dataskyddsregleringen finns därför inte. Artikel 10 i dataskyddsförordningen kräver därtill ingen ytterligare nationell reglering av myndigheters behandling av uppgifter om lagöverträdelser. Mot denna bakgrund och med beaktande av myndigheternas behov anser vi att det i förhållande till den personliga integriteten är proportionerligt och motiverat att låta den generella dataskyddsregleringen gälla för Skatteverkets, Tullverkets och Kronofogdemyndighetens behandling av uppgifter om lagöverträdelser. Med andra ord bedömer vi att den nuvarande regleringen av behandling av uppgifter om lagöverträdelser kan utmönstras utan att det påverkar behandlingens proportionalitet.
10.9 Sökbegränsningar som särskilda skydds-
och säkerhetsåtgärder
10.9.1 Vissa sökbegränsningar ska regleras i de nya lagarna
Vårt förslag: Det ska som huvudregel vara förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Förbudet ska dock inte omfatta sökningar som sker i syfte att få fram ett urval av personer grundat på vissa kategorier av känsliga personuppgifter, om sökningen är nödvändig för att myndigheterna ska kunna utföra en uppgift i verksamhet som omfattas av respektive föreslagen lag. Vilka sökningar som ska undantas från sökförbudet ska anpassas efter respektive myndighets behov. Förbudet ska inte heller omfatta sökningar i en viss handling eller i ett visst ärende.
702Känsliga personuppgifter, ...
Skälen för vårt förslag
Det ska fortsatt finnas särskilda sökbegränsningar…
Sökning är en form av behandling i dataskyddsförordningens mening i de fall en sökning innefattar personuppgifter. 166 Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och ett sökförbud kan vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker. 167 En vanligt förekommande skyddsåtgärd i registerförfattningar är sökbegränsningar. Sådana bestämmelser finns i dag även i Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar. Genom bestämmelser som föreskriver vissa sökförbud har lagstiftaren ”på förhand” klargjort att vissa sammanställningar inte ska få ske hos myndigheten. 168 Dataskyddsförordningen innehåller inte något krav på att det i nationell rätt ska föreskrivas förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser vid sökning. Om behandlingen grundar sig på artikel 9.2 g, dvs. den är nödvändig av hänsyn till ett viktigt allmänt intresse, krävs dock att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det finns inte heller någon begränsning i dataskyddsförordningen av vilka typer eller former av sökbegränsningar som kan införas i nationell rätt. 169 Ett sökförbud kan utgöra en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som föreskrivs i artikel 9.2 g i dataskyddsförordningen. 170 Bestämmelser om sökbegränsningar fyller därmed en viktig funktion genom att de bidrar till att säkerställa att myndigheterna ges möjlighet att tillämpa undantaget i artikel 9.2 g i dataskyddsförordningen. Vidare gäller dataskyddslagens sökförbud endast vid behandling som sker med stöd av 3 kap. 3 § första stycket samma lag (se 3 kap. 3 § andra stycket dataskyddslagen). De nu gällande bestämmelserna om sökbegrepp i Skatteverkets, Tullverkets och Kronofogdemyndighetens registerlagar har av regeringen bedömts uppfylla dataskyddsförordningens krav på lämpliga
166 Artikel 4.2 i dataskyddsförordningen. 167 Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48. 168 SOU 2015:39, Myndighetsdatalag, s. 211. 169 Prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 37. 170 Jfr prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48.
703Känsliga personuppgifter, ...
och särskilda åtgärder. 171 Dessa tre myndigheter har omfattande verksamheter och inom ramen för dessa behandlas känsliga personuppgifter och uppgifter om lagöverträdelser, även om dessa uppgifter inte utgör en stor andel av den totala behandlingen. Behovet av att använda sådana typer av personuppgifter vid sökningar bör mot denna bakgrund kunna anses vara relativt begränsat och endast hänföra sig till situationer då detta är relevanta omständigheter vid fullgörande av en arbetsuppgift. Så kan exempelvis vara fallet för att söka efter tidigare beslut, identifiera öppna ärenden som innehåller liknande frågeställningar så att handläggningen kan samordnas eller använda sökningar för att kartlägga, strukturera och analysera ärendestrukturen vid myndigheterna. 172 Sökning på känsliga personuppgifter kan möjliggöra t.ex. kartläggning av personer på grundval av deras etnicitet, politiska ståndpunkt eller religiösa uppfattning. 173 Att begränsa hur känsliga personuppgifter får behandlas, t.ex. i fråga om sökningar efter uppgifter, bedöms mot denna bakgrund sammantaget kunna få en stor effekt för Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter och stärker skyddet för enskildas personliga integritet. Vi anser därför att det även fortsättningsvis bör finnas regleringar i lag som innehåller särskilda bestämmelser om sökbegränsningar i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. Det ska därför införas bestämmelser med sådan innebörd i de föreslagna lagarna. Sådana bestämmelser är skyddsåtgärder, som är tillåtna att införa i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning.
… men den nuvarande regleringen om sökbegrepp bör uppdateras
Skatteverket, Tullverket och Kronofogdemyndigheten har pekat på att det finns skäl att se över utformningen av den nuvarande regler- 174 ingen om sökbegrepp. Det kan konstateras att de sökbegränsningar som finns i dag gäller generellt sett endast vid sökningar efter
171 Prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s dataskyddsförordning, s. 62–63. Se även Ds 2017:41, En omarbetad domstolsdatalag – Anpassning till EU:s dataskyddsförordning, s. 210, där det anförs att sökbegränsningar utgör en skyddsåtgärd i dataskyddsförordningens mening. 172 Jfr prop. 2014/15:148, Domstolsdatalag, s. 59–60. 173 Prop. 2017/18:105, Ny dataskyddslag, s. 90 och prop. 2017/18:232, Brottsdatalag, s. 155. 174 Se avsnitt 10.5.
704Känsliga personuppgifter, ...
handlingar i databaserna. 175 Så är dock inte enbart fallet i folkbokföringsdatabaslagen, vilken också innehåller bestämmelser om sökbegrepp vid annan sökning i databasen än efter handlingar. 176 Vidare innehåller kronofogdedatabaslagen en särskild begränsningsregel avseende sökningar i betalningsföreläggande- och handräckningsdatabasen. 177 Bestämmelserna reglerar i övrigt inte vilka sökbegrepp som får användas utanför en databas eller vid sökning efter t.ex. registrerade enskilda uppgifter. För sådana sökningar finns i dag inga särskilda begränsningar. Det bör dock ses i ljuset av att myndigheterna inte heller får registrera känsliga personuppgifter eller uppgifter om lagöverträdelser i de informationsbaserade delarna av databaserna annat än då det särskilt anges. Få sådana bestämmelser finns i dag. De nu gällande bestämmelserna om sökbegrepp har det gemensamt att de går längre än vad som krävs enligt dataskyddsförordningen och vad som anges i dataskyddslagen. Så är också fallet i förhållande till viss nyare reglering på området avseende andra myndighetsspecifika författningar om personuppgiftsbehandling. 178 Den generella dataskyddsregleringen gör heller inte skillnad på om sökningar görs för att hitta handlingar eller uppgifter som registrerats direkt i t.ex. ett fritextfält då samtliga sökningar faller under dataskyddsförordningens definition av behandling. 179 Vidare kan bestämmelsernas nuvarande ordalydelser, vilka utgår från sökbegrepp, bidra till tolkningssvårigheter i vissa situationer. En striktare ordalydelsetolkning kan leda till att det är förbjudet att använda vissa begrepp som, utöver att vara en känslig personuppgift, även kan utgöra benämningen på något som inte bör vara förbjudet att använda som sökbegrepp. Det kan t.ex. leda till att orden islam eller kristen, vilka avslöjar religiös övertygelse samtidigt som det är personnamn, inte får användas som sökbegrepp. Ett annat exempel är att sökning på ett visst läkemedel för att kontrollera uppgifter i tulldeklarationer kan avslöja uppgifter om deklarantens hälsa. 180
175 Se 2 kap. 10 § SdbL, 2 kap. 11 § FdbL, 2 kap. 29 § KFMdbL och 2 kap. 9 § TDL samt prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 102–103. 176 Se 2 kap. 10 § FdbL samt prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 208. 177 Se 2 kap. 29 § andra stycket KFMdbL. 178 Se avsnitt 10.4. 179 Se artikel 4.2 i dataskyddsförordningen avseende definitionen av behandling. 180 Jfr prop. 2017/18:232, Brottsdatalag, s. 155 och SOU 2017:29, Brottsdatalag, s. 272–273.
705Känsliga personuppgifter, ...
Bland annat mot denna bakgrund utgår vissa nyare bestämmelser om sökbegränsningar i stället från syftet med en viss sökning. 181 Det kan även i vissa fall vara befogat att myndigheter använder känsliga personuppgifter eller uppgifter om lagöverträdelser vid sökningar som ett led i utförandet av sina uppgifter. Därför finns sådana möjligheter för t.ex. domstolarna, Kriminalvården och Migrations- 182 verket. Även Skatteverket, Tullverket och Kronofogdemyndigheten har vissa sådana behov. Berörda myndigheter har även redogjort för de tillämpningsproblem som nuvarande bestämmelser kan ge upphov till (se avsnitt 10.5). Bland annat har Tullverket uppgett att bestämmelsen om sökbegrepp hindrar analyser och uppföljning av verksamheten samt föranleder onödiga juridiska bedömningar i situationer där inga eller begränsade integritetsintressen gör sig gällande. För att åstadkomma en mer enhetlig, modern och ändamålsenlig reglering anser vi att det finns skäl att se över och uppdatera den nuvarande regleringen. Att vi föreslår nya bestämmelser avseende myndigheternas behandling av känsliga personuppgifter är ytterligare ett skäl att se över och anpassa regleringen till våra övriga förslag. Detsamma gäller i fråga om vår bedömning att någon särskild reglering avseende behandling av personuppgifter om lagöverträdelser inte längre behövs.
Nya sökförbud för känsliga personuppgifter med vissa undantag hänförliga till myndigheternas behov
Vi anser att det ska införas bestämmelser om sökförbud för känsliga personuppgifter även i de nya föreslagna lagarna avseende Skatteverket, Tullverket och Kronofogdemyndigheten. Bestämmelserna bör dock moderniseras och uppdateras i förhållande till den reglering som gäller enligt registerlagarna i dag. Sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen gäller som ovan nämnts enbart vid behandling av känsliga personuppgifter som sker med stöd av bestämmelsens första stycke. Bestämmelsen i 3 kap. 3 § är avsedd att gälla för offentlig verksamhet där sektorspecifik regler- 183 ing avseende behandling av känsliga personuppgifter saknas. Som
181 Se t.ex. 3 kap. 3 § andra stycket dataskyddslagen, 2 kap. 14 § brottsdatalagen och 6 § kriminalvårdsdatalagen. 182 15 § domstolsdatalagen, 6 § andra stycket kriminalvårdsdatalagen och 17 § andra stycket utlänningsdatalagen. 183 Prop. 2017/18:105, Ny dataskyddslag, s. 91.
706Känsliga personuppgifter, ...
framgår av avsnitt 10.7 gör vi bedömningen att det bör införas särskilda bestämmelser i lag som ger myndigheterna stöd för behandling av känsliga personuppgifter för viktiga allmänintressen. De nya bestämmelserna om sökbegränsningar för Skatteverket, Tullverket och Kronofogdemyndigheten bör enligt vår mening ges en mer generell utformning till skillnad från det sökförbud som regleras i dataskyddslagen. Dataskyddslagens sökförbud är vidare inte anpassat till berörda myndigheters behov av att kunna utföra vissa sökningar. Att det är möjligt att införa sektorspecifika sökförbud som går längre eller som är mer tillåtande än dataskyddslagens sökförbud, framgår av motiven till dataskyddslagen. 184 I nyare lagstiftningsärenden på dataskyddsområdet har det införts eller föreslagits bestämmelser om sökförbud som utgår från syftet med en sökning. 185 Vi anser att motsvarande bestämmelser bör införas även i de föreslagna lagarna. En sådan typ av sökbegränsning innebär att det som utgångspunkt är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med sökningen inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även 186 om känsliga personuppgifter används vid sökningen. Genom en sådan bestämmelse är det dock som huvudregel inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av uppgif- 187 ter om t.ex. etnicitet. En sådan utformning innebär alltså inte större möjligheter att använda känsliga personuppgifter som sökbegrepp vid sådana sökningar som de tidigare sökförbuden varit avsedda att hindra, såsom kartläggning av personer på grundval av känsliga personuppgifter. 188 Den underlättar dock för myndigheterna att kunna behandla personuppgifter på ett för verksamheterna ändamålsenligt sätt. En sökbegränsning som utgår från syftet med en sökning omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. 189 Det innebär bl.a. att sökförbudet kan träffa sökningar som myndigheterna gör vid utför-
184 Se prop. 2017/18:105, Ny dataskyddslag, s. 91. 185 Se t.ex. 3 kap. 3 § dataskyddslagen, 2 kap. 14 § brottsdatalagen och 17 § utlänningsdatalagen samt 1 kap. 10 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten. 186 Jfr prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 178. 187 Se t.ex. prop. 2017/18:105, Ny dataskyddslag, s. 91. 188 Jfr prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 38. 189 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195.
707Känsliga personuppgifter, ...
andet av dataanalyser och urval för att få fram urvalsträffar. Myndigheterna kan då inte använda känsliga personuppgifter som urvalsgrund, genom t.ex. tillämpning av en riskindikator som baseras på sådana uppgifter, vid framtagandet av urvalsträffar eftersom det kan innebära att sökningar utförs för att få fram ett urval av personer grundat på känsliga personuppgifter. En sådan möjlighet kan visserligen effektivisera myndigheternas arbete med dataanalyser och urval ytterligare. Det finns dock även en risk att sådan behandling inte skulle kunna anses stå i proportion till integritetsintrånget det kan medföra. Avseende de berörda myndigheterna finns det enligt vår bedömning i vissa fall befogad anledning att göra sådana sökningar mot bakgrund av befintlig materiell verksamhetsreglering. Exempelvis kan Skatteverket behöva ta fram ett urval av personer som har begärt avdrag för resor med egen bil på grund av sjukdom för att välja ut ärenden som ska kontrolleras ytterligare. I ett sådant fall kan Skatteverket behöva kunna göra sökningar baserade på vissa uppgifter om hälsa. Liknande behov av att kunna utföra vissa sådana typer av sökningar finns även för Tullverket och Kronofogdemyndigheten. Det bör därför av bl.a. detta skäl finnas vissa undantag från bestämmelsen om sökförbud, vilka föreslås i avsnitt 10.9.2. Det ska vidare förtydligas att bestämmelser om sökbegränsningar som utgår från syftet med en sökning inte hindrar sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för register- 190 vård. Vad begreppet tillsyn avser i detta sammanhang har inte definierats i lag eller i förarbetena till annan lagstiftning där detta slagits fast. Vi anser att med tillsyn i detta sammanhang bör avses myndigheternas interna tillsyn över den löpande verksamheten, i motsats till annan extern tillsyn. 191 Det innebär enligt vår mening att myndigheterna trots de föreslagna sökförbuden kommer att kunna göra sökningar för att t.ex. se till att verksamheterna bedrivs som de ska eller att en framtagen och tillämpad urvalsmodell inte ger ett resultat som indirekt grundar sig på känsliga personuppgifter på ett sätt som inte
190 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 195 och prop. 2017/18:254, Anpassning av utlänningsdatalagen till EU:s dataskyddsförordning, s. 62–63. 191 Jfr t.ex. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 124–125.
708Känsliga personuppgifter, ...
är tillåtet, eller för att se till att resultatet av en sådan urvalsmodell inte blir eller har blivit diskriminerande. 192 En sådan lagteknisk utformning av sökbegränsningar som nu föreslås är enligt vår mening mer flexibel, modern och ändamålsenlig i berörda myndigheters verksamheter än de bestämmelser om sökbegrepp som i dag finns. Det kan konstateras att våra förslag till nya regleringar också innehåller bestämmelser som anger de yttre ramarna för all behandling av personuppgifter som sker i myndigheternas verksamheter. Därtill föreslår vi också bl.a. regler om tillgång till personuppgifter (se avsnitt 7.7). Dataskyddsförordningen innehåller vidare bestämmelser om bl.a. inbyggt dataskydd och dataskydd som standard (artikel 25) samt om säkerhet i samband med behandlingen (artikel 32) som är direkt tillämpliga i myndigheternas verksamheter. Det finns också bestämmelser om sekretess i offentlighets- och sekretesslagen, som är tillämpliga i myndigheternas respektive verksamheter, samt som föreslås gälla i dessa verksamheter (se avsnitten 3.3 och 15.2–15.5). Tillsammans med en reglering om sökförbud är det vår uppfattning att regleringen sammantaget uppfyller dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. 193 Vidare får myndigheterna, trots de nedan föreslagna undantagen från sökförbuden, aldrig utföra sökningar om det inte finns rättslig grund för det, och dataskyddsförordningens principer för personuppgiftsbehandling måste alltid följas, t.ex. vad avser uppgiftsminimering. 194 Det finns även anledning att närmare beröra hur de föreslagna sökbegränsningarna förhåller sig till myndigheternas möjligheter att söka efter och därefter lämna ut allmänna handlingar. I vissa fall har den som begär en allmän handling inte specifika uppgifter som direkt pekar ut en efterfrågad handling. Myndigheterna kan i en sådan situation behöva göra sökningar för att efterkomma begäran. De föreslagna sökbegränsningarna innebär att syftet med en sökning avgör vad som är tillåtet, snarare än vilket sökbegrepp som används. Sökbegränsningarna kommer även att gälla i fler situationer än vad som
192 Om t.ex. AI används i samband med att en urvalsmodell tränas kan resultatet bli felaktigt eller diskriminerande om den data som används ger en snedvriden bild av verkligheten, s.k. ”bias”, eller om den data som används inte är relevant för vad modellen ska uppnå, jfr Datatilsynet, Artificial intelligence and privacy, Report, januari 2018, s. 16. 193 Artikel 9.2 g i dataskyddsförordningen. 194 Artikel 5.1 c i dataskyddsförordningen.
709Känsliga personuppgifter, ...
är fallet i dag. Förslaget är dock inte avsett att begränsa myndigheternas möjligheter att eftersöka och lämna ut allmänna handlingar i förhållande till den nu gällande regleringen. När en myndighet lämnar ut en allmän handling på begäran av en enskild har tryckfrihetsförordningens bestämmelser företräde framför dataskyddsregelverket. 195 Berörda myndigheter har att i varje enskilt fall bedöma om den sammanställning av uppgifter som efterfrågas är en allmän handling. Om sammanställningen är en allmän handling ska den lämnas ut, om inte uppgifterna i den omfattas av sekretess. Det gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning. 196 Sammanfattningsvis föreslår vi alltså att det som utgångspunkt ska vara förbjudet för Skatteverket, Tullverket och Kronofogdemyndigheten att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordningen. Genom att de föreslagna lagarna i en generell bestämmelse om behandling av känsliga personuppgifter kommer att innehålla en hänvisning till artikel 9.1 i dataskyddsförordningen hålls regleringen dynamisk och behöver inte ändras om den artikeln i dataskyddsförordningen ändras. Sökförbuden i de nya lagarna bör, till skillnad från dataskyddslagens sökförbud, kompletteras med de undantag som är nödvändiga för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna behandla personuppgifter på ett ändamålsenligt sätt i sina respektive verksamheter. På detta sätt tillvaratas den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt, samtidigt som myndigheternas behov av att behandla personuppgifter för att fullgöra sina respektive uppdrag på ett korrekt, rättssäkert och effektivt sätt tillgodoses. Vilka slags sökningar som bör undantas från sökförbuden varierar beroende på Skatteverkets, Tullverkets och Kronofogdemyndighetens skilda verksamhetsbehov. Vilka undantag vi anser bör införas i de föreslagna lagarna och motiven till dessa redogörs för nedan i avsnitt 10.9.2.
195 1 kap. 7 § första stycket dataskyddslagen. Se även artikel 86 i dataskyddsförordningen, prop. 2017/18:105, Ny dataskyddslag, s. 40–43 och prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning, s. 27. Se även prop. 1997/98:44, Personuppgiftslag, s. 51–52. 196 Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning, s. 27.
710Känsliga personuppgifter, ...
Det kan här nämnas att det inte föreslås några undantag för Skatteverkets folkbokföringsverksamhet. De undantag som föreslås bör formuleras så att vissa sökningar inte omfattas av förbudet om sökningen är nödvändig för att myndigheterna ska kunna utföra sina uppgifter inom respektive verksamhet som omfattas av de nya lagarna. I dag omfattar de befintliga bestämmelserna om sökbegrepp inte sökningar i handlingar när de väl har identifierats. 197 Vi anser att de sökförbud vi nu föreslår inte heller bör omfatta sökningar i en viss handling eller i ett visst ärende. I likhet med vad som anfördes i förarbetena till de nu gällande bestämmelserna anser vi att det bl.a. av effektivitetsskäl inte framstår som befogat att förbjuda sökmöjligheter i t.ex. ordbehandlingsprogram för att finna ett speciellt textavsnitt i ett enskilt textdokument eller för att på ett enklare sätt kunna handlägga ett mer omfattande ärende. 198 Vi kan inte heller i dag finna att det finns integritetsskäl som skulle motivera ett sådant förbud. Regeringen har även i andra lagstiftningsärenden konstaterat att sökningar bland en begränsad mängd uppgifter innebär mindre 199 integritetsrisker än sökningar i större uppgiftsmängder. Vi föreslår mot denna bakgrund att sökförbudet inte heller ska omfatta sökningar i en viss handling eller i ett visst ärende. Det finns slutligen anledning att konstatera att en sökning bland personuppgifter i sig utgör en behandling som måste uppfylla samtliga gällande krav för behandling av personuppgifter.
Sökbegränsningarna bör inte omfatta uppgifter om lagöverträdelser
I dag får Skatteverket, Tullverket eller Kronofogdemyndigheten inte använda uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden som sökbegrepp. 200 Myndigheterna har dock vissa behov av att kunna utföra sökningar på grundval av uppgifter om lagöverträdelser. Det är svårt att uttömmande redogöra för i vilka situationer sådana sökningar behöver kunna utföras. Generellt sett behöver
197 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 103. 198 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 103. 199 Se prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 50 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 134. 200 Se 2 kap. 10 § andra stycket SdbL, 2 kap. 11 § FdbL, 2 kap. 9 § TDL och 2 kap. 29 § första stycket KFMdbL.
711Känsliga personuppgifter, ...
myndigheterna ha möjlighet att utföra sökningar grundade på sådana uppgifter som kan vara relevanta omständigheter vid ärendehandläggningen. Det innebär att de behov av behandling av uppgifter om lagöverträdelser som har beskrivits i avsnitt 10.5 i stort även avspeglar det behov som finns i fråga om att behandla sådana uppgifter vid sökningar för att t.ex. kunna handlägga ärenden, sammanställa uppgifter vid vissa analyser eller för att ta fram urvalsträffar. Vissa konkreta exempel kan även ges avseende respektive myndighets behov av att göra sökningar utifrån uppgifter om lagöverträdelser. När det gäller Skatteverkets beskattningsverksamhet finns ett mycket nära samband mellan viss typ av brottslighet, såsom skattebrott och bokföringsbrott, och korrekt uppbörd. Skatteverket behöver t.ex. kunna söka fram ett urval av personer grundat på uppgifter om lagöverträdelser för att kunna se i vilka fall skattetillägg har utgått i beslut av domstol eller åklagare. Det hänger samman med det s.k. dubbelprövningsförbudet, vilket innebär att en person inte kan få skattetillägg och ådömas ansvar för skattebrott för samma förseelse såvida det inte sker inom samma domstolsprocess. 201 Inom Skatteverkets folkbokföringsverksamhet finns behov av att t.ex. kunna söka fram ett urval av personer grundat på uppgifter om lagöverträdelser för att kontrollera att personer som är intagna inom kriminalvårdsanstalt är korrekt folkbokförda. 202 Till följd av unionsrätten, bl.a. tullkodexen, har Tullverket en skyldighet att beakta uppgifter om tidigare brottslighet för att göra urval för kontroll. Det kan t.ex. röra sig om historik av ekonomisk brottslighet vilket kan utgöra en riskindikator för fel. För att fullgöra skyldigheterna i enlighet med EU-rätten har Tullverket därmed ett behov av att genom olika typer av sökningar sammanställa uppgifter om lagöverträdelser. Även Kronofogdemyndigheten har behov av att kunna utföra sökningar grundade på uppgifter om lagöverträdelser. Exempelvis kan redan själva uppgiften om en fordran eller av sökanden angivna uppgifter i en ansökan om betalningsföreläggande innehålla en uppgift om lagöverträdelse i de fall den grundar sig på skadestånd med anledning av brott. Kronofogdemyndigheten behöver i sin verksamhet göra sökningar baserade på vissa sådana fordringar, b.la. i ärendehandlägg-
201 Se bl.a. lag (2015:632) om talan om skattetillägg i vissa fall. 202 En vistelse anses dock inte leda till ändrad bosättning om den föranleds enbart av bl.a. kriminalvård, se 9 § 1 FOL.
712Känsliga personuppgifter, ...
ningen och för att kunna ta fram urvalsträffar. Det kan handla om uppgifter som framgår redan av t.ex. en verkställbar dom, ett beslut eller i ett utslag. Det kan också vara en uppgift som ligger till grund för att bevilja någon skuldsanering. Utöver detta behöver Kronofogdemyndigheten i vissa fall kunna söka och göra sammanställningar över konkursförvaltares samtliga konkurser vilka kan innehålla indirekta uppgifter om fysiska personers lagöverträdelser som innefattar brott. Det gäller situationer då konkursförvaltare underrättat allmän åklagare om att en gäldenär kan misstänkas för något brott som avses i 11 kap. brottsbalken eller om gäldenären har drivit näringsverksamhet och det under konkursförvaltningen kommer fram att gäldenären kan misstänkas för något annat brott av inte ringa be- 203 skaffenhet som har samband med verksamheten. Kronofogdemyndigheten behöver främst göra sådana sökningar och sammanställningar som en del i tillsynsuppdraget. 204 Vidare finns ett behov av att söka fram och sammanställa en lista med gäldenärer som har obetalda böter som härrör från brott i syfte att inleda ärenden om förvandling av böter. 205 Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott får enligt såväl dataskyddsförordningen (artikel 10) som dataskyddslagen (3 kap. 8 § första stycket) behandlas av myndigheter. Vi föreslår inte någon generell begränsning av Skatteverkets, Tullverkets eller Kronofogdemyndighetens behandling av sådana uppgifter (se avsnitt 10.8). Vi anser att inte heller sökförbuden bör omfatta uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott. Något sökförbud för uppgifter om lagöverträdelser finns inte heller i dataskyddslagen. Behovet av att göra sökningar i fråga om sådana uppgifter bedöms vara relativt begränsat mot bakgrund av Skatteverkets, Tullverkets och Kronofogdemyndighetens uppdrag inom dataskyddsförordningens tillämpningsområde.
203 7 kap. 16 § konkurslagen. 204 Se 1 § förordningen med instruktion för Kronofogdemyndigheten. En sammanställning över underrättelser som gjorts i enlighet med 7 kap. 16 § konkurslagen kan också behöva göras för att identifiera vilka konkurser en viss ställföreträdare förekommer i som en del i prövningen av om en föreslagen konkursförvaltare är lämplig, se 7 kap. 3 § konkurslagen. 205 I 15 § bötesverkställighetslagen (1979:189) anges bl.a. att om böter inte har kunnat drivas in och det beror på trots från den bötfällde, ska böterna på talan av åklagare förvandlas till fängelse. Bötesförvandling ska också ske om det av särskilda skäl är motiverat från allmän synpunkt. Enligt 17 § bötesverkställighetsförordningen (1979:197) ska Kronofogdemyndigheten, om indrivning av böter har avbrutits utan att böterna har blivit fullt betalda och om det enligt Kronofogdemyndighetens bedömning finns anledning att anta att böterna ska förvandlas, skyndsamt sända en redogörelse för förhållandet till åklagare som är behörig att föra talan om böternas förvandling.
713Känsliga personuppgifter, ...
Som nyligen framgått kommer det dock att finnas situationer då myndigheterna behöver göra sökningar utifrån sådana uppgifter till följd av de materiella verksamhetsregleringarna. Det är enligt vår bedömning motiverat att myndigheterna kan utföra sådana sökningar när det behövs för utförandet av respektive myndighets uppdrag. Det är dock inte möjligt att i lag föreskriva alla de situationer då uppgifter som avses i artikel 10 i dataskyddsförordningen behöver kunna användas av myndigheterna vid sökningar. Det bör alltså inte heller finnas några sökbegränsningar eller bestämmelser om vilka sökningar som är tillåtna i fråga om uppgifter om lagöverträdelser i de föreslagna lagarna. Även sökningar eller urval grundat på personuppgifter om lagöverträdelser kan dock vara integritetskänsliga. Myndigheternas behov av att kunna bedriva en effektiv och rättssäker verksamhet överväger dock enligt vår bedömning de integritetsrisker som ett förbud vid de aktuella myndigheterna skulle vara avsett att minska. Ett sökförbud som omfattar uppgifter om lagöverträdelser skulle riskera att hindra myndigheterna att fullgöra sina skyldigheter enligt nationell rätt eller 206 unionsrätten och försvåra det fria flödet av personuppgifter. I avsnitt 10.8 anges också skäl för att möjligheterna att behandla uppgifter som rör lagöverträdelser inte bör begränsas. Samma skäl talar även för att det inte bör införas några sökbegränsningar i fråga om sådan personuppgiftsbehandling. Trots att några sökbegränsningar inte föreslås för uppgifter om lagöverträdelser säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som föreslås i de nya lagarna. Att inte reglera några sökbegränsningar i fråga om uppgifter om lagöverträdelser kan innebära att urvalsträffar tas fram utifrån tidigare brottslighet. Sådan behandling skulle i vissa fall möjligen inte kunna anses stå i proportion till det integritetsintrång som behandlingen kan medföra. Som nyligen redogjorts för finns det dock för aktuella myndigheter materiell verksamhetsreglering där omständigheten att någon är dömd för brott kan vara relevant. Även om myndigheterna har tillgång till sådana uppgifter, och de föreslås få behandlas vid dataanalyser och urval vid framtagandet av urvalsträffar 207 , måste behandlingen uppfylla de grundläggande kraven på bl.a. rätts-
206 Jfr artikel 1 i dataskyddsförordningen och skäl 9 till dataskyddsförordningen. 207 Se avsnitt 14.9.2.
714Känsliga personuppgifter, ...
lig grund samt de grundläggande principerna för behandling av personuppgifter. Om sådana uppgifter t.ex. inte är nödvändiga för att berörda myndigheter ska kunna utföra uppgifter av allmänt intresse eller inte är relevanta i förhållande till de ändamål för vilka de behandlas kan uppgifterna inte ligga till grund för att ta fram urvalsträffar. Det kommer med andra ord inte, trots avsaknad av ett sådant sökförbud, att vara möjligt för myndigheterna att använda uppgifter om att någon tidigare dömts för brott som urvalsgrund för att det i ett visst fall framstår som ”bra att ha” vid framtagandet av urvalsträffar. Den reglering vi föreslår avseende dataanalyser och urval innefattar vidare krav på myndigheterna att bl.a. löpande dokumentera, följa upp och utvärdera på vilka grunder urval görs, se avsnitt 14.11.3. Detta för att säkerställa att resultaten inte blir skeva utifrån myndigheternas uppdrag, eller diskriminerande på något sätt. Sammanfattningsvis gör vi bedömningen att det inte bör införas några sökförbud för uppgifter om lagöverträdelser i de nya lagarna.
Något om de föreslagna sökförbudens förhållande till offentlighetsprincipen
I vilken utsträckning det är möjligt att effektivt begränsa användningen av integritetskänsliga sökbegrepp påverkas av offentlighetsprincipen. 208 Handlingsoffentligheten enligt tryckfrihetsförordningens reglering om detta omfattar fysiska handlingar och elektroniskt lagrade uppgifter som ingår i s.k. färdiga elektroniska handlingar, dvs. uppgiftssammanställningar som redan har ett fixerat innehåll och därför inte förutsätter någon sökning för att återskapas. Det kan t.ex. vara e-postmeddelanden och handlingar i fasta filformat (pdf, docx m.m.), som beslut i elektronisk form och handlingar inskickade av enskilda. Offentlighetsprincipen omfattar dock också uppgifter som ännu inte har sammanställts men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder, t.ex. en sökning (2 kap. 6 § andra stycket TF). Sådana sammanställningar kallas potentiella handlingar. 209 Enligt den s.k. begränsningsregeln i 2 kap. 7 § TF anses en potentiell handling inte förvarad hos myndigheten om sammanställningen
208 Prop. 2014/15:148, Domstolsdatalag, s. 52. Offentlighetsprincipen innebär i huvudsak att allmänheten har rätt att ta del av offentliga allmänna handlingar hos en myndighet. 209 Prop. 2014/15:148, Domstolsdatalag, s. 52.
715Känsliga personuppgifter, ...
innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Med personuppgift avses i bestämmelsen all slags information som direkt eller indirekt kan hänföras till en fysisk person. Syftet med begränsningsregeln i 2 kap. 7 § TF är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksamhet. 210 Begränsningsregeln kan därmed ses som ett uttryck för lik- 211 ställighetsprincipen. Att en handling inte anses förvarad hos en myndighet, t.ex. på grund av att kraven i begränsningsregeln är uppfylld, innebär att den inte är en allmän handling (2 kap. 4 § TF). Det innebär i sin tur att handlingen inte omfattas av allmänhetens rätt att ta del av densamma enligt offentlighetsprincipen (2 kap. 1 § TF). Sektorspecifika dataskyddsbestämmelser i lag eller förordning som avser förbud mot att utföra vissa sökningar kan alltså till följd av begränsningsregeln få betydelse för i vilken omfattning potentiella handlingar, såsom t.ex. sammanställningar som görs genom sökningar grundade på känsliga personuppgifter, utgör allmänna handlingar vid en myndighet. Frågan är hur begränsningsregeln förhåller sig till en sådan form av sökbegränsning som vi föreslår, dvs. som utgår från syftet med en viss sökning och som reglerar vissa uttryckliga undantag baserade på myndigheternas behov av att utföra vissa sökningar. Det får enligt gällande rätt anses klarlagt att bestämmelser i registerförfattningar om för vilka ändamål en myndighet får behandla uppgifterna (s.k. ändamålsbegränsningar), inte anses inskränka myndighetens skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter. 212 När det gäller frågan om i vilken mån reglerade sökbegränsningar innebär att begränsningsregeln i 2 kap. 7 § TF blir aktuell att tillämpa har regeringen i en proposition avseende domstolars behandling av personuppgifter bedömt att sökbegränsningar som tillåter sökning under särskilt angivna förutsättningar inte inskränker myndighetens skyldighet att sammanställa personuppgifter. En sökbegränsning som är absolut formulerad och som under inga omständigheter
210 Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23. 211 SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 145. 212 Se t.ex. prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 69, prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 154, prop. 2014/15 :148, Domstolsdatalag, s. 53 och SOU 2010:4, Allmänna handlingar i elektronisk form – offentlighet och integritet, s. 148.
716Känsliga personuppgifter, ...
tillåter användningen av ett visst sökbegrepp har dock av regeringen bedömts få genomslag enligt begränsningsregeln. 213 Det har i en annan, nyare, proposition förekommit ett uttalande som till viss del möjligen kan anses ge uttryck för en annan hållning avseende ett föreslaget sökförbud i 114 kap. socialförsäkringsbalken som utgår från syftet med en sökning. I denna proposition uttalar regeringen, med hänvisning till att begränsningsregeln ger uttryck för likställighetsprincipen, att en sammanställning som innehåller personuppgifter bör ses som en allmän handling endast om myndigheten, med beaktande av sökbegränsningen, får ta fram den för ett internt syfte i sin egen verksamhet. 214 Det är enligt vår mening inte helt klart hur de föreslagna sökförbuden skulle anses förhålla sig till begränsningsregeln i rättstillämpningen. I andra lagstiftningsärenden i vilka liknande sökbegränsningar har föreslagits har frågan inte heller diskuterats på något mer omfattande sätt. Det kan i vart fall konstateras att berörda myndigheter i varje enskilt fall har att bedöma om den sammanställning av uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Om sammanställningen utgör en allmän handling ska den lämnas ut, såvida inte uppgifterna i den omfattas av sekretess. Detta gäller även om det är fråga om känsliga personuppgifter som har sammanställts genom sökning. 215 Oaktat hur rättstillämparen skulle se på frågan i förhållande till ett visst specifikt sökförbud kan det konstateras att det i de fall en sammanställning anses förvarad hos en myndighet, och därmed utgör en allmän handling, kan alltså sekretess hindra att uppgifterna i sammanställningen blir offentliga. För uppgifter som behandlas hos Skatteverket, Tullverket och Kronofogdemyndigheten råder olika former av sekretess. Även styrkan på sekretessen varierar. Exempelvis gäller absolut sekretess i en stor del av Skatteverkets verksamhet genom skattesekretessen 216 , medan det tvärtom finns en presumtion för offentlighet avseende uppgifter som förekommer i folkbokföringsverksamheten. 217 I Tullverkets
213 Prop. 2014/15:148, Domstolsdatalag, s. 53. Liknande hållning har framförts i doktrin, se Heuman, Tryckfrihetsförordningen (1949:105) 2 kap. 7 §, Karnov (JUNO) [hämtad 2023-06-02] där det anges att sökbegränsningar som inte är absoluta, utan tillåter sökning under särskilt angivna förutsättningar, anses sakna betydelse för frågan huruvida sammanställningen utgör en allmän handling. 214 Prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69. 215 Prop. 2017/18:248, Kriminalvårdsdatalag – en ny lag med anpassning till EU:s dataskyddsförordning, s. 27. 216 Se t.ex. 27 kap. 1 § OSL. 217 22 kap. 1 § OSL.
717Känsliga personuppgifter, ...
verksamhet gäller ofta ett omvänt skaderekvisit, dvs. en presumtion för sekretess. 218 Inom Kronofogdemyndigheten gäller sekretess i verksamhet med indrivning och utsökning med ett omvänt skade- 219 rekvisit. Sekretess finns vidare i bl.a. verksamhet med skuldsanering 220 och tillsyn i konkurs. 221 Vid sidan av de verksamhetsspecifika sekretessbestämmelserna finns även vissa allmänna bestämmelser om sekretess som kan bli tillämpliga oavsett i vilken verksamhet uppgifterna förekommer, t.ex. 21 kap. 5 och 7 §§ OSL. Skillnaden i sekretessnivå och räckvidd av sekretessen mellan de olika verksamheterna innebär, beroende på hur en tillämpning av begränsningsregeln faller ut i förhållande till föreslagna sökförbud, att fler sammanställningar grundade på känsliga personuppgifter kan komma att bli offentliga i vissa verksamheter. Det gäller framför allt Skatteverkets folkbokföringsverksamhet 222 och Kronofogdemyndighetens verksamhet med betalningsföreläggande och handräckning. 223 Ett alternativ för att säkerställa att sammanställningar av känsliga personuppgifter inte blir offentliga, av hänsyn till skyddet för den personliga integriteten, är att föreslå en ny sekretessbestämmelse. Detta för att ett absolut sökförbud enligt vår mening är onödigt begränsande vid myndigheternas fullgörande av sina uppgifter. En sådan sekretessbestämmelse skulle förslagsvis innebära att sekretess gäller till skydd för enskild hos Skatteverket, Tullverket och Kronofogdemyndigheten för uppgift i en sammanställning av känsliga personuppgifter, dvs. att absolut sekretess skulle gälla för en sådan uppgift. 224 Ett annat alternativ är att införa en sekretessregel med ett omvänt skaderekvisit i stället för absolut sekretess. Det skulle dock innebära att myndigheterna i vissa fall behöver göra resurskrävande sekretessprövningar då sammanställningar kan innehålla uppgifter om många personer. En ny sekretessbestämmelse skulle sammanfattningsvis kunna utformas så att våra förslag om ändrade sökförbud inte innebär några sakliga ändringar i praktiken vid begäran om utlämnande
218 Se t.ex. 27 kap. 3 § jämförd med 27 kap. 1 § OSL. 219 Se bl.a. 34 kap. 1 § OSL. 220 34 kap. 6 § OSL. 221 34 kap. 7 § OSL. 222 Enligt 22 kap. 1 § OSL gäller ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifterna är offentliga. 223 Inom detta verksamhetsområde vid Kronofogdemyndigheten finns ingen särskild sekretessregel, utan det är de generella sekretessreglerna som är tillämpliga inom samtliga myndigheter, t.ex. 21 kap. OSL, som kan tillämpas. 224 Jfr SOU 2017:29, Brottsdatalag, s. 643.
718Känsliga personuppgifter, ...
av vissa sammanställningar grundade på känsliga personuppgifter och uppgifter om lagöverträdelser. Vikten av att säkerställa enskildas personliga integritet är givetvis stor när det gäller frågan om offentliggörande av sammanställningar grundade på känsliga personuppgifter och uppgifter om lagöverträdelser. Mot detta står intresset av insyn och öppenhet vilket är viktigt för att offentlighetsprincipen ska kunna upprätthållas, och som är mycket starkt i myndigheters verksamhet som innefattar myndighetsutövning. Aktuella typer av sammanställningar kommer att omgärdas av omfattande dataskyddsregler. Redan i dag finns, som ovan nämnts, även sekretessreglering som är anpassad efter respektive verksamhet på det sätt att det redan gjorts en avvägning mellan enskilda och allmänna intressen i aktuella verksamheter. Enligt 21 kap. 7 § OSL gäller vidare sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. I 21 kap. OSL finns ytterligare sekretessbestämmelser som är tillämpliga oaktat i vilken verksamhet uppgifterna förekommer. Vi bedömer sammantaget att den sekretessreglering som redan gäller ger ett väl avvägt skydd för både enskilda och allmänna intressen i nu aktuellt avseende. En regel om sekretess för sammanställningar grundade på känsliga personuppgifter behövs därför inte. Som redan nämnts gäller att om en enskild framställer en begäran som innebär att myndigheterna behöver ta fram vissa uppgifter för ett utlämnande har myndigheten att pröva om de uppgifter som efterfrågas utgör en allmän handling hos myndigheten. Utgör uppgifterna en allmän handling ska de lämnas ut såvida de inte omfattas av sekretess. Det finns redan sekretessregler som aktualiseras vid sådana begäran 225 i myndigheternas respektive verksamhet. Enligt vår uppfattning behövs det alltså inte någon förändring av befintlig sekretessreglering till följd av att de absoluta sökförbuden inte ges någon motsvarighet i de nya lagarna. Se dock våra särskilda bedömningar avseende det nuvarande sökförbudet i 2 kap. 10 § FdbL i avsnitt 10.9.3 nedan.
225 Jfr prop. 2017/18:232, Brottsdatalag, s. 417.
719Känsliga personuppgifter, ...
Särskilt om behandling i EU:s gemensamma informationssystem
Bestämmelserna om sökbegränsningar kommer att vara tillämpliga inom de verksamheter som omfattas av respektive ny lag. I avsnitt 7.4.4 föreslås att beskattningsdatalagen, tulldatalagen och kronofogdedatalagen inte ska gälla vid behandling av personuppgifter i Europeiska unionens gemensamma informationssystem. Tullverket har anfört att detta innebär att det generella sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen kommer att bli tillämpligt när myndigheten behandlar känsliga personuppgifter i EU:s gemensamma informationssystem. 226 Det skulle enligt Tullverket kunna utgöra ett hinder vid fullgörandet av myndighetens uppgifter som följer av EU-rättslig lagstiftning, bl.a. då bestämmelsen inte innefattar verksamhetsspecifika undantag. Enligt vår bedömning innebär förslagen dock inte att det sökförbud som finns i 3 kap. 3 § andra stycket dataskyddslagen vid varje tillfälle blir tillämpligt vid sådan behandling. Dataskyddslagens sökförbud gäller endast vid behandling av känsliga personuppgifter som sker enbart med stöd av 3 kap. 3 § första stycket dataskyddslagen. I den mån berörda myndigheter behöver kunna behandla känsliga personuppgifter i EU-gemensamma system, bör det i princip vid varje tillfälle ske på grundval av unionsrätten. Enligt artikel 9.2 g i dataskyddsförordningen ska förbudet mot behandling av känsliga personuppgifter inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I den mån behandlingen sker på grundval av unionsrätten följer det enligt vår mening av ordalydelsen att det är denna som ska uppfylla övriga krav i artikel 9.2 g, samt den eventuella kompletterande nationella specifika rätt som i förekommande fall krävs. Det bör därför i de flesta fall inte bli aktuellt för myndigheterna att tillämpa det generella sökförbudet i 3 kap. 3 § dataskyddslagen enbart i syfte att uppfylla dataskyddsförordningens särskilda krav på det rättsliga stödet vid behandling av känsliga personuppgifter för
226 Jfr 1 kap. 5 § första stycket dataskyddslagen.
720Känsliga personuppgifter, ...
ett viktigt allmänintresse när uppgifter i EU-gemensamma system behandlas. Undantaget från tillämpningsområdet i de nya lagarna avseende behandling i EU-gemensamma system innebär inte heller per automatik att berörda myndigheter vid sådan behandling måste tillämpa bestämmelsen i 3 kap. 3 § första stycket dataskyddslagen för att över huvud taget kunna behandla känsliga personuppgifter med stöd av artikel 9.2 g i dataskyddsförordningen. 227 Kraven på skyddsåtgärder kan nämligen anses vara tillgodosedda genom annan typ av reglering, t.ex. bestämmelser om sekretess, och så bör även vara fallet genom unionsrätten med eventuell kompletterande specifik nationell rätt när behandling sker på grundval av denna. I den mån myndigheterna gör bedömningen att det i ett visst fall trots allt inte finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g för att behandling av känsliga personuppgifter ska få ske men behandlingen, t.ex. en sökning, krävs för att utföra uppgifter som regleras i EUrättslig lagstiftning bör principen om EU-rättens företräde i stället kunna tillmätas avgörande betydelse i de allra flesta sådana fall.
10.9.2 Verksamhetsspecifika undantag från
sökbegränsningarna
Vårt förslag: Skatteverket ska i beskattningsverksamheten tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna beskattningsdatalagen. Tullverket ska tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldatalagen.
227 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 84, där det framgår att den generella regleringen i 3 kap. 3 § dataskyddslagen tillkom bl.a. mot bakgrund av att det inte ansågs kunna tas för givet att det för all offentlig verksamhet redan finns sådana lämpliga och särskilda åtgärder som krävs enligt artikel 9.2 g i dataskyddsförordningen för att känsliga personuppgifter ska få behandlas.
721Känsliga personuppgifter, ...
Kronofogdemyndigheten ska tillåtas utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna kronofogdedatalagen.
Vår bedömning: Det krävs inte något undantag från sökförbudet för Skatteverkets folkbokföringsverksamhet.
Skälen för vårt förslag och vår bedömning
Skatteverkets beskattningsverksamhet
Skatteverket behöver i beskattningsverksamheten i vissa fall kunna göra sökningar för att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa. Som beskrivs i avsnitt 10.5 finns flera situationer där behandling av sådana uppgifter är nödvändig för att Skatteverket ska kunna fullgöra sina uppdrag. Skatteverket administrerar stora mängder individorienterade ärenden i sin handläggande verksamhet, vilket bl.a. för med sig ett behov av att kunna söka och göra ett urval av personer och ärenden baserat på vissa uppgifter som kan utgöra känsliga personuppgifter. Behovet finns även för att ta fram urvalsträffar för kontroll i den mån sådana uppgifter är relevanta omständigheter för det som ska kontrolleras. Det kan t.ex. vara fråga om personuppgifter om hälsa som förekommer vid ansökningar om avdrag för faktiska kostnader för resor till och från arbetet på grund av sjukdom 228 , då enskilda begärt befrielse från förseningsavgift på grund av sjukdom 229 eller vid skattereduktion för sjukersättning. 230 Det kan också handla om personuppgifter om religiös övertygelse som är av betydelse för avgifter till Svenska kyrkan och andra trossamfund samt uppgifter om medlemskap i fackförening som fram till nyligen var en avdragsgill kostnad. Uppgifter om hälsa, religiös övertygelse samt medlemskap i fackförening är känsliga personuppgifter på det sätt som avses i artikel 9.1 i dataskyddsförordningen, och bör mot bakgrund av Skatteverkets behov undantas från det föreslagna sökförbudet. Undantaget bör ut-
228 Se 12 kap. 30 § IL. 229 Se 51 kap. 1 § SFL. 230 Se 67 kap. 2 § IL.
722Känsliga personuppgifter, ...
formas så att Skatteverket i beskattningsverksamheten tillåts utföra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om religiös övertygelse, medlemskap i fackförening eller hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna beskattningsdatalagen. Vi har i övrigt inte identifierat något behov att i beskattningsverksamheten göra sammanställningar på grundval av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, filosofisk övertygelse, genetiska eller biometriska uppgifter eller uppgifter om en fysisk persons sexualliv eller sexuella hälsa. Några undantag hänförliga till sådana uppgifter föreslås därför inte. Genom att undantagen från sökförbudet enbart omfattar sådana uppgifter som Skatteverket har ett behov av att kunna göra sökningar och sorteringar utifrån, upprätthålls enligt vår mening integritetsskyddet på en rimlig nivå samtidigt som myndigheten inte hindras i utövandet av sin verksamhet.
Skatteverkets folkbokföringsverksamhet
Skatteverket har avseende folkbokföringsverksamheten fört fram att myndigheten t.ex. behöver ha möjlighet att söka på civilstånd, vilket 231 kan avslöja uppgifter om någons sexuella läggning , och på medborgarskap, eventuellt i kombination med ytterligare utökade sökbegrepp, vilket skulle kunna avslöja uppgifter om etnicitet. Det föreslagna sökförbudet hindrar inte sådana sökningar under förutsättning att sökningen inte görs i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Skatteverket kan alltså utan hinder av sökförbudet göra sökningar för att t.ex. kontrollera att uppgifter registreras på ett enhetligt sätt avseende enskilda personer inom en familj. 232 Detta eftersom utformningen av sökförbudet innebär att det kommer att vara tillåtet att göra sökningar som avser en enda person, eftersom sökresultatet då inte kommer att utvisa något urval av personer. Vad gäller uppgifter om medborgarskap utgör detta som utgångspunkt inte uppgifter som i sig anses vara känsliga personuppgifter. Ytterligare resonemang kring detta samt vad som bör gälla vid just Skatteverkets möjligheter att inom folkbokföringsverksam-
231 Se EU-domstolens dom den 1 augusti 2022 i mål C-184/20, OT mot Vyriausioji tarnybin ė s etikos komisija. 232 Jfr prop. 1990/91:53, om lag om folkbokföringsregister m.m., s. 35.
723Känsliga personuppgifter, ...
heten använda uppgifter om medborgarskap vid sökningar görs särskilda bedömningar i avsnitt 10.9.3 nedan. Vidare har Skatteverket fört fram att det kan finnas behov av att göra urval av personer som är folkbokförda på behandlingshem av olika slag för kvalitetsuppföljning. Ett sådant urval skulle enligt Skatteverket sannolikt baseras på typ av fastighet där någon är bosatt. Att det finns en vårdinrättning eller annan typ av institution för vård på fastigheten skulle enligt myndigheten indirekt kunna var att betrakta som en uppgift om hälsa. Bakgrunden till Skatteverkets behov av sådana urval är bl.a. att det i 9 § första stycket 3 FOL framgår att en vistelse inte anses leda till ändrad bosättning om den föranleds enbart av vård vid en institution för sjukvård, vård av unga, kriminalvård eller vård av missbrukare. Enligt vår uppfattning hindrar dock inte den föreslagna regleringen att Skatteverket gör sökningar eller urval på vissa fastigheter i syfte att kontrollera att ingen felaktigt är folkbokförd där. Sådana sökningar får nämligen inte anses göras i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa. Det kan även framhållas att sökförbudet syftar till att hindra möjligheten att göra sammanställningar och kartlägga enskilda grundat på uppgifter om t.ex. hälsa, dvs. för att exempelvis få fram vilka personer som lider av sjukdom. Att Skatteverket gör sökningar på vissa adresser för att kontrollera att lagstiftningen följs bör inte anses göras i detta syfte, oaktat att adressen i sig går till t.ex. ett sjukhus. Vi anser därför att det inte finns skäl att införa ett särskilt undantag från sökförbudet i folkbokföringsverksamheten för uppgifter om hälsa till följd av vad Skatteverket har fört fram avseende myndighetens behov i denna del. I övrigt har det inte kommit fram att Skatteverket inom folkbokföringsverksamheten har något behov av att kunna utföra sökningar som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Det gäller även användningen av sådana uppgifter som riskindikatorer för att ta fram urvalsträffar. En annan sak är att det kan förekomma känsliga personuppgifter i bl.a. sådan data som en urvalsmodell tränas på. Vi bedömer mot denna bakgrund att det inte bör införas några särskilda undantag från sökförbudet för Skatteverkets folkbokföringsverksamhet.
724Känsliga personuppgifter, ...
Tullverket
I jämförelse med Skatteverket och Kronofogdemyndigheten har Tullverket ett relativt stort behov av att kunna göra sökningar som innebär att sammanställningar grundade på känsliga personuppgifter skapas. Tullverket behöver t.ex. kunna identifiera urval av personer i arbetet med riskanalyser och tullkontroller för att fullgöra bl.a. den del av uppdraget som avser säkerhet och skydd. 233 En del i detta uppdrag är att hitta och förhindra att varor som kan orsaka skada når personer under hot. Hotbilden kan grunda sig på uppgifter som avslöjar t.ex. etniskt ursprung, religiös eller filosofisk övertygelse, politiska åsikter, facklig tillhörighet eller sexuell läggning. Det kan i sådana fall vara nödvändigt för Tullverket att identifiera ett urval av personer som berörs av det aktuella hotet. Vidare behöver Tullverket kunna ta fram riskprofiler, t.ex. av produktsäkerhetsskäl, för att göra urval av personer som importerar eller exporterar varor vilket kan grunda sig på känsliga personuppgifter. Exempelvis kan ett visst läkemedel i en deklaration för införsel av varor innehålla en känslig personuppgift om hälsa sett tillsammans med uppgiften om den som vill föra in läkemedlet i landet. Utöver detta behöver Tullverket kunna göra sökningar baserade på vissa känsliga personuppgifter för att ta fram urvalsträffar i arbetet med att säkerställa en riktig uppbörd. Det handlar om uppgifter som är av betydelse för att t.ex. kontrollera att korrekt tull betalas in vid import av varor. I likhet med vad som nämns ovan kan typen av varor tillsammans med avsändare eller mottagare innebära att ett visst urval baseras på känsliga personuppgifter, t.ex. uppgifter om hälsa vid import av läkemedel eller sexualliv vid import av sexhjälpmedel. Det kan alltså konstateras att det behöver göras vissa undantag från sökförbudet till följd av Tullverkets arbetsuppgifter. 234 Undantaget bör mot bakgrund av vad som anförts ovan utformas så att förbudet inte omfattar sökningar i syfte att få fram ett urval grundat på uppgifter om etniskt ursprung, politiska åsikter, religiös eller filo-
233 Se bl.a. artikel 128 tullkodexen. 234 Det kan nämnas att vissa undantag från sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) görs i lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Exempelvis anges i 2 kap. 6 § samma lag att sökförbudet i 2 kap. 14 § brottsdatalagen (2018:1177) inte hindrar sökningar i syfte att få fram ett urval av personer grundat på etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter som rör hälsa, sexualliv eller sexuell läggning, om sökningen görs i personuppgifter som inte har gjorts gemensamt tillgängliga.
725Känsliga personuppgifter, ...
sofisk övertygelse, medlemskap i fackförening, hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna tulldatalagen. När det gäller personuppgifter som avslöjar uppgifter om ras gör vi ingen annan bedömning än den regeringen har gjort i andra lagstiftningsärenden avseende personuppgifter, nämligen att det inte kan finnas något behov av att göra sammanställningar grundade på ras eftersom det inte finns någon vetenskaplig grund för att dela in 235 människor i skilda raser. Vi har inte identifierat att Tullverket har behov av att kunna utföra sökningar för att få fram ett urval av personer grundat på genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person. Möjligheten att utföra sådana sökningar bör därför inte undantas från förbudet.
Kronofogdemyndigheten
Vi har identifierat att Kronofogdemyndigheten har behov av att kunna göra sökningar för att få fram ett urval av personer grundat på uppgifter om hälsa. Behovet är framför allt hänförligt till myndighetens verksamhet inom verkställighet och skuldsanering. Uppgifter om hälsa, såsom olika förmåner eller stöd hänförliga till sjukdom samt uppgifter i läkarintyg, är relevanta vid bedömning av bl.a. betalningsförmåga. Sådana uppgifter kan även ligga till grund för verkställighet av olika fordringar, t.ex. underhåll i form av utgifter för barns sjukdom. Vidare kan utmätning ske av t.ex. sjukpenning eller annan ersättning som lämnas på grund av sjukdom. 236 Det finns även undantag från utmätning där hänsyn ska tas till om gäldenären eller någon som tillhör dennes familj lider av lyte eller allvarlig sjukdom. 237 Kronofogdemyndigheten behöver mot denna bakgrund kunna sammanställa, sortera, välja ut och analysera ärenden där uppgifter om hälsa är av materiell betydelse för handläggningen. Det bör mot denna bakgrund göras undantag från sökförbudet avseende Kronofogdemyndigheten som innebär att det inte omfat-
235 Prop. 2017/18:232, Brottsdatalag, s. 151 och prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 179. 236 Se 7 kap. UB. 237 5 kap. 2 § UB.
726Känsliga personuppgifter, ...
tar sökningar i syfte att få fram ett urval grundat på uppgifter om hälsa, om sökningen är nödvändig för att utföra en uppgift i verksamhet som omfattas av den föreslagna kronofogdedatalagen. Vi gör bedömningen att ett undantag från sökförbudet för uppgifter om hälsa inte påverkar de säkerhetsbestämmelser som finns i kreditupplysningslagen (1973:1173). Bestämmelsen i 6 § kreditupplysningslagen innebär nämligen att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) inte får behandlas i kreditupplysningsverksamhet. Kronofogdemyndigheten har även uttryckt ett behov av att inom verksamheten med att motverka överskuldsättning kunna utföra sökningar för att få fram ett urval av personer grundat på uppgifter om födelseland och medborgarskap. Detta har av myndigheten motiverats med att sådana faktorer kan ha betydelse för sannolikheten att bli överskuldsatt. Som anges i avsnitt 10.9.3 nedan utgör sådana uppgifter i normalfallet inte känsliga personuppgifter i den mening som avses i dataskyddsförordningen. Vi bedömer därför att något ytterligare undantag inte behöver regleras med anledning av detta.
10.9.3 Det ska fortsatt finnas en särskild bestämmelse om vissa
sökbegrepp inom Skatteverkets folkbokföringsverksamhet
Vårt förslag: Det ska vara förbjudet att som sökbegrepp inom folkbokföringsverksamheten använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption.
Vår bedömning: Nuvarande bestämmelser i folkbokföringsdatabaslagen som förbjuder Skatteverket från att använda uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd samt vissa uppgifter om medborgarskap som sökbegrepp bör inte ha någon motsvarighet i den föreslagna folkbokföringsdatalagen.
727Känsliga personuppgifter, ...
Skälen för vårt förslag och vår bedömning
De nuvarande bestämmelserna om förbud mot att använda vissa sökbegrepp inom folkbokföringsverksamheten
I 2 kap. 10 § FdbL anges i dag att vid sökning i databasen får uppgifter som avses i 3 § första stycket 5, 11, 12 och 17 inte användas som sökbegrepp. Vidare anges att uppgifter som avses i 3 § första stycket 8 får användas som sökbegrepp endast i fråga om medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen (unionsmedborgarskap eller icke unionsmedborgarskap). Genom hänvisningen till 2 kap. 3 § första stycket 5, 11, 12 och 17 framgår att de uppgifter som avses är uppgifter om födelseort, samband enligt 10 som är grundat på adoption, dvs. make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen, inflyttning från utlandet samt uppehållsrätt för en person som är folkbokförd. Enligt 5 § FdbF avses med annan person som den registrerade har samband med inom folkbokföringen enligt 2 kap. 3 § 10 FdbL annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt. Med uppgifter som avses i 3 § första stycket 8 menas uppgifter om medborgarskap. De nu gällande bestämmelserna härrör från den tidigare lagen (1990:1536) om folkbokföringsregister. 238 Lagen innehöll bl.a. en bestämmelse i 6 § som på ett detaljerat sätt i en lista angav vilka uppgifter om personer som är eller har varit folkbokförda som fick finnas i ett lokalt folkbokföringsregister. I 12 § fanns en bestämmelse som uttömmande angav vilka sökbegrepp som var tillåtna att använda i ett lokalt folkbokföringsregister eller centralt referensregister. Detta gjordes genom hänvisningar till specifika uppgifter i 6 §. Vid tidpunkten för lagens upphävande 239 gällde enligt 12 § att i ett lokalt folkbokföringsregister fick som sökbegrepp användas uppgifter om födelsetid och personnummer, namn, adress, folkbokföringsfastighet, lägenhetsbeteckning, folkbokföringsort och folkbokföring under särskild rubrik, civilstånd samt make, barn, föräldrar och vårdnadshavare eller annan person som den registrerade hade samband med inom folk-
238 Vid införandet av lagen gällde datalagen (1973:289) i fråga om s.k. personregister. Dataskyddsdirektivet hade ännu inte trätt i kraft, utan gjorde så först den 24 oktober 1995. 239 Lagen upphävdes 2001-10-01 genom SFS 2001:182.
728Känsliga personuppgifter, ...
bokföringen med undantag för uppgift om adoption. I det centrala referensregistret fick som sökbegrepp användas uppgift om personnummer, samordningsnummer, födelsetid, namn och avregistrering. Som sökbegrepp i ett register enligt lagen fick också, enligt de närmare föreskrifter som kunde meddelas av regeringen eller den myndighet som regeringen bestämde, användas uppgifter om make, barn, föräldrar och vårdnadshavare eller annan person som den registrerade har samband med inom folkbokföringen och om sambandet är grundat på adoption. Uppgifter om bl.a. födelseort, födelsehemort, medborgarskap eller inflyttning från utlandet fick alltså inte användas som sökbegrepp i registren. 240 Frågan om vilka sökmöjligheter som skulle finnas i ett personregister ansågs vid denna tid vara av stor betydelse inte minst från integritetssynpunkt. I förarbetena anfördes även att man måste beakta att det av offentlighetsprincipen följer att en myndighet måste använda alla tillåtna sökbegrepp och tekniska möjligheter som står myndigheten till buds för att ur dess register ta fram uppgifter som någon begär. Regeringen anförde att om det tillåts att i ett personregister använda alla eller många typer av registeruppgifter som sökbegrepp fanns således risk för att oönskade och oförutsedda konsekvenser uppkommer. Vidare anförde regeringen att vid utformandet av de sökmöjligheter som då skulle byggas in främst i de lokala registren skulle självfallet hänsyn också tas till kravet på en effektivt och rationellt bedriven folkbokföringsverksamhet. Av förarbetena framgår även att det var ett begränsat antal sökmöjligheter som var nödvändiga för verksamheten, varför dessa kunde anges uttömmande. De sökbegrepp som väl infördes motiverades bl.a. med att de var nödvändiga för handläggningen av folkbokföringsärenden, eller för att kunna göra olika kontroller av uppgifterna i syfte att kunna garantera en god datakvalitet i de då nya registren. 241 De begränsningar som fanns avseende vilka uppgifter som skulle få användas gjordes av integritetsskäl, dvs. i fråga om uppgifter om bl.a. födelseort, medborgarskap, inflyttning från utlandet eller relationsbegrepp som urskiljer adoptivförhållanden från biologiska relationer. Införandet av den nu gällande folkbokföringsdatabaslagen innebar att de tidigare registren folkbokföringsregistret (reglerad i lagen
240 Regeringen föreslog dock att uppgifter om medborgarskap skulle få användas som sökbegrepp, vilket alltså inte blev fallet, se prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35–36. 241 Prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 34–35.
729Känsliga personuppgifter, ...
om folkbokföringsregister) och aviseringsregistret (reglerad i lagen [1995:743] om aviseringsregister) slogs samman till en databas. I förarbetena till 2 kap. 10 § FdbL anförde regeringen att förutom de begränsningar vid sökning som allmänt skulle gälla för behandling av uppgifter i elektroniska handlingar borde av integritetsskäl de då gällande begränsningarna i sökmöjligheter enligt lagen om folkbokför- 242 ingsregister i huvudsak tillämpas även i framtiden. Regeringen anförde dock bl.a. att det inte fanns några integritetsskäl för att uppgift om födelsehemort, dvs. den ort i Sverige där modern var folkbokförd när personen föddes, inte skulle få användas som sökbegrepp varför detta tilläts. Uppgift om födelseort, vilket angavs för personer födda utomlands, skulle dock fortsatt omfattas av särskilda sökbegränsningar. Vidare möjliggjordes sökning på uppgifter om medborgarskap i de nordiska länderna eller om någon är medborgare i ett land inom EU eller inte, bl.a. då de ansågs behövas för framställning av röstlängder och för avisering till vissa myndigheter. 243 Sammantaget blev det genom bestämmelsen förbjudet för Skatteverket att som sökbegrepp vid sökning i databasen använda uppgifter om födelseort, vissa relationssamband grundat på adoption, inflyttning från utlandet och uppgifter om medborgarskap med undantag från medborgarskap i Sverige, Danmark, Norge, Finland eller Island samt om medborgarskap inom eller utom Europeiska unionen. År 2014 blev det även förbjudet att använda uppgifter om uppehållsrätt för en person som är folkbokförd som sökbegrepp. 244 Ändringen gjordes i samband med att uppehållsrätt infördes som ett uttryckligt villkor för folkbokföring, vid sidan av uppehållstillstånd. I samband därmed tilläts Skatteverket att registrera en uppgift om uppehållsrätt i folkbokföringsdatabasen när uppgiften ligger till grund för ett beslut om folkbokföring. Regeringen anförde att det i lagen redan fanns bestämmelser som av integritetsskäl begränsar möjligheterna att använda uppgifter med anknytning till utlänningar och
242 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146. Utredningen som låg till grund för lagstiftningen anförde att uppgifter om födelseort, familjesamband som grundas på adoption, inflyttning från utlandet och gravsättning på olika sätt är känsliga, och att det inte heller fanns något direkt behov av att använda uppgifterna som sökbegrepp, se SOU 1999:105, Skatt – Tull – Exekution – Normer för behandling av personuppgifter, s. 318. 243 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 146. 244 Ändringen infördes genom SFS 2013:382, se prop. 2012/13:120, bet. 2012/13:SkU25, rskr. 2012/13:254.
730Känsliga personuppgifter, ...
invandrare som sökbegrepp. En sådan begränsning borde enligt regeringen mot denna bakgrund även gälla för uppgift om uppehållsrätt. 245
Skatteverkets behov
Skatteverket får i dag registrera uppgifter om födelseort, medborgarskap, inflyttning från utlandet och uppehållsrätt för en person som är folkbokförd i folkbokföringsdatabasen. Vidare får uppgifter om make, barn, föräldrar, vårdnadshavare och annan person som den registrerade har samband med inom folkbokföringen som är grundat på adoption registreras. 246 När det gäller uppgifter om inflyttning från utlandet registreras uppgift om datum och från vilket land personen i anmälan har uppgett att han eller hon har flyttat från. Då en person kan flytta till och från Sverige vid flera tillfällen kan en person ha flera ärenden om flytt till Sverige i vilka olika inflyttningsländer kan ha registrerats. I fråga om uppgifter om uppehållsrätt för en person som är folkbokförd registreras det förhållandet att en person har uppehållsrätt, men inte på vilken grund. Omständigheterna som ligger till grund för personens uppehållsrätt finns dock i ärendet genom bl.a. beslutet om folkbokföring. Skatteverket har fört fram att det inte finns något utökat behov av att kunna använda uppgifter om vissa relationssamband grundade på adoption som sökbegrepp inom folkbokföringsverksamheten. Däremot har myndigheten till utredningen anfört att det finns behov av att kunna använda övriga uppgifter som i dag räknas upp i 2 kap. 10 § FdbL som sökbegrepp. En grundförutsättning för att Skatteverket ska kunna utnyttja de utökade möjligheterna att behandla personuppgifter vid dataanalyser och urval för att förebygga, förhindra och upptäcka felaktiga uppgifter i folkbokföringen är enligt myndigheten att verksamheten kan använda nu aktuella uppgifter som sökbegrepp. Dessa uppgifter har associerats med risker för felaktiga uppgifter i folkbokföringen. Om det inte är möjligt att använda de riskindikatorer som krävs blir urvalet enligt myndigheten inte användbart. Inom verksamhetsområdet ”Flytta till Sverige” avslutades exempelvis drygt 109 000 ärenden under 2022. 247 Om Skatteverket inte ges möj-
245 Prop. 2012/13:120, Folkbokföringen i framtiden, s. 40–41 och 48–49. 246 Se 2 kap. 3 § första stycket 5, 8, 11, 12 och 17 FdbL. 247 Skatteverkets årsredovisning 2022, s. 64.
731Känsliga personuppgifter, ...
lighet att söka på sådana uppgifter kommer det enligt myndigheten att bli svårt att få fram något urval inom detta verksamhetsområde över huvud taget. Som redogörs för i det följande har Skatteverket till utredningen även fört fram ett flertal andra exempel på varför myndigheten anser att den har behov av att göra sökningar grundade på de aktuella uppgifterna kopplade till en persons nationalitet eller härkomst. I ärenden där bosättning utreds behöver Skatteverket enligt myndigheten kunna använda inflyttning från utlandet som sökbegrepp. Skatteverket ser även ett behov av att använda uppehållsrätt som sökbegrepp för att t.ex. göra urval av inkommande ärenden och kvalitetsuppföljning med anledning av ärendenas komplicerade natur. Möjligheten att söka fram urval av personer som är medborgare inom EES och som har uppehållsrätt som arbetstagare i Sverige skulle vidare enligt Skatteverket ge myndigheten bättre möjligheter att förebygga och förhindra felaktig folkbokföring för dessa personer. Skatteverket lägger stora resurser på uppföljning av ärenden om personer som hör till denna grupp men kan i dag inte basera ett urval på uppgift om uppehållsrätt. Det är även relevant att använda detta som sökbegrepp vid urval för förebyggande arbete. Det förekommer vidare falska pass från vissa EU-länder i ärenden om att flytta till Sverige. Att kunna göra urval grundade på uppgifter om bl.a. medborgarskap tillsammans med andra typer av urvalsparametrar skulle enligt Skatteverket innebära bättre förutsättningar för myndigheten att kunna identifiera falska och oriktiga handlingar.
En ny särskild bestämmelse om sökbegrepp i den föreslagna folkbokföringsdatalagen
Vårt förslag till nytt sökförbud i avsnitt 10.9.1 innebär att det blir förbjudet för Skatteverket att inom folkbokföringsverksamheten göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Därigenom kommer personuppgifter som avslöjar ras eller etniskt ursprung att omfattas av sökförbudet. Vissa av de kategorier av uppgifter som den nuvarande bestämmelsen om sökbegrepp i 2 kap. 10 § FdbL omfattar kan tänkas innebära behandling som avslöjar känsliga personuppgifter, om de t.ex. kombineras med andra uppgifter eller beroende på i vilket sammanhang de
732Känsliga personuppgifter, ...
förekommer. Det rör sig om uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som i vissa fall tänkas avslöja en persons ras 248 eller etniska ursprung. Uppgifter om relationsbegrepp som urskiljer adoptivförhållanden från biologiska relationer är till skillnad från detta inte en kategori av uppgifter som enligt vår mening kan avslöja sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Regeringen har dock tidigare bedömt att olika typer av uppgifter som avslöjar en persons nationalitet normalt inte utgör känsliga personuppgifter. I propositionen till lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten har regeringen uppgett att en isolerad uppgift om medborgarskap varken avslöjar ras eller etniskt ursprung. 249 I en annan proposition har regeringen i linje med detta bedömt att uppgifter om att en viss person är t.ex. spansk medborgare, född i Spanien eller inrest från Spanien inte omfattas av ett sökförbud i polisens verksamhet som avsåg uppgifter om bl.a. en persons ras eller etniska ursprung. Regeringen anförde dock att skulle en sådan uppgift i det enskilda fallet t.ex. avslöja etniskt ur- 250 sprung faller den in under ett sådant förbud. I den mån uppgifter om nationell anknytning i ett enskilt fall utgör känsliga personuppgifter, kommer det sökförbud vi föreslår i avsnitt 10.9.1 att vara tillämpligt. Normalt är dock inte isolerade uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap sådana uppgifter som avslöjar känsliga personuppgifter. Frågan är om det i dag finns skäl att införa en bestämmelse i den nya folkbokföringsdatalagen som motsvarar den nuvarande 2 kap. 10 § FdbL. När det gäller uppgifter om personer som har samband till registrerade som är adopterade har de nuvarande sökbegränsningarna som ovan framgått införts av integritetsskäl. Även om uppgifterna inte utgör känsliga personuppgifter i dataskyddsförordningens mening anser
248 Enligt riksdagen och regeringen är det inte önskvärt att använda ordet ras om människor i författningar. Eftersom det inte finns någon vetenskaplig grund för att dela in människor i olika raser, finns det ur biologisk synpunkt inte någon grund för att använda ordet ras om människor, se prop. 2017/18:59, Ett utvidgat straffrättsligt skydd för transpersoner, s. 32–33. 249 Prop. 2001/02:144, Lag om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, s. 41. 250 Prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 325. Jfr även SOU 2015:39, Myndighetsdatalag, s. 328–329.
733Känsliga personuppgifter, ...
vi att det fortsatt finns vissa särskilda integritetsrisker för enskilda registrerade om t.ex. sammanställningar baserade på sådana uppgifter tillåts göras genom sökningar, beroende på hur mottagaren 251 avser att använda dem. Sådana sammanställningar kan visserligen skyddas av sekretess i vissa fall genom bestämmelserna i 21 kap. 7 § eller 22 kap. 1 § OSL. Enligt båda dessa bestämmelser gäller dock en presumtion för offentlighet. Vidare har det inte heller kommit fram att Skatteverket i dag har något utökat behov av att kunna utföra sökningar genom att använda sådana uppgifter som sökbegrepp. Mot denna bakgrund föreslår vi att det ska införas en bestämmelse i folkbokföringsdatalagen som innebär att det är förbjudet att som sökbegrepp använda uppgifter om make, barn, föräldrar, vårdnadshavare eller annan vuxen person än förälder eller vårdnadshavare hos vilken ett barn under 18 år är bosatt som den registrerade har samband med inom folkbokföringen om sambandet är grundat på adoption. Det motsvarar den typ av absoluta sökbegränsning som i dag finns i 2 kap. 10 § FdbL avseende sådana uppgifter. Bestämmelsen är enligt vår mening möjlig att införa genom artikel 6.2 och 6.3 i dataskyddsförordningen. I fråga om uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som i dag omfattas av det särskilda sökförbudet anser vi till skillnad från vad som nu sagts att det inte bör införas en motsvarande bestämmelse i den nya lagen. Uppgifterna utgör i normalfallet inte sådana känsliga personuppgifter som avses i dataskyddsförordningen. Det har vidare kommit fram att möjligheten att söka på uppgifterna är av stor betydelse för att Skatteverket ska kunna utföra sitt uppdrag inom folkbokföringsverksamheten på ett så effektivt, korrekt och rättssäkert sätt som möjligt, dvs. att se till att uppgifterna i folkbokföringen speglar befolkningens bosättning, identitet och familjerättsliga förhållanden så att olika samhällsfunktioner får ett korrekt underlag för beslut och åtgärder. 252 De utökade möjligheter att göra data-
251 Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35. 252 Se 2 § andra stycket förordningen (2017:154) med instruktion för Skatteverket. Det kan här nämnas att det i Skatteverkets regleringsbrev för bl.a. 2023 anges att uppgifterna i folkbokföringen ska hålla en hög kvalitet och folkbokföringsfelet ska vara så litet som möjligt. Skatteverket ska vidare bedöma folkbokföringsfelets storlek och redovisa vilka åtgärder som har vidtagits för att öka kvaliteten i folkbokföringen. Skatteverket ska särskilt beskriva hur fel förebyggs och vilka åtgärder som vidtagits för att stärka möjligheterna att utifrån riskbedömningar prioritera arbetet med att minska felen, se Regeringsbeslut 2022-12-22, Regleringsbrev för budgetåret 2023 avseende Skatteverket, Fi2022/03445 (delvis), s. 2.
734Känsliga personuppgifter, ...
analyser och urval som Skatteverket har fått och föreslås få genom våra förslag riskerar även att få mindre genomslagskraft om sökbegränsningarna i 2 kap. 10 § FdbL oförändrade förs över till den nya lagen. Eftersom de uppgifter som finns registrerade i folkbokföringen är av stor betydelse för bl.a. andra myndigheters verksamhet, t.ex. vid bedömningen av om en enskild har rätt till bosättningsbaserade förmåner från välfärdssystemet, anser vi att Skatteverkets verksamhetsbehov väger tungt vid bedömningen av om aktuella sökbegränsningar bör ha någon motsvarighet i den nya lagen. Det finns enligt vår mening starka skäl för att Skatteverket ska tillåtas använda uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap som sökbegrepp inom folkbokföringsverksamheten. Även om uppgifterna i normalfallet inte utgör känsliga personuppgifter i dataskyddsförordningens mening kan de anses vara särskilt integritetskänsliga i vissa situationer. Exempelvis har det, förutom i folkbokföringsverksamheten, införts en särskild sökbegränsning avseende uppgifter om nationell anknytning i 14 § första stycket domstolsdatalagen. Inom folkbokföringsverksamheten behandlar Skatteverket vidare en stor mängd uppgifter som avslöjar nationell anknytning. Möjligheten att ta fram och därigenom kunna lämna ut sammanställningar av personer på grundval av uppgifter om i vilket land de är medborgare, födelseort eller varifrån de flyttat kan t.ex. utnyttjas för att kartlägga och förfölja vissa grupper av personer av utländsk härkomst. 253 Möjligheterna för allmänheten att ta del av sådana sammanställningar begränsas dock i vissa fall av sekretess. Enligt 21 kap. 5 § OSL gäller sekretess för uppgift som rör en utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller lider annat allvarligt men som föranleds av förhållandet mellan utlänningen och en utländsk stat eller myndighet eller organisation av utlänningar. Sekretessen är inte begränsad till någon viss verksamhet och ska alltså tillämpas även av Skatteverkets folkbokföringsverksamhet då det är aktuellt. Vidare gäller sekretess enligt 22 kap. 1 § OSL för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföringen. Utöver detta finns
253 Jfr prop. 1990/91:53, om lag om folkbokföringsregister, m.m., s. 35.
735Känsliga personuppgifter, ...
vissa möjligheter att sekretessbelägga personuppgifter enligt 21 kap. 7 § första stycket 1 OSL, om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med EU:s dataskyddsförordning, t.ex. vid en begäran om massuttag av uppgifter. Samtliga dessa sekretessbestämmelser innefattar raka skaderekvisit, vilket innebär att det föreligger en presumtion för att uppgifterna är offentliga. Om sökbegränsningen i 2 kap. 10 § FdbL avseende uppgifter om födelseort, inflyttning från utlandet, uppehållsrätt för en person som är folkbokförd eller medborgarskap inte skulle ges någon motsvarighet i den nya lagen finns det risk för att integritetskänsliga sammanställningar blir offentliga. 254 Som tidigare konstaterats kommer vidare det föreslagna sökförbudet inte heller att omfatta sådana sökningar i de flesta fall. Trots detta anser vi att Skatteverkets behov av att kunna använda uppgifterna vid sökningar inom folkbokföringsverksamheten innebär att det särskilda sökförbudet avseende dessa inte bör ha någon motsvarighet i den nya lagen. Det krävs inte heller enligt den generella dataskyddsregleringen. Däremot anser vi att sammanställningar baserade på sådana uppgifter fortsatt bör ha ett starkt skydd inom folkbokföringsverksamheten. Vi föreslår därför att det i stället för ett absolut sökförbud, ska införas en särskild sekretessbestämmelse till skydd för uppgifterna i Skatteverkets folkbokföringsverksamhet, se avsnitt 15.2. På detta sätt säkerställs att Skatteverket kan bedriva en effektiv och rättssäker verksamhet så att myndigheten kan fullgöra sitt uppdrag på ett adekvat sätt, samtidigt som enskildas personliga integritet värnas på det sätt vi anser behövs. I praktiken är förslaget avsett att ge samma effekt som det absoluta sökförbudet innebär i dag, dvs. att hindra offentliggörande av särskilt integritetskänsliga sammanställningar. Vi bedömer dock att det bidrar till en mer ändamålsenlig reglering att i ett fall som detta låta uppgifterna omfattas av sekretess för att skydda enskildas personliga integritet, vilket inte hindrar Skatteverket i utförandet av sitt uppdrag. Mot bakgrund av att det nuvarande sökförbudet i 2 kap. 10 § FdbL även gäller vid sökning i den befintliga analys- och urvalsdatabasen 255 , finns särskilda överväganden avseende sådana sökningar vid dataanalyser och urval i avsnitt 14.11.6.
254 Jfr 2 kap. 7 § TF. 255 2 a kap 4 § FdbL.
736Känsliga personuppgifter, ...
10.9.4 Den särskilda bestämmelsen om sökbegrepp i fråga
om uppgifter om utslag vid Kronofogdemyndigheten
bör inte längre finnas kvar
Vår bedömning: Nuvarande bestämmelse i kronofogdedatabaslagen om sökbegrepp som föreskriver att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräckningsdatabasen i fråga om uppgifter om utslag i målet bör inte ha någon motsvarighet i den föreslagna kronofogdedatalagen.
Skälen för vår bedömning
I 2 kap. 29 § andra stycket KFMdbL finns en särskild bestämmelse om sökbegrepp. Bestämmelsen föreskriver att efter utgången av det tredje året efter det att ett mål avslutats får endast utslagets nummer användas som sökbegrepp i betalningsföreläggande- och handräckningsdatabasen i fråga om uppgifter om utslag i målet. Bakgrunden till bestämmelsen är att vid införandet förlängdes den gallringsfrist som skulle gälla för uppgifter om utslag i mål om betalningsföreläggande från tre år till tio år (se 2 kap. 12 § KFMdbL). Skälet för den förlängda gallringsfristen var att myndigheten ansågs ha behov av att få tillgång till utslagen så länge de kan ligga till grund för verkställighet, vilket kunde vara under längre tid än tre år. Av hänsyn till skyddet för den enskildes personliga integritet infördes samtidigt regler som begränsar möjligheten att söka fram utslagen efter tre år. 256 Frågan är om det finns skäl att i den föreslagna kronofogdedatalagen särskilt skydda uppgifter om utslag i mål genom att begränsa möjligheterna att söka efter dem. Kronofogdemyndigheten har uppgett att den nuvarande sökbegränsningen avseende utslag är utformad på så sätt att motsvarande uppgifter kan sökas fram på annat sätt. Den nuvarande regleringen har därför i praktiken inte haft avsedd effekt. Vi föreslår i avsnitt 12.4.3 att det ska införas regler om längsta tid för behandling i stället för gallring. En följd av principen om lagringsminimering är att uppgifter som inte längre behövs i verksamheten inte ska behandlas där. Uppgifter som inte längre är aktuella som grund för verkställighet
256 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 165–166.
737Känsliga personuppgifter, ...
bör därför efter en viss tid i många fall enbart kunna behandlas för arkivändamål. När uppgifterna enbart behandlas för arkivändamål saknas som utgångspunkt möjlighet för en enskild handläggare att söka efter dem. Utöver detta är uppgifter om utslag inte sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Uppgifterna är vidare som regel offentliga då de inte omfattas av någon särskild sekretessbestämmelse. De uppgifter som den nuvarande sökbegränsningen har avsett att skydda har alltså inte bedömts vara särskilt skyddsvärda inom sekretesslagstiftningen eller i den allmänna dataskyddsregleringen. Vår bedömning är sammantaget att det saknas skäl att fortsatt begränsa Kronofogdemyndighetens möjligheter att söka efter utslag i mål till enbart utslagets nummer efter att en viss tid har förflutit. Vi bedömer därför att det inte bör finnas någon bestämmelse motsvarande den nuvarande 2 kap. 29 § andra stycket KFMdbL i den föreslagna kronofogdedatalagen.
10.9.5 De förändrade sökbegränsningarna innebär
att behandlingen fortsatt är proportionerlig
Som redan konstaterats är de nu gällande bestämmelserna om sökbegränsningar i Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter mer långtgående än de föreslagna sökbegränsningarna som utgår från syftet med en sökning. Våra förslag kan därför i vissa fall leda till utvidgade möjligheter för myndigheterna att behandla känsliga personuppgifter och uppgifter om lagöverträdelser. Sökbegränsningarna kommer exempelvis inte att avse ett förbud mot att i varje situation använda vissa sökbegrepp vid sökning efter handlingar. Formuleringen innebär även att det inte kommer att finnas några hinder mot sökningar som görs för andra ändamål än att iden- 257 tifiera ett urval av personer. Det kommer också att vara tillåtet att göra sökningar som avser en enda person, eftersom sökresultatet då inte kommer att utvisa något urval av personer. 258 De sökningar som kommer att vara tillåtna för Skatteverket, Tullverket och Kronofogdemyndigheten att utföra genom en huvudregel som utgår från syftet med en sökning bedöms dock inte medföra några väsentligen större integritetsrisker i förhållande till de risker
257 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 56. 258 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69.
738Känsliga personuppgifter, ...
som även de nuvarande sökbegränsningarna avser att förhindra. De föreslagna sökbegränsningarna är, liksom andra typer av sökbegränsningar, nämligen avsedda att förhindra sammanställningar av integritetskänsliga sökresultat, vilka skulle möjliggöra kartläggning av personer på grundval av t.ex. etnicitet eller politiska åsikter. 259 De föreslagna verksamhetsspecifika undantagen från sökbegränsningarna kan dock komma att innebära vissa integritetsrisker genom att Skatteverket, Tullverket och Kronofogdemyndigheten i vissa fall tillåts göra urval av personer grundat på känsliga personuppgifter. Vid en avvägning mellan å ena sidan myndigheternas behov av att på ett effektivt och rättssäkert sätt kunna fullgöra sina verksamheter, och å andra sidan de integritetsrisker som vidare sökmöjligheter kan innebära, bedömer vi dock att det är rimligt att Skatteverket, Tullverket och Kronofogdemyndigheten tillåts att i vissa fall, som är tydligt kopplade till verksamhetsbehoven, utföra sökningar för att få fram ett urval av personer grundat på vissa specifika kategorier av känsliga personuppgifter. Detsamma bör gälla sökningar på sådana uppgifter i enskilda handlingar och ärenden. Bestämmelsernas utformning bedöms sammantaget stå i proportion till det eftersträvade syftet, dvs. att myndigheterna ska kunna fullgöra sina författningsreglerade uppgifter på ett effektivt och rättssäkert sätt. Även övriga skyddsåtgärder som föreslås i lagarna kommer att gälla vid sökningar och det finns sekretessreglering som kan tillämpas på uppgifterna i respektive verksamhet. Vid dataanalyser och urval föreslås därtill att absolut sekretess ska gälla för enskildas personliga eller ekonomiska förhållanden (se avsnitt 15.3). Det kommer därmed att finnas bestämmelser om lämpliga och särskilda åtgärder i den nationella rätten (artikel 9.2 g i dataskyddsförordningen). I fråga om uppgifter om lagöverträdelser bedöms sådan behandling vara proportionerlig utan särskilda begränsningar (jfr avsnitt 10.8). Utöver detta krävs som vid all behandling, att det finns en tillämplig rättslig grund och att de grundläggande principerna för behandling av personuppgifter följs. Genom bestämmelsernas verksamhetsspecifika undantag, som är mer tillåtande än dataskyddslagens bestämmelser, kan även regeringsformens skydd mot betydande intrång i den personliga integriteten aktualiseras i de fall en sådan åtgärd som tillåts innebär kartläggning av den enskildes förhållanden (2 kap. 6 § andra stycket RF). 260 Be-
259 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 89. 260 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 90.
739Känsliga personuppgifter, ...
gränsningar av skyddet mot betydande intrång i den personliga integriteten får endast göras genom lag för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig heller gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett dem och inte heller sträcka sig så långt att de utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 20 och 21 §§ RF). De föreslagna undantagen från sökbegränsningarna kommer att finnas i lag och är, som framgår ovan, enligt vår bedömning utformade för legitima syften och på ett sätt som är proportionerligt. Vi bedömer sammantaget att de nya bestämmelserna om sökbegränsningar är utformade på ett sätt som innebär att myndigheternas behandling av personuppgifter är proportionerlig. Bestämmelserna bedöms vidare vara förenliga med både dataskyddsförordningens och regeringsformens bestämmelser.
10.10 Behandling av personnummer och
samordningsnummer behöver inte regleras särskilt
Vår bedömning: Det behöver inte finnas särskilda bestämmelser om behandling av personnummer och samordningsnummer i de nya lagarna.
Skälen för vår bedömning
I dag regleras myndigheternas möjligheter att behandla person- och samordningsnummer inom databaserna i registerlagarna. Det innebär att behandling av sådana uppgifter som är gemensamt tillgängliga regleras i de sektorspecifika lagarna medan övrig behandling som sker utan samtycke regleras av dataskyddslagens bestämmelser. 261 Det är av vikt att Skatteverket, Tullverket och Kronofogdemyndigheten fortsättningsvis får behandla person- och samordningsnummer inom ramen för de nya föreslagna lagarnas tillämpningsområden eftersom det bl.a. utgör ett medel för säker identifiering. Den absoluta huvuddelen av den behandling av sådana uppgifter som utförs sker utan samtycke från de registrerade. Vi bedömer att den generella
261 1 kap. 6 § dataskyddslagen.
740Känsliga personuppgifter, ...
regleringen av behandling av personnummer och samordningsnummer i 3 kap. 10 § dataskyddslagen är tillräcklig ur integritetssynpunkt. Det behöver därför inte finnas några särskilda villkor eller skyddsåtgärder för sådan behandling i de nya lagarna. Mot bakgrund av myndigheternas behov bedömer vi att det inte heller bör införas några inskränkningar i rätten att behandla sådana uppgifter i förhållande till dataskyddslagens bestämmelse.
74111 Elektroniskt utlämnande
av personuppgifter
11.1 Inledning
I våra direktiv anges att ett vanligt sätt att skilja på olika former av elektroniskt utlämnande är att skilja mellan utlämnande på medium för automatiserad behandling, t.ex. genom e-post, och utlämnande genom s.k. direktåtkomst. Vidare anges att digitaliseringen medför att det ställs ökade krav på att myndigheter ska ha möjlighet att lämna uppgifter elektroniskt till framför allt enskilda, och att det kan finnas ett behov av en mer flexibel reglering av möjligheten till elektroniskt utlämnande på annat sätt än genom direktåtkomst. En fråga som enligt direktiven behöver utredas är om nuvarande regler om direktåtkomst är ändamålsenliga. Enligt direktiven bör elektroniskt utlämnande på annat sätt än genom direktåtkomst i vissa fall, genom tillämpning av adekvat teknik, kunna tillgodose samma behov som direktåtkomst. I direktiven anges även att frågan behandlas i eSamverkansprogrammets (eSam) publikation Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form (maj 2016). Ytterligare en fråga som enligt våra direktiv bör utredas är om dagens regler om elektroniskt utlämnande till utländska myndigheter, som gäller vid elektroniskt informationsutbyte inom ramen för det internationella samarbetet, är utformade på ett ändamålsenligt sätt. Det är enligt direktiven viktigt att regleringen inte skapar omotiverade hinder för detta samarbete. Vårt uppdrag består i att ta ställning till om nuvarande regler om elektroniskt utlämnande är utformade på ett ändamålsenligt sätt. I kapitlet går vi igenom olika aspekter av elektroniskt utlämnande och särskilt frågor om direktåtkomst. Vi redogör för befintliga be-
742Elektroniskt utlämnande av personuppgifter
stämmelser i registerförfattningarna samt regeringens överväganden i samband med att regleringen tillkom. Informationshanteringsutredningen hade som huvuduppdrag att se över registerlagstiftningen och vissa därmed sammanhängande frågor. I delbetänkandet Överskottsinformation vid direktåtkomst (SOU 2012:90) redovisades utredningens bedömningar bl.a. i frågan om det finns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande. I slutbetänkandet Myndighetsdatalag (SOU 2015:39) redovisades ytterligare överväganden kring direktåtkomst som är relevanta för vårt uppdrag. Vi redogör därför särskilt för Informationshanteringsutredningens ställningstaganden i frågan om vilka särskilda effekter och risker som direktåtkomst medför, och som motiverat den utredningens bedömning att direktåtkomst inte bör likställas med övrigt elektroniskt utlämnande. I kapitlet redogör vi även för det i sammanhanget centrala s.k. LEFI Online-avgörandet från Högsta förvaltningsdomstolen (HFD 2015 ref. 61), samt vägledningen från eSam, och en senare publikation från samma organisation. Vi redogör även för relevanta bestäm- 1 melser i EU:s dataskyddsförordning , den svenska generella dataskyddsregleringen, samt Europeiska dataskyddstyrelsens vägledning om inbyggt dataskydd och dataskydd som standard. Vi redovisar även myndigheternas uppfattningar om nuvarande reglering. Slutligen lämnar vi förslag på ny reglering och redogör för de bedömningar som ligger till grund för våra förslag.
11.2 Olika former av elektroniskt utlämnande
11.2.1 Allmänt om elektroniskt utlämnande
Informationsutbyte i elektronisk form är i dag en integrerad del i myndigheternas verksamhet. Skatteverket, Tullverket och Kronofogdemyndigheten har ett dagligt elektroniskt utbyte av information med andra myndigheter och enskilda. Det finns även ett omfattande digitalt informationsutbyte mellan myndigheterna i EU:s medlems-
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
743Elektroniskt utlämnande av personuppgifter
stater. Elektroniskt uppgiftslämnande kan ske på flera olika sätt, exempelvis genom e-post eller direkt överföring mellan olika it-system. Utlämnande av personuppgifter utgör behandling av personuppgif- 2 ter enligt EU:s dataskyddsförordning. För att behandling i form av utlämnande ska vara tillåten krävs följaktligen att de grundläggande förutsättningarna för behandling är uppfyllda. Det innebär bl.a. att det måste finnas en rättslig grund enligt artikel 6.1 för utlämnandet, exempelvis en tvingande bestämmelse om uppgiftsskyldighet eller underrättelseskyldighet som bryter eventuell sekretess. I avsnitt 8.4.4 har vi föreslagit att det i de nya datalagarna ska finnas en bestämmelse om att personuppgifter som behandlas inom verksamheten också får behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Den föreslagna bestämmelsen utgör inte en rättslig grund för uppgiftslämnande i dataskyddsförordningens mening. Bestämmelsen är i stället snarast en upplysningsbestämmelse som tydliggör att uppgifter kan komma att behandlas även för behov som ligger utanför den verksamhet som omfattas av respektive lags tillämpningsområde. Den rättsliga grunden för behandling genom utlämnande utgörs i stället av de bestämmelser som tillåter eller kräver att uppgifter lämnas ut. Uppgifter som behandlas av en myndighet skyddas ofta av bestämmelser som anger att sekretess alltid eller under vissa förutsättningar råder för uppgifterna utanför det sammanhang där de behandlas. Bestämmelser om sekretess finns i offentlighets- och sekretesslagen (2009:400), OSL. Om en sekretessbestämmelse är tillämplig för en viss uppgift gäller sekretessen såväl i förhållande till enskilda som i förhållande till andra offentliga aktörer (och andra självständiga verksamhetsgrenar inom myndigheten). 3 I avsnitten 3.3.4–3.3.6 har vi redogjort för de sekretessbestämmelser som gäller i Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive verksamheter. Sammanfattningsvis råder som utgångspunkt absolut sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden i Skatteverkets beskattningsverksamhet och för uppgifter som behandlas i beskattningsdatabasen. 4 För uppgift om en enskilds personliga förhållanden i Skatteverkets
2 Av artikel 4.2 i dataskyddsförordningen framgår att med behandling avses bl.a. utlämning genom överföring, spridning eller tillhandahållande på annat sätt. 3 8 kap. 1–2 §§ OSL. 4 27 kap. 1 och 2 §§ OSL.
744Elektroniskt utlämnande av personuppgifter
folkbokföringsverksamhet finns en presumtion för offentlighet. 5 För vissa särskilt angivna uppgifter eller ärenden gäller dock absolut sekretess eller en presumtion för detsamma. 6 I Tullverkets verksamhet och för uppgifter som behandlas i tulldatabasen råder en presumtion för sekretess för uppgifter om en enskilds personliga eller ekonomiska förhållanden. 7 I Kronofogdemyndighetens verksamhet och för uppgifter som behandlas i de olika databaserna råder dock enbart i vissa fall en presumtion för sekretess för uppgift om en enskilds personliga eller ekonomiska förhållanden. I många fall råder i stället en presumtion för offentlighet. Endast i undantagsfall, dvs. när Kronofogdemyndigheten har blockerat en uppgift, råder absolut sekretess. 8 En uppgiftsskyldighet i lag eller förordning bryter sekretess i förhållande till andra myndigheter, vilket framgår av 10 kap. 28 § OSL. För att sekretessbelagda uppgifter ska kunna lämnas ut från en myndighet till en annan måste det alltså föreligga en skyldighet i lag eller förordning att lämna ut uppgifterna, om utlämnandet inte kan ske med stöd av någon generellt sekretessbrytande bestämmelse. För att sekretessbelagda uppgifter ska kunna lämnas ut till enskilda krävs att det framgår av offentlighets- och sekretesslagen att så får ske, eller att det anges i lag eller förordning som offentlighets- och sekretesslagen hänvisar till. 9 I kapitel 13 redogör vi närmare för olika aspekter av informationsutbyte mellan myndigheter samt Skatteverkets, Tullverkets och Kronofogdemyndighetens respektive skyldigheter att lämna ut uppgifter i vissa fall. Vi redogör därför inte närmare för de generella förutsättningarna för uppgiftslämnande i detta sammanhang. I det följande behandlas i stället sådan reglering som begränsar eller tillåter att en myndighet lämnar ut uppgifter elektroniskt. Enligt 2 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte ska en myndighet i sin verksamhet främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen. I dag finns det inte någon generell reglering av vilka särskilda former myndigheters elektroniska informationsutbyte ska ha, eller vilka tekniska lösningar som får användas. Däremot finns bestämmelser om formerna för myndigheters kommunikation med andra aktörer avseende beslut. Ett beslut som
5 22 kap. 1 § första stycket OSL. 6 22 kap. 1 § andra stycket OSL och 22 kap. 1 a samt 2 §§ OSL. 7 27 kap. 1–3 §§ OSL. 8 34 kap. OSL. 9 8 kap. 1 § OSL.
745Elektroniskt utlämnande av personuppgifter
ska tillhandahållas bör skickas med post, om inte något annat har begärts. Om det är lämpligt får en handling skickas med telefax eller elektronisk post eller på annat sätt tillhandahållas i elektronisk form. 10 Bestämmelser som begränsar en myndighets möjlighet att lämna ut uppgifter elektroniskt både till enskilda och andra myndigheter finns dock ofta i sektorsspecifik kompletterande dataskyddsreglering. Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas verksamhet. Principen kommer bl.a. till uttryck genom rätten att ta del av allmänna handlingar, som regleras i 2 kap. tryckfrihetsförordningen,TF. Genom offentlighetsprincipen ges enskilda rätt att ta del av allmänna handlingar hos Skatteverket, Tullverket och Kronofogdemyndigheten. Såvitt avser utlämnande av allmänna handlingar från myndigheter till enskilda finns det en generell reglering av formen för utlämnande i tryckfrihetsförordningen. Enskilda har genom 2 kap. 15 § TF rätt att ta del av allmänna handlingar hos den myndighet som förvarar dem, på ett sådant sätt att den kan läsas eller avlyssnas eller uppfattas på annat sätt. Den som önskar det har även rätt att mot en fastställd avgift få en avskrift eller kopia av en allmän handling, till den del handlingen får lämnas ut, vilket framgår av 2 kap. 16 § TF. En myndighet är dock enligt 2 kap. 16 § TF inte i större utsträckning än vad som följer av lag skyldig att lämna ut en upptagning för automatiserad behandling (dvs. digitalt) i annan form än genom utskrift. Bestämmelsen kallas utskriftsundantaget. Av förarbetena till tryckfrihetsförordningen framgår att det var framför allt register- och databashantering som avsågs med upptagning för automatiserad behandling. Ett utlämnande av sådana handlingar i form av kopia ansågs kunna riskera att uppgifter behandlades automatiserat på ett sätt som kunde medföra otillbörliga integritetsintrång. Det var mot den bakgrunden som utskriftsundantaget infördes. Med ”utskrift” avses att en teknisk upptagning överförs till skrift. Bestämmelsen innebär dock inte något förbud mot att handlingar lämnas ut i elektronisk form. 11
10 9–10 §§ förordningen (2003:234) om tiden för tillhandahållande av domar och beslut, m.m. Förordningens bestämmelser är dock enligt 1 § andra stycket subsidiära i förhållande till avvikande bestämmelser i annan författning. 11 Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 80–82, 86 och 113, och prop. 1975/76:160, om nya grundlagsbestämmelser angående allmänna handlingars offentlighet s. 82–83 och 189.
746Elektroniskt utlämnande av personuppgifter
Sedan den 1 augusti 2022 gäller en ny lag om den offentliga sektorns tillgängliggörande av data. Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, öppna datalagen, gäller när en myndighet tillgängliggör data för vidareutnyttjande och innehåller bl.a. krav på i vilka format olika slags data ska göras tillgängliga. När data lämnas mellan myndigheter är dock lagen inte tillämplig. 12 Lagen påverkar inte tillämpningen av bestämmelser i någon annan författning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt. Lagen påverkar inte heller tillämpningen av bestämmel- 13 ser i någon författning om skyddet av personuppgifter.
11.2.2 Utlämnande genom direktåtkomst
En särskild form av elektroniskt utlämnande
Som redan nämnts kan ett elektroniskt informationsutbyte ske på olika sätt. Direktåtkomst är en form av elektronisk informationsöverföring som sammanfattningsvis innebär att den utlämnande myndigheten ger mottagaren möjlighet att hämta information direkt från den utlämnande myndighetens it-system. Det skiljer sig alltså från sådant elektroniskt utlämnande som föregås av en manuell eller automatiserad kontroll eller annan prövning av om utlämnandet ska ske. Det som i dag kallas direktåtkomst benämndes tidigare terminalåtkomst. Utlämnande genom det som i dag benämns som direktåtkomst kännetecknades ursprungligen av en tillgång via terminal eller liknande till en ”dataanläggning.” 14 I de tidiga systemen för terminalåtkomst ansågs det saknas teknisk möjlighet att begränsa den enskilde medarbetarens åtkomst till enbart sådana uppgifter som han eller hon behövde för sitt arbete. 15 Att en uppgift var tillgänglig ”via terminal” ansågs därför öka risken för att någon obehörigen tog del av den, 16 vilket i sin tur försvagade sekretesskyddet. Ett vanligt sätt att beskriva direktåtkomst har tidigare varit att ett sådant utlämnande innebär att mottagaren på egen hand kan söka i den utlämnande myndighetens informationssamling, men utan att
12 1 kap. 8 § andra stycket lagen om den offentliga sektorns tillgängliggörande av data. 13 1 kap. 2 § lagen om den offentliga sektorns tillgängliggörande av data. 14 Jfr beskrivningen i prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen m.m., s. 77. 15 Prop. 1979/80:146, med förslag till skatteregisterlag, s. 21. 16 Prop. 1979/80:146, med förslag till skatteregisterlag, s. 31.
747Elektroniskt utlämnande av personuppgifter
kunna påverka innehållet. I begreppet direktåtkomst ligger också att den utlämnande myndigheten saknar kontroll över vilka faktiska uppgifter, av de som åtkomst har medgetts till, som den externa parten vid 17 ett visst tillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar därmed inte något beslut om utlämnande av uppgifter i varje enskilt fall som den mottagande myndigheten tar del av uppgifterna. I stället måste den utlämnande myndigheten göra en förhandsprövning av förutsättningarna för utlämnande i samband med att åtkomsten rent tekniskt upprättas. En sådan prövning innefattar alla uppgifter som mottagaren har möjlighet att ta del av genom direktåtkomsten. Beroende på vad direktåtkomsten avser kan prövningen behöva omfatta en stor informationsmängd, exempelvis typer eller kategorier av uppgifter avseende en fördefinierad grupp av personer. Sedan direktåtkomst började användas vid informationsutbyte mellan myndigheter har den tekniska utvecklingen ökat möjligheterna att avgränsa mottagarens möjlighet att ta del av uppgifter hos den mottagande myndigheten. I dag utmärks direktåtkomst av att den mottagande myndigheten har en digital och direkt tillgång till viss information som finns hos den utlämnande myndigheten, som ofta finns på en särskild och avgränsad yta. Med dagens teknik kan åtkomsten även begränsas hos den mottagande myndigheten till att endast avse uppgifter som behövs för de arbetsuppgifter den enskilda medarbetaren har. Lagstiftaren har ofta bedömt att direktåtkomst är en så integritetskänslig form av personuppgiftsbehandling att den i princip endast är tillåten om det finns stöd för den i lag. 18 Det har dock även förekommit oreglerat uppgiftslämnande genom direktåtkomst. 19 Bestämmelser som förbjuder direktåtkomst, eller som anger i vilka fall direktåtkomst får förekomma, finns i regel i sektorsspecifik dataskyddsreglering. Bestämmelser som tillåter direktåtkomst är ofta utformade på så sätt att en myndighet under vissa förutsättningar får ha direktåtkomst till vissa uppgifter hos en annan myndighet. Sådana bestämmelser innebär dock endast att lagstiftaren eller regeringen ger den utlämnande
17 Jfr tex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 83, prop. 2005/06:52 Elektronisk informationsöverföring hos arbetslöshetskassorna och inom Arbetsmarknadsverket, s. 8 och prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 127. 18 Jfr bl.a. redogörelsen i SOU 2010:4, Allmänna handlingar i elektronisk-form – offentlighet och integritet, s. 133–134 och 365. 19 SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 121.
748Elektroniskt utlämnande av personuppgifter
myndigheten rätt att bevilja den mottagande myndigheten direktåtkomst till de angivna uppgifterna. Om bestämmelser om direktåtkomst inte är tvingande är det därför den utlämnande myndigheten som ansvarar för att bedöma om utlämnande genom direktåtkomst kan ske på ett säkert sätt från integritetssynpunkt. 20 Dessa överväganden måste i dag göras utifrån de krav som ställs upp i EU:s dataskyddsförordning, se avsnitt 11.7.3.
Direktåtkomst och sekretess
Bestämmelser om sekretess
En bestämmelse som tillåter en myndighet att lämna ut uppgifter genom direktåtkomst är inte sekretessbrytande om den inte är tving- 21 ande för den utlämnande myndigheten. Om sekretess gäller hos den utlämnande myndigheten för de uppgifter som ska lämnas ut krävs därför att det också finns en sekretessbrytande bestämmelse som är tillämplig och som inte kräver bedömningar som behöver göras av en människa i varje enskilt fall. 22 Möjligheten att över huvud taget utnyttja direktåtkomst för informationsöverföring mellan två myndigheter kan alltså vara begränsad redan på grund av utformningen av de sekretessbrytande bestämmelserna (jfr avsnitt 13.4.4). I bestämmelser som tillåter direktåtkomst anges ofta att den mottagande myndigheten får ha direktåtkomst till vissa uppgifter hos den utlämnande myndigheten, men enbart avseende personer som är aktuella i ett ärende hos den mottagande myndigheten. Den mottagande myndigheten får då endast söka efter uppgifter efter att en person har blivit aktuell i ett ärende hos den mottagande myndigheten. Rent tekniskt kan den mottagande myndigheten emellertid behöva ha möjlighet att ta del av uppgifter om alla personer som förekommer med relevanta uppgifter hos den utlämnande myndigheten. Det beror på att den mottagande myndigheten inte i förväg kan veta vilka personer som kan komma att bli aktuella i ärenden och ett närmare urval kan vara tekniskt omöjligt. Uppgifter som en mottagande myndighet har direktåtkomst till är därför i normalfallet att anse som ut-
20 Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt s. 105. 21 Se t.ex. prop. 2004/05:164, Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling, s. 83 och prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 151. 22 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 73.
749Elektroniskt utlämnande av personuppgifter
lämnade dit i och med att direktåtkomsten upprättats och är aktiv (se avsnitt om överskottsinformation nedan). Det spelar i det sammanhanget ingen roll om den mottagande myndigheten faktiskt tar del av 23 en viss uppgift eller inte. Eventuella sekretessbrytande bestämmelser måste därför omfatta även sådan information som den utlämnande myndigheten rent tekniskt gör tillgänglig för den mottagande myndigheten i samband med att direktåtkomsten upprättas. De sekretessbrytande bestämmelserna som krävs för att direktåtkomst ska vara möjlig måste alltså ha ett relativt stort tillämpningsområde och avse alla uppgifter som den mottagande myndigheten kan antas komma att ha ett behov av. 24 När en sekretessreglerad uppgift lämnas från en myndighet till en annan är huvudregeln att sekretessen inte följer med uppgiften. Det finns dock bestämmelser om överföring av sekretess inom vissa områden, bl.a. vid direktåtkomst. Om en myndighet har elektronisk tillgång hos en annan myndighet till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir enligt 11 kap. 4 första stycket OSL sekretessbestämmelsen tillämplig även hos mottagaren. Bestämmelsen ska dock inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten, vilket framgår av 11 kap. 4 § andra stycket OSL. Det innebär att vid direktåtkomst ska sekretesskyddet hos den utlämnande myndigheten gälla även hos den mottagande myndigheten, så länge uppgiften som utlämnats genom direktåtkomst inte ingår i ett beslut hos den mottagande myndigheten. Det gäller dock enligt 11 kap. 8 § OSL enbart om det inte hos den mottagande myndigheten finns en sekretessbestämmelse till skydd för samma intresse som redan är tillämplig på uppgifterna hos den mottagande myndigheten. Om det finns en sekretessbestämmelse som är primärt tillämplig hos den mottagande myndigheten är det därmed den bestämmelsen som ska tillämpas i stället för den överförda sekretessen. Det gäller oavsett om den primära sekretessen är starkare eller svagare än den sekundära sekretessen. 25
23 Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 73. 24 Kommittédirektiv 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 11–12. 25 Se Hollunger Wågnert, Offentlighets- och sekretesslag (2009:400) 11 kap. 4 §, Karnov (JUNO) [hämtad 2023-04-21]. Med uttrycket primär sekretess avses en sekretessbestämmelse som är direkt tillämplig hos en viss myndighet. Med uttrycket sekundär sekretess avses en sekretessbestämmelse som normalt inte ska tillämpas av en viss myndighet, men som kan komma att bli tillämplig där genom bestämmelser om överföring av den sekretessbestämmelsen från den myndighet där den är primär.
750Elektroniskt utlämnande av personuppgifter
Databassekretess hos Skatteverket, Tullverket och Kronofogdemyndigheten
I kapitel 9 har vi redogjort för den databasreglering som finns i de befintliga registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Databasregleringen utgörs sammanfattningsvis av bestämmelser som endast gäller för uppgifter som behandlas gemensamt i den aktuella verksamheten. I offentlighets- och sekretesslagen finns särskilda sekretessbestämmelser för uppgifter i myndigheternas databaser, den s.k. databassekretessen. Databassekretessen är även tillämplig hos en mottagande myndighet som har direktåtkomst till uppgifter i databasen. 26 Databassekretessen utgör en primär sekretessbestämmelse, inte bara hos den utlämnande myndigheten utan även hos andra myndigheter som har direktåtkomst till uppgifter i respektive databas. Sekretessbestämmelsens utformning gör att den är tillämplig hos de genom direktåtkomst anslutna myndigheterna så länge som uppgifterna inte har tagits ut ur databasen. Databassekretessen är därmed tillämplig när uppgifterna endast är tekniskt tillgängliga hos den mottagande myndigheten. Databassekretessen upphör dock att vara tillämplig hos den mottagande myndigheten när en uppgift ur databasen används i den mot- 27 tagande myndighetens verksamhet. Databassekretessen innebär alltså att samma sekretesskydd som gäller vid myndigheternas behandling av uppgifter också gäller hos mottagaren, fram till dess uppgifterna ingår i ett ärende där. I avsnitt 9.4.2 föreslår vi att den särskilda databasregleringen ska upphöra. I avsnitt 15.5.3 föreslår vi nya sekretessbestämmelser med innebörden att sekretess motsvarande databassekretessen även i fortsättningen ska gälla vid direktåtkomst.
26 27 kap. 1 § andra stycket 1 OSL avseende Skatteverket, 27 kap. 3 § andra stycket OSL avseende Tullverket och 34 kap. 1 § och 2 § första stycket OSL avseende Kronofogdemyndigheten. 27 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 184 och prop. 2010/11:78, Vissa frågor om Kronofogdemyndighetens elektroniska uppgiftshantering, s. 12.
751Elektroniskt utlämnande av personuppgifter
Överskottsinformation vid direktåtkomst
Handlingsoffentligheten och direktåtkomst
Redan för cirka 15 år sedan konstaterade regeringen att teknikutvecklingen hade lett till att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande blivit så liten att det ibland kunde vara svårt att dra en gräns mellan de olika formerna för elektronisk informationsöverföring. 28 Liknande bedömningar har gjorts i flera andra sammanhang sedan dess. Användarupplevelsen blir exempelvis densamma i en s.k. fråga-svar-tjänst (se avsnitt 11.4.2 om LEFI Onlineavgörandet) som vid direktåtkomst. I båda fallen lämnas uppgifter ut momentant, utan någon mänsklig inblandning. 29 Vid direktåtkomst uppkommer dock vissa rättsliga konsekvenser som innebär att det finns rättsliga skillnader mellan direktåtkomst och andra former för elektroniskt utlämnande. I 2 kap. TF finns bestämmelser om den s.k. handlingsoffentligheten. Handlingsoffentligheten, som innebär att var och en ha rätt att ta del av allmänna handlingar, slås fast i 2 kap. 1 § TF. Rätten att ta del av allmänna handlingar begränsas dock av offentlighets- och sekretesslagens bestämmelser. Med handling avses enligt 2 kap. 3 § TF bl.a. en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Det innebär att även digitalt hanterade uppgifter omfattas av handlingsoffentligheten. Det krävs dock att uppgiften är fixerad på något sätt. 30 En handling är vidare allmän bara om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet, 2 kap. 4 § TF. En upptagning anses enligt 2 kap. 6 § TF första 31 stycket förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniska hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas
28 Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 58. 29 Jfr SOU 2021:46, Snabbare lagföring – ett snabbförfarande i brottmål, s. 416 och Skatteverkets remissvar 2020-04-20, Promemorian, De brottsbekämpande myndigheternas direktåtkomst till beskattningsdatabasen, Ju2020/00320/L4, s. 4. 30 Prop. 1973/33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 75. 31 Regleringen fanns tidigare i 2 kap. 3 § TF. Ändringarna, som infördes den 1 januari 2019, är endast språkliga och redaktionella, se prop. 2017/18:49, Ändrade mediegrundlagar, s. 192.
752Elektroniskt utlämnande av personuppgifter
eller uppfattas på annat sätt. 32 En handling anses enligt 2 kap. 9 § första stycket TF ha kommit in till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om en upptagning som avses i 2kap. 3 § TF gäller i stället att den anses ha kommit in till myndigheten när någon annan har gjort den tillgänglig för myndigheten på det sätt som anges i 2 kap. 6 § TF. All elektroniskt lagrad information hos en annan myndighet som en myndighet har möjlighet att överföra till läsbar, hörbar eller annan uppfattbar form, med hjälp av utrustning som mottagarmyndigheten förfogar över, utgör alltså allmän handling hos mottagarmyndigheten om inget undantag är tillämpligt. Detta gäller redan i och med att överföringsmöjligheten uppstår, exempelvis genom upprättandet av 33 en direktåtkomst till vissa uppgifter. Så kallade potentiella handlingar, dvs. sammanställningar av uppgifter ur en upptagning för automatiserad behandling, anses dock enligt 2 kap. 6 § andra stycket TF förvarade hos den mottagande myndigheten bara om sammanställningen kan göras tillgänglig där med rutinbetonade åtgärder. Om den myndighet som tar emot uppgifter via direktåtkomst måste använda sig av mer än rutinbetonade åtgärder för att få fram sammanställningen är den därmed inte allmän hos den mottagande myndigheten. Av praxis följer att en arbetsinsats på 4–6 timmar för att göra en sammanställning överstiger vad som kan ses som rutinbetonade åtgärder (HFD 2015 ref. 25). Potentiella handlingar är inte heller allmänna hos den myndighet som tar emot uppgifter via direktåtkomst om den myndigheten, enligt lag eller förordning, saknar befogenhet att göra sammanställningen tillgänglig (2 kap. 7 § TF, den s.k. begränsningsregeln). Det innebär att om det i den mottagande myndighetens verksamhet finns ett förbud mot att göra vissa sökningar, exempelvis ett förbud mot att använda känsliga personuppgifter som sökbegrepp, gäller det förbudet även för de uppgifter som direktåtkomsten omfattar (se även avsnitt 10.9 om sökbegränsningar). I 2 kap. 14 § första stycket TF anges ytterligare undantag från när en handling är att betrakta som allmän, bl.a. om den ingår i ett biblio-
32 Enligt Informationshanteringsutredningen borde direktåtkomst avgränsas på så sätt att den endast skulle anses föreligga om en myndighet hos en annan myndighet har sådan teknisk tillgång till upptagningar som avses i nuvarande 2 kap. 6 § andra stycket TF, se avsnitt 11.4.1 nedan. Högsta förvaltningsdomstolen använde i LEFI Online-avgörandet en motsvarande definition av direktåtkomst, se avsnitt 11.4.2 nedan. 33 Jfr SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 113.
753Elektroniskt utlämnande av personuppgifter
tek (den s.k. biblioteksregeln). Biblioteksregeln innebär att information på öppna webbplatser som en myndighet har åtkomst till inte är att anse som allmänna handlingar. 34
Uppgifter som inte behövs
Om de uppgifter som lämnas ut genom direktåtkomst är sekretessbelagda hos den utlämnande myndigheten krävs, som vi redan nämnt, att det finns en sekretessbrytande bestämmelse som avser samtliga uppgifter som direktåtkomsten omfattar. En direktåtkomst omfattar dock i regel enbart sådana uppgifter som den utlämnande myndigheten på förhand och i samråd med den mottagande myndigheten bedömer att den mottagande myndigheten har rätt att, och kan komma att behöva, ta del av. Som en generell utgångspunkt kan dock förutsättas att en mottagande myndighet inte kommer att faktiskt ta del av samtliga uppgifter som lämnas ut genom direktåtkomst. Det är först när det uppkommer ett sakligt behov av uppgifterna som den mottagande myndigheten får ta del av dem. Den mottagande myndigheten saknar alltså i normalfallet rättslig grund i dataskyddsförordningens mening för att behandla samtliga uppgifter som lämnas ut genom direktåtkomst (se avsnitt 3.2.5). Exempelvis måste den mottagande myndigheten normalt anses sakna rättslig grund för behandling av uppgifter om person som inte förkommer i den egna verksamheten, men som är aktuell hos den utlämnande myndigheten i ett sådant sammanhang att uppgifter om personen omfattas av direktåtkomsten. Den information som den mottagande myndigheten har teknisk tillgång till genom direktåtkomsten, men som myndigheten inte har skäl att faktiskt ta del av utgör överskottsinformation. I Informationshanteringsutredningens delbetänkande definierades överskottsinformation enligt följande. Med överskottsinformation avses externt tillgänglig […] information som en mottagande myndighet (mottagarmyndighet) vid direktåtkomst eller liknande elektronisk tillgång till en annan myndighets (värdmyndighet) elektroniska informationssamling tekniskt sett har tillgång till men som mottagarmyndigheten, av hänsyn till värnandet om enskilda registrerades personliga integritet, inte får använda i ett enskilt fall eller ta del av utan att t.ex. vissa förutsättningar är uppfyllda. Med överskottsinformation avses också information som mottagarmyndigheten visser-
34 SOU 2015:39, Myndighetsdatalag, s. 391.
754Elektroniskt utlämnande av personuppgifter
ligen får men ännu inte har använt i sin verksamhet. […] En mottagarmyndighet kan alltså ofta ha direktåtkomst till uppgifter om personer som visar sig aldrig bli aktuella i mottagarmyndighetens verksamhet. 35
I rättslig mening är dock samtliga upptagningar som direktåtkomsten omfattar inkomna till den mottagande myndigheten. Uppgifter i upptagningar som direktåtkomsten omfattar är därmed som utgångspunkt allmänna handlingar hos mottagaren, om inget undantag är tillämpligt. Det gäller oavsett om den mottagande myndigheten har tagit del av dem eller inte. Direktåtkomst får dock inte medges till uppgifter som det på förhand går att konstatera att den mottagande myndigheten inte har rätt att ta del av. Den faktiska begränsningen av direktåtkomst görs i dag med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet. Direktåtkomst utformas i dag ofta på så sätt att den information som omfattas av de eventuella sekretessbrytande bestämmelserna läggs över på en särskild digital yta i den utlämnande myndighetens system. En mottagande myndighet har då enbart tillgång till denna avgränsade yta. Överskottsinformationen utgörs därmed inte av den totala uppgiftsmängden hos den utlämnande myndigheten. I dag finns det följaktligen inte någon faktisk möjlighet för den mottagande myndigheten att vid direktåtkomst fritt söka i den utlämnande myndighetens totala uppgiftsmängd.
11.2.3 Utlämnande av uppgifter på medium för
automatiserad behandling
Många olika former av elektroniskt utlämnande
Till skillnad från direktåtkomst avser utlämnande på medium för automatiserad behandling inte någon särskild form av elektronisk informationsöverföring. Det finns inte heller någon legaldefinition av begreppet. Vad som avses har dessutom varierat beroende på vilken informationsteknik som varit tillgänglig för tillfället. Utlämnande på medium för automatiserad behandling karaktäriseras dock av att det inte utgör direktåtkomst. Ursprungligen avsågs en fysisk bärare av information som krävde någon form av automatiserad teknik för att
35 SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 12
755Elektroniskt utlämnande av personuppgifter
avläsas eller avlyssnas. Vid millennieskiftet angavs utlämnande på magnetband eller diskett som exempel, tekniker som är helt utdaterade i dag. 36 Ännu tidigare exempel är s.k. hålkort och hålremsor. 37 I takt med att tekniken för digital informationshantering har utvecklats har också begreppet utlämnande på medium för automatiserad behandling fått en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags fysiskt medium för lagring eller överföring. Med dagens teknik kan utlämnande av information ske exempelvis genom e-post eller genom direkt överföring från ett digitalt informationshanteringssystem till ett annat. Vid ett mer omfattande informationsutbyte mellan myndigheter är det oftast den senare metoden som används. Utlämnande på medium för automatiserad behandling innebär som regel att information lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan vidarebearbeta informationen. Detta innebär effektivitetsvinster för mottagaren, samtidigt som det kan innebära risker för den personliga integriteten. Så kallade batch-körningar utgör en form av utlämnande på medium för automatiserad behandling som ofta används mellan myndigheter. Stora informationsmängder, batcher, lämnas då över till den mottagande myndigheten med viss fördröjning. Ett annat sätt att beskriva förfarandet är att de uppgifter som ett reglerat uppgiftslämnande omfattar lämnas över i bulk, utan en prövning av behovet i det enskilda fallet hos den mottagande myndigheten. Den fördröjning som är inbyggd i systemet, jämfört med om utlämnandet hade skett genom direktåtkomst, anses innebära en möjlighet för utlämnaren att kontrollera vilken information som ska lämnas ut. Den faktiska sekretessprövningen sker dock i praktiken i samband med att den tekniska förbindelsen som möjliggör körningen upprättas mellan myndigheterna. 38 Någon ytterligare prövning av uppgifterna i samband med det faktiska utlämnandet sker alltså inte vid batch-körningar, även om det är teoretiskt möjligt. Ytterligare en modern variant av utlämnande på medium för automatiserad behandling är helt automatiserade fråga-svar-tjänster. En sådan tjänst karaktäriseras av att uppgiftslämnandet från en myndighet till en annan sker momentant. Liksom batch-körningar bygger en fråga-svar-tjänst på en i förväg genomförd sekretessprövning och
36 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 234. 37 Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen m.m., s. 75. 38 Jfr SOU 2015:39, Myndighetsdatalag, s. 128.
756Elektroniskt utlämnande av personuppgifter
automatiserade kontroller (se avsnitt 11.4.2 om LEFI Online-avgörandet nedan).
Vad som ska lämnas ut avgörs av den utlämnande myndigheten
Vid utlämnande på medium för automatiserad behandling, är det den utlämnande myndigheten som rättsligt förfogar över prövningen av om och i så fall vilka uppgifter som ska lämnas ut till mottagaren. Utmärkande för sådant elektroniskt utlämnande är att mottagaren frågar efter uppgiften och utlämnaren prövar om utlämnandet får och ska genomföras. Den utlämnande myndighetens prövning sker bl.a. med beaktande av eventuella regler om sekretess och rättsliga begränsningar av möjligheten att lämna ut uppgifter elektroniskt. Vid utlämnande på medium för automatiserad behandling finns det som utgångspunkt en möjlighet för den utlämnande parten att neka eller stoppa utlämnandet i det enskilda fallet. Som påpekats ovan är denna möjlighet i dag i många fall enbart teoretisk, eftersom informationsutbytet i dag är helt automatiserat och prövningarna har skett på förhand.
En annan form av överskottsinformation
Normalt tillåter sekretessbrytande bestämmelser utlämnande i vissa typsituationer. Särskilt vid uppgiftsutbyte mellan myndigheter kan dessa typsituationer vara mycket brett formulerade, se exempelvis avsnitt 13.3 om vissa befintliga bestämmelser om utlämnande från Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Ett exempel från det nyss nämnda avsnittet är att Tullverket har rätt att ta del av vissa uppgifter om skatter och avgifter som behandlas i Skatteverkets beskattningsverksamhet, avseende en person som är eller kan antas vara gäldenär enligt tullagstiftningen. Vid ett utlämnande på medium för automatisk behandling är de uppgifter som inte lämnas ut, men som typiskt sett skulle kunna lämnas ut om förutsättningarna varit uppfyllda, inte tillgängliga för den mottagande parten innan den utlämnande myndigheten reagerat på en begäran om utlämnande och faktiskt medgett densamma. I exemplet ovan innebär det att Tullverket inte har teknisk möjlighet att ta del av uppgifter om skatter och avgifter i fråga om andra personer än den som begäran i det enskilda fallet avser.
757Elektroniskt utlämnande av personuppgifter
Detta gäller alltså oavsett om prövningen och utlämnandet hos den utlämnande myndigheten är helt automatiserat och sker momentant, eller om det kräver manuell hantering eller sker med viss fördröjning. Till skillnad från direktåtkomst blir inte någon annan information än den som faktiskt lämnas över till den mottagande myndigheten allmän handling hos den mottagande myndigheten. Någon sådan överskottsinformation som vid direktåtkomst uppstår därför inte. Däremot innefattar även vissa varianter av överlämnande på medium för automatiserad behandling av information som är överflödig i förhållande till den mottagande myndighetens behov. Ett omfattande informationsutbyte myndigheter emellan kan dessutom sägas alltid kräva viss överflödig personuppgiftsbehandling, oavsett om den sker elektroniskt eller inte. Den mottagande myndigheten kan exempelvis behöva skicka en fråga till den utlämnande myndigheten med angivande av personnummer för personer som är aktuella hos den mottagande myndigheten i ett sådant sammanhang att de eventuella sekretessbrytande bestämmelserna aktualiseras. I den situationen kan det förutsättas att samtliga personnummer behöver behandlas hos den myndighet som har en skyldighet att lämna ut uppgifter, i syfte att kontrollera om de förekommer hos den myndigheten eller inte. Behandlingen av alla de personnummer som inte är aktuella hos den utlämnande myndigheten kan då sägas vara överflödig i förhållande till skyldigheten att lämna ut uppgifter som den utlämnande myndigheten förfogar över. Att de behandlas i förfrågan avslöjar samtidigt att personerna är aktuella hos den mottagande myndigheten. Till skillnad från vid direktåtkomst krävs i dessa situationer en faktisk behandling av uppgifter som inte behövs, men den överflödiga behandlingen sker vid den utlämnande myndigheten.
Några exempel
Skatteverket har exempelvis påpekat att viss överskottsinformation uppstår i Skatteverkets folkbokföringsverksamhet, i den del som avser avisering till andra myndigheter via Navet (se 16.4.11 om det statliga personadressregistret, SPAR, och Navet). I de fall Skatteverket själv inte har möjligheten att göra urvalet vid en s.k. ändringsavisering (alla poster som ändrats i en viss population) så skickar den frågeställande myndigheten, exempelvis Arbetsförmedlingen, en s.k. in-fil
758Elektroniskt utlämnande av personuppgifter
till Skatteverket. In-filen utgör en sammanställning av alla de personer som förfrågan avser, exempelvis alla som är inskrivna vid myndigheten. Skatteverket använder sig då av in-filen vid sin sökning och gör en sammanställning avseende de personer vars folkbokföringsuppgifter m.m. har ändrats och skickar resultatet till Arbetsförmedlingen. I den situationen måste Skatteverket hantera ett överskott av information i förhållande till de uppgifter som får lämnas ut, eftersom Arbetsförmedlingen skickar över uppgifter om alla personer som är inskrivna vid myndigheten. I normalfallet har dock enbart en mindre del av en given population ändrade folkbokföringsuppgifter m.m. under en viss period. Ytterligare ett exempel på när en annan slags överskottsinformation uppkommer är vid Tullverkets utlämnande till Skatteverket för att Skatteverket ska kunna utföra sitt uppdrag som beskattningsmyndighet för mervärdesskatt vid import. Det är dock Tullverket som ansvarar för att bl.a. fastställa tullvärdet som ligger till grund för beskattningsunderlaget och den informationen behövs hos Skatteverket. Det grundläggande urvalet av vilka uppgifter som ska lämnas ut baseras på uppgift om deklaranten är registrerad för mervärdesskatt i Sverige. När det gäller övriga uppgifter som lämnas från Tullverket har bedömningen skett utifrån ett antagande om vilka uppgifter som Skatteverket i normalfallet behöver för att kunna fatta ett korrekt beslut och uppfylla sitt utredningsansvar. I vilken utsträckning varje uppgift i varje enskilt fall alltid behövs av Skatteverket är dock svårt att avgöra på förhand. Behovet av uppgifter kan exempelvis variera från ärende till ärende. En generell utgångspunkt vid utformningen av utlämnandet har dock varit att en helhetsbild av införseln medför bättre möjlighet att utreda och förstå de omständigheter som är relevanta för frågan om beskattning. Det är dock inte alltid givet att all information som får lämnas ut och som också lämnas ut behövs och kommer att användas av Skatteverket. Det kan därför vara svårt att bedöma vilka uppgifter som i sammanhanget kan betraktas som överskottsinformation. Även Kronofogdemyndigheten har påpekat att det förekommer motsvarande överskottsinformation också vid andra former av elektroniskt utlämnande än direktåtkomst. Exempelvis får Kronofogdemyndigheten information från Skatteverket om bl.a. rot- och rut-ersättningar samt information från Jordbruksverket rörande utbetalningar av olika EU-stöd, inför utredning om utmätning. Informationsflödet
759Elektroniskt utlämnande av personuppgifter
är automatiserat och en viss mängd information skickas mellan myndigheterna vid regelbundna tider. Eftersom Kronofogdemyndigheten enbart behöver uppgift om de personer som är gäldenärer hos Kronofogdemyndigheten så överlämnar myndigheten varje gång uppdaterad information om samtliga gäldenärers personnummer. Detta innebär att Skatteverket respektive Jordbruksverket får uppgifter även om de personer som inte är aktuella hos dessa myndigheter, vilket utgör en slags överskottsinformation. Det tillvägagångssättet har dock ansetts vara mindre integritetspåverkande än alternativet. Alternativet är nämligen att Skatteverket respektive Jordbruksverket hade lämnat information till Kronofogdemyndigheten om samtliga personer med aktuella utbetalningar, dvs. även de som inte är gäldenärer hos Kronofogdemyndigheten. Enligt Kronofogdemyndigheten är det, trots att myndigheterna arbetar löpande med att minimera förekomsten, omöjligt att vid uppgiftsutbyte helt eliminera hantering av överflödig information, oavsett vilken form av utlämnande som väljs. Kronofogdemyndigheten har i sammanhanget påpekat att även en manuell process hade lett till samma mängd överskottsinformation, men på ett mindre effektivt sätt.
Behandling i strid med dataskyddsregleringen
Om en uppgift inte omfattas av någon specifik sekretessbestämmelse (eller om en sekretessbrytande bestämmelse är tillämplig) och den utlämnande myndigheten har rättsliga möjligheter att lämna ut uppgiften på medium för automatiserad behandling, kan ett sådant utlämnande som utgångspunkt genomföras. Det finns dock en särskild generell skyddsbestämmelse i 21 kap. 7 § OSL som kan medföra att ett utlämnande ändå inte är tillåtet. Om det kan antas att personuppgiften efter utlämnandet kommer att behandlas i strid med bl.a. EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, gäller nämligen sekretess för uppgiften. Undersökningar om behandlingen efter utlämnandet får dock endast göras om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. massuttag eller selekterade uttag. Finns det inga sådana
760Elektroniskt utlämnande av personuppgifter
indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras. 39
11.3 Befintlig reglering i registerförfattningarna
11.3.1 Bakgrund
Utlämnandeformerna har reglerats sedan tillkomsten
Sedan tillkomsten har registerförfattningarna för Skatteverket, Tullverket och Kronofogdemyndigheten omfattat bestämmelser som reglerat formerna för och tillåtligheten av elektroniskt uppgiftslämnande från myndigheterna. 40 Utlämnande på papper har dock inte reglerats särskilt. Trots att författningarna av naturliga skäl genomgått en mängd förändringar sedan de infördes, på grund av tillkommande uppdrag och ny materiell reglering, finns den ursprungliga uppdelningen mellan olika former av elektroniskt utlämnande kvar i dag. 41 I förarbetena till nu gällande reglering angav regeringen att de viktiga ramarna för behandling av personuppgifter skulle anges i lag. I vilka fall direktåtkomst skulle vara tillåten var ett av de förhållanden som enligt regeringen krävde lagreglering. 42 Regeringen konstaterade även att det normalt gjordes åtskillnad mellan direktåtkomst och övriga former för utlämnande på ADB-medium. 43 Med direktåtkomst avsågs
39 Prop. 2017/18:105, Ny dataskyddslag, s. 135–136. 40 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99 Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket. Under en övergångstid skulle Skatteverket fungera som central myndighet även inom dåvarande kronofogdemyndigheternas verksamhetsområde. De tio regionala kronofogdemyndigheterna avvecklades och en ny myndighet, Kronofogdemyndigheten, med rikstäckande verksamhet inrättades den 1 juli 2006, se prop. 2005/06:200, En kronofogdemyndighet i tiden, s. 134 och lagen (2006:671) med anledning av inrättande av Kronofogdemyndigheten. Om Kronofogdemyndighetens självständighet i förhållande till Skatteverket se prop. 2006/07:99, En fristående kronofogdemyndighet m.m. 41 Bland annat kan nämnas att fler myndigheter i dag får ha tillgång till vissa uppgifter i beskattningsdatabasen genom direktåtkomst. Sedan 2019 får exempelvis Försäkringskassan, Migrationsverket och Arbetsförmedlingen för vissa ändamål medges direktåtkomst till beskattningsdatabasen i fråga om vissa uppgifter på individnivå i arbetsgivardeklarationen. Syftet med den regleringen var bl.a. att förbättra myndigheternas kontrollmöjligheter och effektivisera deras arbete, se prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen. 42 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 84. 43 ADB är en förkortning för automatisk databehandling.
761Elektroniskt utlämnande av personuppgifter
att den som använde registret 44 på egen hand kunde söka i detta och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet. Regeringen konstaterade i och för sig att det i vissa fall kunde vara svårt att dra en gräns mellan direktåtkomst och andra former för utlämnande, och att skillnaderna mellan direktåtkomst och annat utlämnande på automatiserad väg kunde bli försumbara på grund av den tekniska utvecklingen. När det gällde frågan om att närmare definiera vad som avsågs med direktåtkomst och annat utlämnande i elektronisk form ansåg dock regeringen att det inte fanns skäl att använda begreppen på annat sätt än tidigare. Enligt regeringens mening fanns det inte heller skäl att i sammanhanget frångå den princip som då gällde. Direktåtkomst innebar alltså enligt regeringen att uppgifter lämnades ut utan att den ansvariga myndigheten i det enskilda fallet hade kontroll över vilka uppgifter som lämnades ut. Regeringen konstaterade också att ett sådant utlämnande behövde vara förenligt med sekretessregleringen, och att de uppgifter som avsågs måste få lämnas ut till mottagaren, där det skulle finnas ett godtagbart sekretesskydd. Regeringen bedömde därför att det behövdes särskilda regler för i vilken utsträckning direktåtkomst skulle få 45 finnas.
Utlämnande på medium för automatiserad behandling
Utlämnande till myndigheter
Regeringen bedömde att myndigheter borde få tillgång till uppgifter som myndigheter fick ta del av enligt bestämmelser i sekretesslagen 46 47 eller andra författningar, på medium för automatiserad behandling. Det kunde enligt regeringen innebära stora effektivitetsvinster för myndigheter att uppgifter som skulle behandlas på automatiserad väg hämtades in genom automatiserade förfaranden. En utgångspunkt borde därför vara att myndigheter skulle kunna utnyttja automatiserade förfaranden i sin ärendehantering i största möjliga omfattning, dock under förutsättning att behandlingen av personuppgifter inte medförde risk för otillbörligt intrång i enskildas personliga integritet.
44 Med register avsågs vid tidpunkten en myndighets digitala informationshantering, se 1 § datalagen (1973:289). 45 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110–111. 46 Sekretesslagen (1980:100) upphävdes i juni 2009 när OSL trädde i kraft. 47 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110.
762Elektroniskt utlämnande av personuppgifter
Regeringen konstaterade i sammanhanget att det för myndigheter vanligtvis fanns särskilda författningar som reglerade på vilket sätt personuppgifter fick behandlas. I dessa författningar reglerades även ändamålen med behandlingen. Regeringen uttalade att det inte borde finnas någon risk för att mottagande myndigheter skulle behandla personuppgifter som hämtats in på medium för automatiserad behandling på ett sätt som inte var avsett. Under förutsättning att den utlämnande myndigheten hade möjlighet att avgöra vilka uppgifter som skulle lämnas ut saknades det därför anledning att reglera när uppgifter fick lämnas ut på medium för automatiserad behandling. Enligt regeringen fanns det inte några bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som gjordes på papper och utlämnande som skedde elektroniskt. Om en myndighet fick eller skulle lämna ut uppgifter till annan myndighet, t.ex. med stöd av sekretesslagen eller andra författningar, borde det vara upp till myndigheterna att avgöra på vilket sätt det skulle göras. Någon reglering av möjligheterna för myndigheterna att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling be- 48 hövdes därför inte.
Utlämnande till enskilda
Regeringen ansåg att uppgifter endast skulle få lämnas ut på medium för automatiserad behandling till andra än myndigheter om regeringen hade medgett det. 49 Regeringen konstaterade att utlämnande av uppgifter på medium för automatiserad behandling till bl.a. företag kunde förväntas öka. I dessa fall saknades normalt särskilda bestämmelser om hur personuppgifter fick behandlas hos mottagaren. För 50 mottagaren var det därför vanligtvis personuppgiftslagens bestämmelser som var tillämpliga på behandlingen av de mottagna uppgifterna. Med hänsyn till de integritetsrisker som kunde följa med utlämnande av personuppgifter på medium för automatiserad behandling till företag och privatpersoner ansåg regeringen att sådant utlämnande endast borde vara tillåtet när det efter särskild prövning ansågs lämp-
48 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 111–112. I dag finns dock viss reglering av utlämnandet av uppgifter på medium för automatiserad behandling till andra myndigheter i Tullverkets och Kronofogdemyndighetens registerförfattningar, se avsnitt 11.3.2 nedan. 49 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110. 50 Personuppgiftslagen (1998:204) upphävdes den 25 maj 2018 då dataskyddslagen trädde i kraft.
763Elektroniskt utlämnande av personuppgifter
ligt. Uppgifter borde därför få lämnas ut till enskilda på medium för automatiserad behandling endast om det var särskilt föreskrivet. Regeringen ansåg emellertid att det inte var möjligt att i lag reglera i vilka fall uppgifter skulle få lämnas ut. Det borde i stället åligga regeringen att göra dessa bedömningar. 51
Utlämnande genom direktåtkomst
Utlämnande till myndigheter
Vid bedömningen av vilka myndigheter som skulle ges direktåtkomst till en viss databas borde enligt regeringen en gränsdragning göras mellan myndigheter inom en myndighetsorganisation och myndigheter utanför. 52 Regeringen ansåg därför att dåvarande Riksskatteverket och skattemyndigheterna borde ha fullständig tillgång till de uppgifter som skulle finnas i beskattningsdatabasen. Regeringen framhöll att en obegränsad direktåtkomst till en databas inom en myndighetsorganisation inte innebar att samtliga anställda har tillgång till uppgifterna. Tvärtom medförde personuppgiftslagens allmänna bestämmelser om grundläggande krav på och säkerhet vid behandling m.m. att olika åtgärder behövde vidtas som förhindrade missbruk. Det kunde enligt regeringen t.ex. innebära att åtkomst till olika uppgifter inom en myndighet var starkt begränsad till olika behörighetsnivåer, vilket i sin tur innebar att det i slutändan var ett högst begränsat antal personer som hade tillgång till samtliga uppgifter. Att dessa personer organisatoriskt befann sig på olika myndigheter kunde enligt regeringens mening inte anses så allvarligt från integritetssynpunkt att det borde hindra utvecklingen av effektiva datasystem. Detta ställde dock krav på att den i fråga om säkerhetsåtgärder personuppgiftsansvariga myndigheten satte upp klara och tydliga gränsdragningar i fråga om vilka personer som skulle ha tillgång till vilka uppgifter. Under sådana förutsättningar blev riskerna för oacceptabla integritetsintrång små och borde enligt regeringen inte förhindra möjlig-
51 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 112–113. 52 Övervägandena avseende direktåtkomst till uppgifter i beskattningsdatabasen refererades av regeringen i övriga avsnitt som behandlade direktåtkomst till uppgifter i andra databaser, se prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, avsnitten 12.14 och 13.3. Av utrymmesskäl refereras här därför enbart de överväganden som gjordes avseende beskattningsdatabasen och folkbokföringsdatabasen.
764Elektroniskt utlämnande av personuppgifter
heterna att bedriva en effektiv myndighetsverksamhet med utnyttjande av de fördelar som ny teknik gav. Avseende myndigheter utanför skatteförvaltningen fanns det dock enligt regeringen starka integritetsskäl för att möjligheterna till direktåtkomst var kraftigt begränsade. Hänsyn behövde enligt regeringen också tas till att det rådde absolut sekretess för uppgifter i beskattningsverksamhet samt till att de uppgifter som behandlades ofta hade lämnats av enskilda enligt tvingande bestämmelser i skattelagstiftningen. Det fanns därför starka skäl för att vara återhållsam med att tillåta direktåtkomst för andra än de personuppgiftsansvariga myndigheterna. I första hand borde enligt regeringen i stället andra metoder för en effektiv informationshantering övervägas. 53 Regeringen konstaterade att kronofogdemyndigheternas tillgång till uppgifter i skatteregistret genom direktåtkomst hade motiverats med den nära kopplingen mellan beskattningsverksamhet och indrivningsverksamhet. 54 Det fanns enligt regeringens mening inte anledning att av integritetsskäl inskränka den möjlighet som kronofogdemyndigheterna hade att på ett snabbt och effektivt sätt få tillgång till uppgifter som behandlas inom skatteförvaltningen, utan kronofogdemyndigheter skulle även fortsatt få ha direktåtkomst till uppgifter i beskattningsdatabasen. Det skulle dock finnas uppgifter i beskattningsdatabasen vilka kronofogdemyndigheterna inte skulle ha något eller mycket litet behov att få del av. Enligt regeringens mening borde myndigheterna inte ha direktåtkomst till sådana uppgifter, eftersom direktåtkomst endast borde förekomma när det fanns starka effektivitetsskäl som talade för det. Regeringen konstaterade att det även mellan Tullverket och skatteförvaltningen i många fall förekom ett nära samarbete. Regeringen ansåg därför att Tullverket borde ges möjlighet till direktåtkomst till beskattningsdatabasen, dock inte till de elektroniska handlingarna. Tullverkets åtkomst skulle vidare begränsas till att endast avse uppgifter som det bedömdes vara av stor betydelse att Tullverket snabbt fick tillgång till i olika situationer. Uppgifterna skulle vidare endast avse den som var eller kunde antas vara gäldenär enligt tullagstiftningen eller skyldig att betala skatt för vara vid import. I likhet med kronofogdemyndigheterna skulle Tullverkets åtkomst regleras i lag.
53 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 131–132. 54 Skatteregistret föregick beskattningsdatabasen, se avsnitt 9.3.1.
765Elektroniskt utlämnande av personuppgifter
Utöver Tullverket och kronofogdemyndigheterna fanns det enligt regeringen flera myndigheter som regelmässigt behövde tillgång till olika uppgifter i beskattningsdatabasen. Regeringen uttalade att i de flesta fall borde dessa behov kunna tillfredsställas genom ett effektivt utlämnande av uppgifter på medium för automatiserad behandling. I vissa fall kunde det dock efter en avvägning mellan effektivitetsoch integritetsskäl finnas anledning att medge vissa myndigheter direktåtkomst till en begränsad mängd uppgifter. Någon allmän direktåtkomst till uppgifter i beskattningsdatabasen skulle dock inte medges. Mot bakgrund av att den utlämnande myndigheten vid direktåtkomst inte hade möjlighet att i varje enskilt fall ta ställning till om de eftersökta uppgifterna skulle lämnas ut ansåg regeringen att det borde ankomma på riksdagen att ta ställning till i vilka fall direktåtkomst borde medges. 55 Enligt regeringen skulle en myndighet få ha direktåtkomst till vissa uppgifter i folkbokföringsdatabasen utan vidare krav. Direktåtkomst till andra uppgifter skulle medges en annan myndighet om myndigheten enligt lag eller förordning fick behandla uppgifterna. Mot bakgrund av den dåvarande tillgången till personuppgifter via 56 aviseringsregistret och då uppgifterna inte skyddades av någon starkare sekretess ansåg regeringen att det ur integritetsskyddssynpunkt inte kunde anses innebära någon skillnad om en myndighet hämtade in uppgifter genom direktåtkomst eller på något annat sätt med hjälp av automatiserad behandling. Regeringen föreslog därför att en myndighet skulle få ha direktåtkomst till de uppgifter som myndigheten själv fick registrera. Regeringen framhöll att de föreslagna bestämmelserna om direktåtkomst inte medförde att eventuell sekretess för uppgifterna bröts. Det skulle därför ankomma på dåvarande Riksskatteverket att bedöma om uppgifterna kunde lämnas ut genom direktåtkomst. 57
55 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132–134. 56 Aviseringsregistret fördes med stöd av lagen (1995:743) om aviseringsregister och föregick Skatteverkets utlämnande av uppgifter till myndigheter via Navet, se avsnitt 16.4.11. 57 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 143–144.
766Elektroniskt utlämnande av personuppgifter
Utlämnande till enskilda
En fysisk eller juridisk person skulle enligt regeringen få ha direktåtkomst till uppgifter om sig själv i databasen, men endast om regeringen medgett det. Regeringen eller den myndighet som regeringen bestämde skulle meddela närmare föreskrifter om vilka uppgifter som fick omfattas av sådan direktåtkomst. 58 I och med att allt fler personer hade fått tillgång till internet uppkom enligt regeringen frågor om hur de möjligheter till informationsbehandling som därigenom gavs skulle kunna användas av myndigheter. Ett användningsområde för internet, som enligt regeringen låg nära till hands, var möjligheten för enskilda att lämna uppgifter till myndigheter. I många fall skulle en effektiv hantering dock kräva att enskilda inte endast kunde lämna uppgifter, utan även ha möjlighet att ta del av myndighetens uppgifter om sig själva. Under förutsättning att säkerheten var tillräcklig ansåg regeringen att det inte fanns några integritetsskäl som talade mot att enskilda kunde ta del av uppgifter om sig själva via internet. Tvärtom kunde det enligt regeringen, om än i begränsad omfattning, ge enskilda möjlighet att kontrollera att de uppgifter om dem som behandlades hos myndigheter var korrekta. Det förelåg enligt regeringen inte heller någon fara från integritetssynpunkt att lämna ut uppgifterna. En förutsättning för att enskilda skulle ges direktåtkomst var att det fanns tillräckligt säkra tekniska lösningar som gjorde att enskilda inte fick tillgång till uppgifter om andra personer. Det borde ankomma på myndigheterna att se till att den tekniska lösning som valdes garanterade att tillräcklig säkerhet uppnåddes. De integritetsrisker som fanns vid utlämnande på medium för automatiserad behandling fanns dock enligt regeringen även vid ett utlämnande genom direktåtkomst. Enligt regeringens mening borde enskildas möjligheter till direktåtkomst vara 59 särskilt reglerat i lag.
58 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 113. 59 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 113–115.
767Elektroniskt utlämnande av personuppgifter
11.3.2 Bestämmelser i registerförfattningarna
som reglerar formen för utlämnande
Allmänt
I registerförfattningarna för Skatteverkets beskattningsverksamhet, Skatteverkets folkbokföringsverksamhet, Tullverket och Kronofogdemyndigheten finns bestämmelser som reglerar vilka uppgifter respektive myndigheten får lämna ut, på vilket sätt de får lämnas ut och till vem. Sekretessbrytande bestämmelser som reglerar myndigheternas skyldighet att lämna ut uppgifter finns dock även i andra författningar, och kan vara generella eller specifika. Uppgiftsskyldigheterna kan även finnas i internationella rättsakter och avtal, och kräva gränsöverskridande utlämnanden. Uppgiftslämnandet som regleras i registerförfattningarna behandlas närmare i avsnitten 13.3.2-13.3.3. Nedan redogörs för de bestämmelser i registerförfattningarna som avser formen för elektroniskt uppgiftslämnande, och som alltså reglerar en annan fråga än om uppgifter ska eller får lämnas ut.
Skatteverkets beskattningsverksamhet
Bestämmelser om formerna för utlämnande av uppgifter finns både i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), och förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF). Skatteverket har ett omfattande uppdrag att försörja flera andra myndigheter med information, både utom och inom Sveriges gränser. Någon särskild reglering av Skatteverkets elektroniska utlämnande på medium för automatiserad behandling till myndigheter finns inte. Utlämnande genom direktåtkomst till myndigheter regleras dock särskilt i registerförfattningarna. Skattedatabasförordningen innehåller även bestämmelser om Skatteverkets skyldighet att lämna vissa uppgifter till Europeiska kommissionen. På vilket sätt uppgifterna ska lämnas regleras dock genom föreskrifter meddelade av Myndigheten för tillväxtpolitiska utvärderingar och analyser. 60
60 15 § SdbF.
768Elektroniskt utlämnande av personuppgifter
Utlämnande på medium för automatiserad behandling
För utlämnande på medium för automatiserad behandling till enskilda, dit även arbetslöshetskassor räknas, gäller enligt skattedatabaslagen att sådant utlämnande enbart är tillåtet om regeringen har 61 meddelat föreskrifter om det. I förordningen finns bestämmelser om i vilka fall sådant utlämnande är tillåtet, dock under förutsättning att det inte finns hinder mot det enligt någon författning. 62 Vissa uppgifter om en arbetstagares eller uppdragstagare (namn, personnummer och viss information om skatt som personen ska betala) får lämnas ut till arbetsgivare eller uppdragsgivare. 63 Ytterligare uppgifter av liknande karaktär (bl.a. registrering för mervärdesskatt eller som arbetsgivare) får lämnas ut till uppdragsgivare på samma sätt, för kontroll i samband med upphandling och under avtalstiden. 64 Uppgifter i beskattningsdatabasen får lämnas ut till viss kreditupplysningsverksamhet, dock inte uppgifter som grundar sig på brott. 65 Om en enskild behöver uppgifter om vissa typer av godkännande och befrielse från skatt i sin verksamhet, och för att säkerställa en korrekt beskattning, får uppgifterna lämnas ut till denna. 66 Till registrerat trossamfund får uppgifter som utgör underlag för beräkning av avgift till trossamfundet lämnas ut. 67 Till arbetslöshetskassorna får vissa uppgifter på individnivå i arbetsgivardeklarationen lämnas ut om de behövs för beräkning eller kontroll av arbetslöshetsersättning. Även andra uppgifter får lämnas ut om det föreligger en underrättelseskyldighet rörande felaktiga utbetalningar från välfärdssystemen. 68 Uppgifter om den enskilde själv får lämnas ut till denna. 69 Även uppgifter om bl.a. köpare, säljare och köpeskilling beträffande fastighetsöverlåtelser som legat till grund för fastställande av riktvärden i ett värdeområde där den enskildes fastighet är belägen får lämnas ut till denna. Dessutom får generella uppgifter om en fastighet, bl.a. indelning i typ av taxeringsenhet, lämnas ut till enskilda. 70
61 2 kap. 6 § SdbL. 62 9 § SdbF. 63 10 § SdbF. 64 10 a § SdbF. 65 11 § SdbF. 66 11 a § SdbF. 67 12 § SdbF. 68 12 a § SdbF. 69 13 § SdbF. 70 14 § SdbF.
769Elektroniskt utlämnande av personuppgifter
Utlämnande genom direktåtkomst
En registrerad får enligt skattedatabaslagen ha direktåtkomst till sådana uppgifter om sig själv i databasen som får lämnas ut till den regi- 71 strerade, om regeringen har meddelat föreskrifter om det. Enligt skattedatabasförordningen ska den registrerades identitet kontrolleras genom en säker metod för identifiering vid sådan direktåtkomst. 72 En behörig myndighet i annat land inom EU får ha direktåtkomst 73 till uppgifter om mervärdesskatt. Av de många svenska myndigheter som Skatteverket har en uppgiftsskyldighet till är det enbart ett fåtal som får medges direktåtkomst. För de myndigheter som får ha direktåtkomst gäller dessutom att det även finns sekretessbrytande bestämmelser som avser uppgiftslämnande på begäran av den mottagande myndigheten, dvs. genom andra former av informationsutbyte än direktåtkomst, i nästan samtliga fall omfattar fler uppgifter än de som den mottagande myndigheten får medges direktåtkomst till, se avsnitten 13.3.2-13.3.3. 74 Bestämmelser som anger omfattningen av tillåten direktåtkomst finns både i skattedatabaslagen och skattedatabasförordningen. I skattedatabaslagen anges att Skatteverkets brottsbekämpande verksamhet, Tullverket, Kronofogdemyndigheten, Försäkringskassan, Arbetsförmedlingen, Migrationsverket och socialnämnder har rätt att under vissa förutsättningar ta del av vissa uppgifter genom direktåtkomst. 75 I skattedatabasförordningen finns en sekretessbrytande uppgiftsskyldighet som anger att dessa myndigheter har rätt att ta del av uppgifter vid direktåtkomst enligt bestämmelserna i lagen. I vissa fall innehåller dessa bestämmelser ytterligare begränsningar av direktåtkomsten. Skatteverkets brottsbekämpande verksamhet får enligt skattedatabaslagen ha direktåtkomst till uppgifter i beskattningsdatabasen om bl.a. en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, olika uppgifter som avser skatter och avgifter, uppgifter om revision och vissa angivna uppgifter i ett ärende. 76 I skattedatabasförordningens sekretessbrytande bestämmelse föreskrivs ingen
71 2 kap. 9 § första stycket SdbL. 72 16 § SdbF. 73 Jfr 17 § SdbF och där angiven EU-förordning. 74 Jfr 4–8 j §§ SdbF. 75 2 kap. 7–8 d §§ SdbL. 76 2 kap. 7 § SdbL.
770Elektroniskt utlämnande av personuppgifter
begränsning av den direktåtkomst som får medges enligt 2 kap. 7 § skattedatabaslagen. 77 Tullverket får enligt bestämmelsen i skattedatabasförordningen ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Skatteverkets brottsbekämpande verksamhet, med undantag för uppgifter om revision och annan kontroll av skatter och avgifter, och enbart avseende den som är eller kan antas vara gäldenär enligt tullagstiftningen, skyldig att betala skatt för vara vid import eller föremål för Tullverkets punktskattekontrollverksamhet. Tullverket får även ha direktåtkomst till uppgifter och handlingar som ingår i det EU-rättsliga datoriserade systemet om uppgifter om förflyttningar och kontroller av punktskattepliktiga varor. 78 I skattedatabasförordningens sekretessbrytande bestämmelse begränsas direktåtkomsten enligt till att avse uppgifter om enskilda. 79 Kronofogdemyndigheten får enligt skattedatabaslagen ha direktåtkomst till samma uppgifter som Tullverket, och sådana uppgifter som behövs för Skatteverkets hantering av vissa borgenärsuppgifter. Direktåtkomsten får dock enbart avse den som har ansökt om skuldsanering eller F-skuldsanering, är registrerad som gäldenär hos Krono- 80 fogdemyndigheten, samt make eller likställd med make till dessa. I skattedatabasförordningens sekretessbrytande bestämmelser begränsas inte lagens bestämmelser. 81 Försäkringskassan får enligt skattedatabaslagen ha direktåtkomst till uppgifter i beskattningsdatabasen om uppgifterna behövs i ett ärende om betalningsskyldighet för en bidragsskyldig förälder, bestämmande av sjukpenninggrundande inkomst eller beräkning av bostadsbidrag. Direktåtkomsten får endast omfatta uppgifter per betalningsmottagare i arbetsgivardeklaration eller förenklad arbetsgivardeklaration, identifikationsuppgifter för den uppgiftsskyldige och betalningsmottagaren, och uppgift om den redovisningsperiod som deklarationen avser. 82 I skattedatabasförordningens sekretessbrytande bestämmelse upprepas bestämmelsen i lagen avseende vilka uppgifter i beskattningsdatabasen som får lämnas ut genom direktåtkomst. 83
77 5 b § SdbF. 78 2 kap. 8 § andra och tredje styckena SdbL. 79 5 § andra stycket och 5 a § Sdbf. 80 2 kap. 8 § SdbL. 81 4 § andra stycket SdbF. 82 2 kap. 8 c § SdbL. 83 7 § tredje stycket SdbF.
771Elektroniskt utlämnande av personuppgifter
Arbetsförmedlingen får enligt bestämmelsen i skattedatabaslagen ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Försäkringskassan, om uppgifterna behövs i ett ärende om stöd till 84 arbetsgivare för anställning av en enskild person. I skattedatabasförordningens sekretessbrytande bestämmelse begränsas direktåtkomsten till att avse endast vissa ärenden om stöd till arbetsgivare. 85 Under förutsättning att uppgifterna behövs i ett ärende om dagersättning åt asylsökande får även Migrationsverket ha direktåtkomst till samma uppgifter i beskattningsdatabasen som Försäkringskassan 86 och Arbetsförmedlingen enligt bestämmelsen i skattedatabaslagen. I skattedatabasförordningens sekretessbrytande bestämmelse anges att uppgifterna får lämnas ut från beskattningsdatabasen genom direktåtkomst i den utsträckning det behövs för beräkning eller kontroll av dagersättning. 87 En socialnämnd får enligt skattedatabaslagen ha direktåtkomst till uppgifter om en fysisk persons identitet, medborgarskap, bosättning och familjeförhållanden, samt vissa uppgifter om skatter och avgifter, om uppgifterna behövs i ärende om ekonomiskt bistånd. 88 Regleringen skiljer sig dock från lagens övriga bestämmelser om direktåtkomst på så sätt att direktåtkomst får medges först sedan Skatteverket har försäkrat sig om att handläggare hos socialnämnden bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Särregleringen för socialnämnderna tillkom efter att dåvarande Datainspektionen hade gett uttryck för att direktåtkomst för socialnämnderna var förenlig med kraven på skydd för den personliga integriteten endast under förutsättning att åtkomst till personuppgifter skulle begränsas till att motsvara aktuella ärenden genom olika tekniska åtgärder. Regeringen konstaterade att det gick att utforma system som innebär att det vid direktåtkomst var möjligt att söka på uppgifter om en viss person hos utlämnande myndighet enbart om den mottagande myndigheten hade ett ärende avseende denna person. 89 Till skillnad för vad som gäller andra aktörer som medges direktåtkomst finns det inga ytterligare bestämmelser om direkt-
84 2 kap. 8 d § SdbL. 85 8 c § SdbF. 86 2 kap. 8 b § SdbL. 87 8 b § SdbF. 88 2 kap. 8 a § SdbL. 89 Prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 146–149.
772Elektroniskt utlämnande av personuppgifter
åtkomst för socialnämnder i skattedatabasförordningen. De sekretessbrytande bestämmelserna finns i stället i andra författningar. 90
Skatteverkets folkbokföringsverksamhet
Bestämmelser om utlämnande finns både i lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL), och i förordningen (2001:589) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabasförordningen (FdbF). Regleringen skiljer sig från den för beskattningsverksamheten främst genom att utgångspunkten för folkbokföringsverksamheten är att andra myndigheter får medges direktåtkomst till uppgifter i folkbokföringsdatabasen (se avsnitt 16.4.11).
Utlämnande på medium för automatiserad behandling
Uppgifter i databasen får enligt folkbokföringsdatabaslagen lämnas ut på medium för automatiserad behandling till en enskild endast om regeringen har meddelat föreskrifter om det. 91 I folkbokföringsdatabasförordningen anges vilka uppgifter som får lämnas ut på detta sätt, bl.a. till Svenska kyrkan, central registreringsmyndighet för folkbokföring i annat nordiskt land, och till arbetslöshetskassorna. 92 Till en enskild får uppgifter om den enskilde själv lämnas ut på medium för automatiserad behandling. Uppgifter om en annan person än den enskilde själv får lämnas ut om uppgiften ingår i en handling i ett ärende som avser den enskilde, eller ett personbevis eller motsvarande utdrag som avser den enskilde eller ett barn under 18 år som den enskilde är vårdnadshavare för. Enstaka uppgifter om annan person får även i övrigt lämnas ut till en enskild. Ett utlämnande får dock inte göras om det är olämpligt ur integritetssynpunkt. 93
90 11 kap. 11 b § socialtjänstlagen (2001:453) och 6 § förordningen (2008:975) om uppgiftsskyldighet i vissa fall enligt socialtjänstlagen (2001:453). 91 2 kap. 6 § FdbL. 92 13–14 a §§ FdbF. 93 15 § FdbF.
773Elektroniskt utlämnande av personuppgifter
Utlämnande genom direktåtkomst
Liksom vid utlämnande på medium för automatiserad behandling får en enskild ha direktåtkomst till uppgifter i databasen endast om 94 regeringen har meddelat föreskrifter om det. Åtkomst till uppgifter om annan person än den enskilde själv får dock enligt folkbokföringsdatabaslagen medges endast till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen, samt till uppgifter om samband inom folkbokföringen med den enskilde eller med barn under 18 år som den enskilde är vård- 95 nadshavare för. En enskild får enligt folkbokföringsdatabasförordningens bestämmelser ha direktåtkomst till person- och ärendeuppgifter om sig själv. Vid en sådan direktåtkomst får den enskilde även medges direktåtkomst till uppgifter som anges ovan avseende make, barn, förälder eller vårdnadshavare som den enskilde har samband med inom folkbokföringen samt uppgift om dessa personers samband med den enskilde. 96 I folkbokföringsdatabasförordningen finns bestämmelser som medger att Svenska kyrkan har direktåtkomst till uppgifter om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen. 97 Vårdnadshavare får även ha direktåtkomst till uppgifter om ett barn under 18 år, samt då även uppgifter om förälder eller vårdnadshavare som barnet har samband med samt uppgift om dessa personers 98 samband med barnet. Skatteverket är genom en bestämmelse i folkbokföringsdatabasförordningen bemyndigat att meddela närmare föreskrifter om vilka 99 uppgifter som får omfattas av direktåtkomst enligt styckena ovan.
94 2 kap. 6 § och 9 § första stycket FdbL. 95 2 kap. 9 § andra stycket FdbL. 96 17 § första stycket FdbF. 97 16 § FdbF, dvs. uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen. 98 17 § andra stycket FdbF. 99 2 kap. 9 § andra stycket FdbL och 17 § tredje stycket FdbF.
774Elektroniskt utlämnande av personuppgifter
Skatteverket har meddelat sådana föreskrifter, vari bl.a. ställs krav på enskilda att i vissa fall legitimera sig genom e-legitimation. 100 För utlämnande till andra myndigheter gäller som redan påpekats att direktåtkomst som utgångspunkt får medges. En myndighet får enligt folkbokföringsdatabasförordningen ha direktåtkomst till uppgift om person- eller samordningsnummer, namn, adress, folkbokföringsfastighet, lägenhetsnummer, distrikt och folkbokföringsort samt avregistrering från folkbokföringen. 101 En myndighet får även ha direktåtkomst till andra uppgifter i folkbokföringsdatabasen om myndigheten behöver uppgifterna för att fullgöra sitt uppdrag och får behandla dem. Uppgifter som den 30 juni 1991 enligt särskilda bestämmelser var antecknade i sådan personakt som avses i 16 § i den numera upphävda folkbokföringskungörelsen (1967:495) får dock inte lämnas ut genom direktåtkomst (se avsnitt 9.4.4). Direktåtkomst får inte heller medges om det är olämpligt ur integritetssynpunkt. 102 Det finns dock inga bestämmelser i folkbokföringsdatabasförordningen som närmare begränsar möjligheten att medge myndigheter direktåtkomst till nämnda uppgifter.
Tullverket
Bestämmelser om formerna för utlämnande av uppgifter finns både i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL), och i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF). Tullverket har ett omfattande uppdrag att försörja flera andra myndigheter med information, både inom och utom Sveriges gränser, se avsnitt 13.3.5. För utlämnande till andra myndigheter regleras dock enbart utlämnande genom direktåtkomst särskilt i registerförfattningarna.
100 Skatteverkets föreskrifter om vilka uppgifter i folkbokföringsdatabasen som får omfattas av enskilds direktåtkomst; SKVFS 2004:31. 101 2 kap. 8 § första stycket FdbL. 102 2 kap. 8 § andra stycket FdbL.
775Elektroniskt utlämnande av personuppgifter
Utlämnande på medium för automatiserad behandling
Enligt tulldatabaslagen får, utöver vad som följer av tullagstiftningen, uppgifter i databasen lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter 103 om det. Uppgifter i tulldatabasen om den enskilde själv får enligt tulldatabasförordningen lämnas ut till den enskilde eller dennes ombud, om 104 det inte finns hinder mot det enligt någon författning. Enligt tulldatabasförordningen får uppgifter lämnas ut på medium för automatiserad behandling till behörig myndighet i ett annat land om det följer av en internationell överenskommelse eller en författning. 105 Som nämnts finns det i registerförfattningarna inga begränsningar av Tullverkets möjlighet att lämna ut uppgifter till andra myndigheter på medium för automatiserad behandling. I tulldatabasförordningen finns dock en bestämmelse som anger att vissa uppgifter om kontroller av kontanta medel ska lämnas ut till Polismyndigheten. Bestämmelsen finns under rubriken Utlämnande av uppgifter på medium för automatiserad behandling, vilket får tolkas som att den endast avser att reglera formen för utlämnandet. 106
Utlämnande genom direktåtkomst
En enskild får ha direktåtkomst till sådana uppgifter i databasen som får lämnas ut till den enskilde om regeringen har meddelat föreskrifter om det. 107 Enligt tulldatabasförordningen får en enskild eller dennes ombud får medges direktåtkomst till uppgifter om den enskilde själv i tulldatabasen. Ett tullombud får dessutom medges direktåtkomst till sådana uppgifter i tulldatabasen som tullombudet behöver för sin huvudmans räkning vid sina kontakter med Tullverket i samband med de åtgärder och formaliteter som krävs enligt tullagstiftningen. Även vissa ekonomiska aktörer får enligt tulldatabasförordningen medges direkt-
103 2 kap. 5 § TDL. 104 5 § TDF. 105 6 § TDF. 106 6 a § TDF. 107 2 kap. 8 § första stycket TDL.
776Elektroniskt utlämnande av personuppgifter
åtkomst till sådana uppgifter i tulldatabasen som aktören behöver för att kunna fullgöra sina förpliktelser enligt tullagstiftningen. 108 I tulldatabasförordningen bemyndigas Tullverket att meddela närmare föreskrifter om vilka uppgifter som får omfattas av enskildas direktåtkomst. 109 Tullverket har meddelat sådana föreskrifter, med innebörden att en enskild, eller annan för dennes räkning, under vissa förutsättningar får ha direktåtkomst till samtliga de uppgifter som enligt tulldatabaslagen får behandlas i tulldatabasen och som rör den enskilde själv. 110 I registerförfattningarna finns ingen bestämmelse om utländska myndigheters direktåtkomst. Av de svenska myndigheter som Tullverket har en uppgiftsskyldighet gentemot är det enbart Skatteverket och Kronofogdemyndigheten som enligt tulldatabaslagen får medges direktåtkomst till vissa uppgifter. Skatteverket får ha direktåtkomst till uppgifter i databasen i fråga om personer som är eller kan antas vara skattskyldiga eller förekommer i ett punktskattekontrollärende, dock inte vissa identitetsbeteckningar för transportmedel m.m., tulltaxor, revision och annan kontroll av tull, annan skatt och avgifter, eller tillstånd och licenser 111 som krävs för import eller export av varor. Kronofogdemyndigheten får ha direktåtkomst till samma uppgifter i databasen som Skatteverket, men enbart i fråga om den som är registrerad som gäldenär hos Kronofogdemyndigheten eller make till gäldenären eller någon annan som likställs med make. 112 Det finns inga sekretessbrytande bestämmelser i förordningen som särskilt avser direktåtkomst för myndigheter.
Kronofogdemyndigheten
Bestämmelser om elektroniskt utlämnande finns både i lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL), och i förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF). Krono-
108 7 § första till tredje styckena TDF. 109 7 § fjärde stycket TDF. 110 6 § Tullverkets föreskrifter om Tullverkets e-tjänster och enskilds direktåtkomst till uppgifter i tulldatabasen, TFS 2016:21. 111 2 kap. 7 § första stycket TDL. 112 2 kap. 7 § andra stycket TDL.
777Elektroniskt utlämnande av personuppgifter
fogdemyndigheten har en uppgiftsskyldighet till flera myndigheter, se avsnitt 13.3.6. För utlämnande till myndigheter regleras enbart utlämnande genom direktåtkomst särskilt i registerförfattningarna.
Utlämnande på medium för automatiserad behandling
Uppgifter i Kronofogdemyndighetens databaser får enligt kronofogdedatabaslagen lämnas ut till en enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det. 113 Enligt en bestämmelse i kronofogdedatabasförordningen får utlämnande av uppgifter på medium för automatiserad behandling ske enligt bestämmelserna i förordningen om det inte finns hinder mot det enligt någon författning. 114 Uppgifter i utsöknings- och indrivningsdatabasen får lämnas ut till den som har tillstånd bedriva kreditupplysningsverksamhet. 115 För inkassoändamål får vissa uppgifter ur utsöknings- och indrivningsdatabasen även lämnas ut till den som har tillstånd av Integritetsskyddsmyndigheten att bedriva inkassoverksamhet eller som bedriver inkassoverksamhet och står under Finansinspektionens tillsyn, Trafikförsäkringsföreningen, och arbetslöshetskassor som har registrerats hos Inspektionen för arbetslöshetsförsäkring, dock endast avseende personer som vid tidpunkten för begäran är aktuella för inkassoåtgärd hos den som begär ut uppgifterna. Uppgifterna får dock endast avse bl.a. exekutionstitel, skuldbelopp, skuldsanering och F-skuldsanering, och redovisning av verkställighetsuppdraget. 116 Uppgifter i utsöknings- och indrivningsdatabasen som grundar sig på 117 brott får inte lämnas ut på medium för automatiserad behandling. Uppgifter i utsöknings- och indrivningsdatabasen om en fysisk eller juridisk persons identitet och totalt fordringsbelopp som är föremål för verkställighet får lämnas ut för inhämtande av uppgifter från tredje man om eventuell utmätningsbar egendom samt för meddelande om vissa förbud och underrättelser. 118
113 2 kap. 25 § KFMdbL. 114 11 § KFMdbF. 115 12 § första stycket KFMdbF. 116 12 andra och tredje styckena KFMdbF. 117 12 § fjärde stycket KFMdbF. 118 12 a § KFMdbF.
778Elektroniskt utlämnande av personuppgifter
Uppgifter ur utsöknings- och indrivningsdatabasen får lämnas ut till den som får i uppdrag av Kronofogdemyndigheten att sälja egendomen. 119 Vissa uppgifter i utsöknings- och indrivningsdatabasen om en uppdragstagare, bl.a. exekutionstitel, skuldbelopp och dag när skulden fastställdes, får lämnas ut till uppdragsgivare för kontroll i samband 120 med upphandling och under avtalstiden. Uppgifter ur utsökningsoch indrivningsdatabasen får även lämnas ut för utbetalning av influtna medel och för annan redovisning. 121 Uppgifter ur betalningsföreläggande- och handräckningsdatabasen får lämnas ut för redovisning till sökanden i målet och till den som har tillstånd att bedriva kreditupplysningsverksamhet. 122 Uppgifter ur skuldsaneringsdatabasen får lämnas ut till gäldenären, borgenärerna och andra enskilda som berörs av och kan bidra till utredningen i ärendet, om det inte är olämpligt. 123 Uppgifter ur skuldsaneringsdatabasen får även lämnas ut för utbetalning av inbetalda medel och för annan redovisning. 124 Beslut om utmätning enligt 7 kap. utsökningsbalken får lämnas ut till gäldenärens arbetsgivare när det behövs för verkställighet av be- 125 slut om indrivning. Uppgifter i databaserna om den enskilde själv får lämnas ut till denna. 126 Uppgifter i databaserna får lämnas ut till arbetslöshetskassorna när det föreligger en underrättelseskyldighet avseende felaktiga utbetalningar från välfärdssystemen. 127 För kontroll och tillsyn samt lämplighets- och tillståndsprövning och annan liknande prövning får vissa uppgifter ur utsöknings- och indrivningsdatabasen lämnas ut på medium för automatiserad behandling till vissa prövnings- och tillståndsmyndigheter inom vägtrafikområdet. De uppgifter som får lämnas ut är bl.a. uppgifter om en fysisk persons identitet, bosättning och familjeförhållanden, och om skuldens storlek för fordringar som drivs in i ett allmänt mål. I samma
119 12 b § KFMdbF. 120 12 c § KFMdbF. 121 13 § KFMdbF. 122 14 § KFMdbF. 123 14 a § KFMdbF. 124 14 b § KFMdbF. 125 15 § KFMdbF. 126 16 § KFMdbF. 127 17 a § KFMdbF.
779Elektroniskt utlämnande av personuppgifter
bestämmelse ges även anvisningar om hur de uppgifter som får lämnas ut på medium för automatiserad behandling får sambearbetas med andra uppgifter i vägtrafikregistret. 128
Utlämnande genom direktåtkomst
Enligt kronofogdedatabaslagen får en enskild ha direktåtkomst till sådana uppgifter om sig själv i databasen som får lämnas ut till denna om regeringen har meddelat föreskrifter om det. 129 I kronofogdedatabasförordningen bemyndigas Kronofogdemyndigheten att meddela närmare föreskrifter om vilka uppgifter som får omfattas av enskildas direktåtkomst. 130 Kronofogdemyndigheten har dock inte meddelat några sådana. I kronofogdedatabaslagen anges vidare att den som är sökande i ett mål eller ett ärende får ha direktåtkomst till uppgifter om målet eller ärendet, om regeringen har medgett det, dock inte till elektroniska handlingar i databaserna som innehåller känsliga personuppgifter eller uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. 131 Enligt kronofogdedatabasförordningen får en sökande eller dennas ombud ha direktåtkomst till vissa uppgifter i utsöknings- och indrivningsdatabasen om mål eller ärenden som sökanden 132 har gett in. Tullverket och Säkerhetspolisen får enligt kronofogdedatabaslagen ha direktåtkomst till flertalet uppgifter som får finnas i utsöknings- och indrivningsdatabasen. De uppgifter som direktåtkomst får medges avseende är bl.a. en fysisk persons identitet, bosättning och familjeförhållanden, en enskilds ekonomiska förhållanden, egendom som berörs i ett mål samt beslut, betalning, redovisning och övriga åtgärder i ett mål eller ärende. Detsamma gäller Skatteverket i beskattningsverksamheten och i Skatteverkets handläggning vid han- 133 tering av vissa borgenärsuppgifter. Några sekretessbrytande bestäm-
128 17 § KFMdbF. 129 9 § första stycket KFMdbF och 2 kap. 28 § första stycket KFMdbL. 130 9 § andra stycket KFMdbF. 131 2 kap. 28 § andra stycket KFMdbL som hänvisar till 2 kap. 24 § KFMdbL som i sin tur hänvisar till 1 kap. 6 § KFMdbL. 132 10 § KFMdbF, direktåtkomsten får endast omfatta uppgifter som avses i 34 kap. 1 § andrafemte styckena offentlighets- och sekretesslagen (2009:400). De angivna styckena anger när sekretess enligt 34 kap. 1 § första stycket OSL inte gäller. 133 2 kap. 26 § KFMdbL.
780Elektroniskt utlämnande av personuppgifter
melser som särskilt avser direktåtkomst finns dock inte i kronofogdedatabasförordningen.
11.4 Frågan om direktåtkomst i vissa andra
sammanhang
11.4.1 Informationshanteringsutredningen
Uppdraget
I Informationshanteringsutredningens direktiv angavs att den tekniska utvecklingen hade medfört att det uppfattades som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling skulle tillämpas på modernare metoder för informationsutbyte. Mot den bakgrunden skulle utredningen bl.a. ta ställning till om det fanns skäl att i registerförfattningar upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. 134
Direktåtkomst kräver förberedande åtgärder
Enligt utredningen karaktäriserades direktåtkomst av att den utlämnande myndigheten bildligt talat öppnade sina dörrar för den mottagande myndigheten. Den mottagande myndigheten tilläts genom åtkomsten träda in innanför dörrarna och, i den omfattning som medgetts, söka fritt i den utlämnande myndighetens informationssamlingar. Från ett principiellt perspektiv var den omständigheten att åtkomsten var direkt det mest betydelsefulla, eftersom det innebar att den utlämnande myndigheten redan vid den tidpunkt då åtkomsten etablerades hade lämnat ut berörda uppgifter till den mottagande myndigheten. Direktåtkomst bedömdes därför vara en betydligt mer vitt- 135 omfattande form av elektroniskt utlämnande än andra former. Direktåtkomst krävde enligt utredningen flera ställningstaganden. Det behövde bedömas om det fanns ett tillfredsställande sekretesskydd för uppgifterna hos den mottagande myndigheten eller om ett sådant skydd behövde införas. Det behövde också bedömas om
134 Kommittédirektiv 2011:86, Integritet, effektivitet och öppenhet i en modern e-förvaltning, s. 18–20. 135 SOU 2015:39, Myndighetsdatalag, s. 136.
781Elektroniskt utlämnande av personuppgifter
det fanns en sekretessbrytande regel som möjliggjorde att de sekretessreglerade uppgifterna lämnades ut till den mottagande myndigheten genom direktåtkomst. Om inte, behövde även en föreskrift som omfattade direktåtkomsten i hela dess vidd införas i form av lag eller förordning. I underlaget för bedömningen av vilken omfattning en sekretessbrytande regel skulle ha behövde det i de flesta fall även finnas med en analys av hur direktåtkomsten kunde ordnas rent tekniskt. Förberedande tekniska åtgärder behövde vidtas för att direktåtkomsten endast skulle komma att omfatta de personuppgifter som åtkomsten fick omfatta. Det skulle även behöva göras säkerhetsanalyser och eventuella åtgärder behövde därefter vara vidtagna för att motverka de risker som kunde uppstå på grund av att myndigheternas tekniska system, och därmed verksamheter, i viss mån skulle komma att kopplas ihop. Andra förberedande åtgärder hos den mottagande myndigheten var att vidta tekniska och andra åtgärder, t.ex. fördelning av behörighet och åtkomstbegränsningar, samt mekanismer som möjliggjorde kontroller och uppföljning av hur åtkomsten användes. Både den utlämnande och mottagande myndigheten skulle komma att i olika delar och på olika nivåer vara personuppgiftsansvariga för behandlingen. Direktåtkomst krävde därmed att vissa ställningstaganden och behövliga åtgärder hade vidtagits i förväg på myndighetsnivå. Ur den enskilde registrerades perspektiv var det enligt utredningen av stor vikt att det alltid skulle vara tydligt vem som var personuppgiftsansvarig för en viss behandling. 136 En fråga som också behövde analyseras i förväg var om det behövdes regler som begränsade användningen av sökbegrepp hos mottagaren för att uppnå ett tillfredsställande skydd för personuppgifter 137 även hos den mottagande myndigheten.
Behovet av fortsatt åtskillnad mellan olika former
av elektroniskt utlämnande
I sitt slutbetänkande bedömde Informationshanteringsutredningen att principiella och rättsliga skäl, samt krav på förberedande analyser och åtgärder medförde ett behov av en fortsatt åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. Att myn-
136 SOU 2015:39, Myndighetsdatalag, s. 138–140. 137 SOU 2015:39, Myndighetsdatalag, s. 140–141.
782Elektroniskt utlämnande av personuppgifter
digheternas gränser i rättslig mening upprätthölls uttalades vara ett starkt rättssäkerhetskrav. Det kravet ansågs i sin tur ställa höga krav på myndigheterna på båda sidor utlämnandet att agera i förväg och vidta nödvändiga åtgärder innan en direktåtkomst faktiskt medgavs, bl.a. för att säkerställa att en sådan åtkomst var förenlig med bestämmelser om sekretess. Samtliga dessa frågor behövde enligt Informationshanteringsutredningen vara lösta innan den mottagande myndigheten ”släpptes in” hos den utlämnande myndigheten. 138 Det som enligt utredningen kunde innebära risker för den enskildes integritet i samband med direktåtkomst var att man inte beaktade de särskilda frågor och krav på skydd som den gav upphov till samt att man inte ägnade uppmärksamhet åt frågor som hängde samman med att myndigheternas gränser öppnades upp och att inblandade myndigheters ansvar för både verksamhet, säkerhet och personuppgifter därmed behövde klargöras. Om man inte behöll en rättslig åtskillnad mellan begreppen direktåtkomst och annat elektroniskt utlämnande fanns det enligt utredningen en risk för att dessa frågor inte fick den uppmärksamhet som krävdes. Utan en distinktion mellan olika former av utlämnande riskerade, enligt utredningen, myndig- 139 heternas respektive ansvar i olika hänseenden att bli otydligt.
Förslag på generell reglering av direktåtkomst
Utredningen föreslog att direktåtkomst till sekretessreglerade personuppgifter som utgångspunkt skulle behöva ha stöd i lag eller förord- 140 ning. En utlämnande myndighet skulle dessutom också behöva göra en risk- och sårbarhetsanalys innan myndigheten medgav en annan myndighet eller enskild aktör direktåtkomst till personuppgifter. Den särskilda risk- och sårbarhetsanalysen skulle vara inriktad på att ge det underlag som behövdes för att sedan kunna bedöma om och hur det var möjligt att åstadkomma en lämplig säkerhetsnivå genom adekvata tekniska och organisatoriska säkerhetsåtgärder. Myndigheten skulle också behöva komma överens med mottagaren om hur behövligt skydd för personuppgifterna skulle säkerställas. Av överenskom-
138 SOU 2015:39, Myndighetsdatalag, s. 135 och 141. 139 SOU 2015:39, Myndighetsdatalag, s. 150–151. 140 SOU 2015:39, Myndighetsdatalag, s. 397.
783Elektroniskt utlämnande av personuppgifter
melsen skulle framgå hur utövandet av de skyldigheter som personansvaret innefattar skulle ske. 141
11.4.2 HFD 2015 ref. 61 (LEFI Online)
Som vi nämnt tidigare har det i olika sammanhang och under en lång tid uttryckts att den tekniska utvecklingen har medfört att det är svårt att särskilja direktåtkomst från annat elektroniskt utlämnande. 142 Även i Informationshanteringsutredningens slutbetänkande påpekades att det fanns en rättslig gråzon mellan direktåtkomst och annat elektroniskt utlämnande där exempelvis s.k. batch-körningar och olika former av fråga-svar-tjänster befann sig. 143 Ett visst klargörande beträffande gränsdragningen mellan direktåtkomst och annat elektroniskt utlämnande har dock skett genom Högsta förvaltningsdomstolens avgörande HFD 2015 ref. 61 (det s.k. LEFI Online-avgörandet) där fråga var om socialnämnderna kunde anses ha direktåtkomst till Försäkringskassans socialförsäkringsdatabas. LEFI Online är ett helt automatiserat fråga-svar-system för informationsutbyte. 144 Informationsutbytet beskrivs på följande sätt i den dom från kammarrätten som överklagades till Högsta förvaltningsdomstolen. Kommunen begär att få information om en person i socialförsäkringsdatabasen genom att ställa en elektronisk fråga till Försäkringskassan. Vid begäran legitimerar sig kommunen med sitt organisationsnummer via ett elektroniskt certifikat. Efter att behörighetskontrollen är gjord kontrollerar Försäkringskassans it-system att det i begäran endast efterfrågas sådan information som kommunen med hänsyn till sekretessregler är behörig att få ut. Utifrån kommunens begäran hämtar Försäkringskassans it-system sedan in informationen från olika interna källor. Försäkringskassans it-system sammanställer sedan
141 SOU 2015:39, Myndighetsdatalag, s. 39–40 och 387–388. 142 Jfr bl.a. prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 110–111, SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 199 och Kommittédirektiv 2023:11, Tilläggsdirektiv till Utredningen om förbättrade möjligheter att utbyta information med brottsbekämpande myndigheter (Ju 2022:03), s. 3. 143 SOU 2015:39, Myndighetsdatalag, s. 146. LEFI Online-avgörandet meddelades samma år som Informationshanteringsutredningen hade lämnat sitt slutbetänkande, men efter att det skett. 144 En utförlig teknisk beskrivning av systemet finns på Försäkringskassans hemsida, tillgänglig: https://www.forsakringskassan.se/myndigheter-och-samarbetspartner/e-tjanster-formyndigheter-och-samarbetspartner/lefi-online/beskrivning-av-tjansten-lefi-online [hämtad 2023-04-22].
784Elektroniskt utlämnande av personuppgifter
svaret och en ytterligare (automatisk) kontroll görs så att uppgifter som omfattas av sekretess inte lämnas till kommunen (utifrån det krav på behörighet som är uppsatt för tjänsten). Under förutsättning att den ytterligare kontrollen visar att de efterfrågade uppgifterna kan lämnas ut fattas ett automatiskt beslut och uppgifterna lämnas ut/expedieras till kommunen. Enligt 114 kap. 22 § socialförsäkringsbalken får en socialnämnd ha direktåtkomst till socialförsäkringsdatabasen först sedan Försäkringskassan har försäkrat sig om att handläggare hos socialnämnd bara kan ta del av uppgifter om personer som är aktuella i ärenden hos nämnden. Dåvarande Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) hade gjort gällande att socialnämndernas tillgång till uppgifter genom LEFI Online innebar att nämnderna hade direktåtkomst till uppgifterna. Eftersom Försäkringskassan inte vidtar någon reell prövning i det enskilda fallet ansåg Datainspektionen att förutsättningarna för att medge direktåtkomst inte var uppfyllda. Det fick enligt Datainspektionen till följd att det integritetsskydd som lagstiftaren avsett att ge enskilda genom införandet av 114 kap. 22 § socialförsäkringsbalken sattes ur spel. Försäkringskassan hade å sin sida anfört att LEFI Online inte utgjorde direktåtkomst. Högsta förvaltningsdomstolen konstaterade att beskrivningar av begreppen direktåtkomst och utlämnande på medium för automatiserad behandling inte gav inte några tydliga hållpunkter för hur begreppen ska förstås när det gäller helt automatiserade system för utbyte av uppgifter mellan myndigheter. Domstolen konstaterade dock att de allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos den mottagande myndigheten. Domstolen anförde vidare att den avgränsning som på detta sätt görs av begreppet direktåtkomst, genom tillämpning av TF:s bestämmelser om allmänna handlingars offentlighet, kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 § socialförsäkringsbalken. I det aktuella fallet var därmed frågan om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. Domstolen konstaterade därefter att socialnämnderna inte på egen hand kunde söka information i socialförsäkringsdatabasen, utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs
785Elektroniskt utlämnande av personuppgifter
därmed förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i nuvarande 2 kap. 6 § första stycket TF ansågs socialnämnderna inte ha, vilket innebar att LEFI Online inte var att betrakta som direktåtkomst enligt socialförsäkringsbalken. Bedömningarna i LEFI Online-avgörandet har senare gjorts generellt tillämpliga genom notisavgörandet HFD 2020 not. 16. Det innebär att de inte enbart är tillämpliga vid bedömning enligt socialförsäkringsbalken.
11.4.3 eSam
Elektroniskt informationsutbyte – en vägledning
för utlämnande i elektronisk form
Som nämnts i avsnitt 11.1 hänvisas i våra direktiv till eSamverkansprogrammets (eSam) publikation Elektroniskt informationsutbyte – 145 en vägledning för utlämnande i elektronisk form (maj 2016). Med hänvisning till Informationshanteringsutredningens slutbetänkande, och med hänsyn till de risker för integritetsintrång och annan spridning av känsliga uppgifter som överskottsinformation medför, anförde eSam i vägledningen att nya tjänster för utlämnande inte borde utformas för direktåtkomst. Enligt eSam:s vägledning skulle Högsta förvaltningsdomstolens bedömning av systemet LEFI Online bli avgörande även för andra tjänster, när de är av samma slag och den prövning som kan krävas av den utlämnande myndigheten endast är av formell art. eSam förde även fram att Högsta förvaltningsdomstolen grundat bedömningen av om ett förfarande utgör direktåtkomst endast på sättet för utlämnande. Frågan om det utgör direktåtkomst eller annat elektroniskt utlämnande hade alltså enligt eSam frikopplats från vilken nivå av persondataskydd som en tjänst av samma slag som LEFI Online ger.
145 E-delegationen (dir. 2009:19) hade sedan 2009 i uppdrag att samordna myndigheternas it-baserade utvecklingsprojekt och skapa goda möjligheter för myndighetsövergripande samordning. Delegationen fick 2010 ett tilläggsdirektiv (dir. 2010:32) med uppdrag om vidareutnyttjande av offentlig information och riktlinjer för myndigheters användning av sociala medier. eSamverkansprogrammet, eSam, bildades 2015 när E-delegationen slutfört sitt regeringsuppdrag. Generaldirektörerna för myndigheterna som ingick i E-delegationen beslöt att på frivillig grund fortsätta samarbetet kring digital utveckling. I dag ingår 36 medlemsorganisationer.
786Elektroniskt utlämnande av personuppgifter
En modern registerförfattning 2022
eSam har i juni 2022 publicerat promemorian En modern registerförfattning, där frågan om direktåtkomst åter berörs. 146 De slutsatser som förs fram i promemorian skiljer sig från de som redogjorts för ovan. I promemorian anför eSam i stället att såväl direktåtkomst som utlämnande på medium för automatiserad behandling ställer krav på autentisering och auktorisering. Båda formerna av utlämnande kräver att överenskommelser mellan myndigheter görs, och ofta även att loggning av trafik sker hos den utlämnande myndigheten. Oavsett form behöver samtliga av dessa krav vara uppfyllda. I promemorian hänvisar eSam till artiklarna 25 och 32 i EU:s dataskyddsförordning (se avsnitt 11.5.1) och uttalar att samtliga de kriterier som kan ingå i en lämplighetsbedömning vid elektroniskt utlämnande är sådana som tillgodoses genom reglering i dataskyddsförordningen och offentlighets- och sekretesslagen. eSam lyfter i promemorian även fram att eftersom den tekniska utvecklingen har lett till att samma effektivitetsvinster som vid direktåtkomst kan uppnås med en fråga-svar-funktion, så väljer myndigheter ofta en sådan lösning. Personuppgiftsbehandling som möjliggör nedladdning i bulk, urval och bearbetningar kan dock enligt eSam medföra att det uppstår ökade integritetsrisker jämfört med om informationen görs tillgänglig via direktåtkomst. För att minska sådana risker kan direktåtkomst utformas som sök- och visningstjänster och då ligger informationen kvar hos den registerhållande myndigheten. En sådan direktåtkomst innebär ökad kontroll över informationen. Enligt eSam bör den personuppgiftsansvariga myndigheten själv ha möjlighet att bedöma vilken form för utlämnande som är lämplig, med beaktande av tekniska och organisatoriska skyddsåtgärder. Regleringen i registerförfattningar bör enligt eSam som utgångspunkt vara teknikneutral.
146 ES2022-06.
787Elektroniskt utlämnande av personuppgifter
11.5 Den allmänna dataskyddsregleringen
11.5.1 EU:s dataskyddsförordning
För att behandling av personuppgifter över huvud taget ska vara laglig enligt EU:s dataskyddsförordning krävs att något av de villkor som anges i artikel 6.1 i förordningen är uppfyllda. I den artikeln anges på vilka rättsliga grunder personuppgifter får behandlas. Det måste därmed finnas en rättslig grund för all behandling, se avsnitt 3.2.5. Av artikel 6.3 framgår att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Det bör därför vara tillåtet att i den nationella rätten begränsa myndigheters möjlighet att lämna ut personuppgifter elektroniskt. I dataskyddsförordningen finns dock inga särskilda bestämmelser som särskilt reglerar olika former eller tekniker för utlämnande av personuppgifter. Det finns inte heller någon bestämmelse som särskilt hanterar frågan om överskottsinformation vid direktåtkomst. 147 Däremot finns det bestämmelser som har betydelse för de frågor som uppkommer i relation till elektrosnikt utlämnande både genom direktåtkomst och genom andra tekniska lösningar, särskilt avseende frågor om teknisk och organisatorisk säkerhet vid behandlingen och om inbyggt dataskydd och dataskydd som standard. Nedan följer en redogörelse för några av de bestämmelser i dataskyddsförordningen som myndigheter behöver iaktta i samband med att ett elektroniskt utlämnande av personuppgifter övervägs. Enligt artikel 5.1 c ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering).
147 Av skäl 31 andra stycket till dataskyddsförordningen framgår visserligen att varje begäran från en offentlig myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman. Stycket kan, läst för sig, tolkas som ett förbud mot informationsöverföring som är att jämställa med direktåtkomst. Direktåtkomst innebär ju nämligen, i vart fall i viss mån, att register kopplas samman. Vi anser dock att andra stycket i skäl 31 bör läsas tillsammans med vad som anges i första stycket. I första stycket pekas en särskild situation, vari offentliga myndigheter inte bör betraktas som mottagare i dataskyddsförordningens mening; dvs. om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse. Skäl 31 bör alltså enligt vår mening inte tolkas som ett förbud mot direktåtkomst.
788Elektroniskt utlämnande av personuppgifter
De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet). Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 24.1 genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. Med beaktande av bl.a. den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige enligt artikel 25.1, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder. Åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i dataskyddsförordningen uppfylls och den registrerades rättigheter skyddas. Enligt artikel 25.2 ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att i standardfallet säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer. Enligt artikel 32.1 ska den personuppgiftsansvarige vid behandling av personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som behandlingen medför. Det kan röra sig om att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna, eller att regelbundet testa, undersöka och utvärdera effektiviteten hos de
789Elektroniskt utlämnande av personuppgifter
tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Av artikel 32.2 framgår att vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet bl.a. till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, enligt artikel 35.1, före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Bedömningen ska enligt artikel 35.7 åtminstone innehålla bl.a. en systematisk beskrivning av den planerade behandlingen och behandlingens syften, en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena, en bedömning av risker och de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att dataskyddsförordningen efterlevs. Av artikel 85.1 framgår att medlemsstaterna i lag ska förena rätten till integritet i enlighet med dataskyddsförordningen med yttrandeoch informationsfriheten. Av artikel 86 framgår att personuppgifter i allmänna handlingar som förvaras bl.a. av en myndighet eller ett offentligt organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.
11.5.2 Dataskyddslagen
Liksom EU:s dataskyddsförordning saknar dataskyddslagen bestämmelser som direkt reglerar uppgiftslämnande från en myndighet till en extern part. Det finns heller inga bestämmelser om de olika formerna för sådant utlämnande.
790Elektroniskt utlämnande av personuppgifter
Av 1 kap. 7 § första stycket dataskyddslagen framgår dock att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Enligt regeringens bedömning gav regleringen i dataskyddsförordningen (bl.a. artiklarna 85.1 och 86) ett tydligt stöd för att den EU-rättsliga dataskyddsregleringen inte inkräktar på den grundlagsreglerade offentlighetsprincipen. Den nödvändiga sammanjämkning som avses i dataskyddsförordningen kommer enligt regeringen i svensk rätt till uttryck bl.a. genom bestämmelserna i offentlighets- och sekretesslagen, som är resultatet av noggranna avvägningar mellan allmänhetens intresse av insyn i det allmännas verksamhet och den enskildes behov av skydd för sin personliga integ- 148 ritet.
11.5.3 Europeiska dataskyddstyrelsens riktlinjer om inbyggt
dataskydd och dataskydd som standard
Europeiska dataskyddsstyrelsen (EDPB) 149 har antagit riktlinjer om inbyggt dataskydd och dataskydd som standard, som konkretiserar vad principerna innebär för de personuppgiftsansvariga. 150 Riktlinjerna syftar bl.a. till att utreda och ge vägledning avseende kraven på inbyggt dataskydd i artikel 25.1 i dataskyddsförordningen, respektive dataskydd som standard i artikel 25.2 i dataskyddsförordningen. I riktlinjerna ges även exempel på hur inbyggt dataskydd och dataskydd som standard kan omsättas i praktiken genom en förteckning över centrala komponenter i inbyggt dataskydd och dataskydd som standard för var och en av de grundläggande principerna för dataskydd (se avsnitt 3.5.2). Av riktlinjerna framgår bl.a. följande avseende artikel 25.1 och 25.2 i dataskyddsförordningen.
148 Prop. 2017/18:105, Ny dataskyddslag, s. 41–43. 149 Europeiska dataskyddsstyrelsen (EDPB) är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsreglerna inom hela EU/EES och främjar samarbetet mellan dataskyddsmyndigheterna. EDPB kan ge allmän vägledning för att klargöra begrepp inom europeisk dataskyddslagstiftning och därmed ge en enhetlig tolkning av de rättigheter och skyldigheter som följer av regelverket. Genom dataskyddsförordningen har EDPB även befogenhet att fatta bindande beslut gentemot nationella tillsynsmyndigheter för att säkerställa en enhetlig tillämpning. EDPB består av medlemsstaternas tillsynsmyndigheter samt Europeiska datatillsynsmannen (EDPS). IMY deltar aktivt i arbetet i samtliga undergrupper som utför EDPB:s arbetsuppgifter. Se IMY:s webbsida, EDPB, tillgänglig: https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/edbp/ [hämtad 2023-04-11]. 150 Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard, Version 2.0, s. 5.
791Elektroniskt utlämnande av personuppgifter
Artikel 25.1
Tekniska och organisatoriska åtgärder och nödvändiga skyddsåtgärder ska tolkas i vid mening, som samtliga metoder eller medel som en personuppgiftsansvarig kan använda vid behandlingen. En teknisk eller organisatorisk åtgärd och en skyddsåtgärd kan vara allt från användning av avancerade tekniska lösningar till grundläggande utbildning av personalen. Beroende på sammanhanget och de risker som är förbundna med den aktuella behandlingen kan exempel vara tillhandahållande av information om lagringen av personuppgifter, inrättande av system för hantering av integritet och informationssäkerhet etc. Vid genomförandet av lämpliga tekniska och organisatoriska åtgärder bör åtgärderna och skyddsåtgärderna vara utformade så att var och en av principerna för dataskydd och det efterföljande skyddet av rättigheter kan genomföras på ett effektivt sätt. De valda åtgärderna och skyddsåtgärderna bör utformas för genomförandet av principerna för dataskydd i just den aktuella behandlingen. Frågan om åtgärder är effektiva beror därför på omständigheterna i samband med behandlingen i det enskilda fallet och på en bedömning av vissa omständigheter som bör beaktas vid fastställandet av medlen för behandlingen. Den personuppgiftsansvariga bör kunna dokumentera de tekniska och organisatoriska åtgärder som genomförts. Hänvisningen till den senaste utvecklingen innebär en skyldighet för personuppgiftsansvariga att beakta de aktuella framsteg på teknikområdet som är tillgängliga på marknaden vid fastställandet av lämpliga tekniska och organisatoriska åtgärder. Kravet är att personuppgiftsansvariga ska ha kunskap om och hålla sig uppdaterade om tekniska framsteg, om hur teknik kan medföra datasäkerhetsrisker eller möjligheter för behandlingen och om hur de åtgärder och skyddsåtgärder som säkerställer ett effektivt genomförande av principerna och de registrerades rättigheter ska genomföras och uppdateras. Personuppgiftsansvariga måste ta hänsyn till behandlingens art, omfattning, sammanhang och ändamål när de fastställer nödvändiga åtgärder. Dessa faktorer bör tolkas i överensstämmelse med deras roll i andra bestämmelser i dataskyddsförordningen, i syfte att låta principerna för dataskydd bli en del av behandlingen. Begreppet art kan kortfattat uttryckt förstås som behandlingens inneboende egenskaper, exempelvis särskilda kategorier av personuppgifter, automatiskt beslutsfattande, skeva maktförhållanden, oförutsägbar behandling osv.
792Elektroniskt utlämnande av personuppgifter
Omfattningen avser behandlingens storlek och räckvidd. Sammanhanget hänför sig till omständigheterna vid behandlingen, vilka kan påverka den registrerades förväntningar, medan ändamålet avser behandlingens syfte. Vid genomförandet av den riskanalys som krävs för efterlevnad av artikel 25 måste den personuppgiftsansvarige identifiera de risker för de registrerades rättigheter som en överträdelse av principerna innebär, och fastställa deras sannolikhet och allvar så att han eller hon kan vidta åtgärder för att effektivt minska de identifierade riskerna. Vägledning om hur dataskyddsrisker ska bedömas och om hur en bedömning av dataskyddsrisker ska genomföras tillhandahålls i EDPB:s riktlinjer om konsekvensbedömning avseende dataskydd. 151 Det är under arbetet med att fatta beslut om hur behandlingen ska utföras och på vilket sätt behandlingen ska ske och vilka mekanismer som ska användas för att utföra behandlingen som den personuppgiftsansvarige är skyldig att bedöma de lämpliga åtgärderna och skyddsåtgärderna för att principerna och de registrerades rättigheter ska genomföras på ett effektivt sätt i behandlingen. Att redan i ett tidigt skede överväga inbyggt dataskydd och dataskydd som standard är avgörande för ett framgångsrikt genomförande av principerna och skyddet av de registrerades rättigheter. När behandlingen har inletts är den personuppgiftsansvarige fortsatt skyldig att upprätthålla inbyggt dataskydd och dataskydd som standard, dvs. fortsätta att på ett effektivt sätt genomföra principerna för att skydda rättigheterna, hålla sig à jour med den senaste tekniken, ompröva risknivån osv. Behandlingarnas art, omfattning och sammanhang samt risken kan förändras under behandlingens gång, vilket innebär att den personuppgiftsansvarige kontinuerligt måste utvärdera sin behandling genom regelbundna översyner och bedömningar av effektiviteten hos de åtgärder och skyddsåtgärder som valts.
Artikel 25.2
Den personuppgiftsansvarige bör välja och vara ansvarig för att införa standardinställningar och alternativ på ett sådant sätt att endast sådan behandling som är absolut nödvändig för att uppnå det fast-
151 Riktlinjerna antogs ursprungligen av dåvarande Artikel 29-arbetsgruppen för skydd av personuppgifter och under sitt första plenarsammanträde godkände Europeiska dataskyddsstyrelsen Artikel 29-gruppens olika vägledningar avseende dataskyddsförordningen.
793Elektroniskt utlämnande av personuppgifter
ställda, lagliga ändamålet utförs som standard. Här bör de personuppgiftsansvariga utgå från sin bedömning att behandlingen är nödvändig sett till de rättsliga grunderna i artikel 6.1. Grundkravet är att dataskyddet ska vara inbyggt i den behandling som utförs som standard. Åtgärderna ska som standard vara lämpliga för att säkerställa att endast personuppgifter som är nödvändiga för varje särskilt ändamål med behandlingen behandlas. De organisatoriska åtgärder som stöder behandlingen ska, redan från början, vara utformade så att endast den minsta mängd personuppgifter som krävs för de särskilda åtgärderna behandlas. Detta ska särskilt beaktas när personal med olika arbetsuppgifter och olika behov får åtkomst till uppgifter. Den personuppgiftsansvarige bör begränsa vilka som kan få tillgång till personuppgifter (och vilken typ av tillgång) grundat på en bedömning av tillgångens nödvändighet, och även se till att personuppgifterna faktiskt är tillgängliga för dem som vid behov behöver dem, t.ex. i kritiska situationer. Åtkomstkontroller bör iakttas för hela dataflödet under behandlingen.
11.6 Myndigheternas uppfattningar om nuvarande
reglering av elektroniskt utlämnande
Skatteverket
Skatteverket anser att det inte ska regleras i vilken form uppgifter får lämnas ut, och att det väsentliga är att utlämnandet sker på ett säkert sätt och i övrigt enligt den allmänna dataskyddsregleringen. Den enskilde får ett tillräckligt skydd genom artikel 32 i EU:s dataskyddsförordning, den allmänna regleringen i övrigt och sekretessregleringen. De sekretessbrytande bestämmelserna bör enligt Skatteverket därför också vara teknikneutrala och endast ange vilka uppgifter som får lämnas ut för att bryta sekretessen och inte ange i vilken form utlämnande ska ske. Skatteverket är vidare av uppfattningen att myndigheten har förmåga att själv bedöma om det är fråga om direktåtkomst när det gäller tillämpning av allmänna bestämmelser som reglerar detta. Skatteverkets uppfattning är även att ett effektivt informationsutbyte i dag inte förutsätter direktåtkomst, utan det kan i regel uppnås på annat sätt. I vissa fall kan dock direktåtkomst vara mest ändamålsenligt, exempelvis när det rör informationshantering i ett system som an-
794Elektroniskt utlämnande av personuppgifter
vänds gemensamt av flera myndigheter, eller om det rör uppgiftsutbyte mellan olika verksamhetsgrenar inom en och samma myndighet. Skatteverket anser även att den nuvarande regleringen utgör ett hinder för sådant elektroniskt utlämnande som är nödvändigt för handläggningen av vissa ärenden och har tidigare lyft frågan i olika sammanhang. Exempelvis har Skatteverk i december 2022 föreslagit regeländringar som möjliggör elektroniskt utlämnande i de fall där det finns ett behov av att lämna uppgift om en enskild i en kontakt med tredje man, som vid exempelvis tredjemansförelägganden. 152 Skatte- 153 verket har även i remissvar påpekat sina behov i detta avseende. Hur uppgifter lämnas ut är enligt Skatteverket en fråga om en avvägning mellan effektivitet och restriktivitet. Det effektivaste är att den mottagande myndigheten alltid får tillgång till all information som den kan komma att behöva och därefter själv avgör vilken information som ytterst behövs i ett ärende, vid kontroll eller för annan åtgärd. 154 Ett mer restriktivt förhållningssätt är enligt Skatteverket att enbart de uppgifter som myndigheten på förhand kan avgöra att det finns ett behov av lämnas ut. Det medför att ett eventuellt överskott blir minimalt. Så snart ett nytt behov uppstår behöver dock en uppdatering göras av leveransen av uppgifter vilket kräver fler åtgärder och ett närmre samarbete mellan den utlämnande och mottagande myndigheten. En avvägning måste därför göras mellan dessa två utgångspunkter.
Tullverket
Enligt Tullverkets uppfattning skapar uppdelningen i utlämnande på medium för automatiserad behandling och direktåtkomst stora problem för myndigheten, särskilt inom ramen för samarbetet inom EU. I det samarbetet görs inte någon rättslig åtskillnad mellan olika former av elektroniskt informationsutbyte.
152 Skatteverkets promemoria, Rättslig möjlighet för Skatteverket att skicka uppgifter om enskilda digitalt till tredje man, dnr 8-2059717. 153 Skatteverkets remissvar, Promemorian Genomförande av EU:s direktiv om finansiell information (Ds 2021:5), dnr 8-763633. 154 Det sker i princip alltid en teknisk bearbetning av den information som mottas för att den ska få ett kompatibelt format och kunna användas med stöd av de arbetsverktyg som verksamheten använder och överflödiga uppgifter kan avskiljas även i detta steg, utifrån vad som närmare behövs i den mottagande myndighetens verksamhet.
795Elektroniskt utlämnande av personuppgifter
Tullverket har särskilt påpekat att av artikel 6.1 och 6.2 i tullkodexen 155 framgår att utbyte och lagring av uppgifter mellan tullmyndigheterna, samt mellan ekonomiska aktörer och tullmyndigheterna, ska ske med hjälp av elektronisk databehandlingsteknik. Tullverket har även påpekat att enligt artikel 16.1 i tullkodexen ska medlemsstaterna samarbeta med kommissionen för att utveckla, underhålla och använda elektroniska system för utbyte av uppgifter mellan olika tullmyndigheter och med kommissionen i enlighet med kodexen. Tullverket har vidare lyft att i artikel 17.1 i tullkodexen anges att kommissionen genom genomförandeakter ska specificera de tekniska arrangemangen för utveckling, underhåll och användning av de elektroniska system som avses i artikel 16.1. Detta är gjort 156 med kommissionens genomförandeförordning som innehåller reglering av hur uppbyggnaden och informationsutbytet ska ske i systemen. I genomförandeförordningen finns det inte någon uppdelning i direktåtkomst eller annat elektroniskt utlämnande. Tullverket har vidare påpekat att dagens reglering kräver analyser som både är tidskrävande och inte nödvändigtvis bidrar till ett ökat integritetsskydd. Utöver att säkerställa att ett utlämnande är förenligt med bl.a. offentlighets- och sekretesslagen, uppfyller kraven i dataskyddsförordningen och interna säkerhetskrav kopplade till informationssäkerhet m.m. är det också nödvändigt för Tullverket att analysera utformningen av den tekniska lösningen för utlämnandet för att säkerställa att lösningen faller inom den kategori av utlämnande som registerförfattningarna medger i det aktuella fallet. Enligt Tullverkets bedömning kräver digitaliseringen andra överväganden för att säkerställa skyddet av skyddsvärds uppgifter. Tullverkets uppfattning är att formen för utlämnande inte bör regleras särskilt. Reglering av tillåtna tekniska lösningar kommer enligt Tullverket att bli omodern, förlora relevans och bli onödigt kostsam. I stället borde det vara en fråga för parterna att avgöra vad som i det enskilda fallet är mest lämpligt utifrån säkerhet, integritet och kostnadseffektivitet m.m. Enligt Tullverket är de faktiska skillnaderna mellan olika former av elektroniskt utlämnande i dag små, såväl ur integritetssynpunkt som rent tekniskt. Det bör därför vara tillräckligt med den reglering
155 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen. 156 Kommissionens genomförandeförordning (EU) nr 2023/1070 av den 1 juni 2023 om tekniska arrangemang för utveckling, underhåll och användning av elektroniska system för utbyte och lagring av information enligt Europaparlamentets och rådets förordning (EU) nr 952/2013.
796Elektroniskt utlämnande av personuppgifter
som finns i dataskyddsförordningen, offentlighets- och sekretesslagen och övrig befintlig informationssäkerhetsreglering. De överväganden som nuvarande registerförfattningar kräver framstår mot den bakgrunden enligt Tullverket som överflödiga och riskerar att hämma den tekniska utvecklingen. Om hänsyn inte längre behöver tas till krav som inte förstärker integritetsskyddet kan det sparas tid och resurser till utveckling av den för ändamålet bästa metoden för utlämnande.
Kronofogdemyndigheten
Kronofogdemyndigheten är av uppfattningen att frågan om utlämnandeform är en säkerhetsfråga. Vid elektroniskt utlämnande måste det enligt Kronofogdemyndigheten säkerställas att rätt mottagare får del av uppgifterna, att mottagaren är behörig att ta del av uppgifterna, att ingen obehörig får tillgång till uppgifterna och att uppgifterna inte får omotiverad exponering. Dessa frågor är dock desamma oavsett om uppgifterna lämnas ut digitalt eller i pappersform. Enligt Kronofogdemyndigheten innebär den nuvarande regleringen stora problem för myndigheten, vilket föranlett en hemställan om ändring i myndighetens registerförfattningar. 157 Bestämmelserna begränsar möjligheterna till utlämnande i stor utsträckning och detta gäller även offentliga uppgifter. Regleringen bygger enligt Kronofogdemyndigheten på antagandet att digitalt utlämnande alltid är känsligt ur integritetssynpunkt. Med hänsyn till den tekniska utvecklingen är detta inte längre ett aktuellt antagande. Det finns många säkra sätt att elektroniskt lämna ut uppgifter, exempelvis inom en e-tjänst med autentiseringskrav eller via Mina meddelanden. 158 Begreppet ”medium för automatiserad behandling” som används i myndighetens registerförfattningar är dessutom inaktuellt. Enligt Kronofogdemyndigheten medför den befintliga regleringen av elektroniskt utlämnande att myndigheten har svårt att på ett ändamålsenligt sätt tillhandahålla information till enskilda. Den begränsar också Kronofogdemyndighetens möjligheter att utforma e-tjänster.
157 Kronofogdemyndighetens promemoria Bättre och snabbare service i Kronofogdemyndighetens verksamhet, KFM 22992–2020. 158 Enskilda kan få digital post från de myndigheter, kommuner och regioner som är anslutna som avsändare till tjänsten Mina meddelanden. Det är namnet på den myndighetsgemensamma infrastrukturen för säker digital post.
797Elektroniskt utlämnande av personuppgifter
Dataskyddsförordningens säkerhetsbestämmelser ger enligt Kronofogdemyndigheten ett starkt integritetsskydd för de registrerade och den befintliga regleringen i den kompletterande dataskyddslagstiftningen framstår därför som omotiverad. Den detaljerade regleringen ställer också krav på återkommande ändringar i kronofogdedatabasförordningen, allt eftersom fler privata subjekt framställer behov av elektronisk tillgång till skuldinformation. Enligt Kronofogdemyndigheten kompliceras tillämpningen också av att regleringen av elektroniskt utlämnande skiljer på direktåtkomst och annat utlämnande. Enligt Kronofogdemyndighetens uppfattning bör formerna för utlämnande inte regleras över huvud taget.
11.7 Överväganden och förslag
11.7.1 Nuvarande reglering av elektroniskt utlämnande
är inte ändamålsenlig
Vår bedömning: Nuvarande bestämmelser om elektroniskt utlämnande är inte ändamålsenliga.
Skälen för vår bedömning
Målet för digitaliseringspolitiken
Målet för digitaliseringspolitiken är sedan flera år att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. 159 Regeringen har 2018 uttalat att målet för digitaliseringen av den offentliga förvaltningen bl.a. är en enklare vardag för medborgare och högre kvalitet och effektivitet i verksamheten. Vidare har regeringen gjort bedömningen att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakter med privatpersoner och företag, samtidigt som säkerheten och skyddet för den personliga integriteten ska säkerställas. 160 I budgetpropositionen för 2023 har regeringen uttalat att det behövs en ambitionshöjning för att nå sagda mål. Regeringen har i sammanhanget påpekat att det faktum att flera andra länder lyckas bättre än Sverige trots sämre förutsättningar, visar på att
159 Budgetpropositionen för 2012, prop. 2011/12:1 utg. omr. 22, s. 84. 160 Budgetpropositionen för 2019, prop. 2018/19:1 utg. omr. 2, s. 53.
798Elektroniskt utlämnande av personuppgifter
Sverige ännu inte lyckats använda digitaliseringens möjligheter fullt ut. 161 Användningen av digitala kommunikationssätt har ökat markant bland enskilda under de senaste 20 åren, vilket framgår av Statistiska centralbyråns, SCB, statistik över befolkningens internetanvändning. År 2003 använde 31 procent av befolkningen i åldern 16–74 år 162 internet aldrig eller bara sällan. Det kan ställas mot att 85 procent av befolkningen i åldern 16–85 år hade legitimerat sig vid användning av internet genom Mobilt Bank-ID eller Bank-ID med kortläsare under en undersökt period år 2020. Endast 3 procent hade under samma period inte använt någon form av digital legitimering. Under 2021 hade 86 procent av befolkningen i åldern 16–85 år använt internet i stort sett varje dag. Över 60 procent av befolkningen i åldern 16–85 år hade under år 2022 fått myndighetspost via ett konto (t.ex. Mina meddelanden). En lika stor andel av befolkningen hade hämtat information på en myndighets hemsida, respektive fått tillgång till information som lagras om personen t.ex. om pension eller hälsa genom en myndighets hemsida. 163 Att digital informationshantering ökar på bekostnad av den analoga motsvarigheten illustreras också av att antalet skickade brev sedan millennieskiftet har minskat med ungefär hälften, vilket fått till följd att vanlig post numera delas ut varannan dag. 164 I flera sammanhang har på olika sätt påpekats att sektorsspecifik dataskyddsreglering ofta utgör ett hinder för myndigheter att använda digitaliseringens möjligheter, genom bestämmelser som i vissa fall kräver pappershantering och i praktiken innebär ett förbud mot elektroniskt utlämnande genom exempelvis e-post. 165 Även Skatteverket och Kronofogdemyndigheten behöver i viss utsträckning kommunicera med enskilda i pappersform, som ett resultat av bestämmelser i den kompletterande dataskyddsregleringen, se avsnitt 11.3.2 och 11.6 ovan. Med hänsyn till hur stor del av Sveriges befolkning
161 Budgetpropositionen för 2023, prop. 2022/23:1, utg. omr. 22, s. 105. 162 SCB, Privatpersoners användning av datorer och Internet 2009, s. 13. 163 SCB, Befolkningens it-användning, tillgänglig på SCB:s webbsida, https://www.scb.se/le0108 [hämtad 2023-04-14]. 164 Postnords pressmeddelande Så fungerar varannandagsutdelning, tillgängligt på Postnords webbsida, https://www.postnord.se/om-oss/pressmeddelanden/framtidens-post/safungerar-varannandagsutdelning [hämtad 2023-04-14]. 165 Jfr bl.a. SOU 2015:39, Myndighetsdatalag, s. 148, SOU 2018:25. Juridik som stöd för förvaltningens digitalisering, s. 71 och Ds 2022:13, Utökat informationsutbyte s. 59.
799Elektroniskt utlämnande av personuppgifter
som i dag kommunicerar digitalt kan det te sig främmande att kommunikation med en myndighet sker via pappersbrev.
Den befintliga regleringen av elektroniskt utlämnande är inte ändamålsenlig
Redan mot bakgrund av att en stor del av befolkningen i dag regelbundet använder sig av digitala informationskanaler och legitimeringssätt framstår det enligt vår bedömning inte som motiverat att på ett generellt plan begränsa Skatteverkets, Tullverkets och Kronofogdemyndighetens möjligheter att lämna ut information till enskilda elektroniskt. Även samhällets generella övergång till digital informationshantering talar för detta och en manuell informationshantering kan i dag inte sägas vara ett realistiskt alternativ för vare sig myndigheter eller företag. 166 Vi anser därför att nuvarande bestämmelser som i praktiken i vissa fall kräver kommunicering i pappersform inte är ändamålsenliga. Sådan reglering avviker dessutom från regeringens uttalade målsättning att digitalt ska vara förstahandsval i den offentliga förvaltningens verksamhet och i kontakt med enskilda. Utgångspunkten bör i stället vara att det i dag är nödvändigt för myndigheterna att använda tekniska hjälpmedel både vid handläggning av ärenden och vid informationsutbyte med andra myndigheter och enskilda. Det är därför viktigt att det finns goda rättsliga möjligheter för elektroniskt informationsutbyte från, och mellan, myndigheter. Vad gäller direktåtkomst är regleringen i dag mycket begränsande även i förhållande till andra myndigheter. Sådant utlämnande tillåts enbart om det finns stöd för det i nuvarande registerlagar. Som framgår av avsnitt 11.3.1 var dock skillnaden mellan direktåtkomst och utlämnande i annan elektronisk form ifrågasatt redan vid tidpunkten för den nuvarande regleringens tillkomst. Bland annat i ljuset av Högsta förvaltningsdomstolens avgörande HFD 2015 ref. 61 (LEFI Onlineavgörandet) framstår frågan som än mer aktuell i dag. Som framgår av avsnitt 11.4.3 kan det hävdas att de omedelbara integritetsskyddsfrågorna genom LEFI Online-avgörandet har kopplats bort från frågan om direktåtkomst föreligger eller inte. Både vid direktåtkomst och vid uppgiftslämnande genom en fråga-svar-tjänst har mottagaren näm-
166 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 47.
800Elektroniskt utlämnande av personuppgifter
ligen en momentan tillgång till information från den utlämnande myndigheten och eventuella sekretessprövningar är gjorda på förhand. Också IMY har nyligen uttalat att det kan finnas skäl att i ljuset av rättsutvecklingen och den tekniska utvecklingen på området utreda frågan om direktåtkomst fortsättningsvis bör särregleras i förhållande till annat utlämnande. 167 Vi anser att frågan om det finns skäl att i fortsättningen upprätthålla en särreglering av utlämnande genom direktåtkomst behöver analyseras förutsättningslöst. Tidigare ställningstaganden, som utgår från väsentligt andra rättsliga och tekniska förutsättningar än idag, bör inte längre vara avgörande för bedömningen. Analysen bör i stället utgå från de faktiska rättsliga och tekniska förhållanden som råder, där den snabba tekniska utvecklingen är en viktig aspekt. Som vi redogör för nedan är vår bedömning att det med hänsyn till EU:s dataskyddsförordning och den rättsliga utvecklingen i övrigt i dag saknas skäl att upprätthålla en åtskillnad mellan olika former av elektroniskt utlämnande. Sammanfattningsvis finns det enligt vår bedömning i dag flera omotiverade begränsningar eller hinder för myndigheterna att lämna ut personuppgifter elektroniskt. Dagens reglering av Skatteverkets, Tullverkets respektive Kronofogdemyndighetens möjligheter att lämna ut uppgifter elektroniskt kan därför inte anses vara väl avvägd i förhållande till den tekniska och rättsliga utvecklingen, och kan inte sägas vara utformad på ett ändamålsenligt sätt.
11.7.2 Teknikneutralitet och dataskydd
Vår bedömning : Det kan ifrågasättas om en särreglering av olika former av elektroniskt utlämnande är förenligt med målsättningen om ett teknikneutralt skydd för den personliga integriteten.
167 IMY:s yttrande, eSam:s promemoria En modern registerförfattning (ES 2022:6), IMY-2022- 1665, s. 9.
801Elektroniskt utlämnande av personuppgifter
Skälen för vår bedömning
Teknikneutralitet som utgångspunkt
I kapitel 5 har vi redogjort för våra utgångspunkter vad gäller en modern och ändamålsenlig kompletterande dataskyddsreglering. En av utgångspunkterna är att den kompletterande dataskyddsregleringen bör vara teknikneutral, vilket kräver överväganden om vilka frågor som över huvud taget ska regleras (se avsnitt 5.2.5). Vi gör där även bedömningen att teknikneutralitet dels följer av EU:s dataskyddsförordning (skäl 15 till förordningen), dels är en förutsättning för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna hålla jämna steg med den tekniska utvecklingen i samhället i övrigt och kunna effektivisera verksamheten till nytta för både myndigheter och enskilda. Regeringen har i andra sammanhang konstaterat att även om det inte finns något generellt hinder mot elektroniskt utlämnande i dataskyddsförordningen finns det enligt artikel 6.3 möjlighet att i nationell rätt införa regler som preciserar förutsättningarna för sådant ut- 168 lämnande. Mot den bakgrunden har bestämmelser i kompletterande lagstiftning som i praktiken begränsar en myndighets möjligheter att använda vissa tekniska lösningar vid uppgiftslämnande ansetts vara förenliga med den generella dataskyddsregleringen. 169 Vi anser dock att även om dataskyddsförordningen inte ställer upp något hinder mot sådana begränsningar är regeringens tidigare förhållningssätt svårförenligt med målsättningen om ett teknikneutralt skydd för den personliga integriteten.
Risken för inlåsningseffekter
I tidigare lagstiftningsärenden där formerna för utlämnande varit i fråga har regeringen konstaterat att både i Sverige och inom EU uppmuntras myndigheter att i så stor utsträckning som möjligt dra nytta av de effektivitetsvinster som modern teknik kan ge. 170 Enligt
168 Av artikel 6.3 andra stycket framgår att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen bl.a. avseende förfaranden för behandling, se avsnitt 11.5.1 ovan. 169 Jfr bl.a. prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 54–55 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 140. 170 Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt s. 104.
802Elektroniskt utlämnande av personuppgifter
dataskyddsförordningen har personuppgiftsansvariga dessutom en skyldighet att beakta de aktuella framsteg på teknikområdet som är tillgängliga vid fastställandet av lämpliga tekniska och organisatoriska åtgärder för personuppgiftsbehandling. Som framgår av avsnitt 11.5.3 finns det ett krav på att de personuppgiftsansvariga ska ha kunskap om och hålla sig uppdaterade om tekniska framsteg, om hur teknik kan medföra datasäkerhetsrisker eller möjligheter för behandlingen och om hur de åtgärder och skyddsåtgärder som säkerställer ett effektivt genomförande bl.a. av de grundläggande principerna för behandling ska genomföras och uppdateras. Reglering av under vilka förutsättningar en viss teknisk lösning får förekomma kräver dock, likt annan normgivning, att bedömningar görs i förväg. I dag är den tekniska utvecklingen mycket snabb och den rättsliga utvecklingen i frågor om dataskydd är ständigt pågående. Ändring av gällande författningar är i jämförelse med den tekniska utvecklingen en långsam process som kräver både resurser och politisk vilja. Begränsningar av tillåtligheten av en viss teknisk lösning vid utlämnande medför därmed att det kan uppstå omotiverade inlåsningseffekter som hindrar myndigheterna från att dra nytta både av de effektivitetsvinster och det utökade integritetsskydd som modern teknik skulle kunna ge. Av dataskyddsförordningen framgår dessutom att kravet på teknikneutralitet i integritetsskyddshänseende är motiverat av att bestämmelser som syftar till att skydda enskildas personliga integritet inte ska kunna kringgås (skäl 15 till förordningen). Det bör enligt vår mening förstås på så sätt att integritetsskyddet som dataskyddsförordningen syftar till att åstadkomma ska gälla oaktat vilken teknisk lösning som används vid uppgiftslämnande. Detta framgår inte minst genom bestämmelser som utgår från risken med en viss behandling. Personuppgiftsansvariga förväntas identifiera riskerna och vidta de åtgärder som krävs för att göra dessa hanterbara oavsett behandlingens tekniska format, se avsnitt 11.7.3 nedan.
Annat elektroniskt utlämnande än direktåtkomst
Av avsnitt 11.3.2 framgår att aktuella begränsningar av myndigheternas möjlighet till elektroniskt utlämnande på annat sätt än genom direktåtkomst i princip uteslutande avser utlämnande till enskilda. Begränsningarna motiverades ursprungligen av de högre integritetsrisker
803Elektroniskt utlämnande av personuppgifter
som ansågs kunna följa med utlämnande av uppgifter på medium för automatiserad behandling, och utlämnande av uppgifter på ett sådant sätt skulle därför endast få ske om det var särskilt föreskrivet (se avsnitt 11.3.1). I de fall uppgifter ska lämnas ut till någon annan än den enskilde själv är därför Skatteverket och Kronofogdemyndigheten i regel rättsligt förhindrade att lämna ut även offentliga uppgifter via exempelvis e-post. Som framgår av avsnitt 11.2.3 har begreppet utlämnande på medium för automatiserad behandling, i takt med att tekniken utvecklats, fått en vidare innebörd än att avse ett överlämnande av elektroniskt lagrade uppgifter via något slags fysiskt medium för lagring eller överföring, som en diskett eller ett usb-minne. I dag kan elektroniskt utlämnande av uppgifter exempelvis ske genom säker e-post eller kräva identifiering av mottagaren via en av myndigheten godkänd e-legitimation. Användande av säker e-post kan exempelvis innebära olika former av kryptering, eller att informationen inte skickas direkt till mottagaren utan i stället lagras på en säker server. Mottagaren får i stället ett aviseringsmeddelande med en länk för att få tillgång till meddelandet. Meddelandet öppnas inte i ett vanligt e-postprogram utan kan enbart läsas från den säkra servern, vilket innebär att utomstående inte kan få tillgång till informationen på väg till mottagaren. Säker e-post kan också kräva att mottagaren anger en kod som sänts till denna via ett annat medium, exempelvis sms, för att få tillgång till informationen. Pappershandlingar riskerar däremot att komma på avvägar såväl inom posthanteringen som på andra sätt. Dagens teknik tillåter dessutom att pappershandlingar mycket enkelt omvandlas till digitala handlingar, exempelvis pdf-format, genom allmänt tillgängliga applikationer för mobiltelefoner. Därefter kan dessa hanteras på samma sätt som annan digital information. Det går inte att ifrågasätta att automatiserad behandling av stora mängder personuppgifter kan medföra förhöjda risker ur integritetssynpunkt. Vi anser dock att det inte längre är riktigt att utgå från att integritetsriskerna alltid är lägre vid ett analogt utlämnande än vid ett elektroniskt utlämnande. Användandet av funktioner som säker e-post kan i stället innebära en högre grad av skydd för personuppgifter än om ett pappersbrev hade skickats. Under förutsättning att utlämnandet sker med tillämpning av tillgängliga tekniker för säker informationsöverföring kan elektroniskt utlämnande alltså innebära ett starkare integritetsskydd än vid analog hantering. Det bör mot
804Elektroniskt utlämnande av personuppgifter
den bakgrunden kunna ifrågasättas om en reglering som i praktiken innebär att elektroniskt utlämnande i vissa fall inte är tillåtet är förenlig med målsättningen att skyddet för fysiska personer ska vara teknikneutralt och inte beroende av den teknik som används.
Direktåtkomst
När direktåtkomst ska upprättas ställs det höga krav på myndigheterna på båda sidor av utlämnandet (se avsnitten 11.4.1 och 11.7.3 nedan). Ett utlämnande genom en fråga-svar-tjänst likt LEFI Online fyller dock i många situationer samma behov som tidigare motiverat inrättandet av system för direktåtkomst, dvs. effektivitet och aktualitet. Det framstår därför som osannolikt att direktåtkomst i dag skulle vara förstahandsvalet i en situation där formerna för ett i övrigt tillåtet utlämnande övervägs. Även fortsättningsvis kommer det dock med stor sannolikhet finnas system för informationsöverföring som rättsligt sett är att betrakta som direktåtkomst, utifrån den gränsdragning som gäller i dag. Utöver befintliga anslutningar för direktåtkomst kan frågan om upprättandet av ett nytt system för direktåtkomst komma att aktualiseras i situationer som omfattar ett informationsförsörjningsuppdrag, när uppgifterna är offentliga eller vid informationsöverföring mellan olika självständiga verksamhetsgrenar inom en myndighet. Även i situationer där två eller flera myndigheter är gemensamt ansvariga för att utföra en viss uppgift kan direktåtkomst komma att framstå som det mest ändamålsenliga sättet för utlämnande. Även om direktåtkomst är ett juridiskt begrepp utgår det, enligt Högsta förvaltningsdomstolens LEFI Online-avgörande, från en bedömning av det tekniska förfarandet vid överföring. Om ett automatiserat system för informationsöverföring inte kräver en reaktion av den utlämnande myndigheten föreligger direktåtkomst. Om systemet däremot kräver en (helt automatiserad) reaktion från den utlämnande myndigheten, och ger användaren samma momentana svar som vid direktåtkomst, föreligger inte direktåtkomst. Frågan om det finns skäl att upprätthålla en åtskillnad mellan direktåtkomst och andra former av elektroniskt informationsutbyte blir därmed även en fråga om att särreglera vissa tekniska lösningar. Därmed bör det kunna ifrågasättas om en begränsande reglering av utlämnande genom direktåtkomst är förenlig med målsättningen om att skyddet
805Elektroniskt utlämnande av personuppgifter
för fysiska personer ska vara teknikneutralt och inte beroende av den teknik som används, för att förhindra att det uppstår en allvarlig risk för att reglerna kringgås. Kraven på inbyggt dataskydd och dataskydd som standard (se avsnitt 11.5.3) är vidare något som alla personuppgiftsansvariga i dag måste uppfylla, oavsett hur omfattande eller komplicerad behandlingen 171 är. Det bör enligt vår mening tolkas som att kraven på inbyggt dataskydd och dataskydd som standard är desamma oavsett vilken teknisk lösning som används. Med utgångspunkt i ansvarsprincipen (artiklarna 5.2 och 24.1 i dataskyddsförordningen) måste utlämnande och mottagande myndigheter i samverkan utarbeta tekniker för informationsutbyte som är säkra och ändamålsenliga oberoende av vilken teknik som bedöms vara mest lämplig i det enskilda fallet och hur den klassificeras rättsligt i den nationella rätten. Här bör även nämnas att befintliga system för utlämnande omfattas av samma krav på inbyggt dataskydd och dataskydd som standard som nya system. Om ett äldre system inte redan uppfyller kraven på inbyggt dataskydd och dataskydd som standard, och ändringar inte kan göras för att uppfylla kraven, uppfyller det inte kraven i dataskyddsförordningen. Det får då inte användas för att behandla personuppgifter genom utlämnande, oaktat hur systemet skulle klassificeras rättsligt. 172 Det förhållandet att den utlämnande myndigheten inte har kontroll över vilka uppgifter mottagarmyndigheten vid varje enskilt tillfälle tar del av har tidigare angetts som grund för att direktåtkomst till personuppgifter från integritetssynpunkt är en särskilt känslig form av elektronisk utlämnande som bör särregleras i den kompletterande dataskyddsregleringen (se t.ex. avsnitten 11.3.1 och 11.4.1). Elektronisk informationsöverföring mellan myndigheter som inte utgör direktåtkomst kan dock i dag innebära att information utbyts nattetid och att begärd information skickas från den utlämnande myndigheten till en brevlåda hos mottagaren, exempelvis genom s.k. batchkörningar där uppgifter lämnas i bulk. Batcher används ofta när det är stora uppgiftsmängder som behöver levereras för uppdatering m.m. Det kan även röra sig om fråga-svar-system som likt LEFI Online lämnar information momentant. Tidigare har det gjorts gällande att den utlämnande myndigheten i dessa situationer har möjlighet att
171 Jfr Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard, Version 2.0, s. 5. 172 Jfr Europeiska dataskyddsstyrelsen (EDPB), Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard, Version 2.0, s. 32.
806Elektroniskt utlämnande av personuppgifter
stoppa överföringen i det enskilda fallet. Den fördröjning eller automatiserade kontroll som är inbyggd i tekniken vid sådant uppgiftslämnandet innebär dock normalt endast en teoretisk möjlighet för den utlämnande myndigheten att kontrollera vilken information som ska lämnas ut. Sekretessprövningen, eller prövningen av vilka uppgifter som omfattas av en författningsreglerad uppgiftsskyldighet och därmed ska lämnas ut utan någon sekretessprövning, sker i stället i samband med att den tekniska förbindelsen upprättas. Detta gäller alltså både vid direktåtkomst och vid annat elektroniskt utlämnande. Någon manuell prövning i samband med utlämnandet sker inte vare sig vid överföringar i moderna system som inte klassas som direktåtkomst, eller vid direktåtkomst. Även om det finns en teoretisk möjlighet att stoppa en överföring vid annat elektroniskt utlämnande än direktåtkomst borde det normalt vara först efter att en eventuell felaktighet upptäckts som åtgärder vidtas. Vid direktåtkomst har den utlämnande myndigheten en liknande möjlighet att hindra vidare utlämnande genom att stänga förbindelsen, vilket exempelvis bör kunna bli aktuellt om det framkommer tecken på att hanteringen hos mottagaren inte uppfyller de krav på säkerhet och skydd som avtalats, eller om uppgifterna inte behandlas för legitima ändamål hos den mottagande myndigheten. 173 En rättslig möjlighet att medge en annan myndighet direktåtkomst medför nämligen inget krav på att sådan åtkomst alltid måste medges. Den tekniska utvecklingen har följaktligen medfört att skillnaderna mellan direktåtkomst och annat elektroniskt utlämnande blivit begränsade i detta avseende. Även Informationsutredningen konstaterade att begreppet direktåtkomst var svårt att avgränsa sakligt i förhållande till annat ”näraliggande” elektroniskt utlämnande. Enligt utredningen kunde det tänkas förekomma ett författningsreglerat informationsutbyte som visserligen benämndes som direktåtkomst men där systemen för informationsutbytet var så pass finmaskigt kalibrerade att det inte uppstod någon överskottsinformation som mottagaren enligt någon absolut eller villkorad sökbegränsning inte fick ta del av, utan där mottagarens åtkomst faktiskt hade begränsats till enbart uppgifter som konkret behövdes (eller skulle komma att behövas) i verksamheten. Det kunde enligt utredningen även tänkas att system som klas-
173 Jfr prop. 2020/21:224, Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt s. 105.
807Elektroniskt utlämnande av personuppgifter
sificerades som ett annat elektroniskt utlämnande vid närmare granskning kunde visa sig medföra överskottsinformation. 174 Det är vidare inte otänkbart att ett system för direktåtkomst med användandet av nya tekniker skulle kunna medföra ett starkare inbyggt dataskydd än andra former av elektroniskt utlämnande. Eftersom myndigheter är rättsligt begränsade till att enbart behandla sådana uppgifter som är nödvändiga för deras verksamhet (se t.ex. avsnitten 3.5.2 och 9.2.3) bör den mottagande myndigheten ha funktioner för loggning och sökning, samt rutiner för uppföljning, som hindrar att medarbetare söker information som omfattas av direktåtkomsten men som inte behövs i verksamheten. Detta i syfte att kunna visa att den myndigheten inte behandlar personuppgifter på ett otillåtet sätt. Med framtida teknik kan sådana säkerhetsåtgärder förväntas bli mer effektiva och exakta. Som framgår av avsnitt 11.5.3 förutsätter dataskyddsförordningens krav på inbyggt dataskydd och dataskydd som standard att den personuppgiftsansvariga vidtar åtgärder i det tekniska systemet som säkerställer att de grundläggande principerna för personuppgiftsbehandling efterlevs. Exempelvis kan en direktåtkomst utformas som en sök-och-visa-tjänst med inbyggda tekniska begränsningar som innebär att uppgifter inte kan hämtas till den mottagande myndigheten eller på annat sätt vidarebearbetas där. Möjligheten att kopiera eller hämta information som visas på en sida kan alltså rent tekniskt begränsas, liksom möjligheten att ta en s.k. skärmbild. Sådana funktioner är redan i dag vanliga i exempelvis applikationer för hantering av digitala betalningssätt eller bankärenden. Med framtida teknik kan sådana begränsningar förväntas bli än mer effektiva. Vid ett utlämnande genom direktåtkomst, med tillämpning av sådana tekniker, behåller den utlämnande myndigheten kontrollen över informationen på ett annat sätt än vid annat elektroniskt utlämnande. Det är också sannolikt att framtida tekniska lösningar som motsvarar direktåtkomst kan kalibreras så att överskottsinformation kan begränsas till ett absolut minimum. Åtkomsten skulle exempelvis kunna utformas på så sätt att systemet på mottagarsidan utan undantag tillåter uppkoppling till systemet först i samband med att ett ärende registreras hos den mottagande myndigheten, och endast kan användas för att hämta information som faktiskt behövs i ärendet. Systemet på mottagarsidan kan också komma att kunna utformas på så sätt att någon åtkomst till överskottsinformation inte är möjlig ens
174 SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 119.
808Elektroniskt utlämnande av personuppgifter
för den mottagande myndighetens it-tekniker. Även om sådana säkerhetsåtgärder sannolikt inte helt kan upphäva integritetsrisker i form av bl.a. otillåten spridning så kan de medverka till att direktåtkomst i detta avseende innebär liknande eller mindre risker som andra former av elektroniskt utlämnande. Vid direktåtkomst gäller dessutom ofta den s.k. databassekretessen (se avsnitt 15.5). Om utlämnande genom direktåtkomst däremot fortsätter vara förbjudet i de fall det inte är uttryckligen tillåtet saknar myndigheterna möjlighet att välja en utlämnandeform som skulle komma att klassificeras som direktåtkomst oavsett att denna hade erbjudit ett förhöjt integritetsskydd. Som vi konstaterat ovan minskar risken för inlåsningseffekter, till följd av oförutsedd teknikutveckling och till nackdel för skyddet för den personliga integriteten, om tekniken som används inte regleras i sak. Mycket förefaller därmed kunna vinnas på att göra begreppsbildningen kring elektroniskt utlämnande enklare, och att skapa en mer enhetlig struktur och systematik på området. Vi anser sammanfattningsvis att det framstår som svårförenligt med målsättningen om teknikneutralitet att vid utformningen av den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten dra en skarp juridisk gräns mellan direktåtkomst och annat elektroniskt utlämnande. En reglering som inte gör en rättslig åtskillnad mellan direktåtkomst och annat utlämnande stämmer enligt vår bedömning bättre överens med dataskyddsförordningen.
11.7.3 Direktåtkomst i ljuset av EU:s dataskyddsförordning
Vår bedömning : EU:s dataskyddsförordning tillgodoser de behov av insyn, enhetlighet, ansvarsfördelning och integritetsskydd som aktualiseras vid direktåtkomst.
Skälen för vår bedömning
En väl analyserad och förberedd direktåtkomst
Vår bedömning är att en väl analyserad och förberedd direktåtkomst, där de inblandade myndigheterna övervägt och löst frågor som rör sekretesskydd på ömse håll, vidtagit behövliga säkerhetsåtgärder, be-
809Elektroniskt utlämnande av personuppgifter
gränsat eventuell överskottsinformation samt övervägt frågan om eventuella begränsningar i den mottagande myndighetens möjlighet att använda sig av de uppgifter som blir åtkomliga, inte behöver innebära större risker för den enskildes integritet än vid en annan form av elektroniskt utlämnande av personuppgifter. Detta var även Informationshanteringsutredningens bedömning (se avsnitt 11.4.1). 175 Genom Högsta förvaltningsdomstolens LEFI Online-avgörande bör den bedömningen dessutom anses ha fått ytterligare styrka, eftersom mer generella frågor om integritetsskydd därigenom kan sägas ha kopplats bort från frågan om direktåtkomst föreligger eller inte. Avgörandet rörde i och för sig begreppet direktåtkomst enligt socialförsäkringsbalken, men domstolen har senare gett det generell tilllämplighet (HFD 2020 not 16). Som framgår av avsnitt 11.4.2 utgår bedömningen i dag från om den utlämnande myndigheten reagerar på en begäran om utlämnande eller inte. Såvitt framgår av LEFI Online-avgörandet förefaller det inte tillmätas någon betydelse hur den reaktionen är utformad. Vi bedömer att de integritetsrisker som direktåtkomst kan medföra är att de inblandade myndigheterna inte beaktar de särskilda frågor och krav på skydd för enskilda som en sådan åtkomst ger upphov till, eller att det inte ägnas uppmärksamhet åt frågor som är förknippade med att myndigheternas gränser på ett sätt kan sägas öppnas upp. Att respektive myndighets ansvar för både verksamhet, säkerhet och personuppgifter inte klargörs inför inrättandet av en direktåtkomst utgör också en risk. Om någon rättslig åtskillnad mellan olika former av utlämnande inte upprätthålls skulle det kunna hävdas att dessa frågor riskerar att inte få den uppmärksamhet som behövs för att på ett tillfredsställande sätt skydda den enskildes integritet. Ett annat skäl för att upprätthålla en åtskillnad mellan olika former av elektroniskt utlämnande skulle kunna vara att det anses finnas ett behov av överblick över rättsområdet och ett intresse av att verka för enhetlighet vid avvägningar mellan effektivitet och integritet, och i fråga om på vilken nivå kraven på t.ex. informationssäkerhet bör ligga. Frågan är då om dessa risker, mot bakgrund av den rättsliga utvecklingen och särskilt antagandet av EU:s dataskyddsförordning, utgör skäl för att anse att direktåtkomst även fortsättningsvis bör regleras särskilt för att vara tillåten.
175 SOU 2015:39, Myndighetsdatalag, s. 151.
810Elektroniskt utlämnande av personuppgifter
Dataskyddsförordningens övergripande syfte
I dag är dataskyddsförordningen den primära rättskällan i dataskyddsfrågor, vilket även gäller för Skatteverket, Tullverket och Kronofogdemyndigheten. Dataskyddsförordningen ska tillämpas av myndigheterna på precis samma sätt som om den vore en svensk författning. Som redan framgått reglerar inte dataskyddsförordningen hur behandling av personuppgifter rent tekniskt ska gå till, vare sig vid utlämnande eller vid behandling för andra ändamål. Däremot anger den inledande artikeln syftet med förordningen; att fastställa bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter, skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter och att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. 176 Av skäl 10 till dataskyddsförordningen framgår även att för att säkra en enhetlig och hög skyddsnivå för fysiska personer och för att undanröja hindren för flödena av personuppgifter inom unionen bör nivån på skyddet av fysiska personers rättigheter och friheter vid behandling av personuppgifter vara likvärdig i alla medlemsstater. En konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter bör säkerställas i hela unionen. Enligt dataskyddsförordningen är det tillåtet, och krävs i vissa fall, att i nationell rätt införa eller behålla regler som närmare reglerar myndigheters personuppgiftsbehandling. Det övergripande syftet förefaller dock vara att skapa ett enhetligt och likvärdigt skydd för personuppgifter i hela unionen. De grundläggande krav som ställs upp är exempelvis generellt tillämpliga på alla former av behandling (se avsnitt 3.5.2). I andra sammanhang har vi bedömt att kompletterande dataskyddsreglering enbart bör införas om det är nödvändigt för att uppfylla dataskyddsförordningens krav, eller om allmänna dataskyddsbestämmelser inte utgör en tillfredsställande reglering (se exempelvis avsnitt 5.2.3 och avsnitt 14.7 om rättslig grund för dataanalyser och urval). Vi anser att även i frågan om utlämnandeformer bör utgångspunkten vara att eventuell kompletterande dataskyddsreglering bör
176 Artikel 1.1–3 i dataskyddsförordningen.
811Elektroniskt utlämnande av personuppgifter
utgå från identifierade risker som inte får en tillfredsställande reglering genom de generella bestämmelserna. I dataskyddsförordningens kapitel VI och VII finns vissa bestämmelser som är särskilt viktiga avseende hur en enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter ska säkerställas. Varje medlemsstat ska föreskriva att en eller flera offentliga myndigheter ska vara ansvariga för att övervaka tillämpningen av dataskyddsförordningen, vilket i Sverige är IMY. Varje tillsynsmyndighet ska bidra till en enhetlig tillämpning i hela unionen och ska samarbeta såväl sinsemellan som med kommissionen. 177 Samarbetet ska ske genom en särskild mekanism för enhetlighet. 178 Som tidigare nämnts ska den personuppgiftsansvarige enligt artikel 35.1 göra en konsekvensbedömning om en ny behandling sannolikt bedöms leda till en hög risk för fysiska personers rättigheter och friheter. Vid denna bedömning ska den personuppgiftsansvarige bl.a. göra en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena med behandlingen. Av dataskyddsförordningen framgår vidare att det ibland kan vara förnuftigt och ekonomiskt att en konsekvensbedömning avseende dataskydd inriktar sig på ett vidare område än ett enda projekt, exempelvis när myndigheter eller organ avser att skapa en gemensam tillämpnings- 179 eller behandlingsplattform. Av artikel 35.4 följer att IMY ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd. Den ovan nämnda mekanismen för enhetlighet föreskriver att EDPB ska avge ett yttrande över en förteckning över behandling som omfattas av kravet på en konsekvensbedömning avseende dataskydd enligt artikel 35.4. 180 Av den förteckning IMY upprättat framgår att en konsekvensbedömning avseende dataskydd ska göras om den planerade behandlingen uppfyller minst två av bl.a. följande kriterier: 181
177 Artikel 51.1 och 51.2 i dataskyddsförordningen och 2a § förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten. 178 Artikel 63 och kapitel VII i dataskyddsförordningen. 179 Skäl 92 till dataskyddsförordningen. 180 Artikel 64.1 a i dataskyddsförordningen. Europeiska dataskyddsstyrelsen består av chefen för en tillsynsmyndighet per medlemsstat och av Europeiska datatillsynsmannen eller deras respektive företrädare, se artikel 68 i dataskyddsförordningen. 181 IMY, Förteckning enligt artikel 35.4 i Dataskyddsförordningen, DI-2018-13200, s. 3.
812Elektroniskt utlämnande av personuppgifter
• Behandlar personuppgifter i syfte att fatta automatiserade beslut som har rättsliga följder eller liknande betydande följder för den registrerade. • Behandlar känsliga personuppgifter enligt artikel 9 eller uppgifter som är av mycket personlig karaktär. • Behandlar personuppgifter i stor omfattning. • Kombinerar personuppgifter från två eller flera behandlingar på ett sätt som avviker från vad de registrerade rimligen kunnat förvänta sig, till exempel när man samkör register. • Använder ny teknik eller nya organisatoriska lösningar.
Beroende på de rättsliga förutsättningarna för ett planerat uppgiftslämnande, exempelvis avseende sekretessbestämmelser, regler för personuppgiftsbehandling vid den mottagande myndigheten, uppgifternas karaktär, syftet med och omfattningen av utlämnandet kan personuppgiftsansvariga myndigheter som överväger att upprätta en direktåtkomst enligt dataskyddsförordningen vara skyldiga att upprätta en konsekvensbedömning. I situationer där det är osäkert om en konsekvensbedömning är nödvändig bör en sådan ändå utföras, eftersom det är ett användbart verktyg för att hjälpa personuppgiftsansvariga att iaktta dataskyddslagstiftningen. 182 Om det av en konsekvensbedömning framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och säkerhetsmekanismer kommer att innebära en hög risk, och den personuppgiftsansvariga anser att risken inte kan begränsas genom rimliga åtgärder, så bör samråd hållas med IMY innan behandlingen inleds. 183 Om IMY efter ett sådant förhandssamråd anser att den planerade behandlingen skulle strida mot dataskyddsförordningen, särskilt om den personuppgiftsansvariga myndigheten inte i tillräcklig utsträckning har fastställt eller reducerat risken, har IMY möjlighet att införa en tillfällig begräns- 184 ning av eller ett förbud mot behandlingen.
182 Artikel 29-arbetsgruppen för skydd av personuppgifter, Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, 17/SV WP 248 rev. 01, s. 9. Här kan också nämnas att personuppgiftsansvariga även på ett generellt plan är skyldiga att ha dokumentation som visar att behandling utförs i enlighet med dataskyddsförordningen, vilket framgår av artikel 5.2 och artikel 24.1. 183 Skäl 94 till dataskyddsförordningen. 184 Artiklarna 36.2 och 58.2 f i dataskyddsförordningen.
813Elektroniskt utlämnande av personuppgifter
I dataskyddsförordningen finns det alltså inte enbart generella principer och krav som de personuppgiftsansvariga måste tillgodose, utan även en tydlig ordning för hur utvärdering, bedömning och prövning av en särskilt riskfylld behandling av personuppgifter ska genomföras. Mot bakgrund av dataskyddsförordningens övergripande syfte, och särskilt hur det manifesteras i tillsynsmyndigheternas befogenheter och skyldigheter avseende en enhetlig tillämpning, är vår bedömning att det behov av enhetlighet som skulle kunna utgöra ett skäl för en fortsatt rättslig åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande tillgodoses av dataskyddsförordningen. Vi anser därför inte att det finns skäl att nationellt göra en rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande utifrån behovet av enhetlighet.
Dataskyddsförordningens grundläggande principer för behandling, krav på säkerhet och bestämmelser om registrerades rättigheter
I avsnitt 3.2.5 har vi redogjort för de grundläggande principer som enligt dataskyddsförordningen ska tillämpas vid all behandling av personuppgifter. Begreppen personuppgiftsansvarig och gemensamt personuppgiftsansvariga spelar en viktig roll vid tillämpningen eftersom de fastställer vem som ska ansvara för efterlevnaden av olika dataskyddsbestämmelser och hur registrerade personer kan utöva sina rättigheter i praktiken. 185 Personuppgiftsansvarig är den myndighet som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Enligt den s.k. ansvarsprincipen är det den myndighet som, enligt författning eller efter en analys av de faktiska förhållandena i det enskilda fallet, är personuppgiftsansvarig som också åläggs ansvaret för all behandling av personuppgifter som den utför eller som utförs på myndighetens vägnar. Personuppgiftsansvarig myndighet är skyldig att vidta åtgärder och att kunna visa att behandlingen som myndigheten utför är förenlig med dataskyddsförordningen. 186 Gemensamt personuppgiftsansvar kan uppstå när mer än en aktör är involverad i behandlingen. I dataskyddsförordningen finns särskilda
185 EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR, Version 2.0, s. 3. 186 Jfr artikel 24.1 och skäl 74 till dataskyddsförordningen samt EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1, s. 3.
814Elektroniskt utlämnande av personuppgifter
regler för gemensamt personuppgiftsansvariga som ger ett ramverk för att styra relationen mellan parterna. Gemensamt personuppgiftsansvariga ska bl.a. under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter, särskilt avseende skyldigheterna att tillhandahålla information, om inte dessa skyldigheter framgår av unionsrätten eller nationell rätt. Det krävs dock att behandlingen inte skulle vara möjlig utan båda parternas deltagande i betydelsen att behandlingen från varje part är oskiljbar. Det gemensamma deltagandet måste inkludera fastställandet av behandlingsändamålet å ena sidan 187 och fastställandet av behandlingssättet å andra sidan. Utöver de grundläggande principerna för behandling (bl.a. uppgiftsminimering, ändamålbegränsning och lagringsminimering) innehåller dataskyddsförordningen även flera instruktioner, eller förfarandebestämmelser, som styr hur den personuppgiftsansvariga är skyldig att agera för att skyddet för den personliga integriteten ska upprätthållas i det enskilda fallet. Begreppet ”risk” är centralt i dessa sammanhang och det som avses är risker för fysiska personers rättigheter och friheter. Främst avses integritetsrisker men det kan också vara andra grundläggande rättigheter, exempelvis yttrandefrihet, rätten 188 att inte bli utsatt för diskriminering och rätten till religionsfrihet. Någon definition av vad begreppet risk rent konkret innebär finns dock inte i dataskyddsförordningen. Däremot anges exempel på när risker typiskt sett kan uppkomma. Det är bl.a. vid behandling av känsliga personuppgifter eller vid personuppgiftsbehandling som skulle kunna medföra immateriella skador, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, hinder mot registrerades möjlighet att utöva kontroll över sina personuppgifter, eller om behandlingen inbegriper 189 ett stort antal personuppgifter och gäller ett stort antal registrerade. Hur sannolik och allvarlig risken är ska fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken ska vidare utvärderas genom en objektiv bedömning som fastställer om behandlingen medför en risk eller en hög risk. 190
187 Artikel 26 i dataskyddsförordningen och EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR, Version 2.0, s. 3. 188 Jfr Artikel 29-arbetsgruppen för skydd av personuppgifter, Statement on the role of a riskbased approach in data protection legal frameworks, 14/EN WP 218 s. 4. 189 Skäl 75 till dataskyddsförordningen. 190 Skäl 76 till dataskyddsförordningen.
815Elektroniskt utlämnande av personuppgifter
Regleringen är ofta utformad på så sätt att den personuppgiftsansvariga åläggs en mer eller mindre specifik skyldighet att agera med utgångspunkt i de risker som en viss behandling bedöms föra med 191 sig. Exempelvis har vi i avsnittet ovan redogjort för den personuppgiftsansvarigas skyldighet att göra en konsekvensbedömning, och eventuellt även samråda med IMY, om en ny behandling sannolikt bedöms leda till en hög risk. Personuppgifter ska dessutom enligt artikel 32.1 alltid behandlas på ett sätt som med användning av tekniska och organisatoriska åtgärder säkerställer lämplig säkerhet för personuppgifterna i förhållande till risken, bl.a. avseende förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen. Dataskyddet ska vidare enligt artikel 25.1 byggas in i de tekniska systemen för informationshantering och utformas bl.a. med hänsyn till de risker behandlingen för med sig (se avsnitt 11.5.3). Utöver bestämmelser som ålägger personuppgiftsansvariga myndigheter en skyldighet att agera för att på ett effektivt sätt minimera riskerna vid behandling av personuppgifter, och särskilda förfaranderegler vid särskilt hög risk och vid gemensamt personuppgiftsansvar, finns även flera bestämmelser som ålägger personuppgiftsansvariga skyldigheter direkt i förhållande till de personer om vilka uppgifter behandlas. Personuppgiftsansvariga har exempelvis som utgångspunkt en långtgående informationsskyldighet gentemot de registrerade, enligt den s.k. öppenhetsprincipen. 192 Öppenhetsprincipen kräver bl.a. att all information och kommunikation i samband med behandlingen är lättillgänglig och lättbegriplig och att ett klart och tydligt språk används. Det gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen. De registrerade ska dock även få information om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. 193 Vid gemensamt personuppgiftsansvar ska även arrangemanget mellan de personuppgiftsansvariga göras tillgängligt för den registre-
191 Artikel 29-arbetsgruppen för skydd av personuppgifter har dock understrukit att de registrerades rättigheter, som garanteras av unionsrätten, alltid ska respekteras oberoende av risknivå, se Statement on the role of a risk-based approach in data protection legal frameworks, 14/EN WP 218 s. 3. 192 Se artiklarna 13–15 i dataskyddsförordningen. 193 Skäl 39 till dataskyddsförordningen.
816Elektroniskt utlämnande av personuppgifter
rade, vilket innebär att det måste det vara fullständigt klart för den registrerade vilken personuppgiftsansvarig som han eller hon kan kontakta om han eller hon avser att utöva en eller flera av sina rät- 194 tigheter enligt dataskyddsförordningen. I situationer där erhållande eller utlämnande av personuppgifter föreskrivs genom EU-rätten eller nationell rätt görs undantag från vissa krav på personuppgiftsansvariga att tillhandahålla information till de registrerade. Detta undantag kräver dock att det finns lämpliga åtgärder för att skydda den registrerades berättigade intressen. 195 Även i dessa situationer bör personuppgiftsansvariga myndigheter dessutom som utgångspunkt klargöra för de registrerade att personuppgifter erhålls och utlämnas i enlighet med bestämmelsen i fråga. 196 Som nämnts inledningsvis kan risken för att frågor om dataskydd och ansvar för verksamhet, säkerhet och personuppgifter inte får den uppmärksamhet som krävs för att skydda den enskildes integritet utgöra ett argument för upprätthålla en rättslig åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande. Även frågan om information till den enskilde får anses vara en viktig aspekt i sammanhanget. Genom dataskyddsförordningens ansvarsprincip ställs dock i dag ett flertal krav på personuppgiftsansvariga (myndigheten eller myndigheterna) att vidta åtgärder baserat på den risk en potentiell behandling innebär. Det bör i relation till utlämnande genom direktåtkomst tolkas som ett krav från den utlämnande myndighetens sida på exempelvis robusta behörighetskontroller, loggning och begränsningar av åtkomst till personuppgifter hos den mottagande myndigheten. Vidare bör dataskyddsförordningen i sammanhanget anses ställa krav på lösenordskyddade nätverk och enheter, kryptering vid överföringen, utbildning i dataskyddsfrågor, i själva anslutningen inbyggda begränsningar av den mottagande myndighetens åtkomst och sökmöjligheter, samt andra tekniska avgränsningar av tillgänglig information, och särskilt avseende överskottsinformation. Förordningen bör även anses ställa krav på den utlämnande myndigheten att, både innan en direktåtkomst upprättas och under tiden den är aktiv, granska och bedöma risker även avseende den behandling som kan komma att utföras hos den mottagande myndigheten samt bedöma
194 Artikel 29-arbetsgruppen för uppgiftsskydd [sic!], Riktlinjer om öppenhet enligt förordning (EU) 2016/679, 17/SV WP260rev.01, s. 24 samt artikel 26.2 i dataskyddsförordningen. 195 Artikel 14.5 c i dataskyddsförordningen. 196 Artikel 29-arbetsgruppen för uppgiftsskydd [sic!], Riktlinjer om öppenhet enligt förordning (EU) 2016/679, 17/SV WP260rev.01, s. 33.
817Elektroniskt utlämnande av personuppgifter
om de skyddsåtgärder den mottagande myndigheten inför är effektiva, samt vid tecken på ökade risker för de registrerade stänga eller ytterligare begränsa åtkomsten. 197 Dataskyddsförordningen innehåller också bestämmelser som tydliggör vad som ska gälla vid delat personuppgiftsansvar, och om hur personuppgiftsansvariga ska informera de registrerade om den behandling som sker. Vår sammantagna bedömning är därför att behovet av att ge frågor om dataskydd och respektive myndighets ansvar för verksamhet, säkerhet och personuppgifter den uppmärksamhet som krävs för att skydda den enskildes integritet, i dag tillgodoses av dataskyddsförordningens bestämmelser. Vi anser därför att det inte finns skäl för att göra en rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande utifrån det behovet.
11.7.4 Proportionalitetskravet enligt artikel 6.3
i dataskyddsförordningen
Vår bedömning: Att inte göra en rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande är avseende utlämnande från Skatteverket, Tullverket och Kronofogdemyndigheten förenligt med kravet på att den rättsliga grunden ska vara proportionerlig mot det legitima mål som eftersträvas.
Skälen för vår bedömning
En högre risk?
Vid alla former av utlämnande från en myndighet till en annan finns det en risk för att uppgifterna behandlas på ett annat sätt än som ursprungligen varit avsikten, eller i ett sammanhang där de inte behövs. Det gäller oavsett om utlämnande sker med digitala hjälpmedel eller analogt. Regeringen har dessutom nyligen, i ett lagstiftningsärende avseende i vilken form uppgifter ska lämnas mellan olika aktörer inom vården, uttalat att det inte [längre] är en stor skillnad mellan
197 I avsnitt 11.3.2 har vi redogjort för att det i den nuvarande regleringen för Skatteverkets beskattningsverksamhet finns exempel på bestämmelser som anger att direktåtkomst får medges först sedan innan Skatteverket har försäkrat sig om att behörighetsfrågorna hos mottagaren är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt. Mot bakgrund av de krav dataskyddsförordningen ställer upp bör det i dag anses vara en form av dubbelreglering.
818Elektroniskt utlämnande av personuppgifter
direktåtkomst och en elektronisk fråga-svar-funktion vad gäller risken för integritetsintrång. 198 Om en direktåtkomst inte är väl förberedd och de informationssäkerhetsfrågor den ger upphov till inte har hanterats kan det dock vara en utlämnandeform som kan medföra en högre risk för de registrerade än andra former av elektronisk informationsöverföring. Ett utlämnande av uppgifter genom direktåtkomst kan också innebära att en större mängd uppgifter än vid annan informationsöverföring kan komma att behandlas i ett annat sammanhang än som ursprungligen avsetts. Som framgår av avsnitt 11.2.2 medför direktåtkomst nämligen att samtliga uppgifter som åtkomsten omfattar anses utlämnande till, och även förvarade hos, den mottagande myndigheten i samma stund anslutningen upprättas och är aktiv. Enligt offentlighetsprincipen kan den mottagande myndigheten därmed ha en skyldighet att söka fram och behandla personuppgifter ur överskottsinformation som ett led i att handlägga en begäran om utlämnande av allmän handling, trots att den myndigheten för egen del inte har något behov av eller rätt att ta del av handlingarna. 199 Det har tidigare gjorts såväl grundlagsändringar som ändringar i vanlig lag i syfte att handlingsoffentligheten i fråga om elektronisk information inte ska få proportioner som bedömts som orimliga eller olämpliga. Ändringar i sekretessregleringen har även gjorts, vilket i dag kan medföra att uppgifterna får ett starkare skydd hos den mottagande myndigheten vid direktåtkomst än vid andra former av utlämnande (se avsnitt 11.2.2 och avsnitt 15.5). I övrigt har det främst varit genom införande av eller ändringar i kompletterande dataskyddsreglering som integritetsskydd har skapats för att minska handlingsoffentlighetens faktiska räckvidd i fråga om myndigheters behand- 200 ling av personuppgifter. Som redan nämnts har lagstiftaren tidigare bedömt att direktåtkomst är en så integritetskänslig form av personuppgiftsbehandling att den i princip endast är tillåten om det finns stöd för den i lag. 201 Det innebär att riksdagen har tagit ställning om uppgiftslämnande på detta sätt varit proportionerligt, och vägt frågan om integritetsskydd mot behovet av ett effektivt informationsutbyte.
198 Prop. 2021/22:177, Sammanhållen vård och omsorgsdokumentation, s. 79. 199 Jfr SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 136. 200 Se redogörelsen i SOU 2012:90, Överskottsinformation vid direktåtkomst, s. 134. 201 Jfr bl.a. redogörelsen i SOU 2010:4, Allmänna handlingar i elektronisk-form – offentlighet och integritet, s. 133–134 och 365.
819Elektroniskt utlämnande av personuppgifter
Måste direktåtkomst regleras särskilt för att vara proportionerlig?
Om någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande inte görs i den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten blir det i stället upp till respektive myndighet att utvärdera och bedöma behovet, tillämpliga sekretessbrytande regler och integritetsriskerna, och därefter ta ställning till vilken teknisk lösning som ska användas vid ett utlämnande. Myndigheterna kan då komma att, efter ett eventuellt samråd med IMY (se avsnitt 11.7.3), upprätta system för direktåtkomst, utan att lagstiftaren tagit ställning till om de konsekvenser som direktåtkomsten medför i det enskilda fallet är proportionerliga i förhållande till syftet med det aktuella informationsutbytet. Utan begränsningar av när direktåtkomst är tillåten skulle det därmed kunna ifrågasättas om kravet enligt artikel 6.3 sista stycket i EU:s dataskyddsförordning är uppfyllt, avseende att den rättsliga grunden för behandlingen ska vara proportionerlig mot det legitima mål som eftersträvas. 202 Dataskyddsförordningen ställer nämligen krav på att det i den nationella rätten ska finnas lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen i vissa situationer (se exempelvis artiklarna 9.2 g och 14.5 c). En begränsning av myndigheternas möjligheter att lämna ut uppgifter genom direktåtkomst skulle kunna anses vara en sådan åtgärd. I frågan om proportionaliteten av den rättsliga grunden för myndigheternas personuppgiftsbehandling vid elektroniskt utlämnande anser vi dock att de rättigheter för enskilda och skyldigheter för myndigheter som finns i den allmänna dataskyddsregleringen, det förvaltningsrättsliga regelverket i stort och i övrig reglering som styr myndigheternas verksamhet också måste beaktas. Dataskyddsförordningen ska tillämpas av myndigheterna som vore det en svensk författning. Som vi konstaterat ovan bör det inte vara möjligt för en myndighet att iaktta dataskyddsförordningens bestämmelser utan
202 Ett system för informationsöverföring mellan myndigheter som på ett tekniskt plan motsvarar direktåtkomst, i det avseendet att den utlämnande myndigheten inte reagerar på en begäran från den mottagande myndigheten, är såvitt vi kunnat utröna inte prövat av EU-domstolen i fråga om en rättslig grund som tillåter sådant kan anses proportionerlig, eller i överensstämmelse med dataskyddsförordningens övriga bestämmelser. Något avgörande som dessutom behandlar de särskilda konsekvenser offentlighetensprincipen för med sig vid utlämnande genom direktåtkomst finns såvitt vi kunnat se inte heller.
820Elektroniskt utlämnande av personuppgifter
att ägna tillräcklig uppmärksamhet åt frågor om informationssäkerhet vid utlämnande genom direktåtkomst. En mottagande myndighet kan vidare inte följa dataskyddsförordningens bestämmelser utan att begränsa medarbetarnas möjlighet att behandla personuppgifter, vilket självfallet även gäller för sådana uppgifter som utgör överskottsinformation. Överskottsinformation är per definition sådan information som den mottagande myndigheten saknar legitim grund för att behandla i sin verksamhet. En självklar utgångspunkt bör dessutom vara att svenska myndigheter iakttar gällande rätt i övrigt, även i situationer där formen för ett föreskrivet uppgiftslämnande övervägs. I gällande rätt finns i många fall redan ett skydd för den personliga integriteten, också avseende uppgifter som utgör överskottsinformation. Det rör sig om sekretessregler i nationell rätt (eller unionsrätten), förvaltningslagens (2017:900) bestämmelser – med bl.a. krav på legalitet, objektivitet och proportionalitet – liksom myndighetsförordningens (2007:515) krav på myndigheter att följa gällande rätt (jfr avsnitt 5.2.6 och 8.4.2). Utöver skyldigheten att lämna uppgifter har personuppgiftsansvariga myndigheter även att iaktta dessa bestämmelser i samband med informationsöverföringen. Trots det nyss sagda kan det hävdas att frånvaron av särskild reglering av när direktåtkomst är tillåten ändå kan medföra en oacceptabelt hög risk för enskilda vars uppgifter behandlas, vilket av det skälet talar för en reglering. I avsnitt 11.7.3 har vi beskrivit förfarandet med konsekvensbedömningar och samråd med tillsynsmyndighet vid behandlingar som sannolikt medför en hög risk för fysiska personers rättigheter och friheter. Enligt artikel 35.10 behöver dock ingen konsekvensbedömning genomföras om behandlingen enligt artikel 6.1 c eller e har en rättslig grund i nationell rätt, och den grunden reglerar den specifika behandlingsåtgärden och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av den rättsliga grunden. I dataskyddsförordningen uppmärksammas att medlemsstaterna kan anse det nödvändigt att genomföra en sådan bedömning i samband med antagandet av den nationella rätten som ligger till grund för utförandet av myndighetens uppgifter och som reglerar den aktuella specifika behandlingsåtgärden eller serien av åtgärder. 203 Sådana överväganden som hittills föregått bestämmelser som tillåter direkt-
203 Skäl 93 till dataskyddsförordningen.
821Elektroniskt utlämnande av personuppgifter
åtkomst förefaller motsvara i vart fall vissa beståndsdelar i en konsekvensbedömning enligt dataskyddsförordningen (dvs. de risker som har identifierats och övervägts har bedömts som godtagbara). Dataskyddsförordningen ställer dock inte upp något krav på att lagstiftaren ska ha genomfört en konsekvensbedömning i samband med införandet av den rättsliga grund som den särskilt riskfyllda behandlingen vilar på. Det enda som anges avseende denna fråga är att om så inte har skett behöver den personuppgiftsansvarige själv genomföra en sådan, och då eventuellt även samråda med den nationella tillsynsmyndigheten som har möjlighet att förbjuda behandlingen. Dataskyddsförordningen ställer därmed inte upp något krav på att en särskilt riskfylld behandling måste regleras särskilt. Att en rättslig grund enligt artikel 6.1 c eller e inte särskilt reglerar ett visst förfarande för behandling som kan innebära en hög integritetsrisk – om förordningens övriga bestämmelser inte iakttas – bör alltså inte i sig anses medföra att den rättsliga grunden framstår som oproportionerlig enligt artikel 6.3 i dataskyddsförordningen. Behandlingen måste dock alltid uppfylla de grundläggande principerna för behandling 204 och uppgifter måste behandlas på ett lagligt sätt. Som vi tidigare påpekat kan direktåtkomst dessutom vara att föredra i vissa situationer, exempelvis om den utlämnande myndigheten av integritetsskäl vill förhindra att uppgifterna hämtas till och bearbetas hos den mottagande myndigheten. Den utlämnande myndigheten kan då bygga in säkerhetsfunktioner som innebär att den mottagande myndigheten enbart kan läsa uppgifterna, men inte kopiera eller i övrigt bearbeta dem. Direktåtkomst kan även vara att föredra om syftet med behandlingen hos den utlämnande myndigheten är informationsförsörjning. Vid direktåtkomst förekommer inte heller den särskilda formen av överskottsinformation som kan bli resultatet av andra former av utlämnande (jfr avsnitt 11.2.3). Att de överväganden som krävs inför upprättandet av en direktåtkomst görs på myndighetsnivå bör enligt vår bedömning inte i sig medföra att den rättsliga grunden framstår som oproportionerlig. Behovsbedömningar och prövningar av detta slag får i stället anses vara en naturlig del i myndigheters verksamhet där utlämnandefrågor aktualiseras, oavsett formen för utlämnandet.
204 Artikel 5 och skäl 39 till dataskyddsförordningen.
822Elektroniskt utlämnande av personuppgifter
Måste direktåtkomst regleras särskilt utifrån 2 kap. 6 § andra tycket RF?
Informationshanteringsutredningen konstaterade att det enligt gällande rätt inte fanns något generellt krav på att en direktåtkomst 205 uttryckligen har reglerats för att den skulle få förekomma. I 2 kap. 6 § andra stycket regeringsformen, RF föreskrivs dock att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Syftet med bestämmelsen är att stärka grundlagsskyddet för vissa kvalificerade intrång i den personliga integriteten, dvs. sådana som innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Grundlagsskyddet består i att en begränsning av det skydd som bestämmelsen föreskriver endast får göras i form av lag och under de förutsättningar som anges 2 kap. 21–22 §§ RF, vilket framgår av 2 kap. 20 § RF (se avsnitt 3.2.4 och avsnitt 6.2). Som vi redogjort för tidigare innebär direktåtkomst normalt att de uppgifter som åtkomsten omfattar rent tekniskt är tillgängliga för den mottagande myndigheten när direktåtkomsten är aktiv. Det kan tolkas som att delar av myndigheternas uppgiftssamlingar sammanförs när en direktåtkomst är aktiv, vilket kan bedömas utgöra övervakning eller kartläggning av enskilda. Om bedömningen är att det utökade grundlagsskyddet kräver att utlämnandet ska regleras särskilt, bör det också leda till att den rättsliga grunden för utlämnandet inte kan anses vara proportionerlig i dataskyddsförordningens mening utan sådan reglering. I normalfallet bör dock ett i övrigt tillåtet informationsutbyte inte utgöra ett sådant intrång som skyddas av det utökade grundlagsskyddet enbart av den anledningen att informationsöverföringen sker genom direktåtkomst. Som vi tidigare nämnt kräver dataskyddsförordningen att de inblandande myndigheterna vidtar både tekniska och organisatoriska åtgärder, samt bygger in dataskydd i sina tekniska system, i syfte att bl.a. begränsa tillgången till personuppgifter och minimera omfattningen av de uppgifter som behandlas. Särskilt direktåtkomst till sekretessreglerade uppgifter kräver att de uppgifter som avses är tydligt avgränsade och att behovet av uppgifterna hos den mottagande myndigheten är klarlagt. Direktåtkomst innebär alltså inte någon generell sammanslagning av olika myndigheters informa-
205 SOU 2015:39, Myndighetsdatalag, s. 393–394.
823Elektroniskt utlämnande av personuppgifter
tionshanteringssystem. Den tekniska utvecklingen har dessutom medfört att det finns möjlighet att tekniskt begränsa åtkomsten för medarbetare på den mottagande myndigheten till enbart sådana uppgifter som inte utgör överskottsinformation. I normalfallet medför en direktåtkomst i dag inte att två myndigheters uppgiftssamlingar sammanförs och blir gemensamt tillgängliga i den mottagande myndigheten. En direktåtkomst inrättas dessutom ofta för att effektivisera ett uppgiftsutbyte mellan myndigheter som redan äger rum. Om det tidigare uppgiftsutbytet sker med stöd av en sekretessbrytande bestämmelse som medger att uppgifter lämnas ut utan hinder av sekretess, borde den omständigheten att uppgiftsutbytet nu ska ske genom direktåtkomst inte i sig innebära att det sker något ytterligare intrång i enskildas personliga förhållanden. 206 Vid en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen (se avsnitt 11.7.3) skulle dock bedömningen kunna bli att ett informationsutbyte genom direktåtkomst innebär en sådan kartläggning av enskilda som det utökade grundlagsskyddet avser. I avsaknad av en lagbestämmelse som tillät utlämnande i denna form skulle uppgiftsbytet behöva ske på annat sätt. Det finns inte något generellt krav på att myndigheters elektroniska uppgiftslämnande ska regleras, däremot måste uppgiftslämnandet i sak ha stöd i rättsordningen. Den bestämmelse vi föreslår i avsnitt 11.7.5 klargör dock att elektroniskt utlämnande får ske om det inte är olämpligt. Bestämmelsen ger därmed lagstöd även för sådant utlämnande som sker genom direktåtkomst. De rättsliga förutsättningarna för att inrätta en ny direktåtkomst vid Skatteverket, Tullverket eller Kronofogdemyndigheten innehåller därmed en sådan begränsning som innebär att regleringen är förenlig med det stärkta grundlagsskyddet för vissa kvalificerade intrång i den personliga integriteten. Det eventuella kravet på lagstöd för utlämnande genom direktåtkomst blir alltså uppfyllt genom bestämmelser i de nya datalagarna.
206 SOU 2015:39, Myndighetsdatalag, s. 209.
824Elektroniskt utlämnande av personuppgifter
Skäl 41 till dataskyddsförordningen
Enligt skäl 41 till dataskyddsförordningen ska en rättslig grund för behandling av personuppgifter vara tydlig och precis och dess tilllämpning bör vara förutsägbar för personer som omfattas av den. Det skulle kunna argumenteras att om direktåtkomst inte reglerades skilt från annat elektroniskt utlämnande så skulle den rättsliga grunden för behandlingen inte uppfylla dataskyddsförordningens krav i detta avseende. De personer vars uppgifter enbart förekommer i överskottsinformation har nämligen inte möjlighet att förutse den behandlingen som tillhandahållandet genom direktåtkomst innebär. Här kan dock åter påpekas att vid mer omfattande informationsutbyte mellan myndigheter uppkommer i regel någon form av överskottsinformation, oavsett i vilken form utbytet sker. Det är en naturlig följd av att den mottagande myndigheten inte vet vilka uppgifter den utlämnande myndigheten förfogar över, och av att den utlämnande myndigheten inte vet vilka personer som är aktuella vid den mottagande myndigheten (se avsnitt 11.2.3). Direktåtkomst medför dock inte att den mottagande myndigheten rent faktiskt tar del av fler uppgifter än den är i behov av, eller att den utlämnande myndigheten tar del av uppgifter om personer som inte är aktuella där. Den överskottsinformation som andra former av elektroniskt utlämnande kan ge upphov till har inte ansetts behöva regleras särskilt för att vara tillåten. Det borde därför vara möjligt att hävda att det inte heller vid direktåtkomst krävs reglering av den faktiska behandlingen, utan att den bestämmelse som reglerar utlämnandet i sak (dvs. en bestämmelse som tillåter eller kräver att viss information ska lämnas ut) bör vara tillräcklig för att uppfylla de krav som ställs upp i skäl 41.
Offentlighetsprincipen
Frågan är då om det förhållandet att offentlighetsprincipen, med krav på allmänhetens insyn i myndigheters verksamhet, medför att en rättslig åtskillnad mellan olika former av uppgiftslämnande måste upprätthållas för att den rättsliga grunden ska vara proportionell. Offentlighetsprincipen bör även i dataskyddssammanhang anses vara en stark rättssäkerhetsgaranti, i vart fall på ett generellt plan. Den utgör bl.a. en garanti för möjligheten till insyn i myndigheternas arbete, inklusive den personuppgiftsbehandling som sker inom ramen
825Elektroniskt utlämnande av personuppgifter
för myndigheternas respektive verksamhet. Som nämnts tidigare framgår det också av artikel 86 i dataskyddsförordningen att personuppgifter i allmänna handlingar som förvaras av en myndighet för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten i enlighet med den unionsrätt eller den nationella rätt som myndigheten omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. Uppgifter hos den utlämnande myndigheten som kan begäras ut hos den mottagande myndigheten vid direktåtkomst kan dessutom även alltid begäras ut hos den utlämnande myndigheten. Handlingarna blir alltså inte möjliga att begära ut enbart genom direktåtkomst. Det finns också vissa undantag i 2 kap. TF som kan medföra att inte alla uppgifter ska anses utgöra en allmän handling hos den mottagande myndigheten som inte aktualiseras hos den utlämnande myndigheten (se avsnitt 11.2.2). Sekretessregleringen medför också i många fall att sekretess gäller för uppgifter som utgör överskottsinformation vid direktåtkomst även hos den mottagande myndigheten. Vi anser därmed att enbart det förhållande att uppgifter riskerar att få en större spridning vid direktåtkomst, som en konsekvens av offentlighetsprincipen, inte kan anses medföra att den rättsliga grunden för utlämnandet framstår som oproportionerlig om en rättslig skillnad mellan direktåtkomst och andra former av utlämnande inte upprätthålls.
11.7.5 Elektroniskt utlämnande ska vara tillåtet
om det inte är olämpligt
Vårt förslag: Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det ska finnas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
826Elektroniskt utlämnande av personuppgifter
Skälen för vårt förslag
Elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt.
Kraven på myndigheter att utbyta information ökar generellt i samhället och regleringen av informationsutbytet i sak är både komplex och omfattande (se exempelvis avsnitt 13.4.1). Informationsflödena är normalt digitala eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag. 207 Vid Skatteverket, Tullverket och Kronofogdemyndigheten finns det därmed ett stort och legitimt behov av att kunna lämna ut personuppgifter elektroniskt. Mot bakgrund av de överväganden vi redogjort för i avsnitten 11.7.2–11.7.4 föreslår vi att elektroniskt utlämnande ska vara tillåtet om det inte är olämpligt. Det innebär att direktåtkomst inte längre behöver regleras särskilt för att vara tillåten och att myndigheterna ges möjlighet att utarbeta de nya system för informationsutbyte som bäst tillgodoser behoven av integritetsskydd och effektivitet i det enskilda fallet.
Begreppet elektroniskt utlämnande
I nuvarande registerförfattningar används begreppet utlämnande på medium för automatiserad behandling för sådant elektroniskt utlämnande som inte utgör direktåtkomst (se avsnitten 11.2.3 och 11.3.2). Begreppet är tydligt präglad av en annan tids informationshanteringsmöjligheter och framstår mot bakgrund av den tekniska utvecklingen som svårbegripligt. Det är sannolikt få personer som i dagligt tal skulle kalla exempelvis e-post för ett medium för automatiserad behandling. I andra sammanhang har begreppet medium för automatiserad behandling övergetts till förmån för begreppet elektroniskt utlämnande, eller närliggande uttryck. Exempelvis används i domstolsdatalagen (2015:728) begreppet ”lämna ut elektroniskt”. Regeringen har uttalat att ett modernare uttryckssätt än utlämnande på medium för automatiserad behandling är att föredra och att det exempelvis i samband med översynen av registerförfattningarna på brottsdatalagens område var lämpligt att göra den förändringen. 208 Även i samband med
207 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 47. 208 Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 136.
827Elektroniskt utlämnande av personuppgifter
införandet av lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter ansåg regeringen att det fanns skäl att utmönstra det äldre begreppet. Regeringen påpekade då att det endast rörde sig om en begreppsmässig modernisering men däremot inte någon ändring i sak. 209 Även i lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, som träder i kraft den 1 januari 2024, används termen elektroniskt utlämnande. Regeringen konstaterade i lagens förarbeten att vad som avses har förändrats i takt med teknikutvecklingen, och att med dagens teknik kan utlämnande av information ske exempelvis genom e-post, på ett usb-minne eller genom direkt överföring från ett datorsystem till ett annat. 210 Vi bedömer att termen medium för automatiserad behandling bör utmönstras även ur den kompletterande dataskyddsregleringen för Skatteverket, Tullverket och Kronofogdemyndigheten. Som framgår ovan anser vi dock att det i dag inte längre finns skäl att göra någon rättslig åtskillnad mellan direktåtkomst och andra former av elektroniskt utlämnande. I syfte att göra regleringen enkel och flexibel, samt för största möjliga enhetlighet mellan här aktuell reglering och andra sektorsspecifika dataskyddsregleringar, bör inga nya begrepp införas. Direktåtkomst har dessutom vid flera tillfällen konstaterats vara en särskild form av just elektroniskt utlämnande. Vi anser därför att det är lämpligt att begreppet elektroniskt utlämnande, som omfattar både direktåtkomst och andra tekniska lösningar, används i de nya dataskyddslagarna. Det innebär också att nya former av elektroniskt utlämnande som vi i dag inte känner till, men som kan komma att följa av den tekniska utvecklingen, också omfattas av bestämmelsen. Författningarna kommer därför inte att behöva ändras för att följa med den tekniska utvecklingen på området.
Olämplighetsrekvisitet
För att upprätthålla ett adekvat skydd för den personliga integriteten vid utlämnande i elektronisk form är det viktigt att inte fler uppgifter än nödvändigt lämnas ut och att utlämnandet sker på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd
209 Prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 56. 210 Prop. 2022/23:43, Utbetalningsmyndigheten, s. 140.
828Elektroniskt utlämnande av personuppgifter
mot obehörig eller otillåten behandling, genom lämpliga tekniska eller organisatoriska åtgärder. Detta är krav som följer direkt av dataskyddsförordningen. Som vi redan påpekat bör behovsbedömningar av detta slag anses vara en naturlig del i myndigheters verksamhet där utlämnandefrågor aktualiseras. För att uppnå en ändamålsenlig avvägning mellan myndigheternas intresse av att på ett effektivt sätt lämna ut personuppgifter i elektronisk form och riskerna med att överföra uppgifter elektroniskt innehåller kompletterande dataskyddsreglering ofta en bestämmelse som anger när sådant utlämnande får ske. Den formulering som har valts i modernare författningar är att utlämnande får ske om det inte är olämpligt. 211 Enligt vår uppfattning bör samma formulering användas i de nya datalagar som vi föreslår för Skatteverket, Tullverket och Kronofogdemyndigheten. Den föreslagna bestämmelsen ska inte tolkas som att den medför en rätt för vare sig mottagande myndigheter eller enskilda att få ut uppgifter genom direktåtkomst eller någon annan form av elektronisk informationsöverföring. Bestämmelsen innebär därmed inte heller någon generell eller specifik skyldighet för vare sig Skatteverket, Tullverket eller Kronofogdemyndigheten att lämna ut uppgifter på ett visst sätt. All automatiserad behandling av stora mängder personuppgifter kan på ett generellt plan medföra risker från integritetssynpunkt. Ett omfattande elektroniskt utlämnande av personuppgifter kan innebära att uppgifterna får en större spridning, vilket ytterligare förhöjer riskerna. I slutbetänkandet av Kommittén för teknologisk innovation och etik (Komet) konstaterades att risker bl.a. finns i att användningsområdena, spridningen, utbytet samt vidareanvändningen av personuppgifter ökar. Ur den enskildes perspektiv innebär utvecklingen att kunskapen om hur uppgifterna hanteras, liksom möjligheten att påverka detta, hela tiden krymper i förhållande till den ökande hanteringen av personuppgifter i samhället. 212 Därför är det inte säkert att en avvägning mellan behovet och riskerna i alla tänkbara fall medger att uppgifter över huvud taget lämnas ut elektroniskt, se
211 Jfr t.ex. 19 § första stycket kustbevakningsdatalagen (2019:429), 1 kap. 9 § lagen om Rättsmedicinalverkets behandling av personuppgifter och 2 kap. 8 § andra stycket folkbokföringsdatabaslagen. Se även t.ex. 2 kap.9 § första stycket lag (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och 2 kap. 9 § första stycket lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. 212 SOU 2022:68, Förnya taktiken i takt med tekniken – förslag för en ansvarsfull, innovativ och samverkande förvaltning, s. 145
829Elektroniskt utlämnande av personuppgifter
exempelvis i avsnitt 11.2.3 om särskilda sekretessregler vid bl.a. massuttag. Den föreslagna bestämmelsen är följaktligen inte tvingande för myndigheterna avseende att lämna ut personuppgifter elektroniskt. Det bestämmelsen innebär är att myndigheterna inte är rättsligt förhindrade att använda sig av direktåtkomst eller andra elektroniska former för informationsöverföring. Bestämmelsen ska alltså förstås på så sätt att den myndighet som innehar information som den får eller måste lämna ut har en rättslig möjlighet att medge direktåtkomst eller någon annan form av elektroniskt utlämnande, om det framstår som proportionerligt och lämpligt i förhållande till de omständigheter som är aktuella. När det övervägs på vilket sätt information ska överföras måste det, som vid all annan behandling, enligt dataskyddsförordningen göras ett flertal avvägningar mellan de intressen som talar för en viss teknisk lösning, och de integritetsskäl som talar emot (se t.ex. avsnitt 11.5.3). När ett nytt system för regelbundet eller omfattande informationsutbyte utarbetas bör i normalfallet både den utlämnande och den mottagande myndigheten vara delaktiga i arbetet, oavsett hur systemet klassificeras rättsligt. Det bör exempelvis krävas gemensamma överväganden i fråga om vilka faktiska uppgifter mottagaren har ett behov av, hur dessa lämpligen ska avgränsas, hur kommunikationen mellan de olika it-systemen ska fungera och vilka övriga villkor som ska gälla för utlämnandet, innan ett uppgiftslämnande påbörjas. Den tekniska lösning som myndigheten väljer ska kunna utformas så att principerna för dataskydd iakttas vid behandlingen. I den mån principerna för dataskydd inte bedöms kunna iakttas vid en särskild form av informationsöverföring måste en annan form väljas.
Olämplighetsbedömningen
Frågan om elektroniskt informationsutbyte mellan myndigheter har diskuterats i olika sammanhang och flera utredningar har behandlat de avvägningar som behöver göras vid ett utökat elektroniskt uppgiftslämnande. I dessa sammanhang har bl.a. framhållits att skyddet för den personliga integriteten måste vägas mot de viktiga allmänintressen som kan motivera ett utökat informationsutbyte. Sådana
830Elektroniskt utlämnande av personuppgifter
intressen kan vara att informationsutbytet leder till en ökad effektivitet hos myndigheter, att kontrollmöjligheterna förbättras eller att enskilda ges bättre service. 213 Vi anser inte att en författningsreglering av när olika former för utlämnande får användas är en nödvändig förutsättning för att nå en ändamålsenlig avvägning mellan de olika intressen som måste beaktas. Det skulle dock kunna ifrågasättas om det inte behövs en tydligare reglering avseende vilka konkreta omständigheter som medför att det är olämpligt att lämna ut personuppgifter elektroniskt, genom direktåtkomst eller på annat sätt. Som vi tidigare redogjort för bör dock denna bedömning göras med beaktande av de förhållanden som föreligger i det enskilda fallet. Exempelvis bör utformningen av eventuella sekretessbrytande bestämmelser kunna påverka bedömningen av om direktåtkomst är en tillåten och lämplig form av utlämnande (se avsnitten 11.2.2 och 13.3.2). Med det nyss sagda avses inte att varje enskild informationsöverföring ska kräva omfattande bedömningar, utan att myndigheterna bör överväga de aspekter som är väsentliga ur integritetssynpunkt exempelvis vid inrättande av nya system för överföring, eller när nya skyldigheter att lämna ut information införs. Riskerna med att överföra uppgifter elektroniskt, som bl.a. kan bestå i en ökad fara att uppgifter sprids eller att någon annan än den avsedda mottagaren får del av uppgifterna, måste då vägas mot Skatteverkets, Tullverkets respektive Kronofogdemyndighetens samt mottagarnas behov av effektiva arbetssätt. Myndigheterna måste också beakta principen om uppgiftminimering som framgår av artikel 5.1 a i dataskyddsförordningen och som innebär att personuppgifter inte får vara för omfattande i förhållande till de ändamål för vilka de behandlas. Det finns system som uppfyller behovet av snabb och effektiv informationsöverföring men med ett högre integritetsskydd än vid direktåtkomst. Som beskrivits ovan är det dock inte längre en stor skillnad mellan direktåtkomst och en fråga-svar-tjänst vad gäller risken för integritetsintrång. Dessutom gäller den s.k. databassekretessen vid direktåtkomst men inte vid annat utlämnande och i avsnitt 15.5.3 föreslår vi som redan nämnts nya bestämmelser som motsvarar data-
213 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 48, prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 124, och Justitiedepartementets promemoria De brottsbekämpande myndigheternas direktåtkomst till uppgifter i beskattningsdatabasen, 2020.
831Elektroniskt utlämnande av personuppgifter
bassekretessen. Även i fortsättningen kommer därför uppgifter som lämnas ut genom direktåtkomst från Skatteverket, Tullverket och Kronofogdemyndigheten skyddas av en särskild sekretessbestämmelse. Vid direktåtkomst kan den utlämnande myndigheten dessutom ha en bättre möjlighet att behålla kontrollen över informationen på ett annat sätt än vid annat elektroniskt utlämnande, vilket vi redogjort för i avsnitt 11.7.2. Det kan alltså förekomma system för direktåtkomst som skapar ett högre integritetsskydd än andra system. När det kommer till andra former av elektroniskt utlämnande än en fråga-svar-tjänst är det troligt att skillnaden i funktionalitet kommer att vara avgörande för vilken form för utlämnande som är mest proportionerlig i förhållande till det identifierade behovet och nyttan. 214 Att i förväg ta ställning till hur den bedömningen ska falla ut riskerar dock i förlängningen att hindra en ändamålsenlig och balanserad effektivisering av Skatteverkets, Tullverkets och Kronofogdemyndighetens verksamheter. Denna risk illustreras inte minst av hur den nuvarande regleringen av elektroniskt utlämnande hindrar myndigheterna från att dra nytta av nya tekniska lösningar. Vid bedömningen av om en viss form av elektroniskt utlämnande är olämplig måste bl.a. typen av personuppgifter beaktas, vilket följer direkt av dataskyddsförordningen. Vid framför allt Skatteverket men även hos Tullverket och Kronofogdemyndigheten förekommer personuppgifter som kan vara integritetskänsliga. Även känsliga personuppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen behandlas av myndigheterna, se avsnitt 10.5. Vid överföring av sådana uppgifter bör integritets- och informationssäkerhetsaspekter ges särskilt stor betydelse när sättet för ett elektroniskt informationsutbyte övervägs. Om det i annan reglering ställs krav på en särskild form av digital informationsöverföring avseende vissa uppgifter får det dock tolkas som att olämplighetsbedömningen redan är gjord i samband med införandet av den aktuella regleringen, se exempelvis avsnitt 11.6 om de unionsrättsliga krav på digital informationshantering som Tullverket måste iaktta. Vid övriga olämplighetsbedömningar bör ledning kunna hämtas från situationer där regeringen tidigare tagit ställning till frågan om direktåtkomst eller annat elektroniskt utlämnande ska medges. Regeringen har i tidigare lagstiftningsärenden varit av uppfattningen att det normalt sett aldrig bör anses olämpligt att lämna ut
214 Jfr prop. 2021/22:177, Sammanhållen vård- och omsorgdokumentation, s. 79.
832Elektroniskt utlämnande av personuppgifter
personuppgifter elektroniskt till andra myndigheter. 215 I normalfallet bör det därför inte heller i fortsättningen anses olämpligt att lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst till andra myndigheter. Detsamma borde i de allra flesta fall gälla för enskilda. När det gäller utlämnande till enskilda kan det dock krävas närmare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. Om det i ett enskilt fall skulle bedömas vara olämpligt ur integritetssynpunkt att lämna ut personuppgifter elektroniskt, dvs. att principerna för dataskydd inte kan iakttas vid ett sådant utlämnande, bör uppgifterna lämnas ut på annat sätt. Det nyss sagda gäller även för utlämnande till myndigheter. I den mån mottagaren av uppgifterna kan antas komma att behandla uppgifterna på ett sätt som står i strid med bl.a. dataskyddsförordningen gäller dock sekretess för uppgifterna enligt 21 kap. 7 § OSL, se avsnitt 11.2.3. I sådana fall får uppgifterna inte över huvud taget lämnas ut, vare sig i analog form eller elektroniskt. Regeringen har tidigare lagt särskild vikt vid frågor om effektivitet och behovet av uppgifterna hos mottagaren i olika sammanhang där inrättandet av direktåtkomst ansetts motiverat. Redan innan nuvarande registerförfattningar kom till gjorde regeringen uttalanden om när s.k. terminalåtkomst (se avsnitt 11.2.2) skulle kunna aktualiseras inom den dåvarande skatteförvaltningen. Främst var det situationer där behovet av snabb och enkel tillgång till uppgifterna vägde tyngre än den risk från integritetssynpunkt som åtkomsten skulle medföra. För uppgifter som var av mindre integritetskänslig natur, där det fanns ett praktiskt behov hos mottagaren av att ha uppgifterna lätt tillgängliga fanns det enligt regeringen inte något hinder mot terminalåtkomst. För uppgifter som var av mer integritetskänslig natur kunde dock behovet av samordning, praktiska skäl och att åtkomsten underlättade arbetet tala för att terminalåtkomst ändå skulle tillåtas. För uppgifter där behovet hos mottagaren inte var så stort skulle dock terminalåtkomst inte tillåtas. 216 Även vid tidpunkten för de nuvarande registerförfattningarnas tillkomst bedömde regeringen att det efter en avvägning mellan effektivitets- och integritetsskäl kunde finnas anledning att medge direkt-
215 Jfr avsnitt 11.3.1 och t.ex. prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 136. Se även SOU 2015:39, Myndighetsdatalag, s. 447–448. 216 Prop. 1979/80:146, med förslag till skatteregisterlag, s. 47–48.
833Elektroniskt utlämnande av personuppgifter
åtkomst till en begränsad mängd uppgifter. 217 Exempelvis ansåg regeringen att dåvarande kronofogdemyndigheternas relativt omfattande tillgång till uppgifter i beskattningsverksamheten genom direktåtkomst, som motiverats av den nära kopplingen mellan verksamheterna, inte borde inskränkas av integritetsskäl. Regeringen lyfte här möjligheten att på ett snabbt och effektivt sätt få tillgång till uppgifter som behövdes i ärendehandläggningen hos mottagaren. För uppgifter som kronofogdemyndigheterna inte hade något eller bara ett mycket litet behov av borde dock direktåtkomst inte få förekomma. 218 För flertalet uppgifter i folkbokföringsverksamheten bedömde regeringen att de inte kunde anses känsliga ur integritetssynpunkt. Uppgifterna omfattades heller inte av någon starkare sekretess utan presumtionen var, liksom i dag, att uppgifterna var offentliga. Ur integritetsskyddssynpunkt kunde det därför inte anses innebära någon skillnad om en myndighet skulle hämta in uppgifter genom direktåtkomst eller på något annat sätt. 219 Även i senare lagstiftningsärenden har överväganden som de nyss nämnda motiverat inrättandet av ny direktåtkomst. Flera myndigheter deltar exempelvis i dag i elektroniska informationsutbyten med Skatteverkets beskattningsverksamhet och det har i de fallen ansetts vara förenligt med kraven på skydd mot oacceptabla intrång i den personliga integriteten att tillåta dessa utbyten genom direktåtkomst. Vid dessa avvägningar har direktåtkomst ansetts nödvändig bl.a. för att förbättra beslutskvaliteten och att öka effektiviteten. 220 I tidigare lagstiftningsärenden har alltså en avvägning ofta gjorts mellan integritetshänsyn, behovet hos mottagaren och uppgifternas känslighet. Även sambanden mellan de olika verksamheterna har tillmätts betydelse. Utöver frågor om informationssäkerhet och om principerna för dataskydd kan iakttas vid det planerade utbytet, bör liknande avvägningar kunna aktualiseras även i framtiden. Att mottagaren har ett kontinuerligt eller stort behov av uppgifterna i sin verksamhet kan tala för att direktåtkomst inte är olämpligt. Motsatsvis bör direktåtkomst till uppgifter som mottagaren sällan kan komma att behöva, eller som inte är av särskilt stor betydelse för mottagaren, inte aktu-
217 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 133. 218 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 132–133. 219 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 145. 220 Jfr prop. 2007/08:160, Utökat elektroniskt informationsutbyte, avsnitt 5.5, prop. 2016/17:58, Uppgifter på individnivå i arbetsgivardeklarationen, s. 124–125 och prop. 2017/18:270, Regelförenklingar inom ekonomisk familjepolitik, s. 51–53.
834Elektroniskt utlämnande av personuppgifter
aliseras särskilt ofta. Om det rör uppgifter som inte är av integritetskänslig karaktär kan även detta tala för att ett utlämnande kan ske via direktåtkomst, eller om det finns ett nära samband mellan de olika verksamheterna. Riskerna ur integritetssynpunkt kan liksom i dag begränsas genom att direktåtkomst medges till en avgränsad kategori uppgifter som mottagaren har ett stort behov av i sin verksamhet, för att bedömas vara lämplig. Den utlämnande myndigheten får dessutom enligt dataskyddsförordningen anses ha ett ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst har förmåga och vilja att vidta de åtgärder som bedöms vara nödvändiga ur säkerhetssynpunkt. Direktåtkomst bör liksom i dag kunna begränsas på så sätt att den endast ska medges för uppgifter som behövs i viss verksamhet hos mottagaren. Det innebär att uppgifter som lämnas ut genom direktåtkomst inte ska kunna användas i hela mottagarens verksamhet, utan endast där behovet som motiverat inrättandet av åtkomsten finns. Genom att direktåtkomsten begränsas till uppgifter som behövs i den aktuella verksamheten kan effektivitetsbehovet balanseras mot integritetsintresset samtidigt som myndigheternas mest påtagliga behov kan tillgodoses. Inrättandet av en ny direktåtkomst bör därför bl.a. förutsätta att den mottagande myndigheten kan visa att dess handläggare m.fl. saknar teknisk möjlighet att ta del av uppgifter om andra personer än de som förekommer i den aktuella verksamheten för att kunna anses vara lämplig. Den närmare innebörden av vad som ska anses vara olämpligt respektive lämpligt elektroniskt utlämnande får utvecklas genom respektive myndighets tillämpning. Ställningstagandena i sak måste därmed göras vid uppbyggnaden och inrättandet av nya system för informationsöverföring och med beaktande av dataskyddsförordningens krav och principer för behandling. Inför ett sådant arbete kommer det ofta behöva göras både en behovsanalys och en konsekvensanalys. Den närmare innebörden av vad som ska anses vara olämpligt och lämpligt kommer alltså även utvecklas genom myndigheternas samråd med IMY enligt vad som anges i avsnitt 11.7.3. Innebörden kommer också komma att utvecklas genom IMY:s tillsynsarbete och i slutändan även genom domstolspraxis.
835Elektroniskt utlämnande av personuppgifter
Kan olämplighetsbedömningen överklagas?
Enligt den föreslagna bestämmelsen får elektroniskt utlämnande enbart förekomma om det inte är olämpligt. Det finns därmed inte något hinder mot att Skatteverket, Tullverket eller Kronofogdemyndigheten nekar en begäran från en enskild om att allmänna handlingar ska lämnas ut elektroniskt. En sådan begäran ska dessutom nekas om ett elektroniskt utlämnande bedöms vara olämpligt. Som vi redogjort för ovan kan ett elektroniskt utlämnande bedömas vara olämpligt av olika skäl, exempelvis om mottagaren inte kan visa tillräcklig säkerhet för sin personuppgiftsbehandling. Det innebär att uppgifterna får lämnas ut på annat sätt. I vissa fall kan ett nekat elektroniskt utlämnande få stora konsekvenser för en enskild. Exempelvis lämnar Kronofogdemyndigheten ut uppgifter elektroniskt till kreditupplysingsbolag i stor utsträckning. Myndigheten har uppgett att för kreditupplysningsbolag kan det vara av avgörande betydelse om de får uppgifter elektroniskt från myndigheten eller inte, eftersom det påverkar hur de kan bedriva verksamhet. Frågan är då i vilken utsträckning enskilda kan överklaga ett beslut om att inte lämna ut allmänna handlingar elektroniskt. Dataskyddslagen innehåller bestämmelser om överklagande. Av 7 kap. 2 § första stycket dataskyddslagen följer att beslut enligt artiklarna 12.5 och 15–21 i dataskyddsförordningen som har meddelats av en myndighet i egenskap av personuppgiftsansvarig får överklagas till allmän förvaltningsdomstol. Det rör sig om beslut om avgifter m.m., tillgång till personuppgifter m.m., rättelse, radering, begränsning, underrättelse till tredje man om rättelse, radering eller begränsning, dataportabilitet och om invändningar mot behandling. Andra beslut som en personuppgiftsansvarig myndighet fattar enligt dataskyddsförordningen eller dataskyddslagen får enligt 7 kap. 5 § dataskyddslagen inte överklagas. Ett beslut om att lämna ut allmänna handlingar till enskilda kommer dock inte att fattas enligt dataskyddsförordningen eller dataskyddslagen. Utlämnandet sker i stället med stöd av 221 offentlighetsprincipen. Det innebär att överklagandeförbudet enligt dataskyddslagen inte är tillämpligt. Enligt 2 kap. 19 § första stycket TF kan beslut att lämna ut allmänna handlingar överklagas. För att ett beslut ska vara överklagbart
221 Rätten att ta del av allmänna handlingar gäller enligt praxis även juridiska personer, se RÅ 2003 ref. 83.
836Elektroniskt utlämnande av personuppgifter
krävs att en begäran avslås eller handlingen lämnas ut med förbehåll som inskränker sökandens rätt att yppa dess innehåll eller annars förfoga över den. I 6 kap. 7 § OSL anges, såvitt här är aktuellt, att en enskild får överklaga ett beslut av en myndighet att inte lämna ut en handling till den enskilde eller att lämna ut en handling med förbehåll som inskränker den enskildes rätt att röja innehållet eller annars förfoga över den. Som nämnts i avsnitt 11.2.1 så finns det dock enligt gällande rätt ingen skyldighet för myndigheter att lämna ut allmänna handlingar i elektronisk form (jfr 2 kap. 16 § första stycket TF, det s.k. utskriftundantaget). Högsta domstolen har dessutom i avgörandet Ö 327-23 gjort uttalanden med innebörden att öppna datalagen inte påverkar den begränsning av rätten till tillgång till uppgifter i digital form som följer av 2 kap. 16 § första stycket TF, och att en grundförutsättning för den lagen är att det föreligger en rätt att få tillgång till digital data enligt någon annan lag eller förordning. Som vi tidigare konstaterat innebär inte heller den föreslagna bestämmelsen om att uppgifter får lämnas ut elektroniskt om det inte är olämpligt att myndigheterna är skyldiga att lämna ut uppgifter på detta sätt. Att neka en enskilds begäran om att få ut allmänna handlingar elektroniskt förefaller därmed inte vara ett beslut som går att överklaga, under förutsättning att den enskilde ges rätt att få del av handlingen 222 på annat sätt.
En upplysningsbestämmelse om rätten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter
Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (se 8 kap. 2 § första stycket 2 RF). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (se 8 kap. 7 § RF). Denna föreskriftsrätt brukar kallas för regeringens restkompetens, se avsnitten 6.2 och 6.4.
222 Jfr Kammarrätten i Jönköpings dom den 9 augusti 2012 i mål 2491-12 och Kammarrätten i Stockholms dom den 1 april 2015 i mål 2230-15.
837Elektroniskt utlämnande av personuppgifter
Det kan inte uteslutas att det kan uppstå ett behov att meddela föreskrifter om Skatteverkets, Tullverkets respektive Kronofogdemyndighetens möjligheter att lämna ut personuppgifter elektroniskt. En konsekvens av vårt förslag är dock att direktåtkomst eller andra former av elektroniskt utlämnande endast bör regleras i författning om sådan åtkomst behöver begränsas. Sådana bestämmelser kan meddelas i förordning med stöd av regeringens restkompetens. Det finns alltså utrymme för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter som begränsar myndigheternas möjlighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt. Av tydlighetsskäl bör en upplysningsbestämmelse som avser detta införas i de nya datalagarna i anslutning till bestämmelsen om elektroniskt utlämnande.
11.7.6 En bestämmelse om särskilda rutiner vid elektroniskt
utlämnande bör tas in i förordning
Vårt förslag: I förordning ska det regleras att Skatteverket, Tullverket respektive Kronofogdemyndigheten ansvarar för att det inom respektive myndighet finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt.
Skälen för vårt förslag
Bör olämplighetsprövningen kodifieras?
Vi har övervägt om den föreslagna bestämmelsen om att uppgifter får lämnas ut elektroniskt om det inte är olämpligt bör kompletteras med bestämmelser i lag eller förordning som tydliggör och sammanfattar vad den allmänna dataskyddsregleringen kräver av den personuppgiftsansvariga i samband med utlämnande genom direktåtkomst. Exempelvis skulle det kunna röra sig om en eller flera bestämmelser enligt följande. • Direktåtkomst får endast medges om ändamålet med utlämnandet av personuppgifter inte rimligen kan uppnås på annat sätt.
838Elektroniskt utlämnande av personuppgifter
• Innan direktåtkomst medges ska myndigheten förvissa sig om att personuppgifter som direktåtkomsten omfattar behandlas på ett ur integritetssynpunkt godtagbart sätt hos mottagaren. • Myndigheten ska ha rutiner för att regelbundet följa upp och kontrollera att personuppgifter som lämnas ut genom direktåtkomst behandlas på ett ur integritetssynpunkt godtagbart sätt hos mottagaren.
Vår bedömning är dock att sådana bestämmelser enbart för en form av elektroniskt utlämnande inte är lämpliga att föra in i en modern dataskyddsreglering, även om de bör anses vara tillåtna enligt dataskyddsförordningen (enligt artikel 6.3). Bestämmelser av denna karaktär anger vad som ändå måste anses gälla enligt den allmänna dataskyddsregleringen och sekretesslagstiftningen, oavsett vilken form av elektroniskt utlämnande som avses.
Krav på rutiner
Även om det inte finns skäl att i författning reglera när olika former av elektroniskt utlämnande får användas kan det finnas skäl att i myndighetsspecifika rutiner närmare ange exempelvis vilka säkerhetsåtgärder olika system för informationsöverföring bör innehålla, olika tekniska lösningar som regelmässigt bör användas eller hur hanteringen på mottagarsidan generellt sett ska eller inte ska utformas. Vi anser att det ska vara respektive myndighets uppgift att ta fram sådana rutiner. Att på förhand förutse vilka närmare behov som med anledning av den tekniska utvecklingen kan komma att uppstå vid elektroniskt utlämnande är nämligen mycket svårt. Skatteverket, Tullverket respektive Kronofogdemyndigheten bör därför ansvara för att det inom respektive myndighet finns rutiner för regelbunden kontroll av att elektroniskt utlämnande av personuppgifter sker på ett godtagbart sätt från integritetssynpunkt. Ett krav på framtagande av sådana rutiner säkerställer att myndigheterna på förhand noggrant överväger med vilka tekniska lösningar elektroniskt utlämnande får ske, samt att systemen för överföring utformas i enlighet med dataskyddsregleringen. På detta sätt utgör rutinerna en säkerhetsåtgärd som syftar till att minska riskerna för obefogat intrång i den personliga integriteten i samband med elektroniskt
839Elektroniskt utlämnande av personuppgifter
utlämnande. Genom kravet på att det finns rutiner kommer det vara möjligt att i efterhand också följa upp att dessa följs. Vi bedömer att det är tillräckligt att ett krav på rutiner införs i förordning. Bestämmelsen om att myndigheterna ska ha särskilda rutiner för regelbunden kontroll av att elektroniskt utlämnande sker på ett godtagbart sätt från integritetssynpunkt kan, om behov uppstår, kompletteras med föreskrifter som begränsar myndigheternas möjlighet att själva avgöra när det är lämpligt eller olämpligt att lämna ut personuppgifter elektroniskt (se avsnittet ovan).
11.7.7 Elektroniskt utlämnande till utländska myndigheter
inom ramen för det internationella samarbetet
Vår bedömning: Det saknas skäl att särskilt reglera elektroniskt utlämnande till utländska myndigheter inom ramen för det internationella samarbetet.
Skälen för vår bedömning
Internationell samverkan i form av uppgiftslämnande
Som framgår av avsnitt 11.3.2 är den befintliga regleringen av olika former av elektroniskt utlämnande i dag nästan helt begränsad till att avse utlämnande till andra svenska myndigheter och enskilda. Skatteverket, Tullverket och Kronofogdemyndigheten utbyter dock information även med offentliga aktörer i andra länder, såväl inom som utom EU. Informationsutbytet sker oftast som en följd av olika internationella överenskommelser och den rättsliga grunden för informationsutbytet finns i särskilda EU-förordningar, EU-direktiv, konventioner och bilaterala eller multilaterala mellanstatliga avtal. Avtal och andra internationella överenskommelser införlivas normalt i svensk rätt genom en särskild lag, liksom vissa EU-rättsliga rättsakter. I många fall är internationell samverkan i form av uppgiftslämnande helt nödvändigt för att Skatteverket, Tullverket och Kronofogdemyndigheten ska kunna utföra sina uppgifter. Sannolikt kommer den internationella verksamheten dessutom att utökas ytterligare i fram-
840Elektroniskt utlämnande av personuppgifter
tiden. 223 Det är därför viktigt att inte heller det elektroniska informationsutbytet med andra länder begränsas på ett omotiverat sätt. I avsnitt 7.4.4 har vi föreslagit att de nya datalagarna för beskattningsverksamheten och folkbokföringsverksamheten vid Skatteverket respektive för Tullverket och Kronofogdemyndigheten inte ska vara tillämpliga vid behandling av personuppgifter i EU:s gemensamma informationssystem. I sådana sammanhang är det i stället den allmänna dataskyddsregleringen, främst EU:s dataskyddsförordning, som reglerar behandlingen, tillsammans med de eventuella särskilda dataskyddsregler som antagits för det aktuella informationssystemet. Allt gränsöverskridande utlämnande av personuppgifter sker dock inte i sådana system. Av naturliga skäl gäller det nyss sagda i synnerhet sådant informationsutbyte som inte sker på unionsrättslig grund eller som sker med ett land utanför EU, s.k. tredjeland. Det innebär att de nya datalagarnas bestämmelser i många fall kommer att vara tillämpliga vid elektroniskt utlämnande både inom och utanför det unionsrättsliga samarbetet. Vårt förslag om reglering av elektroniskt utlämnande (avsnitt 11.7.5) innebär att frågan om ett föreskrivet utlämnande av personuppgifter får ske elektroniskt inte ska regleras utifrån vilka uppgifter utlämnandet avser eller vem mottagaren är. Det som tillmäts betydelse är i stället om ett elektroniskt utlämnande, med hänsyn till omständigheterna och med beaktande av bl.a. bestämmelser om sekretess och informationssäkerhet, kan anses vara lämpligt eller inte. Frågan är då om det finns skäl att särskilt reglera sådant gränsöverskridande uppgiftslämnande som inte sker i EU:s gemensamma informationssystem.
Elektroniskt utlämnande inom EU/EES
I dataskyddsförordningen konstateras att nationella myndigheter i unionsrätten uppmanas att samarbeta och utbyta personuppgifter för att vara i stånd att fullgöra sina uppdrag eller utföra arbetsuppgifter för en myndighet som finns i en annan medlemsstat (skäl 5). Ett syfte med dataskyddsförordningen är att skapa förutsättningar för ett fritt flöde av personuppgifter inom unionen. Genom dataskyddsförord-
223 Se t.ex. EU-kommissionens förslag den 17 maj 2023 om en ny tullkodex och upphävande av förordningen (EU) 952/2013, 2023/0156 (COD).
841Elektroniskt utlämnande av personuppgifter
ningen har därför alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet, vilket även gäller EESländerna. Personuppgifter kan därför föras över fritt inom detta om- 224 råde utan begränsningar. När formerna för ett utlämnande till ett annat land inom EU/EES övervägs bör därför samma hänsyn tas som vid utlämnande till en svensk myndighet. Tryckfrihetsförordningen gäller dock inte för en utländsk myndighet, varför någon överskottsinformation i den meningen inte kan uppstå, se avsnitt 11.2.2. Det nyss sagda innebär att bedömningen av om ett utlämnande utgör direktåtkomst inte helt kan utgå från den definition som Högsta förvaltningsdomstolen slagit fast i LEFI Online-avgörandet (HFD 2015 ref. 61) och senare gjort generellt tillämplig genom HFD 2020 not 16. Avgörande för bedömningen av om ett utlämnande motsvarar direktåtkomst kan i gränsöverskridande situationer antas bli om den utlämnande svenska myndigheten reagerar på en begäran eller inte. Vårt förslag innebär att Skatteverket, Tullverket och Kronofogdemyndigheten ska ges en rättslig möjlighet att medge motsvarande direktåtkomst även för utländska myndigheter och internationella organisationer inom EU/EES. Exempelvis kan det i fall där samarbetet förutsätter en hög grad av integration vara nödvändigt att inom ramen för samarbetet tillgängliggöra information på ett sätt som motsvarar direktåtkomst. Behov av att kunna medge direktåtkomst till utländska aktörer kan uppstå på områden där myndigheterna följer ett skeende tillsammans med en eller flera utländska myndigheter, eller vid ett gemensamt ansvar för en viss verksamhet. I sådana fall kan det vara betydelsefullt att kunna tillgängliggöra information samlat och över tid på ett effektivt sätt. Exempelvis har behöriga myndigheter inom EU redan i dag rätt att ta del av vissa uppgifter i beskattningsdatabasen om mervärdesskatt (se avsnitt 11.3.2 ovan). Myndigheterna måste dock, på samma sätt som vid utlämnande till svenska myndigheter, på förhand bedöma om åtkomst motsvarande direktåtkomst bör medges en utländsk aktör bl.a. med beaktande av gällande bestämmelser om sekretess och dataskydd. Principerna för dataskydd bör exempelvis kunna genomföras vid behandlingen för att den ska kunna anses vara lämplig. En konsekvensanalys och för-
224 Integritetsskyddsmyndighetens, IMY, webbsida Överföring till tredjeland, tillgänglig: https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/overforing-tilltredje-land/ [hämtad: 2023-07-04].
842Elektroniskt utlämnande av personuppgifter
handssamråd med berörda nationella tillsynsmyndigheter kan också aktualiseras, se avsnitt 11.7.3. Den tekniska utvecklingen kan förväntas medföra att möjligheterna att lämna ut uppgifter genom direktåtkomst på ett ur integritetssynpunkt tillfredsställande sätt ökar, även i gränsöverskridande situationer. Integritetsintresset bör dock redan i dag vara möjligt att balansera mot behovet av effektivitet genom att myndigheterna medger en utländsk myndighet motsvarande direktåtkomst till en tekniskt och uppgiftsmässigt avgränsad uppgiftssamling som lagts över på en digital yta som skapats specifikt för ett sådant samarbete. Det bör också i övrigt kunna ställas samma krav på bl.a. åtkomstbegränsningar på mottagarsidan som vid utlämnande till en svensk myndighet. Svensk sekretessreglering gäller dock inte för utländska myndigheter. I internationella sammanhang används olika typer av villkor om konfidentialitet och användarbegränsningar för att uppgifterna ska få ett skydd hos mottagaren (se avsnitt 8.4.5). En användarbegränsning i en internationell rättsakt kan innebära att det land som tar emot uppgifter bara får använda dem för de särskilda ändamål som framgår av rättsakten. I vilka konkreta fall elektroniskt utlämnande är lämpligt inom EU/EES måste, i likhet med utbyte mellan svenska myndigheter, avgöras genom bl.a. myndigheternas tillämpning, IMY:s tillsynsarbete 225 och i slutändan domstolsavgöranden. Sammanfattningsvis anser vi alltså att det saknas skäl att särskilt reglera elektroniskt utlämnande som sker till en aktör inom EU/EES.
Elektroniskt utlämnande till tredjeland
Kapitel V, dvs. artiklarna 44–50, i dataskyddsförordningen behandlar frågor om överföring av personuppgifter till länder utanför EU/EES (tredjeländer) eller internationella organisationer. Av artikel 44 framgår att överföring av personuppgifter till ett tredjeland eller en internationell organisation som utgångspunkt bara får ske under förutsättning att villkoren i sagda kapitel är uppfyllda. Bestämmelsen gäller även för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en
225 Europeiska kommissionen har nyligen presenterat ett förslag till förordning med kompletterande förfaranderegler för tillsynsmyndigheterna i gränsöverskridande ärenden, COM (2023) 348, se kommissionens webbsida: https://commission.europa.eu/system/files/2023- 07/COM_2023_348_1_EN_ACT_part1_ v5.pdf [hämtad 2023-07-26].
843Elektroniskt utlämnande av personuppgifter
annan internationell organisation. Av artikel 45.1 följer vidare att personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen har beslutat att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. En sådan överföring kräver inte något särskilt tillstånd. Om det däremot inte finns något beslut från kommissionen om adekvat skyddsnivå får personuppgifter som utgångspunkt endast föras över till ett tredjeland eller en internationell organisation efter att lämpliga skyddsåtgärder har vidtagits, och under förutsättning att lagstadgade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga, vilket framgår av artikel 46.1. Det kan exempelvis röra sig om ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter, standardiserade dataskyddsbestämmelser som antagits av en tillsynsmyndighet och godkänts av kommissionen, eller en godkänd uppförandekod tillsammans med rättsligt bindande och verkställbara åtaganden för den personuppgiftsansvarige i tredjelandet att tillämpa lämpliga skyddsåtgärder, även när det gäller registrerades rättigheter (artikel 46.2 a, d och e). Dessa situationer kräver inte särskilt tillstånd från tillsynsmyndigheten. Efter tillstånd av den behöriga tillsynsmyndigheten kan dock lämpliga skyddsåtgärder också vara avtalsklausuler mellan den personuppgiftsansvarige och mottagaren av personuppgifterna i tredjelandet, eller bestämmelser i administrativa överenskommelser mellan offentliga myndigheter eller organ, med verkställbara och faktiska rättigheter för registrerade, vilket framgår av artikel 46.3. I situationer där något beslut från kommissionen om adekvat skyddsnivå inte finns och inte heller andra lämpliga skyddsåtgärder som anges ovan är tillämpliga, får en överföring eller uppsättning av överföringar av personuppgifter göras till ett tredjeland endast under vissa förutsättningar som särskilt anges i artikel 49.1. Det kan exempelvis vara att överföringen är nödvändig av viktiga skäl som rör allmänintresset (artikel 49.1 d). Enligt artikel 49.4 kan dock endast allmänintresse som är erkänt i unionsrätten eller i den nationella rätt som den personuppgiftsansvarige omfattas av leda till tillämpning av detta undantag. Ett undantag görs också för överföringar som är nödvändiga för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (artikel 49.1 e). Det kan även gälla när överföringen görs från ett register som är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan
844Elektroniskt utlämnande av personuppgifter
styrka ett berättigat intresse (artikel 49.1 g). En sådan överföring får dock inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret (artikel 49.2). Sammanfattningsvis reglerar dataskyddsförordningen hur riskerna med överföringar till länder utanför EU/EES ska värderas och hanteras. Sådana överföringar kräver som utgångspunkt att adekvat skyddsnivå finns i mottagarlandet, och det är kommissionen som gör den bedömningen samt kontrollerar att bedömningen är riktig över tid. I de fall mottagarlandet har bedömts ha en adekvat skyddsnivå borde alla former av elektroniskt utlämnande, dvs. även genom system som i teknisk mening motsvarar direktåtkomst, kunna aktualiseras på samma grunder och utifrån samma överväganden som vi föreslår ska gälla för Sverige och övriga EU/EES. Listan på länder där en adekvat skyddsnivå har bedömts föreligga är dock ganska kort, endast 14 länder finns i dag upptagna på den. 226 Överföringar till andra länder kan dock även vara tillåtna om vissa förutsättningar föreligger som innebär att lämpliga skyddsåtgärder finns, vilket i vissa fall kräver tillstånd från tillsynsmyndigheten. EUdomstolen har dessutom fastställt att sådana lämpliga skyddsåtgärder måste säkerställa att de registrerade skyddas på samma nivå som garanteras inom EU/EES. 227 EDPB har tagit fram riktlinjer om överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES. 228 Riktlinjerna är avsedda att ge en indikation på EDPB:s förväntningar på de skyddsåtgärder som ska finnas på plats genom ett rättsligt bindande och verkställbart instrument mellan offentliga organ enligt artikel 46.2 a i dataskyddsförordningen eller, med förbehåll för tillstånd från den behöriga tillsynsmyndigheten, genom bestämmelser som ska anges i administrativa överenskommelser mellan de offentliga organen enligt artikel 46.3 b. Av riktlinjerna framgår bl.a. en förteckning över minimiskyddsåtgärder som ska inkluderas i internationella avtal mellan offentliga organ enligt artiklarna 46.2 a
226 Europeiska kommissionens webbsida Adequacy decisions, How the EU determines if a non-EU country has an adequate level of data protection, tillgänglig: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-dataprotection/adequacy-decisions_en#adequacy-decisions-latest [hämtad 2023-07-04]. 227 Det s.k. Schrems II-avgörandet: EU-domstolens dom av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner/Facebook Ireland Ltd och Maximillian Schrems. 228 EDPB, Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES Version 2.0, antagen den 15 december 2020.
845Elektroniskt utlämnande av personuppgifter
eller 46.3 b. Dessa minimiskyddsåtgärder ska säkerställa att skyddsnivån för fysiska personer enligt dataskyddsförordningen inte undergrävs när personuppgifterna överförs till länder utanför EU/EES och att de registrerade får en skyddsnivå som överensstämmer med den som garanteras genom dataskyddsförordningen. 229 EDPB har även publicerat rekommendationer om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter. 230 Rekommendationerna är avsedda att hjälpa bl.a. offentliga organ att bedöma tredjeländer och identifiera lämpliga kompletterande åtgärder vid behov. Rekommendationerna omfattar ett antal steg som uppgiftsutförarna bör följa, möjliga informationskällor och ett antal exempel på kompletterande åtgär- 231 der som kan vidtas. Även vad gäller de undantagssituationer som anges i artikel 49.1 i dataskyddsförordningen, dvs. vid överföring till tredjeland om det inte finns ett beslut om adekvat skyddsnivå eller om det saknas lämpliga skyddsåtgärder, har EDPB publicerat riktlinjer för tillämpningen. 232 Av riktlinjerna framgår bl.a. följande. Vid tillämpning av artikel 49 måste även villkoren i övriga bestämmelser i dataskyddsförordningen uppfyllas. Utnyttjande av undantagen i artikel 49 får aldrig leda till en situation där grundläggande rättigheter kan komma att kränkas. Varje behandling måste följa de relevanta dataskyddsbestämmelserna, särskilt artiklarna 5 och 6. Följaktligen måste ett tvåstegstest användas. För det första måste det finnas en rättslig grund för behandlingen av uppgifter som sådan, tillsammans med alla relevanta bestämmelser i dataskyddsförordningen. Som ett andra steg måste bestämmelserna i kapitel V följas. 233 Först måste alltså möjligheterna att utforma överföringen med någon av mekanismerna i artiklarna 45 och 46 undersökas och undantagen i artikel 49.1 får endast användas när sådana inte finns. Undantagen
229 EDPB, Riktlinjer 2/2020 om artikel 46.2 a och artikel 46.3 b i förordning 2016/679 för överföringar av personuppgifter mellan offentliga myndigheter och organ i EES-länder och länder utanför EES, Version 2.0, antagen den 15 december 2020, s. 7–8. 230 EDPB, Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0, antagna den 18 juni 2021. 231 EDPB, Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0, antagna den 18 juni 2021, s. 3. 232 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018. 233 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018, s. 3.
846Elektroniskt utlämnande av personuppgifter
ska dessutom tolkas restriktivt, så att det inte blir till regel. 234 I riktlinjerna behandlas sedan de olika undantagssituationerna särskilt. I den allmänna dataskyddsregleringen finns det sammanfattningsvis en detaljerad reglering av vad om ska gälla vid överföringar av personuppgifter till tredjeland, dvs. länder utanför EU/EES. Det finns även en systematik där kommissionen beslutar om tredjeländer där skyddsnivån är adekvat, och utvärderar besluten över tid. Utöver vissa krav på tillstånd från IMY finns det för tillämpningen detaljerade vägledningar, riktlinjer och rekommendationer på unionsnivå, samt praxis från EU-domstolen. Frågor som rör elektroniskt utlämnande till ett tredjeland är enligt vår bedömning fullgott reglerade genom den allmänna dataskyddsregleringen. Några mer restriktiva bestämmelser i den kompletterande dataskyddsreglering för Skatteverket, Tullverket och Kronofogdemyndigheten är enligt vår bedömning inte nödvändiga vid gränsöverskridande uppgiftslämnande som sker till tredje land. Vid tillämpning av undantagen i artikel 49.1 bör dock system som tekniskt motsvarar direktåtkomst eller helt automatiserade frågasvar-tjänster likt LEFI-online sällan komma att aktualiseras. Eftersom det rör sig om undantagssituationer där det inte finns ett adekvat skydd eller lämpliga skyddsåtgärder för överförda personuppgifter, och då överföringar som bygger på undantag inte behöver någon typ av förhandsgodkännande från tillsynsmyndigheterna, måste sådana överföringar anses kunna leda till väsentligt ökade risker när det gäller berörda registrerades fri- och rättigheter. 235 Det innebär att prövningen om utlämnandet ska ske elektroniskt i normalfallet kommer behöva göras i det enskilda fallet, i syfte att uppnå ett adekvat integritetsskydd.
234 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018, s. 4. 235 EDPB, Riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning 2016/679, antagna den 25 maj 2018, s. 4.
84712 Gallring och längsta tid
för behandling
12.1 Inledning
I våra direktiv anges att det finns skäl att utreda om myndigheternas nuvarande bestämmelser om bevarande och gallring är ändamålsenliga i förhållande till gällande materiella regler och dagens behov. I vårt uppdrag ingår att bedöma om nuvarande bestämmelser om gallring kan ersättas med regler om längsta tid som personuppgifter får behandlas automatiserat för att tydliggöra att det rör sig om dataskyddsbestämmelser och inte bestämmelser om gallring i arkivrättslig mening. Vad gäller Tullverket konstateras i våra direktiv att bestämmelserna om gallring i dåvarande tullregisterlagen (1990:137) i stort sett oförändrade fördes över till lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, och att det därför finns skäl att nu göra en allmän översyn av Tullverkets gallringsbestämmelser. Slutligen finns det enligt direktiven anledning att analysera och tydliggöra vilka gallringsbestämmelser som ska gälla när någon av de berörda myndigheterna tillgängliggör uppgifter i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna. I detta kapitel redogör vi för olika aspekter av de frågor om gallring och bevarande av uppgifter som aktualiseras inom vårt uppdrag, nämligen dataskyddsregleringen och befintliga bestämmelser i myndigheternas registerförfattningar, arkivrättsliga regler och regelverk. Vi redogör även för våra bedömningar samt de behov och problemformuleringar som myndigheterna gett uttryck för i förhållande till dagens reglering, samt lämnar förslag på ny reglering. Slutligen redogör vi för vissa konsekvenser av våra förslag. De förslag som lämnas är dock inte i sin helhet avsedda att omfatta SPAR-verksamheten vid Skatteverket, som behandlas särskilt i kapitel 16. Även avseende Skatteverkets äktenskapsregister- och bo-
848Gallring och längsta tid för behandling
uppteckningsverksamheter lämnas särskilda förslag i kapitel 17. Särskilda överväganden om lagringsminimering kommer även att föras avseende frågan om dataanalyser och urval, kapitel 14.
12.2 Arkivrättsliga hänsyn och dataskydd
12.2.1 Allmänna handlingars offentlighet
och myndigheternas arkiv
Handlingsoffentlighet
Var och en har enligt 2 kap. 1 § tryckfrihetsförordningen, TF, en rätt att ta del av allmänna handlingar. Rätten att ta del av allmänna handlingar får enligt 2 kap. 2 § TF bara begränsas under vissa förutsättningar, exempelvis om det krävs med hänsyn till rikets säkerhet, rikets centrala finanspolitik, intresset av att förebygga eller beivra brott, det allmännas ekonomiska intresse, eller skyddet för enskildas personliga eller ekonomiska förhållanden. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt, vilket framgår av 2 kap. 3 § TF. En handling är enligt 2 kap. 4 § TF allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos en myndighet. Även minnesanteckningar och utkast m.m. som tas om hand för arkivering är allmänna handlingar, vilket framgår av 2 kap. 12 § TF.
Arkivlagen
En förutsättning för att handlingsoffentligheten ska kunna utnyttjas är att allmänna handlingar inte förstörs eller görs otillgängliga på annat sätt. Arkivlagen (1990:782) är en ramlag som gäller för alla myndigheter. Syftet är att upprätthålla handlingsoffentligheten och lagen innehåller bestämmelser om bevarande och gallring av allmänna handlingar, samt allmänna och övergripande bestämmelser om myndigheternas arkiv. Flertalet bestämmelser är teknikoberoende och avser såväl pappershandlingar som elektroniskt lagrade upptagningar. I arkivlagen görs inte skillnad på allmänna handlingar utifrån om en allmän handling innehåller personuppgifter eller inte.
849Gallring och längsta tid för behandling
Arkivlagen fylls ut av arkivförordningen (1991:446) och de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheten utfärdar, se avsnitt 12.2.2 nedan. Myndigheternas arkiv bildas av de allmänna handlingarna från myndighetens verksamhet, vilket framgår av 3 § första stycket arkivlagen. Myndigheternas arkiv är en del av det nationella kulturarvet och arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov. Det framgår av 3 § andra och tredje styckena arkivlagen. Utgångspunkten i den arkivrättsliga regleringen är alltså att allmänna handlingar ska bevaras. Varje myndighet är som utgångspunkt ansvarig för arkivvården av den egna myndighetens handlingar, vilket framgår av 4 § arkivlagen. I arkivvården ingår även att se till att arkiven inte kommer att omfatta onödigt material. 1 All information som utgör allmänna handlingar har nämligen inte ett värde som motiverar att den bevaras för all framtid. I arkivvården ingår därför att avgränsa arkivet genom att fastställa vilka handlingar som ska vara arkivhandlingar, och att verkställa föreskriven gallring i arkivet, vilket framgår av 6 § 4 och 5 arkivlagen. Att allmänna handlingar får gallras framgår av 10 § arkivlagen. Vid gallring ska dock enligt samma bestämmelse alltid beaktas att arkiven utgör en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Enligt 12 § arkivförordningen får Riksarkivet meddela föreskrifter om gallring. Av 14 § samma förordning framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
12.2.2 Riksarkivet
Den statliga arkivmyndigheten
En statlig myndighet får inte på egen hand tillämpa 10 § första och andra styckena arkivlagen och själv avgöra vilka allmänna handlingar som ska gallras ur dess arkiv. Regeringen bestämmer enligt 8 § arkivlagen vilken arkivmyndighet som ska finnas för tillsynen över de
1 Prop. 1989/90:72, om arkiv m.m., s. 38.
850Gallring och längsta tid för behandling
statliga myndigheterna. Riksarkivet är den statliga arkivmyndighet som har särskilt ansvar för den statliga arkivverksamheten och för arkivvården. Genom arkivförordningen har Riksarkivet fått bemyndigandet att föreskriva och besluta om gallring av allmänna handlingar hos statliga myndigheter. Av 10 § tredje stycket arkivlagen framgår dock att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser. Statliga myndigheter får alltså gallra allmänna handlingar bara i enlighet med föreskrifter eller beslut av Riksarkivet eller 2 enligt särskilda gallringsföreskrifter i lag eller förordning. I Riksarkivets policy för bevarande och gallring anges följande om behovet av bevarande med hänsyn till offentlighetsprincipen. Behovet att bevara en viss handling med hänsyn till offentlighetsprincipen förändras över tiden. Ju längre tid som gått efter de händelser som dokumenteras av handlingarna, desto mindre betydelse har de generellt sett för insynen i myndigheters verksamhet. Det kan dock vara mycket stora skillnader mellan olika slag av handlingar och insynsintresset kan i en del fall vara aktuellt under mycket lång tid. Offentlighetsprincipen medför också, att gallringen av sekretessbelagda handlingar bör vara relativt restriktiv. Rättssäkerheten får inte äventyras genom gallring. Gallringen får inte begränsa partsinsynen eller möjligheterna i övrigt för personer som berörs av en myndighets verksamhet att tillvarata sina intressen. Den får heller inte begränsa kontrollen av myndigheters verksamhet eller möjligheten att utkräva ansvar. Handlingar skall också bevaras i sådan omfattning, att medborgarnas allmänna insyn i myndigheternas verksamhet och en fri samhällsdebatt underlättas och stimuleras. 3
Föreskrifter och beslut om bevarande och gallring meddelade av Riksarkivets finns publicerade dels i en generell föreskriftsserie som gäller samtliga statliga myndigheter, dels i en myndighetsspecifik föreskriftsserie. 4 Gallring av statliga myndigheters allmänna handlingar kan också regleras särskilt i författning, och då gäller de reglerna framför Riksarkivets föreskrifter. För Skatteverkets (i beskattningsverksamheten), Tullverkets och Kronofogdemyndighetens del finns särskilda bestämmelser om gallring i de registerförfattningar som omfattas av vårt uppdrag, se avsnitt 12.3.2 medan.
2 14 § arkivförordningen. 3 Riksarkivet, Bevarandet av nutiden, Riksarkivets gallrings- & bevarandepolicy, s. 5. 4 RA-FS respektive RA-MS.
851Gallring och längsta tid för behandling
Riksarkivets föreskrifter
RA-FS
Riksarkivets generella föreskrifter och allmänna råd publiceras i Riksarkivets författningssamling (RA-FS). Föreskrifterna ska i regel tillämpas av alla statliga myndigheter. Riksarkivets föreskrifter och allmänna råd om arkiv hos statliga myndigheter (RA-FS 1991:1) 5 omfattar allmänna regler, oavsett medium, för alla områden inom myndigheternas arkivhantering. Bestämmelserna omfattar allt från avgränsning och organisation av arkiv till arkivredovisning och gallring samt framställning, förvaring, skydd och överlämnande av handlingar. Övriga föreskrifter i serien förtydligar och kompletterar de allmänna reglerna inom olika områden. De generella föreskrifterna om gallring omfattar till större delen handlingar inom myndigheters administrativa verksamheter vilka oftast genomförs på liknande sätt och avsätter liknande handlingar. I vissa fall regleras även gallring i kärnverksamheter hos myndigheter med liknande uppdrag. 6
RA-MS
Riksarkivet utfärdar även myndighetsspecifika föreskrifter och beslut (RA-MS) i fall där de generella föreskrifterna inte går att tillämpa, exempelvis för handlingar som tillkommer i en specifik verksamhet. I de myndighetsspecifika föreskrifterna regleras bl.a. gallring, överlämnande, införlivande, utlån, bevarande samt undantag från de generella föreskrifterna. I de fall Riksarkivet fått bemyndigande att föreskriva om undantag från gallring som regleras i t.ex. en registerförfattning, dvs. att personuppgifterna får bevaras för vissa ändamål i stället för att gallras, meddelas sådana bestämmelser i serien RA-MS. För Skatteverkets, Tullverkets och Kronofogdemyndighetens del har Riksarkivet meddelat ett flertal föreskrifter med sådana undantag, se avsnitt 12.3.2 nedan. Till skillnad från de generella gallringsföreskrifterna initierar i regel myndigheterna själva de myndighetsspecifika föreskrifterna om gall-
5 Ändrade och omtryckta genom: RA-FS 1997:4, ändrade genom: RA-FS 2008:4, RA-FS 2012:1, RA-FS 2018:2, ändrade och omtryckta genom: RA-FS 2019:2, ändrade genom: RA-FS 2021:4, RA-FS 2021:5, RA-FS 2022:4. 6 Riksarkivet, Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS), version 1.2, s. 6.
852Gallring och längsta tid för behandling
ring och bevarande. Det går till så att myndigheten utreder och framställer om gallring eller bevarande till Riksarkivet som sedan bedömer och beslutar. Ett ärende kan resultera i att framställan beviljas och att Riksarkivet utfärdar föreskrifter eller beslut i form av en RA-MS. I andra fall kan det resultera i att Riksarkivet beslutar att avslå eller avvisa framställan. 7
12.2.3 Dataskyddsregleringen
EU:s dataskyddsförordning
Principen om lagringsminimering
8 Av EU:s dataskyddsförordning följer inte någon skyldighet att gallra personuppgifter i arkivrättslig mening. Dataskyddsförordningen och dataskyddslagen reglerar alltså inte vad som ska bevaras eller gallras. Utgångspunkten i det dataskyddsrättliga regelverket är i stället principen om lagringsminimering. Principen om lagringsminimering framgår av artikel 5.1 e i dataskyddsförordningen och är en grundläggande princip vid all personuppgiftsbehandling. Av artikel 5.1 e framgår att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt artikel 5.1 e får personuppgifter dock lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter. Principen om lagringsminimering sätter upp en begränsning för alla former av behandling. När alla ändamål med behandlingen är uppfyllda måste den avslutas för att kunna anses proportionerlig. Lagringsminimering innebär alltså att uppgifter om fysiska personer som utgångspunkt inte ska sparas för eventuellt framtida bruk, utan
7 Riksarkivets vägledning Framställningar om myndighetsspecifika föreskrifter (RA-MS), version 1.2, s. 4. 8 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
853Gallring och längsta tid för behandling
när uppgifterna använts som först avsett ska de inte längre behandlas. Att uppgifter inte längre får behandlas innebär att de måste tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. I vissa fall måste den personuppgiftsansvariga myndigheten dock spara uppgifterna längre än för användning enligt insamlingsändamålet, exempelvis om det finns andra rättsliga förpliktelser som åligger myndigheten och som kräver behandling under en längre tid. Principen om lagringsminimering innebär dock att den personuppgiftsansvariga myndigheten måste se till att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. 9
Arkivändamål av allmänt intresse
Dataskyddsförordningen innehåller flera bestämmelser som avser behandling för arkivändamål av allmänt intresse och som kan ses som undantag från såväl principen om lagringsminimering som andra principer och bestämmelser som annars skulle gälla. Begreppet arkivändamål av allmänt intresse definieras inte i dataskyddsförordningen. Regeringen har dock uttalat att det står klart att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål 10 av allmänt intresse. Av artikel 89.1 i dataskyddsförordningen framgår att fortsatt behandling för arkivändamål enligt undantagsbestämmelserna kräver att vissa tekniska och organisatoriska åtgärder till skydd för den registrerades fri- och rättigheter vidtas. Av skäl 158 till dataskyddsförordningen framgår bl.a. att om personuppgifter behandlas för arkivändamål bör dataskyddsförordningen också gälla denna behandling. Ett exempel på bestämmelser som särskilt avser behandling för arkivändamål av allmänt intresse är principen om ändamålsbegränsning (finalitetsprincipen) som framgår av artikel 5.1 b i dataskyddsförordningen. Enligt den bestämmelsen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för bl.a. arkivändamål av allmänt intresse i
9 Jfr artikel 39 i dataskyddsförordningen. 10 Prop. 2017/18:105, Ny dataskyddslag, s. 110.
854Gallring och längsta tid för behandling
enlighet med artikel 89.1 ska dock inte anses vara oförenlig med de ursprungliga ändamålen Behandling av känsliga personuppgifter är som utgångspunkt förbjuden, vilket framgår av artikel 9.1 i dataskyddsförordningen. Enligt artikel 9.2 j i förordningen får dock även sådana uppgifter behandlas om behandlingen är nödvändig för bl.a. arkivändamål av allmänt intresse i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Av artikel 86 framgår vidare att personuppgifter i allmänna handlingar som förvaras av en myndighet för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen.
Dataskyddslagen
Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, saknar bestämmelser om längsta tid för behandling av personuppgifter och gallring. I 1 kap. 7 § dataskyddslagen anges dock att dataskyddsförordningen inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Av 3 kap. 6 § dataskyddslagen framgår att känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. I bestämmelsens förarbeten anges att med föreskrifter om arkiv avses bl.a. föreskrifter i arkivlagen och arkivförordningen samt i Riksarkivets och andra arkivmyndigheters föreskrifter. 11 Av 4 kap. 1 § första stycket dataskyddslagen framgår att personuppgifter som behandlas enbart för arkivändamål av allmänt intresse
11 Prop. 2017/18:105, Ny datsskyddslag, s. 196–197.
855Gallring och längsta tid för behandling
får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Av paragrafens andra stycke framgår dock att det som sägs i första stycket inte hindrar myndigheter från att använda personuppgifter som finns i allmänna handlingar.
12.2.4 Gallring av personuppgifter
Begreppet gallring avser inte enbart att i arkivvårdande syfte helt eller delvis förstöra allmänna handlingar i enlighet med arkivlagens bestämmelser. Bestämmelser om gallring förekommer även i kompletterande dataskyddsreglering och avser då att av integritetsskäl radera personuppgifter eller på annat sätt vidta åtgärder så att uppgifterna inte förekommer i ett visst sammanhang. I dataskyddssammanhang används inte gallring som ett undantag från principen om att allmänna handlingar ska bevaras, utan som ett led i skyddet av den personliga integriteten. Gallring begränsas i det sammanhanget inte heller till att omfatta enbart allmänna handlingar. I Skatteverkets (i beskattningsverksamheten), Tullverkets och Kronofogdemyndighetens registerförfattningar finns bestämmelser om gallring, undantag från gallring och bevarande av personuppgifter och andra uppgifter, dvs. om juridiska personer och i vissa fall om avlidna. Regleringen gäller enbart uppgifter som behandlas automatiserat, och inte uppgifter som behandlas på papper. 12 När det i detta kapitel talas om befintliga regler om gallring avses därför enbart automatiserad behandling. En elektronisk handling motsvarar enligt Riksarkivets definition en upptagning för automatiserad behandling i enlighet med 2 kap. 3 § TF. Avseende elektroniska handlingar definierar Riksarkivet begreppet gallra som att förstöra allmänna handlingar eller uppgifter i allmänna handlingar, eller vidta andra åtgärder med handlingarna som medför förlust av betydelsebärande data, möjliga sammanställningar, sökmöjligheter, eller möjligheter att bedöma handlingarnas autenticitet. 13 Med gallring av elektroniska upptagningar avses därför normalt att viss information raderas från databäraren. Det är inte nödvändigt att den egentliga informationen som finns på ett elek-
12 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 117. 13 2 kap. 1 § Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling), RA-FS 2009:1.
856Gallring och längsta tid för behandling
troniskt medium verkligen förstörs för att det ska vara fråga om gallring. Gallring kan exempelvis också ske genom att elektroniskt lagrad information skrivs ut på papper varefter den elektroniska versio- 14 nen raderas. Ett annat exempel på gallring kan vara att en Excelfil med en samling uppgifter sparas i ett annat dokument i pdf-format som överförs till ett usb-minne, varefter Excelfilen raderas från datorn. Även om möjligheten till insyn som sådan inte nödvändigtvis försvinner vid denna typ av gallring så kan förutsättningarna för att söka fram eller sammanställa informationen påtagligt ha försämrats. 15 Gallring av personuppgifter som behandlas automatiserat kan också ske genom avidentifiering. Av skäl 26 till EU:s dataskyddsförordning framgår bl.a. att principerna för dataskydd inte bör gälla för anonym information, nämligen information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Avidentifiering innebär alltså att alla identifieringsmöjligheter tas bort så det inte längre går att hänföra uppgifterna till en fysisk person. Uppgifterna är då inte längre personuppgifter. Att enbart kryptera uppgifterna räcker inte för att 16 de ska anses vara gallrade. Så länge det går att knyta krypterade uppgifter till en fysisk person rör det sig fortfarande om personuppgifter enligt dataskyddsförordningen. 17 Det innebär att om det finns en krypteringsnyckel som gör det möjligt att identifiera en person så är de krypterade uppgifterna inte avidentifierade, och utgör fortsatt personuppgifter. Uppgifterna är endast avidentifierade om det inte finns någon krypteringsnyckel som gör att uppgifterna kan knytas till en person. Att förstöra personuppgifter innebär att man ser till att uppgifterna inte går att återskapa. Det är oftast inte tillräckligt att radera den fil i datorn som innehåller personuppgifterna för att uppgifterna ska vara förstörda, eftersom filen kan finnas kvar i datorn på annat sätt, exempelvis i papperskorgen. Alla normala sökvägar måste tas bort
14 SOU 2015:39, Myndighetsdatalag, s. 526. I förarbetena till Skatteverkets, Tullverkets och Kronofogdemyndighetens registerförfattningar fördes just det förfarandet fram, se avsnitt 12.3.1 nedan. 15 SOU 2015:39, Myndighetsdatalag, s. 526. 16 Jfr EU-domstolens avgörande i mål C-582/14, Patrick Breyer vs Bundesrepublik Deutschland, där dynamiska IP-adresser bedömdes vara personuppgifter när det, med hjälp av ytterligare information, fanns möjlighet till identifiering av fysiska personer utifrån sagda IPadresser. 17 Artikel 4.1 i dataskyddsförordningen.
857Gallring och längsta tid för behandling
för att uppgifterna ska anses vara förstörda. Det kan krävas andra tekniska åtgärder för att uppgifterna verkligen ska förstöras, som att omformatera lagringsmediet eller skriva över uppgifterna. 18
12.3 Befintlig reglering av gallring och bevarande
12.3.1 Bakgrund till bestämmelser om gallring
i registerförfattningarna
När databaserade myndighetsregister började diskuteras i den allmänna debatten uppmärksammades att det var viktigt från integritetssynpunkt att s.k. personregister gallrades. 19 I dåvarande datalagens (1973:289) förarbeten lyftes bl.a. fram som en integritetsrisk att ofördelaktiga uppgifter om en persons förflutna i otillbörlig grad påverkade hans eller hennes möjligheter i framtiden. 20 Integritetshänsyn motiverade även den bestämmelse i 10 § tredje stycket arkivlagen där det framgår att myndigheterna enbart ska tillämpa de generella bestämmelserna om det inte finns avvikande bestämmelser om gallring i annan lag eller i förordning. 21 I samband med att de nuvarande registerförfattningarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten tillkom konstaterade regeringen att det kunde uppstå integritetsproblem när stora mängder uppgifter om enskilda personer samlades hos myndigheter, i synnerhet som då tillgänglig teknik tillät avancerade sammanställningar av information på ett enkelt sätt. Enligt regeringen var en metod för att minska integritetskänsligheten att se till att uppgifter som inte längre behövdes för en myndighets verksamhet inte heller fanns kvar i myndighetens uppgiftssamlingar eller register (se avsnitt 9.3 om databasregleringen). För att uppnå detta krävdes enligt regeringen bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet. 22 För uppgifter och handlingar i folkbokföringsdatabasen
18 Jfr t.ex. Skatteverkets rättsliga vägledning Bevara eller gallra personuppgifter, 2022, https://www4.skatteverket.se/rattsligvagledning/edition/2022.14/368092.html#h-Gallrapersonuppgifter. [hämtad 2023-01-03]. 19 SOU 2015:39, Myndighetsdatalag, s. 532–533. 20 Prop. 1973:33, Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen, m.m., s. 42 och 129. 21 Jfr redogörelse av bakgrunden till bestämmelsen i 10 § arkivlagen i SOU 2015:39, Myndighetsdatalag, s. 533. 22 Prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 116.
858Gallring och längsta tid för behandling
skulle dock arkivlagens bestämmelser om gallring och bevarande gälla. 23 Regeringen uttalade i sammanhanget även att omständigheten att uppgifter ska gallras ur en databas inte med nödvändighet innebär att uppgifterna raderas från lagringsmedierna eller förstörs på annat sätt. Det kunde vara tillräckligt att åtgärder vidtogs så att uppgif- 24 terna inte var tillgängliga i den löpande verksamheten. I betänkandet som föregick nuvarande lagstiftning övervägdes vilken form av gallringsbestämmelser som var lämpligast för att balansera integritetsintresset mot arkivintresset. De tidsfrister för gallring som föreslogs baserades delvis på materiella regler om bl.a. preskriptionstider eller möjlighet till omprövning, och fördes i vissa fall över oförändrade från tidigare registerlagar. Tidsfristerna för gallring samordnades även med teknikneutrala bestämmelser om gallring i materiella författningar. I betänkandet konstaterades även att vissa uppgifter och handlingar inte borde gallras över huvud taget bl.a. för att tillgodose statistikens och forskningens behov. För att värna handlingsoffentligheten skulle Riksarkivet dessutom ges möjlighet att med- 25 dela föreskrifter om undantag från gallring. Regeringen uttalade i förarbetena till de befintliga gallringsbestämmelserna att det i allmänhet saknades starka skäl för att tillåta att uppgifter som inte behandlades i en databas bevarades utan att några åtgärder vidtogs. Uppgifter som var föremål för automatiserad behandling i ett ärende – utan att behandlingen gjordes i en databas – skulle därför gallras senast ett år efter att ärendet hade avslutats. Regeringen noterade dock att det även kunde finnas behov av att behandla uppgifter utanför databaserna under en längre tid än ett år, exempelvis vid urvals- och kontrollprojekt inom beskattningsverksamheten. Regeringen bedömde att det borde åligga regeringen eller Riksarkivet att meddela föreskrifter om undantag från gallringsfristen på ett år. 26 Även för uppgifter som skulle behandlas i en databas, och därför som utgångspunkt fick behandlas under längre tid än ett år, bedömde regeringen att det kunde finnas behov i verksamheten av att göra undantag från de frister som angavs i författning. De närmare gall-
23 Prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 147. 24 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 118. 25 SOU 1999:105, Skatt Tull Exekution Normer för behandling av personuppgifter, s. 267–270 och 307–311. 26 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 118.
859Gallring och längsta tid för behandling
ringsfristerna som skulle gälla för olika uppgifter skulle Riksarkivet meddela, efter samråd med respektive myndighet. 27 Av författningskommentarerna till dagens registerförfattningar framgår att kravet på att uppgifterna ska gallras innebär att de kan föras över på papper, varefter den elektroniska informationen raderas. De uppgifter som endast finns kvar på papper omfattas då inte längre 28 av gallringstiden.
12.3.2 Registerförfattningarna och riksarkivets föreskrifter
Skatteverkets beskattningsverksamhet
Bestämmelser om gallring
Lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabaslagen (SdbL), omfattar bestämmelser om gallring. Bestämmelserna gäller dock bara om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska 29 bevaras. I förordningen (2001:588) om behandling av uppgifter i Skatteverkets beskattningsverksamhet, skattedatabasförordningen (SdbF), finns bestämmelser om att vissa handlingar och uppgifter som omfattas av gallringsbestämmelserna i lagen ska undantas från gallring, samt avvikande gallringsfrister för särskilt angivna handlingar och uppgifter. 30 I skattedatabasförordningen finns även ett bemyndigande för Riksarkivet som, efter att ha inhämtat synpunkter från Skatteverket, får meddela föreskrifter om att handlingar eller uppgifter som ska gallras enligt bestämmelserna i skattedatabaslagen får bevaras under längre tid. 31
27 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 126, 162 och 181. 28 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199–200, 214 och 222. Här kan nämnas att uttalandet genomgående anges avseende handlingar som inte behandlas gemensamt i databaserna. Någon särskild regel för handlingar och uppgifter i databaserna finns dock inte i detta avseende, varför uttalandet enligt vår bedömning bör anses avse även gallringar av dessa uppgifter. 29 1 kap. 8 § och 2 kap. 11–13 §§ SdbL. 30 18–20 §§ SdbF. 31 2 kap. 13 § SdbL och 21 § SdbF.
860Gallring och längsta tid för behandling
Utanför beskattningsdatabasen
Uppgifter som behandlas i ett ärende utanför beskattningsdatabasen ska som huvudregel gallras senast ett år efter det att ärendet har av- 32 slutats. Det kan till exempel vara sparade Word-dokument och Excel-filer. Under vissa förutsättningar får uppgifter och handlingar som behandlas i ett ärende utanför beskattningsdatabasen även bevaras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen. 33
I beskattningsdatabasen
Uppgifter och handlingar som behandlas i beskattningsdatabasen ska gallras senast sju år efter utgången av det kalenderår då den beskattningsperiod som uppgifterna eller handlingarna hänför sig till gick ut. 34 Det finns dock flera undantag eller kompletterande bestämmelser för vissa slags handlingar som gör att huvudregeln inte ska tilllämpas. Vissa uppgifter och handlingar ska bevaras under längre tid än sju år medan andra inte ska gallras över huvud taget. 35 Exempelvis ska uppgifter och handlingar som avser revision gallras tio år efter utgången av det kalenderår då revisionen avslutades och uppgifter och handlingar som avser fastighetstaxering ska gallras tolv år efter utgången av det taxeringsår som uppgifterna eller handlingarna kan hänföras till. 36 För vissa uppgifter som har lämnats av betaltjänstleverantörer till Skatteverket, och uppgifter och handlingar med koppling till Skatteverkets förfarande med insamling av dessa uppgifter, kommer en gallringsfrist om fem år efter utgången av det kalenderår då uppgifterna lämnades att gälla från och med den 1 januari 2024. 37
32 1 kap. 8 § SdbL. 33 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 199–200. 34 2 kap. 11 SdbL. 35 Se bl.a. 18 § SdbF. 36 2 kap. 12 § SdbL. 37 I förarbetena till bestämmelsen bedömde regeringen att eftersom huvudregeln i beskattningsdatabasen utgår från en viss beskattningsperiod kunde det ifrågasättas om den kunde anses omfatta de insamlade uppgifterna från betaltjänstleverantörer, där det ofta saknas en tydlig koppling till ett visst beskattningsår. Bestämmelsen i 2 kap. 11 § SdbL kunde därför enligt regeringens bedömning inte anses tillämplig på dessa uppgifter, se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 114–115. Se även avsnitt 8.4.8 om ändamålsbegränsningarna som föreslagits avseende dessa uppgifter.
861Gallring och längsta tid för behandling
I skattedatabasförordningen finns också en bestämmelse som medger att uppgifter och handlingar som registrerats vid revision, och som omfattas av gallringsskyldighet, får bevaras under den längre tid 38 som behövs för att Skatteverket ska kunna fullgöra sin verksamhet. Exempel på uppgifter som inte ska gallras över huvud taget är uppgifter om namn, personnummer, organisationsnummer, särskilt registrerings- och redovisningsnummer, hemortskommun och församling, samt kontrolluppgifter och beskattningsbeslut. 39 Även uppgifter om ett aktiebolag eller en ekonomisk förening vars styrelse hade sitt säte i Göteborgs kommun eller en kommun som ligger i Östergötlands, Gotlands eller Västernorrlands län den 1 november året före det år då beslut om slutlig skatt fattades, tillhör kategorin av 40 uppgifter om inte ska gallras.
Riksarkivets föreskrifter
Riksarkivet har meddelat föreskrifter om hur Skatteverket får bevara, återlämna och gallra handlingar från beskattningsverksamheten (RA-MS 2019:33). Föreskrifterna har genomgått ett flertal ändringar 41 och i bilagor till föreskrifterna ges detaljerade bestämmelser för bevarande respektive gallring av handlingar från beskattningsverksamheten. I den första bilagan finns föreskrifter om att uppgifter och handlingar från beskattningsverksamheten får bevaras under en längre tid än den som anges i registerförfattningarna. 42 För uppgifter som behandlas utanför beskattningsdatabasen föreskrivs ofta att uppgifterna får bevaras under den tid de behövs i verksamheten, utan angivande av en fast tidsfrist. För uppgifter som behandlas i beskattningsdatabasen föreskrivs i stället olika tidsfrister för bevarande för olika kategorier av uppgifter och handlingar, allt från 6 månader till 20 år efter en i föreskriften angiven omständighet, exempelvis utgången av ett taxeringsår. I den andra bilagan finns förskrifter om att uppgifter och handlingar i beskattningsverksamheten får gallras, ofta gällande pappers-
38 20 § SdbF. 39 18 § SdbF. 40 20 § SdbF. 41 Se RA-MS 2020:36, RA-MS 2021:28, RA-MS 2022:14, RA-MS 2022:43 och RA-MS 2023:22. 42 Bilaga 1 till RA-MS 2022:43.
862Gallring och längsta tid för behandling
handlingar. 43 Då gäller vanligtvis en viss tidsfrist efter ett ärende avslutats.
Skatteverkets folkbokföringsverksamhet
I lagen (2001:182) om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet, folkbokföringsdatabaslagen (FdbL) och förordningen (2001:589) om behandling av personuppgifter i Skatteverkets beskattningsverksamhet, folkbokföringsdatabasförordningen (FdbF) saknas generella bestämmelser om gallring och bevarande av uppgifter och handlingar. Däremot finns en bestämmelse i folkbokföringsdatabaslagen som särskilt anger att när en kontroll enligt 26 b och 26 c §§ folkbokföringslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen (2022:1697) om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras. 44 För folkbokföringens analys- och urvalsdatabas finns vidare en bestämmelse om längsta tid för behandling för uppgifter som behandlas i den databasen. Där anges bl.a. att uppgifterna aldrig får behandlas under en längre tid än tre år från den tidpunkt när de tillfördes databasen. Bestämmelsen ska dock inte förstås som 45 en gallringsbestämmelse. För uppgifter och handlingar i Skatteverkets folkbokföringsverksamhet gäller därför, utöver vad som nyss angetts, de bestämmelser om arkivering och gallring som finns i arkivlagen och arkivförordningen, samt i Riksarkivets föreskrifter. Riksarkivet har meddelat föreskrifter om gallring i folkbokföringsverksamheten hos Skatteverket (RA-MS 2018:38). 46 I bilaga till föreskrifterna finns detaljerade bestämmelser för hur pappershandlingar och elektroniska handlingar i folkbokföringsverksamheten får gallras.
43 Bilaga 2 till RA-MS 2022:14. 44 1 kap. 7 § FdbL.. 45 2 a kap. 6 § FdbL. Se prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 34. Jfr även avsnitt 12.5.4 nedan. 46 Ändrade genom RA-MS 2021:32 och RA-MS 2022:15.
863Gallring och längsta tid för behandling
Tullverket
Bestämmelser om gallring
I lagen om behandling av uppgifter i Tullverkets verksamhet, tulldatabaslagen (TDL) finns bestämmelser om gallring. Bestämmelserna gäller dock bara om regeringen eller den myndighet regeringen bestämmer inte har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras. 47 I förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet, tulldatabasförordningen (TDF), finns ett bemyndigande för Riksarkivet att, efter att ha inhämtat synpunkter från Tullverket, meddela föreskrifter om att handlingar eller uppgifter som 48 ska gallras enligt bestämmelserna i lagen får bevaras under längre tid. Några bestämmelser om bevarande eller gallring finns dock inte i själva förordningen.
Utanför tulldatabasen
Uppgifter som behandlas i ett ärende utanför tulldatabasen ska som huvudregel gallras senast ett år efter det att ärendet har avslutats. 49 Liksom för uppgifter som behandlas av Skatteverket utanför beskattningsdatabasen kan under vissa förutsättningar handlingar och uppgifter bevaras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen. 50
I tulldatabasen
Uppgifter och handlingar som behandlas i tulldatabasen ska som utgångspunkt gallras senast sex år efter utgången av det kalenderår då uppgifterna eller handlingarna behandlades i databasen första gången. Om det i lag eller författning föreskrivits längre tid för bevarande av vissa uppgifter än sex år gäller den föreskriften. 51
47 1 kap. 8 § och 2 kap. 10 § TDL. 48 8 § TDL. 49 1 kap. 8 § TDL. 50 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 221–222. 51 2 kap. 10 § TDL.
864Gallring och längsta tid för behandling
Riksarkivet har meddelat föreskrifter om bevarande av uppgifter och handlingar i tulldatabasen hos Tullverket (RA-MS 2010:68). Av föreskrifterna framgår att två kategorier av uppgifter och handlingar får bevaras under längre tid än vad som framgår av tulldatabaslagen. Uppgifter och handlingar i ärenden om certifikat och tillstånd avseende ekonomiska aktörer får bevaras hos Tullverket i tio år efter utgången av det kalenderår då certifikatet eller tillståndet upphörde att gälla. Registrerings- och identifieringsuppgifter enligt punkterna 1–4 i bilaga 38d till kommissionens förordning (EEG) nr 2454/93 av den 2 juli 1993 om tillämpningsföreskrifter för rådets förordning (EEG) nr 2913/92 om inrättandet av en tullkodex för gemenskapen får bevaras hos Tullverket som upptagningar för automatiserad behandling så länge som de behövs för verksamheten. 52
Kronofogdemyndigheten
Bestämmelser om gallring
I lagen (2001:184) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabaslagen (KFMdbL) finns bestämmelser om gallring. Bestämmelserna gäller dock bara om regeringen eller den myndighet regeringen bestämmer inte har meddelat föreskrifter om att uppgifter ska gallras vid en annan tidpunkt eller att uppgifter ska bevaras. 53 I förordningen (2001:590) om behandling av uppgifter i Kronofogdemyndighetens verksamhet, kronofogdedatabasförordningen (KFMdbF), bemyndigas Riksarkivet att, efter samråd med Kronofogdemyndigheten, meddela föreskrifter om att handlingar och uppgifter som ska gallras får bevaras under längre tid. 54
52 Förordningen är numera upphävd. 53 1 kap. 7 § och 2 kap. 6, 12, 18 och 23 §§ KFMdbL. 54 19 § KFMdbF.
865Gallring och längsta tid för behandling
Utanför databaserna
Uppgifter som behandlas automatiserat i ett ärende ska gallras senast ett år efter det att ärendet har avslutats. 55 Under vissa förutsättningar får uppgifter och handlingar som behandlas i ett ärende utanför databaserna även bevaras under en längre tid, exempelvis gäller det om uppgifterna tillförs ett annat ärende eller om ett nytt ärende öppnas med anledning av informationen. 56
Utsöknings- och indrivningsdatabasen
Uppgifter och handlingar som behandlas i utsöknings- och indrivningsdatabasen ska gallras senast fem år efter utgången av det kalenderår då det mål eller ärende som uppgifterna eller handlingarna hänför sig till avslutades, alternativt då samtliga mål och ärenden avseende den person som uppgifterna hänför sig till var avslutade. 57 Riksarkivet har meddelat föreskrifter (RA-MS 2015:52) om återlämnande, gallring och bevarande av handlingar i verksamheten med verkställighet hos Kronofogdemyndigheten. 58 Av en bilaga till föreskrifterna framgår att uppgifter och handlingar i utsöknings- och indrivningsdatabasen i flera situationer ska bevaras.
Betalningsföreläggande- och handräckningsdatabasen
Uppgifter och handlingar i betalningsföreläggande- och handräckningsdatabasen ska gallras senast tre år efter utgången av det kalenderår då det mål som uppgifterna eller handlingarna hänför sig till avslutades. Uppgifter om utslag i mål om betalningsföreläggande ska dock gallras senast tio år efter utgången av det kalenderår då utslaget vann laga kraft. 59 Riksarkivet har meddelat föreskrifter om bevarande, återlämnande och gallring av handlingar i mål om betalningsföreläggande och handräckning hos Kronofogdemyndigheten (RA-MS 2015:29). 60 Av före-
55 1 kap. 7 § KFMdbL. 56 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 214. 57 2 kap. 6 § KFMdbL. 58 Ändrade genom RA-MS 2017:7 och RA-MS 2022:53. 59 2 kap. 12 § KFMdbL. 60 Ändrade genom RA-MS 2019:11.
866Gallring och längsta tid för behandling
skrifterna framgår att vissa uppgifter i betalningsföreläggande- och handräckningsdatabasen ska bevaras.
Skuldsaneringsdatabasen
Uppgifter och handlingar i skuldsaneringsdatabasen ska gallras senast fem år efter utgången av det kalenderår då det ärende som uppgifterna eller handlingarna hänför sig till avslutades. Om skuldsanering eller F-skuldsanering har beviljats i ett ärende, ska uppgifter och handlingar dock gallras senast sju år efter utgången av det kalenderår då beslutet om skuldsanering meddelades, eller fem år efter utgången av det kalenderår då beslutet om F-skuldsanering meddelades. 61 Riksarkivet har meddelat föreskrifter om undantag från gallring och överlämnande till arkivmyndighet (RA-MS 2008:19) 62 för skuldsaneringsdatabasen. Av föreskrifterna framgår att uppgifter och handlingar i skuldsaneringsdatabasen ska undantas från gallring.
Konkurstillsynsdatabasen
Uppgifter och handlingar i konkurstillsynsdatabasen som kan hänföras till ett konkurstillsynsärende eller ett ärende om tillsyn över rekonstruktörer ska gallras senast fem år efter utgången av det kalenderår då ärendet avslutades. Ett konkurstillsynsärende ska dock gallras tidigast tio år efter utgången av det kalenderår då beslutet om konkurs fattades. Uppgifter och handlingar som kan hänföras till mål enligt lönegarantilagen (1992:497) ska gallras senast tre år efter utgången av det kalenderår då handläggningen av målet avslutades. 63 Riksarkivet har meddelat föreskrifter om bevarande och gallring i verksamhet med tillsyn i konkurs hos Kronofogdemyndigheten (RA-MS 2012:17). 64 Av föreskrifterna framgår att uppgifter i ärenden om tillsyn i konkurs i konkurstillsynsdatabasen ska bevaras.
61 2 kap. 18 § KFMdbL. 62 Omtryckta och ändrade genom föreskrifter om ändring av Riksarkivets föreskrifter (RA- MS 2008:19) om undantag från gallring och överlämnande till arkivmyndighet hos Kronofogdemyndigheten, (RA-MS 2011:29). 63 2 kap. 23 § KFMdbL. 64 Ändrade genom (RA-MS 2019:67).
867Gallring och längsta tid för behandling
12.3.3 Myndigheternas uppfattningar om nuvarande reglering
Skatteverket
Skatteverket har uppgett att myndighetens uppfattning är att tillämpningen av befintlig reglering kompliceras av att den är en sammanblandning av arkivlagstiftning och dataskyddsreglering. Enligt Skatteverket utgår den allmänna regleringen av gallring för beskattningsverksamheten dessutom från beskattningsår, vilket inte lämpar sig för alla uppgifter som hanteras i det sammanhanget. Vissa uppgifter behöver nämligen finnas kvar så länge ett visst förhållande föreligger, oavsett vilket beskattningsår förhållandet uppstod. Skatteverket har även uppgett att det i den allmänna regleringen i dag finns bestämmelser som kräver att uppgifter bevaras, men där det helt saknas behov av det i verksamheten. Enligt Skatteverket kan det även ifrågasättas om det fortfarande finns ett behov av bevarande av forskningsskäl, eftersom urvalsmodellen kan ha blivit obsolet. Skatteverket har också påpekat att huvudregeln i skattedatabaslagen är att uppgifterna ska gallras efter ett respektive sju år beroende på om de behandlas i databasen eller inte. Enligt Skatteverket är dock de befintliga tidsfristerna för gallring dåligt anpassade till dagens förhållanden och det har krävts omfattande föreskrifter som medger undantag från dem för att Skatteverket ska kunna utföra sin verksamhet. Skatteverket anser att det hade varit mer ändamålsenligt att särskilja dataskyddsbestämmelser från arkivrättsliga bestämmelser.
Tullverket
Tullverket har uppgett att såväl utgångspunkten för de beräkningar som de tidsfrister som sätts upp i nuvarande reglering utgör ett problem, eftersom de inte motsvarar myndighetens behov av att bevara uppgifterna för olika legitima ändamål. Något undantag från gallringsbestämmelserna i tulldatabaslagen finns dessutom inte i tulldatabasförordningen. Tullverket har uppgett att det inom myndigheten har genomförts ett omfattande arbete med att kartlägga myndighetens behov i kärnverksamheten i förhållande till befintliga bestämmelser om gallring. Inom ramen för detta arbete har Tullverket kunnat konstatera att uppgifter i dag behandlas elektroniskt i tullverksamheten vid en mycket
868Gallring och längsta tid för behandling
tidigare tidpunkt än när tidsfristerna kom till. Det är ett resultat av både den rättsliga och tekniska utvecklingen. Enligt Tullverket tar nuvarande bestämmelser vidare inte hänsyn till hur tullövervakningen har utvecklats över tid och den uppföljning som EU utövar. Uppgifter behöver därför bevaras under längre tid än vad som i dag är tillåtet för att Tullverket ska kunna visa att internationella åtaganden har fullgjorts. Dagens reglering medför enligt Tullverket också problem vid exempelvis överklaganden och revisioner, samt när uppgifter behandlas i unionsgemensamma system. Tullverket bedömer att förlängda tidsfrister för gallring är nödvändiga för att myndigheten ska kunna uppfylla sitt uppdrag och sina internationella förpliktelser.
Kronofogdemyndigheten
Kronofogdemyndigheten har uppgett att i dag kan kronofogdedatabaslagens bestämmelser om gallring inte längre sägas vara huvudregel, vilket ger en komplex och inte ändamålsenlig reglering av bevarande och gallring i databaserna. Undantagen från lagens huvudprincip om gallring är i vissa fall så omfattande att det i praktiken har skett en slags återgång till arkivlagstiftningens grundregel om bevarande. Kronofogdemyndigheten har vidare påpekat att nuvarande bestämmelser i databaslagen inte är anpassade till en digitaliserad hantering vilket medför att bl.a. diarieuppgifter ska gallras.
12.4 Överväganden och förslag
12.4.1 Nuvarande bestämmelser är inte ändamålsenliga
Vår bedömning: Nuvarande bestämmelser i registerförfattningarna om gallring och bevarande är inte ändamålsenliga.
869Gallring och längsta tid för behandling
Skälen för vår bedömning
Den tekniska utvecklingen
Gallringsbestämmelserna i den kompletterande dataskyddsregleringen för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten kom till när digital informationshantering inom myndigheterna fortfarande var ett komplement till den analoga informationshanteringen och den elektroniska förvaltningen var i början av sin uppbyggnad. 65 De överväganden som låg till grund för bestämmelser om vilka uppgifter som ska gallras och vid vilken tidpunkt, eller vad som ska undantas från gallring, utgick alltså från väsentligt andra förutsättningar för digital informationshantering än de som föreligger i dag. I dag är den digitala informationshanteringen fullt integrerad i myndigheternas verksamhet och inte ett komplement till pappershantering. Ärenden handläggs elektroniskt och enskilda och andra myndigheter kommunicerar på elektronisk väg i stor omfattning. Den snabba tekniska utvecklingen medför vidare att flera nya typer av handlingar måste hanteras, vilket i arkivrättsliga sammanhang har bedömts ställa andra slags krav på myndigheterna än tidigare. 66 Någon pappersakt som kan bevaras i arkiven enligt andra regler än registerförfattningens finns dessutom inte i en helt digital miljö. Utvecklingen har fått till följd att Riksarkivet har meddelat ett flertal föreskrifter om undantag från gallringsbestämmelserna (se avsnitt 12.3.2). Redan vid tidpunkten för regleringens tillkomst restes frågan om risken för osäkerhet om vad som skulle komma att gälla. 67 I dag är gallringsbestämmelserna i många fall så genombrutna av föreskrivna undantag att det är svårt att få en överblick över vilka bestämmelser som faktiskt ska tillämpas. Att Riksarkivet skulle behöva justera gallringsfristerna för att tillgodose behov i myndigheternas verksamhet förutsågs visserligen av regeringen redan när gallringsregleringen infördes. Riksarkivet är dock en statlig arkivmyndighet och har det särskilda ansvar för den statliga arkivverksamheten och för arkivvården i landet som framgår av arkivlagen, arkivförord-
65 Jfr prop. 1997/98:136, Statlig förvaltning i medborgarnas tjänst, s. 54–55, SOU 1999:105, Skatt Tull Exekution Normer för behandling av personuppgifter, s. 197–198 och prop. 2000/01:33 Behandling av personuppgifter inom skatt, tull och exekution, s. 80–81. 66 Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och kulturarv, s. 268. 67 Jfr prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 135.
870Gallring och längsta tid för behandling
ningen och myndighetens instruktion. 68 Riksarkivet saknar av naturliga skäl närmare insikt i myndigheternas behov i kärnverksamheterna. Riksarkivet har vidare inget uppdrag att övervaka dataskyddsregleringen inom myndigheterna eller på annat sätt se över bestämmelser som motiveras av integritetshänsyn. Att den statliga arkivmyndigheten uppdras att justera tid för bevarande i förhållande till annars tvingande gallringsfrister införda av integritetshänsyn, i syfte att tillgodose myndigheternas behov av att kunna fortsätta behandla uppgifter i verksamheten, kan enligt vår mening inte ses som ändamålsenligt. Digitaliseringen av myndigheternas verksamhet har sammanfattningsvis medfört ett behov av nya överväganden i frågor om bevarande och gallring av handlingar inom myndigheternas verksamheter. Utifrån detta perspektiv kan dagens gallringsbestämmelser inte anses vara ändamålsenliga.
Den rättsliga utvecklingen
Gallring enligt det arkivrättsliga regelverket sker normalt av praktiska och ekonomiska skäl. Sådan gallring syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är tydligt begränsat i tiden. En riktigt utförd gallring bör få till resultat att myndigheternas arkiv blir mer överskådliga och effektiva som informationskällor. 69 När bestämmelser om gallring har införts i den kompletterande dataskyddsregleringen är det i stället integritetshänsyn som motiverat bestämmelserna. Syftet med att införa bestämmelser om gallring i de kompletterande dataskyddsförfattningarna har därmed framför allt varit att skydda den enskildes personliga integritet. Utgångspunkten har vidare varit den omvända i förhållande till arkivlagen, dvs. gallring är huvudregel och bevarande av personuppgifter ett undantag. När EU:s dataskyddsförordning började tillämpas i maj 2018 ersatte den 1995 års dataskyddsdirektiv, 70 som på generell nivå hade
68 Jfr 1 § förordningen (2009:1593) med instruktion för Riksarkivet. 69 Prop. 1989/90:72, om arkiv m.m., s. 40–41. 70 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
871Gallring och längsta tid för behandling
genomförts i svensk rätt genom personuppgiftslagen (1998:204) personuppgiftsförordningen (1998:1191) och dåvarande Datainspektionens föreskrifter. Dataskyddsförordningen, som ska tillämpas på precis samma sätt som vore det en svensk lag, utgör en mer omfattande dataskyddsreglering än 1995 års dataskyddsdirektiv och personuppgiftslagen gjorde (se avsnitt 5.2.2). I dag finns det alltså högre krav på myndigheterna att vidta ett flertal olika åtgärder för att kunna säkerställa att uppgifter inte behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen, än när de befintliga gallringsbestämmelserna infördes. Enligt dataskyddsförordningen måste myndigheterna dessutom vidta åtgärder som säkerställer en lämplig säkerhet för de personuppgifter som får behandlas (artikel 32). Enligt artikel 25.2 i dataskyddsförordningen måste myndigheterna också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, tiden för deras lagring och deras tillgänglighet. Av skäl 39 till dataskyddsförordningen framgår också att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. En tillämpning av principen om lagringsminimering och övriga bestämmelser i dataskyddsförordningen bör rent allmänt medföra att behovet av gallringsbestämmelser i integritetsskyddande syfte minskar.
Den föreslagna regleringens övergripande struktur
Det finns ett behov av att se över hur dagens bestämmelser om bevarande och gallring lämpligen kan anpassas till den struktur vi föreslår ska gälla i de nya datalagarna i övrigt. Nuvarande bestämmelser om bevarande och gallring utgår ofta från om uppgifterna behandlas i respektive utanför databaserna (se avsnitt 12.3.2). Även i Riksarkivets förskrifter finns bestämmelser som utgår från att det finns särskilt reglerade databaser hos myndigheterna. I avsnitt 9.4.2 föreslår vi att den nuvarande strukturen med särreglerade databaser ska upphävas och inte ersättas av bestämmelser med motsvarande innehåll i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten.
872Gallring och längsta tid för behandling
Om det i framtiden inte längre finns några särreglerade databaser blir det inte heller möjligt att behålla bestämmelser om bevarade eller gallring som gäller beroende på om uppgifterna behandlas i eller utanför databaserna. I avsnitten 7.4.2 och 7.4.3 föreslår vi att bestämmelserna i de nya datalagarna i huvudsak inte ska vara tillämpliga vare sig vid behandling av uppgifter om juridiska personer eller avlidna. Nuvarande författningar är dock i stora delar tillämpliga även vid behandling av uppgifter om juridiska personer, och i vissa fall även vid behandling av uppgifter om avlidna. Det gäller bl.a. för bestämmelser om gallring av uppgifter och handlingar. Även i förhållande till våra förslag om förändringar avseende tillämpningsområdet finns därför ett behov av en översyn av dagens gallringsbestämmelser.
12.4.2 Dataskyddsregler och arkivrättsliga regler
bör hållas åtskilda
Vår bedömning: Det bör göras en tydlig åtskillnad mellan dataskyddsregler och arkivreglering. Orden bevarande och gallring bör enbart användas i den betydelse de har i arkivlagstiftningen, och bör inte användas i dataskyddsförfattningar.
Skälen för vår bedömning
Gallringsbestämmelserna som dataskyddsregler
I myndigheternas registerförfattningar finns flera olika kategorier av bestämmelser som reglerar andra förhållanden än dataskydd. Det rör sig ofta om närliggande frågor som på olika sätt har betydelse för integritetsskyddet, exempelvis sekretessbrytande bestämmelser och förutsättningar för olika former av elektroniskt utlämnande. Bestämmelserna i registerförfattningarna är också i varierande grad tillämpliga på information som inte är personuppgifter, dvs. uppgifter om juridiska personer och i vissa fall om avlidna. Vi har tidigare gjort bedömningen att detta är en av orsakerna till att registerförfattningarna upplevs som svåröverskådliga och svårtillämpade. En av våra utgångspunkter är därför att de nya författningarna i så hög utsträckning som möjligt inte ska innehålla annat än dataskyddsbestämmelser, se
873Gallring och längsta tid för behandling
avsnitt 5.2.6. Frågan är då om gallringsbestämmelserna i nuvarande form bör anses utgöra sådana dataskyddsbestämmelser som bör finnas även i de nya författningarna. Nuvarande gallringsbestämmelser syftar i och för sig till att skydda den personliga integriteten vid automatiserad behandling av personuppgifter, vilket talar för att de ska anses utgöra dataskyddsregler. I dag är dock bestämmelserna om gallring i Skatteverkets beskattningsverksamhet, Tullverkets verksamhet och Kronofogdemyndighetens verksamhet även tillämpliga för uppgifter och handlingar om juridiska personer. De avgör därmed vad som ska ske med uppgifter om sakförhållanden m.m. som inte utgör vare sig personuppgifter eller indirekta personuppgifter. När gallringsbestämmelserna tillämpas för gallring av sakuppgifter (som inte utgör personuppgifter) fyller de inget integritetsskyddande syfte och har därför inte karaktären av dataskyddsbestämmelser. I många fall finns även bestämmelser eller föreskrifter om undantag från gallringsbestämmelser, bl.a. med hänsyn till verksamhetens behov, vilket framgår av avsnitt 12.3.2 ovan. I de situationerna har det integritetsintresse som den generella gallringsbestämmelsen ursprungligen avsett att skydda vid en senare värdering bedömts vara mindre skyddsvärt än behovet i myndigheternas verksamhet. Det kan också vara så att den rättsliga och/eller tekniska utvecklingen medfört att en gallringsbestämmelse ”krockar” med andra regler eller behov och därför inte bör tillämpas, exempelvis när hanteringen blivit helt digital. I de många fall där gallringsbestämmelserna inte ska tillämpas fyller de inte någon integritetsskyddande funktion. Om uppgifterna som ska gallras dessutom kan sparas på papper 71 eller enbart göras oåtkomliga i en viss databas kan det vara svårt att avgöra vad gallring enligt registerförfattningarnas bestämmelser faktiskt innebär i fråga om konkret informationsförlust och därmed integritetsskydd. Även om gallringsbestämmelser i vissa situationer kan utgöra en del av integritetsskyddet är det sammanfattningsvis svårt att avgöra i vilken utsträckning dagens generella bestämmelser om gallring fyller den integritetsskyddande funktion som avsetts. Vår bedömning är därför att nuvarande gallringsbestämmelser inte utgör sådana dataskyddsbestämmelser som ska finnas i de nya lagarna.
71 Se avsnitt 12.4.1 ovan.
874Gallring och längsta tid för behandling
Arkivrättsliga regler och regler om dataskydd ska hållas åtskilda
Vi har nyss konstaterat att nuvarande bestämmelser om gallring inte bör anses utgöra sådana dataskyddsbestämmelser som ska finnas i de nya dataskyddsförfattningarna. Det är därför inte heller lämpligt att fortsättningsvis använda begreppet gallring i dataskyddssammanhang. Enligt vår mening bör bestämmelser som reglerar gallring i stället enbart förekomma i arkivrättsliga sammanhang, och inte tillämpas utifrån integritetshänsyn utan som en nödvändig del i att hantera arkivtillväxten och underlätta användningen av arkiven. 72 Vi bedömer alltså att det mest ändamålsenliga är att helt skilja de två begreppsapparaterna åt så de arkivrättsliga begreppen gallring och bevarande i fortsättningen enbart används för arkivvårdande åtgärder, dvs. åtgärder som innebär att allmänna handlingar inte ska vara kvar i en myndighets arkiv eller att de ska bevaras. Gallring av allmänna handlingar bör därför endast regleras av arkivlagen och arkivförordningen, samt de föreskrifter eller beslut som Riksarkivet meddelar. När syftet i stället är att skydda den personliga integriteten, och regleringen endast omfattar personuppgifter, bör den yttersta gränsen för hur länge personuppgifterna får behandlas anges. På så sätt görs en tydlig åtskillnad mellan dataskyddsregler och arkivrättsliga regler. Den åtskillnad vi föreslår i detta avseende finns redan i nya lagar om personuppgiftsbehandling på dataskyddsdirektivets område. 73 Regeringen angav exempelvis i förarbetena till brottsdatalagen (2018:1177) att orden bevarande och gallring i de nya registerförfattningarna enbart borde användas i den betydelse som de har i arkivlagstiftningen, för att så långt som möjligt skilja mellan arkivrättsliga regler och regler om dataskydd. Orden bevarande och gallring används därför inte i t.ex. brottsdatalagen eller i lagarna om Tullverkets respektive Skatteverkets behandling av personuppgifter inom brottsdatalagens område, 74 om inte arkivrättsliga regler avses.
72 Jfr SOU 2019:58, Härifrån till evigheten – en långsiktig arkivpolitik för förvaltning och kulturarv, s. 243. 73 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF. 74 Se 4 kap. lagen (2018:1696) om Skatteverkets behandling av personuppgifter inom brottsdatalagens område och 4 kap. lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område, samt prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 120–121.
875Gallring och längsta tid för behandling
I förarbetena till Utbetalningsmyndighetens dataskyddsreglering uttalade regeringen att de skäl som anfördes i lagstiftningsärendet avseende brottsdatalagen även gjorde sig gällande i lagstiftningsären- 75 det om Utbetalningsmyndighetens personuppgiftsbehandling. Även dataskyddsregleringen för Utbetalningsmyndighetens verksamhet saknar därmed bestämmelser som reglerar gallring. 76 Regeringen gjorde motsvarande bedömningar i propositionen om Skatteverkets möjligheter att göra dataanalyser och urval i folkbokföringsverksamheten. 77 Den åtskillnad som vi föreslår har alltså redan införts i viss annan lagstiftning som kompletterar dataskyddsförordningen.
12.4.3 Gallringsbestämmelserna ska ersättas med generella
bestämmelser om längsta tid för behandling
Vårt förslag: I de nya lagarna ska det finnas en generell bestämmelse om längsta tid för behandling. Bestämmelsen ska endast begränsa behandling för ändamål inom författningarnas respektive tillämpningsområde.
Skälen för vårt förslag
Dataskyddsbestämmelser ska ansluta till EU:s dataskyddsförordning
Enligt den grundläggande principen om lagringminimering i artikel 5.1 e i EU:s dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter ska därmed inte behandlas om det inte längre finns ett behov av det. Vi anser att den principen bör komma till uttryck i de nya datalagarna och utgöra en huvudregel för personuppgiftsbehandlingen vid Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Begreppen längsta tid för behandling och upphörande av behandling bör alltså användas i stället för gallring, när bestämmel-
75 Prop. 2022/23:34, Utbetalningsmyndigheten, s. 150. 76 Se 4 kap. lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. 77 Prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten, s. 34.
876Gallring och längsta tid för behandling
serna tar sikte på skyddet för den personliga integriteten och ändamålen med behandlingen. Vi föreslår därför att det ska införas en bestämmelse i de nya lagarna om att personuppgifter inte ska få behandlas under längre tid än vad som behövs med hänsyn till ändamålet med behandlingen. Enligt vår mening behöver en yttersta tidsfrist för behandling inte anges i författning. Vi föreslår därför att bestämmelser som förtydligar principen om lagringsminimering ska formuleras så att de genomgående anger att det är ändamålet med behandlingen som avgör hur länge uppgifterna får behandlas. Den föreslagna bestämmelsen säkerställer den grundläggande principen om att endast uppgifter som behöver behandlas ska behandlas. När det inte längre finns något behov av att behandla personuppgifter ska de tas bort eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter förvinner. Bestämmelsen möjliggör samtidigt behandling under den tid som den är nödvändig för ändamålet, exempelvis för att följa en historisk utveckling av en viss företeelse. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs. Berättigade och motiverade behov av en längre tids behandling kan på så sätt tillgodoses utan dagens omständliga förfarande med fasta gallringsfrister, där en framställan först måste göras till Riksarkivet, som efter utredning kan föreskriva om undantag från gallring (se avsnitt 12.2.4). Bestämmelsen om längsta tid för behandling ger myndigheterna vida ramar för bedömningen av vilka uppgifter som får fortsätta behandlas i kärnverksamheten. Det som avses i den föreslagna bestämmelsen är dock ändamålet i det enskilda fallet och behovet av att fortsätta behandla uppgifterna kommer därför behöva prövas kontinuerligt. Uppgifter kommer ofta behandlas för flera olika ändamål, liksom i dag, och kan vara tillgängliga i olika verksamhetssystem. Det kan förekomma att behovet av att behandla personuppgifter upphör avseende behandling för ett ändamål, medan det kvarstår för ett annat ändamål. Personuppgifterna får då fortsätta att behandlas för det kvarstående ändamålet. Den föreslagna bestämmelsen medför därmed inget krav på att all behandling ska upphöra om behovet upphör för ett av flera ändamål. Bestämmelsen kräver dock att de uppgifter som inte längre behöver behandlas för ett visst ändamål också slutar behandlas för det ändamålet, i enlighet med principen om lagringsminimering. I enlig-
877Gallring och längsta tid för behandling
het med ansvarsprincipen (artikel 5.2 i dataskyddsförordningen) ska den personuppgiftsansvariga myndigheten också kunna visa att bl.a. principen om lagringsminimering efterlevs, exempelvis inför sina respektive dataskyddsombud eller Integritetsskyddsmyndigheten, IMY.
12.4.4 Behöver det finnas en upplysningsbestämmelse
om fortsatt behandling för arkivändamål m.m.?
Vår bedömning: Det finns inte skäl att införa en upplysningsbestämmelse om fortsatt behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Skälen för vår bedömning
Som vi redogjort för i avsnitt 12.2.3 får personuppgifter enligt principen om lagringminimering (artikel 5.1 e i EU:s dataskyddsförordning) lagras under längre perioder i den mån som uppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter. I avsnitt 8.4.2 har vi föreslagit att det ska införas en bestämmelse som motsvarar finalitetsprincipen i de nya datalagarna för Skatteverkets beskattnings- och folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Enligt finalitetsprincipen (artikel 5.1 b i dataskyddsförordningen) ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska enligt finalitetsprincipen inte anses vara oförenlig med de ursprungliga ändamålen. Den föreslagna bestämmelsen som avgränsar behandlingen till den tid som behövs med hänsyn till ändamålet med behandlingen inne-
878Gallring och längsta tid för behandling
bär därmed att det inte finns något hinder mot att uppgifter och handlingar bevaras enligt arkivlagens bestämmelser. När uppgifter inte längre behövs för ändamål i verksamheten kan de alltså fortsatt behandlas för arkivändamål. Även om artikel 89.1 i dataskyddsförordningen ställer upp krav på att behandling som sker enbart för arkivändamål ska vara förenad med tekniska och organisatoriska skyddsåtgärder finns det inget krav på att uppgifterna flyttas till ett annat system vid denna behandling. Av 4 kap. 1 § andra stycket dataskyddslagen framgår även att det inte finns något hinder för myndigheter att behandla personuppgifter, som finns i allmänna handlingar som behandlas enbart för arkivändamål av allmänt intresse, för något annat ändamål. Något hinder mot att en uppgift som har bevarats enbart för arkivändamål återförs till kärnverksamheten för vidarebehandling finns följaktligen inte, förutsatt att det nya ändamålet inte är oförenligt med det ändamål för vilket uppgiften ursprungligen samlades in. Även övriga krav i den allmänna dataskyddsregleringen, exempelvis avseende uppgiftsminimering måste vara uppfyllda. I en sådan situation behöver den personuppgiftsansvariga myndigheten inte samla in uppgiften på nytt. Den nya behandlingen kräver enligt dataskyddsförordningen inte heller någon annan rättslig grund än den med stöd av vilken den ursprungliga insamlingen medgavs (skäl 50, se avsnitt 8.4.6). Det är alltså endast förenligheten med insamlingsändamålet som måste bedömas. En arkiverad uppgift kan dock lika lite som någon annan uppgift behandlas för ett ändamål som är oförenligt med det ursprungliga insamlingsändamålet. 78 Frågan är då om den föreslagna bestämmelsen om längsta tid för behandling bör förenas med en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får fortsätta att behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. En sådan bestämmelse finns exempelvis i 4 kap. 4 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. I 12 § förordningen (2023:463) om behandling av personuppgifter vid Utbetalningsmyndigheten bemyndigas Riksarkivet att meddela föreskrifter om att vissa personuppgifter får fortsätta att behandlas för arkivändamål av allmänt intresse,
78 Jfr SOU 2017:39, Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning, s. 225 och prop. 2017/18:105, Ny dataskyddslag, s. 120 och 200.
879Gallring och längsta tid för behandling
vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. I 4 kap. 2 och 3 §§ lagen om behandling av personuppgifter vid Utbetalningsmyndigheten finns dock även särskilda bestämmelser som avser faktiska tidsfrister för behandling av de uppgifter som Riksarkivet bemyndigas meddela föreskrifter om. Vi har inte föreslagit att några sådana bestämmelser ska införas för Skatteverkets beskattningsoch folkbokföringsverksamheter, Tullverket och Kronofogdemyndigheten. Tillåtligheten av vidarebehandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål är dessutom en direkt följd av finalitetsprincipen och principen och lagringsminimering. Att myndigheterna har en skyldighet att bevara allmänna handlingar följer vidare av arkivlagen. Likaså följer av arkivförordningen att gallring av allmänna handlingar endast får ske i enlighet med föreskrift eller beslut av Riksarkivet (se avsnitten 12.2.1–12.2.2). Mot den bakgrunden saknas det enligt vår bedömning skäl för att införa en särskild bestämmelse om att uppgifter får fortsätta behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
12.4.5 Möjligheten att föreskriva om yttersta tidsfrister
Vårt förslag: I lagarna ska det finnas en upplysningsbestämmelse som anger att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter får behandlas under viss tid. I förordningarna ska myndigheterna bemyndigas att meddela föreskrifter som preciserar den längsta tiden för behandling för olika ändamål.
Skälen för vårt förslag
Behov av tidsfrister
Vi har redan konstaterat att myndigheterna kommer att behöva anta ett proaktivt förhållningssätt till frågan om fortsatt behandling i syfte att leva upp till kraven i EU:s dataskyddsförordning. I det ingår att regelbundet överväga om fortsatt behandling kan motiveras i för-
880Gallring och längsta tid för behandling
hållande till ändamålet (eller ändamålen) med behandlingen i det enskilda fallet. Av skäl 39 till dataskyddsförordningen framgår att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Att myndigheterna internt formulerar vissa mer specificerade tidsfrister för när behandling i verksamhetssystemen senast ska upphöra för olika ändamål har därmed stöd i dataskyddsförordningen. Skatteverket, Tullverket och Kronofogdemyndigheten har dessutom alla ett dataskyddsombud vars roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Det kan dock uppkomma situationer där den längsta tiden för behandling för ett visst ändamål kan behöva preciseras. En sådan precisering, i lag, förordning eller föreskrifter, av när behandling för ett särskilt ändamål senast ska upphöra bör främst ses främst en särskilt integritetshöjande åtgärd. Ett sådant behov skulle kunna uppkomma om behandling av särskilt känsliga uppgifter motiveras av ny materiell reglering, eller som en följd av den tekniska utvecklingen. Även om en yttersta tidsfrist för behandling främst är en integritetshöjande åtgärd kan det inte uteslutas att också effektivitetsskäl talar för att införa ett formaliserat stöd för hur länge behandling för ett visst ändamål är behövlig. En sådan bestämmelse kan alltså också motiveras av en önskan att undvika att det på myndighetsnivå läggs alltför stora resurser på kontinuerliga överväganden om fortsatt behandling för ett särskilt ändamål är tillåten. Regeringen eller den myndighet som regeringen bestämmer kan då med stöd av 8 kap. 7 § regeringsformen (den s.k. restkompetensen, se avsnitt 6.2) meddela föreskrifter om mer preciserade tidsfrister för behandlingen i vissa fall. Av tydlighetsskäl bör detta framgå av lag. Vi föreslår därför att en upplysningsbestämmelse tas in i de nya datalagarna, i anslutning till bestämmelsen om längsta tid för behandling, om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om att personuppgifter längst får behandlas under viss tid. 79 Vi har inte identifierat något behov av att föreslå bestämmelser som närmare anger den längsta tid som uppgifter får behandlas vare sig hos Skatteverket, Tullverket eller Kronofogdemyndigheten. Här bör nämnas att regeringen nyligen, som nämnts i avsnitt 12.3.2, föreslagit att en avvikande gallringsfrist ska gälla för vissa uppgifter från
79 Jfr 11 § förordningen om behandling av personuppgifter vid Utbetalningsmyndigheten.
881Gallring och längsta tid för behandling
betaltjänstleverantörer. Förslaget motiverades dock inte utifrån att uppgifterna var särskilt integritetskänsliga i förhållande till övriga uppgifter som behandlas i databasen. Den avvikande gallringsfristen föreslogs i stället med motiveringen att de befintliga gallringsfristerna av lagtekniska skäl inte kunde tillämpas på uppgifterna från betaltjänstleverantörer, och dess längd bestämdes utifrån Skatteverkets förväntade behov av uppgifterna. Regeringen eller den myndighet regeringen bestämmer ska även kunna föreskriva undantag även från den avvikande gallringsfristen. 80 Motiveringen till den föreslagna bestämmelsen tyder enligt vår bedömning på att regeringen inte ansett att uppgifterna är så integritetskänsliga att behandlingen ovillkorligen måste upphöra vid en viss tidpunkt efter det att uppgifterna samlades in för att upprätthålla ett adekvat integritetsskydd. De överväganden som i övrigt gjorts bör därför gälla även för uppgifter som Skatteverket samlar in från betaltjänstleverantörer. Även dessa uppgifter bör därför endast få behandlas under den tid som är nödvändig med hänsyn till ändamålet med behandlingen, och ska gallras eller bevaras i enlighet med det arkivrättsliga regelverket.
Ett bemyndigande för myndigheterna att meddela föreskrifter
Som nämnts ovan följer av skäl 39 till dataskyddsförordningen att den personuppgiftsansvarige bör införa tidsfrister för radering för att säkerställa att personuppgifter inte sparas längre än nödvändigt. Respektive myndighet bör därför i de nya förordningarna bemyndigas att meddela föreskrifter om att personuppgifter som längst får behandlas under en viss tid. På så sätt kan enskilda registrerade ges en tydligare bild av hur länge uppgifter om dem som längst behandlas, än om myndigheternas tidsfrister endast förekom i interna rutiner eller andra interna dokument. I sammanhanget kan nämnas att i 8 kap. 12 § RF ges en uttrycklig möjlighet för regeringen att på ett formaliserat sätt kontrollera sina myndigheters föreskrifter. Som ett led i denna prövning kan regeringen godkänna föreskrifterna och ändra eller meddela en förordning som upphäver eller ersätter dem. Regeringen har också möjlighet att i samband med att den ger ett bemyndigande till en förvaltningsmyndighet begära att en föreskrift som meddelas med stöd av bemyndigandet ska underställas regeringen. Regeringen kan
80 Se prop. 2022/23:121, Nya krav på betaltjänstleverantörer att lämna uppgifter, s. 114–116.
882Gallring och längsta tid för behandling
vidare införa en bestämmelse i anslutning till bemyndigandet som innebär att myndighetsföreskrifterna upphör att gälla om de inte underställs eller godkänns av regeringen inom viss tid. 81 Att myndigheternas bemyndigas att själva specificera den längsta tid som uppgifter får behandlas för olika ändamål innebär alltså inte att regeringen saknar möjlighet att kontrollera eller justera sagda frister. Som nämnts ovan ska bestämmelser i förordning eller föreskrifter dock inte tillåta avsteg från det krav som följer av den generella bestämmelsen om att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt.
Behov av gallringsbestämmelser kan uppkomma i framtiden
De föreslagna generella bestämmelserna om längsta tid för behandling utgör inte sådana bestämmelser i författning som gör att arkivlagen inte ska tillämpas enligt 10 § tredje stycket, dvs. avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning som gäller i stället för det arkivrättsliga regelverket. Arkivlagen gäller i stället parallellt med bestämmelserna om längsta tid för behandling. Det yttersta tidsgräns som regeringen eller den myndighet regeringen bestämmer kan meddela föreskrifter om bör normalt inte heller utgöra bestämmelser om gallring. Det är i stället fråga om hur länge en viss kategori av uppgifter får behandlas för ändamålet med behandlingen, och den arkivrättsliga frågan om samma uppgifter ska gallras eller bevaras bör normalt lösas genom det arkivrättsliga regelverket. Uppgifter som inte längre får behandlas för ändamål i kärnverksamheten kan då fortsatt behandlas för arkivändamål. Det kan dock inte uteslutas att det i framtiden åter kommer att vara motiverat att införa sådana bestämmelser som avses i arkivlagens 10 § tredje stycket. Ett sådant behov kan enligt vår bedömning komma att aktualiseras vid särskilt integritetskänslig behandling som motiveras av ny materiell reglering eller av den tekniska utvecklingen. Eventuella sådana bestämmelser gäller då i stället för den generella bestämmelsen om längsta tid för behandling. Tillämpningen av sådana bestämmelser besvarar därmed både frågan om hur lång den längsta tiden för behandling av uppgifterna är, och frågan om handlingarna ska gallras eller bevaras.
81 Ds 2014:10, En tydligare beredning av myndighetsföreskrifter, s. 16.
883Gallring och längsta tid för behandling
Bestämmelser om att vissa uppgifter ska förstöras kan dock även avse andra handlingar än allmänna. Ett exempel är bestämmelsen i nuvarande 1 kap. 7 § folkbokföringsdatabaslagen som har följande lydelse. När en kontroll enligt 26 b och 26 c §§ folkbokföringslagen (1991:481) eller enligt 2 kap. 3 och 4 §§ lagen (2022:1697) om samordningsnummer har genomförts, ska fingeravtryck och ansiktsbilder samt de biometriska uppgifter som har tagits fram omedelbart förstöras.
I förarbeten till bestämmelsen bedömde regeringen att eftersom uppgifterna omedelbart ska förstöras när kontrollen är utförd kommer de uppgifter som tas fram i samband med kontrollen aldrig bli allmänna handlingar. 82 I likhet med avvikande bestämmelser om gallring av allmänna handlingar bör ett behov av bestämmelser liknande den i nuvarande 1 kap. 7 § folkbokföringsdatabaslagen i huvudsak uppkomma vid särskilt integritetskänslig behandling. I den mån sådana bestämmelser införs utgör även de ett undantag från den föreslagna huvudregeln i de nya datalagarna och ger ett svar på frågan hur länge uppgifter får behandlas för ett visst ändamål.
12.4.6 Gallring och bevarande av uppgifter som behandlas
i Europeiska unionens gemensamma informationssystem
Vår bedömning: Frågor om gallring och bevarande av uppgifter som behandlas i Europeiska unionens gemensamma informationssystem kommer i fortsättningen regleras genom arkivlagstiftningen.
Skälen för vår bedömning
Skatteverket och Tullverket har påpekat att många problemställningar uppkommer hos myndigheterna med anledning av befintliga bestämmelser i registerförfattningarna i förhållande till behandling i unionsgemensamma informationssystem. Bestämmelserna om gallring lyftes särskilt. I avsnitt 7.4.4 har vi föreslagit att tillämpningsområdet för de nya författningarna ska avgränsas på så sätt att behandling som sker i tekniska plattformar som hanteras gemensamt av EU
82 Prop. 2021/22:217, Stärkt kontroll och kvalitet i folkbokföringen, s. 56.
884Gallring och längsta tid för behandling
och medlemsstaterna faller utanför författningarnas respektive tillämpningsområden. Då inga gallringsbestämmelser motsvarande de som finns i dag föreslås i de nya lagarna blir det dock ingen skillnad på om behandlingen sker i tekniska plattformar som hanteras gemensamt av EU och medlemsstaterna, dvs. utanför tillämpningsområdet, eller inom lagarnas tillämpningsområde. Alla frågor om gallring och bevarande kommer med vårt förslag regleras genom arkivlagen och arkivförordningen, samt genom Riksarkivets föreskrifter eller beslut.
12.4.7 Bevarande av vissa uppgifter i Skatteverkets
beskattningsverksamhet
Vår bedömning: Det saknas skäl att föra in en bestämmelse om att Skatteverket ska bevara vissa uppgifter i de nya dataskyddsförfattningarna för beskattningsverksamheten.
Skälen för vår bedömning
Som framgår av avsnitt 12.3.2 är utgångspunkten i Skatteverkets beskattningsverksamhet i dag att handlingar ska gallras efter sju år. I samband med registerförfattningarnas tillkomst uttalade regeringen att det i flera fall kommer behöva göras undantag från sjuårsregeln och att vissa uppgifter i beskattningsdatabasen inte bör gallras över huvud taget. Det gällde bl.a. uppgifter som vid tidpunkten återfanns i taxeringsuppgiftsregistret och tidigare återfanns i skattelängder. Genom att bevara dessa uppgifter skulle statistikens och forskningens behov tillgodoses, samtidigt som den kontinuitet som fanns avseende sådana uppgifter kunde bibehållas. Regeringen konstaterade även att regist- 83 ret dessutom användes av skattemyndigheterna vid bl.a. omprövning, och uppgifterna behövde även av den anledningen bevaras under en längre tid. Enligt regeringen kunde bestämmelser om att vissa upp-
83 Vid tidpunkten för regleringens tillkomst utgjordes skatteförvaltningen av Riksskatteverket och landets 10 skattemyndigheter. Skatteverket bildades den 1 januari 2004 genom en sammanslagning av dessa, se prop. 2002/03:99, Det nya Skatteverket, s. 216 och lagen (2003:642) med anledning av inrättande av Skatteverket.
885Gallring och längsta tid för behandling
gifter i beskattningsdatabasen skulle bevaras ersätta föreskrifter om inrättande av t.ex. särskilda taxeringsuppgiftsregister. 84 I dag finns, liksom vid regleringens tillkomst, undantagsbestämmelsen i 18 § i skattedatabasförordningen (se avsnitt 12.3.2). Bestämmelsen har genomgått vissa förändringar sedan införandet, men att uppgifter om bl.a. namn, personnummer, organisationsnummer, hemortskommun och församling samt kontrolluppgifter och beskattningsbeslut ska bevaras är oförändrat. Det är sådana uppgifter som tidigare funnits i taxeringsuppgiftsregistret och ännu tidigare återfanns i skattelängder. Det finns följaktligen en lång tradition av att bevara dessa uppgifter. Vi föreslår ovan att bestämmelser som kräver gallring av uppgifter som behandlas i Skatteverkets beskattningsverksamhet upphävs och inte ersätts av motsvarande bestämmelser i den nya datalagen. Frågan blir då om det trots detta finns ett behov av att föreskriva att Skatteverket ska bevara vissa uppgifter, i syfte att tillgodose de behov som motiverande införandet av bestämmelsen. Inledningsvis bör här konstateras att bestämmelsen om bevarande kom till som ett undantag från en annars tvingande gallringsbestämmelse. Om inga sådana tvingande bestämmelser finns blir det i stället det arkivrättsliga regelverket, med Riksarkivet som främsta uttolkare, som avgör vilka uppgifter som kommer få gallras i beskattningsverksamheten. Den arkivrättsliga utgångspunkten är nämligen att allmänna handlingar hos myndigheterna ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. För att de uppgifter som i dag ska undantas från gallring även fortsättningsvis ska bevaras räcker det alltså med att Skatteverket inte framställer om att uppgifterna ska få gallras. Mot bakgrund av att flera av de aktuella uppgifterna bevarats under en lång tid, tidigare funnits i register och dessförinnan i skattelängder finns det också skäl att anta att Riksarkivet, i syfte att tillgodose bl.a. de behov som motiverade bestämmelsen om bevarande från första början, skulle neka en eventuell framställan från Skatteverket om gallring av sagda uppgifter. Av 10 § arkivlagen följer dessutom som tidigare har nämnts att det vid överväganden om gallring alltid ska beaktas att arkiven är en del av kulturarvet och att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven. Mot bak-
84 Prop. 2000/01:33, Behandling av personuppgifter inom skatt, tull och exekution, s. 136–137.
886Gallring och längsta tid för behandling
grund av den långa tradition som finns avseende bevarande av vissa uppgifter i beskattningsverksamheten framstår Skatteverkets arkiv i denna del som en del av kulturarvet. Riksarkivet har dessutom möjlighet att i en för beskattningsverksamheten myndighetsspecifik föreskrift införa en upplysningsbestämmelse som särskilt anger att aktuella uppgifter ska bevaras, alternativt införa ett villkor som anger att en förutsättning för gallring är att uppgifter i handlingarna förts in i andra handlingar. Sammantaget anser vi att det inte finns något behov av att reglera att uppgifterna, som enligt nuvarande bestämmelse i skattedatabasförordningen ska bevaras, även fortsättningsvis ska göra det. Den frågan blir i stället löst på ett tillfredsställande sätt genom det arkivrättsliga regelverket. I sammanhanget bör dock påpekas att uppgifterna som i dag ska bevaras för tillfället inte ingår i ett register, vilket de gjorde innan de nuvarande registerförfattningarnas tillkomst. Det innebär att uppgifterna i dag inte bevaras samlat, och inte i någon särskild relation till varandra. Sökning i och annan hantering av dessa uppgifter är därför mer komplicerat än om de behandlats samlat. Mot bakgrund av att uppgifterna under en lång tid har ansetts nödvändiga att bevara, skälen för bevarandet, och då de kan sägas utgöra en stomme i beskattningsverksamhetens arkiv, kan det ifrågasättas om det lämpligaste inte hade varit att föreskriva att Skatteverket har en skyldighet att föra ett sådant register. Vi bedömer dock att de överväganden som den frågan ger upphov till ligger utanför ramen för vårt uppdrag.
12.4.8 Vissa gallringsbestämmelser i skatteförfarandeförordningen
och fastighetstaxeringsförordningen ska tas bort
Vårt förslag: Bestämmelser om gallring i 20 kap. 2 och 3 §§ skatteförfarandeförordningen och i 2 kap. 4 § andra stycket och 5 §, samt 7 kap. 3 § fastighetstaxeringsförordningen ska tas bort.
Skälen för vårt förslag
De gallringsbestämmelser som i dag finns i registerförfattningarna för Skatteverkets beskattningsverksamhet redogörs för ovan (se avsnitt 12.3.2). Utöver dessa finns bestämmelser om gallring i beskatt-
887Gallring och längsta tid för behandling
ningsverksamheten även i skatteförfarandeförordningen (2011:1261) och i fastighetstaxeringsförordningen (1993:1199). Gallringsbestämmelserna i skatteförfarandeförordningen har i sak stora likheter med gallringsbestämmelserna i skattedatabaslagen. Av 20 kap. 1 § och 2 § första stycket skatteförfarandeförordningen framgår att uppgifter och handlingar som rör fysiska personer och andra juridiska personer än aktiebolag och ekonomiska föreningar, och som har lämnats till Skatteverket enligt skatteförfarandelagen (2011:1244), samt uppgifter i handlingar som har upprättats eller som har tagits om hand för granskning av Skatteverket vid tillämpning av skatteförfarandelagen ska gallras sju år efter utgången av det kalenderår då beskattningsåret har gått ut. För uppgifter som avser ett aktiebolag eller en ekonomisk förening är gallringsfristen 11 år efter utgången av det kalenderår då beskattningsåret har gått ut. Vissa uppgifter och handlingar som avser revision enligt 41 kap. 2 § första stycket 6 eller 7 skatteförfarandelagen, samt tillsyn eller kontrollbesök ska dock gallras tre år efter utgången av det kalenderår då beslutet om revision, tillsyn eller kontrollbesök meddelades, vilket framgår av 20 kap. 2 § andra stycket skatteförfarandeförordningen. Av 20 kap. 3 § samma förordning framgår dock att vissa uppgifter och handlingar som avser revision enligt 41 kap. 2 § första stycket 1–5 skatteförfarandelagen får bevaras under en längre tid än vad som följer av 2 §. Av 20 kap. 2 § tredje stycket skatteförfarandeförordningen framgår att vissa uppgifter och handlingar inte ska gallras om de avser ett aktiebolag eller en ekonomisk förening vars styrelse hade sitt säte eller, om sådant saknas, vars förvaltning utövades i Göteborgs kommun eller en kommun som ligger i Östergötlands, Gotlands eller Västernorrlands län den 1 november året före det år då beslut om slutlig skatt enligt 56 kap. 2 § skatteförfarandelagen fattades. Även i fastighetstaxeringssammanhang ska bestämmelser som liknar de som finns i skattedatabaslagen tillämpas. Av 2 kap. 4 § första och andra styckena fastighetstaxeringsförordningen framgår nämligen att bestämmelserna i 20 kap. 2 § första och tredje styckena skatteförfarandeförordningen ska tillämpas på uppgifter i fastighetsdeklarationer och andra handlingar, som enligt bestämmelserna i fastighetstaxeringslagen (1979:1152) har lämnats till ledning för fastighetstaxering eller upprättats eller för granskning omhändertagits av en myndighet
888Gallring och längsta tid för behandling
vid taxeringskontroll. Det innebär alltså att samma gallringsfrist och undantag från gallring som anges i stycket ovan gäller. Av 2 kap. 5 § fastighetstaxeringsförordningen framgår dessutom att fastighetsdeklarationer och andra handlingar som enligt bestämmelserna i fastighetstaxeringslagen har lämnats till ledning för allmän eller förenklad fastighetstaxering eller upprättats eller för granskning omhändertagits av Skatteverket vid taxeringskontroll, ska förstöras sedan tolv år förflutit efter taxeringsårets utgång, om inte regeringen för ett visst års taxering beslutat att handlingarna ska bevaras för framtiden. Detsamma gäller angående beslut om fastighetstaxering. Av 7 kap. 3 § fastighetstaxeringsförordningen framgår vidare att fastighetsdeklarationer och andra handlingar som enligt bestämmelserna i fastighetstaxeringslagen har lämnats till ledning för särskild fastighetstaxering eller upprättats eller för granskning omhändertagits av Skatteverket vid taxeringskontroll ska förstöras samtidigt med motsvarande handlingar från den allmänna eller förenklade fastighetstaxering som närmast föregått den särskilda fastighetstaxeringen, om inte regeringen förordnat att handlingarna ska bevaras för framtiden. Detsamma gäller angående beslut om fastighetstaxering. Bestämmelserna om gallring i skatteförfarandeförordningen och fastighetstaxeringsförordningen gäller parallellt med bestämmelserna i Skatteverkets registerförfattningar och är alltså till stor del överlappande i sak. Gallringsbestämmelserna i registerförfattningarna är dock genombrutna av flera undantag, vilket innebär att de i många fall inte tillämpas. Undantagen finns både i lagen, förordningen och i Riksarkivets föreskrifter (se avsnitt 12.3.2). Gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen är dock, till skillnad från bestämmelserna i registerförfattningarna, inte förenade med något bemyndigande för Riksarkivet eller någon annan myndighet att föreskriva om avvikande gallringstidpunkter. Några undantag från de gallringsbestämmelserna finns därmed inte och är inte heller möjliga att göra i dag. Bestämmelserna om gallring i skatteförfarandeförordningen och fastighetstaxeringsförordningen är dessutom teknikneutrala. Eftersom gallring av uppgifter som behandlas automatiserat i dag regleras i lag och då registerförfattningarna särskilt reglerar automatiserad behandling har Skatteverket enbart tillämpat gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen på pappershandlingar. När gallringsbestämmelserna i registerförfatt-
889Gallring och längsta tid för behandling
ningarna upphävs kommer det inte längre finnas någon speciallag som särskilt reglerar gallring vid automatiserad behandling. Det innebär att gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kommer vara tillämpliga även på uppgifter som behandlas automatiserat. Även om den nya datalagen för beskattningsverksamheten inte kommer innehålla några gallringsbestämmelser så kommer det alltså fortfarande finnas gallringsbestämmelser som Skatteverket måste tillämpa i många fall. Av 10 § tredje stycket arkivlagen framgår som redan nämnts att om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller dessa bestämmelser framför det arkivrättsliga regelverket. Vi har ovan föreslagit att frågor om gallring av personuppgifter i Skatteverkets beskattningsverksamhet i fortsättningen ska regleras genom Riksarkivets föreskrifter. Vårt förslag innebär bl.a. att uppgifter i allmänna handlingar som inte längre behöver behandlas för ett ändamål i verksamheten kan fortsätta behandlas enbart för arkivändamål (med iakttagande av de säkerhetsåtgärder som krävs för sådan behandling enligt artikel 89.1 i EU:s dataskyddsförordning) om de handlingar som uppgifterna finns i inte gallras (förstörs) i enlighet med föreskrift eller beslut från Riksarkivet. Det innebär också att uppgifterna under vissa förutsättningar kan hämtas in från arkiven om de skulle komma att behövas för ett ändamål i verksamheten igen (se avsnitt 12.4.5). Utan en förändring av gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kommer det dock i praktiken finnas en begränsning av hur lång tid personuppgifter i beskattningsverksamheten kan behandlas för något ändamål. Detsamma gäller även för uppgifter om juridiska personer och avlidna. Då de aktuella bestämmelserna inte är förenade med något bemyndigande för Riksarkivet att föreskriva om avvikande gallringstidpunkter kommer dessutom alla de undantag från gallring som regleringen i registerförfattningarna möjliggjort att försvinna. Resultatet av våra förslag skulle alltså kunna bli ett avsevärt mindre utrymme för Skatteverket att behandla personuppgifter än i dag. Vi har övervägt om bestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen kan förenas med ett bemyndigande för Riksarkivet att föreskriva om avvikande gallringstidpunkter, för att på så sätt lösa den problematik som nyss redogjorts för. Skatteverket skulle då få framställa om avvikande gallringsföreskrifter på
890Gallring och längsta tid för behandling
samma sätt som i dag. En sådan lösning leder dock till ungefär samma situation som våra förslag ovan syftar till att förändra (se avsnitten 12.4.1 och 12.4.2). Vi har även övervägt om problematiken kan lösas genom att undanta uppgifter och handlingar som behandlas automatiserat i Skatteverkets beskattningsverksamhet från gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen. På så sätt skulle våra förslag i högre utsträckning få avsett resultat och regleringen i skatteförfarandeförordningen och fastighetstaxeringsförordningen skulle även fortsättningsvis tillämpas vid gallring av pappershandlingar. Detta alternativ riskerar dock att ge upphov till viss gränsdragningsproblematik, eftersom den nya datalagen föreslås vara tillämplig även när personuppgifter bara delvis behandlas automatiserat eller om personuppgifterna ingår i eller kommer att ingå i ett register, oavsett format (se avsnitt 7.4.1). 85 Även vissa uppgifter som inte behandlas automatiserat, dvs. pappershandlingar, kan därför komma att ingå i det sammanhang där gallring endast får ske i enlighet med Riksarkivets föreskrifter. Därtill föreslås den nya datalagen enbart vara tillämplig vid behandling av personuppgifter och inte vid behandling av uppgifter om juridiska personer och avlidna. Under alla förhållanden skulle en lösning där automatiserad behandling undantas från gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen få till resultat att Skatteverket skulle behöva tillämpa olika regelverk beroende på format och vilken typ av uppgifter det rör sig om. Vi bedömer att samma gallringsbestämmelser och regelverk bör gälla, oavsett om det rör sig om automatiserad behandling eller inte, och oavsett vilken typ av uppgifter som behandlas. Frågor om gallring och bevarande ingår nämligen primärt i den arkivrättsliga sfären och de hänsyn som ska tas där utgår inte från någon rättslig skillnad mellan personuppgifter och andra uppgifter. Det mest ändamålsenliga förefaller därmed vara att de avvikande gallringsbestämmelserna i skatteförfarandeförordningen och fastighetstaxeringsförordningen upphävs. På så sätt kommer samtliga uppgifter – oavsett om det är personuppgifter eller uppgifter om juridiska personer, uppgifter om avlidna eller om rena sakförhållanden – gallras
85 Jfr artikel 4.6 i dataskyddsförordningen där register definieras som en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
891Gallring och längsta tid för behandling
enligt ett och samma regelverk, dvs. arkivlagen och de föreskrifter som Riksarkivet utfärdar. Här kan också nämnas att Skatteverket har uppgett att befintliga gallringsbestämmelser i skatteförfarandeförordningen och fastighetstaxeringsförordningen är svårtillämpade och svårtolkade och sannolikt bär spår av redigeringsfel. Exempelvis anges de omfatta ”allt” (alla uppgifter och handlingar som kommit in, tagits om hand eller upprättats) men gallringsfristen tar sin utgångspunkt i beskattningsår. Ett flertal uppgifter som förekommer inom beskattningsverksamheten, exempelvis uppgift om att en ansökan om F-skatt beviljats, saknar dock koppling till ett beskattningsår. Genom att bestämmelserna upphävs minskas därmed en oklarhet kring vad som ska gälla avseende hur uppgifter och handlingar ska bevaras eller gallras hos Skatteverket. Sammanfattningsvis är vår bedömning att det uppnås en högre grad av enhetlighet, ändamålsenlighet och tydlighet om samtliga uppgifter som hanteras av Skatteverket inom beskattningsverksamheten, oavsett om det rör sig om personuppgifter eller andra kategorier av uppgifter, som utgångspunkt bevaras eller gallras med stöd av det arkivrättsliga regelverket.
12.4.9 Skyddet för den personliga integriteten
Vår bedömning: Förslaget om en bestämmelse om längsta tid för behandling i de nya datalagarna utgör ett adekvat integritetsskydd.
Skälen för vår bedömning
När Riksarkivet meddelar beslut eller föreskrifter om gallring i enlighet med arkivlagen är det rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov som är styrande. Det arkivrättsliga regelverket syftar inte till att tillgodose intresset av integritetsskydd och det gäller endast allmänna handlingar. De bestämmelser om gallring som finns i eller följer av arkivlagen innebär att gallring får ske, men föreskriver inte att gallring ska ske. Som framgår av avsnitt 12.3.1 är dock dagens gallringsbestämmelser i registerförfattningarna för Skatteverkets beskattningsverksamhet, Tullverket och Kronofogdemyndigheten moti-
892Gallring och längsta tid för behandling
verade av integritetshänsyn och tvingande för myndigheterna, om inte Riksarkivet meddelat föreskrifter med innebörden att uppgifter och handlingar i stället ska bevaras eller undantas från gallring. Vårt förslag innebär att inte kommer finnas någon tvingande gallringsbestämmelse och inte heller någon yttersta tidsgräns för behandling i de nya datalagarna. En bestämmelse av det slag vi föreslår ställer följaktligen höga krav på den personuppgiftsansvarige, dvs. Skatteverket, Tullverket respektive Kronofogdemyndigheten. I stället för att utgå från en tydlig yttersta tidsfrist kommer myndigheterna löpande behöva göra prövningar av om det är motiverat att personuppgifter behandlas. Eventuell fortsatt behandling behöver alltså kunna motiveras utifrån de ändamål för vilka personuppgifterna 86 behandlas, såväl inför respektive dataskyddsombud som IMY. En längre tids bevarande av en stor mängd personuppgifter innebär visserligen ett större integritetsintrång för den enskilde. Vi anser dock att det inte går att dra slutsatsen att behandling generellt kommer utsträckas i tid i förhållande till de gallringsfrister som gäller i dag. Med fasta gallringsfrister finns alltid en risk att uppgifter som regel finns tillgängliga i ett verksamhetssystem under hela den tid som anges i fristen, utan att myndigheten prövar om den fortsatta behandlingen är berättigad i förhållande till ändamålet. Den föreslagna bestämmelsen om längsta tid för behandling kommer därmed sannolikt innebära att vissa uppgifter behandlas under en kortare tid än i dag, och att vissa uppgifter behandlas under ungefär lika lång tid som i dag. I vissa fall kommer behandling troligtvis pågå under en längre tid än vad som är tillåtet enligt befintliga gallringsbestämmelser. Det senare gäller särskilt för Tullverkets del, som saknar de många föreskrivna undantag från gallringsbestämmelserna som kännetecknar gallringsregleringen för Skatteverket och Kronofogdemyndigheten. Tullverket har dessutom gett uttryck för att befintliga gallringsfrister måste utökas för att myndigheten ska ha möjlighet att utföra sina uppdrag, viket tyder på att behandling inom Tullverket generellt kommer att pågå under en längre tid än vad som är tillåtet enligt dagens bestämmelser. Uppgifterna som Tullverket behandlar gäller dock nästan uteslutande ekonomiska uppgifter och uppgifter om affärsförhållanden och i begränsad del fysiska personers personliga förhållanden. 87 De är därför generellt mindre integritetskänsliga. Uppgifterna be-
86 Artikel 39.1 b i dataskyddsförordningen. 87 Jfr prop. 2015/16:79, En ny tullag, s. 161.
893Gallring och längsta tid för behandling
handlas främst för att ligga till grund för fastställande och debitering av tullar och skatter, eller för att Tullverket ska kunna utföra sitt uppdrag att övervaka och kontrollera trafiken till och från Sverige så att bestämmelser om in- och utförsel av varor följs. Mot den bakgrunden bedömer vi att det eventuella ökade integritetsintrång som en längre tids behandling medför vägs upp av det starka motstående intresset av att Sverige, genom Tullverket, uppfyller sina internationella åtaganden och att nationella regler om in- och utförsel följs. Den personuppgiftsansvariga myndigheten har också en skyldighet enligt EU:s dataskyddsförordning att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast de uppgifter behandlas som är nödvändiga för varje specifikt ändamål 88 med behandlingen, vilket även gäller tiden för uppgifternas lagring. Det kan alltså komma att krävas att befintliga verksamhetssystem ändras i syfte att kunna tillgodose möjligheten till kontinuerliga bedömningar, snarare än en fast tidsram. Sammanfattningsvis syftar våra förslag till att anpassa regleringen av hur länge uppgifter får behandlas i verksamheterna till dataskyddsförordningen och de tekniska förutsättningar för personuppgiftsbehandling som råder i dag. Mot det eventuella integritetsintrång förslaget medför bör ställas myndigheternas behov av att kunna bedriva en ändamålsenlig verksamhet och att vårda sina arkiv i enlighet med arkivlagens bestämmelser. Förslagen möjliggör för myndigheterna att i högre utsträckning än i dag behandla personuppgifter i den utsträckning det är nödvändigt för att utföra sina respektive verksamheter i en helt digitaliserad informationshanteringsmiljö. Genom att principen om lagringsminimering motsvaras av en bestämmelse i de nya datalagarna tydliggörs att det är den materiella och processuella regleringen av myndigheternas verksamheter som sätter ramarna för den personuppgiftsbehandling som myndigheterna kan utföra. Förslaget ger ett tydligare och mer överskådligt regelverk som blir både enklare att tillämpa och mer tydligt för den registrerade. Den föreslagna regleringen kan också förväntas bidra till att myndigheterna kan bedriva sin verksamhet på ett effektivare sätt. Förslaget möjliggör också för myndigheterna att i högre utsträckning än i dag vårda sina arkiv utan att Riksarkivet först måste ha meddelat föreskrifter eller beslut om undantag från tvingande gallringsbestämmelser. Det kan komma att innebära att fler uppgifter än i dag
88 Artikel 25.2 i dataskyddsförordningen.
894Gallring och längsta tid för behandling
bevaras i arkiven, vilket innebär att rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och forskningens behov kan bli tillgodosedda i högre grad än i dag. Förslaget innebär dock inte att myndigheterna ges möjlighet att behandla personuppgifter i en större omfattning än vad som är motiverat för att de ska kunna utföra sina uppgifter enligt den nationella rätten och unionsrätten. Det möjliggör inte heller personuppgiftsbehandling som är mer omfattande än vad som behövs för att myndigheterna ska kunna utföra sin verksamhet. Sådan personuppgiftsbehandling som myndigheterna genomför i syfte att utföra sin verksamhet och följa gällande rätt bör enligt vår mening anses stå i ett rimligt förhållande till det intrång i den personliga integriteten som behandlingen innebär. Vår bedömning är därför att förslaget om att i de nya datalagarna införa en bestämmelse om längsta tid för behandling av personuppgifter, men att inte förena detta med tvingande gallringsbestämmelser, är proportionellt mot det legitima mål som eftersträvas. Det utgör därmed även ett adekvat skydd för den personliga integriteten.
895Statens offentliga utredningar 2023
Kronologisk förteckning
1. Skärpta straff för flerfaldig brottslig- 17. En tydligare bestämmelse om hets het. Ju. mot folkgrupp. Ju. 2. En inre marknad för digitala tjänster 18. Värdet av vinden. Kompensation, – ansvarsfördelning mellan myndig- incitament och planering för heter. Fi. en hållbar fortsatt utbyggnad av 3. Nya regler om nödlidande kreditavtal vindkraften. Del 1 och 2. KN. och inkassoverksamhet. Ju. 19. Statlig forskningsfinansiering. 4. Posttjänst för hela slanten. Underlagsrapporter. U. Finansieringsmodeller för framtidens 20. Förbud mot bottentrålning i marina samhällsomfattande posttjänst. Fi. skyddade områden. LI. 5. Från delar till helhet. Tvångsvården 21. Informationsförsörjning på som en del av en sammanhållen och skolområdet. Skolverkets ansvar. U. personcentrerad vårdkedja. S. 22. Datalagring och åtkomst till 6. En lag om tilläggsskatt för företag elektronisk information. Ju. i stora koncerner. Fi. 23. Ett modernare socialförsäkringsskydd 7. På egna ben. för gravida. S. Utvecklad samverkan för individers 24. Etablering för fler – jämställda möjligetablering på arbetsmarknaden. A. heter till integration. A. 8. Arbetslivskriminalitet – arbetet 25. Kunskapskrav för permanent uppei Sverige, en bedömning av omfatt- hållstillstånd. Ju. ningen, lärdomar från Danmark och 26. Översyn av entreprenörsansvaret. A. Finland. A. 27. Kamerabevakning för ett bättre djur- 9. Ett statligt huvudmannaskap skydd. LI. för personlig assistans. Ökad likvärdighet, långsiktighet 28. Samhället mot skolattacker. U. och kvalitet. S. 29. Varje rörelse räknas – hur skapar 10. Tandvårdens stöd till våldsutsatta vi ett samhälle som främjar fysisk patienter. S. aktivitet? S. 11. Tillfälligt miljötillstånd för 30. Ett trygghetssystem för alla. Nytt samhällsviktig verksamhet regelverk för sjukpenninggrundande – för ökad försörjningsberedskap. KN. inkomst. S. 12. Förstärkt skydd för demokratin 31. Framtidens yrkeshögskola och domstolarnas oberoende. Ju. – stabil, effektiv och hållbar. U. 13. Patientöversikter inom EES och 32. Biometri – för en effektivare Sverige. S. brottsbekämpning. Ju. 14. Organisera för hållbar utveckling. 33. Ett förbättrat resegarantisystem. Fi. KN. 34. Bolag och brott – några åtgärder 15. Förnybart i tanken. Ett styrmedels- mot oseriösa företag. Ju. förslag för en stärkt bioekonomi. LI. 35. Nya regler om hållbarhetsredovisning. 16. Staten och betalningarna. Ju. Del 1 och 2. Fi. 36. Genomförande av minimilönedirektivet. A.
89637. Förstärkt skydd för den personliga 54. Centraliseringen av administrativa
integriteten. Behovet av åtgärder mot tjänster till Statens servicecenter
oskuldskontroller, oskuldsintyg och – en utvärdering. Fi.
oskuldsingrepp samt omvändelseför- 55. Vem äger fastigheten. Ju.
sök. Ju. 56. Några smittskyddsfrågor inom social- 38. Ett förstärkt konsumentskydd tjänsten och socialförsäkringen. S.
mot riskfylld kreditgivning 57. Åtgärder för tryggare och överskuldsättning. Fi. bostadsområden. Ju. 39. En inre marknad för digitala tjänster 58. Kultursamhället – utvecklad sam- – kompletteringar och ändringar i verkan mellan stat, region och svensk rätt. Fi. kommun. Ku. 40. Förbättrade möjligheter för barn att 59. Ny myndighetsstruktur för utkräva sina rättigheter enligt barnfinansiering av forskning och konventionen. S. innovation. U. 41. Förutsättningarna för en ny kollektiv- 60. Utökade möjligheter att använda avtalad arbetslöshetsförsäkring. A. preventiva tvångsmedel 2. Ju. 42. Ett modernare regelverk för legalise- 61. En säker och tillgänglig ringar, apostille och andra former av statlig e-legitimation. Fi. intyganden. UD. 62. Vi kan bättre! 43. En samordnad registerkontroll Kunskapsbaserad narkotikapolitik för upphandlande myndigheter med liv och hälsa i fokus. S. och enheter. Fi. 63. Sveriges säkerhet i etern. Ku. 44. En översyn av regleringen om frihetsberövande påföljder för unga. Ju. 64. Ett förändrat regelverk för framtidens
el- och gasnät. KN. 45. Övergångsrestriktioner – ökat förtroende för offentlig verk- 65. Bättre information om hyresbostäder.
samhet. Fi. Kartläggning av andrahands-
marknaden och ett förbättrat lägen- 46. Jakt och fiske i renbetesland. LI. hetsregister. LI. 47. En utvecklad arbetsgivardeklaration 66. För barn och unga i samhällsvård. S. – åtgärder mot missbruk av välfärdssystemen. Fi. 67. Anonyma vittnen. Ju.
48. Rätt förutsättningar för sjukskriv- 68. Som om vi aldrig funnits
ning. S. – exkludering och assimilering av
tornedalingar, kväner och lantalaiset. 49. Skyddet för EU:s finansiella intressen. Aivan ko meitä ei olis ollukhaan Ändringar och kompletteringar i svensk – eksklyteerinki ja assimileerinki rätt. Fi. tornionlaaksolaisista, kväänistä ja 50. En modell för svensk försörjnings- lantalaisista. Slutbetänkande .
beredskap. Fö. Som om vi aldrig funnits.
51. Signalspaning i försvars- Vår sanning och verklighet.
underrättelseverksamhet Aivan ko meitä ei olis ollukhaan.
– frågor med anledning Meän tottuus ja toelisuus.
av Europadomstolens dom. Fö. Intervjuberättelser .
52. Ett stärkt och samlat skydd Som om vi aldrig funnits.
av välfärdssystemen. S. Tolv tematiska forskarrapporter.
Aivan ko meitä ei olis ollukhaan. 53. En ändamålsenlig arbetsskadeförsäk- Kakstoista temattista tutkintoraporttia. ring – för bättre ekonomisk trygghet, Forskarrapporter . Ku. kunskap och rättssäkerhet. Volym 1 och 2. S. 69. Ökat informationsflöde till
brottsbekämpningen. En ny huvud-
regel. Ju.
89770. Ordning och reda – förstärkt och 90. Samspelet mellan finans- och tillförlitlig byggkontroll. LI. penning politik i Sverige. Bilaga 5 till 71. Speciallivsmedel till barn inom öppen Långtids utredningen 2023 . Fi. hälso- och sjukvård. S. 91. Penning- och finanspolitisk 72. En enklare hantering av vattenfrågor konjunktur stabilisering. Bilaga 6 till vid planläggning och byggande. LI. Långtids utredningen 2023 . Fi. 73. Genomförandet av vaccineringen mot 92. Nytt ramverk för finanspolitiken. sjukdomen covid-19 – en utvärdering. Bilaga 7 till Långtids utredningen 2023 . S. Fi. 74. Förenklade förutsättningar 93. Budgetprocessen i det finanspolitiska för ett hållbart vattenbruk. LI. ramverket. Bilaga 8 till Långtids utredningen 2023 . Fi. 75. Stärkt konstitutionell beredskap. Ju. 94. Förändring genom försök. 76. Vidareanvändning av hälsodata för Försöksverksamhet i den kommunala vård och klinisk forskning. S. sektorn. Fi. 77. Behörig myndighet enligt EU:s 95. Uppföljning för utveckling – ett avskogningsförordning. LI. hållbart system för samlad kunskap 78. Hemlig dataavläsning – utvärdering om villkoren för barn och elever med och permanent lagstiftning. Ju. funktionsnedsättning i förskola och 79. Arbetsrätten under krig och krigsfara. skola. U. A. 96. En reform för datadelning. Fi. 80. Ett starkare straffrättsligt skydd– mot 97. Ut ur utsatthet. A. sexuella kränkningar, bedrägerier 98. Sexuellt utnyttjande i pornografiska i vissa fall och brott med hatmotiv syften – våldsutsatthet som behöver avseende kön. Ju. synliggöras. Vol. 1 och 2: Forsknings- 81. Ett enklare bilstöd. S. bilaga. A. 82. Ökad kontroll över tandvårdssektorn. 99. Nya tullrättsliga sanktioner och S. skärpta åtgärder mot utförsel av 83. Samordnat juridiskt stöd stöldgods. Fi. och vägledning för hälso- 100. Framtidens dataskydd. Vid Skatteoch sjukvårdens digitalisering. S. verket, Tullverket och Kronofogden. 84. En hållbar bioekonomistrategi Del 1 och 2. Fi. – för ett välmående fossilfritt samhälle. LI. 85. Långtidsutredningen 2023. Finanspolitisk konjunkturstabilisering. Huvudbetänkande . Fi. 86. Trends in GDP Growth and its Driving Factors. Bilaga 1 till Långtids utredningen 2023 . Fi. 87. Drivkrafter bakom globala trender i den neutrala räntan. Bilaga 2 till Långtids utredningen 2023 . Fi. 88. Ränte-tillväxt-differensen – utveckling och drivkrafter. Bilaga 3 till Långtids utredningen 2023 . Fi. 89. Makrotillsynsregleringar och finansiell stabilitet. Bilaga 4 till Långtids utredningen 2023 . Fi.
898Statens offentliga utredningar 2023
Systematisk förteckning
Arbetsmarknadsdepartementet Övergångsrestriktioner – ökat förtroende På egna ben. för offentlig verksamhet. [45] Utvecklad samverkan för individers En utvecklad arbetsgivardeklaration etablering på arbetsmarknaden. [7] – åtgärder mot missbruk av Arbetslivskriminalitet – arbetet i Sverige, välfärdssystemen. [47] en bedömning av omfattningen, Skyddet för EU:s finansiella intressen. lärdomar från Danmark och Finland. [8] Ändringar och kompletteringar Etablering för fler – jämställda möjligheter i svensk rätt. [49] till integration. [24] Centraliseringen av administrativa tjänster Översyn av entreprenörsansvaret. [26] till Statens servicecenter – en utvärdering. [54] Genomförande av minimilönedirektivet. [36] En säker och tillgänglig statlig e-legitimation. [61] Förutsättningarna för en ny kollektivavtalad arbetslöshetsförsäkring. [41] Långtidsutredningen 2023. Finanspolitisk konjunkturstabilisering. Arbetsrätten under krig och krigsfara. [79] Huvudbetänkande . [85] Ut ur utsatthet. [97] Trends in GDP Growth and its Driving Sexuellt utnyttjande i pornografiska Factors. Bilaga 1 till Långtids syften – våldsutsatthet som behöver utredningen 2023 . [86] synliggöras. Vol. 1 och 2: Forsknings- Drivkrafter bakom globala trender i den bilaga. [98] neutrala räntan. Bilaga 2 till Långtids utredningen 2023 . [87]
Finansdepartementet
Ränte-tillväxt-differensen – utveckling En inre marknad för digitala tjänster och drivkrafter. Bilaga 3 till Långtids – ansvarsfördelning mellan myndig- utredningen 2023 . [88] heter. [2] Makrotillsynsregleringar och finansiell Posttjänst för hela slanten. stabilitet. Bilaga 4 till Långtids Finansieringsmodeller för framtidens utredningen 2023 . [89] samhällsomfattande posttjänst. [4] Samspelet mellan finans- och penning- En lag om tilläggsskatt för företag i stora politik i Sverige. Bilaga 5 till Långtids koncerner. [6] utredningen 2023 . [90] Staten och betalningarna. Del 1 och 2. [16] Penning- och finanspolitisk konjunktur- Ett förbättrat resegarantisystem. [33] stabilisering. Bilaga 6 till Långtids utredningen 2023 . [91] Ett förstärkt konsumentskydd mot riskfylld kreditgivning Nytt ramverk för finanspolitiken. Bilaga 7 och överskuldsättning. [38] till Långtids utredningen 2023 . [92] En inre marknad för digitala tjänster - Budgetprocessen i det finanspolitiska kompletteringar och ändringar ramverket. Bilaga 8 till Långtids i svensk rätt. [39] utredningen 2023 . [93] En samordnad registerkontroll Förändring genom försök. för upphandlande myndigheter Försöksverksamhet i den kommunala och enheter. [43] sektorn. [94]
899En reform för datadelning. [96] Ökat informationsflöde till Nya tullrättsliga sanktioner och skärpta brottsbekämpningen. En ny åtgärder mot utförsel av stöldgods. huvudregel. [69] [99] Stärkt konstitutionell beredskap. [75] Framtidens dataskydd. Vid Skatteverket, Hemlig dataavläsning – utvärdering och Tullverket och Kronofogden. permanent lagstiftning. [78] Del 1 och 2. [100] Ett starkare straffrättsligt skydd– mot sexuella kränkningar, bedrägerier i Försvarsdepartementet vissa fall och brott med hatmotiv avseende kön. [80] En modell för svensk försörjningsberedskap. [50]
Klimat- och näringslivsdepartementet
Signalspaning i försvarsunderrättelseverksamhet Tillfälligt miljötillstånd för – frågor med anledning samhällsviktig verksamhet av Europadomstolens dom. [51] – för ökad försörjningsberedskap. [11] Organisera för hållbar utveckling. [14] Justitiedepartementet Värdet av vinden. Kompensation, Skärpta straff för flerfaldig brottslighet. [1] incitament och planering för en hållbar fortsatt utbyggnad av Nya regler om nödlidande kreditavtal och vindkraften. Del 1 och 2. [18] inkassoverksamhet. [3] Ett förändrat regelverk för framtidens Förstärkt skydd för demokratin el- och gasnät. [64] och domstolarnas oberoende. [12] En tydligare bestämmelse om hets mot
Kulturdepartementet
folkgrupp. [17] Datalagring och åtkomst till elektronisk Kultursamhället – utvecklad samverkan information. [22] mellan stat, region och kommun. [58] Kunskapskrav för permanent uppehålls- Sveriges säkerhet i etern. [63] tillstånd. [25] Som om vi aldrig funnits Biometri – för en effektivare – exkludering och assimilering av brottsbekämpning. [32] tornedalingar, kväner och lantalaiset. Aivan ko meitä ei olis ollukhaan Bolag och brott – några åtgärder – eksklyteerinki ja assimileerinki mot oseriösa företag. [34] tornionlaaksolaisista, kväänistä ja Nya regler om hållbarhetsredovisning. [35] lantalaisista. Slutbetänkande . Förstärkt skydd för den personliga Som om vi aldrig funnits. integriteten. Behovet av åtgärder Vår sanning och verklighet. mot oskuldskontroller, oskuldsintyg Aivan ko meitä ei olis ollukhaan. och oskuldsingrepp samt omvändelse- Meän tottuus ja toelisuus. försök. [37] Intervju berättelser . En översyn av regleringen om frihets- Som om vi aldrig funnits. berövande påföljder för unga. [44] Tolv tematiska forskarrapporter. Aivan ko meitä ei olis ollukhaan. Vem äger fastigheten. [55] Kakstoista temattista tutkintoraporttia. Åtgärder för tryggare bostadsområden. Forskarrapporter . [68] [57] Utökade möjligheter att använda
Landsbygds- och infrastrukturdepartementet
preventiva tvångsmedel 2. [60] Förnybart i tanken. Ett styrmedelsförslag Anonyma vittnen. [67] för en stärkt bioekonomi. [15]
900Förbud mot bottentrålning i marina En ändamålsenlig arbetsskadeförsäkring skyddade områden. [20] – för bättre ekonomisk trygghet, Kamerabevakning för ett bättre kunskap och rättssäkerhet. Volym 1 djurskydd. [27] och 2. [53] Jakt och fiske i renbetesland. [46] Några smittskyddsfrågor inom socialtjänsten och socialförsäkringen. [56] Bättre information om hyresbostäder. Kartläggning av andrahands- Vi kan bättre! marknaden och ett förbättrat lägen- Kunskapsbaserad narkotikapolitik med hetsregister. [65] liv och hälsa i fokus. [62] Ordning och reda – förstärkt och tillförlit- För barn och unga i samhällsvård. [66] lig byggkontroll. [70] Speciallivsmedel till barn inom öppen En enklare hantering av vattenfrågor vid hälso- och sjukvård. [71] planläggning och byggande. [72] Genomförandet av vaccineringen mot Förenklade förutsättningar sjukdomen covid-19 – en utvärdering. för ett hållbart vattenbruk. [74] [73] Behörig myndighet enligt EU:s Vidareanvändning av hälsodata för vård avskogningsförordning. [77] och klinisk forskning. [76] En hållbar bioekonomistrategi. Ett enklare bilstöd. [81] – för ett välmående fossilfritt samhälle. Ökad kontroll över tandvårdssektorn. [82] [84] Samordnat juridiskt stöd och vägledning för hälso- Socialdepartementet och sjukvårdens digitalisering. [83] Från delar till helhet. Tvångsvården som en del av en sammanhållen och Utbildningsdepartementet personcentrerad vårdkedja. [5] Statlig forskningsfinansiering. Ett statligt huvudmannaskap Underlagsrapporter. [19] för personlig assistans. Informationsförsörjning på skolområdet. Ökad likvärdighet, långsiktighet Skolverkets ansvar. [21] och kvalitet. [9] Samhället mot skolattacker. [28] Tandvårdens stöd till våldsutsatta Framtidens yrkeshögskola patienter. [10] – stabil, effektiv och hållbar. [31] Patientöversikter inom EES och Sverige. Ny myndighetsstruktur för finansiering av [13] forskning och innovation. [59] Ett modernare socialförsäkringsskydd för Uppföljning för utveckling – ett hållgravida. [23] bart system för samlad kunskap om Varje rörelse räknas – hur skapar vi ett vill koren för barn och elever med samhälle som främjar fysisk aktivitet? funktionsnedsättning i förskola och [29] skola. [95] Ett trygghetssystem för alla. Nytt regelverk för sjukpenninggrundande
Utrikesdepartementet
inkomst. [30] Ett modernare regelverk för legaliseringar, Förbättrade möjligheter för barn att apostille och andra former av intyganutkräva sina rättigheter enligt barnden. [42] konventionen. [40] Rätt förutsättningar för sjukskrivning. [48] Ett stärkt och samlat skydd av välfärdssystemen. [52]