Regeringens proposition 2016/17:91

Tullbrottsdatalag

Prop.

 

2016/17:91

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 2 februari 2017

Stefan Löfven

Magdalena Andersson

(Finansdepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår att det införs en ny lag om behandling av person- uppgifter i Tullverkets brottsbekämpande verksamhet, tullbrottsdata- lagen.

Syftet med den nya lagen är att ge Tullverket möjlighet att behandla personuppgifter på ett effektivt och ändamålsenligt sätt i sin verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. En utgångspunkt är att skapa en teknikneutral och flexibel reglering där de yttre ramarna för behandlingen av uppgifter i Tullverkets brottsbekämpande verksamhet som är särskilt skyddsvärda från integritetssynpunkt slås fast i lagen, däribland ändamålen för behandlingen och de begränsningar som ska gälla för behandling av vissa uppgifter. Den nya lagen syftar särskilt till att underlätta samverkan med andra brottsbekämpande myndigheter. Lagen har utformats i nära anslut- ning till polisdatalagen (2010:361), kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433).

Lagen reglerar nästan all behandling i Tullverkets brottsbekämpande verksamhet. Den ska ersätta lagen (2005:787) om behandling av upp- gifter i Tullverkets brottsbekämpande verksamhet.

Propositionen innehåller också förslag till ändringar i offentlighets- och sekretesslagen (2009:400), lagen (2000:343) om internationellt polisiärt samarbete och lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

Den nya lagen och de övriga ändringarna föreslås träda i kraft den 1 juli 2017.

1

Prop. 2016/17:91

2

Innehållsförteckning

1

Förslag till riksdagsbeslut .................................................................

6

2

Lagtext

..............................................................................................

7

 

2.1 ................................................

Förslag till tullbrottsdatalag

7

2.2Förslag till lag om ändring i lagen (2000:343) om

internationellt polisiärt samarbete ....................................

17

2.3Förslag till lag om ändring i lagen (2001:185) om

behandling av uppgifter i Tullverkets verksamhet ...........

18

2.4Förslag till lag om ändring i offentlighets- och

 

 

sekretesslagen (2009:400) ................................................

20

3

Ärendet och dess beredning ............................................................

23

4

Gällande rätt och internationella överenskommelser ......................

23

 

4.1

Internationella överenskommelser om dataskydd ............

23

 

 

4.1.1

Europakonventionen och FN-

 

 

 

 

konventionen om medborgerliga och

 

 

 

 

politiska rättigheter..........................................

23

 

 

4.1.2

Europarådets dataskyddskonvention ...............

24

 

 

4.1.3

Europarådets rekommendation om

 

 

 

 

användning av personuppgifter i

 

 

 

 

polissektorn .....................................................

25

 

 

4.1.4

Europeiska unionens stadga om de

 

 

 

 

grundläggande rättigheterna ............................

26

 

 

4.1.5

Dataskyddsdirektivet .......................................

26

 

 

4.1.6

Dataskyddsrambeslutet....................................

27

 

 

4.1.7

Ny EU-rättslig reglering ..................................

28

 

4.2

Personuppgiftslagen .........................................................

29

4.3Lagstiftningen om behandling av uppgifter i

Tullverkets brottsbekämpande verksamhet ......................

30

4.4Regler för behandling av personuppgifter i annan

brottsbekämpande verksamhet .........................................

33

4.4.1

Inledning..........................................................

33

4.4.2

Polisdatalagen och annan lagstiftning .............

34

4.4.3

Kustbevakningsdatalagen ................................

38

4.5Överenskommelser inom EU av betydelse för tull- och polissamarbete och deras genomförande i

 

Sverige..............................................................................

 

39

 

4.5.1

Rådsbeslutet om tillgång till

 

 

 

informationssystemet för viseringar ................

39

 

4.5.2

Prümrådsbeslutet .............................................

40

 

4.5.3

Rambeslutet om förenklat informations-

 

 

 

och underrättelseutbyte....................................

41

 

4.5.4

Europolrådsbeslutet .........................................

42

 

4.5.5

Direktiv om flygpassageraruppgifter...............

42

4.6

Lagstiftning om internationellt samarbete........................

43

 

4.6.1

Inledning..........................................................

43

 

 

4.6.2

Internationellt tullsamarbete ...........................

43

 

 

4.6.3

Internationellt polisiärt samarbete ..................

44

 

 

4.6.4

Vissa former av internationellt samarbete

 

 

 

 

i brottsutredningar ..........................................

45

 

 

4.6.5

Internationell rättslig hjälp i brottmål .............

46

5

Tullverkets organisation och verksamhet.......................................

46

 

5.1

Inledning

..........................................................................

46

 

5.2

Tullverkets ...........................organisation och arbetssätt

48

 

5.3

Tullverkets ...................................................verksamhet

48

 

 

5.3.1 .............

Verksamheten under Effektiv handel

48

 

 

5.3.2 ............

Den brottsbekämpande verksamheten

49

 

 

5.3.3

Gränsdragningen mellan olika

 

 

 

......................................

verksamhetsområden

49

 

5.4

Internationellt ............................................tullsamarbete

50

6

Informationshantering och informationsutbyte i Tullverkets

 

 

brottsbekämpande .......................................................verksamhet

53

6.1Informationshantering i Tullverkets

brottsbekämpande verksamhet ........................................

53

6.1.1

Tullbrottsdatabasen.........................................

53

6.1.2Informationssystem som Tullverket

använder .........................................................

54

6.2Informationsutbyte med andra myndigheter och

 

 

organisationer ..................................................................

55

 

6.3

Begreppsbildningen vid elektroniskt utlämnande ...........

58

 

 

6.3.1

Olika former av elektroniskt utlämnande

 

 

 

 

av uppgifter.....................................................

58

 

 

6.3.2

Begreppet direktåtkomst.................................

58

7

En ny lag om behandling av uppgifter i Tullverkets

 

 

brottsbekämpande verksamhet .......................................................

59

 

7.1

Det behövs ny lagstiftning...............................................

59

 

7.2

Allmänna utgångspunkter................................................

62

 

7.3

Lagens namn ...................................................................

64

8

Lagens syfte och tillämpningsområde............................................

65

 

8.1

Lagens syfte.....................................................................

65

 

8.2

Lagens tillämpningsområde.............................................

68

9

Allmänna bestämmelser.................................................................

72

9.1Den nya lagen ska gälla i stället för

personuppgiftslagen.........................................................

72

9.2De bestämmelser i personuppgiftslagen som ska

 

gälla .................................................................................

74

9.3

Tullverket ska vara personuppgiftsansvarigt...................

83

9.4

Personuppgiftsombud ska finnas.....................................

84

9.5Den interna tillgången till personuppgifter ska

 

begränsas .........................................................................

85

10 Tillåtna ändamål för behandlingen.................................................

86

10.1

Allmänt om ändamålen ...................................................

86

10.2

Tullverkets brottsbekämpande verksamhet .....................

91

Prop. 2016/17:91

3

Prop. 2016/17:91

10.3

Behandling av personuppgifter för att tillhandahålla

 

 

 

information till andra........................................................

92

 

10.4

Behandling som är nödvändig för diarieföring och

 

 

 

handläggning ..................................................................

104

11

Bokningsuppgifter från transportföretag.......................................

105

12

Känsliga personuppgifter ..............................................................

108

13

Elektroniskt utlämnande ...............................................................

110

 

13.1

Utlämnande på medium för automatiserad

 

 

 

behandling ......................................................................

110

 

13.2

Utlämnande genom direktåtkomst..................................

113

14 Särskilda bestämmelser för gemensamt tillgängliga uppgifter .....

114

 

14.1

Gemensamt tillgängliga uppgifter ..................................

114

 

14.2

De uppgifter som får göras gemensamt tillgängliga.......

119

 

 

14.2.1

Uppgifter som kan antas ha samband med

 

 

 

 

misstänkt brottslig verksamhet ......................

119

 

 

14.2.2

Uppgifter som behövs för övervakningen

 

 

 

 

av vissa personer ...........................................

124

 

 

14.2.3

Uppgifter som förekommer i ett ärende

 

 

 

 

om utredning eller beivrande av brott ............

127

 

 

14.2.4

Uppgifter som behövs för att fullgöra

 

 

 

 

internationella åtaganden ...............................

128

 

 

14.2.5

Uppgifter som har rapporterats till

 

 

 

 

Tullverkets kommunikationscentral ..............

130

 

14.3

Särskilda upplysningar för gemensamt tillgängliga

 

 

 

uppgifter

.........................................................................

131

 

14.4

Sökbegränsningar...........................................................

134

 

 

14.4.1

Förbud mot att använda känsliga

 

 

 

...................

personuppgifter som sökbegrepp

134

 

 

14.4.2

Sökning på namn, personnummer,

 

 

 

 

samordningsnummer och liknande

 

 

 

....................................

identitetsbeteckningar

137

15 Informationsutbyte ....................i brottsbekämpande verksamhet

143

 

15.1

Behovet av ett effektivt informationsutbyte mellan

 

 

 

svenska brottsbekämpande ........................myndigheter

143

 

15.2

Behovet av ett effektivt internationellt

 

 

 

informationsutbyte .........................................................

146

 

15.3

Direktåtkomst för svenska brottsbekämpande

 

 

 

myndigheter....................................................................

147

 

15.4

Ingen direktåtkomst för utländska myndigheter och

 

 

 

internationella .........................................organisationer

152

 

15.5

Sekretess ...................................och uppgiftsskyldighet

153

 

 

15.5.1

Regler om sekretess i den

 

 

 

...................

brottsbekämpande verksamheten

153

 

 

15.5.2

Sekretessbrytande regler mellan

 

 

 

.....................

brottsbekämpande myndigheter

154

 

 

15.5.3

Förhållandet mellan direktåtkomst och

 

 

 

........................................................

sekretess

155

4

 

 

 

 

 

15.5.4

Uppgiftslämnande till svenska

Prop. 2016/17:91

 

 

brottsbekämpande myndigheter....................

156

 

15.5.5

Uppgiftsskyldighet .......................................

160

 

15.5.6

Uppgiftslämnande till utlandet .....................

161

16 Bevarande och gallring ................................................................

168

16.1

Allmänt om bevarande och gallring ..............................

168

16.2Gallringsbestämmelser för personuppgifter som inte

har gjorts gemensamt tillgängliga..................................

173

16.3Gallringsbestämmelser för gemensamt tillgängliga

uppgifter ........................................................................

175

16.4Längsta tid för behandling för gemensamt tillgängliga uppgifter i ärenden om utredning eller

 

 

beivrande av brott..........................................................

180

17

Följdändringar..............................................................................

187

18

Ikraftträdande- och övergångsbestämmelser................................

188

19

Konsekvenser...............................................................................

189

20

Författningskommentar................................................................

190

 

20.1

Förslaget till tullbrottsdatalag........................................

190

20.2Förslaget till lag om ändring i lagen (2000:343) om

internationellt polisiärt samarbete .................................

224

20.3Förslaget till lag om ändring i lagen (2001:185) om

 

behandling av uppgifter i Tullverkets verksamhet ........

224

20.4

Förslaget till lag om ändring i offentlighets- och

 

 

sekretesslagen (2009:400) .............................................

224

Bilaga 1

Promemorians lagförslag...............................................

226

Bilaga 2

Förteckning över remissinstanserna ..............................

241

Bilaga 3

Lagrådsremissens lagförslag .........................................

242

Bilaga 4

Lagrådets yttrande .........................................................

258

Utdrag ur protokoll vid regeringssammanträde den 2 februari 2017 ... 259

5

Prop. 2016/17:91

1

Förslag till riksdagsbeslut

 

Regeringen föreslår att riksdagen antar regeringens förslag till

1.tullbrottsdatalag,

2.lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete,

3.lag om ändring i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet,

4.lag om ändring i offentlighets- och sekretesslagen (2009:400).

6

2

Lagtext

Prop. 2016/17:91

Regeringen har följande förslag till lagtext.

2.1Förslag till tullbrottsdatalag

Härigenom föreskrivs följande.

1 kap. Lagens syfte och tillämpningsområde

Lagens syfte

1 § Syftet med denna lag är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verk- samhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Lagens tillämpningsområde

2 § Denna lag gäller vid Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

3 § I lagen (2000:343) om internationellt polisiärt samarbete och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av personuppgifter som följer av internationella överenskommelser om polisiärt samarbete.

I lagen (2013:329) med vissa bestämmelser om skydd för personupp- gifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, och i föreskrifter som regeringen har meddelat i anslutning till den lagen, finns det särskilda bestämmelser om behandling av person- uppgifter som inom ramen för polissamarbete eller straffrättsligt samarbete har överförts från eller gjorts tillgängliga av

1.en stat som är medlem i Europeiska unionen (EU),

2.Island, Norge, Schweiz eller Liechtenstein,

3.ett EU-organ, eller

4.ett EU-informationssystem.

Om det i de författningar som anges i första och andra styckena finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag.

Lagens tillämpning på juridiska personer

4 § Bestämmelserna om personuppgifter i följande paragrafer gäller också vid behandling av uppgifter om juridiska personer:

1.2 kap. 3 § om personuppgiftsansvar,

2.2 kap. 5–7 §§ om ändamålen för behandlingen,

3. 2 kap. 11 § om tillgången till personuppgifter,

7

 

Prop. 2016/17:91 4. 3 kap. 2 och 3 §§ om gemensamt tillgängliga uppgifter, och 5. 4 kap. om bevarande och gallring.

Lagens uppbyggnad

5 § I 2 kap. finns det allmänna bestämmelser om behandling av person- uppgifter.

För personuppgifter som görs eller har gjorts gemensamt tillgängliga gäller även 3 kap.

I 4 kap. finns det bestämmelser om bevarande och gallring av person- uppgifter.

2 kap. Allmänna bestämmelser

Förhållandet till personuppgiftslagen

1 § Om inte annat anges i 2 §, gäller denna lag i stället för person- uppgiftslagen (1998:204).

2 § När personuppgifter behandlas enligt denna lag, eller enligt föreskrifter som har meddelats i anslutning till lagen, gäller följande bestämmelser i personuppgiftslagen (1998:204):

1.3 § om definitioner,

2.8 § om förhållandet till offentlighetsprincipen,

3.9 § om grundläggande krav på behandling av personuppgifter, dock med undantag för första stycket i) och tredje stycket,

4.22 § om behandling av personnummer och samordningsnummer,

5.23 och 25–27 §§ om information till den registrerade,

6.28 § om rättelse,

7.30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

8.33–35 §§ om överföring av personuppgifter till tredjeland,

9.38–41 §§ om personuppgiftsombud m.m.,

10.42 § om upplysningar till allmänheten om vissa behandlingar,

11.43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens befogenheter,

12.48 § om skadestånd, och

13.51 § första stycket, 52 § första stycket och 53 § om överklagande. Om personuppgifter ska gallras enligt denna lag, eller enligt

föreskrifter som har meddelats i anslutning till lagen, gäller inte 8 § andra stycket personuppgiftslagen.

Information enligt 23 § personuppgiftslagen behöver inte lämnas vid behandling som består av insamling av personuppgifter genom bilder eller ljud. Sådan information behöver inte heller lämnas när person- uppgifterna samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen.

Förbud enligt 44 eller 45 § personuppgiftslagen får inte förenas med vite.

 

Personuppgiftsansvar

 

3 § Tullverket är personuppgiftsansvarigt för den behandling av person-

8

uppgifter som myndigheten utför.

Personuppgiftsombud Prop. 2016/17:91

4 § Tullverket ska utse ett eller flera personuppgiftsombud. Myndigheten ska anmäla till tillsynsmyndigheten enligt personupp-

giftslagen (1998:204) när ett personuppgiftsombud utses eller entledigas.

Ändamål

5 § Personuppgifter får behandlas i Tullverkets brottsbekämpande verksamhet om det behövs för att

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller beivra brott, eller

3.fullgöra de förpliktelser som följer av internationella åtaganden.

6 § Personuppgifter som behandlas enligt 5 § får även behandlas när det är nödvändigt för att tillhandahålla information som behövs i

1.brottsbekämpande verksamhet hos Polismyndigheten, Säkerhets- polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket,

2.brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,

3.verksamhet hos Kriminalvården för att förebygga brott och upprätt- hålla säkerheten,

4.annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5.en myndighets verksamhet

a)om Tullverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift, eller

b)om informationen tillhandahålls inom ramen för myndighets- överskridande samverkan mot brott.

Personuppgifter som behandlas enligt 5 § får även behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och rege- ringen samt, i den utsträckning skyldighet att lämna uppgifter följer av lag eller förordning, till andra.

I ett enskilt fall får personuppgifter som behandlas enligt 5 § även behandlas för att tillhandahålla information för något annat ändamål än de som anges i första och andra styckena, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

7 § Personuppgifter får också behandlas om

1.behandlingen är nödvändig för diarieföring, eller

2.uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Personuppgifter från transportföretag

8 § Personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen (2016:253) eller 15 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen får behandlas i den utsträckning det är tillåtet enligt

9

Prop. 2016/17:91 dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.

Om det behövs i ett enskilt fall får sådana personuppgifter behandlas för något annat ändamål som anges i 5 § och göras gemensamt tillgäng- liga.

9 § Vid sökning i personuppgifter som avses i 8 § första stycket får namn, personnummer, samordningsnummer och andra liknande identi- tetsbeteckningar användas som sökbegrepp bara om uppgifterna avser en person som

1.är eller har varit misstänkt för brott,

2.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 3 kap. 2 § första stycket 1, eller

3.övervakas under de förutsättningar som anges 3 kap. 2 § första stycket 2.

För personuppgifter som har gjorts gemensamt tillgängliga gäller bestämmelserna om sökning i 3 kap. 5–7 §§.

Känsliga personuppgifter

10 § Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv.

Om uppgifter om en person behandlas på annan grund, får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som avses i första stycket får också behandlas med stöd av 7 §.

Uppgifter som beskriver en persons utseende ska utformas på ett

 

objektivt sätt med respekt för människovärdet.

 

Tillgången till personuppgifter

 

11 § Tillgången till personuppgifter ska begränsas till vad varje tjänste-

 

man behöver för att kunna fullgöra sina arbetsuppgifter.

 

Regeringen eller den myndighet som regeringen bestämmer kan med

 

stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om

 

tillgången till personuppgifter.

 

Utlämnande av uppgifter och uppgiftsskyldighet

 

12 § Om det är förenligt med svenska intressen, får personuppgifter

 

lämnas till

 

1. Interpol,

 

2. Europol,

 

3. en polismyndighet eller åklagarmyndighet i en stat som är ansluten

 

till Interpol, eller

 

4. en tullmyndighet eller kustbevakning inom Europeiska ekonomiska

 

samarbetsområdet (EES).

 

Sådana personuppgifter får lämnas om det behövs för att myndigheten

 

eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda

10

eller beivra brott.

Uppgifter får vidare lämnas till en utländsk myndighet eller mellan- Prop. 2016/17:91 folklig organisation, om utlämnandet följer av en internationell överens-

kommelse som Sverige har tillträtt efter riksdagens godkännande.

13 § Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen (2009:400), rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

14 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att personuppgifter får lämnas ut även i andra fall än som anges i 12 och 13 §§.

Bestämmelser om att uppgifter får lämnas ut finns även i offentlighets- och sekretesslagen (2009:400).

15 § Personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik.

Elektroniskt utlämnande

16 § Enstaka personuppgifter får lämnas ut på medium för automatiserad behandling.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om att uppgifter får lämnas ut på sådant medium även i andra fall.

17 § Utlämnande genom direktåtkomst är tillåtet bara i den utsträckning som följer av denna lag.

Bestämmelser om direktåtkomst finns i 3 kap. 8 §.

3 kap. Gemensamt tillgängliga uppgifter

1 § Detta kapitel innehåller särskilda bestämmelser för behandling av personuppgifter som görs eller har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte som gemensamt tillgängliga.

Detta kapitel gäller inte när personuppgifter behandlas med stöd av 2 kap. 7 §.

Personuppgifter som får göras gemensamt tillgängliga

2 § Följande personuppgifter får göras gemensamt tillgängliga:

1. Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten

a)innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

b)sker systematiskt.

11

Prop. 2016/17:91

12

2. Uppgifter som behövs för övervakningen av en person, om han eller hon

a)kan antas komma att begå brott för vilket det är föreskrivet fängelse

itvå år eller däröver, och

b)är allvarligt kriminellt belastad.

3.Uppgifter som förekommer i ett ärende om utredning eller beivrande av brott.

4.Uppgifter som behövs för att fullgöra internationella åtaganden, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

5.Uppgifter som har rapporterats till Tullverkets kommunikations- central.

Tillgången till uppgifter som görs gemensamt tillgängliga med stöd av första stycket 2 ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning får dock göras tillgänglig för andra.

Särskilda upplysningar

3 § För gemensamt tillgängliga uppgifter ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas. Har personuppgifterna gjorts gemensamt tillgängliga med stöd av 2 § första stycket 2, ska detta särskilt framgå.

4 § Om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt.

Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter. Detsamma gäller uppgifter om personer som avses i 2 § första stycket 2.

Sökning

5 § Vid sökning i personuppgifter som har gjorts gemensamt tillgängliga får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp.

Första stycket hindrar inte att uppgifter som beskriver en persons utseende används som sökbegrepp.

6 § Vid sökning på namn, personnummer, samordningsnummer eller andra liknande identitetsbeteckningar i uppgifter som har gjorts gemen- samt tillgängliga får endast sådana uppgifter tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva sådan brottslig verksamhet som avses i 2 § första stycket 1,

4. övervakas enligt 2 § första stycket 2,

Prop. 2016/17:91

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.har gett in eller tillhandahållits en handling,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsning av tillgången till sådana uppgifter som avses i första stycket.

7 § Bestämmelserna i 6 § gäller inte vid

1.sökning i en viss handling eller i ett visst ärende, eller

2.sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar i undersökningen har åtkomst till.

Bestämmelserna i 6 § gäller inte heller vid sökning som utförs av särskilt angivna tjänstemän och som görs

1.för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i fyra år eller däröver eller för sådant ändamål som avses i 2 § första stycket 2, eller

2.för att utreda brott för vilket det är föreskrivet fängelse i fyra år eller däröver.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om under vilka förutsättningar sökning får äga rum med stöd av första och andra styckena. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare undantag från 6 §.

Direktåtkomst

 

 

8 § Polismyndigheten,

Säkerhetspolisen,

Ekobrottsmyndigheten,

Åklagarmyndigheten, Kustbevakningen och Skatteverket får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Direktåtkomsten får endast avse personuppgifter som är gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

4 kap. Bevarande och gallring av personuppgifter

Generella bestämmelser

1 § Personuppgifter får inte bevaras under längre tid än vad som behövs

för något eller några av de ändamål som anges i lagen.

13

Prop. 2016/17:91 I följande paragrafer anges hur länge uppgifter som behandlas automatiserat längst får bevaras:

1.3 och 4 §§ om uppgifter som inte har gjorts gemensamt tillgängliga,

2.5–7 §§ om uppgifter i ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga, och

3.9 och 10 §§ om andra uppgifter som har gjorts gemensamt tillgäng- liga än som anges i 2.

2 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om

1. att vissa kategorier av personuppgifter får bevaras i den brotts- bekämpande verksamheten under längre tid än vad som anges i 6, 7, 9 och 10 §§,

2. att personuppgifter, med avvikelse från 3 § första stycket, 9 och 10 §§, får bevaras för historiska, statistiska eller vetenskapliga ändamål, och

3. digital arkivering.

Personuppgifter som inte har gjorts gemensamt tillgängliga

3 § Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende, ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången.

Första stycket gäller inte personuppgifter i ärenden om utredning eller beivrande av brott.

4 § I 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag.

Gemensamt tillgängliga uppgifter i ärenden om utredning eller beivrande av brott

5 § I 6 och 7 §§ anges hur länge personuppgifter i vissa ärenden om utredning eller beivrande av brott som har gjorts gemensamt tillgängliga får bevaras i Tullverkets brottsbekämpande verksamhet.

6 § Om en brottsanmälan avskrivs på grund av att den påstådda gärningen inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i Tullverkets brottsbekämpande verksamhet. Om en brotts- anmälan i annat fall inte har lett till förundersökning eller annan motsvarande utredning, får personuppgifterna inte behandlas i Tull- verkets brottsbekämpande verksamhet när åtal inte längre får väckas för brottet.

7 § Om en förundersökning har lett till åtal eller annan domstols- prövning, får personuppgifterna i förundersökningen inte behandlas i

Tullverkets brottsbekämpande verksamhet när det har förflutit fem år

14

efter utgången av det kalenderår då domen, eller det beslut som meddelades med anledning av talan, fick laga kraft.

Om en förundersökning har lagts ned eller avslutats på annat sätt än genom åtal, får personuppgifterna i förundersökningen inte behandlas i Tullverkets brottsbekämpande verksamhet när det har förflutit fem år efter utgången av det kalenderår då åklagarens eller förundersöknings- ledarens beslut meddelades.

Första och andra styckena gäller även personuppgifter i andra utred- ningar som handläggs enligt bestämmelser i 23 kap. rättegångsbalken.

8 § Om en förundersökning mot en person har lagts ned, om ett åtal har lagts ned eller om en frikännande dom har fått laga kraft, får personen inte längre vara sökbar som misstänkt.

Övriga gemensamt tillgängliga uppgifter

9 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 1 eller 2 ska gallras enligt andra–fjärde styckena.

Uppgifter som kan antas ha samband med sådan brottslig verksamhet som anges i 3 kap. 2 § första stycket 1 ska gallras senast tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. Uppgifter som kan antas ha samband med brottslig verksamhet som innefattar brott för vilket det är föreskrivet fängelse i två år eller däröver ska dock gallras senast fem år efter utgången av det kalenderår då registreringen gjordes. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Uppgifter som har behandlats i samband med sådan övervakning som avses i 3 kap. 2 § första stycket 2 ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en misstänkt eller övervakad person avtjänar ett fängelse- straff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av de frister som anges i andra och tredje styckena.

10 § Personuppgifter som har gjorts gemensamt tillgängliga enligt 3 kap. 2 § första stycket 4 eller 5 ska gallras enligt andra eller tredje stycket.

Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 4 ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats med stöd av 3 kap. 2 § första stycket 5 ska gallras senast ett år efter utgången av det kalenderår då de behand- lades automatiserat första gången.

1.Denna lag träder i kraft den 1 juli 2017.

2.Genom lagen upphävs lagen (2005:787) om behandling av uppgifter

iTullverkets brottsbekämpande verksamhet.

Prop. 2016/17:91

15

Prop. 2016/17:91

3. Följande bestämmelser i denna lag behöver inte tillämpas förrän

 

den 1 januari 2019

 

a) 3 kap. 6 och 7 §§ om sökning

 

b) 4 kap. 6 och 7 §§ om behandling av personuppgifter i brottsanmäl-

 

ningar, avslutade förundersökningar och andra utredningar som hand-

 

läggs enligt bestämmelserna i 23 kap. rättegångsbalken, och

 

c) 4 kap. 8 § om sökning.

16

2.2

Förslag till lag om ändring i lagen (2000:343)

Prop. 2016/17:91

 

om internationellt polisiärt samarbete

 

 

 

Härigenom föreskrivs att 1 a § lagen (2000:343) om internationellt

 

polisiärt samarbete ska ha följande lydelse.

 

 

 

 

 

Nuvarande lydelse

 

 

Föreslagen lydelse

 

 

 

 

 

 

 

1 a §1

 

 

 

 

 

Polisdatalagen (2010:361) gäller för polisens behandling av

 

personuppgifter vid internationellt polisiärt samarbete, om inte annat

 

följer av denna lag eller föreskrifter som regeringen har meddelat i

 

anslutning till denna.

 

 

 

 

 

 

 

Lagen

(2005:787)

om

Tullbrottsdatalagen

(2017:000)

 

behandling

av

uppgifter

i

gäller för

Tullverkets

behandling

 

Tullverkets

brottsbekämpande

av personuppgifter vid inter-

 

verksamhet gäller

för Tullverkets

nationellt polisiärt

samarbete,

om

 

behandling av personuppgifter vid

inte annat följer av denna lag eller

 

internationellt polisiärt samarbete,

föreskrifter

som

regeringen

har

 

om inte annat följer av denna lag

meddelat i anslutning till denna.

 

eller föreskrifter

som regeringen

 

 

 

 

 

 

har meddelat i anslutning till denna.

Kustbevakningsdatalagen (2012:145) gäller för Kustbevakningens behandling av personuppgifter vid internationellt polisiärt samarbete, om inte annat följer av denna lag eller föreskrifter som regeringen har meddelat i anslutning till denna.

Denna lag träder i kraft den 1 juli 2017.

1 Senaste lydelse 2012:148.

17

Prop. 2016/17:91 2.3

Förslag till lag om ändring i lagen (2001:185)

 

om behandling av uppgifter i Tullverkets

 

verksamhet

Härigenom föreskrivs att 1 kap. 1 och 4 §§ lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

1 §1

Denna lag tillämpas vid behandling av personuppgifter i Tullverkets verksamhet, om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Bestämmelserna i 4–6 och 8 §§ samt 2 kap. gäller även vid behandling

av uppgifter om juridiska personer.

 

Bestämmelserna

i denna

lag

Bestämmelserna i denna lag

gäller inte behandling av uppgifter

gäller inte behandling av uppgifter

i den brottsbekämpande verk-

i den brottsbekämpande verk-

samhet som

Tullverket

bedriver.

samhet som Tullverket bedriver.

För sådan behandling finns det

För sådan behandling finns det

särskilda bestämmelser

i lagen

särskilda bestämmelser i tullbrotts-

(2005:787)

om

behandling

av

datalagen (2017:000).

uppgifter i Tullverkets brotts- bekämpande verksamhet.

4 §2

Uppgifter får behandlas för tillhandahållande av information som behövs hos Tullverket för

1.bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter,

2.övervakning, revision och annan analys- eller kontrollverksamhet,

3.fullgörande av ett åliggande som följer av ett för Sverige bindande internationellt åtagande, och

4.tillsyn, kontroll, uppföljning och planering av verksamheten.

Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av informa- tion som behövs i Tullverkets brottsbekämpande verksamhet enligt 7 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Uppgifter som behandlas enligt första stycket får även behandlas för tillhandahållande av informa- tion som behövs i Tullverkets brottsbekämpande verksamhet enligt 2 kap. 5 § tullbrotts- datalagen (2017:000).

1 Senaste lydelse 2005:790.

2 Senaste lydelse 2005:790.

18

Denna lag träder i kraft den 1 juli 2017.

Prop. 2016/17:91

19

Prop. 2016/17:91

2.4

Förslag till lag om ändring i offentlighets- och

 

 

sekretesslagen (2009:400)

 

Härigenom föreskrivs att

18 kap.

2 § och 35 kap. 1 och 10 §§

 

offentlighets- och sekretesslagen (2009:400) ska ha följande lydelse.

 

Nuvarande lydelse

Föreslagen lydelse

 

 

 

18 kap.

 

 

 

2 §1

 

 

Sekretess gäller för uppgift som hänför sig till sådan verksamhet som

 

avses i 2 kap. 7 § 1 eller 6 kap. 1 § 1 polisdatalagen (2010:361), om det

 

inte står klart att uppgiften kan röjas utan att syftet med beslutade eller

 

förutsedda åtgärder motverkas eller den framtida verksamheten skadas.

 

Sekretess gäller, under motsvarande förutsättningar som anges i första

 

stycket, för uppgift som hänför sig till

 

 

1. sådan underrättelseverksamhet som avses i 2 § lagen (1999:90) om

 

behandling av personuppgifter vid Skatteverkets medverkan i

 

brottsutredningar,

 

 

 

2. sådan verksamhet som avses i

2. sådan verksamhet som avses i

 

7 § 1

lagen (2005:787)

om 2 kap. 5 § 1 tullbrottsdatalagen

behandling av uppgifter i (2017:000), eller Tullverkets brottsbekämpande

verksamhet, eller

3. sådan verksamhet som avses i 3 kap. 2 § 1 kustbevakningsdatalagen (2012:145).

Sekretess enligt första stycket gäller inte för uppgift som hänför sig till verksamhet hos Säkerhetspolisen och som har förts in i en allmän handling före år 1949.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

35 kap.

1 §2

Sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i

1.utredning enligt bestämmelserna om förundersökning i brottmål,

2.angelägenhet som avser användning av tvångsmedel i brottmål eller

iannan verksamhet för att förebygga brott,

3.angelägenhet som avser registerkontroll och särskild person- utredning enligt säkerhetsskyddslagen (1996:627),

1Senaste lydelse 2015:438.

2Senaste lydelse 2015:438.

Anmärkning: Ändringar i samma paragrafer har också föreslagits i propositionen

Skattebrottsdatalag.

20

4. annan verksamhet som syftar till att förebygga, uppdaga, utreda eller Prop. 2016/17:91 beivra brott och som bedrivs av en åklagarmyndighet, Polismyndigheten,

Säkerhetspolisen, Skatteverket, Tullverket eller Kustbevakningen,

5.Statens medieråds verksamhet att biträda Justitiekanslern, allmän åklagare eller Polismyndigheten i brottmål,

6.register som förs av Polismyndigheten enligt 4 kap. polisdatalagen (2010:361) eller som annars behandlas med stöd av de bestämmelserna eller uppgifter som behandlas av Säkerhetspolisen med stöd av 6 kap. samma lag,

7.register som förs enligt lagen (1998:621) om misstankeregister,

8.register som förs av Skatteverket enligt lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar eller som annars behandlas där med stöd av samma lag,

9.särskilt ärenderegister över brottmål som förs av åklagarmyndighet, om uppgiften inte hänför sig till registrering som avses i 5 kap. 1 §,

10. register

som

förs

av

10. register

som

förs

av

Tullverket enligt lagen (2005:787)

Tullverket

enligt

tullbrotts-

om behandling av uppgifter i

datalagen (2017:000)

eller

som

Tullverkets

brottsbekämpande

annars behandlas där med stöd av

verksamhet

eller

som annars

samma lag, eller

 

 

behandlas där med stöd av samma lag, eller

11. register som förs enligt lagen (2010:362) om polisens allmänna spaningsregister.

Sekretessen enligt första stycket 2 gäller hos domstol i dess rättskipande eller rättsvårdande verksamhet endast om det kan antas att den enskilde eller någon närstående till honom eller henne lider skada eller men om uppgiften röjs. Vid förhandling om användning av tvångsmedel gäller sekretess för uppgift om vem som är misstänkt endast om det kan antas att fara uppkommer för att den misstänkte eller någon närstående till honom eller henne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Första stycket gäller inte om annat följer av 2, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

10 §3

Sekretessen enligt 1 § hindrar inte att en uppgift lämnas ut

1.till en enskild enligt vad som föreskrivs i lagen (1964:167) med särskilda bestämmelser om unga lagöverträdare,

2.till en enskild enligt vad som föreskrivs i säkerhetsskyddslagen (1996:627) samt i förordning som har meddelats med stöd i den lagen,

3.enligt vad som föreskrivs i

lagen (1998:621) om misstankeregister,

polisdatalagen (2010:361),

lagen (1999:90) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar,

3 Senaste lydelse 2015:434.

21

Prop. 2016/17:91

lagen

(2005:787)

om

tullbrottsdatalagen

 

behandling

av

uppgifter

i

(2017:000),

 

Tullverkets

brottsbekämpande

 

 

verksamhet,

 

 

 

 

kustbevakningsdatalagen (2012:145),

åklagardatalagen (2015:433),

förordningar som har stöd i dessa lagar, eller

4. till en enskild enligt vad som föreskrivs i 27 kap. 8 § rättegångs- balken.

1.Denna lag träder i kraft den 1 juli 2017.

2.Äldre bestämmelser gäller fortfarande för uppgifter i handlingar som har omhändertagits för arkivering före ikraftträdandet av denna lag.

22

3

Ärendet och dess beredning

Prop. 2016/17:91

Tullverket har i en promemoria som inkom den 15 november 2013 (dnr Fi2013/04100/S3) lämnat förslag till en ny tullbrottsdatalag, som ska ersätta den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. I promemorian föreslås också kompletterande ändringar i annan lagstiftning, nämligen i offentlighets- och sekretesslagen (2009:400), lagen (2000:343) om internationellt polisiärt samarbete och i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet.

På senare tid har brottsbekämpande myndigheter som Polismyndig- heten, Kustbevakningen, Åklagarmyndigheten och Ekobrottsmyndig- heten fått nya registerförfattningar. Även Tullverket har ett motsvarande behov av moderniserad och tydlig registerförfattning, inte minst i ljuset av myndighetssamverkan mot brottslighet.

Promemorians lagförslag finns i bilaga 1. Promemorian har remiss- behandlats och en förteckning av remissinstanserna finns i bilaga 2. En remissammanställning finns tillgänglig i Finansdepartementet (dnr Fi2013/04100/S3).

I denna proposition redovisas förslag till ny tullbrottsdatalag och kompletterande ändringar i annan lagstiftning.

Lagrådet

Regeringen beslutade den 8 december 2016 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 3. Lagrådets yttrande finns i bilaga 4. Lagrådet har lämnat förslagen utan erinran. I förhållande till lagrådsremissen har vissa smärre ändringar av redaktionell och språklig karaktär gjorts i lagtexten.

4Gällande rätt och internationella överenskommelser

4.1Internationella överenskommelser om dataskydd

4.1.1Europakonventionen och FN-konventionen om medborgerliga och politiska rättigheter

År 1948 antog Förenta nationerna (FN) den allmänna förklaringen om de mänskliga rättigheterna. De rättigheter som räknas upp i förklaringen har därefter vidareutvecklats bl.a. i den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (kallad Europakonventionen) och FN:s konven- tion om medborgerliga och politiska rättigheter från år 1966.

Enligt artikel 8 i Europakonventionen har var och en rätt till respekt för

sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig

23

Prop. 2016/17:91 myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekono- miska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Såvitt gäller laglighetskriteriet krävs bl.a. att den nationella rättighets- inskränkande författningen uppfyller vissa minimikrav i fråga om kvali- tet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämp- ningen ska vara förutsebar och den ska vara allmänt tillgänglig. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska föreligga ett ”angeläget samhälleligt behov” av åtgärden i fråga. I det ligger bl.a. en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitets- principen, dvs. den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

I artikel 13 i Europakonventionen föreskrivs att var och en, vars i konventionen angivna fri- och rättigheter kränkts, ska ha tillgång till ett effektivt rättsmedel inför en nationell myndighet. Detta gäller även om kränkningen förövats av någon under utövning av offentlig myndighet. Innebörden av artikeln är att den enskilde ska ha tillgång till en nationell instans för att kunna få saken prövad och kunna få rättelse. Prövningen kan utföras av domstol, men något krav på domstolsprövning uppställs inte. Prövning av en stats regering eller av en förvaltningsmyndighet kan vara tillräckligt för att uppfylla konventionens krav på tillgång till ett effektivt rättsmedel.

Även i FN:s konvention om medborgerliga och politiska rättigheter finns en bestämmelse till skydd mot godtyckligt eller olagligt ingripande i någons privat- och familjeliv (artikel 17).

4.1.2 Europarådets dataskyddskonvention

 

Reglering om automatiserad behandling av personuppgifter finns i bl.a.

 

Europarådets konvention från 1981 om skydd för enskilda vid automatisk

 

databehandling av personuppgifter, kallad dataskyddskonventionen.

 

Dataskyddskonventionen trädde i kraft den 1 oktober 1985. Samtliga

 

medlemsstater i EU har ratificerat konventionen. Dataskyddskonventio-

 

nens innehåll kan ses som en precisering av skyddet vid användning av

 

automatiserad behandling av personuppgifter enligt artikel 8 i Europa-

 

konventionen.

 

Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till

 

personlig integritet i samband med automatiserad behandling av person-

 

uppgifter. Dataskyddskonventionen innehåller principer för dataskydd

 

som de konventionsanslutna staterna måste iaktta i sin nationella lagstift-

 

ning.

 

Personuppgifter som är föremål för automatiserad behandling ska

 

samlas in och behandlas på ett korrekt sätt för särskilt angivna ändamål.

 

Vidare måste uppgifterna vara relevanta för ändamålen med behand-

24

lingen och får inte senare användas på ett sätt som är oförenligt med

 

dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte Prop. 2016/17:91 bevaras längre än vad som är nödvändigt för ändamålen.

Vissa kategorier av personuppgifter får, enligt konventionen, behandlas endast om den nationella lagstiftningen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter som avslöjar ras, politisk tillhörig- het, religiös tro eller övertygelse i övrigt, sexualliv samt uppgifter om brott.

För att skydda personuppgifter mot bl.a. oavsiktlig eller otillåten för- störelse föreskriver konventionen att lämpliga skyddsåtgärder ska vidtas. Vidare föreskrivs att den registrerade bl.a. ska ha möjlighet till insyn i register och till att få uppgifter rättade.

Under vissa förutsättningar får undantag göras från bestämmelserna i konventionen bl.a. i fråga om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar förutsätter, enligt konventionen, stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa angivna ändamål, t.ex. statens ekono- miska intressen och brottsbekämpning, samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen har i princip övertagits av dataskyddsdirektivet (se avsnitt 4.1.5) inom dess tillämp- ningsområde i och med att detta har införlivats i medlemsstaternas nationella lagstiftningar (se avsnitt 4.2). Direktivet omfattar dock inte behandling av personuppgifter inom områden som allmän säkerhet, försvar och statens säkerhet. På dessa områden är dataskyddskonven- tionen således fortfarande av betydelse.

Europarådets ministerkommitté antog år 2001 ett tilläggsprotokoll till dataskyddskonventionen. Det innehåller bestämmelser om tillsynsmyn- digheter och överföring av personuppgifter till länder som inte är bundna av konventionen. Tilläggsprotokollet trädde i kraft den 1 juli 2004.

Internationella riktlinjer i fråga om integritetsskydd och persondata- flöde över gränserna har även utarbetats inom Organisationen för ekono- miskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestäm- melser som finns i dataskyddskonventionen.

Dataskyddskonventionen är för närvarande föremål för översyn.

4.1.3Europarådets rekommendation om användning av personuppgifter i polissektorn

Utöver dataskyddskonventionen har Europarådet tagit fram sektorsvisa rekommendationer om dataskydd, bl.a. en rekommendation, No. R (87) 15, som reglerar användningen av personuppgifter inom polissektorn.

Rekommendationen innehåller speciella skyddsregler för personupp- gifter som polisen samlar in, lagrar, använder eller överför med hjälp av automatiserad behandling i syfte att förhindra och bekämpa brott eller upprätthålla allmän ordning. Endast sådana uppgifter som är nödvändiga för att förhindra en verklig fara eller bekämpa ett visst brott får samlas in,

25

Prop. 2016/17:91 om inte den nationella lagstiftningen tillåter ett mer omfattande uppgifts- samlande.

Olika kategorier av lagrade uppgifter ska så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som grundar sig på omdömen eller personliga värderingar.

4.1.4Europeiska unionens stadga om de grundläggande rättigheterna

Lissabonfördraget innebär att Europeiska unionens stadga om de grund- läggande rättigheterna (kallad EU-stadgan), tillkännagiven av parla- mentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, är rättsligt bindande på samma sätt som för- dragen. En referens till stadgan har införts i artikel 6.1 i det ändrade EU- fördraget, se propositionen Lissabonfördraget (prop. 2007/08:168 s. 58).

I EU-stadgan bekräftas de rättigheter som har sin grund i medlems- staternas gemensamma författningstraditioner och internationella förplik- telser, Europakonventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Stadgans syfte är att kodifiera de grundläggande fri- och rättigheter som EU redan erkänner.

I EU-stadgans artikel 7 föreskrivs, efter förebild i artikel 8 i Europa- konventionen, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I artikel 8 i stadgan föreskrivs vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna efterlevs.

Av artikel 51 i EU-stadgan följer att den riktar sig till verksamhet som utförs av EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten. När det gäller de garanterade rättigheternas räckvidd följer av artikel 52 i EU- stadgan att varje begränsning i utövningen av de rättigheter och friheter som erkänns i stadgan ska vara föreskriven i lag och vara förenlig med proportionalitetsprincipen och det väsentliga innehållet i fri- och rättig- heterna. I den mån rättigheterna i stadgan motsvarar rättigheter som skyddas av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Stadgans artiklar får inte tolkas som att de inskränker eller inkräktar på rättigheter enligt andra konventioner eller överenskommelser om fri- och rättigheter.

 

4.1.5

Dataskyddsdirektivet

 

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober

 

1995 om skydd för enskilda personer med avseende på behandling av

26

personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281,

23.11.1995, s. 31, Celex 31995L0046), kallat dataskyddsdirektivet, syftar Prop. 2016/17:91 till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när

det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter och att främja ett fritt flöde av person- uppgifter mellan medlemsstaterna i EU. Medlemsstaterna får inom den ram som anges i direktivet närmare precisera villkoren för när behand- ling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

Direktivet gäller inte för sådan behandling av personuppgifter som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område. Direktivet omfattar således inte statens behandling av personuppgifter i brottsbekämpande verksamhet.

Dataskyddsdirektivet är endast tillämpligt på behandling av uppgifter om fysiska personer och berör således inte skyddet för juridiska personer. Direktivet omfattar inte bara automatiserad behandling, utan också manuell behandling av personuppgifter som ingår eller kommer att ingå i ett register. Dataskyddsdirektivet omfattar inte behandling av person- uppgifter för privat bruk.

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen ska vara uttryckligt angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

4.1.6 Dataskyddsrambeslutet

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för

 

personuppgifter som behandlas inom ramen för polissamarbete och

 

straffrättsligt samarbete, kallat dataskyddsrambeslutet, reglerar data-

 

skyddet inom angivna områden. Rambeslutet är föranlett av ett antal nya

 

EU-instrument rörande utvidgat polisiärt och rättsligt samarbete avse-

 

ende gränsöverskridande informationsutbyte.

 

Dataskyddsrambeslutet förpliktar medlemsstaterna att behandla upp-

 

gifter som utbyts mellan staterna inom ramen för det angivna samarbetet

 

på ett sådant sätt att skyddet för enskildas integritet värnas. Det inne-

 

håller bestämmelser som avser att förstärka skyddet vid behandling av

 

personuppgifter som överförs.

 

Rambeslutet utgör ett komplement till andra instrument om informa-

 

tionsutbyte inom ramen för polisiärt och straffrättsligt samarbete. Det

 

innehåller bl.a. bestämmelser om allmänna utgångspunkter för behand-

 

lingen av personuppgifter och känsliga personuppgifter, rättelse, radering

 

och gallring av personuppgifter, information till den registrerade samt

 

skadestånd och sanktioner. Till stora delar motsvarar innehållet data-

 

skyddsdirektivet, som i svensk rätt har genomförts genom personupp-

 

giftslagen.

 

Vidare finns bl.a. särskilda bestämmelser som begränsar möjligheterna

 

att behandla personuppgifter som mottagits från en annan stat. Rambe-

 

slutet har genomförts i svensk rätt dels genom lagen (2013:329) med

 

vissa bestämmelser om skydd för personuppgifter vid polissamarbete och

27

 

Prop. 2016/17:91 straffrättsligt samarbete inom Europeiska unionen, dels genom upplys- ningsbestämmelser i respektive registerförfattning som anger att nyss nämnda lag har företräde framför respektive registerförfattning. En sådan bestämmelse finns i 1 a § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

4.1.7 Ny EU-rättslig reglering

 

Dataskyddsregleringen på unionsnivå har varit föremål för översyn och

 

ny reglering har antagits, dels en ny förordning, dels ett nytt direktiv.

 

Den nya regleringen ska börja tillämpas i maj 2018. Regleringen innebär

 

bl.a. att dataskyddsdirektivet, som i Sverige har genomförts genom

 

personuppgiftslagen (1998:204) och ett stort antal specifika register-

 

författningar, ersätts av en ny generell dataskyddsförordning.

 

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd

 

för fysiska personer med avseende på behandling av personuppgifter och

 

om det fria flödet av sådana uppgifter och om upphävande av direktiv

 

95/46/EG (kallad dataskyddsförordningen), antogs den 27 april 2016.

 

Förordningen utgör en ny generell reglering för personuppgiftsbehand-

 

ling inom EU och ersätter alltså det nuvarande dataskyddsdirektivet när

 

den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med

 

förordningen är att ytterligare harmonisera och effektivisera skyddet för

 

personuppgifter för att förbättra den inre marknadens funktion och öka

 

enskildas kontroll över sina personuppgifter.

 

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets

 

struktur och innehåll men innebär även en rad nyheter såsom en utökad

 

informationsskyldighet, administrativa sanktionsavgifter och inrättandet

 

av Europeiska dataskyddsstyrelsen. Dataskyddsförordningen är direkt

 

tillämplig i medlemsstaterna men både förutsätter och möjliggör komple-

 

tterande nationella bestämmelser av olika slag. En utredning har tillsatts

 

för att föreslå de anpassningar och kompletterande författningsändringar

 

på generell nivå som förordningen ger anledning till (Dataskyddsutred-

 

ningen, Ju 2016:04). Uppdraget ska redovisas senast den 12 maj 2017.

 

Det pågår bl.a. inom Regeringskansliet även arbete med att se över

 

övriga berörda författningar med anledning av den nya dataskyddsförord-

 

ningen.

 

De författningsändringar som krävs med anledning av förordningen tas

 

således om hand i särskild, senare ordning.

 

I reformen av EU:s regler om skydd för personuppgifter ingår som

 

nämnts ovan även ett direktiv med särregler för den brottsbekämpande

 

sektorn som kommer att ersätta dataskyddsrambeslutet. Till skillnad från

 

dataskyddsrambeslutet omfattar direktivet inte endast utbyte av informa-

 

tion över gränserna utan även nationell personuppgiftsbehandling inom

 

den brottsbekämpande sektorn.

 

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april

 

2016 om skydd för fysiska personer med avseende på behöriga myndig-

 

heters behandling av personuppgifter för att förebygga, förhindra, utreda,

 

avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det

 

fria flödet av sådana uppgifter och om upphävande av rådets rambeslut

28

2008/977/RIF (kallat 2016 års dataskyddsdirektiv), antogs samtidigt som

 

dataskyddsförordningen. Det ska vara implementerat i nationell rätt Prop. 2016/17:91 senast den 6 maj 2018.

Från dataskyddsförordningens tillämpningsområde undantas bl.a. personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inkluderande att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Den personuppgiftsbehand- ling som görs för dessa syften faller i stället under det nya dataskydds- direktivets tillämpningsområde. Direktivet ska dels skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, dels underlätta det informationsutbyte mellan behöriga myndigheter som är nödvändigt enligt unionsrätt eller nationell rätt. 2016 års dataskyddsdirektiv ansluter i stor utsträckning till den reglering som gäller enligt dataskyddsrambeslutet.

Från både förordningens och direktivets tillämpningsområden undantas personuppgiftsbehandling i verksamhet som inte omfattas av unions- rätten, däribland området nationell säkerhet.

En utredning har tillsatts för att föreslå hur direktivet ska genomföras i svensk rätt. Utredaren ska bl.a. lämna förslag till en ny ramlagstiftning med bestämmelser om skydd av personuppgifter inom direktivets tillämpningsområde och lämna de förslag till författningsändringar som krävs för att anpassa vissa centrala författningar om rättsväsendets behandling av personuppgifter till de nya förutsättningarna (Utredningen om 2016 års dataskyddsdirektiv, Ju 2016:06). Utredaren ska senast den 1 april 2017 i ett delbetänkande redovisa uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn inom direktivets tillämpnings- område. Uppdraget ska slutredovisas senast den 30 september 2017.

De författningsändringar som krävs med anledning av det nya direkti- vet tas således om hand i särskild, senare ordning.

4.2Personuppgiftslagen

Dataskyddsdirektivet har som nämnts ovan genomförts i svensk rätt genom personuppgiftslagen, se propositionen Personuppgiftslag (prop. 1997/98:44). Till skillnad från dataskyddsdirektivet har dock person- uppgiftslagen gjorts generellt tillämplig och omfattar således även verk- samhet som faller utanför direktivets tillämpningsområde.

Lagen innehåller de generella regler som krävs för genomförande av direktivet. Särreglering i annan lag eller i förordning gäller emellertid framför bestämmelserna i personuppgiftslagen. Att det krävs en särskild författning för att avvika från det integritetsskydd som personuppgifts- lagen ger, är en garanti för att behovet av särregler övervägs noga i den ordning som gäller för författningsgivning.

Personuppgifter i personuppgiftslagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om juridiska personer och avlidna omfattas således inte av lagen. Begreppet behandling av personuppgifter omfattar i stort sett allt man kan göra med sådana uppgifter, t.ex. att samla in, söka, bevara och sprida uppgifter.

29

Prop. 2016/17:91 Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad. Även manuell behandling kan dock omfattas, nämligen om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier.

Enligt personuppgiftslagen ska en personuppgiftsansvarig bl.a. se till att personuppgifter behandlas bara om det är lagligt. Den personuppgifts- ansvarige ska vidare se till att personuppgifter behandlas på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlas in bara för särskilda uttryckligt angivna och berättigade ändamål, att de inte behandlas för något ändamål som är oförenligt med det för vilket de samlades in, att de personuppgifter som behandlas är riktiga och om nödvändigt aktuella, att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Enligt lagen är det vidare förbjudet att till tredjeland föra över person- uppgifter om landet inte har en adekvat nivå för skyddet av personupp- gifterna. Förbudet gäller inte stater som har anslutit sig till dataskydds- konventionen. Förbudet gäller både uppgifter som är under behandling och uppgifter som ska undergå behandling. När det gäller att avgöra om skyddsnivån är adekvat ska alla omständigheter kring överföringen beaktas, varvid särskild vikt ska läggas vid bl.a. uppgifternas art, ändamålet med behandlingen och de regler som finns för behandlingen i det tredjelandet. I vissa fall får dock överföring av personuppgifter till tredjeland ske även om det aktuella landet inte har en sådan adekvat skyddsnivå som avses i personuppgiftslagen, t.ex. om den registrerade har lämnat sitt samtycke eller för att rättsliga anspråk ska kunna fastställas. I lagen har också regeringen getts möjlighet att under vissa förutsättningar meddela föreskrifter om undantag från förbudet.

Efter en lagändring som trädde i kraft den 1 januari 2007 är de flesta av personuppgiftslagens detaljerade handlingsregler inte tvingande tillämp- liga vid behandling av personuppgifter i ostrukturerat material, t.ex. löpande text och enstaka ljud- och bildupptagningar, se propositionen Översyn av personuppgiftslagen (prop. 2005/06:173). Sådan behandling får dock inte innebära att den registrerades personliga integritet kränks.

Med anledning av att dataskyddsförordningen ska börja tillämpas i maj 2018 kommer personuppgiftslagen att upphävas.

4.3 Lagstiftningen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

 

Behandling av personuppgifter i Tullverkets brottsbekämpande verksam-

 

het regleras i lagen om behandling av uppgifter i Tullverkets brotts-

 

bekämpande verksamhet, med tillhörande förordning (2005:791) om

 

behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

 

Dessa författningar brukar benämnas tullbrottsdatalagen och tullbrotts-

30

dataförordningen. Tullbrottsdatalagen gäller i stället för personuppgifts-

 

lagen, men hänvisar till vissa bestämmelser i personuppgiftslagen som alltjämt ska tillämpas.

Det finns bestämmelser om hantering av personuppgifter även i annan lagstiftning, t.ex. i lagen (2000:1219) om internationellt tullsamarbete, förordningen (2000:1222) om internationellt tullsamarbete, lagen (2000:343) om internationellt polisiärt samarbete, tullagen (2016:253) och i EU-lagstiftning. Det finns också en särskild registerförfattning med tillhörande förordning som gäller i Tullverkets verksamhet som avser frågor om tull och in- och utförselrestriktioner, nämligen lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet med tillhörande förordning (2001:646) med samma namn. Dessa författ- ningar, som brukar benämnas tulldatalagen respektive tulldataförord- ningen, omfattas inte av förslagen i denna proposition och kommer därför inte att beröras närmare här. En följdändring behandlas dock i avsnitt 17.

Tullbrottsdatalagen innehåller dels allmänna regler om behandling av personuppgifter, dels bestämmelser om en särskild databas, tullbrotts- databasen. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lagen tillämpas även i viss utsträckning på behandling av uppgifter om juridiska personer (1 §).

De ändamål för vilka uppgifter får behandlas i Tullverkets brotts- bekämpande verksamhet är uppdelade i primära (7 §) och sekundära (8 §) ändamål. I 7 § anges att uppgifter får behandlas i Tullverkets brotts- bekämpande verksamhet om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra visst brott, eller för att fullgöra förpliktelser som följer av internationella åtaganden. I 8 § anges att uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt 7 § även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad brotts- bekämpande verksamhet hos Polismyndigheten, Säkerhetspolisen, Eko- brottsmyndigheten, Åklagarmyndigheten, Skatteverket och Kustbevak- ningen.

I 9 § regleras att uppgifter inte får behandlas för några andra ändamål än de som anges i 7 och 8 §§. Uppgifter får dock lämnas ut till riksdagen och regeringen samt, i den utsträckning uppgiftsskyldighet följer av lag eller förordning, till andra. Här kan nämnas att 9 d § personuppgifts- lagen, den s.k. finalitetsprincipen, inte finns med i uppräkningen av vilka bestämmelser i personuppgiftslagen som gäller vid behandling av personuppgifter enligt tullbrottsdatalagen.

Behandlingen av känsliga personuppgifter regleras i 11 § tullbrotts- datalagen. Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackföre- ning, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt med respekt för människovärdet. Dessutom får känsliga

Prop. 2016/17:91

31

Prop. 2016/17:91

uppgifter behandlas om de förekommer i en handling som kommit in till

 

Tullverket i ett ärende.

 

 

 

I 12–15 §§ anges de närmare förutsättningarna för behandling av

 

uppgifter för de tre huvudsyften som anges i 7 §.

 

 

För ändamålet att förebygga, förhindra eller upptäcka brottslig verk-

 

samhet får enligt 12 § sådana uppgifter behandlas som

 

 

– kan

hänföras till en person,

om de behandlade

uppgifterna ger

 

anledning att anta att sådan verksamhet har utövats eller kan komma

 

att utövas som innefattar brott för vilket är föreskrivet fängelse i

 

minst två år eller som innefattar andra brott, om verksamheten sker

 

systematiskt (1 a), och gör att personen skäligen kan misstänkas för

 

att ha utövat eller komma att utöva verksamheten (1 b),

 

– avser en person som utan att vara skäligen misstänkt kan antas ha

 

samband med sådan verksamhet som avses i 1 a (2), eller

 

– inte direkt kan hänföras till en person, om uppgifterna avser sådana

 

transportmedel, varor eller hjälpmedel som kan antas ha samband

 

med sådan verksamhet som avses i 1 a.

 

 

Vissa ytterligare begränsningar anges i bestämmelsen.

 

Dessutom får uppgifter som kommit in till Tullverket om passagerare,

 

importörer, exportörer och transportörer samt varor och transportmedel

 

behandlas för planering av kontrollverksamheten och urval av kontroll-

 

objekt i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet

 

(13 §).

 

 

 

 

För ändamålet att utreda och beivra visst brott får enligt 14 § uppgifter

 

om den som kan misstänkas för brottet och om andra personer behandlas

 

när det behövs för att utreda eller beivra brottet.

 

 

Enligt 15 § får Tullverket, utöver vad som följer av 12–14 §§, behandla

 

uppgifter för ändamålet fullgöra förpliktelser som följer av internatio-

 

nella åtaganden.

 

 

 

Som huvudregel ska uppgifter om personer som inte är misstänkta eller

 

kan komma att misstänkas för brott förses med en särskild upplysning

 

om detta. Uppgifter om en person som kan ha samband med brottslig

 

verksamhet ska förses med upplysning om uppgiftslämnarens trovärdig-

 

het och uppgifternas riktighet i sak (16 §).

 

 

I 17 och 18 §§ finns bestämmelser om begränsning av möjligheten till

 

behandling av uppgifter om kvarstående misstankar.

 

 

I 19 § anges i detalj vilka typer av personuppgifter som får behandlas i

 

tullbrottsdatabasen och i 20–22 §§ anges vilka sökbegrepp som får

 

användas.

 

 

 

23 och 24 §§ innehåller bestämmelser om viss uppgiftsskyldighet,

 

närmare bestämt när det gäller vitesförelägganden och rättsstatistik. 2 §

 

tullbrottsdataförordningen har också en bestämmelse om uppgifts-

 

skyldighet, som innebär att Tullverket på begäran av Åklagarmyndig-

 

heten,

Ekobrottsmyndigheten,

Polismyndigheten,

Säkerhetspolisen,

 

Kustbevakningen och Skatteverket ska lämna ut uppgifter ur tullbrotts-

 

databasen.

 

 

 

I 25 § tullbrottsdatalagen finns en begränsning avseende elektroniskt

 

utlämnande. Enstaka uppgifter får lämnas ut på medium för automati-

 

serad behandling. Regeringen får meddela föreskrifter om att utlämnande

 

på sådant medium får ske även i andra fall. Några sådana föreskrifter har

32

inte meddelats.

 

 

I 26 § samma lag regleras direktåtkomst. Där anges att regeringen får Prop. 2016/17:91 meddela föreskrifter om att Polismyndigheten, Säkerhetspolisen, Åkla-

garmyndigheten, Ekobrottsmyndigheten, Skatteverket och Kustbevak- ningen i sin brottsbekämpande verksamhet får ha direktåtkomst till uppgifter i tullbrottsdatabasen. Genom 6 § tullbrottsdataförordningen har regeringen gett Ekobrottsmyndigheten, Polismyndigheten, Säkerhets- polisen, Kustbevakningen och Skatteverket möjlighet till direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet före- bygga, förhindra eller upptäcka brottslig verksamhet. Genom 7 § samma förordning har regeringen gett Åklagarmyndigheten, Ekobrottsmyndig- heten, Polismyndigheten och Säkerhetspolisen rätt till direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet utreda eller beivra visst brott och som förekommer i en förundersökning under ledning av åklagare vid Åklagarmyndigheten eller Ekobrottsmyndig- heten.

Tullbrottsdatalagen innehåller också regler om när gallring av olika uppgifter ska ske (27 och 28 §§). Enligt 27 § får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om att uppgifter ska bevaras trots de frister som annars gäller. Av 4 § tullbrotts- dataförordningen följer att uppgifter och handlingar i ett ärende som avser prövning av om förundersökning ska inledas får bevaras längre än vad som anges i 27 § tullbrottsdatalagen men att de ska gallras senast vid utgången av det kalenderår då påföljd inte längre kan dömas ut för de brott som omfattades av prövningen av om förundersökning ska inledas.

Tullbrottsdatalagen innehåller även bestämmelser om information till den registrerade och överklagande. I fråga om skadestånd och rättelse gäller bestämmelserna i personuppgiftslagen.

I förordningen (1997:902) om register över strafförelägganden regleras viss behandling av personuppgifter som Tullverket och även Polis- myndigheten utför. Såvitt gäller Tullverket anges i förordningen bl.a. att det inom Tullverket får föras register över strafförelägganden (2 §) och vad registret får innehålla (9 §). I betänkandet Uppbörd av böter (Ds 2015:5) behandlas bl.a. denna reglering. Betänkandet har remitterats och bereds för närvarande i Regeringskansliet. Tidigare omfattade förordningen om register över strafförelägganden även åklagarnas behandling av personuppgifter vid hanteringen av strafförelägganden. De bestämmelserna utmönstrades dock ur förordningen i samband med tillkomsten av åklagardatalagen (2015:433). Det kan i detta sammanhang nämnas att till uppgiften att beivra brott i 7 § 2 tullbrottsdatalagen hör tullåklagarens rätt att utfärda strafförelägganden i bötesmål.

4.4Regler för behandling av personuppgifter i annan brottsbekämpande verksamhet

4.4.1Inledning

Vid sidan av personuppgiftslagen finns en mängd särskilda register- författningar som spänner över olika samhällsområden, bl.a. lagar och

33

Prop. 2016/17:91 förordningar som innefattar regler om hur personuppgifter i brottsbekäm- pande verksamhet ska behandlas.

Vad avser polisens verksamhet finns bl.a. polisdatalagen (2010:361) som utgör en modernisering av tidigare gällande bestämmelser.

Även andra registerförfattningar har moderniserats på senare tid. För Kustbevakningens verksamhet har en kustbevakningsdatalag (2012:145) antagits, med bestämmelser utformade enligt den modell som återfinns i polisdatalagen. När det gäller åklagarväsendets personuppgiftsbehand- ling har en åklagardatalag antagits, som trädde i kraft den 1 januari 2016. När det gäller Skatteverkets brottsbekämpande verksamhet bereds för närvarande i Regeringskansliet ny lagstiftning på området.

Det har ansetts angeläget att Tullverket har samma möjligheter som andra brottsbekämpande myndigheter att behandla personuppgifter, se t.ex. propositionen Dataskydd vid europeiskt polissamarbete och straff- rättsligt samarbete (prop. 2012/13:73 s. 63). Det är därför naturligt att göra en jämförelse med hur frågorna har reglerats för andra brottsbekäm- pande myndigheter i lagstiftning som tillkommit efter tullbrottsdatalagen. Av den anledningen redovisas polisdatalagen och kustbevakningsdata- lagen närmare i följande avsnitt.

4.4.2Polisdatalagen och annan lagstiftning

Polisdatalagen

I propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85) föreslog regeringen en helt ny polis- datalag. Avsikten var att komma till rätta med vissa svagheter som uppmärksammats i systemet, bl.a. att den äldre polisdatalagen (1998:622) endast täckte delar av behandlingen av personuppgifter i polisens brotts- bekämpande verksamhet. Vidare framhöll regeringen i propositionen behoven av en teknikneutral lagstiftning och av regler som ger förutsätt- ningar för ett bättre samarbete mellan de brottsbekämpande myndig- heterna genom utökade möjligheter till informationsutbyte (se prop. 2009/10:85 s. 59–64). Den nya polisdatalagen trädde i kraft den 1 mars 2012.

Polisdatalagen gäller i stället för personuppgiftslagen. Lagen innehåller hänvisningar till de bestämmelser i personuppgiftslagen som gäller vid tillämpning av lagen.

Syftet med polisdatalagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verk- samhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 kap. 1 §).

Polisdatalagen gäller vid behandling av personuppgifter i brottsbekäm- pande verksamhet vid Polismyndigheten och Säkerhetspolisen samt i polisiär verksamhet vid Ekobrottsmyndigheten (1 kap. 2 §). För behand- ling av personuppgifter vid Säkerhetspolisens brottsbekämpande verk- samhet gäller endast vissa särskilt utpekade bestämmelser. Behandling av personuppgifter i sådan verksamhet som inte är brottsbekämpande, t.ex. hanteringen av förvaltningsärenden, regleras i huvudsak i personupp- giftslagen.

34

Behandling av personuppgifter som sker med stöd av vapenlagen (1996:67), lagen (1998:620) om belastningsregister, lagen (1998:621) om misstankeregister, lagen (2000:344) om Schengens informationssystem, lagen (2006:444) om passagerarregister, lagen (2010:362) om polisens allmänna spaningsregister eller lagen (2015:51) om register över tillträdesförbud vid idrottsarrangemang har uttryckligen undantagits från polisdatalagens tillämpningsområde (1 kap. 3 §).

Personuppgifter får behandlas i brottsbekämpande verksamhet vid Polismyndigheten och i polisiär verksamhet vid Ekobrottsmyndigheten om det behövs för att förebygga, förhindra eller upptäcka brottslig verk- samhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden (2 kap. 7 §). Personuppgifter som behandlas för dessa ändamål får även behandlas när det är nödvändigt för att tillhanda- hålla information som behövs i bl.a. brottsbekämpande verksamhet hos Säkerhetspolisen, Ekobrottsmyndigheten, Tullverket, Kustbevakningen och Skatteverket eller brottsbekämpande verksamhet hos utländsk myndighet eller mellanfolklig organisation. Vidare får personuppgifter behandlas för att tillhandahålla information som behövs i en myndighets verksamhet om det enligt lag eller förordning åligger Polismyndigheten att bistå myndigheten med viss uppgift eller om informationen tillhanda- hålls inom ramen för myndighetsöverskridande samverkan mot brott (2 kap. 8 §). Personuppgifter får även behandlas om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till Polismyndigheten eller Ekobrottsmyndigheten i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 §).

Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Om uppgifter om en person behandlas på annan grund, får de emellertid kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behand- lingen (2 kap. 10 §).

Lagen innehåller även bestämmelser om vad som gäller för t.ex. till- gången till personuppgifter, utlämnande av personuppgifter och uppgifts- skyldighet samt elektroniskt utlämnande av personuppgifter (2 kap. 11– 21 §§).

För behandling av personuppgifter som fler än ett fåtal personer har åtkomst till, s.k. gemensamt tillgängliga uppgifter, finns det särskilda bestämmelser i lagen (3 kap. 1–15 §§). Huruvida uppgifter har gjorts gemensamt tillgängliga eller inte är av betydelse när det gäller möjlig- heten att medge vissa andra i lagen utpekade myndigheter direktåtkomst till personuppgifter i den brottsbekämpande verksamheten. Vad gäller gemensamt tillgängliga uppgifter innehåller lagen även andra begrän- sande bestämmelser för att värna den personliga integriteten, bl.a. sökbegränsningar.

Slutligen ska nämnas att polisdatalagen innehåller bestämmelser om ett fåtal register som regleras särskilt, bl.a. register över DNA-profiler, fingeravtrycks- eller signalementsregister och penningtvättsregister (4 kap.), bestämmelser om behandling av personuppgifter vid Polis- myndigheten för forensiska ändamål (5 kap.) samt bestämmelser om

Prop. 2016/17:91

35

Prop. 2016/17:91 behandling av personuppgifter i Säkerhetspolisens brottsbekämpande verksamhet (6 kap.).

I polisdataförordningen (2010:1155) finns kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av polisdatalagen.

Polisregisterlagstiftning i övrigt

Vid sidan av polisdatalagen finns det som nämnts ovan andra författ- ningar som reglerar behandling av personuppgifter inom polisen. Några av dessa är s.k. registerförfattningar och innehåller uteslutande bestäm- melser om behandling av personuppgifter medan andra endast innehåller ett fåtal sådana bestämmelser, t.ex. om ett visst register. Bestämmelser om behandling av personuppgifter finns i vapenlagen, lagen om belast- ningsregister, lagen om misstankeregister, lagen om internationellt polisiärt samarbete, lagen om Schengens informationssystem, lagen om passagerarregister, efterlysningskungörelsen (1969:293), passförord- ningen (1979:664) och förordningen (1997:903) om register över före- lägganden av ordningsbot. De författningar som har betydelse för Tullverkets behandling av personuppgifter är följande.

– Belastningsregistret

Ändamålet med belastningsregistret är att ge information om sådana belastningsuppgifter som behövs i verksamhet hos Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen för att förebygga, upptäcka och utreda brott, hos åklagarmyndigheter för beslut om förundersökning och åtal och för utfärdande av strafföreläggande samt hos allmänna domstolar för straffmätning och val av påföljd.

Av 6 § lagen om belastningsregister följer bl.a. att Säkerhetspolisen, Skatteverket, Tullverket och Kustbevakningen har rätt att få ut uppgifter ur belastningsregistret. Tullverket får enligt 19 § förordningen (1999:1134) om belastningsregister ha direktåtkomst till uppgifter i registret.

– Misstankeregistret

Misstankeregistret ska föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos Polismyndigheten, Säkerhetspolisen, Skatteverket, Tullverket och Kust- bevakningen för att samordna förundersökningar mot en misstänkt person och för att förebygga, upptäcka och utreda brott samt hos åklagar- myndigheter för beslut om förundersökning och åtal (2 § lagen om misstankeregister).

Enligt 6 § förordningen (1999:1135) om misstankeregister får bl.a. Tullverket ha direktåtkomst till uppgifter i registret.

– Passförordningen

Polismyndigheten ska enligt 23 § passförordningen föra ett centralt passregister. På begäran från bl.a. Tullverket och Kustbevakningen ska Polismyndigheten lämna ut uppgifter i form av fotografisk bild av enskild från registret.

36

– Passagerarregistret

Polismyndigheten ska enligt 1 § lagen om passagerarregister föra ett register över sådana passagerare som avses i 9 kap. 3 a § utlänningslagen (2005:716) och myndigheten är personuppgiftsansvarig för behandlingen av personuppgifter i registret. Passagerarregistret ska föras för att under- lätta verkställandet av personkontroller vid Sveriges gräns mot stater som inte tillhör Europeiska unionen och inte heller har träffat avtal om samarbete enligt Schengenkonventionen med konventionsstaterna (4 §). Tullverket har rätt att på begäran få ut personuppgifter ur passage- rarregistret för sådan verksamhet som avses i 4 § (6 §).

– Ordningsbotsregistret

Polismyndigheten för, med stöd av förordningen om register över före- lägganden av ordningsbot, ett särskilt register över alla ordningsbotsföre- lägganden. Registret omfattar även de förelägganden som beslutas inom Tullverket och Kustbevakningen. Enligt 2 § får registret användas i ärenden om föreläggande av ordningsbot för handläggning, uppbörd och underrättelser till myndigheter samt för tillsyn, planering, uppföljning och framställning av statistik. Enligt 4 § får Tullverket ha direktåtkomst till uppgifter i de ärenden i registret som handläggs hos myndigheten.

I betänkandet Uppbörd av böter föreslås en ny lag om uppbörd av böter. Betänkandet har remitterats och bereds för närvarande i Regerings- kansliet.

– Schengens informationssystem

Sverige är anslutet till Schengensamarbetet, se propositionen Schengen- samarbetet (prop. 1997/98:42). Schengensamarbetet bygger på två grundtankar. Den första är den fria rörligheten för personer, i den betydelsen att någon personkontroll vid nationsgränserna mellan Schengenstaterna inte ska förekomma. Den andra är att kampen mot internationell kriminalitet och illegal invandring ska stärkas. Ett hjälpmedel i detta sammanhang är dataregistret Schengens informations- system (SIS).

SIS består av ett nationellt register för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenstaterna. Polismyndigheten för med stöd av lagen om Schengens informations- system ett register som utgör den svenska nationella enheten av dataregistret SIS. Registret är anslutet till den centrala enheten i SIS. Registrets syfte är att vara ett hjälpmedel för de andra Schengenstaterna att göra framställningar hos Sverige om bl.a. omhändertagande av personer och om dold övervakning eller särskilda kontrollåtgärder.

I lagen finns bestämmelser om vilka uppgifter som får förekomma i registret och om vem som har rätt att få ut uppgifter ur detta. Enligt 9 § har Säkerhetspolisen, åklagarmyndigheter, Tullverket och Kustbevak- ningen rätt att få ut uppgifter ur registret när de utför gränskontroller eller bistår i sådan verksamhet samt när de utför undersökningar och andra kontroller än gränskontroller i sin verksamhet för att förebygga och utreda brott. Enligt 10 § får en svensk myndighet inte utnyttja en uppgift i registret för något annat syfte än det som den registrerande Schengen-

Prop. 2016/17:91

37

Prop. 2016/17:91 staten har angivit vid registreringen, om inte den staten samtycker till att uppgiften används för annat ändamål.

Enligt 10 § förordningen (2000:836) om Schengens informationssys- tem får Säkerhetspolisen, Tullverket och Kustbevakningen ha direkt- åtkomst till uppgifter ur SIS-registret.

4.4.3 Kustbevakningsdatalagen

 

För Kustbevakningens behandling av personuppgifter gäller kustbevak-

 

ningsdatalagen som trädde i kraft den 1 maj 2012. Lagen reglerar, med

 

några få undantag, all behandling av personuppgifter i Kustbevakningens

 

operativa verksamhet, dvs. både brottsbekämpande och annan operativ

 

verksamhet. I 2 kap. 10 § finns en grundläggande bestämmelse som

 

kräver att personuppgifter ska behandlas på ett sådant sätt att det klart

 

framgår om behandlingen rör brottsbekämpning eller annan operativ

 

verksamhet.

 

Lagen gäller i stället för personuppgiftslagen, men innehåller hänvis-

 

ningar till vissa bestämmelser i personuppgiftslagen som ska tillämpas

 

vid behandling av personuppgifter enligt lagen (2 kap. 1 och 2 §§). Som

 

exempel kan nämnas personuppgiftslagens bestämmelser om definitioner

 

och om förhållandet till offentlighetsprincipen.

 

Kustbevakningsdatalagen är uppbyggd på i princip samma sätt som

 

polisdatalagen. De ändamål för vilka personuppgifter får behandlas är

 

indelade i primära och sekundära ändamål. De primära ändamålen avser

 

behandling av personuppgifter för att tillgodose de behov som finns inom

 

Kustbevakningen och anges uttömmande i 3 kap. 2 §. Enligt denna para-

 

graf får personuppgifter behandlas om det behövs för att förebygga,

 

förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott,

 

eller fullgöra de förpliktelser som följer av internationella åtaganden.

 

De sekundära ändamålen är aktuella när personuppgifter som får

 

behandlas i Kustbevakningens brottsbekämpande verksamhet lämnas ut

 

till andra myndigheter eller organisationer för dessas behov. Enligt de

 

sekundära ändamålen, som anges i 3 kap. 3 §, får behandling av person-

 

uppgifter ske när det är nödvändigt för att tillhandahålla information som

 

behövs i brottsbekämpande verksamhet hos Polismyndigheten, Säker-

 

hetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och

 

Skatteverket, eller hos utländsk myndighet eller mellanfolklig organisa-

 

tion. Sådan behandling får vidare ske om det är nödvändigt för att

 

tillhandahålla information som behövs i annan verksamhet hos Kustbe-

 

vakningen för utredning och beslut i ärenden som rör vattenförore-

 

ningsavgift eller tillsyn och kontroll enligt lag eller förordning. Sådan

 

behandling av personuppgifter får även ske om det är nödvändigt för att

 

tillhandahålla information som behövs i en annan myndighets verksam-

 

het, om Kustbevakningen enligt lag eller förordning är skyldig att bistå

 

myndigheten med viss uppgift, eller om informationen tillhandahålls

 

inom ramen för myndighetsöverskridande samverkan mot brott.

 

Uppgifter som behandlas för ett primärt ändamål får även behandlas

 

om det är nödvändigt för att tillhandahålla information till riksdagen och

 

regeringen samt, i den utsträckning skyldighet att lämna uppgifter följer

38

av lag eller förordning, till annan. I ett enskilt fall får personuppgifter

 

som behandlas för ett primärt ändamål även behandlas för att tillhanda- Prop. 2016/17:91 hålla information för något annat ändamål, under förutsättning att ända-

målet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Kustbevakningsdatalagen innehåller också bestämmelser om behand- ling av känsliga personuppgifter (2 kap. 7 §). Lagen innehåller vidare särskilda bestämmelser om i vilka fall utlämnande av personuppgifter får ske till Interpol och Europol, polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, utländsk kustbevakning eller tull- myndighet inom Europeiska samarbetsområdet (3 kap. 6 § första och andra styckena). Uppgifter får vidare lämnas ut till utländsk myndighet eller mellanfolklig organisation om utlämnandet följer av en internatio- nell överenskommelse som Sverige har tillträtt efter riksdagens god- kännande (3 kap. 6 § tredje stycket).

Det finns även särskilda bestämmelser om under vilka förutsättningar personuppgifter som omfattas av sekretess får lämnas ut till svenska myndigheter (3 kap. 7 §). Lagen innehåller också bestämmelser om elektroniskt utlämnande av (2 kap. 8 §), tillgång till samt bevarande och gallring av personuppgifter (2 kap. 3 § respektive 3 kap. 4 och 5 §§ samt 4 kap. 8–14 §§).

4.5Överenskommelser inom EU av betydelse för tull- och polissamarbete och deras genomförande i Sverige

4.5.1Rådsbeslutet om tillgång till informationssystemet för viseringar

Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli

 

2008 om informationssystemet för viseringar (VIS) och utbytet mellan

 

medlemsstaterna av uppgifter om viseringar för kortare vistelse, kallad

 

VIS-förordningen, trädde i kraft den 2 september 2008 och togs i drift

 

den 11 oktober 2011. Förordningen tillämpas från och med den dagen

 

och författningsändringar med anledning av VIS-förordningen trädde i

 

kraft samtidigt.

 

De övergripande målen för inrättandet av VIS är att förbättra genom-

 

förandet av den gemensamma viseringspolitiken, det konsulära samar-

 

betet och samrådet mellan viseringsmyndigheter. VIS ska underlätta

 

utbytet av uppgifter om viseringsansökningar och beslut med anledning

 

av sådana ansökningar.

 

I VIS-förordningen finns också närmare bestämmelser om bl.a. vise-

 

ringsmyndigheternas registrering och användning av uppgifterna i VIS,

 

andra myndigheters åtkomst till dessa uppgifter samt om lagring och

 

ändring av uppgifterna. VIS-förordningen innehåller vidare en s.k.

 

broklausul, som medger att brottsbekämpande myndigheter och Europol

 

ges tillgång till uppgifter i VIS för att förhindra, upptäcka eller utreda

 

terroristbrott och andra grova brott.

 

Villkoren för åtkomst till VIS i detta syfte har fastställts i rådets beslut

 

2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet

39

 

Prop. 2016/17:91 för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (kallat VIS-rådsbeslutet). Enligt VIS- rådsbeslutet ska särskilt utsedda brottsbekämpande myndigheter i medlemsstaterna och Europol under vissa förutsättningar ges tillgång till uppgifter ur VIS i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott.

Reglerna för hur myndigheterna får använda registret är restriktiva och uppgifter får endast lämnas ut under vissa speciella förutsättningar. Ett grundläggande krav för att en brottsbekämpande myndighet ska få tillgång till uppgifter i VIS är att den lämnar en motiverad, skriftlig eller elektronisk, begäran till en central åtkomstpunkt som ska kontrollera att samtliga villkor för tillgång till VIS är uppfyllda. Vidare krävs bl.a. att sökningarna är nödvändiga för att förebygga, upptäcka eller utreda terroristbrott eller andra grova brott, att sökningarna krävs i ett specifikt ärende och att det finns rimliga skäl att anse att inhämtandet av VIS- uppgifter väsentligen kommer att bidra till att brotten i fråga förebyggs, upptäcks eller utreds. VIS-rådsbeslutet har införts i svensk rätt genom ändringar i lagen om internationellt polisiärt samarbete.

Det har också gjorts ändringar i offentlighets- och sekretesslagen (2009:400) för uppgifter i utländska databaser, se propositionen Sekre- tess för uppgifter i utländska databaser (prop. 2011/12:157), vilka trädde i kraft den 1 december 2012.

4.5.2 Prümrådsbeslutet

 

Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gräns-

 

överskridande samarbete, särskilt för bekämpning av terrorism och

 

gränsöverskridande brottslighet, kallat Prümrådsbeslutet, bygger på en

 

konvention kallad Prümkonventionen, som år 2005 ingicks mellan sju av

 

EU:s medlemsstater. Prümrådsbeslutet innehåller bestämmelser som

 

syftar till att fördjupa det gränsöverskridande samarbetet mellan de

 

myndigheter inom EU som ansvarar för att förebygga och utreda brott. I

 

huvudsak ska detta ske genom förenklade former för utbyte av DNA-

 

profiler, fingeravtryck och uppgifter om fordon.

 

Prümrådsbeslutet aktualiserar inte inrättande av några nya databaser,

 

utan bygger på ett automatiserat utbyte av uppgifter som redan finns

 

lagrade i medlemsstaternas befintliga databaser. I rådsbeslutet regleras

 

också skyldigheten att översända vissa personuppgifter och andra

 

uppgifter till en annan medlemsstat vid större evenemang med gränsöver-

 

skridande verkningar. Därutöver finns en fakultativ bestämmelse om

 

översändande av uppgifter till skydd mot terrorism. Bestämmelserna om

 

uppgiftsutbyte kompletteras med utförliga bestämmelser om dataskydd.

 

Prümrådsbeslutet innehåller också en skyldighet för medlemsstaterna

 

att lämna varandra bistånd i samband med större evenemang, katastrofer

 

och allvarliga olyckor. Därutöver finns bestämmelser om frivilligt

 

operativt samarbete.

 

De obligatoriska delarna av rådsbeslutet har genomförts i två steg. Den

 

del som bl.a. gäller informationsutbyte vid större evenemang, skyldig-

40

heten att lämna bistånd vid större evenemang, katastrofer och olyckor

 

samt de generella dataskyddsbestämmelserna (artiklarna 13–15, delar av Prop. 2016/17:91 18 samt 24–32) har behandlats i propositionen Genomförande av delar av

Prümrådsbeslutet (prop. 2009/2010:177). Lagändringarna trädde i kraft den 1 juli 2010 och förordningsregleringen den 1 augusti 2010.

Den del som gäller automatiserat utbyte av DNA-, fingeravtrycks- och fordonsuppgifter (artiklarna 2–12) har behandlats i propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte (prop. 2010/11:129). Lagändringarna och förordningsregleringen trädde i kraft den 1 augusti 2011.

För Polismyndigheten, Tullverket och Kustbevakningen innebär regle- ringen bl.a. att myndigheterna i samband med större evenemang med gränsöverskridande verkningar i syfte att förebygga brott eller upprätt- hålla allmän ordning och säkerhet ska lämna ut uppgifter om en person om det av olika anledningar finns skäl att anta att personen kommer att begå brott vid evenemanget eller utgöra hot mot den allmänna ordningen och säkerheten vid detta. Uppgifter kan lämnas ut på begäran av en myndighet i en annan stat eller på eget initiativ. Myndigheterna ska även lämna ut andra uppgifter än personuppgifter som bedöms vara nödvän- diga för att förebygga brott eller hot mot den allmänna ordningen och säkerheten vid evenemanget (3 kap. 1 § förordningen [2010:705] om internationellt polisiärt samarbete). En förutsättning för att uppgifter ska få lämnas ut är att de i motsvarande fall skulle få lämnas ut till en annan svensk myndighet.

Utöver att lämna information vid större evenemang ska Tullverket och andra i förordningen utpekade myndigheter även i vissa fall lämna olika former av bistånd vid större evenemang, katastrofer och allvarliga olyckor som har gränsöverskridande verkningar i syfte att förhindra brott eller upprätthålla allmän ordning och säkerhet. En form av bistånd är att underrätta berörda myndigheter i en annan stat om situationen så snart det är möjligt och förmedla väsentlig information (3 kap. 3 § förord- ningen). Respektive myndighet beslutar om bistånd ska lämnas.

4.5.3 Rambeslutet om förenklat informations- och underrättelseutbyte

Den tillgänglighetsprincip som är väsentlig i EU:s arbete för att utveckla

 

informationsutbytet är en av hörnstenarna i rambeslutet om förenklat

 

informations- och underrättelseutbyte. Rådets rambeslut 2006/960/RIF

 

av den 18 december 2006 om förenklat informations- och underrättelse-

 

utbyte mellan de brottsbekämpande myndigheterna i Europeiska unio-

 

nens medlemsstater kom till efter ett svenskt initiativ. Rambeslutet

 

innebär att brottsbekämpande myndigheter i medlemsstaterna redan på

 

underrättelsestadiet, och över myndighetsgränserna, snabbt ska kunna

 

utbyta befintlig information för användning i underrättelseverksamhet

 

om brott eller utredning av brott. Genom rambeslutet åtar sig medlems-

 

staterna att dels på begäran av en annan stat lämna viss information, dels

 

spontant lämna vissa uppgifter.

 

Rambeslutet har genomförts i svensk rätt genom förordningen

 

(2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande

 

myndigheter i Europeiska unionen, som trädde i kraft den 1 februari

41

 

Prop. 2016/17:91 2009. Förordningen, som bygger på förutsättningen att gällande svensk rätt redan medger utlämnande av sådana uppgifter som ska utbytas enligt rambeslutet, innehåller framför allt bestämmelser om förfarandet i samband med uppgiftsutbytet. Enligt 3 § i förordningen ska en svensk brottsbekämpande myndighet efter begäran från en utländsk brotts- bekämpande myndighet lämna ut uppgifter. I förordningen anges som svensk brottsbekämpande myndighet bl.a. Polismyndigheten, Tullverket och Kustbevakningen (2 §). En svensk brottsbekämpande myndighet kan med stöd av rambeslutet även begära uppgifter från en annan medlems- stat. Förordningen innehåller också regler om villkor för användandet av tillhandahållna uppgifter och tidsfrister inom vilka en inkommen begäran ska behandlas.

4.5.4Europolrådsbeslutet

Den 6 april 2009 antogs rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), kallat Europol- rådsbeslutet (EUT L 121, 15.5.2009, s. 37). Genom rådsbeslutet föränd- rades den rättsliga grunden för Europols verksamhet och Europol fick ställning som EU-myndighet. I samband härmed gjordes också en del sakliga förändringar, bl.a. av Europols mandat och av regleringen om informationsbehandling och dataskydd.

En konsekvens av att Europol numera är en EU-myndighet är att Euro- pols struktur, arbetssätt, verksamhetsområde och uppgifter regleras av Europaparlamentet och rådet genom en förordning, enligt det ordinarie lagstiftningsförfarandet inom EU. Den 11 maj 2016 antogs en förord- ning, Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF. Den ska tillämpas från och med den 1 maj 2017.

 

4.5.5

Direktiv om flygpassageraruppgifter

 

Passageraruppgiftssamlingar består av uppgifter som har lämnats av

 

passagerare (Passenger Name Records – PNR) och samlats in av

 

lufttrafikföretag i samband med beställning och bokning av biljetter samt

 

vid incheckning, t.ex. namn, betalningssätt, bagageinformation, destina-

 

tion och resebolag. Tullverket begär sedan 1996 in dylika uppgifter från

 

flera olika transportslag i enlighet med reglerna i tullagen och lagen

 

(1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat

 

land inom Europeiska unionen, kallad inregränslagen.

 

Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april

 

2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter)

 

för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott

 

och grov brottslighet (kallat PNR-direktivet) antogs i april 2016 och ska

 

vara genomfört senast i maj 2018. Direktivet reglerar skyldigheten för

 

flygbolag att överföra passageraruppgiftssamlingar till enheter för

 

passagerarinformation i medlemsstaterna, för vilka ändamål uppgifterna

42

får behandlas, hur länge uppgifterna får lagras och under vilka förutsätt-

ningar de får lämnas ut. Flygpassageraruppgifterna får endast behandlas Prop. 2016/17:91 för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott

och grov brottslighet. Direktivet innehåller även andra bestämmelser om dataskydd. Av direktivet följer vidare att varje medlemsstat ska inrätta en särskilt enhet (Passenger Information Unit, PIU), ansvarig för insamling, sparande och analys av PNR-uppgifter, samt för vidarebefordran av PNR-uppgifter och analysresultat till behöriga myndigheter. En utred- ning har tillsatts för att föreslå hur direktivet ska genomföras i svensk rätt, PNR-utredningen (Ju 2016:07). Den ska redovisa sitt uppdrag senast den 31 maj 2017.

4.6Lagstiftning om internationellt samarbete

4.6.1Inledning

Det brottsbekämpande samarbetet regleras i stor utsträckning genom olika internationella överenskommelser, såväl multilaterala som bilate- rala, som innebär internationella åtaganden för Sverige. Med internatio- nella åtaganden avses här folkrättsligt bindande förpliktelser. Sådana åtaganden avser framför allt samarbete med utländska brottsbekämpande myndigheter och med mellanfolkliga organisationer.

Lagen om internationellt tullsamarbete, som beskrivs närmare i avsnitt 4.6.2, innehåller – till skillnad från t.ex. lagen om internationellt polisiärt samarbete – främst bestämmelser som reglerar det internationella sam- arbetet i sig och inte bestämmelser om behandling av personuppgifter.

I en ändamålsbestämmelse i tullbrottsdatalagen hänvisades det tidigare till fullgörandet av det arbete som Tullverket är skyldigt att utföra enligt lagen om internationellt tullsamarbete (7 § 3). Den 1 juli 2013 ändrades ordalydelsen så att den numera generellt hänvisar till fullgörandet av förpliktelser som följer av internationella åtaganden. Lagändringen syftade till att ändamålsbestämmelsen skulle omfatta hela det interna- tionella samarbete som Tullverket är ålagd att delta i, inte bara interna- tionellt tullsamarbete, se prop. 2012/13:73. Nedan presenteras exempel på samarbeten som Tullverket kan delta i.

4.6.2Internationellt tullsamarbete

Lagen om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser (1 kap. 1 § första stycket). Detta innebär att lagen inte bara träffar Tullverkets brottsbe- kämpande verksamhet utan även verksamhet avseende tull och in- och utförselrestriktioner. Lagen är dock inte tillämplig på sådant samarbete som avses i lagen (2011:1537) om bistånd med indrivning av skatter och avgifter inom Europeiska unionen, lagen (1990:314) om ömsesidig handräckning i skatteärenden eller lagen (1959:590) om gränstullsam-

arbete med annan stat (1 kap. 1 § andra stycket).

43

Prop. 2016/17:91

Tullverket eller annan behörig svensk myndighet ska enligt lagen bistå

 

behörig utländsk myndighet eller mellanfolklig organisation om det

 

följer av en sådan internationell överenskommelse som avses i 1 § och av

 

denna lag (1 kap. 2 §). Behöriga svenska myndigheter är, förutom

 

Tullverket, Polismyndigheten, Kustbevakningen och Statens jordbruks-

 

verk (1 kap. 5 §). Tullverket har ansvaret för samordningen av samar-

 

betet.

 

Vid internationellt tullsamarbete kan de svenska myndigheterna agera

 

endast inom ramen för sina befogenheter enligt svensk lagstiftning

 

(1 kap. 3 §). En del av samarbetet består i att länderna självmant eller på

 

begäran ska delge varandra uppgifter som behövs för tullsamarbetet.

 

Bestämmelser om utbyte av uppgifter finns i 2 kap. 6–8 §§. När det är

 

nödvändigt för att genomföra internationellt tullsamarbete, får en svensk

 

behörig myndighet, på eget initiativ eller efter ansökan, lämna ut upp-

 

gifter till behörig utländsk myndighet eller mellanfolklig organisation,

 

även om uppgiften är sekretessbelagd. Endast uppgifter som är tillgäng-

 

liga för myndigheten inom dess verksamhetsområde omfattas (2 kap.

 

6 §). Uppgifterna får förenas med villkor för användandet, om det krävs

 

med hänsyn till enskilds rätt eller från allmän synpunkt (2 kap. 7 § första

 

stycket).

 

Har en uppgift översänts till en utländsk myndighet, är den svenska

 

myndigheten skyldig att på begäran av den som uppgiften avser under-

 

rätta denne om vart uppgiften har sänts och för vilket ändamål (2 kap. 8 §

 

första stycket). Detta gäller dock inte om det är uppenbart obehövligt

 

eller om det kan befaras att underrättelsen skulle försvåra den utländska

 

utredningen eller beslut i ärendet. Gäller sekretess för uppgiften behöver

 

underrättelse inte heller lämnas (2 kap. 8 § andra och tredje styckena).

 

Om en svensk myndighet har tagit emot uppgifter eller bevisning från

 

en annan stat enligt en sådan internationell överenskommelse som avses i

 

1 kap. 1 § och som innehåller villkor som begränsar möjligheten att

 

använda uppgifterna, ska svenska myndigheter följa villkoren oavsett vad

 

som annars är föreskrivet i lag eller annan författning (4 kap. 2 §).

4.6.3 Internationellt polisiärt samarbete

 

I lagen om internationellt polisiärt samarbete regleras samarbete mellan

 

svenska brottsbekämpande myndigheter och motsvarande myndigheter i

 

andra medlemsstater i EU samt Norge och Island. Lagen reglerar bl.a.

 

Schengensamarbetet och Prümsamarbetet, men även annat polissamar-

 

bete som är konventionsbundet. I lagen anges vilka svenska tjänstemän

 

som är behöriga att delta i samarbetet, nämligen svenska polismän samt

 

tulltjänstemän och kustbevakningstjänstemän när de enligt lag eller

 

annan författning har polisiära befogenheter. Den mest frekventa delen

 

av informationsutbytet inom Schengensamarbetet regleras dock i lagen

 

om Schengens informationssystem. Den lagen reglerar informations-

 

utbyte som utnyttjar en särskild databas som alla stater som deltar i

 

Schengensamarbetet har tillgång till.

 

I lagen om internationellt polisiärt samarbete, som är mera inriktad på

 

samarbete i enskilda fall, finns en bestämmelse (3 §) om hur uppgifter

44

som har erhållits från andra stater får användas. Har en svensk myndighet

 

fått uppgifter eller bevismaterial från en annan stat för att användas i Prop. 2016/17:91 underrättelseverksamhet om brott, vid utredning av brott eller för att

upprätthålla allmän ordning och säkerhet, och gäller på grund av överenskommelse med den andra staten villkor som begränsar möjlig- heten att använda uppgifterna eller bevisningen, ska svenska myndig- heter följa villkoren oavsett vad som annars är föreskrivet i lag eller annan författning. Vad som nu har sagts gäller även för överens- kommelser med mellanfolkliga organisationer.

På motsvarande sätt föreskriver lagen att svenska myndigheter får ställa upp villkor som begränsar möjligheten att använda uppgifter eller bevisning som lämnas till en annan stat, om det krävs med hänsyn till enskilds rätt eller från allmän synpunkt. Sådana villkor får inte strida mot en internationell överenskommelse som är bindande för Sverige. Detta gäller också i fråga om uppgifter eller bevisning som lämnas till en mellanfolklig organisation (3 a §).

4.6.4Vissa former av internationellt samarbete i brottsutredningar

Lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar innehåller regler om gränsöverskridande samarbete i enskilda brottsutredningar. Syftet är att förbättra det polisiära och det straffrättsliga samarbetet mellan medlemsstaterna inom EU i kampen mot den gränsöverskridande brottsligheten. Behöriga myndigheter i två eller flera medlemsstater får genom en överenskommelse inrätta en gemensam utredningsgrupp för brottsutredningar. När det finns en sådan överenskommelse tillämpas lagen. De utredningsgrupper som inrättas med stöd av någon annan internationell överenskommelse omfattas inte av lagen.

Lagen innehåller bl.a. bestämmelser om användningsbegränsningar. Har en svensk myndighet fått uppgifter genom en gemensam utred- ningsgrupp som inrättats med stöd av lagen och gäller villkor som begränsar möjligheten att använda uppgifterna, ska en svensk myndighet enligt 5 § följa villkoren oavsett vad som annars är föreskrivet i lag eller författning. Enligt 6 § får överlämnandet av uppgifter eller bevismaterial från en svensk myndighet till en sådan utredningsgrupp förenas med villkor som är nödvändiga av hänsyn till enskilds rätt eller som är nödvändiga från allmän synpunkt. Den svenska myndighet som har överlämnat material med villkor får enligt 7 § på begäran av en myndig- het i en annan stat medge undantag från villkoret.

Lagen innehåller också vissa bestämmelser om s.k. kontrollerade leveranser (10–14 §§) och om brottsutredningar med användning av skyddsidentitet (15–17 §§). Med kontrollerad leverans avses att en viss förbjuden vara, oftast narkotika, tillåts passera gränsen utan att myndigheterna ingriper, i syfte att man ska kunna spåra upp de personer som ligger bakom brottet. Både vid kontrollerade leveranser och vid brottsutredningar med användning av skyddsidentitet ska reglerna om användningsbegränsning i 5–7 §§ tillämpas (13 respektive 16 §).

45

Prop. 2016/17:91 4.6.5

Internationell rättslig hjälp i brottmål

I lagen (2000:562) om internationell rättslig hjälp i brottmål regleras skyldigheten för svensk myndighet att på en utländsk myndighets begäran vidta åtgärder som t.ex. förhör under förundersökning, bevis- upptagning, kvarstad, husrannsakan och användning av hemliga tvångs- medel (1 kap. 2 §). Lagen innehåller även bestämmelser om i vilken utsträckning svenska myndigheter kan begära rättslig hjälp utomlands (3 kap.). Verkställighetsregler finns i förordningen (2000:704) om internationell rättslig hjälp i brottmål.

Lagen om internationell rättslig hjälp i brottmål är generell, dvs. den gäller i förhållande till alla stater även om dessa inte har tillträtt samma konventioner om rättslig hjälp i brottmål som Sverige. Vissa regler gäller dock bara i förhållande till medlemsstater i Europeiska unionen samt Norge och Island.

En utländsk stats begäran om rättslig hjälp i Sverige handläggs av åklagare och domstol, under förutsättning att åtgärden kan vidtas enligt svensk lag under en förundersökning eller rättegång. I vissa fall får rättslig hjälp beviljas även om den misstänkta gärningen inte utgör brott enligt svensk lagstiftning (2 kap. 2 §).

I 2 kap. finns allmänna bestämmelser om förfarandet vid en ansökan om rättslig hjälp i Sverige. I princip används samma förfarande som vid motsvarande svensk åtgärd under förundersökning eller rättegång (2 kap. 10 §).

Om en svensk myndighet i ett ärende om rättslig hjälp har fått upp- gifter eller bevisning från en annan stat för att användas vid utredning av brott eller i ett rättsligt förfarande med anledning av brott, och gäller på grund av en internationell överenskommelse bindande villkor som begränsar möjligheterna att använda uppgifterna eller bevisningen ska, enligt 5 kap. 1 §, svenska myndigheter följa villkoret oavsett vad som annars är föreskrivet i lag eller annan författning. Detsamma gäller beträffande villkor som en stat har ställt upp när den på eget initiativ lämnat sådana uppgifter.

På motsvarande sätt får rättslig hjälp som lämnas av en svensk myndighet i enskilda fall förenas med villkor som är påkallade med hänsyn till enskilds rätt eller som är nödvändiga ur allmän synpunkt (5 kap. 2 §).

5 Tullverkets organisation och verksamhet

5.1Inledning

Tullverket har till uppgift att övervaka efterlevnaden av särskilda bestämmelser om införsel och utförsel av varor. Av förordningen (2007:782) med instruktion för Tullverket framgår att Tullverket ska både se till att en riktig uppbörd kan säkerställas och kontrollera in- och utförselrestriktioner. Verket har också befogenhet att bekämpa brott inom

46

hela sitt ansvarsområde. En central uppgift i Tullverket är även att Prop. 2016/17:91 bedriva utrednings- och åklagarverksamhet.

När det gäller Tullverkets verksamhet med uppbörd av tullar, skatter och avgifter samt kontroll av restriktioner finns den grundläggande regle- ringen i Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (unionstullkodexen). Delegerade akter respektive genomförandeakter för unionstullkodexen har också arbetats fram inom EU och en ny svensk tullag, tullagen (2016:253), har trätt i kraft den 1 maj 2016, se proposi- tionen En ny tullag (prop. 2015/16:79). En övergångsperiod kopplad till införandet av nödvändiga it-system löper till och med utgången av 2020.

Tullverkets befogenheter regleras främst i tullagen och i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen, kallad inregränslagen. Tullverket har vidare befogenheter att utföra kontroller i enlighet med lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter samt lagen (2008:322) om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott, liksom enligt de författningar som denna lag hänvisar till. I lagen (2000:1225) om straff för smuggling, kallad smugglingslagen, finns bestämmelser om Tullverkets befogenheter att inleda förundersökning, använda tvångs- medel, väcka åtal m.m. för vissa brott. I flera fall hänvisar bestämmel- serna till vad som gäller enligt rättegångsbalken. En tjänsteman vid Tullverket jämställs i vissa hänseenden med en polisman. Tulltjänstemän har därför getts polisiära befogenheter. Tulltjänstemän har i likhet med poliser t.ex. rätt att ta med någon till förhör och att gripa en person som är misstänkt för ett brott som Tullverket är skyldigt att beivra. Tull- tjänstemän har också rätt att ta egendom i beslag under vissa förut- sättningar liksom att genomföra husrannsakan, kroppsvisitation och kroppsbesiktning. Tullverket har även rätt att använda hemliga tvångs- medel såsom telefonavlyssning och telefonövervakning m.m.

Tullverket får fatta beslut om att inleda förundersökning angående brott mot bl.a. smugglingslagen. Om inte saken är av enkel beskaffenhet, ska ledningen av förundersökningen övertas av åklagare så snart någon skäligen kan misstänkas för brottet. Även i andra situationer ska åklagaren överta ledningen när detta är påkallat av särskilda skäl. När förundersökningen leds av en åklagare får han eller hon anlita biträde av Tullverket. Tullverket har även rätt att inleda en förundersökning enligt 3 § lagen om Tullverkets och Kustbevakningens befogenheter att ingripa mot rattfylleribrott. Fördelningen av mål mellan åklagare och Tullverket ändrades den 1 juli 2013 (jfr Åklagarmyndighetens föreskrifter och allmänna råd om ledning av förundersökning i brottmål som även kan ledas av Tullverket [ÅFS 2013:03]). Ändringen har inneburit att Tullverket leder fler förundersökningar jämfört med tidigare. Förutom förundersökningsledare finns inom Tullverket även särskilda s.k. tull- åklagare. En tullåklagare har med stöd av 32 § smugglingslagen rätt att väcka åtal om det handlar om ett brott enligt smugglingslagen eller andra brott som särskilt omnämns där och det är uppenbart att brottets straffvärde medför att påföljden ska stanna vid böter.

47

Prop. 2016/17:91

48

5.2Tullverkets organisation och arbetssätt

Tullverkets verksamhet är organiserad i avdelningar. Myndighetens kärnverksamhet bedrivs i sex kärnprocesser inom avdelningarna Brotts- bekämpning och Effektiv handel. Tullverket verkar i hela landet, men har framför allt personal på de tre huvudorterna Stockholm, Göteborg och Malmö. De fyra kompetenscentren inom avdelningen Brottsbekämpning har ett geografiskt ansvar medan kompetenscentren inom avdelningen Effektiv handel arbetar utifrån ett nationellt ansvar för sina sakområden. Båda avdelningarna har var sitt kompetenscenter på de tre huvudorterna.

Sedan den 1 januari 2015 finns ett verksamhetsgemensamt kompetens- center för analys- och underrättelseverksamhet, med lokala enheter på respektive huvudort. Där ingår även samverkan mot tullbrottslighet (SMT) liksom Tullverkets arbete med säkerhet och skydd.

Tullverket har flera sambandsmän utplacerade på andra myndigheter och i andra länder, Polis och Tull i Norden (PTN), Europol samt inom Nationella operativa avdelningen på Polismyndigheten.

Tullverket har en nationell underrättelse- och kommunikationscentral (TUK) med dygnetruntbemanning. TUK fungerar numera även som Nationell Desk vilket innebär att man tar emot och bearbetar operativ information och underrättelseinformation både internt och externt. TUK ansvarar även för Tullverkets sambandsmän inklusive personal på Europol. TUK har bl.a. till uppgift att sköta larmhantering för viss operativ personal, ge operativ personal stöd i form av registerslagningar och förfrågningar till samverkansmyndigheter, ta emot tips om smugg- ling från allmänheten och vara nationell kontaktpunkt i nationella och internationella underrättelsefrågor.

För att skapa en mer ändamålsenlig styrning och uppföljning har Tullverket successivt infört ett processinriktat arbetssätt. Tullverkets arbete bedrivs som nämnts ovan i sex kärnprocesser. I flera av kärn- processerna ingår arbetsmoment som i regel utförs i flera delar av organisationen. Processerna Klarera varor och transportmedel, Genom- föra fysisk kontroll och Följa upp operatör och ärende avser att säker- ställa uppbörden och kontrollerar om bestämmelser om in- och utförsel av varor följs. Om det finns misstanke om att brott har begåtts, tar processen Hantera brott över. Processen Hantera brott inleder och bedriver förundersökning fram till åtalsprövning. I samverkan med ovan nämnda processer verkar processen Hantera tillstånd, vars syfte är att underlätta den lagliga handeln med tredjeland. Inom Analysera och selektera utförs analys- och underrättelsearbete, som bidrar med information som används för att inrikta arbetet inom framför allt Genomföra fysisk kontroll och Följa upp operatör och ärende men även till Hantera brott och Klarera varor och transportmedel.

5.3Tullverkets verksamhet

5.3.1Verksamheten under Effektiv handel

En av Tullverkets uppgifter innefattar att fastställa och ta ut tullar samt vissa skatter och avgifter, så att en riktig uppbörd kan säkerställas. Inom

ramen för denna uppgift utförs även kontroller av att bestämmelser om Prop. 2016/17:91 EU-rättsliga in- och utförselrestriktioner följs i det deklarationspliktiga,

legala varuflödet. Kontrollerna genomförs dels genom granskning av styrkande handlingar, dels genom varuundersökningar. Inom ramen för denna uppgift arbetar Tullverket även aktivt för att förenkla den legala handeln och därmed minska den administrativa bördan för näringslivet.

Tullverket har även i uppgift att kontrollera att in- och utförsel- restriktioner inriktade på hot mot hälsa, miljö och säkerhet efterlevs. Myndigheten utför även kontroller på uppdrag av andra marknads- kontrollerande myndigheter.

Denna icke brottsbekämpande verksamhet har benämnts på olika sätt, ibland för fiskal verksamhet, ibland för tullverksamhet och ibland för Effektiv handel. I det följande, om inte skäl finns för något annat, an- vänds uttrycket Effektiv handel.

5.3.2Den brottsbekämpande verksamheten

Tullverket bedriver en brottsbekämpande verksamhet som ska förebygga, upptäcka, förhindra, utreda och beivra tullrelaterad brottslighet. Brotts- bekämpningen ska inriktas mot att begränsa den organiserade och storskaliga brottsligheten. Tullverket ska bidra till att minska antalet kriminella nätverk som ägnar sig åt narkotika-, alkohol- eller tobaks- smuggling eller ekonomisk brottslighet (se t.ex. Regleringsbrev för budgetåret 2016 avseende Tullverket, dnr Fi2015/05629/S3).

När det föreligger misstanke om brott eller brottslig verksamhet, som Tullverket har i uppdrag att bekämpa, faller den kontrollerande verksam- heten inom den brottsbekämpande verksamheten. Vid genomförandet av Tullverkets brottsbekämpande uppdrag har Tullverket motsvarande befogenheter som Polismyndigheten. Om det finns förutsättningar för att inleda förundersökning eller förenklad utredning får tvångsmedel användas i samband med en tullkontroll.

Inom den brottsbekämpande verksamheten bedrivs bl.a. underrättelse- verksamhet, bevis- och spårsäkring, brottsutredning och förundersök- ningsledarskap. Särskilda tullåklagare ansvarar för arbete inom tull- åklagarverksamheten och för Tullverkets förundersökningsledarskap i mål av enkel beskaffenhet, handläggning av ärenden om omhänder- tagande enligt 17–17 d §§ inregränslagen, lagen om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter och lagen (2014:1470) om beskattning av viss privatinförsel av cigaretter samt hantering av beslag och beslagslager. Till uppgiften att beivra brott hör främst tullåklagarens rätt att väcka åtal, utfärda ordningsbot och strafförelägganden i bötesmål.

5.3.3

Gränsdragningen mellan olika

 

 

verksamhetsområden

 

Tullkontrollen utgör i grunden verksamhet under Effektiv handel. Tull-

 

kontroller kan vara av administrativ karaktär eller utgöra fysiska

 

kontroller. De har sin grund i unionstullkodexen och andra EU-bestäm-

 

melser om hälsa, säkerhet och skydd. Tullverkets befogenheter vid dessa

49

Prop. 2016/17:91 tullkontroller finns i tullagen och inregränslagen, beroende på om fråga är om import och export med tredjeland eller in- och utförsel inom EU. Vissa överträdelser av in- och utförselrestriktioner är kriminaliserade. Om det i kontrollverksamheten uppkommer misstanke om brott eller brottslig verksamhet inom Tullverkets ansvarsområde, har Tullverket befogenheter att utreda dessa brott. I den mån det vid ett kontrolltillfälle varken föreligger misstanke om brott eller brottslig verksamhet faller tullkontrollen inom verksamheten under Effektiv handel. Det avgörande för gränsdragningen mellan analys- respektive underrättelseverksam- heten inom Tullverket är om det föreligger misstanke om brottslig verksamhet eller inte. Gränsdragningen styrs varken av organisation eller av processflöden.

5.4 Internationellt tullsamarbete

Inledning

Tullverket deltar i ett omfattande internationellt samarbete. Förutom att Tullverket bistår Regeringskansliet i arbetet inom ramen för EU, deltar Tullverket även i World Customs Organization (WCO), Asia Europe Meeting (ASEM) och Östersjösamarbetet liksom i olika internationella program. Vidare har Sverige ingått ett flertal bi- och multilaterala avtal avseende ömsesidigt bistånd inom tullområdet, vilka har stor betydelse för det internationella tullsamarbetet.

Samarbetet avser i många fall utbyte av information med andra medlemsstater i EU, med tredjeland eller med olika internationella organisationer. Utbytet styrs av olika rättsakter, bl.a. konventioner och samarbetsavtal varav några redogörs för nedan.

En stor del av det gränsöverskridande samarbetet äger rum som ett led i förebyggande, utredning eller lagföring av svensk brottslighet, t.ex. när en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av personuppgifter och utlämnandet av information sker då med stöd av de primära ändamålen att förebygga, förhindra eller upptäcka brottslig verksamhet eller att utreda eller beivra brott i Sverige. I andra fall sker behandlingen av personuppgifter för att fullgöra de förpliktelser som

 

följer av de internationella åtagandena.

 

World Customs Organization

 

Tullverket deltar i samarbetet i Världstullorganisationen (World Customs

 

Organization, WCO), där totalt 179 länder är medlemmar. WCO:s syfte

 

är att förbättra, förenkla och effektivisera arbetet med tullprocedurer

 

inom och mellan medlemsländer.

 

WCO:s verksamhet bygger på ett antal internationella konventioner,

 

bl.a. WCO:s konvention av den 9 juni 1977 om ömsesidigt administrativt

 

bistånd för att förhindra, utreda och beivra tullbrott. Det är en multilateral

 

konvention som är relativt allmänt hållen och som kan biträdas av

 

medlemmarna i organisationen om de så önskar. Sverige har enbart

 

accepterat delar av konventionen, bl.a. de delar som rör spontant

 

informationsutbyte avseende misstankar om allvarliga tullbrott, central

50

registrering av uppgifter om smuggling och ömsesidigt bistånd i kampen

 

mot narkotika, se propositionen Internationellt tullsamarbete (prop. 1999/2000:122 s. 16).

WCO-konventionen (även kallad Nairobikonventionen, 1977) har införlivats i svensk rätt genom förordningen (1983:682) om tillämpning av en internationell konvention om ömsesidigt administrativt bistånd för att förhindra, utreda och beivra tullbrott, m.m.

Neapel II-konventionen

Konventionen av den 18 december 1997 om ömsesidigt bistånd och samarbete mellan tullförvaltningar (Neapel II-konventionen) medger informationsutbyte framför allt inom ramen för en brottsutredning. Konventionen reglerar även gränsöverskridande samarbete på vissa typer av brott som har anknytning till Tullverkets verksamhetsområde. Det uppgiftsutbyte som sker med stöd av konventionen kan omfattas både av lagen (2000:1219) om internationellt tullsamarbete och av lagen (2000:343) om internationellt polisiärt samarbete.

Tullinformationssystemet (TIS)

Den rättsliga grunden för Europeiska unionens tullinformationssystem består av dels rådets förordning (EG) nr 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen, dels rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tull- ändamål, som den 27 maj 2011 har ersatt den tidigare TIS-konventionen. Förordningen (1998:64) om tillämpning av Europeiska unionens tull- informationssystem, som innehåller kompletterande bestämmelser till rådsförordningen avseende svenska myndigheters tillämpning och användning av TIS, har till följd av bl.a. ändringar i förordning 515/97 ersatts av förordningen (2016:904) om tullinformationssystemet, vilken trädde i kraft den 1 december 2016.

Syftet med TIS är att underlätta informationsutbytet mellan medlems- staterna för att effektivisera bekämpningen av brott inom tullområdet. TIS består av två skilda databaser – TIS-EU för verksamheten under Effektiv handel och TIS-MS för den brottsbekämpande verksamheten.

TIS-EU ska hjälpa tullmyndigheterna och andra behöriga myndigheter att utbyta information för att bekämpa brott mot EU:s gemensamma tull- och jordbrukslagstiftning medan TIS-MS ska underlätta informations- utbyte för att bekämpa brott mot medlemsstaternas nationella tullagstift- ning.

Tullinformationssystemet innehåller också en särskild databas kallad FIDE med information om pågående och avslutade tullutredningar. Uppgifter ur TIS-EU får användas av Ekobrottsmyndigheten, Kustbevak- ningen, Läkemedelsverket, Polismyndigheten, Statens jordbruksverk och Tullverket inom ramen för respektive myndighets befogenheter. Uppgif- ter ur TIS-MS får användas av Ekobrottsmyndigheten, Kustbevakningen, Läkemedelsverket, Polismyndigheten, Skatteverket och Tullverket inom ramen för respektive myndighets befogenheter. Dessa myndigheter får ha direktåtkomst till uppgifter i samtliga kategorier i TIS. Tullverket är

Prop. 2016/17:91

51

Prop. 2016/17:91 personuppgiftsansvarigt för TIS i Sverige och den enda svenska myndig- het som har rätt att föra in uppgifter i systemet.

Schengensamarbetet

Schengensamarbetet, som Sverige tillträdde 1996, omfattar förutom avvecklingen av gränskontroller också ett förstärkt polisiärt och straff- rättsligt samarbete. Det innefattar såväl utbyte av information som operativt samarbete. Bestämmelser finns framför allt i lagen om interna- tionellt polisiärt samarbete, som bl.a. innefattar en specialreglering av vissa situationer i Schengenavtalet. I 2 § i lagen definieras svenska tjänstemän som svenska polismän, tulltjänstemän eller kustbevaknings- tjänstemän när de har polisiära befogenheter. Tullverket tillämpar lagen för t.ex. gränsöverskridande övervakning och förföljande enligt artiklarna 40–41 i Schengenkonventionen. Se mer om Schengen i avsnitt 4.4.2 och 4.6.3.

Inom ramen för samarbetet finns även ett gemensamt informations- system (SIS). Behandlingen av uppgifter i SIS regleras särskilt i lagen (2000:344) om Schengens informationssystem (SIS) och förordningen (2000:836) i samma ämne. Enligt 9 § lagen har Tullverket rätt att få uppgifter ur systemet i sin verksamhet för att förebygga och utreda brott.

Europolsamarbetet

Den rättsliga grunden för Europolsamarbetet finns i rådsbeslutet 2009/371/RIF om inrättande av Europeiska polisbyrån. Europol biträder nationella myndigheter med bland annat informationsutbyte, underrättel- seanalys, samordning och utbildning. Förutom Polismyndigheten är Tull- verket en behörig myndighet.

Uppgiftsinhämtning från Europol sker både inom ramen för pågående brottsutredningar och underrättelseverksamhet för att förhindra och upptäcka brottslig verksamhet.

Tullverket har en sambandsman placerad på den svenska sambands- enheten på Europol. Inom ramen för samarbetet finns även ett gemen- samt informationssystem (SIENA).

Se också avsnitt 4.5.4.

Andra initiativ inom Europeiska unionen

I lagen (2003:1174) om vissa former av internationellt samarbete i brottsutredningar och förordningen (2003:1176) i samma ämne genom- förs rådets rambeslut 2002/465/RIF om gemensamma utredningsgrupper, utredningsgrupper som inrättas med stöd av 2000 års EU-konvention om internationell rättslig hjälp liksom avtalet med Island och Norge. I lagen regleras även grundläggande förfaranderegler om s.k. kontrollerade leveranser.

Rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna har genom- förts i lagen (2003:1156) om överlämnande från Sverige enligt en europeisk arresteringsorder med tillhörande förordning (2003:1179). Enligt 4 kap. 5 och 7 §§ nämnda lag har tulltjänstemän vissa befogen- heter att använda tvångsmedel.

52

Rådets rambeslut 2003/577/RIF av den 22 juli 2003 om verkställighet i Prop. 2016/17:91 Europeiska unionen av beslut om frysning av egendom eller bevis-

material har genomförts i lagen (2005:500) om erkännande och verk- ställighet inom Europeiska unionen av frysningsbeslut. Enligt 3 kap. 12 § kan åklagare begära biträde av bl.a. Tullverket vid verkställigheten av beslut enligt lagen.

Rådets rambeslut 2006/960/RIF av den 18 december 2006 om för- enklat informations- och underrättelseutbyte mellan de brottsbekäm- pande myndigheterna i Europeiska unionens medlemsstater, även kallat ”det svenska initiativet”, bygger på decentralisering och gör det möjligt för Polismyndigheten, Tullverket eller andra myndigheter med befogen- heter när det gäller att utreda brott (med undantag för underrättelse- tjänster, som vanligtvis hanterar underrättelser med koppling till den nationella säkerheten) att utbyta information och underrättelser med sina motsvarigheter i Europeiska unionen. I förordningen (2008:1396) om förenklat uppgiftsutbyte mellan brottsbekämpande myndigheter i Europeiska unionen finns tillämpningsbestämmelser till rådsbeslutet. Förordningen möjliggör informationsutbyte inom underrättelseverksam- heten mellan två medlemsstater via samtliga befintliga kommunikations- vägar.

Nordiskt samarbete

Polis och Tull i Norden (PTN) är ett samarbete mellan Tullverket och polismyndigheterna i de nordiska länderna för att effektivisera bekämp- ningen av grov brottslighet. Tillsammans med Danmark, Finland, Norge och Island finns gemensamma tull- och polissambandsmän i ett 20-tal länder.

6Informationshantering och informationsutbyte i Tullverkets brottsbekämpande verksamhet

6.1Informationshantering i Tullverkets brottsbekämpande verksamhet

6.1.1

Tullbrottsdatabasen

 

Som har redovisats i avsnitt 4.3 regleras Tullverkets behandling av

 

personuppgifter i den brottsbekämpande verksamheten i dag i lagen

 

(2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande

 

verksamhet, kallad tullbrottsdatalagen, och förordningen (2005:791) om

 

behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

 

kallad tullbrottsdataförordningen. Även flera bestämmelser i personupp-

 

giftslagen (1998:204) är tillämpliga.

 

Enligt 3 § tullbrottsdatalagen ska det finnas en samling uppgifter och

 

handlingar som med hjälp av automatiserad behandling används gemen-

 

samt i verksamheten, den s.k. tullbrottsdatabasen. Regeringen meddelar

53

Prop. 2016/17:91 närmare föreskrifter om de register som ingår i tullbrottsdatabasen. Genom 9 § tullbrottsdataförordningen har regeringen föreskrivit att Tullverket inom ramen för tullbrottsdatabasen får inrätta ett under- rättelseregister för behandling av uppgifter i verkets arbete med att förhindra och upptäcka brottslig verksamhet enligt 7 § 1 tullbrottsdata- lagen. I 5 § tullbrottsdataförordningen anges att Tullverket får meddela närmare föreskrifter om vilka uppgifter som får behandlas i tullbrotts- databasen.

Begreppet databas har en rättslig innebörd utan direkt teknisk anknyt- ning och definieras som en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet och utesluter därmed manuella register, se propositionen Tullverkets brotts- bekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 60 f.). I detta avseende motsvarar den nuvarande tullbrottsdatalagen de modernare registerlagar som antagits på senare tid, även om de saknar benämningen databas.

6.1.2Informationssystem som Tullverket använder

Tullverket bedriver för närvarande ett omfattande förändringsarbete av it-systemen med avsikt att bygga ett för Tullverket mer ändamålsenligt it-stöd. Arbetet syftar till att skapa förutsättningar för standardisering och automatisering i den operativa verksamheten. Flertalet av de nu befint- liga uppgiftssamlingarna kommer därför att ersättas av nya it-stöd. Nedan beskrivs några av de befintliga it-stöden, varav en del framöver kommer att ersättas av andra.

Tullverkets underrättelseregister regleras som nämnts ovan i 9 § tullbrottsdataförordningen. Tullverkets underrättelseregister i den brotts- bekämpande verksamheten (DART) utgör även diarium enligt 5 kap. offentlighets- och sekretesslagen (2009:400), för underrättelseverksam- heten. Brottsutredningsärenden diarieförs i Tullmålsjournalen, se nedan.

I DART behandlas uppgifter bl.a. om händelser, personer, organisa- tioner och transportmedel som kan sättas i samband med allvarlig brottslig verksamhet som det åligger Tullverket att ingripa mot. Vidare ingår uppgifter om transportmedel eller varor som kan antas ha samband med allvarlig brottslig verksamhet samt uppgifter om hjälpmedel, även om uppgifterna kan hänföras till en person som det inte finns någon misstanke mot.

Tullverket har också ett systemstöd för brottsrapportering och utred- ning (BOW). I BOW behandlas uppgifter om misstänkta personer, genomförda beslag och brottsmisstanke. Även tullåklagarbeslut för utredningsärenden finns i BOW.

Tullmålsjournalen (TMJ) är ett diarium för den brottsutredande verksamheten och ett register över gjorda beslag. Registret innehåller uppgifter om misstänkta, aktuellt brott och platsen för detta, varor, beslag samt uppgifter om resultatet av den genomförda förundersökningen (dom eller beslut). När en uppgift läggs in i BOW skapas automatiskt ett nytt ärende i TMJ, som används för registrering, uppföljning, komplettering och statuskontroll av beslagsregistret samt för viss utvinning av statistik.

54

Det finns även ett verktyg (TUDOR) för att hantera uppgifter som efter Prop. 2016/17:91 komplettering ska föras över från TMJ till andra myndigheters register,

såsom Polismyndighetens misstankeregister och även för att föra över information till Åklagarmyndighetens systemstöd CåBra. Misstanke- statistiken nyttjas internt och levereras även till Brottsförebyggande rådet (BRÅ).

Systemet EnVis används av Tullverket för registrering och utfärdande av strafförelägganden och förs med stöd av förordningen (1997:902) om register över strafförelägganden.

Det finns också system som Tullverket använder som inte tillhör Tullverket, såsom EU:s tullinformationssystem (TIS) vilket beskrivs närmare i avsnitt 5.4. Det är bara Tullverket som i Sverige har rätt att föra in uppgifter i systemet. Tullverket är personuppgiftsansvarigt för TIS i Sverige samt för de föreskrivna säkerhetsåtgärderna.

SIENA är Europols informationssystem. Tullverket lämnar och hämtar uppgifter inom ramen för Europols verksamhetsområde, dvs. i både underrättelseverksamhet och brottsutredningar. Se mer i avsnitt 5.4.

TDS är Tullverkets datasystem för klarering av import- och export- ärenden och för att debitera tull och skatter och som alltså inte gäller den brottsbekämpande verksamheten. Systemet kommer att ersättas av TESS, som står för Tullverkets elektroniska systemstöd (i varuflödet). Systemet förs med stöd av lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. I 4 a § förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet finns det en bestämmelse som medger att uppgifter på begäran lämnas ut till de enheter inom Tullverket som arbetar med brottsbekämpande verksamhet.

6.2Informationsutbyte med andra myndigheter och organisationer

Polismyndigheten

 

Tullverket har via polisens multifråga (PMF) direktåtkomst till miss-

 

tankeregistret, belastningsregistret, allmänna spaningsregistret, vägtrafik-

 

registret, efterlysta personer inom EU (NEPU) och signalement (SIGN).

 

Tullverket har även direktåtkomst till Schengens informationssystem

 

(SIS), som också förs av Polismyndigheten. Vidare har Tullverket rätt att

 

på begäran få ut uppgifter från passregistret om det behövs i verksamhet

 

för att förebygga, upptäcka och utreda brott.

 

I vägtrafikregistret, som förs av Transportstyrelsen, finns uppgifter om

 

i Sverige registrerade fordon, körkort och flygcertifikat samt utfärdade

 

körkortstillstånd och parkeringsanmärkningar. Vid sökning i registret

 

sker samtidig sökning i EF-registret över efterlysta fordon som förs av

 

Transportstyrelsen på uppdrag av Polismyndigheten. EF-registret inne-

 

håller uppgifter om efterlysta fordon, registreringsskyltar och skyltar för

 

beskickningsfordon. Ett fordon kan även spärras i registret om det kan

 

sättas i samband med brottslig verksamhet. Tullverket har direktåtkomst

 

till EF-registret.

 

Tullverket har vidare en sambandsman placerad vid Polismyndigheten

 

och det sker ett omfattande informationsutbyte mellan myndigheterna.

55

 

Prop. 2016/17:91

56

Kustbevakningen

Tullverket har rätt till direktåtkomst till vissa uppgifter i Kustbevak- ningens informations- och beslutsstödsystem (KIBS). KIBS är ett system hos Kustbevakningen för planering, genomförande och uppföljning av den operativa verksamheten. I KIBS läggs patrullplaneringar in varefter enheterna kompletterar med information om vad som blivit utfört. Där förs även in de observationer och kontroller som genomförts under patrullen liksom dagböcker från bl.a. vakthavande befäl. I KIBS finns också ett fartygsregister som gör det möjligt att se om ett fartyg blivit utsatt för några kontroller eller andra åtgärder och om/när det besökt svensk hamn, skiftat besättning, lämnat förhandsanmälan osv. Inom räddningstjänstområdet dokumenteras alla operationer i KIBS, dvs. planering, genomförande och uppföljning. Tullverket utbyter även information med Kustbevakningen inom flera olika samverkansprojekt.

Åklagarmyndigheten

När Tullverket utreder brott ansvarar verket för all dokumentation från förundersökningen. Beroende på vilket brott som utreds är Tullverket eller åklagare förundersökningsledare. I de förundersökningar som leds av en åklagare sker ett löpande informationsutbyte mellan åklagaren och de tjänstemän vid Tullverket som genomför förundersökningen.

Vissa brottsutredningar kräver, förutom ett nationellt informations- utbyte med polis och åklagare, även ett internationellt informationsutbyte vilket bl.a. sker i gemensamma utredningsgrupper.

Tullverket är enligt 9 § strafföreläggandekungörelsen (1970:60) skyl- digt att lämna uppgifter om utfärdade strafförelägganden till Åklagar- myndigheten. Tullverket är beroende av återrapportering från Åklagar- myndigheten eller domstol avseende beslut eller dom rörande de brottsutredningar och brottmål som initierats efter rapport från Tull- verket. Detta behövs för att Tullverket ska kunna fullgöra åter- rapporteringskrav från regeringen, uppfylla interna behov av uppföljning och kvalitetssäkring samt genomföra effektiviseringar avseende informa- tionsutbyte inom myndigheten samt mellan myndigheterna.

Enligt åklagardatalagen (2015:433) får bl.a. Tullverket medges direkt- åtkomst till uppgifter som är gemensamt tillgängliga i åklagarväsendets operativa verksamhet.

Domstolarna

För att kunna fullgöra myndighetens återrapporteringskrav gentemot regeringen och för att Tullverket ska kunna skicka respektive ta emot information på ett effektivt sätt har Tullverket behov av information från domstolarna. I första hand gäller det återrapportering av domstols- avgöranden i mål som avser brott där Tullverket lett eller biträtt förundersökningen. Återrapportering krävs också för att Tullverket skyndsamt ska kunna fullgöra sin skyldighet att lämna ut hävda beslag eller förverka beslag.

Myndigheter i samverkan för digitalisering av rättsväsendet

Sedan flera år bedriver Tullverket tillsammans med flera myndigheter inom rättsväsendet (Brottsförebyggande rådet, Brottsoffermyndigheten, Domstolsverket, Ekobrottsmyndigheten, Kriminalvården, Kustbevak- ningen, Polismyndigheten, Rättsmedicinalverket, Skatteverket och Åkla- garmyndigheten) ett långsiktigt arbete med att utveckla ett elektroniskt informationsutbyte i brottmålshanteringen. Arbetet innebär främst att skapa ett elektroniskt informationsflöde som möjliggör att viss informa- tion kan återanvändas av andra myndigheter i rättskedjan. Härigenom blir det möjligt att lättare följa ett ärende från anmälan till verkställd dom.

Myndigheter i samverkan mot organiserad brottslighet m.m.

Inom ramen för den myndighetsgemensamma satsningen mot organise- rad brottslighet samverkar Tullverket med Ekobrottsmyndigheten, Kriminalvården, Kronofogdemyndigheten, Kustbevakningen, Polis- myndigheten, Skatteverket, Säkerhetspolisen, Åklagarmyndigheten, Försäkringskassan, Migrationsverket och Arbetsförmedlingen.

Samverkan sker på nationell nivå i Nationella underrättelsecentret (NUC), vilket är ett samverkanscenter. Inom NUC sker ett utbyte av erfarenheter om metodfrågor och underrättelseinformation mellan de myndigheter som ingår i satsningen. Det finns även regionala under- rättelsecentrum (RUC), för närvarande på åtta platser i landet. Tullverket deltar med en underrättelsehandläggare eller motsvarande vid alla RUC. Inom RUC delas operativ underrättelseinformation. Från RUC får Tullverket tillbaka underrättelseinformation om kriminella nätverk. Arbetet inom RUC är ärendebaserat och underrättelseverksamheten syftar till att ta fram och bereda ärendet så att det kan leda till förunder- sökningar eller vidtagande av operativa insatser.

Tullverket har även nationell och regional samverkan med andra brottsbekämpande myndigheter som ligger utanför satsningen.

Lagändringar på området har trätt i kraft den 15 augusti 2016. En lag om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet (2016:774) och sammanhörande förordning har införts, se mer i avsnitt 10.3.

Myndigheter i samverkan mot terrorism

Samverkansrådet mot terrorism är ett samarbete mellan fjorton svenska myndigheter, som syftar till att stärka Sveriges förmåga att motverka terrorism. Där deltar Polismyndigheten, Säkerhetspolisen, Försvars- makten, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Myndigheten för samhällsskydd och beredskap (MSB), Kustbevak- ningen, Tullverket, Ekobrottsmyndigheten, Migrationsverket, Strålsäker- hetsmyndigheten, Kriminalvården, Åklagarmyndigheten och Transport- styrelsen.

Samverkansrådet har utvecklats till ett effektivt forum för myndighets- samverkan för att förbättra förmågan att förhindra terroristattentat. Samverkansrådet utgör dessutom ett nav i samverkan inom områdena förebygga terrorism och förbereda oss för det fall ett attentat inträffar. Samverkansrådet har genomfört gemensamma övningar och utbildningar

Prop. 2016/17:91

57

Prop. 2016/17:91 samt varit ett viktigt forum för informationsutbyte mellan myndig- heterna.

Som har redogjorts för i avsnitt 5.4 har Tullverket även ett omfattande internationellt informationsutbyte.

6.3Begreppsbildningen vid elektroniskt utlämnande

6.3.1Olika former av elektroniskt utlämnande av uppgifter

I många författningar om behandling av personuppgifter regleras frågor om sättet för utlämnande av personuppgifter i elektronisk form genom särskilda bestämmelser. Enligt gängse begreppsbildning kan person- uppgifter lämnas ut i elektronisk form antingen på s.k. medium för automatiserad behandling eller genom direktåtkomst.

Utlämnande på medium för automatiserad behandling innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om uppgifter kan lämnas ut och vilka uppgifter som ska lämnas. En eventuell sekre- tessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet. Utlämnande av uppgifter kan även ske genom direktåtkomst. Vid direktåtkomst fattas beslutet om överföring i varje enskilt fall av mot- tagaren. Sekretessprövningen hos den utlämnande myndigheten måste därför ske redan då uppgifterna görs tillgängliga för direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem.

Av dessa olika varianter av elektroniskt utlämnande är direktåtkomst den mest integritetskänsliga. Denna fråga kommer därför att beröras mer ingående i det följande.

 

6.3.2

Begreppet direktåtkomst

 

Det finns ingen legaldefinition av begreppet direktåtkomst. Den grund-

 

läggande innebörden av begreppet är att någon har direkt tillgång till

 

någon annans uppgiftssamling och på egen hand kan söka efter

 

information, men utan att kunna påverka innehållet i uppgiftssamlingen.

 

Högsta förvaltningsdomstolen har i ett avgörande (HFD 2015 ref. 61)

 

som gällde socialnämndernas åtkomst till uppgifter i socialförsäkrings-

 

databasen, ansett att gränsdragningen mellan vad som är direktåtkomst i

 

socialförsäkringsbalkens mening och annat utlämnande på medium för

 

automatiserad behandling beror på om den aktuella upptagningen kan

 

anses

förvarad hos den mottagande myndigheten enligt 2 kap. 3 §

 

tryckfrihetsförordningen, dvs. om den är tillgänglig för myndigheter med

 

tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i

 

sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. I det

 

aktuella fallet förutsatte ett utlämnande att Försäkringskassan reagerade

 

på en begäran om att de efterfrågade uppgifterna skulle lämnas ut.

 

Försäkringskassan fick därigenom anses förfoga över frågan om och i så

 

fall vilka uppgifter som skulle lämnas ut. Högsta förvaltningsdomstolen

58

ansåg

därför att socialnämnderna inte kunde anses ha någon sådan

 

 

teknisk tillgång till upptagningar som avses i 2 kap. 3 § tryckfrihetsför- Prop. 2016/17:91 ordningen. Detta innebar enligt Högsta förvaltningsdomstolen att

förfarandet inte var att betrakta som direktåtkomst enligt socialförsäk- ringsbalken.

I begreppet direktåtkomst ligger också att den som är personuppgifts- ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar således inte beslut om utlämnande av de uppgifter som den som har direkt- åtkomst tar del av i varje enskilt fall. I stället måste som angetts ovan en förhandsprövning göras av förutsättningarna för utlämnande. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst. Den faktiska begränsningen av direkt- åtkomsten görs sedan med hjälp av olika tekniska lösningar, beroende på hur omfattningen av direktåtkomsten har begränsats i det enskilda fallet, exempelvis genom olika behörighetsnivåer. Det är den personuppgifts- ansvariga myndigheten som ska se till att åtkomsten rent faktiskt begränsas på det sätt som föreskrivs.

Vid författningsreglering av direktåtkomst till uppgifter anges ofta att någon får ha direktåtkomst. Innebörden av detta är inte att den eller de angivna myndigheterna har en ovillkorlig rätt att få ut uppgifterna, utan att den myndighet som innehar informationen får medge sådan åtkomst om den vill det och inte annan lagstiftning, t.ex. om sekretess, hindrar det, se närmare i avsnitt 15.5.3. Den utlämnande myndigheten har ett principiellt ansvar att förvissa sig om att den myndighet som beviljas direktåtkomst vidtar de åtgärder som bedöms vara nödvändiga från säkerhetssynpunkt.

7En ny lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

7.1Det behövs ny lagstiftning

Regeringens förslag: En ny lag ska införas som ersätter lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans har några invändningar mot

förslaget. Sveriges advokatsamfund anser dock att det borde tas ett samlat grepp avseende myndigheters hantering av personuppgifter, t.ex. genom en gemensam lag. Samfundet hänvisar härvid till de synpunkter av samma slag som det framförde vid remissbehandlingen av polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145).

59

Prop. 2016/17:91

60

Skälen för regeringens förslag

Allmänt om reformbehovet

Enligt Tullverkets regleringsbrev från regeringen ska brottsbekämp- ningen inriktas mot att begränsa den organiserade och storskaliga brottsligheten. Tullverket ska bidra till att minska antalet kriminella nätverk som ägnar sig åt narkotika-, alkohol- eller tobakssmuggling eller ekonomisk brottslighet (se t.ex. Regleringsbrev för budgetåret 2016 avseende Tullverket, dnr Fi2015/05629/S3).

Informationshantering utgör en central del i Tullverkets brottsbekäm- pande verksamhet. En väl utnyttjad informationsteknik är av stor bety- delse och en förutsättning för myndighetens möjligheter att bedriva sin brottsbekämpande verksamhet på ett effektivt sätt. Samtidigt måste informationshanteringen ske med respekt för enskildas personliga inte- gritet.

Ett effektivt brottsbekämpande arbete förutsätter att de brottsbekäm- pande myndigheterna har goda möjligheter att samla in, bearbeta och utbyta information av olika slag. Tullverket behöver liksom andra myn- digheter medverka i den samverkan mellan brottsbekämpande myndig- heter som grundar sig på uppdrag från regeringen.

Den ökade samverkan mellan framför allt brottsbekämpande myndig- heter underlättas kraftigt av att dessa myndigheters registerförfattningar stämmer överens när det gäller hur personuppgifter får behandlas och lämnas ut. Den allmänna utgångspunkten bör vara att hanteringen av personuppgifter inom det brottsbekämpande området i Sverige är enhet- lig oavsett på vilken myndighet detta arbete ankommer. På det sättet blir det också enklare för myndigheterna att samarbeta i fråga om informa- tionsteknik och på ett kostnadseffektivt sätt tillgodogöra sig de fördelar som tekniken kan ge.

I dag finns det en diskrepans mellan reglerna i den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, kallad tullbrottsdatalagen, och de modernare reglerna i polisdatalagen och kustbevakningsdatalagen, som försvårar för Tull- verket att samverka fullt ut i sin brottsbekämpande verksamhet. Trenden att även allt fler icke brottsbekämpande myndigheter deltar i den brotts- bekämpande samverkan ställer också nya krav på den lagstiftning som styr behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet.

För att myndighetsöverskridande samverkan mot brott ska fungera och vara effektiv krävs därför enligt regeringens mening att den nuvarande tullbrottsdatalagen anpassas till den utveckling som har skett och den lagstiftning på motsvarande område som nu finns för andra myndigheter med brottsbekämpande verksamhet.

Den nuvarande tullbrottsdatalagen har även medfört en del tillämp- ningsproblem och är generellt i behov av kompletteringar och modernise- ringar för att skapa förutsättningar för en effektiv brottsbekämpning. Det föreligger t.ex. skillnader i begreppsanvändning, såsom att begreppet databas som återfinns i tullbrottsdatalagen i de modernare registerför- fattningarna har ersatts av uttrycket ”gemensamt tillgängliga uppgifter” (se avsnitt 14.1). Vidare gäller t.ex. inte den s.k. finalitetsprincipen som regleras i 9 d § personuppgiftslagen (1998:204) vid tillämpning av

tullbrottsdatalagen, i motsats till de flesta andra registerförfattningar. Tullbrottsdatalagen innehåller också detaljerade bestämmelser om den interna hanteringen av uppgifter som inte har någon motsvarighet i t.ex. polisdatalagen eller kustbevakningsdatalagen, och som regeringen anser behöver ses över.

Regeringen har sedan tidigare ansett det angeläget att Tullverket har samma möjligheter som andra brottsbekämpande myndigheter att behan- dla personuppgifter, se t.ex. propositionen Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete (prop. 2012/13:73 s. 63).

I detta sammanhang finns också anledning att nämna arbetet med att digitalt sammanlänka rättskedjan (RIF-arbetet). Rättsväsendets myndig- heter bedriver på uppdrag från regeringen ett omfattande arbete för att utveckla brottmålshanteringen, framför allt genom att skapa möjligheter att utbyta information elektroniskt. Involverade myndigheter är Polis- myndigheten, Åklagarmyndigheten, Domstolsverket, Kriminalvården, Ekobrottsmyndigheten, Skatteverket, Brottsförebyggande rådet, Tull- verket, Kustbevakningen, Rättsmedicinalverket och Brottsoffermyndig- heten. Arbetet syftar till att skapa ett elektroniskt informationsflöde genom hela rättskedjan. Den pågående utvecklingen skapar alltså goda möjligheter att ytterligare effektivisera myndigheternas verksamheter. Även detta arbete främjas av en modernisering av regelverket.

Den moderniserade polisdatalagen har på senare tid fått utgöra modell i fråga om innehåll, systematik och struktur när författningsförslag om behandling av personuppgifter i andra delar av rättsväsendet utarbetats. I avsnitt 7.2 behandlas frågan om polisdatalagen bör utgöra modell även för nu aktuell ny lagstiftning.

Det behövs en lag

Personuppgiftslagen gäller generellt för all behandling av personupp- gifter, såvida det inte finns avvikande regler i lag eller förordning. I lagstiftningsärendet som föregick personuppgiftslagen uttalade rege- ringen att lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får till- godoses genom andra författningar, se propositionen Personuppgiftslag (prop. 1997/98:44 s. 40 f.). Sådan författningsreglering, främst i form av s.k. registerförfattningar, har skett utifrån det principiella ställnings- tagandet att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör regleras i lag.

Enligt 2 kap. 6 § andra stycket regeringsformen ska var och en gent- emot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får begränsas i lag och bara i den ordning som föreskrivs i 2 kap. regeringsformen. Bestämmelsen trädde i kraft den 1 januari 2011. Av- görande för om en åtgärd ska anses innebära övervakning eller kart- läggning är inte dess huvudsakliga syfte utan vilken effekt åtgärden har, se propositionen En reformerad grundlag (prop. 2009/10:80 s. 250). Som exempel på åtgärder som kan anses innebära kartläggning anges i propo- sitionen som ligger till grund för bestämmelsen bl.a. registrering i polisens register (s. 180). Vid bedömningen av vad som kan anses utgöra

Prop. 2016/17:91

61

Prop. 2016/17:91 ett betydande intrång ska vägas in uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra (s. 184).

Regeringen bedömer att en stor del av den behandling av personupp- gifter som måste ske i Tullverkets brottsbekämpande verksamhet kan vara av sådan karaktär att den faller under det förbud mot integritets- intrång som följer av 2 kap. 6 § andra stycket regeringsformen. Det krävs enligt 2 kap. 20–22 §§ regeringsformen reglering i lag för att begränsa skyddet mot integritetsintrång och tillåta den behandling av person- uppgifter som måste ske i Tullverkets brottsbekämpande verksamhet. Därför föreslår regeringen att den huvudsakliga behandlingen av person- uppgifter i Tullverkets brottsbekämpande verksamhet, liksom i dag, regleras i lag.

Enligt 2 kap. 21 § regeringsformen får sådana begränsningar i lag göras endast för att tillgodose ändamål som är godtagbara i ett demo- kratiskt samhälle och aldrig gå utöver vad som är nödvändigt med hän- syn till det ändamål som har föranlett den. Det är därmed av stor vikt att de förslag som läggs fram i detta avseende uppfyller de nämnda kraven, vilket regeringen bedömer att de gör. I följande avsnitt och vid de enskilda förslagen redovisas närmare de bedömningar av bl.a. integritets- aspekter och proportionalitet som har gjorts.

Sveriges advokatsamfund anser att det borde tas ett samlat grepp avse- ende myndigheters hantering av personuppgifter, t.ex. genom en gemen- sam lag. Regeringen har inte för avsikt att i detta lagstiftningsärende föreslå något sådant. Frågor av detta slag behandlas i betänkandet Myndighetsdatalag (SOU 2015:39). I betänkandet föreslås en myndig- hetsdatalag som kan gälla generellt för alla statliga och kommunala myndigheters personuppgiftsbehandling, dock inte brottsbekämpande verksamhet. Betänkandet har remitterats och bereds för närvarande i Regeringskansliet.

Förslag

Regeringen bedömer således sammanfattningsvis att det finns behov av ändrade regler på området för behandlingen av personuppgifter i Tullverkets brottsbekämpande verksamhet och föreslår att den nuvarande tullbrottsdatalagen ska ersättas av en ny lag.

7.2Allmänna utgångspunkter

Regeringens bedömning: Den nya lagen bör i möjligaste mån ha samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen, såvida inte särskilda skäl talar för annat.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen anger att promemorians förslag till ny tullbrottsdatalag i allt väsentligt har samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen. Data-

inspektionen anser att det naturligtvis finns vinster med en så likartad

62

reglering som möjligt, men att promemorian i många fall tycks utgå från att Tullverkets behov att behandla personuppgifter i den brottsbekäm- pande verksamheten per automatik är desamma som för exempelvis polisen. Behovet av personuppgiftsbehandling anses i promemorian ofta, utan någon närmare redovisad analys, väga tyngre än enskildas rätt till integritetsskydd. Mot den bakgrunden och med hänsyn till det integri- tetsskydd som var och en är tillförsäkrad gentemot det allmänna i 2 kap. 6 § andra stycket regeringsformen bör det i det fortsatta lagstiftnings- ärendet tydligare redogöras för hur de olika författningsförslagen kan komma att påverka enskildas personliga integritet och hur dess effekter ska vägas mot Tullverkets behov av att behandla personuppgifter i den brottsbekämpande verksamheten.

Bl.a. Kammarrätten i Sundsvall, Ekobrottsmyndigheten, Rikspolis- styrelsen, Migrationsverket och Sveriges advokatsamfund är uttryckligen positiva till bedömningen och övriga remissinstanser har inga invänd- ningar mot bedömningen.

Skälen för regeringens bedömning: En utgångspunkt vid utform- ningen av förslag till en ny lag för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet bör enligt regeringens mening vara att skapa en så flexibel och teknikneutral lagstiftning som möjligt.

För att åstadkomma detta bör lagen innehålla ramarna och de grund- läggande principerna för den automatiserade behandlingen av person- uppgifter som förekommer i Tullverkets brottsbekämpande verksamhet. Med en sådan lagstiftning skapas möjligheter bl.a. för en utvecklad och fortsatt samverkan mellan Tullverket och andra myndigheter samtidigt som den personliga integriteten värnas. Vidare måste det ställas höga krav på kontroll och tillsyn av verksamheten, både internt och externt.

En allmän utgångspunkt för en ny lag bör vidare vara att den motsvarar vad som gäller för Polismyndighetens brottsbekämpande verksamhet, om det är motiverat från effektivitetssynpunkt och godtagbart från integri- tetsskyddssynpunkt. Med en enhetlig lagstiftning blir integritetsskyddet likartat i brottsbekämpande verksamhet oavsett vilken myndighet som bedriver den. Det gör bl.a. att metoder för att i enlighet med lagen skydda enskildas integritet som utarbetats vid en myndighet med brottsbekäm- pande verksamhet kan överföras till andra myndigheter med sådan verksamhet. Detta kan också leda till ett i praktiken bättre integritets- skydd än vad som hade varit möjligt med skilda integritetsskyddande regler för olika brottsbekämpande verksamheter.

Regleringen av de brottsbekämpande myndigheternas behandling av personuppgifter bör om möjligt vara enhetlig också för att skapa goda förutsättningar för samarbete och effektivitet i verksamheten. En hög grad av enhetlighet i den brottsbekämpande verksamheten leder också till bättre förutsebarhet för enskilda.

En ny lag bör således i möjligaste mån ha samma sakliga innehåll och systematik som polisdatalagen och även kustbevakningsdatalagen, som uppvisar stora likheter med polisdatalagen, detta såvida inte särskilda skäl talar för annat. Det kan påminnas om att Tullverket liksom Polis- myndigheten och Kustbevakningen har polisiära befogenheter och i uppdrag att utreda och beivra brott. Verksamheterna har således stora likheter, även om det naturligtvis också finns stora skillnader. I den mån en annan struktur än den som polisdatalagen och kustbevakningsdata-

Prop. 2016/17:91

63

Prop. 2016/17:91

lagen har framstår som mer pedagogisk och ändamålsenlig kan det finnas

 

skäl att i den nya lagen göra avvikelser från strukturen i dessa lagar. Det

 

finns också skäl att göra vissa jämförelser med den relativt nyligen

 

införda åklagardatalagen (2015:433).

 

Datainspektionen anser att det naturligtvis finns vinster med en så

 

likartad reglering som möjligt, men att promemorian i många fall tycks

 

utgå från att Tullverkets behov att behandla personuppgifter i den

 

brottsbekämpande verksamheten per automatik är desamma som för

 

exempelvis polisen. Datainspektionen anser att det med hänsyn till det

 

integritetsskydd som var och en är tillförsäkrad gentemot det allmänna i

 

2 kap. 6 § andra stycket regeringsformen bör redogöras tydligare för hur

 

de olika författningsförslagen kan komma att påverka enskildas person-

 

liga integritet och hur dess effekter ska vägas mot Tullverkets behov av

 

att behandla personuppgifter i den brottsbekämpande verksamheten.

 

Regeringen vill med anledning av detta framföra följande. Utgångs-

 

punkten för utformningen är att regleringen ska likna den som gäller i

 

polisdatalagen. Ovan framgår skälen för detta. Den för Tullverket

 

föreslagna regleringen är dock utformad utifrån Tullverkets behov.

 

Behoven kan i vissa fall vara desamma som för t.ex. Polismyndigheten,

 

varvid den föreslagna regleringen kommer att få samma utseende, och i

 

vissa andra fall kan den avvika, varvid avvikande bestämmelser föreslås.

 

I samband med varje förslag framgår skälen för förslaget. I avsnitt 7.1

 

ovan redovisas regeringens inställning avseende förenligheten med

 

2 kap. 6 § regeringsformen.

 

7.3

Lagens namn

 

 

 

Regeringens förslag: Lagen ska heta tullbrottsdatalagen.

 

 

 

Promemorians förslag: Överensstämmer med regeringens förslag.

 

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över

 

förslaget.

 

 

Skälen för regeringens förslag: Regeringen föreslår i likhet med vad

 

som föreslås i promemorian att den nya lagen ska benämnas tullbrotts-

 

datalagen. Detta namn motsvarar hur den nuvarande lagen ofta benämns,

 

och knyter även an till benämningen på motsvarande lagstiftning för

 

polisen och Kustbevakningen. Namnet tillgodoser vidare de synpunkter

 

som Lagrådet förde fram i lagstiftningsärendet om den nya polisdata-

 

lagen. I lagrådsremissen föreslogs det att den lagen skulle heta lagen om

 

behandling av personuppgifter i polisens brottsbekämpande verksamhet.

 

Lagrådet ansåg dock att det namnet var för långt och intetsägande och

 

inte klargjorde att lagen handlar om registerfrågor, se propositionen

 

Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop.

 

2009/10:85 s. 519). Lagrådet föredrog i stället namnet polisdatalag (eller

 

polisregisterlag). Regeringen hade inget emot detta utan ansåg att det är

 

praktiskt med ett kort namn som ändå ger rimlig vägledning om vad

 

lagen handlar om (prop. 2009/10:85 s. 66).

 

Förslaget innebär att den formella benämningen på de två lagar som

 

styr behandlingen av personuppgifter i Tullverkets verksamhet kommer

64

att skilja sig åt. Det kan dock nämnas att den lag som i dag styr verksam-

heten under Effektiv handel brukar benämnas tulldatalagen. Skäl talar Prop. 2016/17:91 därför snarare för att även den lagen bör få en annan benämning i sam-

band med en eventuell översyn av den. Tullbrottsdatalagen är ett ganska kort och klargörande namn som framstår som den lämpligaste benäm- ningen på lagen, varför regeringen föreslår detta namn.

8 Lagens syfte och tillämpningsområde

8.1Lagens syfte

Regeringens förslag: Syftet med den nya lagen ska vara att ge Tullverket möjlighet att behandla personuppgifter på ett ändamåls- enligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Promemorians förslag: Överensstämmer med regeringens förslag.

Remissinstanserna: Svea hovrätt, Kammarrätten i Sundsvall, Förvaltningsrätten i Göteborg, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Rikspolisstyrelsen, Brottsförebyggande rådet, Kustbevakningen, Försäkringskassan, Pensionsmyndigheten, Skatte- verket, Kronofogdemyndigheten, Lunds universitet, Naturvårdsverket, Sveriges advokatsamfund, Tjänstemännens Centralorganisation TCO och Tull-Kust anger uttryckligen att de är positiva till eller inte har några väsentliga invändningar mot förslagen som presenteras i promemorian.

Migrationsverket och Kustbevakningen har inga invändningar mot förslagen.

Datainspektionen efterlyser en djupare analys och redogörelse för de proportionalitetsbedömningar som gjorts mellan myndigheternas behov av att behandla personuppgifter för brottsbekämpande ändamål och enskildas rätt till skydd för intrång i den personliga integriteten. I promemorian framhålls visserligen att intresset av en effektiv brotts- bekämpning noga bör vägas mot intresset av skydd för den personliga integriteten och att intrånget i den personliga integriteten måste stå i rimlig proportion till det intresse som ska tillgodoses med behandlingen, men detta kommer enligt inspektionen inte till tydligt uttryck i de redovisade författningsförslagen.

Skälen för regeringens förslag: För att Tullverket ska kunna fullgöra sina uppgifter på ett effektivt sätt måste myndigheten ha lagliga förutsättningar att utnyttja ändamålsenlig informationsteknik som gör det möjligt att samla in och i övrigt behandla stora informationsmängder. Det kan gälla uppgifter om misstänkta och vittnen men även andra personer. Förutsättningar måste även finnas att delta i det uppgiftsutbyte som sker inom ramen för de uppdrag om myndighetssamverkan som regeringen gett bl.a. Tullverket, liksom att bedriva annan samverkan.

Uppgifterna måste vid behov kunna tillhandahållas ett större antal personer vid myndigheten på automatiserad väg. Dessutom måste i vissa

65

Prop. 2016/17:91

fall andra myndigheter kunna få tillgång till uppgifter. Uppgifter måste

 

också i vissa fall kunna utbytas med myndigheter i andra länder.

 

Ett utökat uppgiftsutbyte kan dock innebära en risk för intrång i den

 

personliga integriteten. Sådana intrång måste stå i rimlig proportion till

 

det intresse som ska tillgodoses med behandlingen.

 

De grundläggande bestämmelserna till skydd för den personliga inte-

 

griteten finns i regeringsformen. Av förarbetena till 2 kap. 6 § regerings-

 

formen framgår att utgångspunkten för grundlagsregleringen har varit att

 

kränkningen av den personliga integriteten kan sägas utgöra ett intrång i

 

den fredade sfär som den enskilde bör vara tillförsäkrad och där intrång

 

bör kunna avvisas, se propositionen En reformerad grundlag (prop.

 

2009/10:80 s. 175). Regeringen ansåg dock att det inte var nödvändigt att

 

formulera en allmängiltig definition av begreppet för att kunna bedöma

 

vilka intressen det fanns att skydda från omotiverade intrång. Det torde

 

stå klart att vissa faktorer är särskilt viktiga att ta hänsyn till när det

 

gäller att bedöma intrånget i den personliga integriteten vid automatise-

 

rad behandling av personuppgifter. Det gäller arten av de personuppgifter

 

som samlas in och registreras, för vilka ändamål detta görs, hur och av

 

vem uppgifterna används, hur sökning får ske, hur länge uppgifterna

 

sparas samt mängden av uppgifter som samlas på ett och samma ställe

 

eller som på något annat sätt är tillgänglig för bearbetningar och

 

sammanställningar. Stora informationsmängder som är samlade så att

 

uppgifter är enkelt sökbara på elektronisk väg och som används vid

 

myndighetsverksamhet medför typiskt sett en risk för att enskilda

 

personer utsätts för intrång i den personliga integriteten.

 

Rätten till skydd mot betydande intrång i den personliga integriteten

 

enligt 2 kap. 6 § andra stycket regeringsformen är inte absolut. Rättig-

 

heten får begränsas i lag enligt de förutsättningar som framgår av 2 kap.

 

21 och 22 §§ regeringsformen. En begränsning av rätten till skydd mot

 

sådana integritetsintrång får ske endast för att tillgodose ett ändamål som

 

är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad

 

som är nödvändigt med hänsyn till det ändamål som har föranlett den. Av

 

Europadomstolens praxis följer för övrigt att en liknande proportionali-

 

tetsprincip också gäller enligt artikel 8 i europeiska konventionen av

 

den 4 november 1950 om skydd för de mänskliga rättigheterna och de

 

grundläggande friheterna (kallad Europakonventionen), som reglerar

 

rätten till skydd för privat- och familjeliv.

 

Den närmare utformningen av de nya bestämmelserna måste alltså

 

föregås av en avvägning mellan å ena sidan intresset av en effektiv

 

verksamhet och å andra sidan intresset av skyddet för den personliga

 

integriteten.

 

Vid den avvägningen finns det anledning att hålla i minnet att de

 

personuppgifter som kan bli aktuella att behandla i Tullverkets brotts-

 

bekämpande verksamhet kan vara särskilt integritetskänsliga, dels därför

 

att de kan peka ut personer såsom misstänkta för brott, dels därför att de

 

inte sällan rör enskildas personliga sfär såsom saker de bär med sig. Den

 

enskilde kan uppleva redan det förhållandet att många uppgifter om hans

 

eller hennes privata förhållanden kan komma att sammanställas och

 

göras tillgängliga för dem som arbetar med det aktuella ärendet som ett

 

allvarligt integritetsintrång. Nedan redovisas några utgångspunkter för

66

avvägningen mellan Tullverkets behov av att behandla personuppgifter i

den brottsbekämpande verksamheten och skyddet för den personliga integriteten.

Det är viktigt att den nya lagen tydligt anger för vilka ändamål behand- ling av personuppgifter får ske. Särskilda bestämmelser som begränsar möjligheterna att behandla s.k. känsliga personuppgifter, dvs. uppgifter som avslöjar t.ex. etniskt ursprung eller politiska åsikter, bör även fortsättningsvis finnas för att upprätthålla skyddet för den personliga integriteten. I lagen bör det vidare införas mer inskränkande bestäm- melser för behandling av personuppgifter som görs tillgängliga för en större krets av tjänstemän än när uppgifterna är åtkomliga för enbart ett fåtal personer. För att Tullverket ska kunna bedriva ett effektivt arbete i syfte att förebygga, förhindra och upptäcka brottslig verksamhet förut- sätts att Tullverket kan behandla uppgifter om personer som inte är misstänkta för något konkret brott men som ändå misstänks ägna sig åt allvarligare brottslig verksamhet, s.k. traditionell underrättelseverk- samhet. Ur ett integritetsskyddsperspektiv bör större restriktivitet gälla för behandling av uppgifter som inte har samband med ett konkret brott. Från integritetsskyddssynpunkt är det vidare viktigt att det inte uppstår oklarheter om huruvida en person som en uppgift rör är misstänkt för brott eller inte. I den nya lagen bör det därför regleras att det ska framgå om personen är misstänkt eller inte. Även tillförlitligheten av behandlade uppgifter bör kunna utläsas, t.ex. om informationen består av kontrolle- rade fakta eller bara obekräftade påståenden. Regler om sökning, sammanställning och gallring bör också utformas så att skyddet för den personliga integriteten upprätthålls.

Större enhetlighet i regelverket för brottsbekämpande myndigheter leder vidare till ökad förutsebarhet vilket är av vikt ur ett integritets- skyddsperspektiv.

I 1 § personuppgiftslagen (1998:204) finns det en bestämmelse som anger den lagens syfte. Syftet är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. I likhet med polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145) bör enligt regeringens mening den nya lagen innehålla en bestämmelse i vilken anges att ett av lagens syften är att skydda män- niskor mot att deras personliga integritet kränks. Som nämnts i det föregående finns det emellertid även andra intressen som ska vägas mot detta skydd. En inledande bestämmelse bör därför även ge uttryck för att lagens syfte är att ge Tullverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet.

Datainspektionen efterlyser en djupare analys och redogörelse för de proportionalitetsbedömningar som gjorts mellan myndigheternas behov av att behandla personuppgifter för brottsbekämpande ändamål och enskildas rätt till skydd för intrång i den personliga integriteten. Regeringen vill med anledning av detta påminna om att den nya lagstiftning som nu föreslås i de delar som Datainspektionen nu lyfter i stort motsvarar de regler som redan gäller i dag för Tullverkets brottsbekämpande verksamhet. Förutom ovan beskrivna överväganden om myndighetens behov och integritetsaspekter följer dock närmare överväganden vid varje enskilt förslag, vilka presenteras i det följande.

Regeringen föreslår således att det införs en bestämmelse som anger att syftet med lagen är att ge Tullverket möjlighet att behandla personupp-

Prop. 2016/17:91

67

Prop. 2016/17:91 gifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling.

Förslaget genomförs genom 1 kap. 1 § i den nya lagen.

8.2Lagens tillämpningsområde

Regeringens förslag: Den nya lagen ska i likhet med nuvarande lag gälla vid Tullverkets behandling av personuppgifter i den brottsbekäm- pande verksamheten, om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I likhet med vad som gäller för nuvarande lag ska avvikande bestäm- melser om behandling av personuppgifter i lagen om internationellt polisiärt samarbete och lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar, gälla i stället för den nya lagen.

Vissa bestämmelser i den nya lagen ska gälla även vid behandling av uppgifter om juridiska personer.

Det ska finnas en bestämmelse som upplyser om lagens innehåll.

Promemorians förslag: Överensstämmer delvis med regeringens förslag. Promemorians förslag innehåller även en bestämmelse om att ifall det i en annan lag än personuppgiftslagen eller i en förordning finns bestämmelser som hindrar en behandling av personuppgifter som är tillåten enligt den nya lagen, ska de bestämmelserna gälla. Promemorians förslag innehåller också en upplysningsbestämmelse om att det i lagen även finns bestämmelser om vissa skyldigheter för myndigheter som har direktåtkomst till uppgifter i Tullverkets brottsbekämpande verksamhet. Promemorians förslag är också något annorlunda utformade.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över för- slagen.

Skälen för regeringens förslag

Verksamhet som omfattas av lagen

Som framgår av avsnitt 5.3 består Tullverkets verksamhet av Effektiv handel och brottsbekämpande verksamhet. Den nya lagen bör bara omfatta behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Den verksamhet som omfattas är alltså den som sker för att förebygga, upptäcka, förhindra, utreda och beivra brottslighet som Tull- verket har i uppdrag att bekämpa, inklusive fullföljande av Tullverkets internationella åtaganden med koppling till sådant. I fråga om verksam- heten under Effektiv handel, där det inte föreligger någon misstanke om brott eller brottslig verksamhet, gäller i stället lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och tillhörande förord- ning.

68

Utanför lagens tillämpningsområde faller även sådan behandling av personuppgifter som kan förekomma i Tullverkets verksamhet i samband med interna och administrativa åtgärder, t.ex. vid hantering av personal- och lokalfrågor. För behandling av personuppgifter i den verksamheten gäller i stället personuppgiftslagen.

Tillämpningsområdet för den nya lagen i fråga om vilken verksamhet hos Tullverket som omfattas är alltså detsamma som för den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekäm- pande verksamhet, kallad tullbrottsdatalagen, se propositionen Tull- verkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 112 f.).

Behandling som omfattas av lagen

– Automatiserad och viss manuell behandling av personuppgifter

Den nya lagen bör, liksom den nuvarande tullbrottsdatalagen, polis- datalagen och kustbevakningsdatalagen, gälla för sådan behandling av personuppgifter som omfattas av personuppgiftslagen, dvs. behandling av personuppgifter som är helt eller delvis automatiserad samt annan behandling av personuppgifter om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Även insamling av personuppgifter vid digital inspelning av ljud och bild omfattas t.ex. av tillämpningsområdet.

Med behandling avses enligt 3 § personuppgiftslagen varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, bearbetning, ändring, utlämnande m.m.

– Uppgifter om juridiska personer

Med personuppgifter avses enligt 3 § personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att behandling av uppgifter om juridiska personer och avlidna inte omfattas av personuppgiftslagen.

Tullverket behandlar i sin brottsbekämpande verksamhet stora mäng- der uppgifter som rör andra än levande fysiska personer, t.ex. uppgifter om företag, myndigheter och andra organisationer. Uppgifter om juridiska personer finns i stor utsträckning redan i offentliga register, bl.a. hos Bolagsverket. Det förekommer att juridiska personer används som brottshjälpmedel. Det är inte sällan juridiska personer som äger fartyg eller andra transportmedel som åker över Sveriges gräns. Vid utredning och kartläggning av brott är sökning på firma eller organi- sationsnummer för att hitta samband och kopplingar mellan olika personer en viktig del i Tullverkets brottsbekämpande arbete.

Den nya lagen bör enligt regeringens mening, liksom den nuvarande tullbrottsdatalagen och även polisdatalagen och kustbevakningsdata- lagen, i vissa avseenden gälla också för behandling av uppgifter om juridiska personer. Även om juridiska personer inte har samma behov av integritetsskydd som fysiska personer, bör vissa grundläggande bestäm- melser tillämpas även på uppgifter om juridiska personer. En av orsakerna till detta är att det kan vara svårt att i den elektroniska hante- ringen skilja uppgifter om juridiska personer från uppgifter om fysiska

Prop. 2016/17:91

69

Prop. 2016/17:91

70

personer som är ägare av eller ställföreträdare för dessa. Det blir enklare att låta vissa grundläggande bestämmelser gälla generellt för uppgifter om levande fysiska personer och juridiska personer.

Vissa bestämmelser i polisdatalagen och kustbevakningsdatalagen om tillgången till personuppgifter, ändamålen för behandlingen, gemensamt tillgängliga personuppgifter och bevarande och gallring gäller även vid behandling av uppgifter om juridiska personer, vilket i huvudsak också motsvarar vad som gäller enligt den nuvarande tullbrottsdatalagen. Motsvarande bestämmelser i den nya lagen bör därför enligt regeringens mening gälla även för uppgifter om juridiska personer.

När det gäller frågan om personuppgiftsansvar anges i 10 § den nuvarande tullbrottsdatalagen att Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför, om inte annat framgår av särskild lag eller förordning, och att motsvarande personuppgiftsansvar gäller för behandling av uppgifter om juridiska personer. Den uttryckliga regleringen av ansvaret för juridiska personer infördes av tydlighetsskäl (prop. 2004/05:164 s. 58).

Också i kustbevakningsdatalagen finns en reglering av ansvaret för behandling av uppgifter om juridiska personer, dock med en annan författningsteknisk lösning, nämligen genom en hänvisning i bestämmel- sen som nu behandlas i detta avsnitt (1 kap. 3 § 2 kustbevaknings- datalagen).

Regeringen anser att bestämmelserna om personuppgiftsansvar även fortsättningsvis ska gälla även för juridiska personer. Ansvaret innebär motsvarande skyldigheter som personuppgiftsansvaret i fråga om de krav som den nya lagen ställer på behandling av uppgifter om juridiska personer. Dit hör att uppgifterna endast får behandlas för tillåtna ändamål och ska gallras i rätt tid. Även ansvaret för att de krav som ställs upp för behandling av personuppgifter i Tullverkets brottsbekämpande verksam- het uppfylls gäller för behandling av uppgifter gentemot juridiska personer. Se också avsnitt 9.3.

Enligt den nuvarande tullbrottsdatalagen gäller bestämmelserna i den lagen om sökbegrepp också vid behandling av uppgifter om juridiska personer. Det är dock svårt att förstå hur bestämmelserna, som bl.a. handlar om uppgifter som avslöjar ras eller andra förhållanden knutna till fysiska personer, är avsedda att tillämpas på uppgifter om juridiska personer. Tullverket behöver i sin brottsbekämpande verksamhet söka på bl.a. uppgift om firma och organisationsnummer. I polisdatalagen och kustbevakningsdatalagen gäller inte bestämmelserna om sökning för uppgifter om juridiska personer. Det finns inte skäl att avvika från vad som gäller enligt de två sistnämnda lagarna. Bestämmelserna i den nya lagen om sökning (se avsnitt 14.4) bör därför inte gälla i fråga om uppgifter om juridiska personer.

Undantag från lagens tillämpningsområde

I avsnitt 4 redogörs för det internationella samarbete som Tullverket deltar i, vilket även omfattar polisiärt samarbete i vissa fall där tull- tjänstemän har polisiära befogenheter. En del av det informationsutbyte som förekommer inom det internationella samarbetet regleras av bestäm- melser i lagen (2000:343) om internationellt polisiärt samarbete och

lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen, med tillhörande föreskrifter. Den nuvarande tullbrottsdatalagen men även polisdatalagen och kustbevakningsdatalagen innehåller uttryckliga regler om att lagarna är subsidiära i förhållande till avvikande bestämmelser i dessa författningar, dvs. de avvikande bestämmelserna ska tillämpas i stället. Därigenom görs det tydligt hur förhållandet är mellan de författningar som innehåller särskilda bestämmelser för det internationella polisiära området och den generella lagstiftningen om behandling av personuppgifter i den brottsbekämpande verksamheten.

Det finns inte anledning att genom den nya lagen ändra på den ordningen. Regeringen föreslår därför en bestämmelse som anger att avvikande bestämmelser om behandling av personuppgifter i lagen om internationellt polisiärt samarbete och lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samar- bete inom Europeiska unionen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar ska gälla i stället för den nya lagen.

Internationellt samarbete sker också med stöd av t.ex. lagen (2000:1219) om internationellt tullsamarbete. Den nämnda lagen inne- håller, till skillnad från t.ex. lagen om internationellt polisiärt samarbete, främst bestämmelser som reglerar det internationella samarbetet i sig och inte bestämmelser om behandling av personuppgifter. Därmed saknas anledning att hänvisa till den lagen i de inledande bestämmelserna i den nya lagen. Bestämmelserna i lagen om internationellt tullsamarbete måste givetvis fortfarande beaktas vid tillämpning av den lagen.

Ingen bestämmelse om andra författningar som hindrar behandling av personuppgifter

I promemorian föreslås en bestämmelse om att bestämmelser i annan lagstiftning som hindrar en behandling av personuppgifter som är tillåten enligt den nya lagen ska tillämpas framför den nya lagen. Förslaget motiverades bl.a. med att det finns särregler om behandling av uppgifter även i annan lagstiftning, t.ex. för uppgifter om resenärer som Tullverket har begärt in från transportföretag då lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen (kallad inregränslagen) och tullagen (2016:253) gäller. Även lagen om internationellt tullsamarbete nämns, vari det finns bestäm- melser om s.k. användningsbegränsningar.

Regeringen gör i detta avseende en annan bedömning än promemorian och anser att det inte finns skäl att införa en sådan bestämmelse. De regler i inregränslagen och tullagen som nämns i promemorian föreslås som framgår i avsnitt 11 och 16.2 anges särskilt vid relevanta bestäm- melser i den nya tullbrottsdatalagen. Vad gäller bestämmelserna om användningsbegränsningar i lagen om internationellt tullsamarbete finner regeringen inte i nuläget någon konflikt med den föreslagna nya lagen. De skäl som har framförts för bestämmelsen är således inte tillräckliga för att införa en sådan bestämmelse. Någon sådan bestämmelse finns inte heller i polisdatalagen, kustbevakningsdatalagen eller åklagardatalagen. Regeringen föreslår således inte någon sådan bestämmelse.

Prop. 2016/17:91

71

Prop. 2016/17:91 Ingen bestämmelse om andra myndigheters direktåtkomst

I promemorian föreslås att det i bestämmelsen om lagens tillämpnings- område ska upplysas om att det i lagen också finns bestämmelser om vissa skyldigheter för myndigheter som har direktåtkomst till uppgifter i Tullverkets brottsbekämpande verksamhet. Regeringen ser dock inte behov att föra in en sådan bestämmelse i lagen. Något motsvarande finns inte heller i t.ex. polisdatalagen eller kustbevakningsdatalagen.

En bestämmelse om lagens innehåll

I kapitlet om lagens tillämpningsområde anser regeringen i likhet med vad som föreslås i promemorian att det ska finnas en bestämmelse som upplyser om lagens innehåll.

Lagförslag

Sammanfattningsvis föreslår regeringen följande vad gäller lagens tillämpningsområde. Den nya lagen ska gälla vid Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten, om behand- lingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Förslaget genomförs genom 1 kap. 2 § i den nya lagen.

Om det i lagen om internationellt polisiärt samarbete och lagen med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen samt i föreskrifter som regeringen har meddelat i anslutning till dessa lagar finns avvikande bestämmelser, ska de tillämpas i stället för bestämmelserna i denna lag. Förslaget genomförs genom 1 kap. 3 § i den nya lagen.

Vissa närmare angivna bestämmelser i den nya lagen ska gälla även vid behandling av uppgifter om juridiska personer. Förslaget genomförs genom 1 kap. 4 § i den nya lagen.

Det ska finnas en bestämmelse som beskriver den nya lagens innehåll. Förslaget genomförs genom 1 kap. 5 § i den nya lagen.

9 Allmänna bestämmelser

9.1Den nya lagen ska gälla i stället för personuppgiftslagen

Regeringens förslag: Den nya lagen ska i likhet med nuvarande lag gälla i stället för personuppgiftslagen. I lagen ska det hänvisas till de bestämmelser i personuppgiftslagen som ska gälla vid behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över

förslaget.

72

Skälen för regeringens förslag: Personuppgiftslagen (1998:204) är generellt tillämplig på behandling av personuppgifter och bygger på EU:s dataskyddsdirektiv, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), se avsnitt 4.2. Direktivet omfattar bl.a. inte behandling av personuppgifter som utförs på området för statens brottsbekämpande verksamhet, varför det ur EU- rättslig synvinkel i och för sig inte finns något som hindrar att den nya lagen utformas på annat sätt än vad som anges i dataskyddsdirektivet. I sammanhanget kan dock påpekas att direktivet i huvudsak bygger på och vidareutvecklar de bestämmelser som finns i Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter, kallad dataskyddskonventionen (se avsnitt 4.1.2), som även gäller för statens brottsbekämpande verksamhet. Sverige är folk- rättsligt bundet av konventionen med dess tilläggsprotokoll.

Vidare bör beaktas att dataskyddsrambeslutet, rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samar- bete, som genomförts i svensk rätt (se avsnitt 4.1.6) i stora delar liknar dataskyddsdirektivet. Rambeslutet har ersatts av ett direktiv och data- skyddsdirektivet av en förordning, som båda ska börja tillämpas i maj 2018 (se avsnitt 4.1.7).

Systematiska skäl talar för att den nya regleringen bör ansluta till personuppgiftslagen. Motsvarande lösning har valts i polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 79 f.) och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 75 f.). Regeringen anser därför att personuppgiftslagens bestämmelser i väsentliga delar ska gälla även i Tullverkets brottsbekäm- pande verksamhet. I denna verksamhet finns som redan nämnts särskilda behov av att kunna behandla personuppgifter automatiserat och verksam- hetens särdrag gör att det finns behov av bestämmelser som avviker från personuppgiftslagen.

Frågan är då hur de bestämmelser i personuppgiftslagen som ska gälla även i Tullverkets brottsbekämpande verksamhet på bästa sätt infogas i den nya lagen. I lagen (2005:787) om behandling av uppgifter i Tull- verkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen), polis- datalagen och kustbevakningsdatalagen har valts en lösning som innebär att dessa lagar gäller i stället för personuppgiftslagen. Dessa författningar är konstruerade på så sätt att lagen innehåller en hänvisning till de lagrum i personuppgiftslagen som är tillämpliga. Motsvarande konstruk- tion har valts i de ännu nyare registerförfattningarna för åklagarväsendet, åklagardatalagen (2015:433), och Sveriges domstolar, domstolsdatalagen (2015:728).

Utvecklingen går mot ett ökat samarbete mellan de brottsbekämpande myndigheterna. Det ligger därför ett värde i att så långt möjligt använda samma lagstiftningsteknik för regleringen av all behandling av person- uppgifter inom brottsbekämpande verksamhet, oavsett myndighet. Det finns därmed inte anledning att frångå det som gäller enligt den nuvaran- de tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen. Den

Prop. 2016/17:91

73

Prop. 2016/17:91 nya lagen bör således gälla i stället för personuppgiftslagen, men innehålla hänvisningar till de bestämmelser i personuppgiftslagen som ska tillämpas.

Förslaget genomförs genom 2 kap. 1 § i den nya lagen.

 

9.2

De bestämmelser i personuppgiftslagen som

 

 

ska gälla

 

 

 

Regeringens förslag: Följande bestämmelser i personuppgiftslagen ska

 

gälla när personuppgifter behandlas enligt den nya lagen eller enligt

 

föreskrifter som har meddelats i anslutning till lagen:

 

1.

3 § om definitioner,

 

2.

8 § om förhållandet till offentlighetsprincipen,

 

3.

9 § om grundläggande krav på behandling av personuppgifter, dock

 

med undantag för första stycket i och tredje stycket,

 

4.

22 § om behandling av personnummer och samordningsnummer,

 

5.

23 och 25–27 §§ om information till den registrerade,

 

6.

28 § om rättelse,

 

7.

30 och 31 §§ samt 32 § första stycket om säkerheten vid behandling,

 

8.

33–35 §§ om överföring av personuppgifter till tredjeland,

 

9.

38–41 §§ om personuppgiftsombud m.m.,

 

10. 42 § om upplysningar till allmänheten om vissa behandlingar,

 

11. 43 och 44 §§, 45 § första stycket och 47 § om tillsynsmyndighetens

 

befogenheter,

 

12. 48 § om skadestånd, och

 

13. 51 § första stycket, 52 § första stycket och 53 § om överklagande.

 

Om personuppgifter ska gallras enligt den nya lagen eller enligt

 

föreskrifter som har meddelats i anslutning till lagen, ska inte 8 § andra

 

stycket personuppgiftslagen gälla.

 

Information enligt 23 § personuppgiftslagen ska inte behöva lämnas

 

vid behandling som består av insamling av personuppgifter genom bilder

 

eller ljud. Sådan information ska inte heller behöva lämnas när person-

 

uppgifterna samlas in i samband med larm och det med hänsyn till

 

omständigheterna inte finns tid att lämna informationen.

 

Tillsynsmyndigheten ska inte kunna förena ett förbud att utföra viss

 

behandling med vite.

 

Promemorians förslag: Överensstämmer i sak med regeringens

 

förslag. Promemorians förslag är något annorlunda utformat.

 

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över för-

 

slaget.

 

Skälen för regeringens förslag

 

Allmänna utgångspunkter

 

Nedan redovisas de bestämmelser i personuppgiftslagen som föreslås

 

vara tillämpliga vid behandling av personuppgifter i Tullverkets

 

brottsbekämpande verksamhet. Det är fråga om samma bestämmelser

 

som gäller vid behandling enligt polisdatalagen och kustbevaknings-

74

datalagen. Regeringen ser inga skäl för att i den nya lagen avvika från

vad som gäller enligt polisdatalagen och kustbevakningsdatalagen. Förslaget motsvarar i huvudsak vad som gäller enligt den nuvarande tullbrottsdatalagen.

Definitioner, 3 §

I 3 § personuppgiftslagen definieras vissa begrepp som är centrala vid behandling av personuppgifter. Där definieras t.ex. vad personuppgifter är (”all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet”) och vad som utgör behandling av person- uppgifter (”varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. in- samling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”). För att undvika missförstånd är det viktigt att terminologin i den nya lagen överens- stämmer med personuppgiftslagens och att de begrepp som används i de båda författningarna har samma innebörd. En hänvisning till 3 § personuppgiftslagen bör därför tas in i den nya lagen.

Förhållandet till offentlighetsprincipen, 8 §

I 8 § första stycket personuppgiftslagen upplyses om att personupp- giftslagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen. I paragrafens andra stycke anges att bestäm- melserna inte hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

I den nuvarande tullbrottsdatalagen finns det en hänvisning till 8 § personuppgiftslagen. Det finns inte skäl att göra någon ändring i detta hänseende. I klargörande syfte föreslår regeringen att en hänvisning till bestämmelserna i 8 § personuppgiftslagen tas in i den nya lagen. Detta är också i överensstämmelse med bl.a. polisdatalagen. För att uppnå överensstämmelse med regleringen i polisdatalagen och kustbevaknings- datalagen bör det anges att bestämmelserna i 8 § andra stycket inte gäller när uppgifter ska gallras enligt särskilda bestämmelser i den nya lagen.

Grundläggande krav på behandlingen av personuppgifter, 9 §

Några av personuppgiftslagens viktigaste bestämmelser om behandling av personuppgifter finns i 9 §. Där uppställs vissa grundläggande krav på den personuppgiftsansvarige. I första stycket a och b anges att den personuppgiftsansvarige ska se till att personuppgifter endast behandlas om det är lagligt och att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed. Enligt första stycket e–h ska den personuppgiftsansvarige se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt, att de personuppgifter som behandlas är riktiga och, om nödvändigt, aktuella samt att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen.

Prop. 2016/17:91

75

Prop. 2016/17:91

76

Enligt regeringens bedömning är det naturligt att dessa grundläggande krav tillämpas även vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Detta gäller även enligt den nuvarande tullbrottsdatalagen. Den nya lagen bör därför, i likhet med polisdatalagen och kustbevakningsdatalagen, hänvisa till 9 § första stycket a, b och e–h personuppgiftslagen.

I 9 § första stycket c personuppgiftslagen anges att personuppgifter får samlas in bara för särskilda, uttryckligt angivna ändamål. I första stycket d anges att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (den s.k. finali- tetsprincipen). I den nuvarande tullbrottsdatalagen hänvisas det inte till 9 § första stycket c och d personuppgiftslagen. I stället innehåller lagen en uttömmande uppräkning av för vilka ändamål personuppgifter får behandlas. Det är alltså inte enligt den nuvarande tullbrottsdatalagen tillåtet att behandla personuppgifter för några andra ändamål, ens om dessa skulle vara förenliga med de i lagen angivna ändamålen.

I polisdatalagen och kustbevakningsdatalagen har en annan lösning valts. Där anges de s.k. primära ändamålen uttömmande på motsvarande sätt som enligt den nuvarande tullbrottsdatalagen. Polismyndigheten och Kustbevakningen får således inte samla in personuppgifter för något annat ändamål än de som anges i respektive lag. Däremot är de i dessa lagar angivna s.k. sekundära ändamålen om utlämnande av person- uppgifter inte uttömmande utan kompletteras av en uttrycklig bestäm- melse om att i ett enskilt fall får personuppgifter behandlas även för att tillhandahålla information för ett annat ändamål som inte är oförenligt med det primära insamlingsändamålet. Med en sådan lösning är det naturligt att låta också bestämmelserna i 9 § första stycket c och d personuppgiftslagen gälla, vilket också är fallet enligt de båda lagarna. Därför bör den nya lagen hänvisa även till 9 § första stycket c och d personuppgiftslagen.

I 9 § första stycket i och tredje stycket personuppgiftslagen finns det bestämmelser om hur länge personuppgifter får bevaras. Frågan om gallring och bevarande av personuppgifter bör regleras särskilt i den nya lagen, och någon hänvisning till personuppgiftslagens bestämmelser om hur länge personuppgifter får bevaras behövs därför inte. Frågor om bevarande och gallring behandlas i avsnitt 16.

Behandling av personnummer och samordningsnummer, 22 §

Personnummer ska inte användas slentrianmässigt. Av 22 § person- uppgiftslagen framgår att uppgifter om personnummer och samordnings- nummer får behandlas bara när det är motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Det innebär att den personuppgiftsansvarige ska göra en intresseavvägning mellan behov som finns för att hantera ärendet och den enskildes integritet.

Enligt den nuvarande tullbrottsdatalagen gäller 22 § personuppgifts- lagen bara när personuppgifter behandlas på annat sätt än i tullbrotts- databasen. Vid behandling av personuppgifter i en gemensam databas är det i de flesta fall nödvändigt att generellt använda personnummer för att kunna säkra identifieringen av en registrerad. Det ansågs därför att en

hänvisning till 22 § personuppgiftslagen skulle få praktisk tillämpning bara i fråga om behandling utanför tullbrottsdatabasen, se propositionen Tullverkets brottsbekämpning – Effektivare uppgiftsbehandling (prop. 2004/05:164 s. 50 f.).

Någon motsvarande begränsning av tillämpligheten av 22 § person- uppgiftslagen har inte förts in i polisdatalagen. Det ansågs nämligen inte finnas skäl att frångå principerna enligt 22 § personuppgiftslagen ens i fråga om gemensamt tillgängliga uppgifter (se prop. 2009/10:85 s. 84). Inte heller i kustbevakningsdatalagen finns en sådan begränsning.

Enligt regeringens mening bör den nya lagen i fråga om användningen av personnummer och samordningsnummer vara lika restriktiv som polisdatalagen och kustbevakningsdatalagen, även om detta inte bedöms få särskilt stor praktisk betydelse med hänsyn till vikten av en säker identifiering av individer i brottsbekämpande verksamhet. Regeringen föreslår därför att det i den nya lagen utan inskränkning görs en hänvisning till 22 § personuppgiftslagen.

Information till den registrerade, 23 och 25–27 §§

Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant ska informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som ska lämnas är enligt 25 § uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Information ska också, enligt 26 § personuppgiftslagen, lämnas på begäran av den registrerade. Om uppgifter behandlas ska information lämnas till den registrerade om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Under förutsättning att uppgifterna inte har lämnats ut till tredje man behöver dock information inte lämnas om personuppgifter i löpande text som inte fått sin slutliga utformning när frågan väcktes eller som utgör minnesanteckning eller liknande. I 26 § finns även bestämmelser om inom vilken tid en förfrågan ska besvaras. Enligt 27 § personupp- giftslagen gäller inte rätten till information om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den regis- trerade. Information behöver alltså inte lämnas om sådana förhållanden för vilka det gäller sekretess.

En hänvisning till bestämmelserna i 23 och 25–27 §§ personuppgift- slagen finns i den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen.

De återgivna bestämmelserna i personuppgiftslagen utgör enligt regeringens mening en lämplig avvägning mellan den enskildes intresse av att få information om vilken behandling som sker av personuppgifter om denne och Tullverkets intresse av effektivitet i verksamheten. En hänvisning till bestämmelserna bör därför föras in i den nya lagen.

I 24 § första stycket personuppgiftslagen anges att den person- uppgiftsansvarige självmant ska lämna information till den registrerade

Prop. 2016/17:91

77

Prop. 2016/17:91

om uppgifterna har samlats in från någon annan källa än den registrerade.

 

Av paragrafens andra stycke följer att sådan information inte behöver

 

lämnas om det finns bestämmelser om registrerande eller utlämnande av

 

personuppgifterna i en lag eller annan författning. När behandling av

 

personuppgifter hos en myndighet regleras i särskild lagstiftning på det

 

sätt som föreslås i lagen, med särskilda bestämmelser om vad som får

 

registreras och hur uppgifter i övrigt får hanteras, krävs det enligt

 

personuppgiftslagen inte att sådan information ges. Det finns inte några

 

skäl för att Tullverket trots detta ska lämna sådan information.

 

Regeringen anser därför att 24 § personuppgiftslagen inte bör gälla vid

 

personuppgiftsbehandling enligt den nya lagen.

 

Vid insamling av uppgifter genom ljud och bild är ofta något av

 

undantagen i 25 eller 27 § tillämpliga. 27 § personuppgiftslagen kan vara

 

tillämplig när insamling sker för spaningsändamål inom ramen för en

 

förundersökning eller i traditionell underrättelseverksamhet, eftersom

 

sekretess enligt 18 kap. 1 § eller 2 § offentlighets- och sekretesslagen

 

normalt gäller i dessa fall. Detsamma gäller insamling genom hemliga

 

tvångsmedel.

 

För det fall det förekommer insamling av uppgifter genom ljud och

 

bild som inte omfattas av dessa undantag kan det i vissa fall framstå som

 

både orimligt och praktiskt ogörligt att informera t.ex. alla personer som

 

fångas på bild (se t.ex. prop. 2009/10:85 s. 86). I den nya lagen bör det

 

därför, i likhet med vad som gäller enligt polisdatalagen och kustbevak-

 

ningsdatalagen, föras in ett undantag från informationsskyldigheten

 

enligt 23 § vid behandling som består av insamling av personuppgifter

 

genom bilder eller ljud.

 

När det gäller insamling i samband med larm gör regeringen följande

 

överväganden. Av Datainspektionens allmänna råd om information till

 

registrerade enligt personuppgiftslagen framgår att information enligt

 

23 § personuppgiftslagen bör lämnas muntligen när personuppgifter

 

samlas in vid telefonkontakt eller annan muntlig kontakt.

 

I praktiken uppstår inte sällan svårigheter att lämna information om

 

behandlingen till den som ringer upp i avsikt att larma eller lämna en

 

motsvarande brådskande underrättelse som kräver omedelbar åtgärd.

 

Både med hänsyn till risken för försening av den åtgärd som efterfrågas i

 

det enskilda fallet och till risken för negativa konsekvenser i stort för den

 

verksamhet som bedrivs är det inte rimligt att kräva att det alltid lämnas

 

information i samband med larm. Det kan även ifrågasättas om personen

 

i fråga som larmar över huvud taget är intresserad av att i den aktuella

 

situationen få information om att lämnade personuppgifter kan komma

 

att behandlas automatiserat. Vidare torde alla som vänder sig till en

 

myndighet i en sådan situation redan känna till att uppgifter registreras

 

digitalt. Den registrerade får därmed antas känna till vem den person-

 

uppgiftsansvarige är och ändamålen med behandlingen.

 

Även om undantaget i 25 § andra stycket personuppgiftslagen således

 

vanligtvis är tillämpligt, bör det i en lagregel klart framgå att information

 

aldrig ska behöva lämnas vid larm om det med hänsyn till omstän-

 

digheterna inte finns tid att lämna informationen.

 

I likhet med vad som gäller enligt polisdatalagen och kustbevaknings-

 

datalagen bör det därför enligt regeringens mening finnas ett uttryckligt

78

undantag från informationsskyldigheten enligt 23 § personuppgiftslagen

när personuppgifter samlas in i samband med larm och det med hänsyn till omständigheterna inte finns tid att lämna informationen. Bedöm- ningen av om det finns tid att lämna information bör göras från fall till fall.

Rättelse, 28 §

I 28 § personuppgiftslagen anges att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med personupp- giftslagens bestämmelser. När en personuppgiftsansvarig rättar en personuppgift, ska underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle inne- bära en oproportionerligt stor arbetsinsats. Det finns hänvisningar till 28 § personuppgiftslagen i den nuvarande tullbrottsdatalagen, polisdata- lagen och kustbevakningsdatalagen.

Det är viktigt att personuppgifter som behandlas felaktigt hos en myndighet rättas. Bedömningen av om en uppgift har behandlats på ett felaktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i person- uppgiftslagen eller specialbestämmelser som gäller för Tullverkets brottsbekämpande verksamhet. Mot bakgrund av det angivna bör bestäm- melserna i 28 § personuppgiftslagen, liksom hittills, gälla vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. I den nya lagen bör det därför tas in en hänvisning till 28 § personuppgifts- lagen.

Säkerheten vid behandling, 30–32 §§

I 30–32 §§ personuppgiftslagen finns det regler om hur den person- uppgiftsansvarige ska organisera arbetet med behandling av person- uppgifter för att garantera säkerheten. Det rör sig om instruktioner till personalen samt tekniska och organisatoriska åtgärder. Hänvisningar till dessa bestämmelser finns i den nuvarande tullbrottsdatalagen samt i polisdatalagen och kustbevakningsdatalagen. Regeringen anser att bestämmelserna även fortsättningsvis ska vara tillämpliga i Tullverkets brottsbekämpande verksamhet, vilket innebär att det måste finnas bestämda rutiner för hanteringen av personuppgifter. Det kan t.ex. behövas såväl tekniska lösningar för datorsystemen som olika behörig- hetsnivåer för skilda personalkategorier, för att garantera att regleringen i den föreslagna lagen kan efterlevas.

Med hänsyn till att tillsynsmyndigheten inte bör ha möjlighet att förena förbud med vite (se nedan under rubriken Tillsynsmyndighetens befogenheter) bör någon hänvisning till 32 § andra stycket person- uppgiftslagen inte göras i den nya lagen.

Överföring av personuppgifter till tredjeland, 33–35 §§

Personuppgifter som är under behandling får enligt 33 § personupp- giftslagen inte föras över till tredjeland, dvs. en stat som inte ingår i EU eller är ansluten till Europeiska ekonomiska samarbetsområdet (defini-

Prop. 2016/17:91

79

Prop. 2016/17:91 tionen anges i 3 § personuppgiftslagen), om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till dataskyddskonventionen. Enligt 35 § har regeringen också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse.

För att kunna uppfylla Sveriges åtaganden enligt olika internationella överenskommelser om utbyte av uppgifter måste det vara möjligt att i Tullverkets brottsbekämpande verksamhet lämna ut uppgifter utanför EU. I 3 § förordningen (2000:1222) om internationellt tullsamarbete finns det en bestämmelse om undantag från 33 § personuppgiftslagen: Tullverket eller annan behörig myndighet får utan hinder av 33 § personuppgiftslagen överföra personuppgifter till tredjeland, om det behövs för att uppfylla skyldigheter som följer av sådana internationella överenskommelser som avses i lagen (2000:1219) om internationellt tullsamarbete.

Den nuvarande tullbrottsdatalagen innehåller inte någon hänvisning till 33–35 §§ personuppgiftslagen. Med hänsyn till att bestämmelserna om överföring av uppgifter till tredjeland finns i lagstiftningen om interna- tionellt tullsamarbete, fanns det enligt regeringens mening inte skäl att också i den nuvarande tullbrottsdatalagen ta in sådana bestämmelser genom hänvisning till personuppgiftslagen (prop. 2004/05:164 s. 52 f.). I polisdatalagen och kustbevakningsdatalagen finns det däremot hänvis- ningar till 33–35 §§ personuppgiftslagen.

Det förhållandet att det i annan tillämplig lagstiftning finns bestäm- melser som, i enlighet med 35 § personuppgiftslagen, gör undantag för förbudet mot överföring i 33 § personuppgiftslagen innebär enligt regeringens mening inte att det saknas skäl att i den nya lagen hänvisa till 33–35 §§ personuppgiftslagen. Det finns inte skäl för att avvika från det bättre skydd mot överföring av personuppgifter till länder med under- måligt integritetsskydd som gäller enligt polisdatalagen och kustbevak- ningsdatalagen. Det finns även uppgiftsutlämnande som sker med stöd av andra författningar än lagen om internationellt tullsamarbete. Regeringen föreslår därför att det i den nya lagen tas in en hänvisning till 33–35 §§ personuppgiftslagen.

Upplysningar till allmänheten, personuppgiftsombudets uppgifter m.m., 38–42 §§

Automatiserade behandlingar av personuppgifter ska enligt 36 § första stycket personuppgiftslagen anmälas till tillsynsmyndigheten, Data- inspektionen. Anmälan behöver emellertid inte göras om behandlingen regleras genom särskilda föreskrifter i lag eller förordning, 3 § person- uppgiftsförordningen (1998:1191). Skyldighet att i detta sammanhang anmäla de behandlingar som utförs med stöd av den nya lagen finns således inte. Någon hänvisning till 36 § första stycket personuppgifts- lagen behövs därför inte. Det motsvarar vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdata- lagen.

Den personuppgiftsansvarige kan utse ett personuppgiftsombud, 36 §

andra stycket personuppgiftslagen. Ombudets skyldigheter framgår av

80

38–40 §§. I personuppgiftsombudets skyldigheter ingår bl.a. att se till att behandlingen av personuppgifter sker på ett lagligt sätt och att hjälpa registrerade att få rättelse. I den nya lagen föreslås en skyldighet för Tullverket att utse personuppgiftsombud och anmäla detta till tillsyns- myndigheten. En hänvisning till 36 § andra stycket behövs därför inte. Den nya lagen bör dock hänvisa till ombudets skyldigheter i 38–40 §§. Såväl den nuvarande tullbrottsdatalagen som polisdatalagen och kustbevakningsdatalagen innehåller hänvisningar till 38–40 §§ person- uppgiftslagen.

Enligt 41 § personuppgiftslagen har regeringen möjlighet att föreskriva att vissa särskilt känsliga behandlingar ska anmälas till Datainspektionen för förhandskontroll. Denna möjlighet bör regeringen även ha i fråga om sådana behandlingar som utförs i Tullverkets brottsbekämpande verk- samhet. Den nya lagen bör därför innehålla en hänvisning till denna paragraf. Enligt 42 § personuppgiftslagen ska den personuppgifts- ansvarige till den som begär det lämna upplysningar om de behandlingar av personuppgifter som inte har anmälts till Datainspektionen. Denna bestämmelse bör vara tillämplig. Bestämmelsen innebär ingen skyldighet att lämna ut sekretesskyddad information (se t.ex. prop. 2009/10:85 s. 89). Såväl den nuvarande tullbrottsdatalagen som polisdatalagen och kustbevakningsdatalagen innehåller hänvisningar till 41 och 42 §§ personuppgiftslagen.

Tillsynsmyndighetens befogenheter, 43–45 och 47 §§

För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgifts- ansvariga. Enligt 43 § personuppgiftslagen har Datainspektionen möjlig- het att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler. I likhet med vad som gäller enligt nuvarande tullbrottsdatalagen bör denna bestämmelse gälla.

I 44 § personuppgiftslagen finns en bestämmelse om rätt för Data- inspektionen att förbjuda den personuppgiftsansvarige att behandla personuppgifter på något annat sätt än genom att lagra dem, för det fall att myndigheten vid en begäran enligt 43 § inte kan få tillräckligt underlag för att konstatera att behandlingen av personuppgifter är laglig. Om Datainspektionen konstaterar att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt, ska myndigheten enligt 45 § första stycket första meningen personuppgiftslagen genom påpekanden eller liknande förfaranden försöka åstadkomma rättelse. Går det inte att få rättelse på något annat sätt eller är saken brådskande, får myndigheten enligt första stycket andra meningen vid vite förbjuda den person- uppgiftsansvarige att fortsätta att behandla personuppgifterna på något annat sätt än genom att lagra dem.

Enligt nuvarande tullbrottsdatalagen gäller inte 44 § och inte heller 45 § förutom första stycket första meningen. I flera andra författningar om behandling av personuppgifter i brottsbekämpande verksamhet har Datainspektionen dock getts möjlighet att förbjuda behandling av person- uppgifter, t.ex. i polisdatalagen, kustbevakningsdatalagen och lagen (1990:90) om behandling av personuppgifter vid Skatteverkets med-

Prop. 2016/17:91

81

Prop. 2016/17:91 verkan i brottsutredningar. Det är enligt regeringens mening rimligt att Datainspektionen har i stort sett samma befogenheter vid tillsyn över Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten som enligt personuppgiftslagen. Regeringen föreslår därför att bestämmelserna i 44 § och 45 § första stycket ska gälla i den nya lagen.

Någon möjlighet för Datainspektionen att förena ett beslut om att förbjuda behandling eller ett beslut om säkerhetsåtgärder enligt 32 § med vite har, i likhet med vad som i allmänhet gäller mellan statliga myndig- heter, inte föreskrivits i t.ex. polisdatalagen eller kustbevaknings- datalagen (se prop. 2009/10:85 s. 90 och prop. 2011/12:45 s. 85 och även prop. 2004/05:164 s. 54). En sådan möjlighet bör inte finnas heller vid behandling av personuppgifter enligt denna lag. Det bör anges särskilt i den nya lagen att ett förbud enligt 44 eller 45 § inte får förenas med vite.

Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt ska utplånas. Denna bestämmelse gäller även enligt nuvarande tullbrottsdatalagen. Bestämmelsen bör gälla även vid behandling enligt den nya lagen.

Det sagda innebär sammanfattningsvis att det i den nya lagen bör införas en hänvisning till 43 och 44 §§, 45 § första stycket och 47 § personuppgiftslagen och dessutom en bestämmelse om att förbud enligt 44 eller 45 § inte får förenas med vite.

Skadestånd, 48 §, m.m.

Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga inte- griteten som en behandling av personuppgifter i strid med den lagen har orsakat. Det finns hänvisningar till 48 § personuppgiftslagen i den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevaknings- datalagen. Det finns ingen anledning att ändra på den gällande ordningen och en hänvisning till 48 § personuppgiftslagen bör därför tas in i den nya lagen. Rätten till skadestånd vid skada och kränkning bör gälla när personuppgifter har behandlats i strid med personuppgiftslagen eller de bestämmelser som finns i den föreslagna lagen.

Enligt 49 § personuppgiftslagen gäller straffansvar vid överträdelser av vissa bestämmelser i personuppgiftslagen. Behandlingen av person- uppgifter enligt den nya lagen kommer att utföras av personer som är anställda vid en statlig myndighet och som redan omfattas av bestäm- melserna om tjänstefel m.m. i brottsbalken. Något behov en hänvisning till 49 § personuppgiftslagen ansågs inte finnas vid tillkomsten av vare sig polisdatalagen (prop. 2009/10:85 s. 91) eller kustbevakningsdatalagen (prop. 2011/12:45 s. 87) och inte heller vid tillkomsten av den nuvarande tullbrottsdatalagen (prop. 2004/05:164 s. 55). Det finns inte skäl att nu göra någon annan bedömning än den som gjorts i tidigare dessa lagstift- ningsärenden. Någon hänvisning till bestämmelsen om straffansvar bör därför inte göras.

82

Överklagande, 51–53 §§

Prop. 2016/17:91

I 51 § första stycket personuppgiftslagen anges att Datainspektionens

 

beslut enligt lagen om annat än föreskrifter får överklagas till allmän

 

förvaltningsdomstol. Förslaget om att Datainspektionen ska kunna med-

 

dela förbud enligt 44 § och 45 § första stycket personuppgiftslagen

 

innebär att en hänvisning också bör göras till 51 § första stycket.

 

Enligt 51 § andra stycket får Datainspektionen bestämma att dess

 

beslut ska gälla även om det överklagas. Vid polisdatalagens tillkomst

 

gjordes bedömningen att Datainspektionen inte skulle medges någon

 

möjlighet att meddela interimistiska beslut i de aktuella fallen. Verksam-

 

hetsskäl talade emot en sådan möjlighet (prop. 2009/10:85 s. 91). Samma

 

skäl gör sig gällande för Tullverkets brottsbekämpande verksamhet.

 

Någon hänvisning till 51 § andra stycket personuppgiftslagen bör därför

 

inte göras.

 

En myndighets beslut om information, rättelse och underrättelse till

 

tredje man om rättelseåtgärder, information om automatiserade beslut

 

och allmänna upplysningar om pågående behandlingar får, enligt 52 §

 

första stycket personuppgiftslagen, överklagas till allmän förvaltnings-

 

domstol. Andra beslut enligt personuppgiftslagen får enligt 53 § inte

 

överklagas. Prövningstillstånd krävs vid överklagande till kammarrätten.

 

I förarbetena till dessa bestämmelser, se propositionen Översyn av

 

personuppgiftslagen (prop. 2005/06:173 s. 53), uttalades att det efter

 

införandet av en bestämmelse om överklagande i personuppgiftslagen

 

inte är nödvändigt att ta in några överklagandebestämmelser i särskilda

 

registerförfattningar, som hänvisar till personuppgiftslagen. I konsekvens

 

med detta bör den nya lagen inte innehålla någon särskild bestämmelse

 

om överklagande utan i stället enbart hänvisa till personuppgiftslagens

 

bestämmelser om överklagande.

 

Lagförslag

 

Förslaget genomförs genom 2 kap. 2 § i den nya lagen.

 

9.3 Tullverket ska vara personuppgiftsansvarigt

Regeringens förslag: Tullverket ska vara personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över

förslaget.

Skälen för regeringens förslag: I den nuvarande tullbrottsdatalagen anges att Tullverket är personuppgiftsansvarigt för den behandling av personuppgifter som myndigheten utför, om inte annat framgår av särskild lag eller förordning (10 § första meningen). En liknande bestämmelse finns även i kustbevakningsdatalagen (2 kap. 4 §). I polis- datalagen är personuppgiftsansvaret uppdelat beroende på om det är Polismyndigheten som utför behandling eller om den utförs i polisiär verksamhet vid Ekobrottsmyndigheten (2 kap. 4 §).

83

Prop. 2016/17:91 Regeringen anser att Tullverket även fortsättningsvis bör vara person- uppgiftsansvarigt för den behandling av personuppgifter som myndig- heten utför. På det sättet markeras att det finns ett ansvar för att utförd behandling är korrekt. Med personuppgiftsansvaret följer en rad skyldig- heter. Den personuppgiftsansvarige ska bl.a. se till att behandlingen av personuppgifter sker på ett korrekt och säkert sätt, att information lämnas till den registrerade och att personuppgifter gallras i rätt tid.

I den nuvarande tullbrottsdatalagen anges i paragrafen som reglerar personuppgiftsansvar också att motsvarande ansvar även gäller för behandling av uppgifter om juridiska personer (10 § andra meningen). I avsnitt 8.2 har regeringen med en annan författningsteknisk lösning föreslagit att bestämmelserna om personuppgiftsansvar ska gälla även för juridiska personer. Därför behöver det inte i nu aktuell bestämmelse anges att ansvaret även gäller för juridiska personer.

Förslaget genomförs genom 2 kap. 3 § i den nya lagen.

 

9.4

Personuppgiftsombud ska finnas

 

 

 

Regeringens förslag: Tullverket ska utse ett eller flera personupp-

 

giftsombud. Myndigheten ska anmäla till tillsynsmyndigheten enligt

 

personuppgiftslagen när ett personuppgiftsombud utses eller entle-

 

digas.

 

 

 

 

Promemorians förslag: Överensstämmer i sak med regeringens

 

förslag. Promemorians förslag är något annorlunda utformat.

 

Remissinstanserna: Kammarrätten i Sundsvall anser att hänvisningen

 

till personuppgiftslagen bör tas bort. I promemorian har, i stället för att

 

hänvisa till 36 § personuppgiftslagen, valts att i den nya lagen särskilt

 

reglera att Tullverket ska utse ett eller flera personuppgiftsombud och att

 

den personuppgiftsansvarige till tillsynsmyndigheten ska anmäla när ett

 

personuppgiftsombud utses eller entledigas. Bestämmelsen har dock

 

kommit att utformas som en hänvisning till personuppgiftslagen.

 

Skälen för regeringens förslag: Regleringen i 36 § andra stycket

 

personuppgiftslagen ger den personuppgiftsansvarige valfrihet när det

 

gäller frågan om personuppgiftsombud ska utses. Vid införandet av den

 

nuvarande tullbrottsdatalagen ansågs det att det borde åligga Tullverket

 

att ta ställning till den frågan (prop. 2004/05:164 s. 53). Någon skyldig-

 

het att utse personuppgiftsombud finns således inte enligt den nuvarande

 

tullbrottsdatalagen.

 

En sådan skyldighet finns däremot enligt polisdatalagen och kust-

 

bevakningsdatalagen. Motsvarande skyldighet finns även i lagen

 

(2007:258) om behandling av personuppgifter i Försvarsmaktens för-

 

svarsunderrättelseverksamhet och militära säkerhetstjänst och lagen

 

(2007:259) om behandling av personuppgifter i Försvarets radioanstalts

 

försvarsunderrättelse- och utvecklingsverksamhet, se propositionen

 

Personuppgiftsbehandling hos Försvarsmakten och Försvarets radio-

 

anstalt (prop. 2006/07:46 s. 98).

 

I Tullverkets brottsbekämpande verksamhet rör behandlingen av

 

personuppgifter i stor utsträckning uppgifter som får anses integritets-

84

känsliga,

vilket gör det särskilt angeläget med den kontroll som kan

utövas av ett personuppgiftsombud. Det är också viktigt att enskilda Prop. 2016/17:91 registrerade enkelt kan vända sig till rätt person hos myndigheterna bl.a. i

frågor om information om behandlingen och om rättelse av felaktiga uppgifter. Det finns således starka skäl som talar för att det ska finnas personuppgiftsombud. Tullverket har också självmant valt att utse personuppgiftsombud.

Regeringen bedömer det därför vara lämpligt att införa en uttrycklig skyldighet för Tullverket att i fråga om behandling av personuppgifter i den brottsbekämpande verksamheten utse personuppgiftsombud. I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör det då också särskilt föreskrivas i den nya lagen att myndigheten ska anmäla till tillsynsmyndigheten enligt personuppgiftslagen när ett personuppgiftsombud utses eller entledigas. Bestämmelsen har efter synpunkten från Kammarrätten i Sundsvall getts en något annorlunda utformning.

Förslaget genomförs genom 2 kap. 4 § i den nya lagen.

9.5Den interna tillgången till personuppgifter ska begränsas

Regeringens förslag: Tillgången till uppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter.

Det ska föras in en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare före- skrifter om tillgången till personuppgifter.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat och annor- lunda placerat.

Remissinstanserna: Migrationsverket anger att utifrån integritets- synpunkt är promemorians förslag väl avvägt när det gäller den interna tillgången till personuppgifter. I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg utgör allmänt sett en betydande risk för intrång i den personliga integriteten. Risken för integritetsintrång är givetvis särskilt stor om det – såsom ofta är fallet i brottsbekämpande verksamhet – rör sig om känsliga uppgifter. Risken påverkas bl.a. av hur uppgifterna sprids och vem som har rätt att använda dem.

Den nuvarande tullbrottsdatalagen innehåller dels en bestämmelse om att åtkomsten till tullbrottsdatabasen ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter (4 §), dels bestäm- melser om att direkt tillgång till uppgifter i vissa ärenden bara får medges de personer som arbetar med det specifika ärendet (12 § andra stycket och 14 § andra stycket). Liknande bestämmelser finns också när det gäller uppgifter avseende internationella åtaganden (15 § andra stycket).

I polisdatalagen och kustbevakningsdatalagen finns enbart en reglering som liknar den förstnämnda bestämmelsen, nämligen en generellt utfor-

85

Prop. 2016/17:91 mad, åtkomstbegränsande bestämmelse som i princip överlåter till myndigheten att, utifrån respektive myndighets organisation och struktur, säkerställa att åtkomsten till personuppgifter begränsas till vad varje tjänsteman behöver för att fullföra sina arbetsuppgifter (2 kap. 11 § polisdatalagen respektive 2 kap. 3 § kustbevakningsdatalagen).

Enligt 30 § personuppgiftslagen får de personer som arbetar under den personuppgiftsansvariges ledning behandla personuppgifter bara i enlig- het med instruktioner från den personuppgiftsansvarige. Den personupp- giftsansvarige måste alltså utarbeta instruktioner för personalens behand- ling av personuppgifter. Enligt 31 § personuppgiftslagen är den person- uppgiftsansvarige vidare skyldig att vidta lämpliga tekniska och organi- satoriska åtgärder för att skydda de personuppgifter som behandlas så att det åstadkoms en säkerhetsnivå som är lämplig med beaktande av vissa i paragrafen angivna faktorer. Dessa bestämmelser i personuppgiftslagen ska enligt regeringens förslag gälla vid behandling av personuppgifter enligt den nya lagen (se avsnitt 9.2).

Den nya lagen bör bygga på principen att enbart de personer som behöver uppgifterna för att fullgöra sitt arbete ska ha tillgång till dem. En bestämmelse med denna innebörd bör enligt regeringens mening, i stor likhet med vad som gäller enligt nuvarande tullbrottsdatalag, tas in i den nya lagen. Bestämmelsen omfattar både direkt tillgång till automatise- rade uppgiftssamlingar och tillgång i allmänhet. Tullverket ska således organisera sin verksamhet och ordna sitt arbetssätt på ett sådant sätt att obefogad intern spridning av personuppgifter motverkas. Bestämmelsen får också till följd att enskilda tjänstemän blir förhindrade att ge den som inte behöver vissa personuppgifter för sitt arbete tillgång till uppgifterna.

Den föreslagna bestämmelsen om tillgång till personuppgifter innebär en generell begränsning av åtkomsten till uppgifter för att förhindra att tjänstemän får tillgång till mer information än vad de behöver för att kunna fullgöra sina arbetsuppgifter. Därefter är det Tullverkets uppgift att, utifrån myndighetens organisation och arbetssätt, säkerställa att åtkomsten till personuppgifter begränsas i enlighet med bestämmelsen. För att kunna säkerställa detta kan det finnas behov av närmare före- skrifter på området. Det bör därför föras in en bestämmelse i den nya lagen som upplyser om att regeringen eller den myndighet som rege- ringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter. Det görs därvid en uttrycklig hänvisning till 8 kap. 7 § regeringsformen.

Förslaget genomförs genom 2 kap. 11 § i den nya lagen.

 

10

Tillåtna ändamål för behandlingen

 

10.1

Allmänt om ändamålen

 

 

 

 

 

 

Regeringens bedömning: I lagen bör det anges för vilka ändamål

 

 

 

behandling av personuppgifter får förekomma i Tullverkets brotts-

 

 

 

bekämpande verksamhet. Ändamålen bör delas in i primära och sekun-

 

86

 

dära ändamål.

 

 

 

De primära ändamålen bör avse behandling av personuppgifter för att tillgodose de behov som finns inom Tullverkets brottsbekämpande verk- samhet. Dessa ändamål bör vara uttömmande angivna i lagen.

De sekundära ändamålen bör avse behandling för olika typer av utlämnande av personuppgifter från Tullverkets brottsbekämpande verk- samhet. I fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna bör den s.k. finalitetsprincipen tillämpas.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Datainspektionen anger att i likhet med vad inspektionen anfört i remissbehandlingen avseende förslagen till polis- datalag, kustbevakningsdatalag och lag om behandling av personupp- gifter i Skatteverkets brottsbekämpande verksamhet kan det ifrågasättas om bestämmelserna om ändamål i promemorians förslag uppfyller kraven enligt grundläggande dataskyddsprinciper på att personuppgifter endast får samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt som är oförenligt med dessa ändamål. Detta gör sig särskilt starkt gällande mot bakgrund av att det nu föreslås väsentligt utökade möjligheter att sprida information mellan Tullverkets brottsbe- kämpande verksamhet och den fiskala verksamheten.

I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.

Skälen för regeringens bedömning

Ändamålsbestämmelserna bör ge utrymme för att bedriva det brottsbekämpande arbetet med modern teknik

Bestämmelser om för vilka ändamål som personuppgifter får behandlas har en central roll i särskilda registerförfattningar. Genom ändamålen sätts ramen för vilken behandling som är tillåten. Enligt centrala data- skyddsprinciper får uppgifter endast samlas in för specifika och legitima ändamål. Vidare får insamlade personuppgifter inte behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet (den s.k. finalitetsprincipen). Dessa principer kommer till uttryck bl.a. i artikel 6.1 a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 okto- ber 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), dataskyddsdirektivet, och i artikel 3 i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, dataskyddsrambeslutet. Bestämmelserna finns genomförda i svensk rätt genom 9 § första stycket c och d personupp- giftslagen (1998:204).

I Tullverkets brottsbekämpande verksamhet förekommer vitt skilda slag av behandling av personuppgifter. Det handlar t.ex. om sedvanligt kontorsarbete. Det är självklart att Tullverket, i likhet med vad som gäller enligt den nuvarande lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), i den brottsbekämpande verksamheten bör ha samma möjligheter som andra myndigheter att använda modern teknik för att upprätta vanliga

Prop. 2016/17:91

87

Prop. 2016/17:91

88

dokument, göra löpande noteringar i arbetet m.m. Sådant teknikutnytt- jande innefattar inte heller i sig några påtagliga integritetsrisker.

Tullverket behöver också i sin brottsbekämpande verksamhet, liksom i dag, kunna använda mer kvalificerad behandling av personuppgifter, t.ex. i form av uppbyggandet och förandet av stora uppgiftssamlingar som är tillgängliga för ett flertal personer. Sådan behandling ger givetvis upphov till större risker för intrång i den personliga integriteten än hante- ringen av enskilda dokument. I detta fall behövs därför en reglering som möter behovet av att kunna värna den enskildes integritet.

Ändamålsbestämmelserna bör utformas så att de ger utrymme för att bedriva brottsbekämpande arbete på ett effektivt sätt med modern teknik och omfatta all behandling av personuppgifter oavsett om den är av mer kvalificerat slag eller inte.

Primära och sekundära ändamål

Utgångspunkten i den nya lagen är att personuppgifter bara ska få behandlas för vissa berättigade, särskilt angivna ändamål. Därmed kan användningen och spridningen av personuppgifterna begränsas. Frågan är då hur ändamålsregleringen bör utformas.

I den nuvarande tullbrottsdatalagen delas ändamålen upp i primära och sekundära, vilket är en vanligt förekommande ordning i särskilda regis- terförfattningar. Motsvarande struktur har använts i både polisdatalagen och kustbevakningsdatalagen.

De primära ändamålen är utformade för att tillgodose den behandling som behövs i den berörda myndighetens egen reglerade verksamhet. Sekundära ändamål reglerar i vilken utsträckning uppgifter som samlats in för något primärt ändamål får behandlas för att lämnas ut från den reglerade verksamheten till enskilda eller till andra myndigheter eller verksamheter. Utlämnande sker således i syfte att tillgodose deras behov, dvs. trots att det inte behövs för något primärt ändamål. För Tullverkets del kan det vara fråga om att uppgifter i den brottsbekämpande verksam- heten behöver lämnas ut för att användas i brottsbekämpande verksamhet som någon annan myndighet bedriver, eller till en annan verksamhet som Tullverket bedriver.

Regeringen anser att ändamålen även i den nya lagen bör delas in i primära och sekundära ändamål. I avsnitt 10.2 behandlas de primära ändamålen för behandlingen av personuppgifter i Tullverkets brotts- bekämpande verksamhet. I avsnitt 10.3 behandlas de sekundära ända- målen för vilka personuppgifter ska få behandlas.

Överväganden och förslag som avser diarieföring och ärendehantering redovisas i avsnitt 10.4.

Bestämmelserna om de tillåtna ändamålen med behandlingen bör gälla även behandling av uppgifter om juridiska personer, se avsnitt 8.2.

Finalitetsprincipen

Finalitetsprincipen innebär att insamlade personuppgifter inte får behan- dlas för något ändamål som är oförenligt med det ursprungliga ända- målet. Det finns flera möjligheter att utforma ändamålsregleringen i särskilda registerförfattningar i förhållande till finalitetsprincipen. Det går dock att urskilja två principiellt olika sätt. Det ena är att i en uttöm-

mande uppräkning ange samtliga ändamål för vilka behandling får ske, både primära och sekundära. Den tekniken har använts i den nuvarande tullbrottsdatalagen. Det andra är att de i lagen angivna ändamålen kom- pletteras med en möjlighet att vidarebehandla personuppgifter även för ändamål som inte är oförenliga med insamlingsändamålet. Möjligheten till vidarebehandling får då avgöras med tillämpning av finalitetsprin- cipen. I flera särskilda registerförfattningar, däribland polisdatalagen och kustbevakningsdatalagen, är ändamålsbestämmelserna utformade enligt det senare alternativet.

En utgångspunkt för den nya lagen bör vara att de tillåtna ändamålen för behandling av personuppgifter anges så tydligt och fullständigt som möjligt. De primära ändamålen, dvs. de ändamål för vilka Tullverket får samla in personuppgifter i sin brottsbekämpande verksamhet, bör därför även fortsättningsvis, i likhet med nuvarande tullbrottsdatalag, polisdata- lagen och kustbevakningsdatalagen, anges uttömmande.

En svårare fråga är om även de sekundära ändamålen – som anger när de personuppgifter som med stöd av de primära ändamålen har samlats in i Tullverkets brottsbekämpande verksamhet får lämnas ut från verksam- heten trots att det inte behövs enligt de primära ändamålen – bör anges uttömmande, på motsvarande sätt som gäller enligt den nuvarande tullbrottsdatalagen. Det kan finnas fördelar med en sådan reglering. Lag- stiftaren kan sägas en gång för alla ha bestämt i vilken utsträckning uppgifter ska få behandlas för att spridas till andra. Under förutsättning att ändamålen är tydligt avgränsade står det genom en sådan reglering klart för både tillämpare och andra vilken behandling av personuppgifter som får förekomma med stöd av den aktuella lagen. I förarbetena till flera särskilda registerförfattningar har regeringen dock gjort bedöm- ningen att det inte är möjligt att i en lag om behandling av person- uppgifter på ett visst område på ett tillräckligt preciserat sätt ange alla de situationer där utlämnande av uppgifter kan komma att aktualiseras, se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 98) och propositionen Kustbevaknings- datalag (prop. 2011/12:45 s. 102).

Att bedöma nuvarande och förutse framtida behov av att kunna få lämna ut personuppgifter är svårt i Tullverkets brottsbekämpande verk- samhet. Tullverket har också upplevt att den nuvarande ordningen med uttömmande uppräkning av samtliga ändamål har begränsat myndig- hetens möjligheter att anpassa sig till samhällsutvecklingen och den ökade samverkan med andra myndigheter som efterfrågas. Regeringen anser att de sekundära ändamålen inte bör anges uttömmande i den nya lagen. I ett enskilt fall bör personuppgifter som samlats in enligt de primära ändamålen även få behandlas för att tillhandahålla information för något annat ändamål än de som uttryckligen anges i lagen, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket personuppgifterna samlades in. Motsvarande gäller enligt polisdatalagen och kustbevakningsdatalagen.

Den hänvisning till 9 § första stycket c och d personuppgiftslagen som föreslås i den nya lagen, se avsnitt 9.2, innebär att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Enligt finalitetsprincipen (9 § första stycket d) får insamlade uppgifter sedan inte behandlas för ändamål som är oförenliga med det ursprungliga

Prop. 2016/17:91

89

Prop. 2016/17:91

90

ändamålet. En av de övergripande arbetsuppgifterna för den brottsbe- kämpande verksamheten är att utreda brott och bekämpa brottslig verksamhet. Har personuppgifter samlats in för att utreda ett visst brott, kan det generellt sett inte anses vara oförenligt med det ursprungliga ändamålet att behandla samma personuppgifter för att utreda ett annat brott eller bekämpa brottslig verksamhet (se prop. 2009/10:85 s. 99). I vissa undantagsfall har lagstiftaren dock bedömt att behandling för sådana nya ändamål inte bör vara tillåten. Uttrycklig reglering om detta har då införts. Sådan reglering finns i bl.a. 27 kap. 23 a § rättegångs- balken, som begränsar användningen av s.k. överskottsinformation från hemliga tvångsmedel till enbart de fall som direkt anges. Vidare kan det

– när svenska myndigheter mottar uppgifter från andra stater – finnas villkor som på grund av en internationell överenskommelse är bindande för de svenska myndigheterna och som begränsar möjligheterna att använda uppgifterna eller bevisningen. I t.ex. 4 kap. 2 § lagen (2000:1219) om internationellt tullsamarbete, 3 § lagen (2000:343) om internationellt polisiärt samarbete, 8 § lagen (2013:329) med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom Europeiska unionen och 5 kap. 1 § lagen (2000:562) om internationell rättslig hjälp i brottmål finns det bestäm- melser som innebär att svenska myndigheter ska följa sådana villkor oavsett vad som är föreskrivet i lag eller annan författning.

En grundtanke är alltså att det inom Tullverkets brottsbekämpande verksamhet, liksom i dag, bör vara tillåtet att använda sig av person- uppgifter som samlats in för ett visst brottsbekämpande ändamål för ett annat sådant ändamål, om det finns behov av detta och det är tillåtet enligt den reglering som gäller för Tullverkets brottsbekämpande verksamhet. Under sistnämnda förutsättning bör ett utlämnande av personuppgifterna från verksamheten också få ske om det behövs för brottsbekämpande ändamål hos andra myndigheter eller för vissa andra sekundära ändamål som kan förutses och som i det enskilda fallet får anses förenliga med finalitetsprincipen. Genom att ange de primära ändamålen och nämnda sekundära ändamål i lagen görs ställningstagan- det att vidarebehandling för dessa ändamål är förenlig med finalitetsprin- cipen. När det gäller de sekundära ändamålen bör också dessa uttryckas så preciserat och fullständigt som möjligt. Det bör vidare krävas att behandlingen är nödvändig för att tillhandahålla information som behövs i annan verksamhet i vissa uppräknade fall. För andra sekundära ändamål än de som anges särskilt måste en bedömning i förhållande till finalitets- principen dock göras i varje enskilt fall. Vidare måste ett utlämnande av personuppgifter givetvis också vara förenligt med offentlighets- och sekretesslagen (2009:400) för att det ska kunna ske.

Regleringsmetoden överensstämmer med den som använts i polisdata- lagen och kustbevakningsdatalagen.

Regleringen ska vara förenlig med dataskyddsprinciper

Datainspektionen anser att det kan ifrågasättas om bestämmelserna om ändamål i promemorians förslag uppfyller kraven enligt grundläggande dataskyddsprinciper på att personuppgifter endast får samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt

som är oförenligt med dessa ändamål. I det följande presenteras förslagen Prop. 2016/17:91 om reglering avseende de primära och sekundära ändamålsbestämmel-

serna, samt förslaget avseende finalitetsprincipen. Regeringen bedömer att förslagen uppfyller kraven på förenlighet med relevanta dataskydds- principer.

10.2

Tullverkets brottsbekämpande verksamhet

 

 

 

Regeringens förslag: Bestämmelsen om de primära ändamåls-

 

bestämmelserna ska föras över oförändrad in i den nya lagen. Person-

 

uppgifter ska således få behandlas i Tullverkets brottsbekämpande

 

verksamhet om det behövs för att

 

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

 

2. utreda eller beivra brott, eller

 

3. fullgöra de förpliktelser som följer av internationella åtaganden.

 

Promemorians förslag: Överensstämmer i sak med regeringens

 

förslag. Promemorians förslag är något annorlunda utformat.

 

Remissinstanserna: Datainspektionen anger att det centrala begreppet

 

brottsbekämpning innefattar vitt skilda saker från utredning av ett

 

konkret och begånget brott till vagt definierat brottsförebyggande arbete

 

och att det innebär att Tullverket ges mycket vida befogenheter att

 

behandla personuppgifter. Datainspektionen har visserligen förståelse för

 

behovet av en effektiv och flexibel lagstiftning inom det brottsbekämpan-

 

de området, men bestämmelserna får inte utformas på ett sätt som öppnar

 

upp för alltför skönsmässiga bedömningar.

 

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

 

Skälen för regeringens förslag: Tullverket har brottsbekämpande

 

uppgifter av skilda slag där behovet av att behandla personuppgifter

 

varierar. När det gäller den närmare avgränsningen av de primära ända-

 

målen i brottsbekämpande verksamhet kan konstateras att man i svensk

 

lagstiftning brukar skilja mellan verksamhet med att förebygga, förhindra

 

eller upptäcka brottslig verksamhet och verksamhet som innefattar att

 

utreda och beivra konkreta brott. Verksamheten med att utreda och

 

beivra brott utförs med anledning av att ett konkret brott har eller

 

misstänks ha begåtts, medan underrättelseverksamhet utförs med anled-

 

ning av misstankar om pågående brottslig verksamhet som inte kan

 

konkretiseras eller allmänna misstankar om framtida brott. Arbetet inom

 

underrättelseverksamheten består främst i att samla in, bearbeta och

 

analysera information.

 

Tullverket bedriver brottsbekämpande verksamhet som avser miss-

 

tankar om både brott och brottslig verksamhet, som avses ovan. Dess-

 

utom deltar Tullverket i internationellt samarbete enligt internationella

 

överenskommelser som ålägger verket vissa förpliktelser.

 

En stor del av det gränsöverskridande samarbetet äger rum som ett led

 

i förebyggande, utredning eller lagföring av svensk brottslighet, t.ex. när

 

en svensk myndighet begär rättslig hjälp i en annan stat. Behandlingen av

 

personuppgifter och utlämnandet av information sker då med stöd av de

 

primära ändamålen att förebygga, förhindra eller upptäcka brottslig

 

verksamhet eller att utreda eller beivra brott i Sverige. När Tullverket

91

 

 

Prop. 2016/17:91 bistår andra länder med uppgifter som behövs i deras verksamhet sker behandlingen med stöd av ändamålet att fullgöra ett internationellt åtagande. Genom en lagändring som trädde i kraft den 1 juli 2013 ändrades den tidigare ordalydelsen av den primära ändamålsbestäm- melsen i den nuvarande tullbrottsdatalagen som reglerar det internatio- nella samarbetet på så sätt att en hänvisning till lagen om internationellt tullsamarbete ersattes med en hänvisning till internationella åtaganden. Lagändringen syftade till att ändamålsbestämmelsen skulle omfatta hela det internationella samarbete som Tullverket är ålagd att delta i, inte bara internationellt samarbete enligt den angivna lagen.

Den nuvarande 7 § tullbrottsdatalagen tillåter behandling för tre primära ändamål: förebygga, förhindra eller upptäcka brottslig verksam- het (1), utreda eller beivra visst brott (2) eller fullgöra förpliktelser som följer av internationella åtaganden (3). I princip likalydande bestämmel- ser om de primära ändamålen i fråga om brottsbekämpande verksamhet finns i polisdatalagen och kustbevakningsdatalagen.

Vad gäller punkten utreda eller beivra brott kan nämnas att huvuddelen av den brottsbekämpande verksamheten består av förundersökning eller annan utredning enligt bestämmelserna i 23 kap. rättegångsbalken. Tullverket har även vissa arbetsuppgifter som avser beivrande av brott, under vilket främst faller tullåklagarens rätt att förelägga ordningsbot och att utfärda strafförelägganden.

Det har inte framkommit att det i den brottsbekämpande verksamheten skulle finnas behov av att för något annat ändamål än de nu gällande samla in eller annars behandla personuppgifter för Tullverkets egen räkning. Regeringen hänvisar därför till tidigare förarbetsuttalanden, se t.ex. propositionen Tullverkets brottsbekämpning – Effektivare uppgifts- behandling (prop. 2004/05:164). Regeringen föreslår således att bestäm- melsen om de primära ändamålen i den nuvarande tullbrottsdatalagen, som motsvarar bestämmelserna i polisdatalagen och kustbevaknings- datalagen, i sak oförändrad tas in i den nya lagen. Bestämmelsen är alltså avsedd att ha samma innebörd som i dag.

Datainspektionen anger att det centrala begreppet brottsbekämpning innefattar vitt skilda saker från utredning av ett konkret och begånget brott till vagt definierat brottsförebyggande arbete och att det innebär att Tullverket ges mycket vida befogenheter att behandla personuppgifter. Regeringen vill framhålla, som också framgår ovan, att det nu inte är fråga om någon utvidgning av möjligheterna att behandla person- uppgifter utan om att behålla befintlig reglering.

Förslaget genomförs genom 2 kap. 5 § i den nya lagen.

10.3Behandling av personuppgifter för att tillhandahålla information till andra

Regeringens förslag: Personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt de primära ändamålen ska även få behandlas om det är nödvändigt för att tillhandahålla information som behövs i

92

1. brottsbekämpande verksamhet hos Polismyndigheten, Säkerhets- Prop. 2016/17:91 polisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kustbevakningen

och Skatteverket,

2.brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation,

3.verksamhet hos Kriminalvården för att förebygga brott och upp- rätthålla säkerheten,

4.annan verksamhet som Tullverket ansvarar för, om det finns särskilda skäl att tillhandahålla informationen,

5.en myndighets verksamhet

om Tullverket enligt lag eller annan förordning är skyldig att bistå myndigheten med någon viss uppgift, eller

om informationen tillhandahålls inom ramen för myndighetsöver- skridande samverkan mot brott.

Personuppgifter ska även få behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen samt till andra, om skyldighet att lämna uppgifter följer av lag eller förordning.

I ett enskilt fall ska personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet även få behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).

Promemorians förslag: Överensstämmer i sak med regeringens

 

förslag. Promemorians förslag är något annorlunda utformat.

 

Remissinstanserna: När det gäller tillhandahållande av information

 

till andra myndigheter med brottsbekämpande verksamhet välkomnar

 

Ekobrottsmyndigheten att det föreslås att Tullverket får behålla möjlig-

 

heten att behandla personuppgifter i sin brottsbekämpande verksamhet

 

för att tillhandahålla information som andra brottsbekämpande myndig-

 

heter behöver i sin verksamhet. För att på ett rationellt sätt använda

 

samhällets samlade resurser för att bekämpa brottslighet är det självklart

 

att de brottsbekämpande myndigheterna ges möjlighet att utbyta informa-

 

tion sinsemellan på ett effektivt sätt.

 

När det gäller tillhandahållande av information som behövs i verksam-

 

het hos Kriminalvården för att förebygga brott och upprätthålla säker-

 

heten välkomnar Kriminalvården förslaget.

 

När det gäller tillhandahållande av information vid myndighetssam-

 

verkan mot brott anger Ekobrottsmyndigheten att det är positivt att

 

Tullverket får möjlighet att behandla personuppgifter för att tillhanda-

 

hålla information även till myndigheter som inte har ett brottsbekämpan-

 

de uppdrag.

 

När det gäller tillhandahållande av information till annan verksamhet

 

inom Tullverket lämnar följande remissinstanser synpunkter.

 

Svea hovrätt anger att i promemorian föreslås att personuppgifter får

 

behandlas för att tillhandahålla information som behövs i annan verksam-

 

het hos Tullverket, om det finns särskilda skäl att tillhandahålla informa-

 

tionen. I promemorian sägs att ”informationen får alltså inte rutinmässigt

 

tillhandahållas, utan det måste i det enskilda fallet finnas särskilda

 

omständigheter som talar för att informationen bör tillhandahållas den

 

fiskala verksamheten”. Enligt hovrätten är det inte helt klart vad som kan

93

 

Prop. 2016/17:91

94

utgöra sådana särskilda skäl. Detta bör preciseras och exemplifieras på sätt som har gjorts i förarbetena till polisdatalagen, inte minst mot bak- grund av att gränsdragningen mellan den fiskala och den brottsbekäm- pande verksamheten inom Tullverket inte är helt tydlig.

Kammarrätten i Sundsvall ifrågasätter inte vikten av effektiv samver- kan som utgör utgångspunkt i promemorian men ställer sig frågande till om det har gjorts nödvändiga avvägningar mellan effektiv samverkan och integritetsskydd. Ett exempel på bristande avvägning mellan effektiv samverkan och integritetsskydd är förslaget om informationsutbyte mellan Tullverkets brottsbekämpande och fiskala verksamhet, utöver samverkan mot brott. I promemorian har inte tillräckligt analyserats skillnaderna mellan de två verksamheterna eller hur avvägningen mellan integritetsskyddet och samverkan ska göras vid informationsutbytet mellan dessa. Informationsutbytet har inte heller ställts i relation till finalitetsprincipen. Att i lagen ange de sekundära ändamålen gör inte att dessa per automatik är förenliga med finalitetsprincipen på det sätt som promemorian gör gällande.

Skatteverket ser behov av en djupare analys av konsekvenserna när det gäller den föreslagna möjligheten till uppgiftslämnande mellan Tull- verkets olika verksamheter. Det är viktigt för Skatteverket att veta till vilket eller vilka ändamål uppgifter lämnas ut eftersom det kan ha betydelse för sekretessprövningen hos Skatteverket.

Sveriges advokatsamfund anser att lydelserna ”annan verksamhet” och ”särskilda skäl” i författningsförslaget är för otydliga och ger utrymme för oklarheter vid tolkning och för skönsmässiga bedömningar. Det måste tydligare framgå vad som avses med dessa lokutioner, såväl i lag som i förarbeten. Följden blir annars bl.a. att Tullverket ges stora möjlig- heter att själv tolka dessa begrepp och att därmed skapa den praxis som man anser lämplig. Verksamhet som avses bör räknas upp. ”Särskilda skäl” bör förtydligas och de ”särskilda omständigheter” som endast kortfattat hänvisas till i promemorian, bör räknas upp i lagen.

Tjänstemännens Centralorganisation (TCO) och Tull-Kust ser behov av att kunna utbyta uppgifter mellan den brottsbekämpande verksam- heten och den fiskala verksamheten bl.a. för att mer effektivt kunna bekämpa den ekonomiska brottsligheten.

Skälen för regeringens förslag

Allmänna utgångspunkter

I detta avsnitt behandlas hur de sekundära ändamålen bör anges och därmed i vilken utsträckning personuppgifter som har samlats in enligt de primära ändamålen ska få lämnas ut för att användas även av andra myndigheter eller i annan verksamhet som Tullverket bedriver, för dessas behov. Med annan verksamhet som Tullverket bedriver avses den som regleras av lagen (2001:185) om behandling av uppgifter i Tull- verkets verksamhet, kallad tulldatalagen, dvs. Tullverkets verksamhet under Effektiv handel.

Det bör dock inledningsvis påpekas att utlämnande av personuppgifter till andra också kan ske inom ramen för något av de primära ändamålen, som behandlas i avsnitt 10.2. Utlämnande av uppgifter till andra kan i många fall nämligen vara ett led i den egna brottsbekämpande verksam-

heten eller förpliktelser som följer av internationella åtaganden och Prop. 2016/17:91 således omfattas av de primära ändamålen.

Som framgår av avsnitt 6.2 har regeringen tagit initiativ till myndig- hetsgemensam samverkan mot organiserad brottslighet. I departe- mentspromemorian Nationell mobilisering mot den grova organiserade brottsligheten – överväganden och förslag gavs förslag på åtgärder för en effektivare och mer uthållig bekämpning av denna typ av brottslighet (Ds 2008:38). En av de viktigaste åtgärderna som lyftes fram är just ökad samverkan mellan myndigheter. Utredningen om informationsutbyte vid brottsbekämpning m.m. (Ju 2010:02), med uppdrag att se över och förbättra möjligheterna att utbyta information mellan myndigheter som samarbetar för att bekämpa grov organiserad brottslighet, lämnade slutbetänkandet Informationsutbyte vid samarbete mot grov organiserad brottslighet (SOU 2011:80). I detta sågs behovet av nödvändiga författ- ningsändringar på sekretessens område över. I betänkandet påpekades att det även kunde finnas behov av individuella ändringar i vissa myndig- heters särskilda registerförfattningar, men detta ansågs inte omfattas av utredningens direktiv. Lagändringar på området har trätt i kraft den 15 augusti 2016. En lag om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet (2016:774) och sammanhörande förordning har införts och kompletterande ändringar i vissa myndigheters registerför- fattningar har gjorts, bl.a. i tulldatalagen, se propositionen Informations- utbyte vid samverkan mot organiserad brottslighet (prop. 2015/16:167). I lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brotts- lighet föreskrivs att vid särskilt beslutad samverkan mellan myndig- heterna i visst avseende ska en myndighet trots sekretess lämna uppgift till en annan myndighet om det behövs för den mottagande myndighetens deltagande i samverkan (1 och 2 §§). Ändringarna syftar till att under- lätta informationsutbytet mellan myndigheter som samverkar för att förebygga, förhindra eller upptäcka viss organiserad brottslighet. Änd- ringen i tulldatalagen utgör ett tillägg i ändamålsbestämmelsen i 1 kap. 5 § om att uppgifter även får behandlas för att tillhandahålla information i den utsträckning som en skyldighet att lämna uppgifterna följer av lag eller förordning. Genom ändringarna har en del av de hinder som funnits för Tullverkets del i den nämnda samverkan undanröjts.

Närmare frågor om på vilket sätt utlämnandet av personuppgifter bör få ske berörs inte i detta avsnitt utan i avsnitt 13.

Det kan i detta sammanhang nämnas att eftersom regleringen av de sekundära ändamålen inte föreslås vara uttömmande finns det ett visst utrymme att tillhandahålla personuppgifter även för andra ändamål än de i lagen angivna, under förutsättning att det nya ändamålet inte kan anses oförenligt med insamlingsändamålet (finalitetsprincipen), se nedan under rubriken Finalitetsprincipen och avsnitt 10.1. Som tidigare betonats är dock målsättningen att de sekundära ändamålen ska vara så fullständiga som möjligt och omfatta det uppgiftsutlämnande från den brottsbekäm- pande verksamheten som kan förutses.

95

Prop. 2016/17:91

96

Tillhandahållande av information till andra myndigheter med brottsbekämpande verksamhet

I den nuvarande tullbrottsdatalagen finns det en uttrycklig bestämmelse som anger att de personuppgifter som behandlas enligt de primära ändamålen i Tullverkets brottsbekämpande verksamhet även får behand- las när det är nödvändigt för att tillhandahålla information som behövs i författningsreglerad brottsbekämpande verksamhet hos ett antal andra uppräknade myndigheter. Dessa myndigheter är Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Skatte- verket och Kustbevakningen (8 §). Liknande bestämmelser finns också i polisdatalagen (2 kap. 8 § första stycket 1) och kustbevakningsdatalagen (3 kap. 3 § första stycket 1).

Det är från brottsbekämpande synpunkt angeläget att samhällets samlade resurser används på ett så rationellt och effektivt sätt som möjligt. Brottsligheten känner inga geografiska gränser eller myndighets- gränser. Att brottsbekämpande myndigheter ska samverka framstår därför som självklart, vilket också har bekräftats genom bl.a. regerings- beslut om samverkan mot organiserad brottslighet, se ovan. Lika själv- klart är att en sådan samverkan förutsätter möjligheter till effektivt utbyte av information, vilket också har bekräftats genom bl.a. lagändringar om uppgiftsskyldighet vid samverkan, se ovan. Ett väl fungerande informa- tionsutbyte skapar förutsättningar att se kopplingar mellan brottslighet inom skilda myndigheters ansvarsområden. Det är därför viktigt att den moderna teknikens möjligheter kan tas till vara för sådant informations- utbyte. Möjligheterna att utbyta information mellan olika myndigheters brottsbekämpande verksamhet bör därför inte försämras.

Mot denna bakgrund bör det även i den nya lagen uttryckligen regleras att de personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet även får behandlas när det är nödvändigt för att tillhanda- hålla information som andra brottsbekämpande myndigheter behöver i sin brottsbekämpande verksamhet. Berörda myndigheter bör likt i dag namnges i den nya lagen och det saknas anledning att i detta lagstift- ningsärende ändra vilka myndigheter som omfattas av uppräkningen. De myndigheter som ska namnges i bestämmelsen bör därför motsvara de som anges i nuvarande tullbrottsdatalag.

Regeringen föreslår således att det införs en bestämmelse om att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § den nya lagen även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polis- myndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndig- heten, Kustbevakningen och Skatteverket.

Förslaget genomförs genom 2 kap. 6 § första stycket 1 i den nya lagen.

Tillhandahållande av information till utländska brottsbekämpande myndigheter eller organisationer

I den nuvarande tullbrottsdatalagen finns det inte någon ändamåls- bestämmelse som särskilt tar sikte på utlämnande av uppgifter inom ramen för internationell samverkan när detta behövs för brottsbekämpan- de verksamhet hos utländska myndigheter eller organisationers behov. Sådan reglering finns dock i t.ex. polisdatalagen (2 kap. 8 § första stycket

2) och kustbevakningsdatalagen (3 kap. 3 § första stycket 2). Enligt dessa författningar får personuppgifter behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation.

Inom ramen för det internationella samarbete som Tullverket bedriver måste den brottsbekämpande verksamheten kunna behandla person- uppgifter för att lämna ut dem i den utsträckning det behövs både för att fullgöra internationella åtaganden, vilket är ett primärt ändamål, och när det annars är förenligt med svenska intressen. Det kan t.ex. vara fråga om att på begäran översända uppgifter till internationella organisationer eller att lämna upplysningar till en utländsk myndighet om vilka åtgärder som har vidtagits i Sverige med anledning av utländsk information. Eftersom det internationella informationsutbytet förutsätter att personuppgifter i vissa fall kan lämnas utan föregående förfrågan från en annan stat, bör det vara möjligt att behandla och lämna ut personuppgifter även om detta endast är ett allmänt åtagande enligt en överenskommelse men inte ett bindande krav. Sådan behandling bör även vara möjlig när det inte finns någon överenskommelse som reglerar uppgiftsutlämnandet, t.ex. för att kunna varna en behörig myndighet i ett annat land om ett förestående brott i det landet.

Lagen om internationellt tullsamarbete tillämpas på internationellt tullsamarbete som följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda och beivra överträdelser av tullbestämmelser (1 kap. 1 § första stycket). I lagen finns vissa bestämmelser om utlämnande av uppgifter till utländska myndigheter och mellanfolkliga organisationer. Det är dock inte alltid som den lagen är tillämplig i Tullverkets brottsbekämpande verksamhet. Regeringen föreslår därför att det i den nya lagen tas in en bestämmelse om att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även får behandlas när det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos en utländsk myndighet eller mellanfolklig organisation. Motsvarande bestämmelse finns som nämnts i polisdatalagen och kustbevakningsdatalagen.

I avsnitt 15.5.6 berörs olika frågor som rör informationsutbyte och sekretess i det internationella samarbetet.

Förslaget genomförs genom 2 kap. 6 § första stycket 2 i den nya lagen.

Tillhandahållande av information till Kriminalvården

Kriminalvården har bl.a. till uppgift att verka för att påföljder verkställs på ett säkert sätt och att återfall i brott förebyggs. Myndigheten är enligt 2 § förordningen (2007:1172) med instruktion för Kriminalvården skyldig att vidta särskilda åtgärder för att förhindra brottslighet under verkställigheten. Enligt 3 § 3 lagen (2001:617) om behandling av person- uppgifter inom Kriminalvården får personuppgifter behandlas om det behövs för att upprätthålla säkerheten och förebygga brott bl.a. under den tid som en person är häktad eller intagen i kriminalvårdsanstalt. För detta ändamål ska Kriminalvården enligt 39 § förordningen (2001:682) om behandling av personuppgifter inom Kriminalvården föra ett särskilt register benämnt säkerhetsregistret.

Prop. 2016/17:91

97

Prop. 2016/17:91 I förarbetena till Kriminalvårdens särskilda registerförfattning anfördes att framväxten av kriminella sammanslutningar och nätverk förutsätter samarbete mellan Kriminalvården och polisen, se propositionen Behand- ling av personuppgifter inom kriminalvården (prop. 2000/01:126 s. 27). Att det behövs uppgiftsutbyte mellan polisen och Kriminalvården lyftes även fram av Rymningsutredningen (SOU 2005:6 s. 120), Beredningen för rättsväsendets utveckling (SOU 2005:117 s. 202 f.) och i lagstift- ningsarbetet med polisdatalagen (prop. 2009/10:85 s. 119). Enligt polis- datalagen får personuppgifter behandlas när det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten (2 kap. 8 § första stycket 5). I kustbevakningsdatalagen finns det inte någon sådan bestäm- melse.

Regeringen bedömer i likhet med promemorian att ett motsvarande informationsutbyte som det som finns mellan Polismyndigheten och Kriminalvården behövs även mellan Tullverkets brottsbekämpande verksamhet och Kriminalvårdens verksamhet för att förebygga brott och upprätthålla säkerheten. Det är t.ex. viktigt att Kriminalvården kan få upplysningar även från Tullverkets brottsbekämpande verksamhet för att kunna göra riktiga bedömningar bl.a. när det gäller placering av intagna och beslut om permissioner i de fall då Tullverket varit ansvarigt för förundersökningen.

De överväganden som gjorts för polisens del (prop. 2009/10:85 s. 119) har således bäring även i förhållande till Tullverket. Den brottsbekäm- pande verksamheten hos Tullverket bör därför ges en lagreglerad möjlighet att behandla personuppgifter om det är nödvändigt för att tillhandahålla information som behövs i verksamheten hos Kriminal- vården för att förebygga brott och upprätthålla säkerheten. En bestäm- melse som tar sikte på ett sådant uppgiftslämnande bör således tas in i den nya lagen. Regeringen föreslår således att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i verksamhet hos Kriminalvården för att förebygga brott och upprätthålla säkerheten.

Förslaget genomförs genom 2 kap. 6 § första stycket 3 i den nya lagen.

Tillhandahållande av information vid myndighetssamverkan mot brott

Enligt den nuvarande tullbrottsdatalagen saknas det möjlighet att lämna ut personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet till icke brottsbekämpande myndigheter, såvida inte det utgör ett led i de primära ändamålen (7 §) eller uppgiftsskyldighet följer av lag eller förordning (9 §). Tullbrottsdatalagen saknar en hänvisning till finalitetsprincipen i 9 d § personuppgiftslagen och de sekundära ända- målen är således helt uttömmande angivna. Detta har skapat problem bl.a. inom ramen för myndighetssamverkan mot organiserad brottslighet liksom sådan samverkan mot terrorism. I dessa fall finns ingen specifik författningsreglerad uppgiftsskyldighet, men flera icke brottsbekämpande myndigheter deltar i det brottsbekämpande arbetet inom ramen för sina ansvarsområden.

98

Som nämnts ovan har genom de lagändringar som nyligen trätt i kraft avseende samverkan mot organiserad brottslighet en del av de hinder som förelegat för Tullverket i myndighetssamverkan undanröjts.

Det kan dock finnas annan samverkan mot brott som inte omfattas av den införda uppgiftsskyldigheten, t.ex. då sådan samverkan inte har beslutats särskilt eller avser annan typ av brottslighet. Tullverket deltar också i samverkan mot terrorism, se avsnitt 6.2, som inte nödvändigtvis kan komma att omfattas av den nya lagen om uppgiftsskyldighet. Det bedöms därför finnas behov av en ändamålsbestämmelse som tar sikte på uppgiftsutbyte i samverkan mot brott. Utgångspunkten är vidare att de sekundära ändamålen ska anges så uttömmande som möjligt. Som har nämnts tidigare finns även fördelar med en samstämmig lagstiftning för involverade myndigheter.

En bestämmelse som möjliggör ett uppgiftsutbyte till andra än brotts- bekämpande myndigheter vid bl.a. sådan samverkan finns i polis- datalagen och kustbevakningsdatalagen. Enligt polisdatalagen får person- uppgifter behandlas om det är nödvändigt för att tillhandahålla informa- tion som behövs i en myndighets verksamhet om informationen till- handahålls inom ramen för myndighetsöverskridande samverkan mot brott (2 kap. 8 § första stycket 7 b).

En effektiv brottsbekämpning förutsätter samverkan inte bara mellan myndigheter som har till uppgift att bekämpa brott utan även mellan brottsbekämpande myndigheter och andra myndigheter. Sådan sam- verkan sker redan i dag t.ex. i regionala underrättelsecentrum (se avsnitt 6.2). Vilka myndigheter som är representerade i ett underrättelsecentrum varierar. Kronofogdemyndigheten, Skatteverket, Kriminalvården, Migra- tionsverket och Försäkringskassan är exempel på myndigheter som deltar i sådan samverkan. Tullverket har, i likhet med t.ex. Skatteverket, fått i uppdrag av regeringen att ingå i samverkan, och därmed inom ramen för hela Tullverkets uppdrag.

Regeringen anser att Tullverket i sin brottsbekämpande verksamhet bör ha samma möjligheter som Polismyndigheten och Kustbevakningen att behandla personuppgifter för att tillhandahålla information till myndig- heter som inte har brottsbekämpande verksamhet, när syftet är att sam- verka mot brott. I detta sammanhang kan även vidtagandet av tullåt- gärder mot kriminella vara ett led i att försvåra den brottsliga verksam- heten. Det är därför rimligt att detta uppgiftsutbyte även inkluderar en intern uppgiftsöverföring inom Tullverket.

Mot denna bakgrund föreslår regeringen en bestämmelse om att personuppgifter som behandlas i Tullverkets brottsbekämpande verksam- het enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet, om informationen tillhandahålls inom ramen för myndig- hetsöverskridande samverkan mot brott.

När det gäller Tullverket bedrivs som nämnts både brottsbekämpande och icke brottsbekämpande verksamhet. Ett uppgiftslämnande med stöd av nu aktuell bestämmelse kan således komma att ske inte bara till andra myndigheters verksamhet, utan även inom myndigheten, nämligen till Tullverkets verksamhet under Effektiv handel. Under efterföljande rubrik behandlas frågan om ett sådant internt uppgiftsutbyte ska kunna ske även i vissa andra fall.

Prop. 2016/17:91

99

Prop. 2016/17:91 Förslaget genomförs genom 2 kap. 6 § första stycket 5 b i den nya lagen.

Tillhandahållande av information till annan verksamhet som Tullverket ansvarar för

Det finns behov av en reglering som tillåter uppgiftsutbyte inom myndig- heten även i vissa andra fall än ovan angivna. Sådana bestämmelser finns i polisdatalagen och kustbevakningsdatalagen, där det har införts bestäm- melser som medger behandling av personuppgifter för att tillhandahålla information från den brottsbekämpande verksamheten hos Polismyndig- heten och Kustbevakningen som behövs i annan verksamhet hos respek- tive myndighet i vissa fall (2 kap. 8 § första stycket 4 polisdatalagen och 3 kap. 3 § första stycket 3 kustbevakningsdatalagen, se också prop. 2009/10:85 s. 119–120 och prop. 2011/12:45 s. 111–112).

Det är rimligt att Tullverket, som har i uppdrag att bekämpa organise- rad brottslighet, inklusive ekonomisk brottslighet, har samma möjligheter att behandla uppgifter i den brottsbekämpande verksamheten för att tillhandahålla information i verksamheten under Effektiv handel oavsett om arbetet sker inom ramen för myndighetsöverskridande samverkan mot brott eller inte. Riksdag och regering har även gett Tullverket i uppdrag att säkerställa korrekt uppbörd och att restriktioner följs. Även sådana intressen kan i vissa fall utgöra skäl för tillhandahållande av personuppgifter till Tullverkets verksamhet under Effektiv handel.

Det är av stor vikt att Tullverket kan använda it-system, som förs med stöd av tulldatalagen (tulldatabasen), för att t.ex. spärra kommande importer från tredjeland som uppfyller vissa riskkriterier eller där det finns en misstanke om att en specifik aktör kommer att föra in omfattan- de mängder narkotika, illegala cigaretter eller misstänks för sådan ekonomisk brottslighet som medför illojal konkurrens. En sådan behand- ling bör som huvudregel omfattas av något av de primära ändamålen (se avsnitt 10.2) men det måste inte alltid vara fallet.

För att säkerställa att det finns stöd för Tullverkets brottsbekämpande verksamhet att tillhandahålla information för användning i annan verksamhet som Tullverket ansvarar för, anser regeringen att det finns skäl att införa en sekundär ändamålsbestämmelse om detta. För att det ska vara tillåtet ska det i likhet med vad som gäller för polisdatalagen krävas särskilda skäl.

Svea hovrätt anser det inte vara helt klart vad som kan utgöra sådana ”särskilda skäl” och anser att detta bör preciseras och exemplifieras på sätt som har gjorts i förarbetena till polisdatalagen, inte minst mot bakgrund av att gränsdragningen mellan den fiskala och den brottsbe- kämpande verksamheten inom Tullverket inte är helt tydlig. Sveriges advokatsamfund anser att lydelserna ”annan verksamhet” och ”särskilda skäl” i författningsförslaget är för otydliga och ger utrymme för oklar- heter vid tolkning och för skönsmässiga bedömningar. Verksamhet som avses bör räknas upp, särskilda skäl förtydligas och de särskilda omständigheterna bör räknas upp i lagen.

Regeringen vill med anledning av detta lyfta fram följande. Använd- ningen i annan verksamhet syftar på Tullverkets verksamhet som inte är

brottsbekämpande och som brukar benämnas Effektiv handel, såsom

100

verksamhet med bestämmande, redovisning, betalning och återbetalning av tull, annan skatt och avgifter, inklusive övervakning, revision och annan analys eller kontroll avseende denna verksamhet. Regeringen bedömer att det inte finns skäl att räkna upp varje relevant verksamhet i lagtext.

Vad gäller särskilda skäl innebär detta först och främst att en generell möjlighet för Tullverkets brottsbekämpande verksamhet att tillhandahålla information för sådan verksamhet under Effektiv handel inte ska finnas. Tillhandahållandet av information från den brottsbekämpande verksam- heten för användning i den andra verksamheten bör förbehållas situa- tioner där det tydligt kan identifieras ett starkt behov, dels med utgångs- punkt i Tullverkets samlade ansvarsområden, dels utifrån vissa särskilda uppdrag som Tullverket har.

Tullverket har i uppdrag att begränsa den organiserade och storskaliga brottsligheten och minska antalet kriminella nätverk som ägnar sig åt narkotika-, alkohol- eller tobakssmuggling eller ekonomisk brottslighet. Att minska tillgången på narkotika i Sverige är av stor vikt. Omfatt- ningen och karaktären av den brottslighet som Tullverket bekämpar vid myndighetsöverskridande samverkan mot brott skiljer sig ofta inte från den brottslighet som Tullverket bekämpar helt på egen hand. Av olika orsaker blir en fråga inte alltid ett ärende vid myndighetsöverskridande samverkan mot brott och det behöver inte innebära att den misstänkta brottsligheten är av mindre allvarlig karaktär. Det kan t.ex. vara att samverkan med andra myndigheter inte är nödvändig för att bekämpa brottsligheten. Nätverk inom organiserad brottslighet utnyttjar allt mer legala strukturer för att dölja eller för att bedriva sin kriminella verksam- het. Det är inte ovanligt att narkotika och cigaretter bipackas tillsammans med legala varusändningar, med eller utan importörens kännedom (se t.ex. Myndighetsgemensam lägesbild om grov organiserad brottslighet 2016–2017).

Flera remissinstanser efterlyser exempel på när nu aktuellt uppgifts- lämnande kan komma att ske. Den föreslagna bestämmelsen är avsedd att medföra en möjlighet att t.ex. använda spärrsystemet i verksamheten under Effektiv handel för att Tullverket ska få en varning om vilka varusändningar som bör kontrolleras närmare. Behandling får därefter ske i den utsträckning det är tillåtet enligt tulldatalagen. Bestämmelsen ska också kunna tillämpas för tillhandahållande av information från den brottsbekämpande verksamheten i syfte att försvåra för allvarligt krimi- nella att fortsätta brottslig verksamhet som bedrivs i bolagsform genom att vidta åtgärder som hör till Effektiv handel, t.ex. en revision av bolagets import- och exportverksamhet eller en översyn av beviljade tillstånd.

Det kan vidare finnas fall där det, utan att syftet är att försvåra brottslig verksamhet, är befogat att personuppgifter behandlas i den brottsbekäm- pande verksamheten för att tillhandahålla information som behövs i verksamheten under Effektiv handel. Det kan handla om information om tullpliktig verksamhet som framkommit vid underrättelseverksamhet som inte lett till att misstankar om brottslig verksamhet har kunnat bekräftas, men där det ändå finns anledning att anta att tullagstiftningen på något mera allvarligt sätt inte har följts eller att tullbeslut blivit oriktiga på ett sådant sätt att det finns särskilda skäl att tillhandahålla information.

Prop. 2016/17:91

101

Prop. 2016/17:91

102

Återigen kan betonas att informationen alltså inte får tillhandahållas rutinmässigt, utan det måste i det enskilda fallet finnas särskilda omständigheter som talar för att informationen bör tillhandahållas den andra verksamheten.

Skatteverket ser behov av en djupare analys av konsekvenserna när det gäller den föreslagna möjligheten till uppgiftslämnande mellan Tull- verkets olika verksamheter och anser det vara viktigt för Skatteverket att veta till vilket eller vilka ändamål uppgifter lämnas ut eftersom det kan ha betydelse för sekretessprövningen hos Skatteverket. Kammarrätten i Sundsvall ifrågasätter inte vikten av effektiv samverkan som utgör utgångspunkt i promemorian men ställer sig frågande till om det har gjorts nödvändiga avvägningar mellan effektiv samverkan och integri- tetsskydd samt till informationsutbytet i relation till finalitetsprincipen.

Vad gäller Skatteverkets synpunkt beskrivs ovan vilken behandling som nu aktuell bestämmelse tar sikte på.

Vad gäller Kammarrätten i Sundsvalls synpunkt om avvägningar mellan effektiv samverkan och integritetsskydd vill regeringen lyfta fram följande. Tullverkets verksamhet under Effektiv handel berör till största delen juridiska personer såsom tullpliktiga. Det är således främst information om juridiska personer som det skulle komma i fråga att tillhandahålla från den brottsbekämpande verksamheten. Enligt en uppskattning av Tullverket gjord 2004 avser ca 99 procent av uppgifterna näringsidkare, varav ca 97 procent är juridiska personer och ca två procent enskilda näringsidkare, se prop. 2004/05:164 s. 100. I samma proposition har regeringen uttalat att eftersom tulldatabasen till över- vägande del innehåller uppgifter om juridiska personer och det nästan uteslutande är fråga om uppgifter som är hänförliga till näringsverk- samhet, kan uppgifterna i systemet enligt regeringens uppfattning generellt inte anses vara direkt känsliga ur integritetssynpunkt (s. 100).

Vad gäller nu aktuellt förslag bör det även kunna bli aktuellt att i vissa särskilda fall tillhandahålla uppgifter om personer med enskild firma, dvs. uppgifter om fysiska personer. Det är viktigt att en avvägning sker mellan integritetsintressen och effektivitetsintressen innan uppgifter i det enskilda fallet förs vidare. Det måste framstå som proportionerligt att en uppgift förs över till den andra verksamheten. Det kan här påminnas om att det inte är fråga om ett rutinmässigt uppgiftslämnande, utan att det ska krävas särskilda skäl.

Regeringen vill härutöver lyfta fram att de sekundära ändamål som föreslås i detta avsnitt bedöms vara förenliga med finalitetsprincipen.

Regeringen föreslår således en bestämmelse om att personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvändigt för att tillhandahålla information som behövs i annan verksamhet som Tull- verket ansvarar för, om det finns särskilda skäl att tillhandahålla informa- tionen. Förslaget motsvarar den bestämmelse som finns i polisdatalagen.

Förslaget genomförs genom 2 kap. 6 § första stycket 4 i den nya lagen.

Tillhandahållande av information i vissa andra fall

Det finns ytterligare fall där personuppgifter måste kunna få behandlas av Tullverket för utlämnande till andra. Tullverket måste t.ex. ha möjlig-

het att behandla personuppgifter om det behövs för att fullgöra författ- Prop. 2016/17:91 ningsenliga förpliktelser att bistå en annan svensk myndighet. Det kan

t.ex. vara att bistå åklagare i en förundersökning eller polis vid kontroll av utlänningars inresa eller utresa enligt utlänningslagen.

I polisdatalagen och kustbevakningsdatalagen finns reglering om att Polismyndigheten respektive Kustbevakningen får behandla person- uppgifter när det är nödvändigt för att tillhandahålla information som behövs i en myndighets verksamhet under förutsättning att Polismyndig- heten respektive Kustbevakningen enligt lag eller förordning är skyldig att bistå myndigheten med viss uppgift (se 2 kap. 8 § första stycket 7 a polisdatalagen och 3 kap. 3 § första stycket 4 a kustbevakningsdata- lagen). Någon sådan bestämmelse finns inte i den nuvarande tullbrotts- datalagen. En bestämmelse som täcker in dessa behov för Tullverket bör dock enligt regeringens mening tas in i den nya lagen. Regeringen före- slår därför att en bestämmelse om att personuppgifter som behandlas enligt den föreslagna 2 kap. 5 § även ska få behandlas när det är nödvän- digt för att tillhandahålla information som behövs i en myndighets verksamhet, om Tullverket enligt lag eller förordning är skyldigt att bistå myndigheten med viss uppgift.

Det finns enligt den nuvarande tullbrottsdatalagen möjlighet att lämna ut personuppgifter dels till riksdagen och regeringen, dels till andra i den utsträckning uppgiftsskyldighet följer av lag eller förordning (9 §). Motsvarande bestämmelser finns även i polisdatalagen (2 kap. 8 § andra stycket) och kustbevakningsdatalagen (3 kap. 3 § andra stycket). Något minskat behov av en sådan reglering har inte uppmärksammats. Rege- ringen föreslår därför att det även i den nya lagen anges att person- uppgifter som behandlas enligt den föreslagna 2 kap. 5 § får behandlas om det är nödvändigt för att tillhandahålla information till riksdagen och regeringen. Liksom i dag bör det också i den nya lagen anges att person- uppgifter får behandlas om det är nödvändigt för att tillhandahålla information till andra i den utsträckning skyldighet att lämna person- uppgifter följer av lag eller förordning.

Förslaget genomförs genom 2 kap. 6 § första stycket 5 a och andra stycket i den nya lagen.

Finalitetsprincipen

Som anges i avsnitt 10.1 anser regeringen att i fråga om behandling av personuppgifter för andra sekundära ändamål än de i lagen angivna ska den s.k. finalitetsprincipen tillämpas. Skälen för detta redovisas i det avsnittet. Regeringen föreslår därför en bestämmelse som motsvarar t.ex. vad som finns i kustbevakningsdatalagen och polisdatalagen, nämligen att i ett enskilt fall ska personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet även få behandlas för att tillhandahålla information för något annat ändamål, under förutsättning att ändamålet inte är oförenligt med det ändamål för vilket uppgifterna samlades in.

Förslaget genomförs genom 2 kap. 6 § tredje stycket i den nya lagen.

103

Prop. 2016/17:91 10.4

Behandling som är nödvändig för diarieföring

 

och handläggning

Regeringens förslag: Personuppgifter ska få behandlas i Tullverkets brottsbekämpande verksamhet om behandlingen är nödvändig för diarieföring eller om uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för hand- läggningen.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: I den nuvarande tullbrottsdatalagen finns det inte någon särskild bestämmelse om behandling av person- uppgifter som är nödvändig för diarieföring eller om behandling av inkomna personuppgifter som är nödvändig för handläggning. I polis- datalagen och kustbevakningsdatalagen finns det uttryckliga bestämmel- ser om att personuppgifter får behandlas om behandlingen är nödvändig för diarieföring eller om personuppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen (2 kap. 9 § polisdatalagen och 2 kap. 6 § kustbevakningsdatalagen).

Avsaknaden av en uttrycklig ändamålsbestämmelse om detta i den nuvarande tullbrottsdatalagen har medfört viss osäkerhet inom Tullverket om sådan behandling är tillåten eller inte. De primära ändamålen ger inte nödvändigtvis stöd för behandling av alla personuppgifter som kan komma in till Tullverket i form av anmälningar, tips och meddelanden av olika slag. Om uppgifterna faktiskt inte behövs i verksamheten, finns tveksamhet om en behandling ligger inom ramen för de primära ända- målen, men Tullverket måste ändå fullgöra sina skyldigheter i fråga om diarieföring och bevarande av inkomna handlingar.

De inkommande uppgifterna kan utgöra en del av en allmän handling i tryckfrihetsförordningens mening. Enligt 5 kap. 1 § offentlighets- och sekretesslagen gäller som huvudregel att allmänna handlingar som kommit in till eller upprättats hos en myndighet ska registreras, dvs. diarieföras, så snart som möjligt.

Vid sidan av skyldigheten att registrera allmänna handlingar ska enligt 5 § andra stycket förvaltningslagen (1986:223) en myndighet se till att det är möjligt för enskilda att kontakta myndigheten med hjälp av bl.a. e- post och att svar kan lämnas på samma sätt.

När en personuppgift kommer in till en myndighet, t.ex. i ett e-post- meddelande, kan det många gånger vara svårt att avgöra för vilket ändamål, om något, som det finns behov av att behandla uppgiften. I den mån personuppgiften utgör en del av en allmän handling måste den ändå utan dröjsmål kunna behandlas för diarieföring. Därutöver måste myndigheten alltid kunna leva upp till de krav på kommunikation med enskilda som ställs i förvaltningslagen. Det måste alltså finnas en möjlig- het att ta emot och diarieföra personuppgifter i elektronisk form, liksom att behandla dem i det ärende som handlingen föranleder, oavsett om

104

myndigheten anser att personuppgifterna behövs i myndighetens Prop. 2016/17:91 verksamhet eller inte.

Det finns därför även för Tullverkets brottsbekämpande verksamhet ett behov av en uttrycklig bestämmelse som otvetydigt klargör att myndig- heten alltid i enlighet med offentlighets- och sekretesslagens regler får diarieföra allmänna handlingar och vidta sådana åtgärder som har nämnts i det föregående. En bestämmelse bör således införas i den nya lagen som motsvarar den som finns i polisdatalagen och kustbevakningsdatalagen om att personuppgifter får behandlas om behandlingen är nödvändig för diarieföring eller när personuppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handlägg- ningen. Avsikten är att samtliga framställningar till Tullverket ska omfattas av bestämmelsen, t.ex. även uppgifter lämnade vid telefonsam- tal.

Det är alltså fråga om en särreglering som tar sikte på sådan behand- ling av personuppgifter som inte ryms inom lagens ändamålsbestäm- melser men som Tullverket ändå måste kunna utföra för att uppfylla sina skyldigheter i fråga om allmänna handlingar och ärendehandläggning.

Regeringen föreslår således en bestämmelse om att personuppgifter ska få behandlas om behandlingen är nödvändig för diarieföring eller uppgifterna har lämnats till Tullverket i en anmälan eller liknande och behandlingen är nödvändig för handläggningen.

Förslaget genomförs genom 2 kap. 7 § i den nya lagen.

11 Bokningsuppgifter från transportföretag

Regeringens förslag: Det ska i den nya lagen anges att personuppgifter som har lämnats till Tullverket från transportföretag enligt 4 kap. 6 § tullagen eller 15 § lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen ska få behandlas om det är tillåtet enligt dessa lagar och enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt.

Om det behövs i ett enskilt fall ska sådana personuppgifter få behand- las för något annat primärt ändamål och göras gemensamt tillgängliga.

Vid sökning i sådana personuppgifter ska namn, personnummer, samordningsnummer och andra liknande identitetsbeteckningar få använ- das som sökbegrepp bara om uppgifterna avser en person som är eller har varit misstänkt för brott eller kan antas ha samband med brottslig verksamhet eller som övervakas på grund av misstanke om att personen kan komma att utöva brottslig verksamhet. För personuppgifter som har gjorts gemensamt tillgängliga ska bestämmelserna i kapitlet som gäller gemensamt tillgängliga uppgifter om sökning gälla.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser att innebörden av uttrycket enstaka personuppgifter som används i promemorians

förslag bör belysas ytterligare, då det förefaller ha olika betydelse om det

105

Prop. 2016/17:91

tillämpas avseende personuppgifter från transportföretag respektive

 

elektroniskt utlämnande av personuppgifter.

 

Skatteverket anger att Tullverkets möjligheter att samla in uppgifterna

 

från transportföretagen förutsätter att uppgifterna behövs i Tullverkets

 

brottsbekämpande verksamhet. Behandling föreslås dock få ske för

 

planering av kontrollverksamhet och urval av kontrollobjekt vilket kan

 

föra tankarna även till Tullverkets fiskala verksamhet. Det stämmer inte

 

överens med de primära ändamålen som ju avser brottsbekämpande

 

verksamhet. Avsikten med de föreslagna bestämmelserna bör förtydligas.

 

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

 

Skälen för regeringens förslag: Enligt bestämmelserna i 4 kap. 6, 7

 

och 8 §§ tullagen (2016:253) samt 15 och 16 §§ lagen (1996:701) om

 

Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom

 

Europeiska unionen (kallad inregränslagen) gäller, med vissa mindre

 

skillnader, följande. Tullverket får begära att ett transportföretag som

 

befordrar varor, passagerare eller fordon till eller från Sverige ska lämna

 

de aktuella uppgifter om ankommande och avgående transporter som

 

företaget har tillgång till. I fråga om passagerare får Tullverket endast

 

begära uppgifter om namn, resrutt, bagage och medpassagerare samt

 

sättet för betalning och bokning. Tullverket får begära uppgifter endast

 

om uppgifterna kan antas ha betydelse för Tullverkets brottsbekämpande

 

verksamhet. Transportföretaget ska skyndsamt lämna Tullverket de

 

uppgifter som verket begär. Transportföretag får lämna uppgifter på så

 

sätt att de görs läsbara för Tullverket genom terminalåtkomst. Tullverket

 

får ta del av uppgifter genom terminalåtkomst endast i den omfattning

 

och under den tid som behövs för att kontrollera aktuella transporter.

 

Tullverket får inte ändra eller på annat sätt bearbeta eller lagra uppgifter

 

som hålls tillgängliga på detta sätt. Uppgifter om enskilda personer som

 

lämnats på annat sätt än genom terminalåtkomst ska omedelbart

 

förstöras, om de visar sig sakna betydelse för utredning och lagföring av

 

brott (mer om detta, se propositionen Tullens befogenheter vid den inre

 

gränsen, prop. 1995/96:166 s. 76–85).

 

Enligt lagen (2005:787) om behandling av uppgifter i Tullverkets

 

brottsbekämpande verksamhet (kallad tullbrottsdatalagen) får uppgifter

 

som kommit in till Tullverket om passagerare, importörer, exportörer och

 

transportörer samt varor och transportmedel behandlas, inom ramen för

 

de primära ändamålen att förebygga, förhindra eller upptäcka brottslig

 

verksamhet, för planering av kontrollverksamheten och urval av kontroll-

 

objekt (13 §). Sådana uppgifter som behandlas enbart med stöd av den

 

bestämmelsen får inte behandlas i tullbrottsdatabasen (19 § tredje

 

stycket). Dessutom innehåller den nuvarande tullbrottsdatalagen en

 

bestämmelse som innebär att namn, personnummer och samordnings-

 

nummer, med vissa angivna undantag, får användas som sökbegrepp bara

 

om uppgifterna avser en person som misstänks för något visst brott eller

 

för brottslig verksamhet (21 § första stycket).

 

Som framgår ovan innebär redan bestämmelserna i tullagen och

 

inregränslagen att Tullverket inte får ta del av personuppgifterna från

 

transportföretagen för något brottsbekämpande ändamål mer än i den

 

omfattning och under den tid som behövs för att kontrollera aktuella

 

transporter. Att uppgifterna endast får begäras in för att de behövs i den

106

brottsbekämpande verksamheten framgår alltså av annan lagstiftning än

den nuvarande tullbrottsdatalagen. Även fortsättningsvis bör det enligt regeringens mening framgå av registerförfattningen att Tullverket har möjlighet att behandla uppgifter från transportföretag, varför regeringen i den nya tullbrottsdatalagen föreslår en bestämmelse som upplyser om detta.

I den nya lagen bör också i likhet med idag anges närmare förut- sättningar för detta, dock med en något annan utformning än nuvarande reglering.

Liksom enligt den nuvarande tullbrottsdatalagen bör uppgifterna från transportföretag som utgångspunkt bara få behandlas i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontroll- objekt, varför regeringen föreslår en bestämmelse med sådant innehåll.

Uppgifterna bör inte heller som utgångspunkt få göras gemensamt tillgängliga – med nuvarande begreppsanvändning får de inte ingå i tullbrottsdatabasen. Att generellt tillåta att sådana uppgifter om resande- strömmar som kommit Tullverket till del som det nu är fråga om görs gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet skulle strida mot intentionerna bakom de nämnda bestämmelserna i tullagen och inregränslagen. Om sådana uppgifter, t.ex. efter en kontroll, visar sig vara nödvändiga för t.ex. en brottsutredning, bör de dock få behandlas inom ramen för den utredningen och dessutom göras gemen- samt tillgängliga. På motsvarande sätt bör i enskilda fall sådana uppgifter som t.ex. kan antas ha samband med allvarlig misstänkt brottslig verk- samhet eller som behöver lämnas ut enligt någon internationell förplik- telse få behandlas för sådana ändamål och göras gemensamt tillgängliga. Regeringen föreslår därför en reglering som anger att om det behövs i ett enskilt fall får personuppgifter behandlas för något annat primärt ända- mål och göras gemensamt tillgängliga. Regeringen har härigenom valt en annan författningsteknisk lösning än promemorian, varför Kammarrätten i Sundsvalls invändningar mot uttrycket enstaka personuppgifter också tillgodoses.

I avsnitt 14.4 berörs vilka restriktioner som bör gälla för sökning i gemensamt tillgängliga uppgifter. Uppgifter som Tullverket har begärt in från transportföretag intar dock en särställning och behandlas därför i detta avsnitt och också separat i den föreslagna lagen. Om detta vill regeringen framföra följande. Dels är transportföretagen skyldiga att lämna ut uppgifterna, dels avser de flesta uppgifterna helt oskyldiga resenärer. Att tillåta sökningar på resenärens namn i dessa fall är förenat med särskilda integritetsrisker. Det är visserligen effektivt för brotts- bekämpningen om Tullverket kan samköra uppgifter om resenärer som kommit in från transportföretag inför en transport med andra uppgifter från den brottsbekämpande verksamheten och få fram vilka som redan övervakas eller kan misstänkas ha samband med brottslig verksamhet. Det har dock inte framkommit att den begränsning av sökmöjligheterna som gäller i dag har, i fråga om uppgifter från transportföretag, inneburit något allvarligt hinder mot en effektiv brottsbekämpning. Tills vidare bör det därmed enligt regeringens mening, liksom i dag, vara tillräckligt att det är möjligt att i uppgifterna från transportföretag söka efter personer som redan är eller har varit misstänkta för brott eller kan antas ha samband med brottslig verksamhet.

Prop. 2016/17:91

107

Prop. 2016/17:91 Därutöver bör Tullverket få söka i uppgifterna från transportföretag efter sådana allvarligt kriminellt belastade personer som övervakas i enlighet med de förutsättningar som berörs närmare i avsnitt 14.2.2. När det gäller personuppgifter som har gjorts gemensamt tillgängliga ska bestämmelserna som handlar om sökning gällande gemensamt tillgäng- liga uppgifter gälla, vilket regeringen föreslår ska anges uttryckligen i lagen.

Regeringen föreslår sammantaget en reglering som anger att person- uppgifter som har inkommit till Tullverket från transportföretag enligt 4 kap. 6 § tullagen och 15 § inregränslagen får behandlas om det är tillåtet enligt dessa lagar. Behandlingen ska vidare få ske enbart i den utsträckning det behövs för planering av kontrollverksamheten och urval av kontrollobjekt. Om det behövs i ett enskilt fall ska sådana person- uppgifter få behandlas för något annat primärt ändamål och göras gemensamt tillgängliga. Vid sökning i sådana personuppgifter som inte har gjorts gemensamt tillgängliga ska namn, personnummer, samord- ningsnummer och andra liknande identitetsbeteckningar få användas som sökbegrepp bara om uppgifterna avser en person som är eller har varit misstänkt för brott eller kan antas ha samband med brottslig verksamhet eller som övervakas på grund av misstanke om att personen kan komma att utöva brottslig verksamhet. För personuppgifter som har gjorts gemensamt tillgängliga ska bestämmelserna om sökning i kapitlet som gäller gemensamt tillgängliga uppgifter gälla.

Skatteverket anser att då behandling föreslås få ske för planering av kontrollverksamhet och urval av kontrollobjekt vilket kan föra tankarna även till Tullverkets fiskala verksamhet, stämmer detta inte överens med de primära ändamålen som ju avser brottsbekämpande verksamhet. Avsikten med de föreslagna bestämmelserna bör därför enligt Skatte- verket förtydligas. Regeringen vill framhålla att det framgår redan av förutsättningarna i tullagen och inregränslagen att det endast är för brottsbekämpande syften som behandlingen får ske. Vidare gäller den nu föreslagna lagen bara för Tullverkets brottsbekämpande verksamhet. Regeringen anser därför inte att något förtydligande behöver ske i lagtext.

Förslaget genomförs genom 2 kap. 8 och 9 §§ i den nya lagen.

 

12

Känsliga personuppgifter

 

 

 

 

 

 

Regeringens förslag: Uppgifter om en person ska inte få behandlas

 

 

 

enbart på grund av vad som är känt om personens ras eller etniska

 

 

 

ursprung, politiska åsikter, religiösa eller filosofiska övertygelse,

 

 

 

medlemskap i fackförening, hälsa eller sexualliv (känsliga person-

 

 

 

uppgifter). Uppgifter om en person som behandlas på annan grund ska få

 

 

 

kompletteras med känsliga personuppgifter när det är absolut nödvändigt

 

 

 

för syftet med behandlingen. Känsliga uppgifter ska också få behandlas

 

 

 

om det är nödvändigt för diarieföring eller om personuppgifterna har

 

 

 

lämnats i en anmälan eller liknande och behandlingen är nödvändig för

 

108

 

handläggningen.

 

 

 

Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Lunds universitet anger att det vad gäller använd-

ningen av ordet ”ras” vid andra lagstiftningsärenden har hänvisats till en kommande allmän översyn och att eftersom någon sådan allmän översyn inte har skett, kan det vara lämpligt att ta ställning till om den av riksdagen uttalade ambitionen ska kvarstå. Universitetet hänvisar också till sitt remissvar inför kustbevakningsdatalagen där det ifrågasatte om bestämmelsen att uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet bör föras in i lagtexten, dels då regeringsformens bestämmelser i 1 kap. 9 § om objektivitet och saklighet gäller, dels då det kan ifrågasättas om inte detta bör gälla alla personuppgifter.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Enligt lagen (2005:787) om behand- ling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tull- brottsdatalagen) får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person redan behandlas på annan grund får dock uppgifterna kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen. Uppgifter som beskriver en persons utseende ska alltid utformas på ett objektivt sätt och med respekt för människovärdet. Dessutom får sådana uppgifter behandlas om de förekommer i en handling som kommit in till Tullverket i ett ärende (11 §). Bestämmelsen bör enligt regeringens mening föras över till den nya lagen. Det kan också nämnas att bestäm- melser med motsvarande innebörd finns i 2 kap. 10 § polisdatalagen (2010:361) och 2 kap. 7 § kustbevakningsdatalagen (2012:145).

Innebörden av bestämmelsen är att det t.ex. inte är tillåtet att föra särskilda register över personer med viss etnisk bakgrund eller sexuell läggning. Förekommer personen i en förundersökning eller något annat ärende, får dock sådana uppgifter antecknas, om det bedöms vara absolut nödvändigt för syftet med behandlingen.

Såvitt avser begreppet ras har riksdagen i andra lagstiftningsärenden uttalat att det inte finns någon vetenskaplig grund för att dela in människor i skilda raser och från biologisk synpunkt följaktligen heller ingen grund för att använda ordet ras om människor. Ordet ras före- kommer dock förutom i personuppgiftslagen (1998:204) även i polisdat- alagen och kustbevakningsdatalagen. I samband med lagstiftningsärendet om kustbevakningsdatalagen kom regeringen efter omfattande över- väganden fram till att det inte var lämpligt att i ett enstaka specifikt lagstiftningsärende utmönstra ordet ras och därmed ändra den vedertagna beskrivningen av känsliga personuppgifter. Även ordet ras skulle därför föras över till den nya lagen. Lunds universitet anger att det vid andra lagstiftningsärenden vad gäller användningen av ordet ”ras” har hän- visats till en kommande allmän översyn och att eftersom någon sådan allmän översyn inte har skett kan det vara lämpligt att ta ställning till om den av riksdagen uttalade ambitionen ska kvarstå. Regeringen avser inte

Prop. 2016/17:91

109

Prop. 2016/17:91 att i detta lagstiftningsärende behandla frågan om en översyn av begreppet. Det kan dock nämnas att frågan behandlas i betänkandet SOU 2015:103 Ett utvidgat straffrättsligt skydd för transpersoner m.m. och även kan komma att aktualiseras i samband med genomförandet av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (kallat 2016 års dataskyddsdirektiv).

När det gäller anmälningar som kommer in måste Tullverket alltid ha möjlighet att diarieföra och handlägga inkommande anmälningar och liknande skrivelser. Skälen för detta har utvecklats i avsnitt 10.4. Sådan behandling bör vara tillåten även i de fall där inkommande handlingar innehåller känsliga personuppgifter. Detta bör enligt regeringens mening komma till uttryck i lagtexten som ett undantag från förbudet att behandla känsliga personuppgifter. I nyss nämnda avsnitt redogörs för vilken behandling som bör omfattas av bestämmelsen om behandling för diarieföring.

Regeringen föreslår således en reglering om att uppgifter om en person inte ska få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Känsliga uppgifter ska också få behandlas om det är nödvändigt för diarieföring eller om person- uppgifterna har lämnats i en anmälan eller liknande och behandlingen är nödvändig för handläggningen. Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människo- värdet. Vad gäller det sistnämnda kravet gör således regeringen, i likhet med vad regeringen gjorde vid införandet av kustbevakningsdatalagen, en annan bedömning än Lunds universitet som ifrågasätter denna bestämmelse.

Förslaget genomförs genom 2 kap. 10 § i den nya lagen.

13 Elektroniskt utlämnande

13.1Utlämnande på medium för automatiserad behandling

Regeringens förslag: Bestämmelsen om att enstaka personuppgifter ska få lämnas ut på medium för automatiserad behandling ska föras över oförändrad in i den nya lagen. Det ska också fortsättningsvis upplysas om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på medium för automatiserad behandling även i andra

fall.

110

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser att innebörden av begreppet enstaka personuppgifter bör belysas ytterligare i författ- ningskommentaren.

Ekobrottsmyndigheten anger att i lagförslaget begränsas möjligheterna till elektroniskt utlämnande på så sätt att endast enstaka personuppgifter som huvudregel får lämnas ut på medium för automatiserad behandling men att detta enligt promemorian kan innehålla ett större antal person- uppgifter eller alla handlingar och uppgifter i ett enstaka ärende eller delar av ett ärende. Ekobrottsmyndigheten är kritisk till att lagförslaget till sin ordalydelse i vanligt språkbruk avviker så kraftigt från bestäm- melsens tänkta innebörd.

Myndigheten anser det vara nödvändigt att försvarare och annat juridiskt biträde har samma elektroniska tillgång till ett omfattande förundersökningsprotokoll som åklagaren, men ser oklarheter i frågan om en förundersökning omfattas av bestämmelsen eller inte. Ekobrotts- myndigheten anser att den lösning som förordas i förarbetena till polisdatalagen (2010:361), propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 186), att i förordning medge ett elektroniskt utlämnande utan begränsningar till försvarare eller annat juridiskt biträde, är att föredra.

Skatteverket anser att det vore lämpligt att i förarbetena klart ange t.ex. huruvida en hel förundersökning anses omfattas av begreppet enstaka uppgifter och därmed få lämnas ut på medium för automatiserad behand- ling till berörda. Detta skulle underlätta bedömningen i de enskilda fallen samt medföra en mer enhetlig tillämpning av bestämmelsen. Även journalister bör kunna få del av förundersökningsmaterial i elektronisk form, under förutsättning att det inte är olämpligt i det enskilda fallet.

Skälen för regeringens förslag: Innebörden av uttrycket utlämnande på medium för automatiserad behandling redovisas i avsnitt 6.3, liksom begreppet direktåtkomst. Enligt 25 § lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrotts- datalagen) får enstaka uppgifter lämnas ut på medium för automatiserad behandling. Regeringen får också meddela föreskrifter om att utläm- nande på sådant medium får ske i andra fall, vilket inte har skett.

Av effektivitetsskäl kan uppgifter behöva lämnas ut i elektronisk form på medium för automatiserad behandling. Inte bara direktåtkomst utan även utlämnande av personuppgifter på medium för automatiserad behandling anses medföra särskilda risker från integritetssynpunkt. Ett sådant utlämnande innebär nämligen som regel att mottagaren kan bearbeta informationen, t.ex. genom att samköra den mot elektroniska uppgifter som har hämtats från andra informationskällor. Det ökar riskerna för att uppgifterna ska behandlas i strid med de grundläggande kraven på dataskydd. Utlämnande i elektronisk form skapar också möjlighet för myndigheter att inrätta rutiner som innefattar dagliga överföringar av större mängder av uppgifter. Även om direktåtkomst generellt får betraktas som den mest känsliga formen av elektroniskt utlämnande kan i vissa fall likartade risker föreligga vid andra former av elektroniskt utlämnande. I polisdatalagen, kustbevakningsdatalagen (2012:145) och åklagardatalagen (2015:433) finns särskilda bestämmel-

Prop. 2016/17:91

111

Prop. 2016/17:91

ser om möjligheten att lämna ut uppgifter på medium för automatiserad

 

behandling. Mot denna bakgrund anser regeringen att förutsättningarna

 

för utlämnande på medium för automatiserad behandling även fortsätt-

 

ningsvis bör författningsregleras när det gäller Tullverkets brottsbekäm-

 

pande verksamhet.

 

 

Enligt de ovan nämnda lagarna om behandling om personuppgifter i

 

andra brottsbekämpande verksamheter gäller som huvudregel att endast

 

enstaka personuppgifter får lämnas ut på medium för automatiserad

 

behandling, t.ex. genom e-post, när förutsättningarna för ett utlämnande i

 

övrigt är uppfyllda. Regeringen anser inte att det finns skäl när det gäller

 

just Tullverkets brottsbekämpande verksamhet att ha en annan utgångs-

 

punkt. Huvudregeln bör därför vara att endast enstaka personuppgifter

 

får lämnas ut på medium för automatiserad behandling, t.ex. genom e-

 

post. Uttrycket enstaka ska ha samma innebörd som i de andra författ-

 

ningarna på området. Regeringen föreslår därmed i likhet med promemo-

 

rian att bestämmelsen om utlämnande på medium för automatiserad

 

behandling förs över i sak oförändrad till den nya lagen. Enstaka person-

 

uppgifter ska således få lämnas ut på medium för automatiserad behand-

 

ling.

 

 

I förhållande till myndigheter som får medges direktåtkomst finns inte

 

skäl att införa begränsningar i fråga om utlämnande på annat elektroniskt

 

medium, eftersom lagen ska vara teknikneutral. Regeringen avser att i

 

förordning meddela föreskrifter om detta. Det ankommer på Tullverket

 

att avgöra vilken form av elektroniskt utlämnande som bäst tillgodoser

 

det behov som finns och som är mest lämplig. Vid den bedömningen

 

behöver utvecklingen beträffande begreppet direktåtkomst beaktas (se

 

t.ex. avsnitt 6.3.2).

 

 

Kammarrätten i Sundsvall och Ekobrottsmyndigheten invänder mot

 

uttrycket enstaka personuppgifter och även Skatteverket vill ha

 

klargöranden om detta. Regeringen har tidigare uttalat sig om detta. I

 

samband med lagstiftningsärendena om polisdatalagen och kustbevak-

 

ningsdatalagen har regeringen angett att det är svårt att i lagtext närmare

 

ange innebörden av begreppet enstaka. Det har i sammanhanget även

 

påpekats att begreppet enstaka har en annan innebörd än i vanligt

 

språkbruk, se prop. 2009/10:85 s. 333 och propositionen Kustbevak-

 

ningsdatalag (prop. 2011/12:45 s. 98). Regeringen har inte någon annan

 

syn i frågan när det gäller nu aktuellt lagstiftningsärende. Uttrycket

 

enstaka i nu föreslagen bestämmelse i den nya lagen ska som nämnts

 

även ovan ha samma innebörd som i polisdatalagen och kustbevaknings-

 

datalagens motsvarande bestämmelser om elektroniskt utlämnande.

 

Ekobrottsmyndigheten och Skatteverket anser det också vara oklart

 

vad som gäller elektroniskt utlämnande av förundersökningar eller

 

uppgifter i förundersökningar. Regeringen vill med anledning av detta

 

framhålla följande. Det kan uppkomma behov för Tullverket att kunna

 

lämna ut större mängder med uppgifter i vissa fall. Det finns därför skäl

 

att överväga att i förordning medge utlämnande på medium för automa-

 

tiserad behandling även i andra fall än som anges i lagen. Som exempel

 

kan nämnas just utlämnande av en förundersökning men också annan

 

utredning enligt bestämmelserna

i 23 kap. rättegångsbalken till t.ex.

 

försvarare eller annat juridiskt biträde. Bestämmelser som möjliggör

112

sådant utlämnande har införts

i t.ex. 18 § polisdataförordningen

(2010:1155) och 8 § åklagardataförordningen (2015:575). Även utläm- Prop. 2016/17:91 nande av statistik till Brottsförebyggande rådet kan komma att regleras.

I likhet med vad som gäller i dag bör i den nya lagen upplysas om att regeringen kan meddela föreskrifter om att uppgifter får lämnas ut på medium för automatiserad behandling även i andra fall. Detta sker med stöd av restkompetensen i 8 kap. 7 § första stycket 2 regeringsformen. Regeringen föreslår därför att det i lagtexten uttryckligen hänvisas till 8 kap. 7 § regeringsformen.

Enligt den nuvarande tullbrottsdatalagen har Tullverket skyldighet att lämna sådana uppgifter som är nödvändiga för att framställa rättsstatistik till den myndighet som ansvarar för att framställa sådan statistik, dvs. Brottsförebyggande rådet. I avsnitt 15.5.5 föreslås att en sådan skyldighet tas in också i den nya lagen. Regeringen anser att det är rimligt att Brottsförebyggande rådet får den statistik som myndigheten ansvarar för i elektronisk form och att Tullverket kan lämna ut en omfattande mängd uppgifter i detta fall. Ett sådant omfattande uppgiftsutlämnande till Brottsförebyggande rådet kan lämpligen regleras i förordning på mot- svarande sätt som skett för Polismyndighetens del.

Förslaget genomförs genom 2 kap. 16 § i den nya lagen.

13.2Utlämnande genom direktåtkomst

Regeringens förslag: Utlämnande genom direktåtkomst av person- uppgifter i Tullverkets brottsbekämpande verksamhet ska vara tillåtet bara i den utsträckning som följer av lagen.

Det ska införas en bestämmelse som hänvisar till var i lagen det finns bestämmelser om direktåtkomst.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över

förslaget.

Skälen för regeringens förslag: I den nuvarande tullbrottsdatalagen anges att regeringen får meddela föreskrifter om att vissa uppräknade myndigheter i sin brottsbekämpande verksamhet får ha direktåtkomst till uppgifter i tullbrottsdatabasen (26 §). Sådana föreskrifter har meddelats i förordningen (2005:791) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet (6–8 §§). Bestämmelserna om direkt- åtkomst i polisdatalagen och kustbevakningsdatalagen har en annan utformning men innefattar också en uttömmande reglering av möjlig- heten till direktåtkomst, genom att det anges när det är tillåtet med direktåtkomst. För att uppnå tydlighet bör det enligt regeringens mening i den nya lagen finnas en sådan uttrycklig bestämmelse som finns i polisdatalagen och kustbevakningsdatalagen. Det ska alltså anges att utlämnande genom direktåtkomst bara är tillåtet i den utsträckning som följer av lagen.

Vidare bör det upplysas om var i lagen det finns bestämmelser om direktåtkomst.

Förslaget genomförs genom 2 kap. 17 § i den nya lagen.

113

Prop. 2016/17:91

14

Särskilda bestämmelser för gemensamt

 

 

tillgängliga uppgifter

 

14.1

Gemensamt tillgängliga uppgifter

 

 

 

Regeringens förslag: Den nya lagen ska innehålla särskilda bestäm-

 

melser om behandling av personuppgifter som görs eller har gjorts

 

gemensamt tillgängliga. Uppgifter som endast ett fåtal personer har

 

rätt att ta del av ska inte anses som gemensamt tillgängliga. De

 

särskilda bestämmelserna om gemensamt tillgängliga uppgifter ska

 

inte gälla när personuppgifter behandlas med stöd av bestämmelserna

 

om diarieföring m.m.

 

 

 

Promemorians förslag: Överensstämmer i huvudsak med regeringens

 

förslag. I promemorian föreslås att de särskilda bestämmelserna om

 

gemensamt tillgängliga uppgifter inte heller ska gälla när sådana

 

personuppgifter som behövs för handläggningen av ärenden som rör

 

internationellt samarbete behandlas i ett internationellt register. Förslaget

 

är också något annorlunda utformat.

 

Remissinstanserna: Datainspektionen anger att den i lagstiftnings-

 

ärendena om polisdatalag, kustbevakningsdatalag och lag om behandling

 

av personuppgifter i Skatteverkets brottsbekämpande verksamhet har

 

ifrågasatt systemet med att ha olika regler för uppgifter som görs

 

gemensamt tillgängliga och för andra uppgifter i den brottsbekämpande

 

verksamheten. Det är tveksamt om dataskyddsnivån i den känsliga

 

brottsbekämpande verksamheten ska vara beroende av hur många som

 

faktiskt har tillgång till uppgifterna. Visserligen ökar typiskt sett risken

 

för otillbörliga integritetsintrång när personuppgifter blir tillgängliga för

 

en större krets individer. Den föreslagna regleringen beaktar dock enligt

 

inspektionen inte att risken för otillbörliga integritetsintrång också beror

 

på andra omständigheter. Inspektionen anser också att uttrycket gemen-

 

samt tillgängliga uppgifter är otydligt och därför kan ge upphov till

 

tillämpningsproblem. Det är naturligtvis viktigt med en enhetlig syn hos

 

de tillämpande myndigheterna på centrala begrepp i lagstiftningen. I

 

integritetshänseende är det dock ännu viktigare att begreppen är tydliga

 

och att den praktiska tillämpningen inte leder till otillbörliga integritets-

 

intrång. Det är inte acceptabelt att, som i detta fall, begreppsbildningen

 

närmare ska utvecklas av den tillämpande myndigheten.

 

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

 

Skälen för regeringens förslag

 

Det bör finnas särskilda bestämmelser för uppgifter som flera personer

 

har tillgång till

 

Den nya lagen föreslås gälla för all automatiserad behandling av

 

personuppgifter i Tullverkets brottsbekämpande verksamhet och för viss

 

manuell sådan behandling (se avsnitt 8.2). Detta innebär att inte bara

 

uppgifter som behandlas i för verksamheten gemensamma uppgifts-

 

samlingar, t.ex. register eller ärendehanteringssystem, omfattas, utan

114

även

sådan behandling som utförs av en enskild tjänsteman eller en

begränsad grupp av personer, t.ex. vanlig ordbehandling och e-post- kommunikation.

Som framhållits i andra lagstiftningsärenden, se t.ex. propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 125) och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 72), är risken för otillbörliga intrång i den personliga integriteten större när personuppgifter används av flera gemensamt i en verksamhet än när behandlingen sker av en enskild tjänsteman vid den egna datorn utan att någon annan har direkt elektronisk åtkomst till uppgifterna. Det har därför bedömts nödvändigt att införa särskilt stränga krav för behandling av personuppgifter som används av eller i vart fall är tillgängliga för fler än ett fåtal personer. Uppgifter som är tillgängliga enbart för en eller ett fåtal personer behöver däremot inte omgärdas av lika strikta krav. I flera särskilda registerförfattningar har det därför gjorts en åtskillnad mellan sådan behandling som avser uppgifter som är gemensamt tillgängliga i en verksamhet och sådan behandling där upp- gifterna endast är tillgängliga för en enskild eller en begränsad grupp av tjänstemän. Regeringen har således gjort en annan bedömning i denna fråga än Datainspektionen, som motsätter sig att man har olika strikta regler beroende på hur många som faktiskt har tillgång till uppgifterna.

Den nya lagen bör enligt regeringens mening, i likhet med bl.a. lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen), polisdatalagen (2010:361) och kustbevakningsdatalagen (2012:145), innehålla särskilda bestämmelser för behandling av personuppgifter som är gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Regeringen föreslår också en inledande upplysningsbestämmelse i kapitlet om gemensamt tillgängliga uppgifter.

Vilket begrepp bör användas?

Frågan är då hur man bör avgränsa den behandling av personuppgifter för vilken särskilda regler ska gälla.

I tidigare lagstiftning om behandling av personuppgifter på särskilda områden har begreppen register och databas använts för att göra avgräns- ningen. Användningen av registerbegreppet i fråga om behandling som innefattar elektronisk ärendehantering kritiserades redan i samband med framtagandet av den nuvarande tullbrottsdatalagen, bl.a. därför att det för tankarna till ett på visst sätt organiserade eller systematiserade samlingar av uppgifter, se propositionen Tullverkets brottsbekämpning – Effekti- vare uppgiftsbehandling (prop. 2004/05:164 s. 60). I den nuvarande tullbrottsdatalagen används i stället begreppet databas (tullbrottsdatabas) för att beskriva gemensamt använda uppgifter. Även begreppet databas har dock en stark teknisk anknytning och leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem. Detta är inte ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Upp- gifter kan t.ex. föras in helt ostrukturerat och oorganiserat i olika filer för olika sammanställningar m.m. Som en följd av detta bör enligt rege- ringens mening den nya lagen inte bygga på att behandlingen av personuppgifter sker i olika slag av register eller databaser utan i stället ges en mera generell utformning. Regleringen bör vara teknikneutral.

Prop. 2016/17:91

115

Prop. 2016/17:91 På senare tid har i särskilda registerförfattningar på det brottsbekäm- pande området i stället för databas, register eller uppgiftssamling för avgränsningen använts uttrycket gemensamt tillgängliga uppgifter. Så är fallet med polisdatalagen och kustbevakningsdatalagen, liksom i flera andra nyligen antagna registerförfattningar.

Regeringen föreslår att samma uttryck används i den nya tullbrotts- datalagen. Därmed blir begreppsbildningen också enhetlig för samma verksamhet hos flera olika myndigheter som i sin verksamhet ofta utbyter uppgifter. Det kan dock noteras att i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet (kallad tulldatalagen) används ännu begreppet databas (tulldatabasen). Några nämnvärda tillämpningssvårigheter till följd av att olika begrepp används i den nya lagen och tulldatalagen kan dock inte förutses (jfr prop. 2009/10:85 s. 127).

I enlighet med det sagda föreslår regeringen att det i den inledande bestämmelsen om gemensamt tillgängliga uppgifter ska framgå vad som avses med gemensamt tillgängliga uppgifter. Uttrycket har samma inne- börd som motsvarande uttryck i polisdatalagen och kustbevaknings- datalagen, se mer nedan.

Gränsdragningen mellan gemensamt tillgängliga uppgifter och andra personuppgifter

Det ligger i sakens natur att det inte är enkelt att dra en tydlig gräns mellan uppgifter som är gemensamt tillgängliga och andra uppgifter. Regeringen har i förarbetena till polisdatalagen och kustbevaknings- datalagen angett några principer för gränsdragningen (se prop. 2009/10:85 s. 127 f. och 2011/12:45 s. 73 f.). Uttrycket gemensamt tillgängliga uppgifter i den nya lagen har samma innebörd som mot- svarande uttryck i polisdatalagen och kustbevakningsdatalagen.

En grundläggande förutsättning för att personuppgifter ska anses vara gemensamt tillgängliga bör vara att de kan användas gemensamt av flera, dvs. att fler än en person har åtkomst till uppgifterna. Uppgifter som endast ett fåtal personer har rätt att ta del av bör dock inte anses som gemensamt tillgängliga. Att en uppgift ”är tillgänglig” för en viss person bör förstås så att personen har såväl faktisk möjlighet att ta del av uppgiften som rättslig behörighet till det. Det bör däremot inte spela någon roll hur många som faktiskt tar del av de aktuella uppgifterna. Det bör inte heller spela någon roll om den som har tillgång till uppgiften kan påverka den eller bara läsa den.

Detta innebär till att börja med att uppgifter blir att anse som gemen- samt tillgängliga om behandlingen sker för att en obestämd krets – t.ex. hela Tullverkets brottsbekämpande verksamhet eller en viss organisa- tionsenhet inom myndigheten – ska kunna ta del av uppgifterna. Också andra uppgifter som är tillgängliga för en mer begränsad men i förväg obestämd krets av personer bör, som huvudregel, anses gemensamt tillgängliga. Överhuvudtaget täcker uttrycket gemensamt tillgängliga uppgifter inte enbart register i traditionell bemärkelse utan alla uppgifts- samlingar i Tullverkets brottsbekämpande verksamhet, avsedda för en obestämd krets av personer.

116

Vidare bör uppgifter anses som gemensamt tillgängliga även i vissa fall när den personkrets som har tillgång till uppgifterna är bestämd och avgränsad. Om uppgifterna är tillgängliga för ett stort antal bestämda personer, bör de således anses vara gemensamt tillgängliga. Personupp- gifter som behandlas i brottsbekämpande verksamhet som involverar ett flertal tjänstemän som gemensamt behandlar viss information bör alltså regelmässigt anses som gemensamt tillgängliga. Uppgifter bör dock inte anses som gemensamt tillgängliga enbart därför att två eller flera personer har tillgång till dem. Kan man redan från början konstatera att uppgifterna endast kommer att vara tillgängliga för en avgränsad krets av ett litet antal personer, bör uppgifterna inte anses som gemensamt till- gängliga.

En förutsättning för att uppgifterna inte ska anses vara gemensamt tillgängliga är alltså att kretsen omfattar endast ett litet antal personer, t.ex. ett mindre underrättelseprojekt. Om projektet enbart engagerar en avgränsad krets, bestående av ett fåtal på förhand utpekade personer eller funktioner, bör de uppgifter som behandlas inom ramen för projektet normalt inte betraktas som gemensamt tillgängliga. Så snart det är fråga om mer än ett fåtal personer som har tillgång till uppgifterna bör utgångspunkten vara den motsatta. Det bör inte i lag anges någon exakt gräns för antalet personer, men som tumregel har i förarbetena för polisdatalagen och kustbevakningsdatalagen angetts att uppgifter normalt bör anses som gemensamt tillgängliga när fler än ett tiotal personer har tillgång till dem (prop. 2009/10:185 s. 129 och prop. 2011/12:45 s. 74).

När det talas om en bestämd krets bör detta inte uppfattas som att det alltid från början måste kunna anges exakt vilka tjänstemän eller vilken krets av tjänstemän som avses få tillgång till uppgifterna. Bedömningen blir naturligtvis enklare om man på förhand vet att endast ett fåtal respektive en större krets kommer att behandla uppgifterna. Även i de fall där detta inte står klart från början kan man oftast av arbetsuppgiftens art och storlek sluta sig till om uppgifterna sannolikt kommer att behandlas av ett fåtal tjänstemän eller av en större krets.

I viss utsträckning kan tidsaspekten ha betydelse för om uppgifter ska anses vara gemensamt tillgängliga eller inte. En del verksamheter, främst underrättelseverksamhet inom ramen för brottsbekämpningen, leder inte alltid till ett bestämt avslut av ett visst konkret ärende. Ett underrättelse- projekt kan ha en obestämd varaktighet och därför komma att löpa över en längre tid, t.ex. projekt riktade mot systematisk brottslighet eller organiserad narkotikasmuggling. Det ligger i sakens natur att i sådana långvariga projekt kan den personal som sysslar med projektet komma att bytas ut under arbetets gång. Även om tanken från början har varit att endast en liten avgränsad krets ska arbeta med projektet, är det därför långt ifrån alltid möjligt att upprätthålla det kravet. Underrättelsematerial som tas fram i ett sådant projekt bör därför också anses som gemensamt tillgängliga uppgifter. Motsvarande bör i princip gälla andra typer av uppgifter som behandlas för att användas under en längre tid.

Detta bör inte gälla undantagslöst. Om en enskild tjänsteman gör sammanställningar av olika slag för eget bruk, gör detta inte att upp- gifterna anses vara gemensamt tillgängliga, även om han eller hon har för avsikt att använda dem under längre tid. Det är inte möjligt att ge detal- jerade anvisningar för bedömningen av när en viss uppgift är gemensamt

Prop. 2016/17:91

117

Prop. 2016/17:91

118

tillgänglig. Enhetlighet åstadkoms i stället genom riktlinjer utformade av Tullverket och utbildning av personalen.

Datainspektionen anser att uttrycket gemensamt tillgängliga uppgifter är otydligt och att det därför kan ge upphov till tillämpningsproblem. Inspektionen anser det vara viktigt med en enhetlig syn hos de tilläm- pande myndigheterna på centrala begrepp i lagstiftningen och att det inte är acceptabelt att begreppsbildningen närmare ska utvecklas av den tillämpande myndigheten. Regeringen anser i likhet med Datainspek- tionen att en enhetlig syn är viktig och betonar därför att innebörden av uttrycket också är densamma i de nu jämförda författningarna. Att det ska utformas riktlinjer och att personalen ska utbildas syftar just till att tillämpningen ska bli korrekt.

Undantag från reglerna om gemensamt tillgängliga uppgifter

Som framgår ovan kommer den föreslagna lagen att skilja mellan personuppgifter som endast ett fåtal personer har tillgång till och person- uppgifter som görs eller har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. För gemensamt tillgängliga uppgifter föreslås lagen innehålla särskilda, mera begränsande, bestämmelser.

Personuppgifter som behandlas med stöd av den föreslagna bestäm- melsen om diarieföring m.m. (2 kap. 7 §, se avsnitt 10.4) kommer i vissa fall att bli tillgängliga för en större krets personer, t.ex. i diarier, även om tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 9.5). De skulle därmed i och för sig kunna sägas utgöra gemensamt tillgängliga uppgifter. De föreslagna bestämmelserna för gemensamt tillgängliga uppgifter har till syfte att reglera sådan behandling som sker i för verksamheten gemensamma uppgiftssamlingar. Syftet med ändamåls- bestämmelsen om diarieföring är inte att möjliggöra behandling av personuppgifter i den brottsbekämpande verksamheten i sig. Det är i stället fråga om en särreglering som tar sikte på sådan behandling av personuppgifter som inte ryms i de primära ändamålen men som Tullverket ändå måste kunna utföra, dels för att hantera inkommande handlingar, dels för att tillgodose tryckfrihetsförordningens krav på att allmänheten ska ha tillgång till allmänna handlingar. Flera av de bestämmelser som föreslås gälla vid behandling av gemensamt tillgäng- liga uppgifter, som t.ex. särskilda upplysningar och sökbegränsningar, är inte lämpade att reglera behandling av personuppgifter i diarier m.m.

I likhet med de överväganden som har gjorts för Polismyndighetens del bör i de fall som personuppgifter enbart behandlas med stöd av nu aktuell bestämmelse om diarieföring inte reglerna om gemensamt tillgängliga uppgifter vara tillämpliga (jfr prop. 2009/10:85 s. 113). I polisdatalagen finns det en uttrycklig bestämmelse om detta (3 kap. 1 § andra stycket). För att uppnå tydlighet bedömer regeringen det vara lämpligt att i den nya lagen ta in en uttrycklig bestämmelse. Därför föreslås en bestämmel- se om att bestämmelserna om gemensamt tillgängliga uppgifter inte ska gälla när personuppgifter behandlas med stöd av bestämmelsen om diarieföring m.m.

I promemorian föreslås också att bestämmelserna om gemensamt tillgängliga uppgifter inte heller ska gälla när sådana uppgifter som

behövs för handläggningen av ärenden som rör internationellt samarbete Prop. 2016/17:91 behandlas i ett internationellt register, men det har inte föreslagits några

särskilda regler för det internationella registret. Regeringen bedömer att det inte finns skäl att införa en bestämmelse om att reglerna om gemensamt tillgängliga uppgifter inte ska gälla vid sådan behandling. I avsnitt 14.2.4 föreslås att uppgifter som behövs för att fullgöra interna- tionella åtaganden ska få göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras. Vid sådan behandling kommer således reglerna om gemensamt tillgängliga uppgifter att gälla.

Lagförslag

Förslaget genomförs genom 3 kap. 1 § i den nya lagen.

14.2De uppgifter som får göras gemensamt tillgängliga

I detta avsnitt behandlas vilka personuppgifter som ska få göras gemensamt tillgängliga. Då nu gällande tullbrottsdatalag inte har någon reglering om gemensamt tillgängliga uppgifter har den en annan uppbyggnad än den föreslagna nya lagen. Nu aktuella förslag till bestämmelser om vilka uppgifter som ska få göras gemensamt tillgäng- liga följer systematiken i de lagar som har en reglering om gemensamt tillgängliga uppgifter.

14.2.1Uppgifter som kan antas ha samband med misstänkt brottslig verksamhet

Regeringens förslag: Uppgifter som kan antas ha samband med miss- tänkt brottslig verksamhet ska få göras gemensamt tillgängliga, om den misstänkta verksamheten

innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller

sker systematiskt.

Promemorians förslag: Överensstämmer med regeringens förslag.

 

Remissinstanserna: Kriminalvården noterar att tullbrottsdatalagen

 

inte på samma detaljnivå som Kriminalvårdens regelverk, t.ex. 3 §

 

förordningen (2001:682) om behandling av personuppgifter inom

 

kriminalvården, reglerar vilka uppgifter som får behandlas. Kriminal-

 

vården anser att det finns en risk för att uppgifter som registreras med

 

stöd av tullbrottsdatalagen saknar lagstöd för behandling av Kriminal-

 

vården. Kriminalvården ser ett behov av en anpassning av de lagar och

 

bestämmelser som reglerar Kriminalvårdens behandling av person-

 

uppgifter.

 

Datainspektionen anger att promemorians val att dra gränsen vid brott

 

för vilka är föreskrivet fängelse i ett år eller däröver trots att samma

 

effekt hade uppnåtts om gränsen hade dragits vid brott för vilka är

 

föreskrivet fängelse i två år eller däröver, inte har några omedelbara

 

integritetskonsekvenser men kan på sikt leda till otillbörliga integritets-

119

Prop. 2016/17:91 intrång, vilket inte berörs i promemorian. Det aktuella förslaget avser behandling av personuppgifter i Tullverkets underrättelseverksamhet. Med hänsyn till den känsliga personuppgiftsbehandling som det är fråga om i dessa fall och de långa lagringstider som det kan bli fråga om bör det närmare belysas vilka konkreta behov Tullverket har av att kunna behandla uppgifter av nu aktuellt slag. Vilka är de brott som Tullverket får mandat att behandla i och med förslaget om att sänka kravet på att straffet för brottet ska vara fängelse i minst två år och vilka brott kan det bli fråga om att behandla med stöd av hänvisningen till systematisk brottslighet? Vilka konkreta problem kan uppkomma om en sådan behandling inte får ske? Vilka effektiviseringsvinster är det som förutses? De konkreta vinster som förslaget förväntas medföra måste också vägas mot de förluster i integritetshänseende som förslaget kan komma att ge upphov till.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Den brottsliga verksamheten måste vara av allvarligt slag

Enligt den nuvarande tullbrottsdatalagen får uppgifter som kan hänföras till en person behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet om uppgifterna ger anledning att anta att sådan brottslig verksamhet utövats eller kan komma att utövas som innefattar brott för vilket är föreskrivet fängelse i minst två år eller som innefattar andra brott, om verksamheten sker systematiskt, och uppgifterna gör att personen skäligen kan misstänkas för att utöva eller komma att utöva sådan verksamhet (12 § första stycket 1). Det kan här noteras att bestämmelsen inte handlar om vad som får ingå i tullbrottsdatabasen, utan om möjligheten till behandling av uppgifter. Om förutsättningarna i bestämmelsen är uppfyllda, får dock enligt 19 § uppgifter som i den paragrafen räknas upp, behandlas i tullbrottsdatabasen.

Enligt polisdatalagen och kustbevakningsdatalagen, som till skillnad från tullbrottsdatalagen har en reglering om gemensamt tillgängliga uppgifter, får uppgifter som kan antas ha samband med misstänkt brottslig verksamhet som antingen innefattar brott för vilket det är föreskrivet fängelse i ett år eller däröver eller sker systematiskt, göras gemensamt tillgängliga.

Regleringen i den nuvarande tullbrottsdatalagen har skapat tillämp- ningssvårigheter för Tullverkets brottsbekämpande verksamhet. Kravet på misstanke om brott för vilket är föreskrivet fängelse i minst två år, vilket av Tullverket har tolkats så att minimistraffet för det misstänkta brottet ska vara fängelse i minst två år, har i praktiken gjort att bara misstankar om grov narkotikasmuggling har kunnat behandlas i under- rättelseverksamheten. I annat fall krävs det att misstanken avser att brott utförs systematiskt. Den utformning som den nuvarande tullbrotts- datalagen har hindrar enligt Tullverket utnyttjandet av modern teknik i en stor del av Tullverkets brottsbekämpande verksamhet och har kommit att försvåra Tullverkets arbete. Den har även försvårat samverkan med andra myndigheter, då regelverken hos de brottsbekämpande myndigheterna skiljer sig åt.

120

Enligt den lagstiftning som föregick den nuvarande tullbrottsdatalagen (2 § lagen [2001:85] om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet) avsågs med allvarlig brottslighet verk- samhet som innefattar brott för vilka är föreskrivet fängelse i två år eller däröver och som Tullverket enligt lag eller förordning har befogenhet att ingripa mot, vilket enligt Tullverkets uppfattning omfattar fler brott än den nuvarande tullbrottsdatalagen. Det kan finnas skäl att ifrågasätta om en ändring i detta avseende var lagstiftarens avsikt när den nuvarande tullbrottsdatalagen infördes (prop. 2004/05:164 s. 71 f.).

I samband med införandet av polisdatalagen kom regeringen, efter ingående överväganden om huruvida gränsen för vad som ska anses som allvarlig brottslighet skulle sättas vid ett eller två års fängelse, fram till ett annat resultat än det som gäller enligt den nuvarande tullbrotts- datalagen. Det påpekades det faktum att, ju mindre allvarlig brottslig verksamhet det är fråga om, desto mindre är som regel behovet av att sprida uppgifter, och att det är polisen som ansvarar för att tillgången till personuppgifter begränsas till den personal som behöver dem för att kunna utföra sina arbetsuppgifter (prop. 2009/10:85 s. 132 f.). Mot- svarande överväganden gjordes för Kustbevakningens del (prop. 2011/12:45 s. 114 f.). De överväganden som gjordes i dessa lagstiftnings- ärenden har till största delen även bäring på Tullverkets brottsbekäm- pande verksamhet. Regeringen anser mot bakgrund av ovanstående att en utvidgning av möjligheterna för Tullverket att i underrättelseverksam- heten behandla brottsmisstankar bör göras.

För en effektiv brottsbekämpande verksamhet är det nödvändigt att Tullverket i underrättelseverksamheten kan behandla personuppgifter om misstankar om brott och som har ett lägre minimistraff än fängelse i två år. En sådan ändring innebär att merparten av de brott som omfattas av Tullverkets befogenheter, t.ex. tullbrott och smugglingsbrott, både grova brott och brott av normalgraden, omfattas av bestämmelsen. Även brotten olovlig förflyttning av punktskattepliktiga varor och olovlig befattning med punktskattepliktiga varor enligt 5 kap. 1 § och 1 a § lagen (1998:506) om punktskattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och energiprodukter kommer att omfattas av bestämmelsen.

Datainspektionen anser att det bör närmare belysas vilka konkreta behov Tullverket har av att kunna behandla uppgifter av nu aktuellt slag, vilka de brott som Tullverket får mandat att behandla i och med förslaget om att sänka kravet på att straffet för brottet ska vara fängelse i minst två år är, vilka brott det kan bli fråga om att behandla med stöd av hän- visningen till systematisk brottslighet, vilka konkreta problem som kan uppkomma om en sådan behandling inte får ske och vilka effektivi- seringsvinster det är som förutses.

Utöver vad som har nämnts ovan kan följande förtydliganden angå- ende lagstiftningsbehovet ges. Genom att ange gränsen till ett år eller däröver får Tullverket möjlighet att göra uppgifter om misstankar om brott gemensamt tillgängliga även om de inte sker systematiskt. Detta avser bl.a. tullbrott och smugglingsbrott som inte är grova samt narko- tikasmuggling som inte är grov eller synnerligen grov, liksom olovlig befattning med smuggelgods av normalgraden och grovt brott. Detta kan ibland även vara en förutsättning för att kunna se samband och upptäcka att viss brottslig verksamhet bedrivs systematiskt. Om fler uppgifter kan

Prop. 2016/17:91

121

Prop. 2016/17:91 göras gemensamt tillgängliga skapas förutsättningar för att stärka brotts- misstankarna i enskilda ärenden och upptäcka fler kopplingar mellan olika ärenden. Detta bidrar i sin tur till en effektivare brottsbekämpning. Vad gäller Datainspektionens begäran om närmare exemplifiering avseende systematisk brottslighet, vill regeringen erinra om att sådan behandling ingår redan i dagens reglering och att det här alltså inte är fråga om några ändringar. I författningskommentaren återfinns dock några exempel.

I likhet med vad som gäller enligt polisdatalagen och kustbevaknings- datalagen föreslår regeringen således att Tullverket i sin brottsbekämpan- de verksamhet ska få göra uppgifter som kan antas ha samband med misstänkt brottslig verksamhet, om den misstänkta verksamheten inne- fattar brott för vilket det är föreskrivet fängelse i ett år eller däröver, eller sker systematiskt, gemensamt tillgängliga.

Personuppgifter som kan antas ha samband med den brottsliga verksamheten får göras gemensamt tillgängliga

En annan fråga är vilka personuppgifter i fråga om den misstänkta brottsliga verksamheten som ska få göras gemensamt tillgängliga.

Enligt den nuvarande tullbrottsdatalagen finns det inget hinder mot att ta in uppgifter om de personer som själva misstänks för brottslig verk- samhet i tullbrottsdatabasen. Det är också tillåtet att behandla person- uppgifter för att förebygga, förhindra eller upptäcka brottslig verksamhet om de avser en person som utan att vara skäligen misstänkt kan antas ha samband med brottslig verksamhet. Vissa indirekta personuppgifter, t.ex. uppgifter om transportmedel, som kan ha samband med brottslig verk- samhet får också behandlas för att förebygga, förhindra eller upptäcka brottslig verksamhet (19 §).

Uppgifter som avser en person som inte är skäligen misstänkt får dock bara behandlas i ett ärende som rör viss preciserad brottslig verksamhet, och bara de personer som arbetar med ärendet får ha direkt tillgång till uppgifterna (12 § första stycket 2 jämfört med andra stycket).

Enligt polisdatalagen och kustbevakningsdatalagen gäller inte motsva- rande begränsningar.

Begränsningarna som gäller för Tullverkets del har kommit att på ett otillfredsställande sätt begränsa Tullverkets möjligheter att förebygga, förhindra och upptäcka brottslig verksamhet. Det är inte ovanligt att samma personer, ibland i olika roller, är inblandade i flera olika brotts- liga aktiviteter som pågår i skilda delar av landet vid en och samma tidpunkt. Om endast den som arbetar med ärendet ges tillgång till det ärende där en viss personuppgift förekommer, försvåras möjligheten att upptäcka samband mellan olika brottsliga aktiviteter. Sådana samband kan innebära att omfattningen av en brottslig verksamhet visar sig vara större än vad som förefaller vara fallet om olika ärenden ses för sig. Det kan vidare utgöra grunden för en brottsmisstanke mot en person som inledningsvis inte uppnått tillräcklig misstankenivå, men som bedömts ha samband med brottslig verksamhet i flera utredningar om likartad brottslig verksamhet. Att inte få behandla sådana uppgifter gemensamt försvårar dessutom möjligheten till samverkan med andra brottsbe-

kämpande myndigheter på motsvarande sätt. Det försvårar också för

122

Tullverket att länka samman olika kriminella grupperingar och se den brottsliga verksamheten i dess helhet. Risken finns därmed att allvaret i brottsligheten inte uppdagas.

Motsvarande överväganden som har gjorts för polisens del vad gäller arbetsformer kan därför göras avseende Tullverkets brottsbekämpande verksamhet. Mot denna bakgrund bedömer regeringen det som nöd- vändigt att Tullverket får behandla uppgifter om personer som kan ha samband med brottslig verksamhet gemensamt.

Datainspektionen saknar överväganden kring om förslagen kan leda till otillbörliga integritetsintrång. Som anges i promemorian vill regeringen betona att de risker för intrång i den personliga integriteten som en utökad tillgång till uppgifter om personer som inte är misstänkta men som har samband med brottslig verksamhet innebära kan motverkas genom bl.a. begränsningar i möjligheten att genom sökning få fram vissa uppgifter, se avsnitt 14.4. Dessutom bör det avseende gemensamt till- gängliga uppgifter alltid framgå om personen är misstänkt eller inte samt för vilket närmare ändamål som behandlingen sker, se samma avsnitt. Av stor betydelse är även den föreslagna allmänna bestämmelsen om att endast de personer som behöver uppgifterna i sitt arbete får ges tillgång till dem, se avsnitt 9.5. Regeringen finner således att det finns tillräckliga skyddsbarriärer för otillbörliga integritetsintrång.

Vad så gäller uppgifter om misstänkta personer är det enligt rege- ringens mening, i likhet med vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen, natur- ligt att uppgifter om de personer som själva misstänks för brottslig verksamhet och indirekta personuppgifter om t.ex. transportmedel även fortsättningsvis får göras gemensamt tillgängliga i Tullverkets brottsbe- kämpande verksamhet. Detsamma gäller även uppgifter om personer som inte själva kan misstänkas för brott, t.ex. personer som är anhöriga till misstänkta, ägare till fordon som används eller andra som har samröre med misstänkta som kan vara av intresse i underrättelsearbetet. I likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen bör Tullverket i sin brottsbekämpande verksamhet därför få göra gemen- samt tillgängliga alla slags personuppgifter som kan antas ha samband med misstänkt brottslig verksamhet, dvs. även uppgifter om personer som inte är misstänkta för något brott.

Kriminalvårdens behandling av personuppgifter

Kriminalvården noterar att tullbrottsdatalagen inte på samma detaljnivå som Kriminalvårdens regelverk reglerar vilka uppgifter som får behandlas och anser att det finns en risk för att uppgifter som registreras med stöd av tullbrottsdatalagen saknar lagstöd för behandling av Kriminalvården. Kriminalvården ser ett behov av en anpassning av de lagar och bestämmelser som reglerar Kriminalvårdens behandling av personuppgifter.

Regeringen vill erinra om att det är aktuell myndighets registerförfatt- ning som styr möjligheten till behandling av personuppgifter. Kriminal- vården får således behandla uppgifter i den omfattning detta regleras i lagen (2001:617) om behandling av personuppgifter inom Kriminal- vården och därmed sammanhörande reglering. Regeringen avser inte i

Prop. 2016/17:91

123

Prop. 2016/17:91

124

detta lagstiftningsärende att se över bestämmelser som gäller Kriminal- vårdens behandling av personuppgifter.

Lagförslag

Regeringen föreslår således att personuppgifter som kan antas ha sam- band med misstänkt brottslig verksamhet, om den misstänkta verksam- heten innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver, eller sker systematiskt ska få göras gemensamt tillgängliga.

Förslaget genomförs genom 3 kap. 2 § första stycket 1 i den nya lagen.

14.2.2Uppgifter som behövs för övervakningen av vissa personer

Regeringens förslag: Uppgifter som behövs för övervakningen av en person ska få göras gemensamt tillgängliga, om han eller hon

kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och

är allvarligt kriminellt belastad.

Tillgången till uppgifterna ska begränsas till särskilt angivna tjänste- män som har till uppgift att arbeta med övervakningen. Information om att en person är föremål för övervakning ska dock få göras tillgängliga för andra.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Datainspektionen anser att förslaget med mycket

små begränsningar medger behandling av personuppgifter avseende personer utan koppling till misstänkt brottslig verksamhet, som exem- pelvis uppgifter om släktingar och vänner. Vad som faktiskt utgör ett behov utvecklas inte närmare i promemorian. Risken är därför påtaglig att enskilda bedömningar blir avgörande. Det innebär i sin tur en risk för otillbörliga integritetsintrång. I det fortsatta lagstiftningsärendet bör det analyseras när det aktuella rekvisitet kan anses uppfyllt, gärna med exemplifieringar.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: I polisdatalagen har det införts en bestämmelse som ger Polismyndigheten möjlighet att vid övervakningen av vissa personer göra uppgifter gemensamt tillgängliga även när alla förutsättningar som anges i den föregående punkten inte är uppfyllda. Uppgifter som behövs för övervakningen av en person får göras gemen- samt tillgängliga, om personen kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver och dessutom redan är allvarligt kriminellt belastad eller kan antas utgöra ett hot mot andras personliga säkerhet (3 kap. 2 § första stycket 2).

Det har ansetts befogat att polisen, under vissa förutsättningar, genom behandling av personuppgifter får möjlighet att utöva särskild kontroll över personer som redan är allvarligt kriminellt belastade eller som har visat sig vara särskilt farliga för andra personers säkerhet. En sådan övervakning har ansetts utgöra ett betydelsefullt inslag i polisens samlade insatser för att förebygga, förhindra eller upptäcka brottslig verksamhet. De uppgifter som finns i misstanke- och belastningsregistren ger inte all

den information som behövs för en ändamålsenlig övervakning och registren innehåller inte heller de analysverktyg som kan krävas för att övervakningen ska bli effektiv. Inom polisen förekom redan före den nuvarande polisdatalagen övervakning av detta slag inom ramen för särskilda undersökningar (prop. 2009/10:85 s. 136 f.). Vad som avses med övervakning är sådan behandling av personuppgifter i form av lagring, bearbetning och analys som sker i särskilda uppgiftssamlingar för att utöva kontroll över vissa personer som uppfattas som särskilt brottsbenägna eller farliga, men mot vilka det för tillfället inte finns några konkreta misstankar om brottslig verksamhet.

Tullverket har i uppdrag att lagföra eller på annat sätt skada eller försvåra möjligheterna för de grövsta kriminella att utöva sin brottsliga verksamhet. I genomförandet av detta uppdrag inriktar Tullverket sin underrättelseverksamhet mot att övervaka s.k. målpersoner/strategiska personer och deras närmaste medarbetare, s.k. inre kretsar, som det är känt ägnar sig åt kriminell verksamhet. Dessa målpersoners kontaktnät kartläggs och brottsinsatser riktas in där de förutses ha störst verkan.

Det finns därför anledning att överväga om motsvarande reglering som gäller för Polismyndigheten bör gälla även i Tullverkets brottsbekäm- pande verksamhet. Tullverkets arbetsmetod kräver tillgång till omfattan- de information, även om personer i målpersonens kontaktnät som själva inte är misstänkta för brottslig verksamhet, t.ex. uppgifter om personer som målpersonen besöker regelbundet, ofta anlitade företagare, åter- kommande adresser och registreringsnummer på fordon som målper- sonen använder osv. Det kan ta lång tid att samla den information som krävs för att möjliggöra en kartläggning av en målperson och avgöra om denna är intressant att inrikta brottsinsatser mot eller inte. När det gäller övervakningen av sådana målpersoner sker ett nära samarbete med polisen som inte sällan kartlägger samma personer i sin verksamhet. Uppgiftssamlingar av detta slag är av stor betydelse för att Tullverket långsiktigt ska kunna bedriva ett effektivt brottsbekämpande arbete inom sitt område. Utan tillgång till sådana uppgiftssamlingar skulle det vara svårt att bemästra den brottslighet som förekommer i kriminella nätverk inom området för Tullverkets brottsbekämpande verksamhet.

Flera av de personer som Tullverket tror sig veta livnär sig på allvarlig brottslighet sysslar ofta med olika former av smuggling, däribland narkotikasmuggling, liksom omfattande cigarettsmuggling och grova tullbrott. Som nämnts ovan samverkar Tullverket ofta med polisen mot sådana strategiska målpersoner, vilket förutsätter att regelverken för myndigheterna är utformade på ett sätt så att detta är möjligt. För att Tullverket effektivt ska kunna bekämpa allvarliga brott på sitt område föreslår därför regeringen en bestämmelse som möjliggör att uppgifter om övervakning av vissa allvarligt kriminellt belastade personer kan göras gemensamt tillgängliga. Som en första förutsättning bör krävas, i likhet med vad som gäller för polisdatalagen, att uppgifterna behövs för övervakningen av en person. Det måste således finnas ett behov av uppgifterna för övervakningen, vilket avser den brottsbekämpande verksamhet som Tullverket bedriver.

För att det integritetsintrång som den behandlingen av personuppgifter kan ge upphov till inte ska bli mer långtgående än nödvändigt bör enligt regeringens mening möjligheten till behandling av personuppgifter för

Prop. 2016/17:91

125

Prop. 2016/17:91

övervakning inskränkas till uppgifter om och kring de personer som

 

uppfattas som särskilt brottsaktiva. Som en förutsättning bör därför gälla

 

att personen kan antas komma att begå brott av mera allvarligt slag. Att

 

en person tidigare är dömd för sådana brott bör alltså inte vara

 

tillräckligt, även om bedömningen av om en person kan antas komma att

 

begå brott i första hand får göras på grund av tidigare domar. Med brott

 

av mera allvarligt slag bör, liksom i polisdatalagen, avses brott med

 

fängelse i två år eller mer i straffskalan. Därutöver bör det krävas att

 

personen redan är allvarligt kriminellt belastad. Den allvarliga kriminella

 

belastningen behöver inte nödvändigtvis avse sådan brottslighet som

 

Tullverket har att ingripa mot utan kan avse andra slags allvarliga brott

 

som är relevanta att ta hänsyn till, t.ex. narkotikabrott eller vapenbrott av

 

tillräcklig allvarlighetsgrad. Vad gäller straffvärdet kan ett riktmärke vara

 

att brottsligheten bedömts ha ett straffvärde på minst två års fängelse.

 

Regeringen anser i likhet med promemorian att för att en bestämmelse

 

av detta slag ska bli meningsfull bör möjligheten att göra uppgifter

 

gemensamt tillgängliga omfatta inte bara uppgifter som direkt avser de

 

övervakade personerna utan även uppgifter om personer som har

 

samband med de övervakade personerna. Uppgifter måste t.ex. kunna

 

behandlas om att en övervakad person är anställd hos en viss annan

 

person och att den övervakade personen regelbundet besöker vissa

 

personer. En förutsättning för behandlingen är dock att uppgiften behövs

 

för övervakningen och är nödvändig för att förebygga, förhindra eller

 

upptäcka brottslig verksamhet. Detta motsvaras av vad som gäller enligt

 

polisdatalagen.

 

Datainspektionen saknar en beskrivning av behoven av reglering på

 

detta område och efterlyser exemplifieringar. Behoven och exemplifi-

 

eringar har redovisats ovan, men regeringen gör även följande tillägg.

 

Behandling av personuppgifter av nu aktuellt slag ryms i många fall

 

inom de allmänna bestämmelserna om när uppgifter får göras gemensamt

 

tillgängliga. De uppgifter som behöver behandlas för övervakningen

 

kommer med stor sannolikhet ofta ha samband med misstänkt brottslig

 

verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år

 

eller däröver eller som sker systematiskt, se avsnitt 14.2.1. Det kan dock

 

förekomma fall där dessa rekvisit inte är uppfyllda, samtidigt som starka

 

skäl talar för att behandlingen bör kunna ske. Det kan exempelvis ibland

 

vara svårt att precisera den misstänkta brottsliga verksamheten. Vidare –

 

vilket är den största skillnaden – kan uppgifter om personer som har

 

koppling till den övervakade behandlas i större utsträckning, eftersom det

 

inte ställs något krav på samband med viss brottslig verksamhet.

 

I syfte att värna den personliga integriteten bör tillgången till de

 

behandlade uppgifterna vara starkt begränsad. Endast de tjänstemän som

 

har till uppgift att arbeta med övervakningen bör få tillgång till uppgift-

 

erna. Information om att en viss person är föremål för övervakning bör

 

dock kunna spridas till flera, eftersom det kan vara en förutsättning för

 

att övervakningen ska bli effektiv. Det ska även tydligt framgå att

 

personuppgifter behandlas för att möjliggöra övervakning, se avsnitt

 

14.3.

 

Den föreslagna bestämmelsen motsvarar den som gäller enligt polis-

 

datalagen med ett undantag. Med hänsyn till de brott som Tullverket har

126

att ingripa emot bedömer regeringen det inte finnas skäl för en reglering

som tar sikte på, som gäller i polisdatalagen, antaganden om personens Prop. 2016/17:91 hotfullhet mot andras personliga säkerhet som ett alternativ till allvarlig

kriminell belastning. För Tullverkets del kommer alltså alltid krävas att personen måste vara allvarligt kriminellt belastad.

Regeringen föreslår således att personuppgifter som behövs för över- vakningen av en person, om han eller hon kan antas komma att begå brott för vilket det är föreskrivet fängelse i två år eller däröver, och är allvarligt kriminellt belastad, ska få göras gemensamt tillgängliga, samt föreslår att tillgången till uppgifterna ska begränsas till särskilt angivna tjänstemän som har till uppgift att arbeta med övervakningen. Informa- tion om att en person är föremål för övervakning ska dock få göras tillgänglig för andra.

Förslaget genomförs genom 3 kap. 2 § första stycket 2 och andra stycket i den nya lagen.

14.2.3

Uppgifter som förekommer i ett ärende om

 

 

utredning eller beivrande av brott

 

 

 

Regeringens förslag: Uppgifter som förekommer i ett ärende om

 

utredning eller beivrande av brott ska få göras gemensamt tillgängliga.

 

 

 

Promemorians förslag: Överensstämmer med regeringens förslag.

 

Remissinstanserna: Datainspektionen delar promemorians uppfatt-

 

ning att uppgifter i en förundersökning bör kunna göras gemensamt

 

tillgängliga. Det är dock inte rimligt att det är upp till Tullverket att

 

ensidigt bestämma när så ska ske. Inspektionen efterlyser en reglering

 

där villkoren för när uppgifter ska kunna göras gemensamt tillgängliga i

 

dessa fall framgår tydligare.

 

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

 

Skälen för regeringens förslag: Enligt den nuvarande tullbrotts-

 

datalagen får som huvudregel endast de personer som arbetar med ett

 

ärende om utredning eller beivrande av brott ha direkt tillgång till

 

uppgifterna i ärendet (14 § andra stycket). Regeringen får meddela

 

föreskrifter om att flera får ha tillgång till vissa särskilda kategorier av

 

uppgifter (14 § tredje stycket) och har gjort så i fråga om uppgifter som

 

avser misstanke om brott, tvångsmedel, gjorda beslag eller påföljd för

 

brott. Sådan reglering finns i 3 § förordningen (2005:791) om behandling

 

av personuppgifter i Tullverkets brottsbekämpande verksamhet när det

 

gäller uppgifter som avser misstanke om brott, tvångsmedel, gjorda

 

beslag eller påföljd för brott.

 

I samband med tillkomsten av polisdatalagen ansågs det att en mot-

 

svarande begränsning av tillgången till personuppgifter inte var rimlig för

 

polisens del (prop. 2009/10:85 s. 139). Även för Kustbevakningens del

 

har motsvarande bedömning gjorts (prop. 2011/12:45 s. 117 f.). I polis-

 

datalagen och kustbevakningsdatalagen regleras endast att uppgifter som

 

förekommer i ett ärende om utredning eller beivrande av brott får göras

 

gemensamt tillgängliga och således inga sådana begränsningar som finns

 

i tullbrottsdatalagen.

 

Övervägandena är enligt regeringens mening tillämpliga även för

 

Tullverkets del. Den nuvarande begränsningen av den direkta tillgången

127

 

 

Prop. 2016/17:91 till personuppgifter i Tullverkets förundersökningar försvårar en effektiv brottsbekämpning och möjligheten att upptäcka samband mellan olika ärenden. En följd av regleringen är att möjligheten att använda uppgifter som behandlas inom ramen för en utredning i en annan utredning försvåras. Även samverkan med andra myndigheter försvåras när till- gången begränsas på det sätt som nuvarande reglering innebär.

I en brottsutredning kan det vara av avgörande betydelse att person- uppgifter snabbt kan inhämtas från andra brottsutredningar så snart det är möjligt att bedöma om det finns några samband mellan utredningarna. Uppgifterna i en förundersökning måste kunna göras gemensamt till- gängliga för andra än de som arbetar med förundersökningen. Att person- uppgifter i en förundersökning eller brottsanmälan görs tillgänglig för andra än dem som arbetar med ärendet är en förutsättning för en effektiv brottsutredning. I de flesta fall är det endast fråga om att vissa typer av personuppgifter är tillgängliga för andra än dem som arbetar i en viss förundersökning. Det förhållandet att det öppnas en möjlighet att göra personuppgifter om utredning av brott gemensamt tillgängliga innebär inte någon skyldighet att göra det. Uppgifter i vissa förundersökningar av särskilt känsligt slag bör sannolikt inte heller fortsättningsvis göras gemensamt tillgängliga, men det bör vara upp till Tullverket att göra denna avvägning i det enskilda fallet. Datainspektionen delar promemo- rians uppfattning att uppgifter i en förundersökning bör kunna göras gemensamt tillgängliga men anser det inte vara rimligt att det är upp till Tullverket att ensidigt bestämma när så ska ske. Inspektionen efterlyser en reglering där villkoren för när uppgifter ska kunna göras gemensamt tillgängliga i dessa fall framgår tydligare. Regeringen vill med anledning av detta framföra att lagförslaget motsvarar vad som gäller för Polis- myndigheten och Kustbevakningen. Det kan påminnas om att regeringen också föreslår en bestämmelse om att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbets- uppgifter (se avsnitt 9.5).

Regeringen föreslår således att Tullverket i den brottsbekämpande verksamheten ska få göra uppgifter som förekommer i ett ärende om utredning eller beivrande av brott gemensamt tillgängliga.

Förslaget genomförs genom 3 kap. 2 § första stycket 3 i den nya lagen.

14.2.4Uppgifter som behövs för att fullgöra internationella åtaganden

Regeringens förslag: Uppgifter som behövs för att fullgöra interna- tionella åtaganden ska få göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över

förslaget.

Skälen för regeringens förslag: Enligt den nuvarande tullbrotts- datalagen får endast de personer som arbetar med internationella åtaganden ha direkt tillgång till sådana personuppgifter som behandlas

128

för att fullgöra de förpliktelser som följer av internationella åtaganden (15 §).

Enligt polisdatalagen och kustbevakningsdatalagen får uppgifter som behövs för att fullgöra internationella åtaganden göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras (3 kap. 2 § första stycket 4 polisdatalagen och 4 kap. 1 § 3 kustbevakningsdatalagen).

Regeringen delar promemorians bedömning att begränsningen av den direkta tillgången till personuppgifter hämmar ett effektivt arbete i Tullverkets brottsbekämpande verksamhet. Tullverkets internationella kontakter är inte lika omfattande som polisens, där det förekommer ett dagligt uppgiftsutbyte med olika myndigheter och organisationer. Tullverket har dock flera kontaktpunkter och ett relativt omfattande uppgiftsutbyte via Europol, Europeiska byrån för bedrägeribekämpning (OLAF), andra tullmyndigheter och sambandsmän m.m. De formella kontakterna tas regelmässigt genom en särskild enhet för internationell samordning vid den gemensamma staben. Vissa informella kontakter sker som ett led i den nationella brottsbekämpningen. I vissa fall krävs även minutoperativa insatser i samband med internationell samverkan mot gränsöverskridande brottslighet. Det förekommer därför en hel del informella internationella kontakter direkt mellan tjänstemän. Det finns därmed ett behov av att flera personer kan ha direkt tillgång till personuppgifter som behövs för att fullgöra internationella åtaganden än de som särskilt arbetar med internationellt tullsamarbete eller annat internationellt samarbete.

Vidare kan det krävas att personuppgifter görs gemensamt tillgängliga i förundersökningar som bedrivs parallellt i Sverige och i en annan stat och som gäller brott och brottsmisstankar som har samband med varandra. Även underrättelseuppgifter som lämnas till Sverige som ett led i ett allmänt informationsutbyte kan behöva göras gemensamt tillgängliga för att Tullverket ska kunna bidra med information.

Regeringen anser att den nya lagen bör, liksom polisdatalagen och kustbevakningsdatalagen, ge utrymme för att göra uppgifter som behövs för att fullgöra internationella åtaganden gemensamt tillgängliga. Mot bakgrund av de särskilda risker för intrång i den enskildes personliga integritet som behandling av gemensamt tillgängliga uppgifter kan medföra bör behandlingen begränsas till de fall där behovet är mera påtagligt. När det gäller personuppgifter som behandlas för att fullgöra internationella åtaganden bör därför dessa få göras gemensamt tillgäng- liga endast om det krävs för att förpliktelsen ska kunna fullgöras.

Regeringen föreslår således att uppgifter som behövs för att fullgöra internationella åtaganden ska få göras gemensamt tillgängliga, om det krävs för att den aktuella förpliktelsen ska kunna fullgöras.

Förslaget genomförs genom 3 kap. 2 § första stycket 4 i den nya lagen.

Prop. 2016/17:91

129

Prop. 2016/17:91

130

14.2.5Uppgifter som har rapporterats till Tullverkets kommunikationscentral

Regeringens förslag: Uppgifter som har rapporteras till Tullverkets kommunikationscentral ska få göras gemensamt tillgängliga.

Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Ingen remissinstans yttrar sig särskilt över

förslaget.

Skälen för regeringens förslag: Det finns inte i den nuvarande tull- brottsdatalagen några särskilda bestämmelser om personuppgifter som har rapporterats till kommunikationscentralen. Enligt polisdatalagen och kustbevakningsdatalagen får uppgifter som har rapporterats till Polis- myndighetens respektive Kustbevakningens ledningscentraler göras gemensamt tillgängliga (3 kap. 2 § första stycket 5 polisdatalagen och 4 kap. 1 § 4 kustbevakningsdatalagen).

Tullverket har en nationell kommunikationscentral. Den har framför allt till uppgift att dygnet runt sköta larmhanteringen och vidta nödvän- diga åtgärder vid inkommande larm och nödrop till ”112 – tipsa om smuggling”. Kommunikationscentralen tar även emot och initialt bearbe- tar tips och information som kommer in på annat sätt, framför allt utanför vanlig kontorstid när andra funktioner inte finns tillgängliga. Den utgör även i vissa fall nationell kontaktpunkt i nationella och internationella underrättelsefrågor såsom för ärenden avseende kontrollerade leveranser.

När kommunikationscentralen har mottagit en misstanke om brottslig verksamhet från en operativ enhet inom Tullverket, bearbetar centralen underrättelseinformationen genom att göra nödvändiga slagningar i de databaser som centralen har tillgång till och som även används i den övriga brottsbekämpande verksamheten. Kommunikationscentralen gör även slagningar i polisens multifråga och kontaktar utländska myndig- heter i framför allt Norden med förfrågningar om personuppgifter i deras register. De uppgifter som kommunikationscentralen tar emot registreras i sin tur i Tullverkets olika register eller i ett underrättelseärende. Uppgifterna inom denna hantering hos kommunikationscentralen bör normalt kunna göras gemensamt tillgängliga enligt den bestämmelse som föreslås för underrättelseverksamheten i avsnitt 14.2.1. Det kan dock finnas uppgiftshantering som inte uppfyller villkoren för underrättelse- verksamheten i övrigt, men där det ändå är motiverat att göra uppgifterna gemensamt tillgängliga t.ex. för planering och uppföljning av viss verk- samhet.

I dagsläget finns det inget elektroniskt system för uppföljning av inkomna larm, men önskemål finns om möjlighet att införa ett sådant system i framtiden. Den nya lagen bör möjliggöra att modern teknik kan användas vid sådan uppföljning. Det skulle då kunna förekomma situationer när förutsättningar för att göra uppgifterna gemensamt till- gängliga inte är uppfyllda, t.ex. avseende larm som konstateras inte vara fortsatt bearbetningsbara. Regeringen anser att den nya lagen bör utformas på ett sätt som möjliggör att modern teknik kan användas i hela kommunikationscentralens verksamhet på motsvarande sätt som gäller för Polismyndigheten och Kustbevakningen. Till skillnad från dessa myndigheter har Tullverket endast en funktion med detta uppdrag. I den

nya lagen bör det därför införas en bestämmelse om att uppgifter som har Prop. 2016/17:91 rapporteras till Tullverkets kommunikationscentral får göras gemensamt

tillgängliga.

Förslaget genomförs genom 3 kap. 2 § första stycket 5 i den nya lagen.

14.3

Särskilda upplysningar för gemensamt

 

 

tillgängliga uppgifter

 

 

 

Regeringens förslag: För gemensamt tillgängliga uppgifter ska det

 

genom en särskild upplysning eller på något annat sätt framgå för vilket

 

närmare ändamål personuppgifterna behandlas. Om uppgifter som är

 

gemensamt tillgängliga direkt kan hänföras till en person som inte är

 

misstänkt för brott eller för att ha utövat eller komma att utöva allvarlig

 

eller systematiskt brottslig verksamhet, ska det genom en särskild

 

upplysning eller på annat sätt framgå att personen inte är misstänkt.

 

Detsamma ska gälla uppgifter om en person som övervakas.

 

Uppgifter om en person som kan antas ha samband med misstänkt

 

brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens

 

trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på

 

grund av särskilda omständigheter. Detsamma ska gälla uppgifter om en

 

person som övervakas.

 

Promemorians förslag: Överensstämmer i sak med regeringens

 

förslag. Promemorians förslag är något annorlunda utformat.

 

Remissinstanserna: Skatteverket anger när det gäller tillhandahållande

 

av information till utländska brottsbekämpande myndigheter att när

 

Tullverket lämnar ut uppgifter som behövs för att fullgöra internationella

 

åtaganden bör reglerna om särskilda upplysningar tillämpas för upp-

 

gifterna även när de inte är gemensamt tillgängliga. Till exempel bör en

 

direkt personuppgift avseende en person som inte är misstänkt åtföljas av

 

denna för den enskildes integritet viktiga upplysningen.

 

Ingen remissinstans invänder mot förslaget.

 

Skälen för regeringens förslag

 

Upplysning om det närmare ändamålet för behandlingen

 

Både integritetsskyddsskäl och verksamhetsskäl talar för att det bör fram-

 

gå för vilket ändamål en uppgift som har gjorts gemensamt tillgänglig

 

behandlas.

 

 

Från integritetsskyddssynpunkt har en närmare precisering av ända-

 

målet för behandlingen betydelse bl.a. för möjligheterna att genom

 

tekniska förfaranden eller administrativa bestämmelser kunna styra

 

åtkomsten till vissa personuppgifter. En upplysning om ändamålet med

 

behandlingen kan vidare vara en förutsättning för att tillsynsmyndigheten

 

ska kunna kontrollera att viss behandling är berättigad och sker i enlighet

 

med lagens bestämmelser.

 

Av verksamhetsskäl är information om ändamålet med behandlingen

 

viktig för att de tjänstemän som får tillgång till personuppgifter ska

 

kunna värdera uppgifterna korrekt och använda sig av dem på ett

 

effektivt och lagenligt sätt. Informationen behövs bl.a. för att en tjänste-

131

Prop. 2016/17:91

132

man ska kunna ta ställning till om uppgiften får och bör behandlas för ett nytt ändamål. Någon bestämmelse som tar sikte på detta finns inte i den nuvarande tullbrottsdatalagen. Däremot har en sådan bestämmelse införts i polisdatalagen och kustbevakningsdatalagen (3 kap. 3 § polisdatalagen och 4 kap. 2 § kustbevakningsdatalagen).

Regeringen bedömer att en sådan reglering är motiverad även för den nya tullbrottsdatalagen och att det därmed bör föreskrivas att det när personuppgifter görs gemensamt tillgängliga ska framgå för vilket närmare ändamål personuppgifterna behandlas. Detta kan framgå genom en särskild upplysning eller på något annat sätt. En särskild upplysning bör således endast behövas om ändamålet för behandlingen inte framgår på något annat sätt. Normalt framgår ändamålet av omständigheterna när en uppgift ingår i ett särskilt underrättelseprojekt eller en särskild databas med ett visst ändamål. I likhet med polisdatalagen bör det särskilt framgå om en person står under övervakning.

Upplysning om att en person inte är misstänkt

Det är av stor betydelse för skyddet av den personliga integriteten att Tullverket i sin brottsbekämpande verksamhet behandlar personuppgifter på ett sådant sätt att det framgår när behandlingen avser uppgifter om en person som inte är misstänkt för brott.

Enligt den nuvarande tullbrottsdatalagen ska uppgifter om en person som inte är misstänkt för brott förses med särskild upplysning om detta, om det inte på annat sätt klart framgår att personen inte är registrerad som misstänkt för brott. Kan personen inte heller skäligen misstänkas för att ha utövat eller komma att utöva i en annan paragraf närmare precise- rad brottslighet eller systematisk brottslig verksamhet, ska upplysningen omfatta även detta (16 § första stycket jämfört med 12 § första stycket 1).

Enligt polisdatalagen och kustbevakningsdatalagen ska det för gemen- samt tillgängliga uppgifter som direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva allvarlig eller systematisk brottslig verksamhet framgå att personen inte är misstänkt (3 kap. 4 § första stycket polisdatalagen och 4 kap. 3 § första stycket kustbevakningsdatalagen). Detta kan framgå genom en särskild upplysning eller på annat sätt.

Regeringen anser att det bör vara tillräckligt att såsom i polisdatalagen och kustbevakningsdatalagen utsträcka kravet på upplysning till upp- gifter som direkt kan hänföras till personen. I den nya lagen bör det, i likhet med vad som föreslås i promemorian, således tas in en bestämmel- se med innebörd att om uppgifter som är gemensamt tillgängliga direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva allvarlig eller systematiskt brottslig verksamhet, ska det genom en särskild upplysning eller på annat sätt framgå att personen inte är misstänkt. Det är bara misstankar om brott som Tullverket har att ingripa mot som ska beaktas. En person som av Polismyndigheten i och för sig misstänks för mord men som bara är vittne i en förundersökning hos Tullverket ska således när Tullverket i sin brottsbekämpande verksamhet gör de direkta personuppgifterna i förundersökningen gemensamt tillgängliga utmärkas som en icke brotts- misstänkt person.

Enskilda uppgifter i förhör, inlagor eller bild- och ljudupptagningar behöver inte förses med särskild upplysning, eftersom det i dessa fall normalt framgår av sammanhanget om en omnämnd eller på bild synlig person inte är misstänkt. En viss uppgiftssamling kan även vara sådan att det är uppenbart att de personer som ingår i samlingen inte är registre- rade som misstänkta, t.ex. en förteckning över försvarare.

Skatteverket anger när det gäller tillhandahållande av information till utländska brottsbekämpande myndigheter att när Tullverket lämnar ut uppgifter som behövs för att fullgöra internationella åtaganden bör reglerna om särskilda upplysningar tillämpas för uppgifterna även när de inte är gemensamt tillgängliga uppgifter. Till exempel bör en direkt personuppgift avseende en person som inte är misstänkt åtföljas av denna för den enskildes integritet viktiga upplysningen. Regeringen noterar att Skatteverket inte har föreslagit någon sådan reglering i sitt förslag till ny skattebrottsdatalag (Skatteverkets förslag till en ny lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet, dnr Fi2012/04241/S3) och någon sådan reglering finns inte heller i polisdata- lagen, kustbevakningsdatalagen eller i åklagardatalagen (2015:433). Regeringen ser inte skäl att i den nya tullbrottsdatalagen införa en sådan reglering.

Upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak

I Europarådets rekommendation No. R (87) 15 om användningen av personuppgifter inom polissektorn anges att skilda kategorier av lagrade uppgifter så långt som möjligt ska kunna skiljas från varandra efter graden av riktighet och tillförlitlighet (princip 3.2). I synnerhet ska uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar. Det ska således gå att utläsa om den som lämnat uppgifter som sedan registreras kan anses vara tillförlitlig samt graden av riktighet i sak, t.ex. om informationen består av kontrollerade fakta eller endast icke styrkta påståenden.

I den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevak- ningsdatalagen föreskrivs att uppgifter om en person som kan antas ha samband med brottslig verksamhet ska förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. I den nuvarande tullbrottsdatalagen gäller detta generellt (16 § andra stycket), medan bestämmelserna i polisdatalagen och kustbevakningsdatalagen bara gäller för gemensamt tillgängliga uppgifter (3 kap. 4 § andra stycket polisdatalagen och 4 kap. 3 § andra stycket kustbevakningsdatalagen). Enligt polisdatalagen ska detsamma gälla för uppgifter om övervakade personer.

Det bör enligt regeringens mening vara tillräckligt att, såsom gäller i polisdatalagen och kustbevakningsdatalagen, kräva upplysningar om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak i fråga om personuppgifter som görs gemensamt tillgängliga. Därutöver bör det dock, i likhet med vad som gäller enligt polisdatalagen, krävas sådana upplysningar också i fråga om uppgifter om övervakade personer som har gjorts gemensamt tillgängliga enligt den bestämmelse som föreslås i avsnitt 14.2.2. I den nya lagen bör det således införas en bestämmelse

Prop. 2016/17:91

133

Prop. 2016/17:91 med innebörd att uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta är onödigt på grund av särskilda omständigheter, och att detsamma ska gälla uppgifter om en person som övervakas.

Bestämmelsen om att särskilda omständigheter kan göra upplysningar onödiga innebär att personuppgifter som behandlas inom ramen för en brottsutredning inte behöver förses med upplysningar. En förundersök- ning rör ett konkret brott och det framgår då som regel direkt av sammanhanget varför det har ansetts finnas fog för att behandla upp- gifter, t.ex. av förhörsprotokoll eller vittneslistor. Risken för missuppfatt- ningar inom ramen för handläggningen av en sådan utredning är därför liten. Det bör även finnas utrymme för att inte lämna någon tilläggs- upplysning i situationer där upplysningen annars framstår som över- flödig, t.ex. avseende ”neutrala” uppgifter som har inhämtats från folk- bokföringen, vägtrafikregistret och liknande källor.

Lagförslag

Förslaget genomförs genom 3 kap. 3 och 4 §§ i den nya lagen.

14.4Sökbegränsningar

14.4.1Förbud mot att använda känsliga personuppgifter som sökbegrepp

Regeringens förslag: Känsliga personuppgifter ska inte få användas som sökbegrepp vid sökning i gemensamt tillgängliga person- uppgifter. Uppgifter som beskriver en persons utseende ska dock få användas som sökbegrepp.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innehåller en hänvisning till bestämmel- sen om behandling av känsliga personuppgifter, medan regeringens förslag innehåller en direkt uppräkning av känsliga personuppgifter. Promemorians förslag är även i övrigt något annorlunda utformat.

Remissinstanserna: Rikspolisstyrelsen noterar att promemorians förslag anger att uppgifter som avses i den bestämmelse som anger förutsättningarna för behandling av känsliga personuppgifter inte får användas som sökbegrepp. Motsvarande bestämmelse i polisdatalagen stadgar i stället att uppgifter som avslöjar känsliga personuppgifter inte får användas som sökbegrepp. Av promemorian framgår att de aktuella bestämmelserna helt ska motsvara varandra i denna del. Rikspolis- styrelsen anser att skillnaden i lydelse påverkar den materiella inne- börden och att polisdatalagens lydelse därför i stället ska användas.

Datainspektionen anger att promemorian föreslår att känsliga person- uppgifter inte ska få användas som sökbegrepp vid sökning i uppgifter som gjorts gemensamt tillgängliga. För uppgifter som inte gjorts gemen- samt tillgängliga föreslås däremot inte sådana sökbegränsningar. För-

slagets konsekvenser för den personliga integriteten bör utredas vidare.

134

Sveriges advokatsamfund anser att formuleringen inte är tillräckligt klargörande utan att den antyder att känsliga uppgifter kan användas som sökbegrepp. Känsliga personuppgifter är av sådan karaktär att det helt borde uteslutas att någon som helst sökbar registrering avseende ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa eller sexualliv kan komma att ske. Lämpligen bör bestämmelsen i stället utformas så att det klart framgår att personuppgifter som är gemensamt tillgängliga är undantagna från möjligheten att använda som sökbegrepp med hänvisning till bestäm- melsen som anger förutsättningarna för behandling av känsliga person- uppgifter.

Lunds universitet har synpunkter som avser begreppet ras. Sådana frågor behandlas i avsnitt 12.

Skälen för regeringens förslag: Vissa slag av uppgifter är till sin natur särskilt integritetskänsliga, i synnerhet uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör hälsa eller sexualliv. Detta kommer till uttryck bl.a. genom bestämmelser i Europaparlamen- tets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31, Celex 31995L0046), dataskyddsdirektivet, och i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt sam- arbete, dataskyddsrambeslutet, men också i de nyligen antagna EU- rättsakterna på dataskyddsområdet (se avsnitt 4.1.7) om särskilda begränsningar i rätten att behandla känsliga personuppgifter. I avsnitt 12 föreslås därför att känsliga personuppgifter som huvudregel inte ska få behandlas, men att uppgifter om en person som behandlas på annan grund ska få kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen. Detta gäller även enligt den nuvarande tullbrottsdatalagen.

Enligt den nuvarande tullbrottsdatalagen får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp (20 §). Uppgifter som beskriver en persons utseende får dock användas som sökbegrepp. Bestämmelsen gäller även vid sökning bland uppgifter som inte finns i tullbrottsdatabasen.

Enligt polisdatalagen och kustbevakningsdatalagen får känsliga personuppgifter inte användas vid sökning i personuppgifter som har gjorts gemensamt tillgängliga, dock att brottsrubriceringar och uppgifter som beskriver en persons utseende får användas som sökbegrepp (om detta, se 3 kap. 5 § polisdatalagen, 4 kap. 4 § kustbevakningsdatalagen, prop. 2009/10:85 s. 155 f. och prop. 2011/12:45 s. 124 f.).

Sökning med hjälp av uppgifter som kan avslöja känsliga förhållanden inger särskilda betänkligheter. Sådana sökningar skulle kunna möjliggöra t.ex. kartläggning av personer med viss politisk ståndpunkt eller religiös inriktning. Å andra sidan är det nödvändigt att i den brottsbekämpande verksamheten hos Tullverket kunna använda signalementsuppgifter även om dessa kan avslöja känsliga förhållanden såsom funktionshinder.

Prop. 2016/17:91

135

Prop. 2016/17:91 Både Rikspolisstyrelsen och Sveriges advokatsamfund har synpunkter på utformningen av promemorians författningsförslag, som innehåller en hänvisning till bestämmelsen i den föreslagna lagen som anger förutsätt- ningarna för behandling av känsliga personuppgifter. Kustbevaknings- datalagens motsvarande bestämmelse har en sådan utformning, emedan polisdatalagen och åklagardatalagen i stället direkt i nu aktuell bestäm- melse om sökbegränsning räknar upp de känsliga personuppgifterna. För att bestämmelsens innebörd ska vara så tydlig som möjligt föreslår regeringen för den nya lagen att de känsliga personuppgifterna räknas upp i direkt i bestämmelsen.

Något behov att som sökbegrepp använda brottsrubriceringar som kan röra känsliga förhållanden som nu är i fråga har inte identifierats av Tullverket. Därför föreslås inte i den nya lagen ett sådant undantag avseende brottsrubriceringar. I övrigt motsvarar den föreslagna bestäm- melsen om sökbegränsningar bestämmelserna som finns i ovan nämnda lagar.

Regeringen anser i likhet med promemorian att det får anses tillräckligt att, såsom gäller enligt polisdatalagen och kustbevakningsdatalagen, bara begränsa sökbegreppen vid sökning i uppgifter som har gjorts gemen- samt tillgängliga. Datainspektionen anser att förslagets konsekvenser i denna del för den personliga integriteten bör utredas vidare. Då regle- ringen motsvarar övriga tämligen nya författningar på området ser regeringen inte skäl att i detta lagstiftningsärende utreda denna fråga ytterligare. Följande kan dock framhållas. När det gäller frågan om det finns behov av att begränsa sökmöjligheterna för personuppgifter som inte gjorts gemensamt tillgängliga kan konstateras att dessa behandlas av en avgränsad krets av tjänstemän. Det föreslås vidare att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter. Risken för spridning och intrång i den personliga integriteten får i dessa fall bedömas vara så ringa att bestämmelser om sökbegränsningar inte behöver föreslås för uppgifter som inte görs gemensamt tillgängliga. Integritetsskyddet för uppgifter som inte görs gemensamt tillgängliga upprätthålls genom den allmänna bestämmelsen om behandling av känsliga uppgifter i den nya lagen. Mot den bakgrunden anser regeringen att, i likhet med vad som gäller enligt polisdatalagen, kustbevakningsdatalagen och även åklagardatalagen, sök- begränsningarna för känsliga personuppgifter bör gälla endast vid sök- ning i uppgifter som har gjorts gemensamt tillgängliga.

Regeringen föreslår således att uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlem- skap i fackförening eller som rör hälsa eller sexualliv inte ska få använ- das som sökbegrepp vid sökning i gemensamt tillgängliga person- uppgifter, dock att uppgifter som beskriver en persons utseende ska få användas som sökbegrepp.

Förslaget genomförs genom 3 kap. 5 § i den nya lagen.

136

14.4.2Sökning på namn, personnummer, samordnings- nummer och liknande identitetsbeteckningar

Regeringens förslag: Vid sökning på namn, personnummer, samord- ningsnummer eller andra liknande identitetsbeteckningar i person- uppgifter som har gjorts gemensamt tillgängliga, ska sådana person- uppgifter få tas fram som anger att den sökta personen

1.är anmäld för brott,

2.är eller har varit misstänkt för brott,

3.är misstänkt för att ha utövat eller komma att utöva viss brottslig verksamhet,

4.övervakas för att han eller hon kan antas komma att begå brott för vilket är föreskrivet fängelse i två år eller däröver,

5.har anmält ett brott,

6.är målsägande i ett ärende som rör ansvar för brott,

7.förekommer i ett ärende som vittne eller annan som lämnar eller har lämnat uppgifter eller yttrande,

8.har gett in eller tillhandahållits en handling,

9.har bedömts kunna komma att möta ett ingripande med grovt våld,

eller

10.är efterlyst.

Sökbegränsningarna ska inte gälla vid sökning i en viss handling eller i ett visst ärende. De ska inte heller gälla vid sökning i en uppgiftssamling som har skapats för att undersöka viss brottslighet eller vissa kriminella grupperingar och som enbart de som arbetar med undersökningen har åtkomst till.

Begränsningarna ska inte heller gälla sökning som utförs av särskilt angivna tjänstemän och som görs

för att förebygga, förhindra och upptäcka särskilt allvarlig brottslig verksamhet,

för övervakning av personer som kan antas komma att begå brott och som är allvarligt kriminellt belastade, eller

för att utreda särskilt allvarliga brott.

I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om begränsning av tillgången till framsökta upp- gifter, om under vilka förutsättningar sökning får äga rum och om ytterligare undantag från sökbegränsningarna.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Det bör finnas sökbegränsningar

Den nuvarande tullbrottsdatalagen har regler om sökbegränsningar. Enligt huvudregeln får namn, personnummer och samordningsnummer användas som sökbegrepp bara om uppgifterna avser en person som misstänks för något visst brott eller för brottslig verksamhet. Detta gäller

Prop. 2016/17:91

137

Prop. 2016/17:91

138

dock inte vid sökning bara i ett visst ärende eller en viss handling. Vid sökning efter den som en handling kommit in från eller expedierats till i ett ärende får också sådana uppgifter användas som sökbegrepp, samt för att Tullverket ska kunna fullgöra förpliktelser som följer av internatio- nella åtaganden (21 §). Å andra sidan får vid sökning efter en handling som kommit in eller upprättats i ett ärende endast följande uppgifter användas som sökbegrepp: 1) uppgift om från vem handlingen har kommit in eller till vem den har expedierats, 2) datum då handlingen kom in eller upprättades, 3) diarienummer eller annan beteckning som har åsatts handlingen, och 4) i korthet vad handlingen rör (22 §).

I den nuvarande tullbrottsdatalagen finns det också en regel om möjligheten att behandla uppgifter om avförda brottsmisstankar som begränsar vilka uppgifter som kan tas fram vid en sökning. Om en förundersökning mot en person har lagts ned på grund av bristande bevisning, får uppgifter om brottsmisstanken behandlas för andra ända- mål än arkivering endast om den misstänkte enligt förundersöknings- ledarens bedömning fortfarande är skäligen misstänkt för brottet och uppgifterna behövs för att förundersökningen ska kunna tas upp på nytt (17 §). Om åtal mot en person har lagts ned eller om denne genom lagakraftvunnen dom har frikänts, får uppgifter om brottsmisstanken behandlas för andra ändamål än arkivering endast om förundersökningen tas upp på nytt, eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken (18 §).

I polisdatalagen och kustbevakningsdatalagen finns det inga särskilda restriktioner för att behandla uppgifter om avförda brottsmisstankar. I de lagarna finns dock andra regler om sökbegränsningar, se 3 kap. 6 och 7 §§ polisdatalagen samt 4 kap. 5 och 6 §§ kustbevakningsdatalagen, som är snarlika varandra. För Kustbevakningen gäller inte något undan- tag vid sökning som utförs av särskilt angivna tjänstemän i vissa fall eller vid sökning i en uppgiftssamling som har skapats för att undersöka vissa kriminella grupperingar. Kustbevakningens uppdrag skiljer sig här från både Polismyndighetens och Tullverkets.

Även i den nya tullbrottsdatalagen bör det enligt regeringens mening finnas regler om sökbegränsningar. En utgångspunkt för hur regler om sökning bör utformas bör vara att Tullverket inte vid varje tillfälle och i varje situation ska kunna göra en sökning som kan leda till en kartlägg- ning av om en viss person förekommer i den brottsbekämpande verksam- heten. I det följande behandlas frågan om hur sökbegränsningarna bör utformas.

Sökning på namn, personnummer eller liknande uppgifter

Namn och personnummer är viktiga för identifieringen av en person och kontrolleras regelmässigt i samband med brottsutredningar och annat brottsbekämpande arbete. Detsamma gäller samordningsnummer, dvs. sådana identitetsbeteckningar som enligt 18 a § folkbokföringslagen (1991:481) kan tilldelas personer som inte är eller har varit folkbokförda i Sverige. Personuppgifter av nu aktuellt slag måste i stor utsträckning användas i brottsutredningar för att undanröja risken för personförväx- ling. Det är uppenbart att möjligheten att göra sökningar på sådana uppgifter även kan vara av betydelse vid underrättelseverksamhet. Det

bör t.ex. vara möjligt att inom ramen för det arbete som bedrivs i en undersökning som avser viss misstänkt brottslig verksamhet söka fram uppgifter om huruvida personer som figurerar i det ärendet också är misstänkta i andra ärenden.

Användandet av detta slag av uppgifter som sökbegrepp kan emellertid ge upphov till särskilda risker från integritetssynpunkt. En sökning på t.ex. ett personnummer kan, i vart fall om den sker i den samlade informationsmängd som Tullverket har tillgång till i den brottsbekäm- pande verksamheten, ge möjlighet till en mer omfattande kartläggning av en person än vad som är motiverat. Ur ett integritetsperspektiv är sådana sökningar ägnade att inge betänkligheter.

Vid införandet av polisdatalagen konstaterades dock att en sådan begränsning till redan misstänkta personer som finns i den nuvarande tullbrottsdatalagen inte var ändamålsenlig på polisområdet. En sådan bestämmelse tillåter t.ex. inte att det görs vissa sökningar som kan vara nödvändiga inom ramen för ett underrättelseprojekt. I ett sådant projekt kan det vara av vikt att kunna klarlägga om personer som har anknytning till den undersökta verksamheten – men som vid den tidpunkten inte är misstänkta – förekommer som misstänkta i andra underrättelseprojekt eller i brottsutredningar som gäller liknande brott (prop. 2009/10:85 s. 159 f.). Uppgifter om andra personer än misstänkta kan – satta i ett större sammanhang – vara viktiga pusselbitar vid utredningen av ett brott eller i ett underrättelseprojekt. Det kan också vara viktigt att få fram uppgifter om att en viss person frekvent anmäler brott, eftersom det kan ha betydelse för dennes trovärdighet.

De nuvarande sökbegränsningarna för Tullverket har medfört svårig- heter i myndighetens samarbete med andra myndigheter t.ex. genom att viss brottslighet inte kan uppmärksammas och åtgärdas. Det är en fördel för myndighetssamverkan om de brottsbekämpande myndigheternas särskilda registerförfattningar överensstämmer med varandra i detta avseende.

Mot denna bakgrund anser regeringen att Tullverket i sin brottsbekäm- pande verksamhet bör ha samma möjlighet till sökning på namn och andra direkta personuppgifter som Polismyndigheten och Kustbevak- ningen har. Sökning ska således få göras på namn, personnummer och liknande uppgifter.

Uppgifter som bör få tas fram vid en sökning

Den nya lagen bör innehålla bestämmelser som begränsar vilka uppgifter som kommer fram vid sökningar på namn och andra direkta person- uppgifter. Vid sökningar på namn, personnummer och liknande identi- tetsuppgifter bör enligt regeringens mening enbart vissa slag av uppgifter om den person som sökningen avser kunna tas fram. En regel om sökbegränsningar måste dock utformas så att uppgifter som det generellt sett finns ett stort behov av i Tullverkets brottsbekämpande verksamhet får tas fram. Frågan är då vilka uppgifter som är sådana att de bör ingå i träffbilden vid en sökning som omfattas av sökbegränsningar.

Först och främst bör det vara möjligt att ta fram uppgifter som anger att den sökte har anmälts för brott eller är misstänkt för brott eller för utövande av allvarlig brottslig verksamhet eller brottslighet som sker

Prop. 2016/17:91

139

Prop. 2016/17:91

systematiskt. Med allvarlig brottslig verksamhet avses här detsamma som

 

i avsnitt 14.2.1, dvs. verksamhet som innefattar brott för vilket är före-

 

skrivet fängelse i ett år eller däröver. Även uppgifter om att den sökte

 

tidigare har varit misstänkt för brott bör kunna tas fram utan inskränk-

 

ningar, eftersom det kan vara nyttigt att få reda på i den brottsbekäm-

 

pande verksamheten hos Tullverket. De begränsningar i fråga om

 

behandling av uppgifter om avförda brottsmisstankar som finns i den

 

nuvarande tullbrottsdatalagen bör alltså inte tas in i den nya lagen.

 

En annan uppgift som bör vara möjlig att få fram är att personen har

 

anmält ett brott eller att han eller hon förekommer som målsägande eller

 

vittne i en brottsutredning. Det bör också vara möjligt att få fram uppgift

 

om en handling har lämnats in av eller expedierats till personen i fråga.

 

Även uppgiften att personen har bedömts kunna möta ett ingripande med

 

grovt våld eller är efterlyst är viktig information i det brottsbekämpande

 

arbetet. Motsvarande uppgifter får initialt sökas fram enligt polisdata-

 

lagen och kustbevakningsdatalagen (3 kap. 6 § polisdatalagen och 4 kap.

 

5 § kustbevakningsdatalagen).

 

Mot bakgrund av att det i avsnitt 14.2.2 föreslås att uppgifter om

 

övervakning av allvarligt kriminellt belastade personer som kan antas

 

komma att begå allvarliga brott ska få göras gemensamt tillgängliga bör

 

det i den nya regleringen, liksom för Polismyndighetens del, även vara

 

möjligt att få fram uppgift om personen övervakas.

 

Några av de kategorier av personuppgifter som nu har nämnts är till sin

 

natur av mera känsligt slag. Det gäller särskilt uppgifter om att en person

 

tidigare har varit misstänkt för brott, uppgifter om att en person är

 

misstänkt för brottslig verksamhet och uppgifter om att en person över-

 

vakas. Behovet av att få tillgång till sådana uppgifter skiljer sig dessutom

 

åt beroende på i vilket sammanhang sökningen sker. I många fall kan

 

behovet av sådan information antas vara begränsat. Det bör dock

 

framhållas att det krävs noggranna överväganden innan bedömningen

 

kan göras att en person kan komma att möta ett ingripande med grovt

 

våld och att en notering om en sådan bedömning kan ifrågasättas ur ett

 

integritetsperspektiv. Detta bör därför förekomma endast under förutsätt-

 

ning att det finns konkreta omständigheter som talar för en sådan

 

bedömning. Det kan t.ex. vara fråga om att personen vid tidigare ingri-

 

panden varit beväpnad eller våldsam.

 

Generellt sett bör behovet av information om samtliga sökbara kate-

 

gorier av personuppgifter vara störst i underrättelseverksamhet och i

 

samband med utredning av vissa typer av brott. Av integritetshänsyn bör

 

tillgången till dessa kategorier av uppgifter kunna begränsas. Det kan

 

således finnas skäl att meddela ytterligare begränsningar av tillgången till

 

uppgifter. Sådana föreskrifter kan regeringen meddela med stöd av sin

 

restkompentens enligt 8 kap. 7 § regeringsformen. Regeringen föreslår

 

därför en upplysningsbestämmelse som anger att regeringen eller den

 

myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regerings-

 

formen kan meddela föreskrifter om begränsning av tillgången till sådana

 

uppgifter. Liknande bestämmelse finns i polisdatalagen och kustbevak-

 

ningsdatalagen.

 

De nu föreslagna begränsningarna omfattar endast den initiala sök-

 

ningen. En allmän sökning som görs med hjälp av namn eller någon

140

annan direkt personuppgift ska alltså, enligt förslaget, ge en första träff-

bild som innefattar endast någon eller några av de kategorier av uppgifter som anges i förslaget. Sedan man väl har fått träff på en viss person, t.ex. som misstänkt för brott i en viss förundersökning, ska ytterligare upp- gifter kunna tas fram genom en fortsatt behandling i den uppgifts- mängden. Möjligheten att få tillgång till ytterligare uppgifter, kanske hela förundersökningen, avgörs av vilken behörighet den berörda tjänste- mannen har och om behandlingen behövs för något av de tillåtna ändamålen.

Sökningar som inte bör omfattas av sökbegränsningarna

De integritetsrisker som motiverar inskränkningar i fråga om vilka uppgifter som får tas fram vid sökning på namn och andra direkta personuppgifter gör sig inte gällande i samma utsträckning när det är fråga om sökningar i ett begränsat material, t.ex. en viss handling eller ett visst ärende. Det är från effektivitetssynpunkt dessutom rimligt att en tjänsteman som arbetar i ett elektroniskt dokument får söka fritt i det dokumentet genom att t.ex. använda sedvanliga sökfunktioner i ett ordbehandlingsprogram. Begränsningarna i fråga om vilka uppgifter som får tas fram bör därför inte gälla vid sökning i en viss handling eller i ett visst ärende. En reglering med sådan innebörd bör därför införas, i likhet med vad som gäller för Polismyndigheten och Kustbevakningen.

För vissa delar av den brottsbekämpande verksamheten kan begräns- ningar i möjligheterna att ta fram uppgifter vid sökningar på namn och andra direkta personuppgifter leda till särskilda problem som motiverar att den personliga integriteten i viss mån får stå tillbaka för kravet på en effektiv brottsbekämpning. Det gäller bl.a. underrättelseverksamhet som avser särskilt allvarlig brottslighet som t.ex. grov och synnerligen grov narkotikasmuggling, grovt tullbrott och grov smuggling. I sådant arbete som bedrivs inom ramen för ett underrättelseprojekt och som avser viss brottslighet eller vissa kriminella grupperingar upprättas ofta särskilda uppgiftssamlingar. Dessa uppgiftssamlingar syftar till att kartlägga en viss brottslighet eller en viss kriminell gruppering och endast de tjänste- män som deltar i undersökningen har tillgång till dem. Även i dessa fall är det fråga om ett begränsat material som, trots att det i regel är fråga om gemensamt tillgängliga uppgifter, endast en begränsad krets av personer har tillgång till.

Tullverket samverkar i ärenden om bekämpning av grov brottslighet ofta med framför allt polisen, både inom och utanför den s.k. myndig- hetsgemensamma samverkan mot organiserad brottslighet. För att samverkan ska fungera effektivt krävs att de brottsbekämpande myndig- heterna har motsvarande möjligheter att ta fram uppgifter vid sökning på namn eller andra direkta personuppgifter.

Tullverket arbetar liksom polisen enligt det kriminalarboristiska perspektivet och övervakar vissa allvarligt kriminellt belastade personer, som kan antas komma att begå allvarliga brott som Tullverket har att ingripa mot. I dessa fall är det viktigt för Tullverket att ha kännedom om var personen brukar befinna sig, vilka kontakter han eller hon har, vilka transportmedel personen förfogar över osv., för att Tullverket ska kunna ingripa i tid mot nya brott. För att kunna skapa sig en helhetsbild av de personer som är föremål för särskild övervakning och se samtliga

Prop. 2016/17:91

141

Prop. 2016/17:91

sammanhang där de förekommer, behöver de berörda tjänstemännen

 

kunna arbeta relativt fritt med att skapa sin uppgiftssamling. Ibland finns

 

det därför behov för Tullverket att vid sökning som omfattar mer än bara

 

ett visst ärende ta fram flera uppgifter inom ramen för en förunder-

 

sökning om ett särskilt allvarligt brott, som t.ex. utredningar om grov

 

eller synnerligen grov narkotikasmuggling, grov smuggling eller grovt

 

tullbrott för vilka är föreskrivet fängelse i fyra år eller mer. Förunder-

 

sökningar om sådana brott kan pågå under mycket lång tid, t.ex. om

 

brottsligheten är särskilt svårutredd eller gärningsmannen okänd.

 

I likhet med vad som gäller enligt polisdatalagen och kustbevaknings-

 

datalagen (3 kap. 7 § polisdatalagen och 4 kap. 6 § kustbevaknings-

 

datalagen) bör det enligt regeringens mening i den nya lagen vara möjligt

 

att fritt ta fram uppgifter vid sökningar i en uppgiftssamling som har

 

skapats för att undersöka viss brottslighet eller vissa kriminella gruppe-

 

ringar och som enbart de som arbetar i undersökningen har åtkomst till.

 

Det finns här ingen begränsning till särskilt allvarliga brott. Enligt

 

kustbevakningsdatalagen gäller inte undantaget vid sökning i en upp-

 

giftssamling som har skapats för att undersöka vissa kriminella

 

grupperingar. Detta bör inte gälla för Tullverkets del, eftersom det inom

 

Tullverkets verksamhetsområde förekommer kriminella grupperingar

 

som Tullverket behöver undersöka. Regeringens förslag är således lika-

 

lydande med vad som gäller för Polismyndigheten.

 

För en fungerande samverkan med framför allt polisen är det nöd-

 

vändigt att myndigheternas regelverk ger samma möjligheter. Om det är

 

fråga om mycket allvarliga brott där samhällets intresse av att gärnings-

 

mannen lagförs är stort, är det motiverat att tillåta att fler uppgifter tas

 

fram vid sökningar om dessa kan bidra till att gärningsmannen spåras

 

eller kan fällas. Även om antalet sådana allvarliga brott som Tullverket

 

rent generellt har att ingripa mot är betydligt färre än de som faller inom

 

polisens ansvarsområde, är Tullverkets brottsbekämpning avseende dessa

 

allvarliga brott att jämställa med polisens i en helt annan grad än vad som

 

gäller för t.ex. Kustbevakningen. Straffskalan för grov narkotikasmugg-

 

ling sträcker sig upp till sju års fängelse och för synnerligen grov

 

narkotikasmuggling upp till tio års fängelse. Grov smuggling samt grovt

 

tullbrott kan ge upp till sex års fängelse. Brott mot lagen om punkt-

 

skattekontroll av transporter m.m. av alkoholvaror, tobaksvaror och

 

energiprodukter föreskriver fängelse upp till fyra år.

 

I likhet med Polismyndigheten har Tullverket därför enligt regeringens

 

mening ett behov av att i dessa fall kunna söka fram flera uppgifter.

 

Regeringens förslag motsvarar i denna del vad som gäller för Polismyn-

 

digheten.

 

I likhet med vad som gäller för Polismyndigheten föreslår regeringen

 

mot denna bakgrund att begränsningarna av vilka uppgifter som får tas

 

fram vid sökning inte ska gälla vid sökning som utförs av särskilt

 

angivna tjänstemän och som görs för att förebygga, förhindra, upptäcka

 

eller utreda brottslig verksamhet som innefattar brott för vilket är

 

föreskrivet fängelse i fyra år eller däröver eller för att övervaka allvarligt

 

kriminellt belastade personer som kan antas komma att begå brott för

 

vilket är föreskrivet fängelse i två år eller däröver.

 

En förutsättning för detta är som framgår ovan att sökningen utförs av

142

tjänstemän som har tilldelats särskild behörighet att utföra sådana

sökningar. Dessa tjänstemän får fram flera uppgifter vid sina sökningar Prop. 2016/17:91 på namn eller andra direkta personuppgifter, t.ex. i flera olika uppgifts-

samlingar om viss brottslighet eller vissa kriminella grupperingar. Vilka kategorier av tjänstemän som ska tilldelas denna särskilda behörighet och hur många tjänstemän det kan bli fråga om beror på hur Tullverket organiserar sin brottsbekämpande verksamhet. Det bör kunna vara fråga om allt ifrån ett fåtal utpekade personer till samtliga personer på en enhet som har till uppgift att hantera t.ex. underrättelseverksamhet som avser särskilt allvarlig brottslighet. Det bör meddelas föreskrifter om vilka närmare kvalifikationskrav m.m. som bör ställas på dessa tjänstemän och på att Tullverket dokumenterar vilka tjänstemän som har beviljats denna utökade möjlighet att vid sökning ta fram uppgifter.

I likhet med vad som gäller enligt polisdatalagen och kustbevak- ningsdatalagen bör det i den nya lagen tas in en upplysning om den behörighet som regeringen eller myndighet som regeringen bestämmer har att meddela ytterligare föreskrifter kring sökandet i gemensamt tillgängliga uppgifter. Regleringen avser dels en upplysningsbestäm- melse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om under vilka förutsättningar som sökning får äga rum, dels en bestämmelse om att regeringen kan meddela ytterligare föreskrifter om begränsningarna. I båda fallen utgörs stödet för detta av 8 kap. 7 § regeringsformen.

Lagförslag

Förslaget genomförs genom 3 kap. 6 och 7 §§ i den nya lagen.

15Informationsutbyte i brottsbekämpande verksamhet

15.1Behovet av ett effektivt informationsutbyte mellan svenska brottsbekämpande myndigheter

Regeringens bedömning: En effektiv brottsbekämpning förutsätter att de brottsbekämpande myndigheterna kan utbyta information på ett rationellt sätt.

Promemorians bedömning: Överensstämmer med regeringens

 

bedömning.

 

Remissinstanserna: Flera remissinstanser, däribland Rikspolisstyrel-

 

sen och Ekobrottsmyndigheten, framhåller behovet av att de brottsbe-

 

kämpande myndigheterna kan utbyta information på ett effektivt sätt.

 

Skälen för regeringens bedömning: Samarbetet mellan brottsbekäm-

 

pande myndigheter har blivit allt viktigare i det brottsförebyggande och

 

brottsutredande arbetet. Ett effektivt och framgångsrikt arbete mot allvar-

 

lig och organiserad brottslighet förutsätter att man kan dra nytta av den

 

samlade kunskap om brott och brottslingar som finns inte bara inom

 

Tullverkets brottsbekämpande verksamhet utan också hos andra myndig-

143

 

Prop. 2016/17:91

heters brottsbekämpande verksamheter. Informationsutbyte har även

 

betydelse för bekämpning av mängdbrottslighet.

 

Uppdelningen av den brottsbekämpande verksamheten på olika myn-

 

digheter har i stor utsträckning kommit att påverka möjligheterna till

 

informationsutbyte, bl.a. eftersom det kan råda sekretess mellan myndig-

 

heterna. Detta har visat sig begränsa effektiviteten i brottsbekämpningen.

 

Av samma skäl som det är viktigt att man inom Tullverkets brottsbekäm-

 

pande verksamhet på ett effektivare sätt kan tillgodogöra sig den infor-

 

mation som finns inom den egna organisationen, är det viktigt att nyttig-

 

göra informationen i samarbete med andra brottsbekämpande verksam-

 

heter. Ett förbättrat informationsutbyte gör det möjligt att utnyttja de

 

samlade resurserna mer effektivt och ökar förutsättningarna för att brott i

 

större utsträckning kan klaras upp snabbt och att felaktiga brottsmiss-

 

tankar kan avföras från utredning. Behovet av informationsutbyte mellan

 

de brottsbekämpande verksamheterna är särskilt stort när det gäller att

 

kartlägga och begränsa organiserad brottslighet, men det finns även

 

behov av samarbete och informationsutbyte i kampen mot annan allvarlig

 

eller systematisk brottslighet.

 

Det pågår ett fortlöpande arbete med att utveckla system för informa-

 

tionsutbyte inom och mellan brottsbekämpande verksamheter, bl.a. inom

 

ramen för det samverkansarbete som rättsväsendets myndigheter bedriver

 

och som syftar till att utveckla det elektroniska informationsflödet genom

 

hela rättskedjan (Ju2012/6639). Flera utredningar har också under senare

 

år betonat att det måste skapas förutsättningar för ett förbättrat utbyte av

 

information mellan de brottsbekämpande myndigheterna (se t.ex.

 

betänkandena SOU 2002:113, SOU 2005:117, SOU 2006:18 och SOU

 

2011:80). Den gemensamma uppfattningen hos dessa utredningar har

 

varit att den brottsbekämpande verksamheten hos en myndighet ska

 

kunna lämna information till sådan verksamhet hos en annan myndighet,

 

om den senare myndigheten behöver informationen i sin brottsbekäm-

 

pande verksamhet.

 

I t.ex. avsnitt 6.2 och 10.3 berörs det myndighetsöverskridande arbetet

 

mot organiserad brottslighet. Genom nyligen genomförda lagändringar

 

har det också blivit enklare att utbyta information vid samverkan mot

 

organiserad brottslighet: Lagen (2016:774) om uppgiftsskyldighet vid

 

samverkan mot viss organiserad brottslighet innehåller sekretessbrytande

 

bestämmelser som gäller vid särskilt beslutad samverkan mellan myn-

 

digheter för att förebygga, förhindra eller upptäcka brottslig verksamhet

 

av i lagen närmare angivet slag, se propositionen Informationsutbyte vid

 

samverkan mot organiserad brottslighet (prop. 2015/16:167).

 

Det är också en allmän strävan inom EU att öka informationsutbytet

 

mellan medlemsstaternas brottsbekämpande myndigheter. I det nyligen

 

antagna dataskyddsdirektivet, Europaparlamentets och rådets direktiv

 

(EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med

 

avseende på behöriga myndigheters behandling av personuppgifter för att

 

förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa

 

straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om

 

upphävande av rådets rambeslut 2008/977/RIF, lyfts också fram att det är

 

viktigt att medlemsstaterna säkerställer att behöriga myndigheters utbyte

 

av personuppgifter inom unionen, när sådant utbyte krävs enligt unions-

144

rätten eller medlemsstaternas nationella rätt, varken begränsas eller för-

bjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter (artikel 1).

Å ena sidan innebär ett förbättrat informationsutbyte ett ökat flöde av uppgifter mellan myndigheter vilket kan skapa större risker för intrång i den personliga integriteten, särskilt om de uppgifter som behandlas är av känsligt slag eller används utan hänsyn till det sammanhang i vilket de samlades in. Även insamling och utbyte av förhållandevis harmlösa uppgifter kan, om de skapar en totalbild av en enskild persons förhåll- anden, riskera att leda till intrång i den personliga integriteten.

Vid informationsutbyte mellan brottsbekämpande verksamheter hos myndigheter bör å andra sidan beaktas att de myndigheter som bedriver underrättelseverksamhet har likartade regler om sådan verksamhet och att alla myndigheter tillämpar samma grundläggande regler för brotts- utredning. Vidare har uppgifter som rör brott och brottsbekämpning i princip samma sekretesskydd hos alla berörda myndigheter. Skyddet vid behandlingen av personuppgifter är också likartat. Även om det kan finnas nackdelar med ett ökat informationsflöde mellan de brotts- bekämpande myndigheterna väger fördelarna över. De integritetsrisker som kan finnas vägs in när bestämmelserna utformas och när myndig- heter beviljas direktåtkomst.

Det ligger i sakens natur att informationsutbytet till stor del avser uppgifter som omfattas av sekretess, eftersom åtskilliga av de uppgifter som behandlas inom den brottsbekämpande verksamheten skyddas av någon typ av sekretess. En grundläggande förutsättning för att uppgifter ska få lämnas till en annan myndighet är att sekretess inte hindrar att uppgifterna lämnas ut. Detta gäller oberoende av om det rör sig om elektroniskt lagrade uppgifter eller uppgifter på papper. I offentlighets- och sekretesslagen (2009:400) finns det ett antal bestämmelser som innebär att sekretess inte hindrar utbyte av uppgifter mellan nationella brottsbekämpande myndigheter. Enligt 10 kap. 28 § offentlighets- och sekretesslagen hindrar sekretess inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Frågan om nya sådana bestämmelser bör införas berörs bl.a. i avsnitt 15.5.4.

Informationsutbytet mellan brottsbekämpande myndigheter sker i dag till stor del manuellt. Uppgifter kan lämnas både i pappersform och elektroniskt, t.ex. via e-post. I viss utsträckning förekommer elektroniskt utlämnande genom att mottagaren ges rätt att själv söka efter information som den utlämnande myndigheten har tillgång till (direktåtkomst).

En ordning som innebär att informationsutbytet i huvudsak sker genom manuell behandling skapar praktiska problem, särskilt som brottsbe- kämpningen bedrivs dygnet runt. Uppgifter som en tjänsteman behöver omedelbart för att kunna genomföra en tjänsteåtgärd måste vara lätt tillgängliga även utanför vanlig kontorstid.

Det finns alltså ett stort och växande behov av ett effektivt informa- tionsutbyte mellan de brottsbekämpande myndigheterna. Detta behov måste kunna tillgodoses genom ökad användning av elektronisk kommu- nikation. Den nya lagen bör därför underlätta sådant informationsutbyte och bidra till att utveckla samarbetet med andra brottsbekämpande myndigheter, samtidigt som den värnar om enskildas integritet.

I följande avsnitt presenteras överväganden och förslag avseende bl.a. metoder för utlämnande, frågor om sekretess och uppgiftsskyldighet.

Prop. 2016/17:91

145

Prop. 2016/17:91

15.2

Behovet av ett effektivt internationellt

 

 

informationsutbyte

 

 

 

Regeringens bedömning: Det internationella utbytet av information

 

spelar en viktig roll för brottsbekämpningen av framför allt allvarlig

 

och gränsöverskridande brottslighet.

 

 

 

Promemorians bedömning: Överensstämmer med regeringens

 

bedömning.

 

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över

 

bedömningen.

 

Skälen för regeringens bedömning: Av samma skäl som ett ökat

 

informationsutbyte mellan svenska brottsbekämpande myndigheter

 

bidrar till en effektivare brottsbekämpning gör internationellt samarbete i

 

brottsbekämpande syfte det. Globaliseringen har medfört en ökad

 

internationell handel och ett ökat resande i världen, vilket har underlättat

 

utvecklingen av organiserad brottslighet. I dag förflyttar sig både

 

vinsterna från brottsligheten och de kriminella mellan olika länder utan

 

några större problem. Denna utveckling ställer större krav på samarbete

 

över gränserna och innebär att vikten av internationellt samarbete ökar

 

ytterligare.

 

 

Det är framför allt vid bekämpningen av allvarlig och gränsöver-

 

skridande brottslighet som det internationella informationsutbytet har

 

betydelse. Utan sådant informationsutbyte skulle t.ex. bekämpningen av

 

grov och synnerligen grov narkotikasmuggling inte kunna bedrivas lika

 

effektivt. Dessutom har Sverige genom olika internationella överens-

 

kommelser åtagit sig att överlämna information som härrör från brotts-

 

bekämpande verksamhet dels till brottsbekämpande myndigheter i andra

 

länder, dels till organisationer som Interpol och Europol. Hinder mot

 

informationsutbyte på nationell nivå riskerar naturligtvis att påverka även

 

det internationella informationsutbytet negativt.

 

Ett ökat informationsutbyte över gränserna måste emellertid balanseras

 

av effektivt skydd för den enskilde. I december 2008 antogs rådets

 

rambeslut 2008/977/RIF av den 27 november 2008 om skydd för person-

 

uppgifter som behandlas inom ramen för polissamarbete och straffrätts-

 

ligt samarbete, dataskyddsrambeslutet, med syfte att säkerställa en

 

gemensam hög skyddsnivå för enskilda personer. Dataskyddsram-

 

beslutet, som har genomförts i Sverige, innebär att det finns bindande

 

förpliktelser om dataskydd mellan medlemsstaterna inom polisområdet.

 

En redogörelse för rambeslutet och andra internationella överensko-

 

melser om särskilda dataskyddsbestämmelser finns i avsnitt 4.1. Som

 

nämnts i avsnitt 4.1.7 har dataskyddsrambeslutet ersatts av ett data-

 

skyddsdirektiv, som ska vara implementerat i maj 2018. Utredningen om

 

2016 års dataskyddsdirektiv (Ju 2016:06) har i uppdrag att genomföra

 

direktivet. Den ska senast den 1 april 2017 i ett delbetänkande redovisa

 

uppdraget i den del det rör dels en ny ramlagstiftning, dels tillsyn inom

 

direktivets tillämpningsområde. Uppdraget ska slutredovisas senast

 

den 30 september 2017.

 

Utvecklingen innebär att Tullverket kommer att ha ett fortsatt stort

146

behov av att kunna utbyta uppgifter med andra länder. Den nya lagen bör

 

 

därför inte ställa upp onödiga hinder för sådant informationsutbyte. Prop. 2016/17:91 Möjligheterna att utbyta uppgifter bör enligt regeringens mening i

huvudsak motsvara vad som redan gäller i dag.

15.3Direktåtkomst för svenska brottsbekämpande myndigheter

Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrotts- myndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket ska få medges direktåtkomst till personuppgifter i Tullverkets brotts- bekämpande verksamhet. Direktåtkomsten ska endast få avse personupp- gifter som är gemensamt tillgängliga.

En myndighet som har medgetts direktåtkomst ska ansvara för att till- gången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag finns en uttrycklig bestämmelse om att myndigheten som medges direktåtkomst ska vara bunden av de begräns- ningar i fråga om sökning som gäller för Tullverket. Promemorians förslag är även i övrigt något annorlunda utformat.

Remissinstanserna: Kriminalvården anger att myndigheten inte finns upptagen i lagförslaget som en av de myndigheter som trots sekretess har rätt att ta del av personuppgifter som är gemensamt tillgängliga, och inte heller som en av de myndigheter som får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Kriminal- vården anser dock att det i dag finns starka skäl att överväga om inte även Kriminalvården bör hänföras till brottsbekämpande myndigheter, då den har ett uttryckligt uppdrag att bekämpa brott under verkställigheten och samverkar inom ramen för den myndighetsgemensamma satsningen mot organiserad brottslighet med t.ex. Polismyndigheten, Tullverket och Åklagarmyndigheten.

Datainspektionen anger att i promemorian föreslås utökade möjligheter för myndigheter att få direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet, men att det inte redogörs närmare för skälen till att dessa myndigheter har behov av direktåtkomst till Tull- verkets information. Utan en närmare redovisad analys går det inte att bedöma lämpligheten och konsekvenserna av det aktuella förslaget.

Sveriges advokatsamfund anser att författningsförslaget leder till betänkligheter från integritetssynpunkt. Samfundet noterar att enskilda individer genom direktåtkomst kan komma att få tillgång till gemensamt tillgängliga uppgifter inhämtade från Tullverket, Ekobrottsmyndigheten, Polismyndigheten, Åklagarmyndigheten och Skatteverket och således att en stor mängd information kan komma att samlas hos individer. Risken

147

Prop. 2016/17:91

för missbruk med en sådan ordning, t.ex. genom att uppgifterna används

 

för andra ändamål än för vilka de samlades in, bör inte underskattas.

 

Skälen för regeringens förslag: Enligt 6 § förordningen (2005:791)

 

om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet,

 

kallad tullbrottsdataförordningen, får Ekobrottsmyndigheten, Polismyn-

 

digheten, Säkerhetspolisen, Kustbevakningen och Skatteverket ha direkt-

 

åtkomst till uppgifter i tullbrottsdatabasen som behandlas för ändamålet

 

att förebygga, förhindra och upptäcka brottslig verksamhet. Åklagarmyn-

 

digheten, Ekobrottsmyndigheten, Polismyndigheten och Säkerhetspoli-

 

sen får ha direktåtkomst till uppgifter i tullbrottsdatabasen som behandlas

 

för ändamålet att utreda och beivra brott (7 §).

 

Enligt polisdatalagen (2010:361) och kustbevakningsdatalagen

 

(2012:145) får Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndig-

 

heten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Skatte-

 

verket medges direktåtkomst till personuppgifter i den brottsbekämpande

 

verksamheten. Direktåtkomsten får endast avse personuppgifter som är

 

gemensamt tillgängliga. En myndighet som har medgetts direktåtkomst

 

ansvarar för att tillgången till personuppgifter begränsas till vad varje

 

tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 8 §

 

polisdatalagen och 4 kap. 7 § kustbevakningsdatalagen).

 

Att olika arbetsuppgifter inom brottsbekämpningen av organisatoriska,

 

historiska eller andra skäl är uppdelade och ligger på skilda myndigheter

 

innebär inte nödvändigtvis att det uppstår större risker från integritets-

 

synpunkt med direktkopplingar mellan information hos de olika

 

myndigheterna än vad som skulle ha varit fallet om all brottsbekämpande

 

verksamhet låg hos en och samma myndighet, jfr propositionen Tull-

 

verkets brottsbekämpning – Effektivare uppgiftsbehandling (prop.

 

2004/05:164 s. 87).

 

Alltför vittgående möjligheter till direktåtkomst kan dock öka riskerna

 

för intrång i den personliga integriteten. Typiskt sett innebär direkt-

 

åtkomst nämligen att uppgifter blir tillgängliga för fler personer och att

 

den ursprungliga myndighetens möjligheter att kontrollera användningen

 

av uppgifterna minskar. Mot den bakgrunden föreslår regeringen att,

 

vilket också gäller i dag, särskilda regler ska gälla vid direktåtkomst till

 

personuppgifter som behandlas i Tullverkets brottsbekämpande verksam-

 

het.

 

Datainspektionen anger att det föreslås utökade möjligheter för myn-

 

digheter att få direktåtkomst till personuppgifter i Tullverkets brotts-

 

bekämpande verksamhet men att det i promemorian inte redogörs

 

närmare för skälen till att dessa myndigheter har behov av direktåtkomst

 

till Tullverkets information och att det utan en närmare redovisad analys

 

inte går att bedöma lämpligheten och konsekvenserna av det aktuella

 

förslaget. Regeringen vill erinra om att det, som framgår ovan, redan

 

förekommer direktåtkomst mellan de brottsbekämpande myndigheterna

 

och att det således inte handlar om utökade möjligheter till direktåtkomst.

 

Vad gäller frågan om behovet av direktåtkomst ökar modern teknik

 

möjligheterna att skapa överblick och samordning i det brottsbekäm-

 

pande arbetet och att utnyttja tillgänglig information på ett effektivt sätt.

 

Det är angeläget att dessa möjligheter kan användas. De brottsbekäm-

 

pande myndigheterna har ofta behov av att på ett snabbt och enkelt sätt få

148

omedelbar tillgång till information genom direktåtkomst. Verksamhets-

skäl talar således för att ge de brottsbekämpande myndigheterna möjlig- het till direktåtkomst. Att man har valt att fördela brottsbekämpande uppgifter på flera myndigheter ska inte hindra ett effektivt brotts- bekämpade arbete. Det är dock naturligtvis av stor vikt att integritets- aspekter iakttas, vilket behandlas nedan.

Sveriges advokatsamfund anser att författningsförslaget leder till betänkligheter från integritetssynpunkt. Samfundet noterar att enskilda individer genom direktåtkomst kan komma att få tillgång till gemensamt tillgängliga uppgifter inhämtade från Tullverket, Ekobrottsmyndigheten, Polismyndigheten, Åklagarmyndigheten och Skatteverket och således att en stor mängd information kan komma att samlas hos individer. Risken för missbruk med en sådan ordning, till exempel genom att uppgifterna används för andra ändamål än för vilka de samlades in, bör inte under- skattas.

Regeringen vill lyfta fram följande. Mot de brottsbekämpande myndig- heternas verksamhetsbehov måste naturligtvis hänsynen till enskildas integritet vägas. Integritetsaspekterna måste tillmätas central betydelse vid bedömningen av i vilken omfattning sådana myndigheter bör kunna medges direktåtkomst till uppgifter i varandras verksamhet. I de data- baser och register som förs av brottsbekämpande myndigheter finns det ofta stora mängder personuppgifter. Många av dessa kan vara av känslig karaktär. Enbart det förhållandet att uppgifter om en enskild persons förhållanden samlas in och bevaras kan uppfattas som ett intrång i den personliga integriteten. Ju fler personer som har omedelbar tillgång till sådana uppgiftssamlingar, desto mera påtaglig är risken för intrång. Direktåtkomst kan också minska möjligheterna att kontrollera den vidare användningen av uppgifterna. Dessa förhållanden utgör skäl för en restriktiv hållning i fråga om direktåtkomst till personuppgifter som Tullverket behandlar i den brottsbekämpande verksamheten.

En viktig aspekt som bör beaktas vid den avvägning som måste göras är om det, när det är fråga om direktåtkomst till sekretessreglerade uppgifter, gäller sekretess för uppgifterna hos den mottagande myndig- heten. En annan viktig aspekt är hur uppgifterna sprids och används inom den mottagande myndigheten. Om användandet av uppgifterna inom den myndigheten kan begränsas till en liten krets, är integritetsriskerna mindre än om uppgifterna ges en vid spridning. En tredje aspekt är vilka bestämmelser om informationssäkerhet (t.ex. system för behörighet, loggning och tillsyn) som gäller hos den mottagande myndigheten. Om informationssäkerheten hos den mottagande myndigheten är hög, så att det kan garanteras att informationen endast når dem som har behov av den, inger möjlighet till direktåtkomst mindre betänkligheter från integritetssynpunkt än vad som annars hade varit fallet. En fjärde aspekt är att möjligheterna att göra integritetskänsliga sökningar bland person- uppgifterna inte ska öka bara för att dessa är föremål för direktåtkomst.

Det kan anmärkas att de brottsbekämpande myndigheterna har författningar som reglerar behandlingen av personuppgifter på ett likartat sätt, i ännu högre grad om nu föreslagen tullbrottsdatalag införs. Sekretessregleringen ger också i princip samma skydd för uppgifter i brottsbekämpningen hos samtliga brottsbekämpande myndigheter. Myndigheterna omfattas således av bl.a. bestämmelserna om sekretess till skydd för brottsbekämpningen i 18 kap. 1 och 2 §§ offentlighets- och

Prop. 2016/17:91

149

Prop. 2016/17:91

sekretesslagen och bestämmelserna om sekretess till skydd för enskildas

 

personliga och ekonomiska förhållanden i sådan verksamhet, som

 

regleras i 35 kap. samma lag. Det finns också en särskild bestämmelse,

 

11 kap. 4 §, om överföring av sekretess vid direktåtkomst. Om en

 

myndighet har elektronisk tillgång till en annan myndighets upptagning

 

för automatiserad behandling och en uppgift i denna upptagning är

 

sekretessreglerad hos den andra myndigheten, blir sekretessbestäm-

 

melsen tillämplig också hos den mottagande myndigheten. Detta gäller

 

dock inte om uppgiften ingår i ett beslut hos den mottagande myndig-

 

heten. Det finns även en särskild bestämmelse, 11 kap. 8 § offentlighets-

 

och sekretesslagen, om vad som gäller vid konkurrens mellan den

 

överförda sekretessen och sådan sekretess som är direkt tillämplig hos

 

den mottagande myndigheten, se avsnitt 15.5.

 

Vad gäller Sveriges advokatsamfunds syn om att enskilda individer

 

kan komma att få del av uppgifter bör påminnas om att den aktuella

 

direktåtkomstregleringen endast kommer att medge myndigheter direkt-

 

åtkomst, och därmed endast tjänstemän vid sådan myndighet. Vad gäller

 

den angivna risken för missbruk med en sådan ordning, t.ex. genom att

 

uppgifterna används för andra ändamål än för vilka de samlades in inte

 

ska underskattas, vill regeringen framhålla att det inte är reglerna om

 

direktåtkomst som styr för vilka ändamål som uppgifter som får behand-

 

las. Bestämmelserna om direktåtkomst handlar om att uppgifter som får

 

lämnas ut, ska kunna lämnas på ett visst sätt, nämligen genom direkt-

 

åtkomst.

 

Vad sedan gäller tillgången till uppgifterna hos de mottagande myndig-

 

heterna bör motsvarande begränsning gälla som i avsnitt 9.5 har

 

föreslagits för Tullverkets egen behandling – att tillgången till uppgifter

 

ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra

 

sina arbetsuppgifter. Regeringen föreslår därför särskilda regler om detta

 

i den nya lagen. En möjlighet till direktåtkomst behöver alltså inte

 

innebära annat än att en begränsad krets av tjänstemän – eller enbart en

 

viss tjänsteman – hos den mottagande myndigheten får tillgång till

 

uppgifterna.

 

Vad slutligen gäller informationssäkerhet i samband med direktåtkomst

 

har regeringen eller den myndighet som regeringen bestämmer möjlighet

 

att meddela särskilda föreskrifter om detta, om vilket en upplysnings-

 

bestämmelse föreslås, se nedan. Om de brottsbekämpande myndig-

 

heterna ska ges möjlighet till direktåtkomst till varandras person-

 

uppgifter, bör den myndighet som beslutar om sådan åtkomst vara

 

skyldig att försäkra sig om att den mottagande myndigheten har en

 

acceptabel säkerhetsnivå, t.ex. vad gäller system för utlämnande av

 

behörighet och loggning av transaktioner samt tillsyn. Det kan i samman-

 

hanget noteras att den tekniska utvecklingen fortlöpande ger bättre

 

möjligheter att begränsa tillgången till olika uppgifter och att i efterhand

 

genom bl.a. loggningsuppgifter kontrollera hur tillgången har utnyttjats.

 

De ökade integritetsrisker som en möjlighet till direktåtkomst kan

 

medföra motverkas alltså genom bestämmelser av annat slag, såsom

 

befintliga bestämmelser om sekretess och bestämmelser om tillgång till

 

och sökning bland uppgifter och om informationssäkerhet.

 

Regeringen anser att den nya lagen därför på liknande sätt som den

150

nuvarande regleringen bör tillåta att övriga brottsbekämpande myndig-

heter ges direktåtkomst till personuppgifter som behandlas i Tullverkets brottsbekämpande verksamhet. Regeringen föreslår därför att Polis- myndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndig- heten, Kustbevakningen och Skatteverket ska få medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet.

Kriminalvården anger att myndigheten inte finns upptagen som en av de myndigheter som trots sekretess har rätt att ta del av personuppgifter som är gemensamt tillgängliga, och inte heller som en av de myndigheter som får medges direktåtkomst till personuppgifter i Tullverkets brotts- bekämpande verksamhet. Kriminalvården anser att det finns starka skäl att överväga om inte även Kriminalvården bör hänföras till brottsbekäm- pande myndigheter, då den har ett uttryckligt uppdrag att bekämpa brott under verkställigheten och samverkar inom ramen för den myndighets- gemensamma satsningen i kampen mot organiserad brottslighet.

Regeringen vill med anledning av detta framhålla följande. Som har nämnts tidigare har nu en lag och tillhörande förordning införts som syftar till att förbättra samverkan mellan myndigheter mot organiserad brottslighet, lagen om uppgiftsskyldighet vid samverkan mot viss organiserad brottslighet och sammanhörande förordning, se prop. 2015/16:167. Förutsättningarna för samverkan mellan myndigheterna har således förbättrats bl.a. genom att sekretessbrytande bestämmelser har införts. Vad gäller metoden för utlämnande anser dock regeringen inte för närvarande att de uppgifter som ska kunna lämnas ut till Kriminal- vården från Tullverket, måste kunna lämnas ut genom direktåtkomst. Andra metoder för utlämnande av uppgifter får således användas vid utlämnande till denna myndighet.

Vad gäller övriga förutsättningar för direktåtkomsten för de uppräk- nade myndigheterna gör regeringen följande överväganden. På mot- svarande sätt som gäller i dag bör direktåtkomsten bara få avse sådana personuppgifter som är gemensamt tillgängliga. Även om myndighets- överskridande samarbete äger rum i mindre grupper innebär informa- tionsutbytet att uppgifter som behandlas av Tullverket blir tillgängliga utanför det sammanhang där de ursprungligen har behandlats. Det är då ur ett integritetsperspektiv rimligt att de särskilda, mer begränsande reglerna om gemensamt tillgängliga uppgifter, exempelvis särskilda upplysningar och sökbegränsningar, alltid tillämpas. Motsvarande över- väganden har skett i bl.a. förarbetena till kustbevakningsdatalagen, se propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 138).

Som har nämnts ovan föreslår också regeringen att, i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen, det föreskrivs att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

I promemorian har vidare föreslagits en uttrycklig reglering om att för en sådan myndighet som har medgetts direktåtkomst ska den nya lagens bestämmelser om sökning gälla. Regeringen ser dock inte skäl att föra in en sådan bestämmelse i lagen. Något motsvarande finns inte heller i t.ex. polisdatalagen eller kustbevakningsdatalagen.

Det bör i lagen upplysas om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan

Prop. 2016/17:91

151

Prop. 2016/17:91 meddela närmare föreskrifter om direktåtkomsten samt om behörighet och säkerhet.

Förslaget genomförs genom 3 kap. 8 § i den nya lagen.

15.4Ingen direktåtkomst för utländska myndigheter och internationella organisationer

Regeringens bedömning: Utländska myndigheter och internationella organisationer bör inte medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet.

Promemorians bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över bedömningen.

Skälen för regeringens bedömning: I lagen (2005:787) om behand- ling av uppgifter i Tullverkets brottsbekämpande verksamhet (kallad tullbrottsdatalagen) finns det inte några bestämmelser som medger att utländska myndigheter och internationella organisationer har direkt- åtkomst.

I polisdatalagen finns det en bestämmelse om att regeringen meddelar föreskrifter om att en utländsk myndighet, Europol eller en mellanfolklig organisation får medges direktåtkomst till uppgifter i polisens brotts- bekämpande verksamhet under vissa förutsättningar (2 kap. 21 §). Någon motsvarande bestämmelse finns inte i kustbevakningsdatalagen.

Det ökade internationella samarbetet när det gäller brottsbekämpning aktualiserar frågan om det finns behov av att medge direktåtkomst för utländska myndigheter och internationella organisationer till person- uppgifter i Tullverkets brottsbekämpande verksamhet. Regeringen har i samband med tidigare lagstiftningsförslag ansett att restriktivitet bör iakttas generellt när det gäller att medge direktåtkomst, och i allra högsta grad när det gäller direktåtkomst för utländska myndigheter och andra organ. En orsak till detta är att den myndighet som är personuppgifts- ansvarig i sådant fall får sämre möjligheter att kontrollera den vidare användningen av personuppgifterna.

När det gäller bekämpning av terrorism och gränsöverskridande brottslighet innehåller rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, kallat Prümrådsbeslutet (se mer i avsnitt 4.5.2) bl.a. bestämmelser som ålägger medlemsstaterna att tillåta direktåtkomst till vissa uppgifter i nationella DNA-register och fingeravtrycksregister. Åtkomsten ska begränsas till uppgifter om huru- vida någon förekommer i registren eller inte. Polismyndigheten är personuppgiftsansvarig för dessa register.

När det gäller Tullverkets brottsbekämpande verksamhet förekommer visserligen ett omfattande internationellt uppgiftsutbyte. I likhet med Kustbevakningen ansvarar Tullverket emellertid inte för något register som utländska myndigheter och internationella organisationer enligt

internationella åtaganden ska medges direktåtkomst till. Enstaka person-

152

uppgifter ska enligt vad som föreslås i avsnitt 13.1 få lämnas ut på Prop. 2016/17:91 medium för automatiserad behandling. Regeringen bedömer att detta får

anses tillräckligt när det gäller elektroniskt utlämnande till utlandet. Någon bestämmelse som tillåter direktåtkomst för utländska myndig-

heter och internationella organisationer föreslås därför inte i den nya lagen.

15.5Sekretess och uppgiftsskyldighet

15.5.1Regler om sekretess i den brottsbekämpande verksamheten

Sekretess till skydd för intresset av att förebygga eller beivra brott

 

regleras i 18 kap. offentlighets- och sekretesslagen. Sekretess gäller, i

 

större eller mindre utsträckning, för förundersökningar och motsvarande

 

utredningar enligt 23 kap. rättegångsbalken (18 kap. 1 §) och som regel

 

för underrättelseuppgifter (18 kap. 2 §). Sekretessbestämmelser till skydd

 

för enskild finns huvudsakligen i 35 kap. offentlighets- och sekretess-

 

lagen, som reglerar sekretess i verksamhet som syftar till att förebygga

 

eller beivra brott.

 

 

Sekretessen

enligt 35 kap. 1 § offentlighets- och sekretesslagen

 

skyddar enskilds personliga och ekonomiska förhållanden. Sekretessen

 

omfattar bl.a. uppgifter i utredning enligt bestämmelserna om förunder-

 

sökning i brottmål (1), användning av tvångsmedel (2), annan verksam-

 

het som syftar till att förebygga, uppdaga, utreda eller beivra brott och

 

som bedrivs av en åklagarmyndighet, Polismyndigheten, Säkerhets-

 

polisen, Skatteverket, Tullverket eller Kustbevakningen (4), misstanke-

 

registret (7) och register som förs av Tullverket enligt den nuvarande

 

tullbrottsdatalagen (10). Brottsanmälningar omfattas också av sekre-

 

tessen. Sekretessen gäller om det inte står klart att uppgiften kan röjas

 

utan att den enskilde eller någon närstående lider skada eller men. För

 

beslut att väcka åtal eller att inte inleda eller lägga ned en förunder-

 

sökning gäller inte sekretessen (35 kap. 6 §). Sekretessen upphör också

 

normalt om uppgiften lämnas till domstol med anledning av åtal (35 kap.

 

7 §). Sekretessen upphör inte om uppgiften uppenbart saknar betydelse i

 

målet (2). Om åtal inte väcks kvarstår också sekretessen. Därför är det

 

mycket vanligt att det förekommer kvarstående sekretess till skydd för

 

enskild i förundersökningar och andra brottsutredningar.

 

När en förundersökning eller annan motsvarande utredning inleds

 

gäller som regel sekretess enligt både 18 kap. 1 eller 2 § och 35 kap. 1 §

 

offentlighets-

och sekretesslagen. Sekretessen enligt 18 kap. minskar

 

efter hand och brukar normalt upphöra senast i samband med att åtal

 

väcks.

 

 

 

 

Enligt 35 kap. 2 § gäller sekretess, i verksamhet som avses i 1 § första

 

stycket, för uppgift i en anmälan eller utsaga av enskild i förhållande till

 

den som anmälan eller utsagan avser, endast om det kan antas att fara

 

uppkommer för att någon utsätts för våld eller lider annat allvarligt men

 

om uppgiften röjs.

 

 

I 35 kap.

3 § 1 regleras

sekretessen för belastningsregistret och i

 

35 kap. 4 §

sekretessen för

bl.a. register över strafföreläggande och

153

Prop. 2016/17:91 föreläggande av ordningsbot. I 35 kap. 10 § finns en sekretessbrytande bestämmelse för uppgifter som får lämnas ut bl.a. enligt den nuvarande tullbrottsdatalagen.

15.5.2Sekretessbrytande regler mellan brottsbekämpande myndigheter

Ansvaret för brottsbekämpningen i Sverige är uppdelat mellan flera myndigheter. Gemensamt för dessa är att sekretess i större eller mindre utsträckning gäller för åtskilliga av de personuppgifter som behandlas inom ramen för den brottsbekämpande verksamheten. Enligt 8 kap. 1 § offentlighets- och sekretesslagen får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat framgår av lagen (eller lag eller förordning till vilken lagen hänvisar). När uppgifter ska lämnas mellan myndigheter måste hänsyn tas till både sekretesslagstiftningen och lagstiftningen om behandling av personuppgifter.

I offentlighets- och sekretesslagen finns flertal bestämmelser som möjliggör utbyte av uppgifter mellan myndigheter utan hinder av sekretess. Av 10 kap. 2 § offentlighets- och sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen, som är avsedd att tillämpas restriktivt, medger inte sekretessgenombrott på den grunden att den mottagande myndigheten behöver uppgifterna i sin verksamhet. Enligt 10 kap. 28 § första stycket hindrar sekretess inte att uppgifter lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Upp- gifter kan vidare, med vissa undantag, lämnas ut med stöd av 10 kap. 19– 26 §§, när uppgifterna behövs för olika i paragraferna angivna ändamål inom brottsbekämpningen, bl.a. förundersökning. Enligt 10 kap. 27 §, den s.k. generalklausulen, gäller som huvudregel att en uppgift får lämnas ut till en annan myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Undantag görs dock för vissa sekretessregler som är av begränsat intresse här. Bedömningen av om uppgiften kan lämnas ut görs av den myndighet som innehar uppgiften, utom i de fall där utlämnande- bestämmelsen har konstruerats så att uppgiften alltid ska lämnas ut om det begärs.

Även bestämmelsen i 6 kap. 5 § offentlighets- och sekretesslagen är viktig i sammanhanget. Den innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär att om en myndighet begär att få del av uppgifter från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämp- lig, så ska uppgifterna lämnas ut. Detsamma gäller om de begärda upp- gifterna är offentliga, dvs. inte omfattas av sekretess.

Bestämmelsen kan sägas motsvara allmänhetens rätt att få tillgång till handlingar genom offentlighetsprincipen, men utlämnandeskyldigheten är mer vidsträckt och omfattar alla typer av uppgifter som myndigheten förfogar över, bl.a. uppgifter i handlingar som inte är allmänna.

154

Det kan även finnas sekretessbrytande bestämmelser i annan lag eller

Prop. 2016/17:91

förordning. För Tullverkets del finns sådana bestämmelser

i t.ex. 2 §

 

tullbrottsdataförordningen och 1 kap. 4 § tullagen (2016:253).

 

 

15.5.3Förhållandet mellan direktåtkomst och sekretess

En bestämmelse om direktåtkomst innebär ingen uppgiftsskyldighet enligt 10 kap. 28 § första stycket offentlighets- och sekretesslagen (se t.ex. prop. 2004/05:164 s. 83 och propositionen Personuppgiftsbehand- ling hos Försvarsmakten och Försvarets radioanstalt, prop. 2006/07:46 s. 80). Bestämmelsen är alltså inte i sig sekretessbrytande, utan reglerar endast den tillåtna formen för att lämna ut uppgifter. Möjligheterna för t.ex. en myndighet att vid informationsutbyte med en annan myndighet överföra uppgifter genom att medge den senare direktåtkomst till upp- gifter som behandlas automatiserat begränsas därför ofta av sekretess. Eftersom direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter – inom ramen för den beviljade direktåtkomsten – den vill ta del av, blir uppgifterna att anse som utlämnade i och med att direktåtkomst medges. Prövningen av om ett utlämnande är förenligt med offentlighets- och sekretesslagen måste därför ske redan då upp- gifterna görs tillgängliga genom direktåtkomst, oavsett om någon mottagare vid den tidpunkten tar del av dem. En myndighet kan därför inte tillåta en annan myndighet direktåtkomst till uppgifter som, vid en sekretessprövning, den senare myndigheten inte med säkerhet skulle ha rätt att ta del av, se t.ex. propositionen Utökat elektroniskt informations- utbyte (prop. 2007/08:160 s. 73). Direktåtkomst förutsätter därför att det är fråga om offentliga uppgifter, uppgifter som omfattas av en författ- ningsbestämmelse om uppgiftsskyldighet eller – i undantagsfall – uppgifter som kan lämnas ut rutinmässigt med stöd av generalklausulen.

Det finns en särskild bestämmelse om överföring av sekretess vid direktåtkomst (11 kap. 4 § offentlighets- och sekretesslagen). Om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och uppgifter i upptagningen är sekretessreglerade, blir de sekretessbestämmelser som är tillämpliga hos den utlämnande myndigheten tillämpliga även hos den mottagande myndigheten. Sekretessen överförs dock inte om uppgiften ingår i ett beslut hos den mottagande myndigheten (11 kap. 4 § andra stycket) eller om det hos den mottagande myndigheten finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 5, och 7 §§ som skyddar samma intresse (11 kap. 8 § offentlighets- och sekretesslagen). Eftersom samt- liga brottsbekämpande myndigheter i princip tillämpar samma primära sekretessbestämmelser innebär den sistnämnda bestämmelsen att bestäm- melsen om överföring av sekretess enligt 11 kap. 4 § offentlighets- och sekretesslagen får begränsad betydelse vid utlämnande av uppgifter mellan brottsbekämpande myndigheter.

155

Prop. 2016/17:91

156

15.5.4Uppgiftslämnande till svenska brottsbekämpande myndigheter

Regeringens förslag: Polismyndigheten, Säkerhetspolisen, Ekobrotts- myndigheten, Åklagarmyndigheten, Kustbevakningen och Skatte- verket ska, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen, ha rätt att ta del av person- uppgifter som har gjorts gemensamt tillgängliga i Tullverkets brotts- bekämpande verksamhet, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet.

I lagen ska det upplysas om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall. Vidare ska det upplysas om att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.

Promemorians förslag: Överensstämmer i sak med regeringens förslag. Promemorians förslag är något annorlunda utformat.

Remissinstanserna: Kriminalvården anger att myndigheten inte finns upptagen som en av de myndigheter som trots sekretess har rätt att ta del av personuppgifter som är gemensamt tillgängliga, och inte heller som en av de myndigheter som får medges direktåtkomst till personuppgifter i Tullverkets brottsbekämpande verksamhet. Dessa synpunkter behandlas i avsnitt 15.3.

Migrationsverket vill i likhet med vad som anges i promemorian peka på behovet av att det finns en tydligare sekretessbrytande bestämmelse i offentlighets- och sekretesslagen än den s.k. generalklausulen i 10 kap. 27 § rörande möjligheten till informationsutbyte mellan myndigheter.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Det behövs sekretessbrytande bestämmelser

Enligt den nuvarande tullbrottsdataförordningen ska Tullverket lämna ut uppgifter från tullbrottsdatabasen om det begärs av de myndigheter som får ha direktåtkomst till sådana uppgifter (2 § jfrt med 6 och 7 §§).

Även polisdatalagen och kustbevakningsdatalagen har sekretess- brytande regler men de har utformats på ett annat sätt. Dessa innebär att de brottsbekämpande myndigheterna har, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen, rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga, om den mottagande myndigheten behöver dem i sin brottsbekämpande verksamhet (2 kap. 16 § polisdatalagen respektive 3 kap. 7 § kustbevak- ningsdatalagen).

I samband med lagstiftningsärendet rörande den nuvarande tullbrotts- datalagen konstaterades att det fanns behov av tydliga sekretessbrytande regler för att kunna medge andra brottsbekämpande myndigheter direkt- åtkomst till sekretessbelagda uppgifter, något som har upprepats i senare lagstiftningsärenden om behandling av personuppgifter hos polisen och Kustbevakningen, dock att utformningen av reglerna blev en annan. Det finns ett fortsatt behov av en sekretessbrytande regel som omfattar informationsutbyte mellan de brottsbekämpande myndigheterna.

Hur ska bestämmelserna utformas?

Det ligger i sakens natur att en sekretessbrytande bestämmelse som ska möjliggöra direktåtkomst mellan brottsbekämpande myndigheter måste vara tämligen generellt utformad, eftersom det vid direktåtkomst saknas möjlighet att göra en sekretessprövning i varje enskilt fall. Prövningen måste i stället, som nämnts ovan, göras i förväg. Med hänsyn till intresset av ett gott skydd för den personliga integriteten kan ett fullständigt sekretessgenombrott mellan de brottsbekämpande myndigheterna dock inte anses acceptabelt. Även om sekretessen består gentemot allmänheten och effektivitetsaspekterna väger tungt, bör någon form av begränsning i den sekretessbrytande bestämmelsen göras. Uppgifter som omfattas av sekretess till skydd för enskild kan vara mycket integritetskänsliga. Därför är det viktigt att tulltjänstemän och tjänstemän vid andra brottsbekämpande myndigheter får tillgång till sådana uppgifter bara när de behöver det för att kunna bedriva den brottsbekämpande verksamhet som de är ålagda. Detta behov bör därför utgöra det rekvisit som begrän- sar den sekretessbrytande bestämmelsen, på motsvarande sätt som gäller enligt polisdatalagen och kustbevakningsdatalagen.

Då regeln ska ha till syfte att tillåta frekvent utlämnande bör behovs- bedömningen kunna göras inom tämligen vida ramar. Bedömningen av vad mottagaren behöver får göras främst utifrån myndighetens brotts- bekämpande uppgifter och med utgångspunkt i de behov som typiskt sett föreligger. Personuppgifter som en myndighet typiskt sett inte behöver bör alltså inte vara åtkomliga för den myndigheten.

Det kan dock finnas situationer där en brottsbekämpande myndighet i ett enskilt fall har behov av uppgifter som ligger utanför det normala i den brottsbekämpande verksamheten. En prövning får i så fall göras i det enskilda fallet med stöd av andra sekretessbrytande bestämmelser på samma sätt som sker i dag.

Mot bakgrund av dessa överväganden bör den sekretessbrytande bestämmelsen, på motsvarande sätt som bestämmelserna i polisdatalagen och kustbevakningsdatalagen, utformas så att personuppgifter i Tull- verkets brottsbekämpande verksamhet, trots viss närmare angiven sekretess, kan lämnas till Polismyndigheten, Säkerhetspolisen, Ekobrotts- myndigheten, Åklagarmyndigheten, Kustbevakningen och Skatteverket under två förutsättningar. Den ena är att personuppgifterna är gemensamt tillgängliga. Samma begränsning gäller för den föreslagna direktåt- komsten. Personuppgifter som inte är gemensamt tillgängliga omfattas således inte av bestämmelsen. Sådana uppgifter kan dock komma att lämnas ut efter en sekretessprövning i det enskilda fallet med stöd av andra bestämmelser. Den andra förutsättningen är att den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Bestämmelsen bryter endast viss sekretess, se under nästa rubrik.

Bestämmelsen utformas som en uppgiftsskyldighet, jfr propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 331).

Sekretessbrytande regler kan föreskrivas i såväl lag som förordning. Som framgår ovan regleras nuvarande sekretessbrytande uppgifts- skyldighet i förordning. I lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen gjordes bedömningen att de brottsbekämpande

Prop. 2016/17:91

157

Prop. 2016/17:91

158

verksamheternas särskilda natur talade för att bestämmelserna skulle införas i lag. Regeringen anser att den nu aktuella sekretessbrytande bestämmelsen bör tas in i den nya lagen och inte i förordning.

Vilka sekretessbestämmelser bör den nya regleringen omfatta?

Frågan är då vilka slag av sekretess som ska kunna brytas vid informa- tionsutbyte med andra brottsbekämpande myndigheter. Eftersom bestäm- melserna i 18 kap. 1 och 2 §§ offentlighets- och sekretesslagen till skydd för intresset att förebygga och förhindra brott är tillämpliga hos alla brottsbekämpande myndigheter, bör det i de flesta fall inte innebära någon skada för Tullverkets brottsbekämpande verksamhet att lämna ut uppgifterna. Utgångspunkten är således redan enligt gällande rätt att uppgifter som omfattas av sekretess enligt nämnda paragrafer normalt kan lämnas ut till en annan brottsbekämpande myndighet. Detta förut- sätter emellertid att det är möjligt att på förhand bedöma om en viss förundersökning eller motsvarande kan lämnas ut. En sådan bedömning bör kunna göras för olika brottstyper eller olika slags underrättelse- projekt.

På motsvarande sätt bör det redan enligt gällande bestämmelser vara möjligt att bedöma den risk som kan vara förknippad med att lämna ut uppgifter som är sekretessbelagda med stöd av någon annan bestämmelse i 18 kap. offentlighets- och sekretesslagen.

Något generellt behov av att bryta den sekretess som kan gälla enligt 18 kap. 1 och 2 §§ finns alltså inte. I de fall där utlämnandet av en uppgift till en annan brottsbekämpande myndighet skulle innebära att Tullverkets egen brottsbekämpande verksamhet riskerar att skadas, bör direktåtkomst givetvis inte komma ifråga. Det sagda gäller även övriga bestämmelser i 18 kap. I sådana fall får, som nyss nämnts, i stället bedö- mas om uppgiften kan lämnas ut med stöd av någon annan sekretess- brytande bestämmelse, t.ex. 10 kap. 2 eller 27 § offentlighets- och sekretesslagen.

Eftersom de flesta pågående eller avslutade förundersökningarna som inte har lett till åtal och flertalet uppgifter i underrättelseverksamhet kringgärdas av sekretess enligt bestämmelser i 35 kap. offentlighets- och sekretesslagen till skydd för enskild, krävs det sekretessprövning i varje enskilt fall där en sådan uppgift ska lämnas till en annan brottsbekäm- pande myndighet. Även om uppgifterna kan lämnas ut efter en sådan prövning innebär det att tid och kraft måste läggas på en prövning som normalt alltid ger samma resultat. En sekretessbrytande regel skulle därför underlätta informationsutbytet.

I tidigare utredningar har man pekat på verksamhetsbehovet av att kunna bryta sekretessen i 35 kap. 1 § offentlighets- och sekretesslagen bl.a. i förundersökningar och andra liknande utredningar, eftersom det påtagligt skulle underlätta informationsutbytet mellan de brottsbekäm- pande myndigheterna. Sekretessen enligt 35 kap. 1 § är tillämplig hos alla brottsbekämpande myndigheter, vilket innebär att uppgifterna har samma skydd gentemot utomstående hos den mottagande myndigheten som hos den utlämnande myndigheten. En regel som bryter denna sekretess skulle förenkla informationslämnandet till andra brottsbekäm- pande myndigheter och bör därför införas. I övrigt bör det inte finnas

anledning

att låta sekretessgenombrottet omfatta fler bestämmelser i

35 kap. än

35 kap. 1 § offentlighets- och sekretesslagen. Motsvarande

överväganden gjordes i lagstiftningsärendena om polisdatalagen och kustbevakningsdatalagen, se prop. 2009/10:85 s. 194 f. och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 146). I den mån andra sekretessbestämmelser i kapitlet är tillämpliga får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av huruvida sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekämpande myndighet.

Sekretessen enligt 21 kap. 3 § första stycket offentlighets- och sekre- tesslagen gäller för uppgift om enskilds bostadsadress, telefonnummer och andra jämförbara uppgifter som kan användas för att komma i kontakt med den enskilde, om det finns särskild anledning att anta att han eller hon, eller någon närstående, kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs. Sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen gäller hos alla myndigheter för att skydda s.k. skyddade adresser. Det innebär att en uppgift som lämnas till en annan brottsbekämpande myndighet har samma skydd gentemot allmänheten hos den mottagande myndigheten. Dessutom är de brotts- bekämpande myndigheterna vana vid att hantera denna sekretess. Mot den nu angivna bakgrunden bör uppgifter som omfattas av sekretess enligt 21 kap. 3 § första stycket offentlighets- och sekretesslagen kunna lämnas vidare till andra brottsbekämpande myndigheter utan hinder av sekretessen. När det gäller övriga sekretessbestämmelser till skydd för enskilda som kan aktualiseras i Tullverkets brottsbekämpande verk- samhet, t.ex. 21 kap. 1 § offentlighets- och sekretesslagen (känsliga uppgifter om hälsa och sexualliv) och 21 kap. 5 § (uppgifter som rör utlänningars säkerhet i vissa fall), anser regeringen att den enskildes behov av skydd för sin integritet får anses väga tyngre än det behov som kan finnas av ett generellt sekretessgenombrott. I dessa fall får det, på samma sätt som nu, göras en bedömning i det enskilda fallet av om sekretessen hindrar att uppgifterna lämnas ut till en annan brottsbekäm- pande myndighet.

Integritetsskyddet

Den nu föreslagna regleringen motsvarar de sekretessbrytande bestäm- melserna i polisdatalagen och kustbevakningsdatalagen och innebär alltså att ett sekretessgenombrott tillåts endast i vissa fall. Ytterligare en begränsning är som nämnts ovan att bestämmelsen endast avser uppgifter som har gjorts gemensamt tillgängliga i Tullverkets brottsbekämpande verksamhet. Bestämmelsen om utlämnande måste även ses tillsammans med hur regelsystemet i övrigt har byggts upp. För behandlingen av gemensamt tillgängliga uppgifter ska gälla särskilda begränsningar, se avsnitt 14, vilket bl.a. innebär att enligt huvudregeln bara vissa typer av uppgifter ska vara åtkomliga vid sökning. Vidare ska det framgå för vilket ändamål uppgiften behandlas. Upplysningar som rör misstänkt brottslig verksamhet ska förses med upplysning om källans tillförlitlighet och uppgifternas riktighet i sak. Om direktåtkomst beviljas och den mottagande myndigheten använder den för att hämta uppgifter till sina system, kommer även den mottagande myndighetens registerförfattning

Prop. 2016/17:91

159

Prop. 2016/17:91

160

att bli tillämplig och tillgången till olika typer av uppgifter att begränsas genom behörighetsregler. Det bör som nämnts i avsnitt 15.3 föreskrivas i den nya lagen att den myndighet som har medgetts direktåtkomst ansvarar för att tillgången till uppgifter begränsas till vad varje tjänste- man behöver för att kunna fullgöra sina arbetsuppgifter.

Upplysningsbestämmelse

I likhet med polisdatalagen och kustbevakningsdatalagen bör även tas in en upplysning som anger att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall. Det görs i bestämmelsen en uttrycklig hänvisning till 8 kap. 7 § regeringsformen.

Vidare bör det i lagen föras in en upplysning om att bestämmelser om att personuppgifter får lämnas ut även finns i offentlighets- och sekre- tesslagen.

Lagförslag

Sammanfattningsvis föreslår regeringen alltså att Polismyndigheten, Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Kust- bevakningen och Skatteverket, trots sekretess enligt 21 kap. 3 § första stycket och 35 kap. 1 § offentlighets- och sekretesslagen, ska ha rätt att ta del av personuppgifter som har gjorts gemensamt tillgängliga i Tull- verkets brottsbekämpande verksamhet, om den mottagande myndigheten behöver uppgifterna i sin brottsbekämpande verksamhet. Det ska upplysas om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall och att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen.

Förslaget genomförs genom 2 kap. 13 och 14 §§ i den nya lagen.

15.5.5Uppgiftsskyldighet

Regeringens förslag: Bestämmelsen om att personuppgifter som är nödvändiga för att framställa rättsstatistik ska lämnas till den myndighet som ansvarar för att framställa sådan statistik ska föras över oförändrad in i den nya lagen.

Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorian föreslås även att en bestämmelse i den nuvarande tullbrottsdatalagen som avser vite ska föras över oförändrad in i den nya lagen. Bestämmelsen gäller att på begäran av den som avser utfärda ett vitesföreläggande enligt tullagen, ska upplysning lämnas om det i den brottsbekämpande verksamheten görs bedömningen att vite enligt 7 kap. 6 § inte får sättas ut.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag: Enligt den nuvarande tullbrottsdata- lagen ska uppgifter som är nödvändiga för att framställa rättsstatistik lämnas till den myndighet som ansvarar för att framställa sådan statistik (24 §). En motsvarande bestämmelse finns i polisdatalagen (2 kap. 14 §). Enligt förordningen (2001:100) om den officiella statistiken är det Brottsförebyggande rådet som är den statistikansvariga myndighet som

avses. Regeringen anser att bestämmelsen bör föras över i sak oförändrad Prop. 2016/17:91 till den nya lagen. Det kan anmärkas att enligt 24 kap. 8 § första stycket

offentlighets- och sekretesslagen gäller absolut sekretess för uppgift som avser en enskilds personliga eller ekonomiska förhållanden i sådan verksamhet hos en myndighet som framställer statistik.

I promemorian föreslås också att bestämmelsen i den nuvarande tullbrottsdatalagen om att på begäran av den som avser utfärda ett vitesföreläggande enligt tullagen, ska upplysning lämnas om det i den brottsbekämpande verksamheten görs bedömningen att vite enligt 7 kap. 6 § inte får sättas ut (23 §), ska föras över oförändrad in i den nya lagen. 7 kap. 6 § tullagen handlar om att Tullverket inte kan förena ett föreläggande med vite om det finns anledning att anta att den som ska föreläggas vid vite har begått en gärning som är straffbelagd eller kan leda till tulltillägg och föreläggandet avser utredning av en fråga som har samband med den misstänkta gärningen. Bestämmelsen i 23 § den nuvarande tullbrottsdatalagen är en bestämmelse om en skyldighet att informera om en bedömning som görs hos den brottsbekämpande verksamheten. Regeringen anser inte att bestämmelsen behöver finnas i den föreslagna lagen utan att den lämpligen kan placeras i förordning. Det kan nämnas att motsvarande bestämmelse för Skatteverket finns i skatteförfarandeförordningen (2011:1261), 8 kap. 2 §. Bestämmelsen om vitesförbudet finns i skatteförfarandelagen (2011:1244), 44 kap. 3 §.

Förslaget genomförs genom 2 kap. 15 § i den nya lagen.

15.5.6Uppgiftslämnande till utlandet

Regeringens förslag: Om det är förenligt med svenska intressen ska personuppgifter få lämnas till Interpol, Europol, en polismyndighet eller åklagarmyndighet i en stat som är ansluten till Interpol, eller en tull- myndighet eller kustbevakning inom Europeiska ekonomiska samarbets- området (EES). Det ska dock bara gälla om det behövs för att myndig- heten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott.

Uppgifter ska även få lämnas till en utländsk myndighet eller mellan- folklig organisation, om utlämnandet följer av en internationell överens- kommelse som Sverige har tillträtt efter riksdagens godkännande.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag finns uttryckligen angivet att det även krävs att utlämnandet är förenligt med 33–35 §§ personuppgiftslagen (1998:204). Promemorians förslag är också något annorlunda utformat.

Remissinstanserna: Kammarrätten i Sundsvall anser inte att det är nödvändigt att i bestämmelsen på nytt upplysa om att 33–35 §§ person- uppgiftslagen är tillämpliga vid utlämnande av personuppgifter då detta redan framgår av en annan bestämmelse i förslaget till tullbrottsdatalag. Innebörden av uttrycket förenligt med svenska intressen är enligt kammarrätten oklar och bör närmare belysas i författningskommentaren.

Datainspektionen anger att det inte framgår hur Tullverket i den prak- tiska tillämpningen ska kunna säkerställa att villkoret att den utländska myndigheten eller organisationen ska kunna förebygga, förhindra, upp-

161

Prop. 2016/17:91

162

täcka, utreda eller beivra brott är uppfyllt eller vilka konsekvenser ett sådant förslag bedöms få för den personliga integriteten. Detta bör utredas ytterligare. Vid ett utlämnande av personuppgifter till tredjeland måste Tullverket också bedöma om överföringen är förenlig med bestämmelserna i 33–35 §§ personuppgiftslagen. Det kan behöva klar- göras hur personuppgiftslagens undantagsbestämmelser i 34 och 35 §§ och även 14 § personuppgiftsförordningen (1998:1191) kan bli aktuella att tillämpa.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Nuvarande möjligheter att lämna ut uppgifter till utlandet

En uppgift som omfattas av sekretess får som utgångspunkt inte röjas för en utländsk myndighet. Enligt 8 kap. 3 § offentlighets- och sekretess- lagen får dock en sekretesskyddad uppgift röjas för en utländsk myndig- het eller en mellanfolklig organisation i två situationer. Den ena är när utlämnandet sker enligt särskild föreskrift i lag eller förordning. Den andra är när uppgiften i motsvarande fall skulle få lämnas till en svensk myndighet och det enligt den utlämnande myndigheten står klart att det är förenligt med svenska intressen att uppgiften lämnas.

I 10 kap. 2 § offentlighets- och sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas ut om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Enligt förarbetena är denna sekretessbrytande bestämmelse avsedd att tillämpas restriktivt. Inom vissa myndighetsområden, som t.ex. den brottsbekäm- pande verksamheten, är det i ganska stor utsträckning nödvändigt att lämna ut sekretessbelagda uppgifter med stöd av den bestämmelsen. Ett typiskt exempel i det internationella samarbetet är att en svensk myndig- het i samband med begäran om rättslig hjälp i en förundersökning lämnar uppgifter som omfattas av sekretess enligt 18 kap. 1 eller 2 § och 35 kap. 1 § offentlighets- och sekretesslagen till en utländsk åklagar- eller polis- myndighet i syfte att få ett visst förhör genomfört. Om det är nödvändigt för en myndighet att lämna ut sekretessbelagda uppgifter för att myndig- heten ska kunna fullgöra sin egen verksamhet, står det i regel klart att det är förenligt med svenska intressen att lämna uppgifterna. I det följande diskuteras inte sådant internationellt samarbete som sker i svenskt intresse, utan uteslutande samarbete i syfte att bistå andra länder i deras brottsbekämpande verksamhet.

Varken i den nuvarande tullbrottsdatalagen eller i den nuvarande tull- brottsdataförordningen finns det uttryckliga sekretessbrytande bestäm- melser som tar sikte på utlämnande av personuppgifter till utlandet. Däremot finns en bestämmelse i 2 kap. 6 § lagen (2000:1219) om inter- nationellt tullsamarbete som medger att uppgifter får lämnas ut till behörig utländsk myndighet eller mellanfolklig organisation, när det är nödvändigt för genomförande av internationellt tullsamarbete enligt den lagen, även om en uppgift är sekretessbelagd enligt offentlighets- och sekretesslagen. Lagen tillämpas på internationellt tullsamarbete som följer av en internationell överenskommelse med en annan stat eller mellanfolklig organisation som Sverige har tillträtt eller annars är förpliktat att följa och som har till syfte att förhindra, upptäcka, utreda

eller beivra överträdelser av tullbestämmelser (1 kap. 1 § första stycket). Större delen av Tullverkets internationella tullsamarbete kan hänföras till ett sådant förpliktande samarbete, men lagen om internationellt tull- samarbete täcker inte in allt det internationella informationsutbyte som kan förekomma i Tullverkets brottsbekämpande verksamhet. Ett exempel är när Tullverket utför polisiära uppgifter.

I polisdatalagen och kustbevakningsdatalagen finns det uttryckliga sekretessbrytande bestämmelser som avser det internationella informa- tionsutbytet. Personuppgifter får lämnas till Interpol, Europol eller en polismyndighet eller åklagarmyndighet som är ansluten till Interpol, om det är förenligt med svenska intressen och behövs för att myndigheten eller organisationen ska kunna förebygga, förhindra, upptäcka, utreda eller beivra brott. Enligt polisdatalagen får under samma förutsättningar personuppgifter också lämnas till utländsk underrättelse- eller säkerhets- tjänst, medan enligt kustbevakningsdatalagen får under samma förutsätt- ningar personuppgifter lämnas till en utländsk kustbevakning eller tull- myndighet inom Europeiska ekonomiska samarbetsområdet (EES). Personuppgifter får vidare enligt polisdatalagen och kustbevaknings- datalagen lämnas till en utländsk myndighet eller mellanfolklig organisa- tion, om utlämnandet följer av en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt (2 kap. 15 § polis- datalagen och 3 kap. 6 § kustbevakningsdatalagen).

Även i personuppgiftslagen finns regler som avser utlämnande av uppgifter till utlandet, nämligen till tredjeland. Enligt 33 § person- uppgiftslagen är det förbjudet att till tredjeland, dvs. ett land utanför EU och EES-området, föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skydd av personuppgifter. Förbudet omfattar även överföring av personuppgifter för behandling i tredjeland. Frågan om skyddsnivån är adekvat ska bedömas med hänsyn till samtliga omständigheter. Särskild vikt ska läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen ska pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredjelandet. Trots förbudet i 33 § är det enligt 34 § tillåtet att under vissa förutsättningar föra över uppgifter till tredjeland. Det förutsätter antingen att den registrerade gett sitt samtycke till överföringen eller att överföringen är nödvändig bl.a. för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras eller att vitala intressen för den registrerade ska kunna skyddas. Vidare är det tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (kallad dataskyddskonventionen).

Regeringen kan enligt 35 § personuppgiftslagen meddela föreskrifter om undantag från förbudet mot överföring av uppgifter till vissa stater eller till tredjeland. En sådan bestämmelse finns i 3 § förordningen (2000:1222) om internationellt tullsamarbete. Där anges att Tullverket eller annan behörig svensk myndighet utan hinder av 33 § personupp- giftslagen får överföra personuppgifter till tredjeland, om det behövs för att uppfylla skyldigheter som följer av överenskommelse som avses i 1 kap. 1 § första stycket lagen om internationellt tullsamarbete.

Prop. 2016/17:91

163

Prop. 2016/17:91 Bestämmelserna om förbud mot överföring av personuppgifter till tredjeland medför att en bestämmelse som föreskriver att sekretess inte hindrar att uppgifterna lämnas till en annan stat eller mellanfolklig organisation, inte med automatik gör att uppgifter får lämnas ut. Förutom att utlämnandet givetvis måste omfattas av ett tillåtet behandlings- ändamål, krävs att 33–35 §§ personuppgiftslagen iakttas och därmed normalt att det mottagande landet eller organisationen tillförsäkrar en adekvat skyddsnivå.

Utgångspunkterna för den nya regleringen

Det är framför allt i tre olika situationer som informationsutbyte aktualiseras i internationellt brottsbekämpande samarbete. Den första är där Sverige i en bindande internationell överenskommelse har förbundit sig att tillhandahålla information av visst slag utan särskild anmodan, genom direktåtkomst eller på annat sätt. Den andra är där Sverige i en sådan överenskommelse har åtagit sig att genomföra en viss åtgärd eller att lämna viss information på begäran av en annan stat eller mellanfolklig organisation. Den tredje situationen är s.k. spontant uppgiftsutlämnande, där initiativet till informationsutbytet tas av det svenska Tullverket. Sådant informationsutbyte kan bygga på en internationell överenskom- melse, men behöver inte göra det.

En utgångspunkt för regleringen om uppgiftslämnande till utlandet i den nya lagen är att möjligheten att lämna uppgifter till en utländsk myndighet eller mellanfolklig organisation inte ska inskränkas jämfört med gällande reglering. Det är viktigt med ett väl fungerande samarbete över gränserna inte bara genom att Tullverket bistår brottsbekämpande myndigheter i andra länder med svar på konkreta förfrågningar eller med rättslig hjälp i enskilda ärenden utan även att Tullverket kan lämna upp- gifter spontant i de fall där utbytet främst gagnar utländska intressen. Som nämnts ovan omfattas inte allt internationellt informationsutbyte som Tullverket behöver göra i sin brottsbekämpande verksamhet av lagen om internationellt tullsamarbete. Bl.a. mot denna bakgrund bedömer regeringen i likhet med promemorian att varken den sekretess- brytande regleringen i lagen om internationellt tullsamarbete eller möj- ligheten att lämna ut uppgifter med stöd av bestämmelsen i 8 kap. 3 § 2 offentlighets- och sekretesslagen är tillräcklig för att Sverige ska kunna fullgöra sina internationella åtaganden. I den nya tullbrottsdatalagen behövs därför en särskild reglering för uppgiftsutlämnande till utlandet (jfr 8 kap. 3 § 1 offentlighets- och sekretesslagen). Genom att införa en reglering i den nya lagen gäller den generellt för all behandling som sker med stöd av den nya lagen.

Det kan finnas skäl att påpeka att införandet av en sådan reglering i tullbrottsdatalagen inte bedöms innebära att befintlig sekretessbrytande bestämmelse i lagen om internationellt tullsamarbete blir överflödig. Den lagen gäller även för Tullverkets icke brottsbekämpande verksamhet, och därmed personuppgiftsbehandling vilken tullbrottsdatalagen inte kommer att reglera. Den kan också vara aktuell att tillämpa även för annan myndighet än Tullverket.

164

Bindande åtaganden om att lämna uppgifter

Den nya lagens bestämmelse om utlämnande av uppgifter till utländska myndigheter och mellanfolkliga organisationer bör i likhet med vad som gäller enligt polisdatalagen och kustbevakningsdatalagen omfatta folk- rättsligt bindande åtaganden om att lämna viss information till en annan stat eller till en mellanfolklig organisation, som har godkänts av riks- dagen. Regeringen föreslår därför en bestämmelse om att uppgifter får lämnas till en utländsk myndighet eller mellanfolklig organisation, om utlämnandet följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande.

Informationsutbyte med utländska myndigheter, Europol och Interpol m.fl.

Informationsutlämnande sker vanligtvis med anledning av en begäran från en utländsk myndighet om viss information. Eftersom varje land organiserar den brottsbekämpande verksamheten efter sina traditioner, kan informationsutbyte äga rum mellan polismyndigheter, en polis- myndighet och en åklagarmyndighet eller vice versa eller med någon annan utländsk myndighet som har polisiära uppgifter, t.ex. tullmyndig- heter eller motsvarigheter till Kustbevakningen.

Sverige har förbundit sig att på begäran lämna vissa uppgifter till andra stater som är anslutna till Europol. Det följer således redan av den föreslagna regeln om folkrättsligt bindande åtaganden att information kan lämnas på begäran av en sådan stat, men en tydlig reglering av vilken det framgår att uppgifter alltid får lämnas till stater som tillhör Europol, om förutsättningarna i övrigt är uppfyllda, underlättar för tillämparen. Regleringen bör också omfatta uppgiftslämnande till själva organisationen.

Sverige har även förbundit sig att inom ramen för Interpol lämna andra stater bistånd med information, men dessa åtaganden är inte lika långtgående som när det gäller åtagandena i förhållande till stater som är medlemmar i Europol. Likaså har Sverige förbundit sig att lämna viss information till Interpol i dess egenskap av samarbetsorganisation. Den nya lagen bör därför ge utrymme för att uppgifter kan lämnas både till en annan stat som är medlem i Interpol och till organisationen som sådan.

Tullverket har ett motsvarande behov som Polismyndigheten och Kust- bevakningen av en sekretessbrytande bestämmelse som möjliggör för Tullverket att lämna personuppgifter till Interpol, Europol eller till polis- eller åklagarmyndighet som är ansluten till Interpol, om det behövs för att förebygga, förhindra, upptäcka, utreda eller beivra brott. I likhet med vad som gäller för Kustbevakningen finns det enligt regeringens bedöm- ning för Tullverket även ett behov att lämna personuppgifter till tullmyn- dighet och kustbevakning i länder inom EES. Vid en jämförelse med polisdatalagens reglering bedömer dock regeringen att det inte finns behov för Tullverket att lämna personuppgifter till utländska under- rättelse- eller säkerhetstjänster, om vilket polisdatalagen har en reglering. Någon sådan reglering föreslås därför inte.

En grundläggande förutsättning för uppgiftslämnande till utlandet som inte följer av en internationell överenskommelse som Sverige har tillträtt efter riksdagens godkännande bör givetvis vara att utlämnandet är fören-

Prop. 2016/17:91

165

Prop. 2016/17:91

ligt med svenska intressen, liksom att utlämnandet behövs för att den

 

utländska myndigheten eller organisationen ska kunna förebygga, för-

 

hindra, upptäcka, utreda eller beivra brott. Detta föreslås anges i lagen.

 

Datainspektionen anger att det inte framgår hur Tullverket i den

 

praktiska tillämpningen ska kunna säkerställa att det sistnämnda villkoret

 

är uppfyllt och vilka konsekvenser ett sådant förslag bedöms få för den

 

personliga integriteten och anser att detta bör utredas ytterligare. Rege-

 

ringen bedömer att Tullverket vid ett eventuellt utlämnande har förmåga

 

att bedöma när dessa villkor är uppfyllda. De föreslagna möjligheterna

 

till utlämnande av uppgifter till utlandet föreslås kringgärdas av regler

 

som avser att skydda enskilda, såsom de villkor som måste vara upp-

 

fyllda för att sekretessen ska brytas samt de nämnda reglerna i person-

 

uppgiftslagen som tar sikte på skydd mot utlämnande av uppgifter till

 

tredjeland.

 

Den sekretessbrytande bestämmelsen som föreslås i den nya lagen har

 

motsvarande utformning som den sekretessbrytande bestämmelsen i

 

kustbevakningsdatalagen.

 

Kammarrätten i Sundsvall anser att innebörden av uttrycket förenligt

 

med svenska intressen är oklar och att det bör närmare belysas i författ-

 

ningskommentaren. Regeringen noterar att uttrycket förekommer i flera

 

bestämmelser, t.ex. i offentlighets- och sekretesslagen, kustbevaknings-

 

datalagen och polisdatalagen. I början av detta avsnitt under rubriken

 

Nuvarande möjligheter att lämna ut uppgifter till utlandet redogörs för

 

sådana bestämmelser. Uttrycket i den nya tullbrottsdatalagen har samma

 

innebörd som i dessa.

 

Vad gäller spontant uppgiftslämnande kan följande tilläggas. Ett flertal

 

konventioner och andra internationella överenskommelser som rör

 

brottsbekämpning och som Sverige har undertecknat innehåller regler om

 

spontant uppgiftslämnande. I den mån sådana bestämmelser hänvisar till

 

nationell rätt betraktas de inte som obligatoriska förpliktelser. Det finns

 

emellertid även överenskommelser som ålägger svenska myndigheter en

 

uttrycklig skyldighet att, utan föregående begäran, informera en annan

 

stat om uppgifter som den kan ha nytta av i sin brottsbekämpning. I de

 

fallen förutsätts den svenska myndigheten, om den har tillgång till

 

information som bedöms ha betydelse för den andra statens brottsbe-

 

kämpning, självmant kontakta sin motsvarighet i en annan stat. Prüm-

 

rådsbeslutet (se avsnitt 4.5.2) innehåller sådana bestämmelser, som under

 

vissa förhållanden ålägger Tullverket att spontant lämna personuppgifter

 

till en myndighet i en annan stat.

 

Den nya lagen ger utrymme för Tullverket att från den brottsbekäm-

 

pande verksamheten spontant lämna ut information till en annan stats

 

brottsbekämpande myndighet, om informationen är värdefull för den

 

statens brottsbekämpning. Det kan t.ex. vara information om nya

 

tillvägagångssätt vid allvarlig gränsöverskridande brottslighet eller upp-

 

lysningar om konkreta brott. Om uppgifter lämnas spontant kan informa-

 

tionen som regel förses med villkor att den mottagande staten bara får

 

använda den på visst sätt eller för visst ändamål. Ett sådant villkor, som

 

är bindande för mottagaren, kan underlätta informationsutbytet i enskilda

 

fall. Ett villkor angående användningen kan bl.a. skydda mot att upp-

 

gifterna sprids vidare och utgör därför ett integritetsskydd för den

166

enskilde. Uppgifter kan alltså utan föregående begäran lämnas till en

utländsk polis- eller åklagarmyndighet i en stat som är ansluten till Interpol, Interpol eller Europol eller till tullmyndighet eller kustbevak- ning inom EES.

Det kan anmärkas att uppgifter även kan lämnas till en utländsk myndighet eller mellanfolklig organisation efter en sekretessprövning enligt 8 kap. 3 § offentlighets- och sekretesslagen. Det kan t.ex. vara fråga om uppgiftslämnande till någon annan mottagare än de som anges i den nya lagen eller utlämnande för något annat ändamål.

Överföring av uppgifter till tredjeland

I avsnitt 9.2 har regeringen föreslagit att reglerna i 33–35 §§ person- uppgiftslagen om överföring av uppgifter till tredjeland ska gälla vid behandling av personuppgifter enligt den nya tullbrottsdatalagen. Vid utlämnande av personuppgifter till utlandet måste Tullverket därför också göra en bedömning av om överföringen är förenlig med bestäm- melserna i 33–35 §§ personuppgiftslagen. Bestämmelserna hindrar inte överföring av personuppgifter till stater inom EES eller som har tillträtt dataskyddskonventionen. Därmed hindras inte överföringen till Europol eller stater som är anslutna till den organisationen.

När det gäller stater som enbart är anslutna till Interpol har vissa av dessa tillträtt dataskyddskonventionen. Även många andra stater har i och för sig en tillräcklig dataskyddsnivå, men det kräver en bedömning i det enskilda fallet. Interpol som organisation anses också uppfylla kraven på tillräcklig dataskyddsnivå. Uppgiftslämnande till en polis- eller åklagarmyndighet i en annan stat som enbart är medlem i Interpol förut- sätter alltså en noggrannare bedömning, eftersom den utlämnande myndigheten då – utöver att bedöma om det är förenligt med svenska intressen att utlämnandet sker – alltid måste avgöra om den andra staten har en tillräcklig dataskyddsnivå för att överföringen av personuppgifter ska vara tillåten enligt personuppgiftslagen.

Vid tillämpning av lagen om internationellt tullsamarbete aktualiseras också som nämnts ovan 3 § förordningen om internationellt tullsamar- bete, enligt vilken 33 § personuppgiftslagen inte hindrar uppgiftsläm- nande till tredjeland om det behövs för att fullgöra skyldigheter enligt lagen.

I promemorian föreslås att det i den bestämmelse som det nu är fråga om även anges att utlämnandet av uppgifter måste vara förenligt med 33– 35 §§ personuppgiftslagen. Kammarrätten i Sundsvall anser inte att det är nödvändigt att i bestämmelsen på nytt upplysa om detta. Regeringen delar kammarrättens bedömning, varför ett sådant krav inte finns med i den av regeringen föreslagna bestämmelsen. 33–35 §§ personuppgifts- lagen är tillämpliga genom den föreslagna bestämmelsen i tullbrotts- datalagen om vilka bestämmelser i personuppgiftslagen som ska gälla.

Datainspektionen anser att det i den fortsatta beredningen av lagstift- ningsärendet kan behöva ges mer vägledning för hur det ska gå till i den praktiska tillämpningen, när Tullverket måste bedöma om överföringen är förenlig med bestämmelserna i 33–35 §§ personuppgiftslagen. För- slagen i dessa delar motsvarar vad som gäller redan i dag för Tullverket, varför regeringen inte anser att närmare vägledning behöver presenteras i

Prop. 2016/17:91

167

Prop. 2016/17:91 detta lagstiftningsärende. Se dock författningskommentaren till 2 kap. 2 § första stycket 8.

Upplysningsbestämmelse

Som nämnts i avsnitt 15.5.4 föreslår regeringen en upplysningsbestäm- melse om att regeringen har möjlighet att meddela föreskrifter om att uppgifter får lämnas ut även i andra fall och att bestämmelser om att uppgifter får lämnas ut även finns i offentlighets- och sekretesslagen. Bestämmelsen omfattar även nu föreslagen bestämmelse.

Lagförslag

Förslaget genomförs genom 2 kap. 12 § i den nya lagen.

 

16

Bevarande och gallring

 

16.1

Allmänt om bevarande och gallring

 

 

 

Regeringens förslag: Personuppgifter ska inte få bevaras under längre

 

tid än vad som behövs för något eller några av de i lagen angivna

 

ändamålen. Denna generella bestämmelse om längsta tid för bevarande

 

ska kompletteras med bestämmelser som anger tidpunkter för när

 

uppgifter senast måste gallras eller inte längre får behandlas i Tullverkets

 

brottsbekämpande verksamhet. I paragrafen ska det upplysas om att

 

sådana bestämmelser finns i andra paragrafer.

 

I lagen ska det upplysas om att regeringen eller den myndighet som

 

regeringen bestämmer har möjlighet att meddela föreskrifter om att

 

uppgifter får bevaras under längre tid än vad som anges i lagen och om

 

att uppgifter – trots bestämmelserna om gallring – får bevaras för

 

historiska, statistiska eller vetenskapliga ändamål. I lagen ska det vidare

 

upplysas om att regeringen eller den myndighet som regeringen

 

bestämmer kan meddela föreskrifter om digital arkivering.

 

Promemorians förslag: Överensstämmer i sak med regeringens

 

förslag. Promemorians förslag är något annorlunda utformat och annor-

 

lunda placerat.

 

Remissinstanserna: Kriminalvården anser att det, på grund av icke-

 

harmoniserande gallringsregler hos Tullverket respektive Kriminal-

 

vården, finns en risk för att uppgifter som med stöd av den nya

 

bestämmelsen har tillhandahållits Kriminalvården kan komma att sparas

 

längre än vad som varit avsett då uppgifterna registrerades hos Tull-

 

verket. Eftersom detta inte endast rör Kriminalvården och Tullverket

 

utan förekommer mellan flera myndigheter ser Kriminalvården ett behov

 

av en översyn och harmonisering av samtliga berörda gallringsregler.

 

Datainspektionen anger att promemorians förslag i huvudsak har

 

samma sakliga innehåll och systematik som polisdatalagen (2010:361)

 

och kustbevakningsdatalagen (2012:145). Datainspektionen saknar även i

 

detta fall en redogörelse som tar sin utgångspunkt i Tullverkets verk-

168

samhet och de särskilda behov och förutsättningar som finns där och som

eventuellt kan motivera gallringsbestämmelser som i större eller mindre

Prop. 2016/17:91

grad avviker från vad som gäller hos andra brottsbekämpande myndig-

 

heter. De föreslagna gallringsbestämmelserna, som medger behandling

 

av personuppgifter under lång tid, bygger enligt inspektionen på allmänt

 

hållna antaganden om behov av att lagra uppgifter hos Tullverket och

 

inspektionen anser att det saknas en närmare analys av förslagens konse-

 

kvenser för den personliga integriteten med tydligt redovisade proportio-

 

nalitetsbedömningar.

 

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

 

Skälen för regeringens förslag

 

Generell bestämmelse om längsta bevarande

 

Lagen (2005:787) om behandling av uppgifter i Tullverkets brottsbe-

 

kämpande verksamhet (kallad tullbrottsdatalagen) innehåller i 27 § regler

 

om att personuppgifter som behandlas automatiserat ska gallras efter en

 

viss längsta tid, men inte någon generell bestämmelse om att person-

 

uppgifter under alla förhållanden måste gallras när de inte längre behövs

 

för något eller några av de tillåtna ändamålen för behandling. 28 §

 

innehåller i och för sig en bestämmelse om att uppgifter ska gallras så

 

snart de inte längre har betydelse för planeringen av viss verksamhet,

 

med längsta bevarandetid om sex månader. Bestämmelsen avser bara en

 

viss typ av behandling och är således inte generell. Polisdatalagen och

 

kustbevakningsdatalagen innehåller däremot sådana generella bestäm-

 

melser, jämte bestämmelser om gallring av personuppgifter efter en viss

 

längsta tid.

 

Om inga gallringsbestämmelser tas in i den nya lagen, kommer arkiv-

 

lagens huvudregler om bevarande att gälla för uppgifter som finns i

 

allmänna handlingar. De bestämmelser om gallring som finns i eller

 

följer av arkivlagen (1990:782) innebär att gallring får ske, men före-

 

skriver inte att gallring måste ske. När bestämmelser om gallring

 

meddelas i enlighet med vad som följer av arkivlagen är det rätten att ta

 

del av allmänna handlingar, behovet av information för rättskipningen

 

och förvaltningen samt forskningens behov som är styrande. Den

 

reglering som följer av arkivlagen är inte avsedd att tillgodose integritets-

 

skyddsintressen och den gäller bara för allmänna handlingar.

 

I Tullverkets brottsbekämpande verksamhet behandlas en stor mängd

 

personuppgifter automatiserat. Detta ökar typiskt sett risken för integri-

 

tetsintrång. Sekretessbestämmelser och bestämmelser om begränsningar i

 

tillgången till uppgifter kan inte fullt ut tillgodose integritetsskyddet och

 

ersätta bestämmelser om gallring i Tullverkets brottsbekämpande verk-

 

samhet. Regeringen anser att det därför bör finnas regler om gallring i

 

den nya lagen, som tar över bestämmelserna om bevarande i arkivlagen.

 

Vid utformningen av sådana bestämmelser bör dock vägas in vilka

 

övriga integritetsskyddande bestämmelser som är tillämpliga, t.ex.

 

begränsningar i fråga om behandling och tillgång till uppgifter. Vidare

 

måste en avvägning göras mellan å ena sidan intresset av skydd för den

 

personliga integriteten och å andra sidan intresset av offentlighet och

 

insyn i myndigheternas verksamhet.

 

Det är viktigt att uppgifter inte bevaras längre än det finns berättigade

 

ändamål för behandlingen. Denna princip kommer till uttryck bl.a. i

169

Prop. 2016/17:91

170

artikel 5 e i Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (kallad dataskydds- konventionen). Det finns normalt berättigade ändamål för att bevara uppgifter i ett ärende i den brottsbekämpande verksamheten under en tid efter det att ärendet avslutades. Sådant bevarande sker för ett flertal olika ändamål och kan sägas ske för mer övergripande brottsbekämpande ändamål. Sådant bevarande bör vara tillåtet även om det alltså inte sker för något särskilt utpekat konkret ändamål, t.ex. en viss brottsutredning. Detta kan sägas innebära en viss skillnad i kravet på ändamålsbestäm- ning mellan behandling av uppgifter i form av bevarande (lagring) av uppgifterna och annan behandling. Annan behandling av uppgifterna än lagring, t.ex. sökning, bör alltid ske för ett visst konkret ändamål. I sammanhanget bör framhållas att tillgången till personuppgifter enligt regeringens förslag alltid ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (se avsnitt 9.5). Tillgången till lagrade personuppgifter som inte längre behövs för ett visst konkret ändamål bör alltså vara begränsad till bara ett fåtal tjänstemän som har till särskild arbetsuppgift att hantera sådana mer eller mindre avförda personuppgifter.

Mot bakgrund av bl.a. kravet i artikel 5 e i dataskyddskonventionen föreslår regeringen att den nya lagen ska innehålla en generell bestäm- melse om en absolut längsta tid för bevarande som motsvarar de bestämmelser som finns i polisdatalagen och kustbevakningsdatalagen. I lagen bör det alltså föreskrivas att personuppgifter inte får bevaras längre än vad som behövs för något eller några av de i lagen angivna ända- målen. Regeringen föreslår därför en bestämmelse med sådant innehåll.

Bestämmelsen om längsta tid för bevarande hindrar inte att handlingar arkiveras och gallras enligt arkivlagens bestämmelser. När personupp- gifter inte längre får bevaras i den brottsbekämpande verksamheten kan bevarande således ske för arkivändamål. Personuppgifterna kan då avskiljas och arkiveras. Arkivering utesluter inte i sig fortsatt digital tillgång till uppgifterna i verksamheten.

Den nu föreslagna generella bestämmelsen om absolut längsta tid för bevarande ger Tullverket tämligen vida ramar för bedömningen av vilka uppgifter som får bevaras. Det är framför allt verksamhetsskäl och myndighetssamverkan som bör vara styrande för bedömningen av om uppgifterna fortfarande behövs.

Behov av ytterligare begränsningar

För att tillgodose intresset av skydd för den personliga integriteten bör dock den generella bestämmelsen kompletteras med mer preciserade bestämmelser som föreskriver en yttersta gräns för att bevara vissa kategorier av uppgifter, vilket det redan i paragrafen om den generella bestämmelsen bör upplysas om. Sådana bestämmelser bör utformas utifrån de skilda verksamhetsbehoven av att bevara olika kategorier av uppgifter, samtidigt som dessa behov måste vägas mot intresset av att värna den personliga integriteten. Den nya lagens tidsfrister för gallring bör utgöra maximifrister. Om det redan vid en tidigare tidpunkt står klart att uppgifterna saknar betydelse från brottsbekämpningssynpunkt ska de gallras eller, i vissa fall, avskiljas från den brottsbekämpande verksam-

heten. Detta följer såväl av den nyss föreslagna generella bestämmelsen om en absolut längsta tid för bevarande som av föreslagna ändamåls- bestämmelser, se avsnitt 10.1.

De särskilda gallringsbestämmelserna med precisa tidsfrister bör i likhet med vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen, till skillnad från den generella bestämmelsen, endast gälla automatiserad behandling av personuppgifter. För behandling t.ex. i manuella register behövs inga särskilda gallringsbestämmelser.

Olika gallringsbestämmelser bör dock gälla beroende på om uppgif- terna har gjorts gemensamt tillgängliga eller inte, se avsnitten 16.3 och 16.2. Ärenden om utredning eller beivrande av brott bör inte omfattas av lagens särskilda gallringsbestämmelser. Det bör dock finnas bestämmel- ser som begränsar möjligheten att efter en viss tid behandla uppgifter i brottsanmälningar, förundersökningar och andra brottsutredningar i den brottsbekämpande verksamheten, se avsnitt 16.4. Om uppgifterna fort- sätter att behandlas automatiserat för arkivändamål, ska de avskiljas från den brottsbekämpande verksamheten, se avsnittet nedan om digital arkivering.

Datainspektionen saknar en redogörelse som tar sin utgångspunkt i Tullverkets verksamhet och de särskilda behov och förutsättningar som finns där och som eventuellt kan motivera gallringsbestämmelser som i större eller mindre grad avviker från vad som gäller hos andra brottsbe- kämpande myndigheter. De föreslagna gallringsbestämmelserna, som medger behandling av personuppgifter under lång tid, bygger enligt inspektionen på allmänt hållna antaganden om behov av att lagra upp- gifter hos Tullverket och inspektionen anser att det saknas en närmare analys av förslagens konsekvenser för den personliga integriteten med tydligt redovisade proportionalitetsbedömningar. Ovan redovisas skälen för regeringens bedömning att specifika tidsfrister för gallring och behandling behöver införas i den nya lagen, som gäller Tullverkets brottsbekämpande verksamhet. I följande avsnitt redovisas varje före- slagen bestämmelse i detalj och de närmare skälen för dem.

Kriminalvården anser att det finns en risk för att uppgifter som med stöd av den nya bestämmelsen tillhandahållits Kriminalvården kan komma att sparas längre än vad som varit avsett då uppgifterna regis- trerades hos Tullverket och ser ett behov av en översyn och harmo- nisering av samtliga berörda gallringsregler. Regeringen vill framhålla att nu aktuellt lagstiftningsärende endast tar sikte på personuppgifts- regleringen avseende Tullverkets brottsbekämpande verksamhet och frågor om andra myndigheters gallringsregler omfattas därmed inte.

Gallringsbestämmelserna i den nya lagen syftar till att skydda den personliga integriteten. När information överförs från elektronisk form till pappersform, och därefter inte finns kvar i elektronisk form, måste detta skydd anses ha uppnåtts och uppgifterna anses gallrade. Varje mindre förändring av den elektroniskt lagrade informationen, t.ex. ändrade sökmöjligheter, kan emellertid inte anses utgöra gallring enligt den nu föreslagna lagen. Uppgifter kan inte heller anses gallrade enbart genom att de överförts till ett annat datamedium, eftersom uppgifterna då fortfarande kan bli föremål för olika slag av sammanställningar. Inne- börden av de gallringsbestämmelser som föreslås bör således vara att

Prop. 2016/17:91

171

Prop. 2016/17:91 uppgifter inte längre ska vara digitalt åtkomliga, se t.ex. se propositionen Integritet och effektivitet i polisens brottsbekämpande verksamhet (prop. 2009/10:85 s. 206) och propositionen Kustbevakningsdatalag (prop. 2011/12:45 s. 175).

Som har nämnts i avsnitt 7.2 är en utgångspunkt för detta lagstiftnings- ärende att den nya lagen i möjligaste mån bör ha samma sakliga innehåll och systematik som polisdatalagen och kustbevakningsdatalagen. De förslag som behandlas i avsnitt 16 motsvarar i stort vad gäller sakligt innehåll dessa lagar, men vad gäller systematiken har regeringen i detta lagstiftningsärende valt att till skillnad från polisdatalagen och kust- bevakningsdatalagen samla alla bestämmelser om bevarande och gallring i ett kapitel, kapitel 4. Regeringen bedömer att reglerna om bevarande och gallring blir mer överblickbara med denna lösning.

Ytterligare föreskrifter om bevarande

För att tillgodose intresset av offentlighet och insyn bör regeringen eller den myndighet som regeringen bestämmer, trots de särskilda bestämmel- serna om gallring, kunna meddela föreskrifter om bevarande för historiska, statistiska eller vetenskapliga ändamål. Detta gäller redan med tillämpning av 8 kap. 7 § regeringsformen. Bestämmelser som upplyser om denna möjlighet bör föras in i den nya lagen.

Regeringen eller den myndighet som regeringen bestämmer har även möjlighet att meddela föreskrifter om att vissa kategorier av uppgifter ska få behandlas och bevaras under längre tid än de i lagen angivna fristerna, vilket det också bör upplysas om i den nya lagen. För vissa speciella slag av uppgifter kan nämligen fortsatt bevarande vara befogat. Nedan behandlas ytterligare en fråga om möjligheten till ytterligare föreskrifter, nämligen om digital arkivering.

Digital arkivering

Arkivering är ett teknikneutralt begrepp. Handlingar och uppgifter kan således arkiveras digitalt. Som nämnts ovan kan uppgifter som arkiverats fortfarande vara sökbara och tillgängliga för vissa tjänstemän. Om endast arkivlagens bestämmelser skulle vara tillämpliga skulle digitalt arkive- rade allmänna handlingar, som inte längre behövs i Tullverkets brotts- bekämpande verksamhet, således i princip kunna fortsätta att behandlas på samma sätt som tidigare i verksamheten. Det fortsatta bevarandet skulle dock ske för arkivändamål.

Tullverket har i dag inte något system för digital arkivering, men arbetar för närvarande för införande av ett e-arkiv. De regler som nu föreslås bör därför beakta att system för digital arkivering kan komma att införas inom en överskådlig tid i Tullverket. Därför kan det komma att finnas behov av föreskrifter om digital arkivering. Regeringen föreslår att det i lagen upplyses om att regeringen eller den myndighet som rege- ringen bestämmer kan meddela föreskrifter om digital arkivering. En hänvisning till 8 kap. 7 § regeringsformen görs.

Lagförslag

Förslaget genomförs genom 4 kap. 1 och 2 §§ i den nya lagen.

172

16.2Gallringsbestämmelser för personuppgifter som inte har gjorts gemensamt tillgängliga

Regeringens förslag: Personuppgifter som behandlas automatiserat och som inte har gjorts gemensamt tillgängliga ska, om de inte kan hänföras till ett ärende, gallras senast ett år efter det att de behandlades automa- tiserat första gången eller, om de har behandlats i ett ärende, senast ett år efter det att ärendet avslutades. Detta ska inte gälla personuppgifter i ärenden om utredning eller beivrande om brott.

Det ska i den nya lagen upplysas om att det i tullagen och lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen finns bestämmelser om lagring och förstöring av vissa uppgifter från transportföretag.

Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorians förslag anges också att reglerna inte heller ska gälla vid behandling i det internationella registret. Promemorians förslag är också något annorlunda utformat.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget.

Skälen för regeringens förslag

Personuppgifter som inte har gjorts gemensamt tillgängliga

Enligt 27 § den nuvarande tullbrottsdatalagen ska uppgifter som behandlas automatiserat i ett ärende gallras senast ett år efter det att ärendet har avslutats. Detta gäller dock inte förundersökningar. Person- uppgifter som inte hör till ett ärende och som inte ingår i tullbrotts- databasen ska gallras senast ett år efter att de behandlades automatiserat första gången. För personuppgifter i tullbrottsdatabasen gäller att de ska gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes avseende personen. Regeringen eller den myndig- het som regeringen bestämmer får meddela föreskrifter om att uppgifter trots detta ska få bevaras. I sak gäller samma regler enligt polisdatalagen och kustbevakningsdatalagen för personuppgifter som inte har gjorts gemensamt tillgängliga, förutom såvitt avser föreskrifterna om att personuppgifter som får bevaras ska avse bevarande för historiska, statistiska eller vetenskapliga ändamål.

Från integritetsskyddssynpunkt är det viktigt att personuppgifter inte behandlas längre än nödvändigt och att det utöver en generell bestäm- melse om absolut längsta tid för bevarande finns särskilda gallringsfrister för olika kategorier av personuppgifter som behandlas automatiserat. När gallringsfristernas längd bestäms finns det anledning att göra skillnad mellan uppgifter som har gjorts gemensamt tillgängliga och andra uppgifter. När det gäller uppgifter som inte har gjorts gemensamt tillgängliga bör behovet av att behandla dem under längre tid typiskt sett vara begränsat. Dessutom är det från integritetsskyddssynpunkt särskilt angeläget att sådana uppgifter inte behandlas under längre tid, eftersom det enligt förslaget till ny tullbrottsdatalag kommer att gälla färre begränsningar för behandlingen av dem än för personuppgifter som har gjorts gemensamt tillgängliga. Det bör därför uppställas särskilt korta

Prop. 2016/17:91

173

Prop. 2016/17:91

174

gallringsfrister för personuppgifter som inte har gjorts gemensamt till- gängliga. Det saknas enligt regeringens mening skäl att för dessa person- uppgifter avvika från de tidsfrister som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen.

Regeringen föreslår därför att personuppgifter som behandlas automa- tiserat och som inte har gjorts gemensamt tillgängliga ska, om de inte kan hänföras till ett ärende, gallras senast ett år efter det att de behandlades automatiserat första gången eller, om de har behandlats i ett ärende, senast ett år efter det att ärendet avslutades.

Promemorians förslag innehåller en skrivning om att dessa regler inte heller gäller när personuppgifter behandlas i det internationella registret. Skrivningen har samband med ett förslag i promemorian om att reglerna om gemensamt tillgängliga uppgifter inte ska vara tillämpliga när uppgifter som behövs för handläggningen av ärenden som rör internatio- nellt samarbete behandlas i ett internationellt register (se avsnitt 14.1). Regeringen föreslår dock inte någon särskild reglering för internationella register, varför skälet för en sådan skrivning som föreslås i promemorian bortfaller.

I likhet med vad som gäller enligt polisdatalagen och kustbevak- ningsdatalagen bör det finnas en möjlighet för regeringen att föreskriva att uppgifterna får bevaras för historiska, statistiska eller vetenskapliga ändamål. Detta får anses motsvara också vad som gäller enligt den nuvarande tullbrottsdatalagen. Denna fråga behandlas ovan i avsnitt 16.1.

I enlighet med vad som gäller enligt den nuvarande tullbrottsdatalagen, polisdatalagen och kustbevakningsdatalagen bör vidare de nu föreslagna gallringsfristerna inte gälla uppgifter i sådana ärenden som avser utred- ning och beivrande av brott. Om dessa, se avsnitt 16.4.

Personuppgifter från transportföretag m.m.

Enligt den nuvarande tullbrottsdatalagen får uppgifter som kommit in till Tullverket om passagerare, importörer, exportörer och transportörer samt varor och transportmedel behandlas, inom ramen för ändamålet att förebygga, förhindra eller upptäcka brottslig verksamhet, för planering av kontrollverksamheten och urval av kontrollobjekt (13 §). Sådana uppgifter som behandlas enbart med stöd av den bestämmelsen får inte behandlas i tullbrottsdatabasen (19 § tredje stycket). I avsnitt 11 föreslår regeringen att liknande bestämmelser förs in i den nya lagen.

I den nuvarande tullbrottsdatalagen finns det också en bestämmelse om att uppgifter som behandlas enbart med stöd av 13 § ska gallras så snart de inte längre har betydelse för planeringen av kontrollverksamhet och urvalet av kontrollobjekt, dock senast sex månader efter att de behan- dlades automatiserat första gången. Om uppgifterna hänför sig till en viss transport, ska de dock gallras senast fjorton dagar efter transporten (28 § första stycket). I andra stycket samma paragraf anges att det i 4 kap. 8 § tullagen (2016:253) och 16 § lagen (1996:701) om Tullverkets befogen- heter vid Sveriges gräns mot ett annat land inom Europeiska unionen, kallad inregränslagen, finns bestämmelser om tillgången till och gall- ringen av vissa uppgifter från transportföretag.

Av 4 kap. 8 § tullagen och 16 § inregränslagen framgår att uppgifter från transportföretag som Tullverket tar del av genom terminalåtkomst

inte får ändras eller på annat sätt bearbetas eller lagras samt att uppgifter Prop. 2016/17:91 om enskilda personer som lämnats på annat sätt än genom terminal-

åtkomst ska förstöras omedelbart om de visar sig sakna betydelse för utredning och lagföring av brott. Regeringen anser att det i en särskild bestämmelse i den nya lagen bör påminnas om att det finns bestämmelser som rör lagring och förstöring av dessa slag av uppgifter i dessa författ- ningar, likt vad som gäller enligt den nuvarande tullbrottsdatalagen, dock med en något annan utformning.

När det gäller uppgifter om passagerare, importörer, exportörer och transportörer samt varor och transportmedel som kommit in till Tullverket på annat sätt än från transportföretag enligt den nyss berörda regleringen i tullagen och inregränslagen och som behandlas enbart för planering av kontrollverksamheten och urval av kontrollobjekt, kan det vara fråga om t.ex. inkomna tips från allmänheten eller andra myndig- heter. I jämförelse med uppgifterna från transportföretagen är det inte fråga om särskilt många personuppgifter. I enlighet med vad som gäller för personuppgifter i tips och annan information till grund för kontroll- åtgärder som kommit till Polismyndigheten eller Kustbevakningen kan det inte anses nödvändigt att ha särskilda gallringsfrister för dessa uppgifter.

Lagförslag

Förslaget genomförs genom 4 kap. 3 och 4 §§ i den nya lagen.

16.3Gallringsbestämmelser för gemensamt tillgängliga uppgifter

Regeringens förslag: Personuppgifter som har gjorts gemensamt till- gängliga och som kan antas ha samband med brottslig verksamhet ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen. Vid allvarlig brottslighet ska tidsfristen i stället vara fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, ska de uppgifter som finns om personen inte behöva gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Personuppgifter som har behandlats för övervakningen av allvarligt kriminellt belastade personer ska gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes.

Den tid då en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivnings- prövning ska inte räknas med vid beräkningen av de nu nämnda gallringsfristerna.

Uppgifter som har behandlats för att fullgöra internationella åtaganden ska gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behandlades i avslutades.

Uppgifter som har behandlats på grund av att de har rapporterats till Tullverkets kommunikationscentral ska gallras senast ett år efter utgången av det kalenderår då rapporteringen gjordes.

175

Prop. 2016/17:91 Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorian föreslås även en bestämmelse om gallring avseende det internationella registret. Promemorians förslag är också något annorlunda utformat och placerat.

Remissinstanserna: Datainspektionen ifrågasätter den väl tilltagna bevarandetid som föreslås för personuppgifter som behandlas för övervakningen av allvarligt kriminellt belastade personer. Datainspek- tionen inser att det kan finnas behov av att under en längre tid kartlägga allvarligt kriminellt belastade personer och deras nätverk. En stor del av dessa uppgifter kan dock komma att avse personer i den kriminellt belastade personens kontaktnät som inte har någon koppling till miss- tänkt brottslig verksamhet, som exempelvis grannar och släktingar. Inspektionen är tveksam till om förslaget om en generell tioårig gall- ringsfrist i dessa fall kan anses proportionerlig i integritetshänseende. För att en dylik gallringsbestämmelse ska vara acceptabel bör det åtminstone krävas att behovet av uppgifterna prövas med vissa intervall och att uppgifter som inte längre kan anses behövliga gallras.

I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag

Inledning

Enligt den nuvarande tullbrottsdatalagen ska personuppgifter i tullbrotts- databasen gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes avseende personen (27 § andra stycket).

Polisdatalagen och kustbevakningsdatalagen innehåller olika gallrings- frister för skilda kategorier av personuppgifter som har gjorts gemensamt tillgängliga.

Från integritetsskyddssynpunkt är det viktigt att personuppgifter inte behandlas automatiserat i verksamheten längre än nödvändigt. Som redan har nämnts (avsnitt 16.1) bör det i lagen finnas en generell och absolut bestämmelse om längsta bevarande som anknyter till behovet av personuppgiften för de primära ändamålen. Det kan dock vara svårt att avgöra hur länge en uppgift fortfarande behövs för de primära ända- målen. Uppgifter som har framkommit i ett avslutat underrättelseprojekt kan ha betydelse för ett annat projekt eller för en förundersökning. Alltför snäva särskilda gallringsfrister, som innebär att personuppgifter ska gallras vid fristens utgång trots att de fortfarande kan behövas för de primära ändamålen, kan få negativa konsekvenser för den brottsbekäm- pande verksamheten.

Som har nämnts tidigare är det en fördel om de brottsbekämpande myndigheternas registerförfattningar utformas på likartat sätt för att underlätta samverkan och enhetlighet. I förarbetena till polisdatalagen och kustbevakningsdatalagen har det gjorts detaljerade bedömningar av när olika kategorier av personuppgifter som gjorts gemensamt tillgäng- liga ska gallras trots att de kan behövas för de primära ändamålen. Regeringen anser att det finns skäl att föreslå motsvarande detaljerade gallringsfrister för olika kategorier av personuppgifter även för Tull- verkets del.

176

Personuppgifter som kan antas ha samband med brottslig verksamhet

Enligt polisdatalagen och kustbevakningsdatalagen ska personuppgifter som kan antas ha samband med brottslig verksamhet som huvudregel gallras senast tre år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Tiden om tre år motsvarar som framgår ovan den generella gallringstid som gäller enligt den nuvarande tullbrottsdatalagen. Vid allvarlig brottslig verksamhet, dvs. brott för vilket är föreskrivet fängelse i två år eller däröver, är tidsfristen i polis- datalagen och kustbevakningsdatalagen i stället fem år. Om en ny reg- istrering beträffande personen görs före utgången av gallringsfristen, behöver de uppgifter som finns om personen inte gallras så länge någon av uppgifterna om honom eller henne får bevaras. När det gäller polis- datalagen anges att den tid då en misstänkt person avtjänar ett fängelse- straff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning inte ska räknas med vid beräkningen av gallringsfristen (3 kap. 14 § andra och sjätte styckena polisdatalagen).

De brott som omfattas av Tullverkets uppdrag är av allvarligt slag, där narkotikabrottslighet har hög prioritet. Framför allt mot bakgrund av den omfattande myndighetssamverkan mot brott som blir allt mer vanlig saknas anledning att ha en kortare tid på gallringsfristen för den brotts- lighet som Tullverket utreder jämfört med andra brottsbekämpande myndigheter. Regeringen bedömer därför att det finns skäl att en gallringsfrist om fem år för allvarlig brottslighet ska gälla i den nya lagen.

Det bör nämnas att Tullverket för närvarande inte har befogenhet att ingripa mot något brott för vilket det är föreskrivet fängelse i ett år eller däröver men där maxstraffet understiger fängelse i två år. Det innebär i praktiken att Tullverket i dagsläget bara skulle ha att tillämpa en gallringsfrist om fem år. Värdet av en enhetlig reglering för de brotts- bekämpande myndigheterna gör dock att det framstår som lämpligt att välja samma regler som i polisdatalagen och kustbevakningsdatalagen. Härtill kommer att straffskalor kan ändras och att Tullverket kan komma att få nya brott att ingripa mot. Att endast ha en femårsfrist för gallring skulle i sådana fall kunna medföra att gallringsfristen skulle vara onödigt lång.

Regeringen föreslår således att personuppgifter som har gjorts gemen- samt tillgängliga och som kan antas ha samband med brottslig verksam- het ska gallras senast tre år efter utgången av det kalenderår då den senaste registreringen gjordes avseende personen. Vid allvarlig brottslig- het ska tidsfristen i stället vara fem år. Om en ny registrering beträffande personen görs före utgången av gallringsfristen, ska de uppgifter som finns om personen inte behöva gallras så länge någon av uppgifterna om honom eller henne får bevaras.

Även regeln om att den tid då en person avtjänar ett fängelsestraff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning inte ska räknas med vid beräkningen av gallrings- fristen bör föras in i den nya lagen.

Prop. 2016/17:91

177

Prop. 2016/17:91 Personuppgifter som behandlas för övervakningen av allvarligt kriminellt belastade personer

Enligt polisdatalagen ska personuppgifter som har behandlats för över- vakningen av allvarligt kriminellt belastade personer gallras senast tio år efter utgången av det kalenderår då den senaste registreringen avseende personen gjordes. Den tid då en övervakad person avtjänar ett fängelse- straff eller genomgår sluten ungdomsvård eller rättspsykiatrisk vård med särskild utskrivningsprövning ska inte räknas med vid beräkningen av gallringsfristen (3 kap. 14 § tredje och sjätte styckena). I kustbevak- ningsdatalagen finns det inte några bestämmelser om övervakning av allvarligt kriminellt belastade personer.

I likhet med vad som har bedömts för Polismyndighetens del bedömer regeringen att en gallringsfrist om tre eller fem år är alltför kort när det gäller personuppgifter som behandlas för övervakning av allvarligt kriminellt belastade personer (se prop. 2009/10:85 s. 219 f.). Det kan ta avsevärd tid att bygga upp kunskap om exempelvis personer som finansierar allvarlig brottslighet eller om de nätverk och strukturer i vilka det bedrivs organiserad brottslighet. Erfarenheterna visar också att brottslig verksamhet som bedrivs i mer eller mindre organiserade former normalt måste övervakas under en avsevärd tid innan man har tillräckligt underlag för att ingripa mot huvudmännen. Det är inte heller ovanligt att personer som misstänks för att utöva allvarlig brottslig verksamhet håller sig undan, t.ex. vistas utomlands, under längre perioder. I sådana fall är det av stort värde att kunna ha kvar information om personen i fråga om denne fortsätter eller återupptar brottsligheten i Sverige.

Vid avvägningen mellan verksamhetsintressen och integritetsskydds- intressen är det viktigt att komma ihåg dels att det är få personer som kommer i fråga för övervakning av nu aktuellt slag och att det typiskt sett rör sig om personer som Tullverket misstänker livnär sig på grov brottslighet, dels att tillgången till behandlade uppgifter kommer att vara starkt begränsad inom Tullverket. Bekämpningen av organiserad brotts- lighet är högt prioriterad och Tullverket samverkar här ofta med Polismyndigheten. En alltför kort särskild gallringsfrist skulle motverka syftet med behandlingen. Regeringen bedömer att en tioårig gallringsfrist därför inte är oproportionerlig när man beaktar de skadeverkningar för samhället och enskilda som sådan brottslighet orsakar.

Datainspektionen ifrågasätter den föreslagna bevarandetiden och är tveksam till om förslaget om en generell tioårig gallringsfrist i dessa fall kan anses proportionerlig i integritetshänseende. För att en dylik gall- ringsbestämmelse ska vara acceptabel bör det enligt inspektionen åtmin- stone krävas att behovet av uppgifterna prövas med vissa intervall och att uppgifter som inte längre kan anses behövliga gallras. Regeringen har ovan redovisat behovet av denna längre frist. Vad gäller personer som inte är misstänkta ska sådana uppgifter vara försedda med en upplysning därom, se avsnitt 14.3. Utöver detta gäller också den generella och absoluta bestämmelsen om längsta bevarande.

Regeringen föreslår därför att en gallringsfrist om tio år för denna kategori uppgifter ska införas i den nya lagen. Även en regel om att den tid då en person avtjänar ett fängelsestraff eller genomgår sluten

ungdomsvård eller rättspsykiatrisk vård med särskild utskrivnings-

178

prövning inte ska räknas med vid beräkningen av gallringsfristen bör föras in i den nya lagen.

Personuppgifter som behandlas för att fullgöra internationella åtaganden

Enligt polisdatalagen och kustbevakningsdatalagen ska personuppgifter som behandlas för att fullgöra internationella åtaganden gallras senast ett år efter utgången av det kalenderår då ärendet som uppgifterna behand- lades i avslutades (3 kap. 14 § fjärde stycket polisdatalagen och 4 kap. 13 § tredje stycket kustbevakningsdatalagen).

När en förfrågan kommer från ett annat land hanteras denna inom ramen för någon form av ärende. Det finns behov av att bevara ärenden en tid efter det att de avslutats, bl.a. för att i efterhand kunna svara på frågor om vidtagna åtgärder. När ett år har gått efter det att ett ärende har avslutats kan dock i allmänhet behovet inte anses vara så stort att det motiverar en fortsatt behandling. Om en uppgift från ett internationellt ärende behövs för något annat av den föreslagna lagens ändamål, kan uppgiften behandlas för det nya ändamålet i den utsträckning lagen tillåter en sådan behandling.

Regeringen föreslår att en gallringsfrist om ett år för denna kategori uppgifter ska införas i den nya lagen.

Personuppgifter som behandlas på grund av att de har rapporterats till Tullverkets kommunikationscentral

Enligt polisdatalagen och kustbevakningsdatalagen ska personuppgifter som behandlas på grund av att de har rapporterats till Polismyndighetens kommunikationscentraler respektive Kustbevakningens ledningscentraler gallras senast ett år efter utgången av det kalenderår då rapporteringen gjordes (3 kap. 14 § femte stycket polisdatalagen och 4 kap. 13 § fjärde stycket kustbevakningsdatalagen).

Behovet av att behandla sådana personuppgifter som har rapporterats till Tullverkets kommunikationscentral består normalt bara under en kortare tid. En gallringsfrist om ett år har bedömts som rimlig för Polis- myndighetens och Kustbevakningens del. Om personuppgifterna tillförs en brottsutredning, ska bestämmelserna om behandling av sådana uppgif- ter tillämpas. Samma överväganden gör sig gällande även för Tullverket.

Regeringen föreslår att en gallringsfrist om ett år för denna kategori uppgifter ska införas i den nya lagen.

Det internationella registret

I promemorian föreslås en särskild bestämmelse om gallring avseende ett internationellt register, vilket har samband med ett förslag i promemorian om att reglerna om gemensamt tillgängliga uppgifter inte ska vara tillämpliga när uppgifter som behövs för handläggningen av ärenden som rör internationellt samarbete behandlas i ett internationellt register (se avsnitt 14.1). Eftersom regeringen inte föreslår någon särskild reglering för internationella register, faller skälet för att i den nya lagen reglera gallring för sådana register bort. Något sådant föreslås därför inte.

Prop. 2016/17:91

179

Prop. 2016/17:91

Lagförslag

 

Förslaget genomförs genom 4 kap. 9 och 10 §§ i den nya lagen.

 

16.4

Längsta tid för behandling för gemensamt

 

 

tillgängliga uppgifter i ärenden om utredning

 

 

eller beivrande av brott

 

 

 

Regeringens bedömning: Det bör inte införas några särskilda gallrings-

 

bestämmelser för uppgifter i ärenden om utredning och beivrande av

 

brott. Däremot bör det föreskrivas vissa begränsningar i möjligheten att

 

behandla uppgifter i brottsanmälningar, förundersökningar eller andra

 

utredningar som handläggs enligt bestämmelserna i 23 kap. rättegångs-

 

balken.

 

 

Regeringens förslag: För personuppgifter i brottsanmälningar, avslu-

 

tade förundersökningar och andra liknande utredningar som har gjorts

 

gemensamt tillgängliga ska följande begränsningar gälla för behand-

 

lingen.

 

 

Om en brottsanmälan avskrivs på grund av att den påstådda gärningen

 

inte utgör brott, får personuppgifterna i anmälan inte längre behandlas i

 

Tullverkets brottsbekämpande verksamhet. Om en brottsanmälan i annat

 

fall inte har lett till förundersökning eller annan motsvarande utredning,

 

får personuppgifterna inte behandlas i Tullverkets brottsbekämpande

 

verksamhet när åtal inte längre får väckas för brottet.

 

Om en förundersökning har lagts ned eller avslutats på annat sätt än

 

genom åtal, får personuppgifterna i förundersökningen inte behandlas i

 

Tullverkets brottsbekämpande verksamhet när det har förflutit fem år

 

efter utgången av det kalenderår då åklagarens eller förundersöknings-

 

ledarens beslut meddelades. Om en förundersökning har lett till åtal eller

 

annan domstolsprövning, får personuppgifterna inte behandlas i Tull-

 

verkets brottsbekämpande verksamhet när det har förflutit fem år efter

 

utgången av det kalenderår då domen, eller det beslut som meddelades