VÅRA ÖVERVÄGANDEN
9Tullverkets problem med och behov av informationshantering
I våra direktiv uttalas att vi skall ge en klar bild av hur arbetet inom
Beskrivningar av det praktiska arbetet inom tullen baserar sig på de iakttagelser som vi har gjort under studiebesöken samt på de samtal vi har haft med tullpersonal. Det måste emellertid understrykas att det enligt vår erfarenhet förekommer en mängd olika rutiner och ”lokala varianter” mellan de olika tullregionerna. Det är därför inte möjligt att ge en klar och heltäckande beskrivning av arbetet på samtliga enheter i regionerna, utan beskrivningen måste bli av mer generell karaktär.
Rent allmänt kan sägas att tullen i den brottsbekämpande verksamheten har ett stort behov av att snabbt kunna få tillgång till uppgifter från olika håll, inte minst i form av information från TDS, eftersom det annars finns risk för att planerade eller spontana kontroller inte kan genomföras effektivt. Detta kan i sin tur leda till att tullen inte kan uppfylla de krav som regeringen och EU ställer på skyddet av de svenska och europeiska gränserna.
En redovisning av de behov och de problem med informationshanteringen som tullen har inom den egna brottsbekämpande
151
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
verksamheten redovisas i avsnitt 9.1. Frågor kring TDS och tullens behov av att få tillgång till de fiskala systemen även i den brottsbekämpande verksamheten behandlas särskilt i avsnitt 9.2. Tullens behov av samverkan och informationsutbyte med andra brottsbekämpande myndigheter – en fråga som vid sidan av nämnda studiebesök har belysts genom möten med företrädare för Rikspolisstyrelsen, Riksåklagaren, skattemyndigheternas skattebrottsenheter, Ekobrottsmyndigheten och Kustbevakningen – diskuteras i avsnitt 9.3. I avsnitt 9.4 lämnas en samlad och kortfattad redovisning av sekretessproblemen inom Tullverket, såväl vid intern informationshantering som vid utbyte av information med andra brottsbekämpande myndigheter. Kapitlet avslutas med avsnitt 9.5 där vi redovisar våra överväganden om behovet av ny lagstiftning
Våra slutsatser av nedanstående redovisning samt förslag om hur problemen kan lösas och behoven uppfyllas, presenteras sedan i kapitel
9.1Informationshanteringen i den egna brottsbekämpande verksamheten
Vår bedömning: Tullverket har i den brottsbekämpande verksamheten behov av att på ett mer flexibelt sätt kunna avgöra hur uppgifter skall registreras, t.ex. i spanings- och underrättelseregister, och hur uppgifterna skall kunna användas i de olika delarna av verksamheten. Det finns dessutom ett behov av lagstiftning som är anpassad till en datoriserad ärendehantering och som tillåter hantering av elektroniska handlingar, exempelvis digitala bilder.
Inom Tullverket finns problem med gränsdragningen mellan olika verksamheter, främst mellan den fiskala och den brottsbekämpande gränskontrollen, mellan den fiskala riskanalysen och underrättelseverksamheten samt mellan underrättelseverksamhet och brottsutredning. Dessa problem kan delvis hänföras till att Tullverkets uppdelning i olika verksamhetsprocesser inte överensstämmer med indelningen i organisatoriska enheter.
152
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
9.1.1Behandling av uppgifter i register m.m.
Ett funktionellt spaningsregister
Vi har erfarit att Tullverket har ett stort behov av att kunna registrera uppgifter som framkommit i samband med spaning och annan kontroll av personer och platser. Kravet i dag för att få föra in uppgifter i ett spaningsregister är att ett brott har begåtts eller att det kan antas att ett brott har begåtts. Från tullens sida är man kritisk till spaningsregistret och dess konstruktion. Man menar att det inte är funktionellt, eftersom det vid den tidpunkten då registrering tillåts inte längre är fråga om någon spaningsverksamhet. Det handlar då i stället om att en förundersökning skall inledas. I ett spaningsperspektiv blir uppgifterna många gånger i princip oanvändbara när de registreras. Det har därför framförts önskemål om att tullen skall få tillgång till ett spaningsregister som möjliggör att verklig spaning kan genomföras. Resultaten från spaningsverksamheten måste kunna komma till praktisk användning i tullarbetet.
Rekvisitet allvarlig brottslig verksamhet
Kravet för att få registrera personuppgifter i ett underrättelseregister eller på annat sätt behandla uppgifter i särskilda undersökningar är enligt den nu gällande lagstiftningen bl.a. att uppgifterna skall ge anledning att anta att allvarlig brottslig verksamhet har utövats eller kan komma att utövas. För att ett brott skall hänföras till kategorin allvarlig brottslig verksamhet krävs att det handlar om ett brott för vilket är föreskrivet fängelse i två år eller mer. Denna begränsning ställer enligt vår uppfattning till problem för tullen, eftersom det inte är möjligt att registrera uppgifter om personer som är misstänkta för brottslighet som endast innefattar t.ex. ringa narkotikabrott. Tullverket har därmed ingen möjlighet att kunna ingripa mot den s.k. myrtrafiken, vilken innefattar olaglig införsel av små mängder narkotika avsett för eget bruk.
153
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
Registrering av fotografier
Gällande lagstiftning tillåter inte att tullen registrerar foton digitalt. Vid våra studiebesök framgick att tillgången till fotografier är till mycket stor hjälp i tullarbetet och önskemål framfördes därför om att det blir tillåtet med en digital registrering, som innebär att man snabbt kommer åt och snabbt kan vidarebefordra fotografier.
Känsliga personuppgifter
När det gäller registrering av känsliga personuppgifter – enligt personuppgiftslagens definition – är det främst en kategori av uppgifter som det enligt vår uppfattning i vissa fall är viktigt för tullen att ha tillgång till, nämligen uppgifter om misstänkta personers ras eller etniska ursprung. När exempelvis kontroller skall genomföras på saklig grund efter tips eller annan information, och ett urval av passerande måste göras, kan det vara nödvändigt för tullen att ha uppgifter om en persons hudfärg eller andra fysiska kännetecken som har anknytning till personens etniska ursprung. Uppgifter om medborgarskap är inte alltid tillräckligt även om det är känt, eftersom en sådan uppgift inte ger någon vägledning när en misstänkt person har bytt medborgarskap. Som exempel kan nämnas en förestående kontroll av en eftersökt person i ett tullfilter där tusentals människor passerar varje dag. Att det finns uppgifter om att den person som bör kontrolleras har ett visst etniskt ursprung, kan vara av helt avgörande betydelse för om han eller hon påträffas.
9.1.2Ärendebaserad handläggning och gallring
Gallring av uppgifter
Det har från tullens sida betonats att det är angeläget att kraven på gallring av uppgifter i register inte förhindrar eller försvårar verksamheten. Regler om gallring måste skilja mellan information som finns i sökdatabaser och information som finns i ärendehanteringsdatabaser. Information i en sökdatabas kan ofta gallras när det ärende till vilket uppgifterna hör är avslutat. Diarieuppgifter i ett elektroniskt ärendehanteringssystem kan däremot inte gallras på samma grund, eftersom det då blir omöjligt att återfinna uppgifter i
154
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
ett ärende. Beträffande de register som upprättas i samband med en särskild undersökning, SUR, är huvudregeln att personuppgifterna skall gallras då den särskilda undersökningen har avslutats. Om uppgifterna gallras för snabbt finns emellertid risk för att värdefull information går förlorad.
Ärendebaserad verksamhet för gränsskyddet
En projektgrupp inom Tullverket – Utvecklingsprojektet Gränsskydd – lämnade i april 2001 en intern slutrapport, i vilken det bl.a. föreslogs att allt arbete inom gränsskyddsprocesserna skall bedrivas i ärendeform. Tanken är att alla åtgärder skall föregås av ett beslut med en klart definierad uppgift. Som exempel på ärenden nämns spaningsinsatser mot ett känt spritlager, kontrollinsatser mot ett genom underrättelsearbete definierat objekt i ett visst trafikflöde samt punktskattekontroller. I rapporten föreslogs vidare att alla ärenden skall dokumenteras och på så sätt återrapporteras till ärendets beslutsfattare. I vissa ärenden, t.ex. spaningsinsatser, föreslogs att fortlöpande noteringar skall kunna göras under ärendets gång. Det föreslogs att om flera kontroller görs i ett ärende skall varje kontroll dokumenteras för sig.
Med stöd av rapporten har pilotprojekt inletts i Göteborg och på Arlanda flygplats och det är oklart när provverksamheten skall avslutas. Tullverkets målsättning är dock att arbetet inom gränsskyddet i framtiden skall bedrivas i enlighet med den skisserade ärendemodellen. Ett ärendebaserat datorsystem skulle enligt vad vi erfarit innebära att det blir lättare att återfinna och strukturera information. Det finns därför önskemål om att nya regler skall tillåta en sådan behandling av personuppgifter.
9.1.3Gränsdragningsproblem i verksamheten
Under våra besök i tullregionerna har vi erfarit att det i fråga om flera för verksamheten viktiga begrepp och definitioner föreligger en betydande osäkerhet om innebörd och avgränsning. Detta upplevs ofta som mycket besvärande och hindrande för den personal som skall bedriva den operativa verksamheten. I många fall synes problem uppstå till följd av att uppdelningen av tullens verksamheter i skilda processer inte helt överensstämmer med den
155
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
organisatoriska indelningen i enheter osv. Det har poängterats att det praktiska tullarbetet sannolikt kan effektiviseras om oklarheterna kring gränsdragningen reds ut. Nedan följer en kort sammanfattning av vissa problem som särskilt har påpekats. I många fall uppstår i de redovisade fallen problem med åtkomst till uppgifter i TDS. Dessa frågor återkommer vi till i avsnitt 9.2.
Fiskal eller brottsbekämpande kontrollverksamhet
Tullen utför en omfattande kontrollverksamhet som kan vara ett led såväl i det fiskala arbetet med att uppbära tullar och skatter, som i det brottsbekämpande arbetet. På grund av de olika regler som gäller för bl.a. behandling av personuppgifter, inte minst tillgången till TDS, är det viktigt att det görs en klar åtskillnad mellan verksamheterna. I en del situationer sammanfaller det fiskala arbetet i det närmaste helt med det brottsbekämpande, nämligen när kontroller av legalt gods visar att skatter och tullar har undandragits på ett sådant sätt att det är fråga om tullbrott eller vårdslös tullredovisning. Det har också framförts synpunkter på att begreppet kontroll i vissa sammanhang används i vidare omfattning än vad som anses befogat.
Införsel av cigaretter kan tas som ett praktiskt exempel på gränsdragningsproblemen. Det finns inget generellt förbud mot att föra in cigaretter till Sverige. I en införselsituation där man misstänker att cigaretter smugglas in gömt bland andra redovisade varor och det alltså är fråga om ett smugglingsbrott, har tullen inte lagliga möjligheter att använda TDS för att leta efter de bipackade cigaretterna. Det är däremot tillåtet att använda sig av uppgifterna i TDS för det fall att importören har lämnat felaktiga uppgifter angående det antal cigaretter som skall föras in i landet, och det alltså är frågan om att fastställa korrekta skatter och avgifter. En mer tveksam situation uppstår när en kontroll initieras på grund av misstankar om att felaktiga uppgifter om antalet cigaretter har lämnats uppsåtligen och det alltså föreligger misstankar om tullbrott.
156
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
Fiskal riskanalys eller underrättelseverksamhet
Den verksamhet som i lagtext definieras som underrättelseverksamhet benämns internt inom tullen analysverksamhet. Detta leder till vissa gränsdragningsproblem inom främst analysenheterna, som består av en fiskal riskanalyssektion och en brottsbekämpande underrättelsesektion. I analysarbetet finns det därför risk för sammanblandning av fiskal och brottsbekämpande verksamhet. Vi har kunnat konstatera att det för närvarande inte föreligger några vattentäta skott mellan verksamheterna i de båda sektionerna. Ett visst mått av samarbete uppstår med nödvändighet i t.ex. de fall då resultatet av riskanalysarbetet visar att det finns anledning att misstänka att det pågår brottslig verksamhet. Det har också framförts intern kritik mot att riskanalysverksamheten samordnas med brottsbekämpande verksamhet. Detta är av betydelse, inte minst i fråga om rätten att använda sig av TDS i analys- och underrättelsearbetet, och vi återkommer till frågan i kapitel 12.
Fiskal revision eller brottsutredning
Det förekommer inte helt sällan att en brottsutredning inleds som följd av upptäckter i samband med en tullrevision. Om revisorerna under en revision upptäcker misstänkt brottslighet tar de regelmässigt kontakt med tullkriminalen, som har att besluta huruvida en förundersökning skall inledas eller inte. I de fall en förundersökning inleds är det tullkriminalen som har det övergripande ansvaret och alla tilltänkta åtgärder skall beslutas av den enheten. Vi har vid våra besök erfarit att även om en förundersökning har inletts så är det revisorerna som genomför och slutför revisionen, trots att ansvaret formellt ligger på tullkriminalen. Detta innebär i praktiken att tullkriminalen under en förundersökning har tillgång till TDS genom tullrevisorerna. Det är angeläget att det bland tulltjänstemännen inte råder någon som helst tvekan om att det är tullkriminalen som har det fulla ansvaret för alla åtgärder som vidtas under en förundersökning, så att det inte sker någon överträdelse av bestämmelserna i artikel 6 i Europakonventionen genom att t.ex. fiskala tvångsåtgärder utnyttjas under pågående brottsutredning (se mer om artikel 6 i kapitel 12).
157
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
Underrättelseverksamhet eller brottsutredning
I det praktiska arbetet föreligger vanligtvis inte några större problem i fråga om gränserna mellan brottsutredande verksamhet och underrättelseverksamhet. Arbetet bedrivs normalt av olika enheter och när fråga är om förundersökningar har dessutom beslut fattats särskilt om detta. Såvitt avser behandlingen av personuppgifter kan emellertid problem uppstå. Den i dag gällande definitionen av underrättelseverksamhet – insamling, bearbetning eller analys av information för att klarlägga om brottslig verksamhet utövas eller kommer att utövas och som inte utgör förundersökning – ger ingen tydlig anvisning om när uppgifter får behandlas automatiserat enligt de särskilda regler som gäller för underrättelseverksamhet. Även i fråga om sekretess är gränsdragningen i vissa avseenden oklar. Vi återkommer särskilt till frågor om underrättelseverksamheten och dess avgränsning i kapitel 11.
9.1.4Interna delgivningsproblem inom Tullverket
Vi har erfarit att underrättelsesektionerna har vissa problem med att delge sina analysresultat inom Tullverket, t.ex. att få ut informationen till de tjänstemän som är i behov av den för sitt arbete. Dessa problem med intern delgivning av underrättelsematerial bedöms bero på organisatoriska förhållanden. Tjänstemän vittnar om att det finns en inbyggd skepsis mellan olika enheter och regioner och att detta kan bidra till att man inte litar på varandras resultat och därför inte tar del av dem. Delgivningsproblemen upplevs som frustrerande, eftersom delgivningsmomentet är en förutsättning för ett framgångsrikt arbete.
9.2Behov av åtkomst till TDS i den brottsbekämpande verksamheten
Vår bedömning: Det råder en utbredd okunskap bland personalen inom Tullverket om hur TDS får användas i den brottsbekämpande verksamheten, vilket i vissa fall leder till att systemet används på ett enligt vår uppfattning otillåtet sätt.
Det är uppenbart att uppgifter från TDS behövs i stor omfattning i den brottsbekämpande verksamheten och det finns av effektivitetsskäl behov av att inom olika funktioner dels
158
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
kunna inhämta uppgifterna snabbt genom direktåtkomst, dels kunna bearbeta information direkt i systemet.
9.2.1Allmänt om TDS
I dag saknas lagliga möjligheter för Tullverket att i den brottsbekämpande verksamheten använda uppgifter i TDS genom direktåtkomst. När uppgifter behövs är de tjänstemän som arbetar med bl.a. underrättelseverksamhet och brottsutredningar därför, enligt lagstiftningen, hänvisade till att gå via de fiskala enheterna för att få tillgång till uppgifter.
Under våra studiebesök hos Tullverket har det framkommit att gränserna för användningen av TDS i den brottsbekämpande verksamheten är oklara. Personal vid tullen vittnar om att de är osäkra på i vilken omfattning de får använda sig av uppgifter i TDS, hur uppgifterna får inhämtas och var gränserna går för att använda sig av dessa uppgifter. Vi har kunnat konstatera att direktåtkomst, trots att det enligt vår uppfattning inte är tillåtet, förekommer till TDS och att uppgifterna används i den brottsbekämpande verksamheten i stor utsträckning. Till stor del kan denna användning av TDS förklaras av personalens bristande kunskap om och avsaknad av klara riktlinjer för hur informationen skall hanteras. Vi har noterat att personalen i vissa fall helt saknade kunskap om att TDS inte får användas fritt i den brottsbekämpande verksamheten. Det rådde dock en samstämmighet om att TDS är ett mycket bra hjälpmedel och att informationen från systemet är nödvändig för att tullen skall kunna bedriva ett effektivt brottsbekämpande arbete.
9.2.2Analysenhetens (underrättelsesektionens) behov av TDS
Analysenheterna är uppdelade i fiskala riskanalysektioner och brottsbekämpande underrättelsesektioner. Riskanalysverksamheten har till uppgift att förse processen effektiv handel med information och analyser för att klareringsverksamheten, dvs. arbetet med den legala trafiken, skall bli så effektivt som möjligt. Den gällande lagstiftningen ger riskanalyssektionen direkt tillgång till TDS redan
159
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
i dag. De uppgifter som riskanalyssektionen hämtar från systemet ligger till grund för sektionens strategiska och operativa analyser.
Underrättelsesektionerna har till uppgift att bearbeta och analysera information för att därefter delge de operativa enheterna sitt resultat i form av underrättelser rörande misstänkt brottslighet. Målsättningen är att medverka till att tullen uppnår bättre träffsäkerhet i arbetet med att bekämpa den grova brottsligheten. Det är för närvarande inte tillåtet för underrättelsesektionerna att använda TDS med hjälp av direktåtkomst.
Enligt vad vi erfarit skulle direktåtkomst till TDS i underrättelseverksamhet kunna användas på flera sätt, som vi bedömer sammantaget skulle leda till en betydande höjning av effektiviteten. Uppgifterna i TDS kan t.ex. användas för att ta fram riskprofiler och upptäcka mönster och trender i den utövade smugglingsbrottsligheten. Uppgifterna skulle också underlätta kartläggning av misstänkta företag och hjälpa tullen att hitta de företag som bryter mot lagen. TDS kan vidare vara till stor nytta vid de trovärdighetsbedömningar som görs av ett inkommande tips.
Ett särskilt potentiellt användningsområde för TDS i underrättelseverksamhet är s.k. spärrläggning, som grovt förenklat kan exemplifieras på följande sätt. Om en underrättelsesektion får ett tips om att det smugglas in olagligt gods i möbeltransporter, är det värdefullt att kunna samla in uppgifter om vilka företag som importerar möbler för att kunna lägga spärrar i systemet på företagens transporter. De misstänkta transporterna kan då upptäckas redan på ett tidigt stadium, närmare bestämt redan när ett möbelföretag redovisar uppgifter om en kommande transport till tullen och uppgifterna registreras i TDS. Systemet kan då ”slå larm” om att en möbeltransport, som stämmer in på den angivna profilen, skall passera en viss gränskontroll ett visst datum. Det bör noteras att TDS i dag används på motsvarande sätt av riskanalyssektionerna, dvs. i tullens fiskala arbete med det legala varuflödet.
Vid våra besök framfördes starka önskemål om att underrättelsesektionerna borde ges möjlighet att regelmässigt använda sig av TDS för att kunna höja effektiviteten väsentligt.
160
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
9.2.3Gränsskyddsenheternas behov av TDS
Selekteringsarbetet
På gränsskyddsenheterna finns det grupper som arbetar med selektering av tung trafik och containertrafik. En sådan grupp fungerar som en resurs för gränsskyddspersonalen och gruppens arbete består i att selektera objekt som bedöms vara intressanta ur ett kontrollperspektiv. Arbetet baseras på riskflöden och analyserna görs med utgångspunkt i sådana riskflöden och befintlig kunskap om hur tidigare smuggelgods har dolts samt uppgifter om det importerande företaget och godset. Bedömningen grundar sig också på uppgifter om fraktrutter och riskländer samt om det tidigare har förekommit import av det aktuella godset. Gruppens arbete utgör en del av den brottsbekämpande verksamheten och det är därför enligt vår bedömning inte tillåtet för gruppen att genom direktåtkomst använda uppgifter från TDS vid selekteringsarbetet.
Det är dyrt och tidskrävande att genomföra en kontroll av en container. Eftersom det är praktiskt omöjligt för tullen att kontrollera allt inkommande gods, är det enligt vår uppfattning väsentligt att det selekteringsarbete som görs grundas på fullständiga och korrekta uppgifter och att analysresultaten är av så hög kvalitet som möjligt. Uppgifter i TDS har enligt vad vi erfarit en stor funktion att fylla i detta arbete. Som ett exempel kan nämnas att det till hamnen i Göteborg årligen ankommer knappt 700 000 contrainrar och att endast ca 50 stycken av dessa kontrolleras, dvs. 0,07 promille. Exemplet visar att gränsskyddsenheten har ett mycket stort behov av att ha tillgång till uppgifter i TDS för att kunna välja ut rätt 50 kontrollobjekt.
Vid utredningens studiebesök framfördes åsikter om att det är nödvändigt att TDS får användas genom direktåtkomst, eftersom arbetet då kan effektiviseras och selekteringsprocessen förbättras högst avsevärt. Det anfördes vidare att personalen, genom användning av TDS, på ett mycket tidigt stadium kan sålla ut felaktig information och därigenom bättre bedöma trovärdigheten av ett tips.
Vi har under våra besök hos tullen kunnat konstatera att det i vissa fall förekommer att selekteringsgrupper egenhändigt inhämtar uppgifter från TDS genom direktåtkomst, trots att detta enligt vår uppfattning inte är tillåtet.
161
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
Gränskontrollverksamheten
Kontrollsektionen på gränsskyddsenheterna har till uppgift att utföra kontroller av varuflödet i gränstrafiken, dvs. kontroll av resande och fordon. Punktskattekontroller genomförs också. Gränsskyddspersonalen har således både fiskala och brottsbekämpande uppgifter och problem kan därför uppstå, eftersom gällande lagstiftning tillåter användning av TDS i klareringsverksamheten men enligt vår uppfattning inte när ett smugglingsbrott upptäcks eller misstänks.
Vid våra besök har det framförts åsikter om att effektiviteten vid de direkta gränskontrollerna skulle kunna höjas om personalen ges direkt tillgång till TDS. Även i det förberedande arbetet ansågs det önskvärt att TDS kunde användas för att kartlägga vissa företags import och export samt för att få reda på vilka varor som transporteras. Genom att använda TDS kan man få fram vad som är normalt respektive onormalt för det aktuella företaget och vid misstanke om en transport med avvikande varor kan en kontroll genomföras. Enligt vår bedömning skulle direktåtkomst till TDS med andra ord vara ett mycket bra hjälpmedel för att upptäcka såväl misstänkt smuggling som avvikelser från ett företags normala handelsmönster och felaktiga uppgifter i deklarationer. Det har från tullens sida också framförts önskemål om att gränsskyddsverksamheten ges möjlighet att lägga spärrar i TDS. Ett sådant förfarande skulle nämligen ha en stor operativ betydelse genom att tullen på så sätt ges en förvarning om att en viss sändning är på väg. Spärrläggning innebär att systemet automatiskt varnar vid deklaration av sändningar med en markerad vara eller av sändningar med viss mottagare eller avsändare (se avsnitt 9.2.2).
9.2.4Tullkriminalenhetens behov av TDS
Tullkriminalenheternas uppgift är att utreda såväl tullbrott, dvs. ingivande av uppsåtligt felaktiga deklarationer och andra brott som sker i det legala varuflödet, som smugglingsbrott, dvs. illegal införsel av varor som narkotika m.m. Enligt gällande lagstiftning får tullkriminalen inte ha direktåtkomst till TDS. Personalen får i stället begära hjälp av t.ex. tullrevisorer för att få nödvändiga uppgifter från systemet när en förundersökning eller annan brottsutredning har inletts. Det behov som finns av uppgifter från
162
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
TDS är främst för informationskontroller och för att komplettera brottsutredningar med ny information avseende t.ex. inblandade företag. Tullkriminalens samarbete med revisorer och övriga fiskala enheter förefaller så vitt vi kan bedöma fungera bra i det avseendet. Enligt vad vi erfarit föreligger det alltså inte samma stora behov av direktåtkomst till TDS i brottsutredningar som i t.ex. underrättelseverksamhet. Det hindrar dock inte att det finns åsikter om att direkt tillgång till TDS skulle kunna spara tid och leda till att arbetet i vissa avseenden bedrevs effektivare. Inte minst kan det i situationer när det är aktuellt att använda tvångsmedel vara viktigt att få fram information omgående, vilket inte alltid är möjligt när man är beroende av hjälp från fiskala enheter.
I tullkriminalens arbete med förutredningar eller primärutredningar, dvs. undersökningar som görs för att avgöra om en förundersökning skall inledas, finns däremot ett påtalat behov av direktåtkomst till TDS. Tullkriminalenheten kan i detta stadium snabbt behöva kontrollera uppgifter i TDS för att kunna bedöma om det finns grund för att inleda en förundersökning eller inte. Det handlar alltså om att söka efter konkret information, t.ex. för att kontrollera omfattningen av export- eller importverksamheten hos en aktuell aktör. Från tullens sida har det framförts önskemål om att tullkriminalenheten i vart fall bör ges tillgång till TDS i den delen av verksamheten.
Vi har vid våra besök kunnat konstatera att det förekommer att tullkriminalenheter i dag har tillgång till TDS genom direktåtkomst.
9.3Samverkan och informationsutbyte med andra brottsbekämpande myndigheter
Vår bedömning: Det finns ett stort behov av utökat och tekniskt utvecklat samarbete och informationsutbyte mellan Tullverket och andra brottsbekämpande myndigheter.
9.3.1Allmänt om Tullverkets beslagsstatistik m.m.
Tullens gränsskyddsverksamhet har, som tidigare nämnts, till uppgift att förhindra illegal in- och utförsel av varor. Under år 2001 förekom 68 miljoner passager över den svenska gränsen. I detta
163
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
stora resandeflöde skall Tullverkets personal försöka hitta och stoppa de personer och transportmedel som för med sig förbjudna varor. Under motsvarande period gjordes 3 545 beslag av narkotika och dopningsmedel, vilket är det högsta antalet beslag som gjorts hittills enligt Tullverkets statistik. Som exempel beslagtogs närmare 96 kilo amfetamin och nästan fyra ton kat. Vidare beslagtogs under år 2001 närmare 50 miljoner cigaretter, vilket är det största antalet cigaretter som hittills beslagtagits under ett år. Spritbeslagen uppgick till nästan 500 000 liter drickbar sprit jämte ca 120 000 liter starköl. Vid en jämförelse med beslagsstatistik för första halvåret 2002 kan det konstateras att den illegala införseln av narkotika, sprit och cigaretter ligger på en fortsatt hög nivå.
Det framstår som en allmän uppfattning inom Tullverket att smugglingen till Sverige har ökat samtidigt som den sker i mera organiserad och storskalig form. Brottsligheten är dessutom gränsöverskridande, vilket har visat sig bl.a. genom att Sverige har blivit ett transitland både för cigarett- och spritsmuggling. Med hänsyn till utvecklingen anser vi att det inte råder något tvivel om att det finns ett stort behov av samarbete över myndighetsgränserna för att de brottsbekämpande myndigheterna på ett effektivt sätt skall kunna komma åt den grova brottsligheten. Eftersom brottsligheten är gränsöverskridande finns det även behov av att samverka med brottsbekämpande myndigheter i andra länder. Inom EU förekommer också ett omfattande samarbete mellan de nationella myndigheterna.
9.3.2Statsmakternas syn på samverkan över myndighetsgränserna
Statsmakterna har vid upprepade tillfällen understrukit vikten av ett väl fungerande samarbete mellan de brottsbekämpande myndigheterna. I avsnitt 7.3 redogör vi för några av de åtgärder som regeringen och riksdagen har vidtagit för att underlätta och förbättra det brottsbekämpande arbetet, varvid
164
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
myndigheterna inte skulle kunna lösa sina uppgifter. Det bör i detta sammanhang nämnas att regeringen i regleringsbreven för år 2002 har ålagt Tullverket, polisen och Kustbevakningen att prioritera kontrollen av narkotikasmugglingen och dessutom uttalat att detta skall ges högsta prioritet.
Av programmet för det danska
9.3.3Tullens behov av samverkan och informationsutbyte
Det har vid flera tillfällen och från flera olika håll understrukits att det, för att de brottsbekämpande myndigheterna skall ges en rimlig möjlighet att lösa de uppgifter som de har ålagts av statsmakterna, är nödvändigt med samarbete över myndighetsgränserna och att information kan lämnas mellan myndigheterna på ett effektivt sätt. Tullen har behov av att samverka med bl.a. polisen för att få information beträffande narkotikasmugglingsbrott och uppgifter om t.ex. smugglingsvägar och om personer som kan tänkas vara inblandade i sådan verksamhet. Från Kustbevakningen har tullen behov av att få del av information rörande smugglingsbrott till sjöss och informationsutbyte avseende den civila fartygstrafikens rörelsemönster. När det handlar om grövre tullbrott samverkar Tullverket med åklagarmyndigheterna, Ekobrottsmyndigheten och skattebrottsenheterna. På motsvarande sätt har de nämnda
165
Tullverkets problem med och behov av informationshantering SOU 2002:113
myndigheterna behov av att i sina verksamheter få del av information från Tullverket.
Det förekommer naturligtvis redan i dag informationsutbyte mellan de brottsbekämpande myndigheterna. Myndigheterna har t.ex. i viss omfattning tillgång till varandras databaser och register. I några fall kan uppgifterna nås genom att en myndighet har tillåtits ha direktåtkomst till en annan myndighets databaser, medan sådan åtkomst inte har tillåtits i andra fall. Informationen får då i stället inhämtas manuellt på muntlig eller skriftlig väg, t.ex. via telefon eller
Vi har under våra besök hos tullen och övriga myndigheter erfarit att det manuella informationsutbytet normalt sett fungerar bra, men att det inte alltid går så snabbt och så enkelt som är önskvärt för att verksamheten inte skall hindras. Exempelvis kan det hos tullen uppstå problem under jourtid eller då en tullkontroll är planerad att äga rum med kort varsel. I sådana situationer kan uppgifter ur t.ex. polisens register behövas för att kontrollen alls skall kunna genomföras eller i vart fall få avsedd effekt. Som exempel kan nämnas att tullen i dag inte har direktåtkomst till polisens passregister, vilket medför att tullpersonalen måste ta kontakt med en polisman för att få ta del av ett passfoto. Det kan även förekomma tekniska problem med att t.ex. överföra vissa passfoton via telefax, varvid risken för identifieringsproblem vid den planerade kontrollen ökar. Avsaknaden av nämnda passfoto kan även ytterst leda till att den misstänkte personen inte kan stoppas. Under studiebesöken har det framförts farhågor om att tillgången till uppgifter kan komma att vara beroende av enskilda tjänstemäns bedömningar och goda vilja i varje enskilt fall och att en sådan ordning inte kan anses tillfredsställande. I sammanhanget bör även reglerna om sekretess nämnas. Det ovan beskrivna utlämnandet av uppgifter förutsätter nämligen att sekretesslagen inte sätter upp några hinder. En kort sammanfattande beskrivning av de problem som finns med gällande sekretessbestämmelser ges i nästa avsnitt.
166
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
9.4Sekretessproblem inom Tullverket
Vår bedömning: Det finns behov av att sekretessgränserna mellan olika verksamheter inom Tullverket klarläggs.
I samarbetet med andra brottsbekämpande myndigheter föreligger sekretessproblem vid informationsutbyte i underrättelseverksamhet. Vi anser bl.a. därför att det finns behov av en övergripande översyn av informationsutbytet mellan de brottsbekämpande myndigheterna.
Under våra besök i de olika regionerna inom Tullverket har det tydligt framgått att det finns problem med tolkningen av vilka sekretessgränser som gäller, framför allt inom verket men också i förhållandet till andra brottsbekämpande myndigheter. Om det är oklart vilka sekretessregler som gäller i en situation då information skall utbytas, uppstår det ofta problem i informationshanteringen. Det finns därför anledning att titta närmare på i vilka avseenden sekretessbestämmelser utgör ett problem för Tullverket och hur bestämmelserna påverkar det möjliga informationsflödet.
9.4.1Sekretess inom Tullverket
Sekretess för uppgifter gäller enligt sekretesslagen inte enbart i förhållandet mellan en myndighet och utomstående. Även inom en myndighet kan det föreligga sekretess för uppgifter, nämligen om exempelvis olika avdelningar eller enheter m.m. utgör självständiga verksamhetsgrenar i förhållande till varandra. Frågan om självständiga verksamhetsgrenar är mer komplex för Tullverkets vidkommande än för många andra myndigheter, eftersom verket bedriver så skilda verksamheter som brottsbekämpning och uttag av skatter och tullar. Bedömningen av om sekretess gäller mellan olika verksamheter har stor betydelse för om information kan lämnas mellan avdelningar eller enheter utan föregående sekretessprövning.
Tullens processorienterade organisation för dessutom med sig extra svårigheter när det gäller att upprätthålla en klar skiljelinje mellan olika verksamhetsgrenar, eftersom de olika processerna tenderar att överlappa och gå in i varandra på ett sätt som inte stämmer överens med den organisatoriska indelningen i enheter och avdelningar osv. (se bilaga 4). Inom Tullverket synes frågan ha
167
| Tullverkets problem med och behov av informationshantering | SOU 2002:113 |
störst betydelse vid bedömningen av om och under vilka förutsättningar information kan utbytas mellan den brottsbekämpande och den fiskala verksamheten, exempelvis mellan riskanalyssektionen och underrättelsesektionen eller gränsskyddet. Vi har uppfattat att det från många håll inom Tullverket finns starka önskemål om ett klarläggande av hur sekretessituationen skall uppfattas inom Tullverket. Dessa frågor går vi igenom närmare i kapitel 12, som handlar om frågan om direktåtkomst till TDS för den brottsbekämpande verksamheten.
9.4.2Sekretess mot andra myndigheter
Problem med sekretessregler finns inte bara vid informationsutbyte inom Tullverket, utan i vissa fall även i samarbetet med andra brottsbekämpande myndigheter. När tullen skall lämna uppgifter som behövs i en förundersökning till polis eller åklagare föreligger i dag inga påtagliga problem, eftersom det finns sekretessbrytande bestämmelser avseende förundersökningar. Detsamma gäller när tullen behöver uppgifter från andra myndigheter i en brottsutredning som genomförs av tullkriminalen. I stället uppstår problem främst när uppgifter behöver lämnas till eller från tullen för att de behövs i underrättelseverksamhet. Detta beror dels på den stränga sekretess som gäller i underrättelseverksamhet och som försvårar utbytet av uppgifter mellan myndigheter i den verksamheten, dels på att det för underrättelseverksamhet saknas sekretessbrytande bestämmelser motsvarande de som gäller i förundersökningar. Vi återkommer till denna fråga i kapitel 11, i samband med genomgången av tullens behandling av personuppgifter i underrättelseverksamhet. Vi vill emellertid redan i detta sammanhang framhålla att det enligt vår uppfattning finns behov av en övergripande översyn av informationsutbytet mellan de brottsbekämpande myndigheterna. För att åstadkomma en högre effektivitet i den brottsbekämpande verksamheten och en bättre samverkan mellan myndigheterna, anser vi att myndigheterna inte bör vara bundna av sekretess gentemot varandra. Det skulle enligt vår uppfattning vara önskvärt om de brottsbekämpande myndigheterna i stället kunde omgärdas av en gemensam yttre sekretess. Enligt vår mening är det inte rimligt att den brottsbekämpande verksamheten försvåras av att statsmakterna valt att fördela verksamheten mellan flera myndigheter.
168
| SOU 2002:113 | Tullverkets problem med och behov av informationshantering |
9.5Behovet av ny lagstiftning
Vår bedömning: Dagens lagstiftning om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet uppfyller inte på ett tillfredsställande sätt de krav som Tullverkets verksamhet kommer att ställa på automatiserad behandling av uppgifter. Flera av de förändringar som behövs är så grundläggande att det är mest ändamålsenligt med en helt ny lagstiftning.
Av vår redovisning i tidigare avsnitt framgår bl.a. att Tullverket i sin brottsbekämpande verksamhet behöver – eller kommer att behöva – behandla spaningsuppgifter i skilda register på ett mer funktionellt sätt, lagra digitala fotografier samt behandla upprättade och inkomna elektroniska handlingar i datoriserade ärendehanteringssystem. Dagens lagstiftning är för Tullverkets del inte anpassad efter en sådan automatiserad behandling av uppgifter. Vi har dessutom kunnat konstatera att det finns ett antal andra problem med dagens lagstiftning, som t.ex. att det i lag definierade begreppet underrättelseverksamhet vållar gränsdragningsproblem och att information om mindre allvarlig brottslighet inte kan behandlas automatiserat i särskilda undersökningar.
Vid sidan av de behov som har framkommit om hanteringen av information i de register m.m. som förs i den brottsbekämpande verksamheten, utgör det ett effektivitetsproblem främst inom underrättelseverksamheten att direktåtkomst inte medges till TDS och andra fiskala register som förs av Tullverket. Det står dessutom enligt vår uppfattning klart att det finns ett stort behov av utökat informationsutbyte på elektronisk väg med andra brottsbekämpande myndigheter.
Sammantaget innebär dessa behov av förändringar att det för oss framstår som mest ändamålsenligt att helt ersätta dagens lagstiftning om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet med en ny och mer verksamhetsanpassad lagstiftning. Vi återkommer i kapitel 10 och 11 med våra överväganden i den frågan.
169
10 Övergripande principer
10.1Behovet av datorstöd
Sedan många år tillbaka utgör användningen av datorer hos myndigheter i Sverige det naturliga sättet att arbeta i en verksamhet. Denna utveckling har varit ett led i effektiviseringen av verksamheterna och det finns inte någon anledning att anta annat än att behovet av datorstöd kommer att fortsätta öka, inte minst för de brottsbekämpande myndigheterna.
Den snabba utvecklingen av datoriseringen visar att den lagstiftning som reglerar användningen av datorstöd måste vara teknikoberoende och flexibel, för att inte hindra den effektivisering av verksamheterna som kontinuerligt pågår. Det är näst intill omöjligt för lagstiftaren att hålla jämn takt med den tekniska utvecklingen inom datorområdet. För att inte hamna i en situation där den tekniska utvecklingen styr den rättsliga regleringen, eller där den rättsliga regleringen onödigt hämmar effektiviseringen, är det enligt vår mening nödvändigt med en lagstiftning som tar sikte på principiellt viktiga frågor, men så långt som möjligt låter bli detaljreglering. Lagstiftningen skall med andra ord styra användningen av ny teknik i offentlig verksamhet samtidigt som den rättsliga regleringen inte får tillåtas förhindra eller försvåra en välkommen effektivisering, om det inte är nödvändigt av integritetsskäl.
10.2Skyddet för den personliga integriteten
De grundläggande bestämmelserna till skydd för den personliga integriteten finns i regeringsformen. Redan i 1 kap. 2 § slås fast att det allmänna skall värna om den enskildes privatliv. Denna intention kommer till uttryck i stora delar av den lagstiftning som reglerar det allmännas handlande gentemot enskilda och även
171
| Övergripande principer | SOU 2002:113 |
enskildas handlande gentemot varandra. Som exempel på sådan lagstiftning kan nämnas brottsbalken och sekretesslagen (1980:100). Av stor betydelse är även rätten för enskilda att enligt 2 kap. tryckfrihetsförordningen ta del av allmänna handlingar (handlingsoffentlighet). Härigenom garanteras enskilda insyn i och kontroll av den offentliga förvaltningen, vilket kan vara positivt från integritetssynpunkt. Offentligheten kan emellertid även innebära nackdelar från integritetssynpunkt, eftersom enskilda tvingas acceptera att uppgifter om dem kan vara åtkomliga för andra personer.
I 2 kap. 3 § regeringsformen finns en särskild bestämmelse som avser integritetsskyddet vid automatiserad behandling av personuppgifter. Där sägs att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Den författning som i dag har till syfte att i första hand uppfylla regeringsformens intentioner i fråga om integritetsskydd i datoriserad verksamhet är personuppgiftslagen (1998:204). Härutöver finns särskilda registerförfattningar som reglerar en stor del av den offentliga verksamheten. Integritetsskyddande bestämmelser om utlämnande av personuppgifter finns även i sekretesslagen.
Det är inte möjligt att definiera exakt vad som avses med personlig integritet. Inte minst är det svårt på grund av att uppfattningen om vad som är en rent personlig sfär varierar mellan olika personer. Dessutom förändras inställningen till integritet över tiden. Det kan också konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet. Av allt att döma finns det emellertid enighet om att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.
Enligt vår mening utgör stora informationsmängder, som är samlade så att uppgifter är enkelt sökbara på elektronisk väg och som används vid myndighetsutövning, en påtaglig risk för att enskilda personer skall utsättas för icke acceptabla intrång i den personliga sfären. Tullverkets, och andra brottsbekämpande
172
| SOU 2002:113 | Övergripande principer |
myndigheters, användning av datorer i sin verksamhet kan alltså i sig utgöra ett hot mot den personliga integriteten. Detta måste hela tiden beaktas vid utformningen av lagstiftningen inom området.
De olika integritetsfaktorer som är aktuella i samband med en reglering av användningen av datorer och dataregister inom Tullverkets brottsbekämpande verksamhet är t.ex. vilka uppgifter som får registreras, vem som får ta del av dem och hur de får användas. I fråga om vem som får ta del av uppgifter intar omfattningen av myndigheters och andras direktåtkomst till elektroniskt lagrad information en särställning. Sådan åtkomst har under lång tid ansetts särskilt integritetskänslig. Detsamma har gällt samkörning av uppgifter från olika källor.
Vi kommer att behandla de olika integritetsaspekterna efterhand som vi redovisar vår inställning i de olika sakfrågorna, t.ex. gällande direktåtkomst. Redan här bör emellertid slås fast att vi anser det viktigt att en författningsreglering som bland annat syftar till att underlätta Tullverkets användning av datorer för att uppnå effektivitetsvinster inom brottsbekämpningen, inte får utformas på ett sådant sätt att integritetsskyddet för enskilda urholkas.
10.3Särskild författningsreglering
Vårt förslag: Behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall författningsregleras särskilt. Uppgifter i den interna administrationen skall behandlas enligt personuppgiftslagens bestämmelser.
Allmänna bestämmelser om integritetsskydd inom datorområdet finns, som nämnts tidigare, i personuppgiftslagen. För olika offentliga verksamheter kan dock integritetsproblemen vara av skiftande art. Det går därför inte generellt att lösa alla problem och fullt ut beakta alla frågeställningar genom att vända sig till personuppgiftslagens bestämmelser. Sverige kan, inom ramen för sina åligganden enligt
173
| Övergripande principer | SOU 2002:113 |
Särskild författningsreglering bör enligt vår uppfattning tillämpas endast om det finns beaktansvärda skäl för det. Vi anser att man generellt kan peka ut de normala situationer då så är fallet, nämligen
–när en nödvändig behandling över huvud taget inte är tillåten enligt personuppgiftslagen, t.ex. i fråga om behandling av vissa känsliga uppgifter,
–när personuppgiftslagen visserligen reglerar ett visst förhållande, men det finns anledning att avvika från eller precisera den regleringen, t.ex. i fråga om hur länge uppgifter får bevaras,
–när personuppgiftslagens bestämmelser kan ge upphov till tolkningsproblem och det finns anledning att ha tydliga bestämmelser, t.ex. i fråga om vem som är personuppgiftsansvarig,
–när det finns anledning att begränsa möjligheterna till behandling av uppgifter av integritetsskäl, t.ex. i fråga om myndigheters registrering av och åtkomst till stora eller känsliga uppgiftsmängder, samt
–när det finns anledning att vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som olika myndigheter registrerar.
Enligt vår uppfattning finns det inga tvivel om att en särskild författningsreglering behövs i Tullverkets brottsbekämpande verksamhet, av såväl effektivitetssom integritetsskäl. Ett flertal faktorer – främst omfattningen av verksamheten, dess inriktning med ingripande myndighetsutövning samt de mycket känsliga uppgifter och behandlingar som förekommer inom brottsbekämpningen – utesluter att personuppgiftslagen kan vara den enda författning som reglerar informationshanteringen.
När det däremot gäller den interna administrativa förvaltningen, exempelvis lokal- och personalfrågor, är situationen en helt annan. I administrationen förekommer ingen myndighetsutövning mot utomstående personer, utan verksamheten påminner mestadels om hanteringen av information hos vilken större arbetsgivare som helst. Internt administrativt arbete vid en myndighet är normalt inte reglerad i registerförfattningar för annan offentlig verksamhet och vi kan inte se annat än att personuppgiftslagens regler är fullt tillräckliga för att hantera behandlingen av personuppgifter i t.ex. Tullverkets löneregister.
174
| SOU 2002:113 | Övergripande principer |
10.4Lag, förordning eller myndighetsföreskrifter
Vårt förslag: De grundläggande principerna för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall regleras i lag. Kompletterande bestämmelser skall meddelas av regeringen eller den myndighet som regeringen bestämmer.
Vi konstaterar i avsnitt 10.3 att behandling av personuppgifter i den brottsbekämpande verksamheten måste författningsregleras särskilt, främst av integritetsskäl men också av effektivitetsskäl.
En viktig fråga är i vilken form en sådan författningsreglering skall ske; genom lag, förordning eller myndighetsföreskrifter. I Tullverkets brottsbekämpande verksamhet behandlas mängder av uppgifter om enskilda personer i olika register eller datorsystem. Uppgifterna är i många fall mycket känsliga, inte minst i underrättelseverksamhet, och det är därför viktigt att de behandlas på ett sådant sätt att vederbörlig hänsyn tas till misstänktas och andra inblandades personliga integritet.
Frågor om regleringen av personregister har behandlats av Konstitutionsutskottet, som bl.a. påpekat att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48), en uppfattning som även regeringen har gett uttryck för (se bl.a. prop. 1990/91:60 s. 58 och 1997/98:44 s. 41). Enligt vår uppfattning är den automatiserade behandling av personuppgifter som förekommer i Tullverkets brottsbekämpande verksamhet utan tvekan av sådan karaktär och omfattning att de grundläggande principerna för behandlingen skall slås fast i lag.
De bestämmelser som vi anser måste framgå av lag är främst sådana som anger för vilka ändamål personuppgifter får behandlas, vilka uppgiftskategorier som får behandlas, i vilken omfattning uppgifter skall få lämnas ut i elektronisk form, när uppgifter skall gallras samt vilka rättigheter enskilda har. I vissa fall bör sådana bestämmelser vara ovillkorliga, medan regeringen i andra fall bör kunna medge undantag. Regeringen bör dessutom kunna meddela vissa kompletterande bestämmelser. Härigenom undviks att detaljregler som kan komma att behöva ändras ofta, t.ex. som en följd av ändrade villkor för verksamheten, måste prövas av riksdagen. Avgörande för på vilken konstitutionell nivå föreskrifter bör meddelas, är enligt vår uppfattning vilken betydelse bestämmelser-
175
| Övergripande principer | SOU 2002:113 |
na har från integritetssynpunkt. Det kan i vissa fall vara lämpligt att regeringen delegerar rätten att meddela kompletterande föreskrifter till Tullverket eller Riksarkivet.
10.5Grundläggande begrepp – databas eller register
Vårt förslag: Det traditionella registerbegreppet skall inte förekomma i författningarna om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. I stället skall begreppet databas användas som en juridisk beteckning på automatiserade uppgiftssamlingar som används gemensamt inom en verksamhet och för vilka särskilda handlingsregler gäller.
Databaser i stället för register
Med personregister avsågs enligt gamla datalagen register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Den i författningar allmänt använda termen för elektroniska uppgiftssamlingar har sedan datalagens införande 1973 varit register.
Det traditionella registerbegreppet har dock kritiserats vid flera tillfällen, främst eftersom det för tankarna till på visst sätt organiserade eller systematiserade samlingar av uppgifter. Detta är inte längre ett helt relevant sätt att se på samlingar av uppgifter i elektronisk form. Uppgifter kan t.ex. införas helt ostrukturerat och oorganiserat i olika filer i en dator, utan att detta förhindrar en effektiv hantering av uppgifterna för olika sammanställningar osv. Även framväxten av Internet har tydliggjort behovet av en översyn av traditionella begrepp i datorsammanhang, som t.ex. registerbegreppet. Ytterligare en grund för kritik har varit att begreppet register inte används i personuppgiftslagen, som ersatt datalagen. Det finns därför enligt vår uppfattning anledning att inte använda registerbegreppet i en ny lag om hantering av personuppgifter i Tullverkets brottsbekämpande verksamhet.
I personuppgiftslagen talas det om behandling av personuppgifter och inte om förande av register. Det skulle enligt vår bedömning vara möjligt att även i specialförfattningar undvika begreppet register utan att ersätta det med något specifikt
176
| SOU 2002:113 | Övergripande principer |
alternativ, dvs. endast tala om behandling av personuppgifter, men det är inte självklart att det är det bästa alternativet.
Det finns flera elektroniska samlingar av personuppgifter som enligt vår bedömning måste ses som register i ordets egentliga bemärkelse, dvs. uppgifter förs in på ett systematiserat sätt efter vissa kriterier och är sökbara endast med särskilda sökord e.d. Det kan därför finnas anledning att inte helt frångå registerbegreppet. Som exempel kan nämnas att begreppet register har sin naturliga plats i t.ex. lagen (1998:621) om misstankeregister och lagen (1998:620) om belastningsregister. Dessa lagar reglerar nämligen register i en mer traditionell mening. Registerbegreppet är emellertid inte lämpligt när det gäller datorsystem som innefattar elektronisk ärendehantering, där inkomna handlingar kan skannas och beslut upprättas med automatiserad behandling, för att sedan lagras elektroniskt tillsammans med uppgiftssamlingar av mer registerartad karaktär.
Att endast tala om behandling av personuppgifter kan i vissa fall föranleda att lagtexter tyngs och blir svårhanterliga, t.ex. när man inte avser behandling i allmänhet utan endast behandling i fastställda samlingar av uppgifter för vilka särskilda handlingsregler gäller. Som exempel kan nämnas att när en tjänsteman vid Tullverket behandlar personuppgifter på elektronisk väg, kan det göras t.ex. med ordbehandling vid framställning av dokument eller via terminalfunktioner i särskilda gemensamma register. Det är inte helt enkelt att i en lag om behandling av personuppgifter klart uttrycka att man i motsvarande situationer avser att vissa bestämmelser endast skall gälla för den senare behandlingen och inte för den tidigare, något som vi anser att det finns behov av.
Ett alternativ till registerbegreppet är termen databas, som numera förekommer i olika sammanhang, bl.a. i den lag som gäller för den fiskala hanteringen av personuppgifter inom Tullverket (se prop. 2000/01:33). Vi anser att det även för den brottsbekämpande verksamheten finns behov av ett särskilt begrepp för att beskriva vissa uppgiftssamlingar som är föremål för automatiserad behandling. Begreppet databas, som språkligt har mer naturlig anknytning till automatiserade sammanställningar av uppgifter, är i det här sammanhanget att föredra framför register.
177
| Övergripande principer | SOU 2002:113 |
Databasbegreppet underlättar en teknikoberoende lagstiftning
I vårt lagförslag avser vi med begreppet databas något annat än egentliga register. En databas består av en uppgiftssamling av varierande slag, ofta rörande såväl juridiska som fysiska personer. Den kan innehålla ett antal egentliga register, men också uppgifter som inte alls kan inordnas i ett traditionellt register, såsom elektroniska handlingar i ett ärendehanteringssystem.
En av våra målsättningar är att skapa ett regelverk som är mer teknikoberoende än många av de registerförfattningar som finns i dag. Detta kan göras genom att begreppet databas ges en juridisk innebörd utan direkt teknisk anknytning. Vi anser att en databas skall definieras som en samling uppgifter som med hjälp av automatiserad behandling används gemensamt inom en verksamhet, något som i dag gäller för bl.a. Tullverkets fiskala verksamhet.
En definition av begreppet databas som den nyss angivna utesluter manuella register och gör det samtidigt möjligt att särskilja tillfälliga behandlingar av personuppgifter i en persondator från behandlingar i datorsystem som är särskilt reglerade till sitt innehåll och användning, något som vi utvecklar närmare i kapitel 11. Definitionen har även den fördelen att den inte tekniskt avgränsar hur en samling uppgifter är uppbyggd eller organiserad. Det innebär att om flera register – i egentlig bemärkelse – är sammanlänkande och samtliga uppgifter i de olika registren på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet, så utgör dessa register en databas. Med andra ord skulle automatiserade register kunna sägas vara en specialform av databaser, nämligen databaser vars innehåll är systematiserade på ett visst sätt enligt särskilda kriterier. En juridiskt bestämd databas kan således innehålla flera mindre databaser eller datorsystem i teknisk mening, varav en del kan vara regelrätta register. Om samtliga uppgifter i en databas finns samlade i ett enda datorsystem i en enda server inom Tullverket och är tillgängliga för de olika regionerna enligt vissa kriterier (behörighetskoder o.d.) eller om uppgifterna delas upp så att de rent tekniskt förvaras i olika servrar – och i form av flera datorsystem eller register – i regionerna, saknar alltså betydelse. Det väsentliga är att uppgifterna är gemensamt tillgängliga inom hela eller delar av Tullverket.
Dessa tankegångar har som utgångspunkt att en lag om behandling av personuppgifter inte skall reglera hur uppgifterna
178
| SOU 2002:113 | Övergripande principer |
tekniskt organiseras, utan endast utgöra en rättslig ram för vilka uppgifter som får behandlas och på vilket sätt de får användas för att bl.a. säkerställa ett gott integritetsskydd. Detta innebär att regleringen av en databas i Tullverkets brottsbekämpande verksamhet kan innehålla bestämmelser om behandling av samtliga de uppgifter som i dag finns i olika register och datorsystem, utan att det för den sakens skull anges hur uppgifterna skall organiseras eller delas in i grupper. Om det i en lag anges att en sådan databas får innehålla samtliga uppgifter som i dag behandlas i olika datorsystem eller register (t.ex. i underrättelseregistret och tullmålsjournalen), så tar man därigenom inte ställning till den tekniska utformningen. Det kan alltså i princip bli fråga om ett stort centralt eller flera små lokalt anordnade datorsystem eller register eller en blandning av båda alternativen. Det väsentliga är att de krav lagen ställer på behandlingen för att säkerställa enskildas integritet kan efterlevas.
179
11Författningsregleringen av behandling av uppgifter
11.1Lagstiftningens systematik och allmänna tillämpningsområde m.m.
11.1.1Den nya lagens systematik
Vårt förslag: Den i dag gällande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet skall ersättas av en ny lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet. Den nya lagen skall delas in i tre kapitel:
–allmänna bestämmelser som i huvudsak är tillämpliga på all behandling av uppgifter som omfattas av lagen,
–särskilda bestämmelser som endast gäller automatiserad behandling av uppgifter och handlingar i en gemensam databas, samt
–bestämmelser om enskildas rättigheter vid behandlingen av personuppgifter.
Som vi redovisar i kapitel 9 anser vi att det behövs så stora förändringar av den lagstiftning som skall reglera informationshanteringen i Tullverkets brottsbekämpande verksamhet, att vi föreslår en ny lag som skall ersätta den i dag gällande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Vi har också övervägt hur en sådan helt ny lag bör struktureras.
Det finns ingen enhetlig systematik bland de registerförfattningar som i dag gäller inom skilda myndighetsområden. Vilken systematik som väljs kan vara beroende av olika faktorer, exempelvis hur omfattande regleringen är, vilken verksamhet den avser och om författningen gäller utöver eller i stället för
181
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
personuppgiftslagen. Vi har valt att för Tullverkets brottsbekämpande verksamhet välja en författningsstruktur som till så stor del som möjligt stämmer överens med den som tillämpas i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, dvs. den lag som gäller för den fiskala verksamheten.
Det innebär att det i ett första kapitel finns bestämmelser som skall tillämpas generellt på all behandling av uppgifter i den brottsbekämpande verksamheten, oavsett om det gäller
11.1.2Tillämpningsområdet
Vårt förslag: Lagen skall tillämpas vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, om behandlingen är helt eller delvis automatiserad. Även behandling av personuppgifter i manuella register skall omfattas av lagens tillämpningsområde.
De bestämmelser i lagen som reglerar ändamålen med och ansvaret för behandlingen, gallring och bevarande av uppgifter samt behandling av uppgifter i särskilda gemensamma automatiserade uppgiftssamlingar (databaser), skall vara tillämpliga även vid behandling av uppgifter om juridiska personer.
Verksamhetsområdet
Tullverkets verksamhet kan delas in i två huvudsakliga delar, den fiskala och den brottsbekämpande verksamheten. Dessutom finns, som vid alla myndigheter, en intern administrativ verksamhet.
Som exempel på administrativa arbetsområden kan nämnas personal- och lokalfrågor. Vi anser att det inte är nödvändigt med en specialreglering för att kunna hantera behandlingen av
182
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
personuppgifter i den administrativa verksamheten (se avsnitt 10.3). För behandling av uppgifter som rör administrativa frågor, t.ex. i löneregister, skall alltså personuppgiftslagen tillämpas fullt ut. För den fiskala verksamheten med uttag av tullar, skatter och avgifter finns i dag särskilda bestämmelser i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet. Vi bedömer det som mest ändamålsenligt om dessa bestämmelser även fortsättningsvis finns samlade i en egen lag. Den lag som vi nu föreslår skall därför reglera endast den behandling av uppgifter som rör den brottsbekämpande verksamheten inom Tullverket.
Gränsdragningen mellan tillämpningsområdena för den lag som reglerar fiskal verksamhet och den av oss föreslagna lagen som skall reglera brottsbekämpande verksamhet, måste utläsas av de ändamål som gäller för respektive lag. Vilka ändamål som gäller för behandling av uppgifter i brottsbekämpande verksamhet, och som alltså avgränsar lagens tillämpningsområde gentemot den fiskala verksamheten, redovisar vi i avsnitt 11.1.4.
I vissa fall kan det vara tveksamt om en uppgift i ett datorsystem är hänförlig till den materiella eller den administrativa verksamheten. Det är exempelvis vanligt att det i ett ärendehanteringssystem finns uppgifter om vem som handlägger ett visst ärende och när denna person har semester samt till vilken avdelning, enhet eller sektion inom myndigheten som ett ärende hör. Den typen av uppgifter, som kan användas för att få till stånd en smidig handläggning av de ärenden som myndigheten hanterar, är enligt vår uppfattning rent administrativa. De hänför sig till den interna administrationen av myndighetens verksamhet och inte till de enskilda som kan vara föremål för myndighetens åtgärder. Behandlingen av sådana uppgifter berörs alltså inte av den av oss föreslagna lagstiftningen.
Behandling som omfattas
EU:s dataskyddsdirektiv är inte tillämpligt på sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av
183
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Inom skilda processer i Tullverkets brottsbekämpande verksamhet ingår emellertid flera arbetsuppgifter som har mycket nära anknytning till uttag av skatter och tullar. Stora delar av arbetet med brottsbekämpning är dessutom direkt kopplat till
För att uppfylla dataskyddsdirektivets krav anser vi att författningarna för Tullverket skall omfatta samma grundläggande behandling som personuppgiftslagen, dvs. helt eller delvis automatiserad behandling av personuppgifter och behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (manuella register).
Personuppgiftslagen gäller endast vid behandling av personuppgifter, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att behandling av uppgifter om juridiska personer inte alls omfattas av lagen. Tullverket behandlar stora mängder uppgifter som rör andra än levande fysiska personer, t.ex. företag, myndigheter och andra organisationer som förekommer i ärenden. Dessa kategorier av juridiska personer har av naturliga skäl inte samma behov av integritetsskydd som levande fysiska personer. När man föreslår författningar som reglerar vad myndigheter får och inte får registrera i sina datorsystem och hur uppgifterna sedan får användas, finns det enligt vår uppfattning ändå anledning att låta författningarna omfatta även andra än levande fysiska personer.
Vi föreslår därför att även juridiska personer skall omfattas av de bestämmelser i lagen som anger ändamålet med och ansvaret för behandlingen samt som reglerar hur länge uppgifter får bevaras. När uppgifter behandlas i gemensamma datorsystem (se avsnitt 11.2 om databaser) skall även bestämmelser om innehåll samt utlämnande av, åtkomst till och sökning efter uppgifter och handlingar omfatta juridiska personer.
184
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
11.1.3Förhållandet till personuppgiftslagen
Vårt förslag: Bestämmelser i personuppgiftslagen skall tillämpas på behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet endast när det anges särskilt.
De bestämmelser i personuppgiftslagen som skall vara allmänt tillämpliga är de om definitioner, förhållandet till offentlighetsprincipen, grundläggande krav på behandling, säkerheten vid behandling, överföring av personuppgifter till tredje land, personuppgiftsombudets uppgifter, upplysningar till allmänheten om vissa behandlingar, tillsynsmyndighetens befogenheter samt straff. I vissa fall skall även bestämmelsen om användning av personnummer vara tillämplig.
Hänvisning till personuppgiftslagen
En viktig fråga är i vilken omfattning personuppgiftslagens bestämmelser skall vara direkt tillämpliga på den brottsbekämpande verksamheten. Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter och den kommer därför att gälla i Tullverkets verksamhet, om det inte finns avvikande bestämmelser i lag eller förordning. Som vi nämner i avsnitt 10.3 behövs det avvikande bestämmelser för Tullverket. Det innebär att det i den lag som vi föreslår kommer att finnas vissa uttryckliga bestämmelser som avviker från personuppgiftslagen. Samtidigt uppstår frågan hur man skall hantera de regler som inte skall avvika från personuppgiftslagen. I tidigare lagstiftningsärenden har olika varianter förekommit.
En modell är att i en särskild författning över huvud taget inte nämna personuppgiftslagen eller klart ange att den särskilda författningen gäller utöver den lagen. I bägge fallen gäller avvikande bestämmelser i den särskilda författningen före personuppgiftslagen. När reglering saknas i den särskilda författningen kommer däremot personuppgiftslagens bestämmelser att vara tillämpliga. Nackdelen med en sådan modell är att lagtillämparen kan ha svårt att få en överblick över vilka bestämmelser i personuppgiftslagen som är tillämpliga och i vilken omfattning det i den särskilda författningen finns bestämmelser som kanske endast delvis avviker från personuppgiftslagens regler. Modellen används bl.a. i polisdatalagen (1998:622), och det har visat sig att modellen
185
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
har mött kritik inom polisväsendet just på grund av att den anses svår att tillämpa. Polisdatautredningen har därför i betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92) föreslagit en annan modell.
Polisdatautredningens modell innebär att de bestämmelser i personuppgiftslagen som skall vara tillämpliga skrivs ut i klartext i den särskilda författningen om behandlingen av personuppgifter. Fördelen med en sådan lösning är att tillämparen snabbt får klart för sig vilka bestämmelser som gäller utan att ens behöva gå till personuppgiftslagen. En nackdel med att direkt skriva ut bestämmelser som finns i personuppgiftslagen är att man därigenom inför en onödig form av dubbelreglering, eftersom personuppgiftslagens bestämmelser ändå gäller om inget annat anges. Dessutom innebär även mindre ändringar i personuppgiftslagen att motsvarande justeringar måste göras i den särskilda författningen. Den särskilda lagen kan även komma att bli onödigt omfattande till formatet.
En tredje modell innebär att de bestämmelser som avviker från personuppgiftslagen regleras särskilt i specialförfattningen och att det uttryckligen hänvisas till de lagrum i personuppgiftslagen som skall vara tillämpliga. Denna metod tillämpas i dag bl.a. i den lagstiftning om behandling av personuppgifter som gäller inom Tullverkets fiskala verksamhet och inom skatteförvaltningen. Fördelarna är enligt vår mening att lagstiftningen blir mer överskådlig, tydlig och lättillämpad än om inga hänvisningar görs till personuppgiftslagen. Metoden fick emellertid kritik av lagrådet, som bl.a. ansåg att lagstiftningstekniken var riskfylld med hänsyn till såväl svårigheterna att överblicka om dataskyddsdirektivet blir till fullo genomfört i registerlagarna som till möjligheten att vid kommande lagändringar hänvisningarna till personuppgiftslagen blir felaktiga eller missvisande (se prop. 2000/01:33, s. 345 f.).
Det finns enligt vår uppfattning ett stort värde i att inte lämna lagtillämparen utan vägledning när det gäller tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga. Det visar inte minst de tidigare nämnda problem som förekommer inom polisväsendet med tolkningen av vilka bestämmelser i personuppgiftslagen som är tillämpliga vid sidan av polisdatalagen. Vi anser vidare att man inte skall överdriva den av lagrådet påtalade risken att hänvisningar kan bli felaktiga vid lagändringar. Vår bedömning är att de ovan nämnda fördelarna med en metod som innebär att det i varje lag ges uttryckliga hänvisningar till de
186
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
bestämmelser i personuppgiftslagen som är tillämpliga mycket klart överväger nackdelarna. En ytterligare aspekt i detta sammanhang är att denna metod i dag används i regleringen av Tullverkets fiskala verksamhet. Det finns enligt vår mening ett inte obetydligt värde i att använda samma typ av lagstiftningsteknik för myndighetens hela verksamhet. Vi föreslår därför att en sådan modell används också i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.
Tillämpliga bestämmelser i personuppgiftslagen
Redovisningen nedan av vilka bestämmelser i personuppgiftslagen som vi föreslår skall vara tillämpliga vid behandling av personuppgifter i brottsbekämpande verksamhet vid Tullverket omfattar inte de bestämmelser som direkt rör enskildas rättigheter; information, rättelse och skadestånd. Vi återkommer till de bestämmelserna i avsnitt 11.9.
Definitioner (3 §)
Vi har inte funnit någon anledning att i den av oss föreslagna lagen definiera begrepp som förekommer där på något annat sätt än i 3 § personuppgiftslagen. För att undvika missförstånd är det tvärtom viktigt att de begrepp som används i de två lagarna har samma innebörd. Det bör dock anmärkas att personuppgiftsansvaret regleras särskilt i den lag som vi föreslår för Tullverket.
Förhållandet till offentlighetsprincipen m.m. (8 §)
Bestämmelsen i 8 § första stycket personuppgiftslagen är en ren upplysning och markering om offentlighetsprincipens företräde. I andra stycket finns dock en materiell regel som anger att 9 § fjärde stycket personuppgiftslagen – där det ställs upp begränsningar i rätten att använda sig av personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål för att vidta åtgärder i fråga om den registrerade – inte skall tillämpas i fråga om myndigheters användning av personuppgifter i allmänna handlingar. Personuppgiftslagens bestämmelser hindrar inte heller att allmänna handlingar bevaras eller att arkivmaterial tas om hand
187
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
för arkivering. Dessa undantag skall gälla även inom brottsbekämpande verksamhet vid Tullverket.
Grundläggande krav på behandlingen av personuppgifter (9 §)
En av de väsentligaste bestämmelserna i fråga om behandling av personuppgifter finns i 9 § personuppgiftslagen och avser vilka grundläggande krav som ställs på en personuppgiftsansvarig. Dessa krav bör naturligtvis tillämpas även vid behandling av personuppgifter vid Tullverket. Vi föreslår emellertid särskilda gallringsregler och bestämmelserna i 9 § första stycket i) och tredje stycket om hur länge uppgifter får bevaras skall därför inte tillämpas.
Behandling av personnummer (22 §)
Enligt 22 § personuppgiftslagen får personnummer och samordningsnummer behandlas endast efter samtycke från den registrerade eller om det är klart motiverat med hänsyn till behandlingens ändamål, vikten av en säker identifiering eller något annat beaktansvärt skäl. För behandling i brottsbekämpande verksamhet måste person- eller samordningsnummer av rättssäkerhetsskäl ofta användas för att eliminera risken för fel vid registrering av personuppgifter och i handläggningen av ärenden.
Vid behandling av personuppgifter i gemensamma datorsystem är det i de flesta fall helt nödvändigt att generellt använda personnummer för att kunna säkra identifieringen av en registrerad. För sådan behandling anges därför uttryckligt i den av oss föreslagna lagen att uppgifter om en persons identitet får användas, bl.a. personnummer. Hänvisningen till personuppgiftslagens bestämmelse får därför praktisk tillämpning endast i fråga om behandling som inte utförs i den särskilt reglerade tullbrottsdatabasen, dvs. vid vanlig ordbehandling, hantering av
188
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Säkerheten vid behandling
I
Överföring av personuppgifter till tredje land
Personuppgifter som är under behandling får enligt 33 § personuppgiftslagen inte föras över till tredje land om inte det mottagande landet har en adekvat nivå för skyddet av personuppgifter. Från förbudet finns vissa undantag i 34 §, bl.a. för överföring till länder som har anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter. Regeringen har också möjlighet att föreskriva ytterligare undantag från förbudet, bl.a. om det behövs med hänsyn till ett viktigt allmänt intresse. I dataskyddsdirektivets ingresspunkt 58 nämns uttryckligen internationellt utbyte av uppgifter mellan tullmyndigheter som ett sådant viktigt intresse och i förordningen (2000:1222) om internationellt tullsamarbete finns en bestämmelse om undantag från 33 § personuppgiftslagen.
Vi anser att förbudet mot överföring till tredje land som inte har acceptabla skyddsnivåer, och de undantag från förbudet som föreskrivs, bör vara tillämpliga även på behandling enligt den av oss föreslagna lagstiftningen.
189
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Personuppgiftsombudets uppgifter m.m.
Automatiserade behandlingar av personuppgifter skall enligt 36 § personuppgiftslagen anmälas till tillsynsmyndigheten (Datainspektionen). Anmälan behöver dock enligt 3 § personuppgiftsförordningen inte göras för behandlingar som regleras genom särskilda föreskrifter i lag eller förordning. Det finns enligt vår mening inte någon anledning att ställa krav på anmälningsskyldighet för behandlingar som utförs med stöd av den av oss föreslagna lagen. Den personuppgiftsansvarige har enligt 36 § personuppgiftslagen även möjlighet att utse ett personuppgiftsombud. Vår bedömning är att det bör åligga den personuppgiftsansvarige att ta ställning till frågan om ett personuppgiftsombud skall inrättas hos myndigheten eller inte. Om ett sådant ombud utses, skall bestämmelserna om ombudets skyldigheter i
Vissa upplysningar till allmänheten (42 §)
Enligt 42 § personuppgiftslagen skall den personuppgiftsansvarige till den som begär det lämna upplysningar om de behandlingar av personuppgifter som utförs och som inte har anmälts till Datainspektionen. Eftersom Tullverkets behandling är författningsreglerad har verket ingen skyldighet att till Datainspektionen anmäla vilka behandlingar som utförs. För att enskilda på ett snabbt och enkelt sätt skall kunna få besked av Tullverket om vilka behandlingar som utförs av verket i den brottsbekämpande verksamheten, bör bestämmelsen i personuppgiftslagen vara tillämplig.
Tillsynsmyndighetens befogenheter (43 och 47 §§)
För att kunna säkerställa att personuppgifter behandlas på ett korrekt sätt har Datainspektionen vissa befogenheter gentemot personuppgiftsansvariga. Vi anser att den möjlighet som inspektio-
190
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
nen har enligt 43 § personuppgiftslagen att på begäran få tillgång till personuppgifter, upplysningar och dokumentation om behandlingen och säkerheten samt tillträde till lokaler bör finnas även när den personuppgiftsansvarige är en myndighet. Däremot bör det inte vara möjligt för Datainspektionen att vid vite förbjuda en personuppgiftsansvarig statlig myndighet att behandla personuppgifter, eftersom vite som sanktionsmedel enligt allmänna rättsgrundsatser inte bör användas mellan statliga myndigheter. Hänvisning behöver därför inte göras till bestämmelserna om vite i 44 och 46 §§ personuppgiftslagen. Vi finner det inte heller nödvändigt att i lagen hänvisa till 45 §, i vilken det anges att Datainspektionen skall försöka åstadkomma rättelse genom påpekanden e.d., om inspektionen konstaterar att personuppgifter behandlas felaktigt. Det torde vara självklart att Datainspektionen vidtar de åtgärder som är rimliga för att få till stånd rättelse när eventuella brister i Tullverkets hantering upptäcks.
Enligt 47 § personuppgiftslagen har Datainspektionen rätt att hos allmän förvaltningsdomstol ansöka om att sådana uppgifter som har behandlats på ett olagligt sätt skall utplånas. Bestämmelsen har sin grund i dataskyddsdirektivets artikel 28.3, där det anges att varje nationell tillsynsmyndighet skall ha särskild befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Vi kan inte se att det finns någon anledning att göra undantag för Tullverkets brottsbekämpande verksamhet.
Straff (49 §)
Personuppgiftslagens bestämmelser om straffansvar bör omfatta även verksamhet vid Tullverket och vara tillämpliga när personuppgifter behandlas med stöd av den av oss föreslagna lagen.
191
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
11.1.4Tillåtna ändamål för behandling av uppgifter
Vårt förslag: Tydliga och konkreta ändamål för behandling av personuppgifter och andra uppgifter skall anges i lag. Uppgifter skall primärt få behandlas bara för de angivna ändamålen, nämligen när det behövs för att
–förhindra eller upptäcka brottslig verksamhet,
–utreda eller beivra brott,
–fullgöra internationellt tullsamarbete,
–planera, följa upp och utvärdera verksamheten, och
–förse andra brottsbekämpande myndigheter med information.
Bestämmelser om för vilka ändamål uppgifter i statliga personregister får användas har alltid haft en central roll i registerförfattningar. Genom att ange ändamålen och reglera vilka uppgifter som får registreras, har ramen för hanteringen av personregister satts upp. I och med dataskyddsdirektivet har betydelsen av klara ändamålsbestämmelser ökat än mer. Ett av de viktigaste inslagen i direktivet och personuppgiftslagen är nämligen att personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål samt att uppgifterna senare inte får behandlas för något ändamål som är oförenligt med de för vilka uppgifterna samlades in (artikel 6.1a). Motsvarande bestämmelser finns i 9 § personuppgiftslagen.
Sambearbetning mellan olika automatiserade register, s.k. samkörning, har länge ansetts vara en särskilt känslig form av personuppgiftsbehandling. Enligt datalagen krävdes särskilt tillstånd för sådan behandling, om inte registreringen eller utlämnandet av uppgifter kunde göras med stöd av författning. I dataskyddsdirektivet tas däremot inte någon direkt hänsyn till de särskilda integritetsproblem som är förknippade med behandling i form av sambearbetning mellan olika uppgiftsdatabaser. Under förutsättning att insamlandet, utlämnandet och den senare behandlingen av uppgifterna står i överensstämmelse med ändamålen för registren eller databaserna, föreligger inga hinder för sådan sambearbetning. Det krävs således inte något särskilt författningsstöd för att uppgifter i en databas skall kunna sambearbetas med varandra eller med uppgifter i en annan databas. Denna nya situation har öppnat möjligheter till nya rättsliga konstruktioner
192
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
med databasbegreppet som grund (se avsnitt 10.5). Samtidigt ställer den särskilt höga krav på att ändamålsbestämmelserna i de författningar som reglerar behandling av personuppgifter i myndighetsverksamhet är utformade på ett sådant sätt att det klart framgår för vilka syften uppgifter får behandlas.
Vi anser att Tullverket i den brottsbekämpande verksamheten bör få behandla uppgifter för fyra olika primära ändamål, nämligen när det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott, för att fullgöra internationellt tullsamarbete samt för att planera, följa upp och utvärdera verksamheten. En mer ingående redovisning av behandlingen av uppgifter för de olika ändamålen i den brottsbekämpande verksamheten finns i avsnitt 11.4. Det bör dessutom som ett sekundärt ändamål anges att uppgifter får behandlas för att förse andra brottsbekämpande myndigheter med information.
Förhindra eller upptäcka brottslig verksamhet
En viktig del av Tullverkets arbete med brottsbekämpning är att upptäcka och förhindra brottslig verksamhet som innefattar brott som Tullverket har befogenhet att ingripa mot. I begreppet brottslig verksamhet ligger att det inte är fråga om att klara upp ett konkret begånget brott, utan i stället att avslöja om viss brottslighet har förekommit, pågår eller kan förutses. Utgångspunkten för arbetet är i huvudsak att ta fram underlag för vilken inriktning den brottsbekämpande verksamheten skall ha eller för att initiera konkreta brottsutredningar.
Vad vi avser med bestämmelsen är alltså främst det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att komma åt brottslig verksamhet när det inte finns konkreta misstankar om att ett brott redan har begåtts. Insamling av information kan ske på flera sätt; genom egna spaningsinsatser, samarbete med andra brottsbekämpande myndigheters underrättelseverksamhet eller tips från allmänheten. Ändamålet omfattar emellertid mer än enbart underrättelsearbete. Här ryms även den gränskontrollerande verksamheten på plats i t.ex. ett tullfilter, innan den situationen har uppstått att exempelvis ett konkret smugglingsbrott faktiskt har upptäckts eller kan misstänkas. Även det urvalsarbete som utförs av selekteringsgrupper inför kontroller av containertrafik m.m. omfattas av
193
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
ändamålet, under förutsättning att det inte finns misstankar om att ett konkret brott faktiskt har förövats.
Utanför ändamålet faller med andra ord behandling av uppgifter när det ”finns anledning att anta att ett brott har förövats” och en förundersökning därför skall inledas enligt 23 kap. rättegångsbalken eller när ett konkret brott har begåtts och åtal kan ske utan förundersökning genom ett förenklat förfarande enligt 23 kap. 22 § rättegångsbalken. Även verksamhet som innebär att ett brott skall beivras med stöd av 48 kap. rättegångsbalken utan att åtal väcks faller utanför ändamålet.
Enligt vår uppfattning skall ändamålet inte heller omfatta sådant allmänt brottsförebyggande arbete som inte kan anses utgöra en del av den brottsbekämpande verksamheten inom Tullverket, t.ex. allmän information i skolor eller delar av arbetet med den s.k. Servicetrappan i fiskal verksamhet.
Utreda eller beivra brott
Inom Tullverket utreds och beivras i stor omfattning brott som Tullverket har befogenhet att ingripa mot. Med detta avses i första hand arbete inom ramen för en förundersökning enligt 23 kap. rättegångsbalken eller lagen (2000:1225) om straff för smuggling, exempelvis spaning, förhör och informationsbearbetning. Ändamålet omfattar emellertid även annat utredande eller beivrande av ett konkret brott. I ändamålet innefattas således behandling som sker med stöd av 23 kap. 3 och 8 §§ rättegångsbalken innan förundersökning har inletts (inledande förhör på brottsplatsen m.m.) samt andra åtgärder som vidtas i syfte att samla in underlag för beslut om förundersökning skall inledas eller inte, s.k. primärutredning (t.ex. kontroll av ett tips om att ett brott har förövats).
Avgörande för om en viss behandling faller in under det angivna ändamålet anser vi vara att åtgärderna sker med anledning av att ett konkret brott har eller misstänks ha begåtts. Det saknar alltså betydelse om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form. Om det däremot finns misstankar endast om pågående brottlig verksamhet som inte kan konkretiseras eller misstankar om att ett konkret brott kommer att begås i framtiden, får uppgifter i stället behandlas med stöd av ändamålet att upptäcka eller förhindra brottslig verksamhet.
194
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Fullgöra internationellt tullsamarbete
Inom Tullverket bedrivs mycket arbete med internationell anknytning. I många fall är det svårt eller närmast omöjligt att förutse vilka uppgifter som kommer att åligga Tullverket, inte minst inom ramen för
Planera, följa upp och utvärdera verksamheten
Inom ramen för detta ändamål får uppgifter behandlas om det behövs för den administrativa interna tillsynen, kontrollen och uppföljningen m.m. av den brottsbekämpande verksamheten inom Tullverket. Det innebär att Tullverket har möjlighet att behandla uppgifter för att utveckla organisationen och de former som den bedrivs i samt planera för åtgärder som behöver vidtas för att t.ex. effektivisera handläggning och annan verksamhet.
Tillhandahållande av information för brottsbekämpande verksamhet hos andra myndigheter
Tullverket samarbetar ofta med andra brottsbekämpande myndigheter, som t.ex. polisen och åklagarmyndigheter. Ett viktigt led i detta samarbete är informationsutbyte. Enligt vår uppfattning bör utbytet av uppgifter i betydligt större omfattning än i dag kunna ske med användning av modern teknik. Vi föreslår därför att övriga brottsbekämpande myndigheter skall få direktåtkomst till information i Tullverkets register och ärendehanteringssystem (se avsnitt 11.6). Eftersom utlämnande av uppgifter genom direktåtkomst kan
195
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
vara särskilt integritetskänsligt, bör Tullverkets bearbetning av information för utlämnande till andra brottsbekämpande myndigheter utgöra ett uttryckligt sekundärt ändamål. Det innebär att de uppgifter som Tullverket har registrerat med stöd av de primära ändamålen, får behandlas för informationsutbyte med dessa myndigheter.
11.1.5Personuppgiftsansvar
Vårt förslag: Tullverket skall vara personuppgiftsansvarigt för den behandling som verket utför eller som det åligger verket att utföra, om inte annat framgår av lag eller förordning.
Tullverket skall vid sidan av personuppgiftsansvaret även ha ansvar för att uppgifter om juridiska personer behandlas i enlighet med de grundläggande bestämmelserna i lagstiftningen.
Personuppgiftsansvarig är enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. I registerförfattningar är det vanligt, och enligt vår mening lämpligt, att på ett tydligt sätt peka ut vem som är ansvarig för den behandling som regleras i de särskilda författningarna.
Vi anser att personuppgiftsansvaret bör utformas så att Tullverket ansvarar för den behandling av personuppgifter som Tullverket utför eller som det åligger verket att utföra. På det sättet markeras att det finns ett ansvar inte endast för att utförd behandling är korrekt, utan även för att behandling faktiskt utförs när den skall ske.
I vissa fall bör enligt vår mening Tullverket inte vara personuppgiftsansvarigt även om det är verket som utför en behandling. Det förekommer att Tullverket på egen hand registrerar uppgifter i andra myndigheters register, t.ex. i polisens misstankeregister. För sådana register är personuppgiftsansvaret vanligtvis särskilt reglerat i andra författningar. Som exempel kan nämnas att Rikspolisstyrelsen är ansvarig för misstankeregistret. Enligt vår uppfattning är det inte lämpligt att i sådana fall lägga personuppgiftsansvaret på flera av varandra oberoende myndigheter, utan den myndighet som för registret bör ensam vara personuppgiftsansvarig.
196
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Ansvaret för uppgifter om juridiska personer
Personuppgiftsansvaret täcker endast behandling av uppgifter om levande fysiska personer. Den lag som vi föreslår är emellertid i stora delar tillämplig även på behandling av uppgifter om juridiska personer. Det gäller de allmänna bestämmelserna om ändamål och gallring samt de särskilda bestämmelserna om behandling i databaser. Av tydlighetsskäl anser vi att det därför bör framgå av lagstiftningen att Tullverkets ansvar även omfattar behandling av annat än personuppgifter. Det innebär bl.a. att Tullverket har ansvaret för att uppgifter om juridiska personer inte behandlas i strid med de i lagen angivna ändamålen och att de gallras i rätt tid. Däremot har inte juridiska personer den rätt att få information och att få uppgifter rättade som enligt personuppgiftslagen tillkommer fysiska personer. Naturligtvis bör felaktiga uppgifter om juridiska personer ändå rättas, om felaktigheterna kommer till Tullverkets kännedom.
Arkivansvar
En fråga som knyter an till personuppgiftsansvaret är arkivansvaret enligt arkivlagen (1990:782). Enligt huvudregeln i 4 § arkivlagen har en myndighet arkivansvar för de allmänna handlingar som finns hos myndigheten. Generellt är det enligt vår uppfattning lämpligt att arkivansvaret för elektroniska uppgifter och handlingar så långt det är möjligt sammanfaller med personuppgiftsansvaret. I fråga om register och databaser för vilka flera olika myndigheter är personuppgiftsansvariga kan det uppstå problem, eftersom arkivansvaret bör ligga hos en och samma myndighet eller i vart fall hos de personuppgiftsansvariga myndigheter som för in uppgifter i registren eller databaserna. När det gäller Tullverket torde sådana problem inte uppstå, eftersom verket är ensamt personuppgiftsansvarigt för den behandling som utförs i dess register och databaser och därmed rimligen också arkivansvarig myndighet för de allmänna handlingar som behandlas elektroniskt i datasystemen.
197
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
11.2Behandling i databas och annan behandling av uppgifter
Vårt förslag: Olika regler skall gälla för Tullverkets behandling av uppgifter och handlingar i den brottsbekämpande verksamheten, beroende på om
–behandlingen är automatiserad och utförs i en särskild samling av uppgifter och handlingar som används gemensamt i verksamheten (tullbrottsdatabas), eller
–behandlingen utförs på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän och uppgifterna inte görs tillgängliga för gemensam användning i verksamheten.
11.2.1En databas för automatiserad behandling och gemensam användning
I dag används i stor omfattning datorer i arbetet vid Tullverket, främst i den fiskala men även i den brottsbekämpande verksamheten. Det gäller allt från enkel ordbehandling till utnyttjandet av mer avancerade ärendehanteringssystem, som i en del avseenden kan innebära en papperslös hantering. Flera statliga myndigheter har tillgång till datorbaserade personregister som används både som informationsdatabaser vid handläggning av ärenden och som lagringsenheter för elektroniskt upprättade eller inkomna handlingar. En utveckling mot sådana mer avancerade datorsystem pågår även inom Tullverket i dess brottsbekämpande verksamhet. En väsentlig skillnad mellan databehandling i personregister och vanlig ordbehandling, är att registren utnyttjas gemensamt i verksamheten inom en myndighet. Medan ordbehandling kan sägas vara ett tekniskt hjälpmedel för handläggare och andra i själva upprättandet av handlingar, utgör personregistren ett allmänt informationshjälpmedel vid handläggningen av ärenden m.m. genom att de underlättar framtagandet av underlag för olika beslut.
Enligt vår mening måste det för Tullverket finnas särskilda regelverk för sådan automatiserad behandling av personuppgifter som inte utgörs av t.ex. vanlig ordbehandling eller
198
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
på grund av såväl antalet personer som har tillgång till uppgifterna som de tekniska möjligheterna att söka i materialet och göra sammanställningar om registrerade personer – en påtaglig risk för otillbörliga intrång i enskildas personliga integritet. Den risken blir än större ju mer avancerade system som utvecklas. Från integritetssynpunkt finns det därför enligt vår mening starka skäl för att skapa tydliga regler om vad som är tillåtet i fråga om sådan behandling.
I och med genomförandet av dataskyddsdirektivet i svensk lagstiftning har den rättsliga begreppsapparaten vid datoranvändning ändrats. I personuppgiftslagen talas det inte längre om förande av personregister som i datalagen, utan om behandling av personuppgifter. För att särskilja den rättsliga regleringen av sådan automatiserad behandling som i dag görs i uppgiftssamlingar för gemensamt bruk, dvs. personregister och ärendehanteringssystem, från den automatiserade behandling av uppgifter som förbehålls enskilda tjänstemän eller avgränsade projektgrupper, t.ex. ordbehandling och vanlig
I teorin skulle en databas för en viss verksamhet kunna delas in i två undergrupper. Databaser, som vi ser dem, kan nämligen sägas bestå av dels en eller flera samlingar av enskilda kortfattade uppgifter som används för att få fram underlag till beslut i verksamheten (informationsdatabaser), dels handlingar som kommer in eller upprättas i ett ärende och som bearbetas och lagras i ett ärendehanteringssystem (ärendedatabaser). Traditionellt har personregister i praktiken utgjorts av egentliga informationsdatabaser, men i och med framväxten av avancerade ärendehanteringssystem har även ärendedatabaser under senare tid inordnats i lagstiftning om personregister i statlig verksamhet. Vi har emellertid inte funnit anledning att i den av oss föreslagna lagstiftningen göra någon begreppsmässig åtskillnad mellan olika funktioner i en databas. Däremot finns det enligt vår mening skäl för att i vissa delar ha olika regler för de olika funktioner som består av å ena sida hanteringen av enskilda s.k. fältuppgifter, t.ex. namn och adress m.m., och å andra sidan hanteringen av elektronisk handlingar. Det gäller frågor om vilka uppgifter respektive elektroniska handlingar
199
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
som får registreras samt i vilken omfattning direktåtkomst skall tillåtas, och olika sökbegrepp få användas, till uppgifterna och handlingarna. Vi återkommer till detta längre fram i kapitlet.
Sammanfattningsvis måste det enligt vår mening finnas särskilda regler för sådan automatiserad behandling av personuppgifter som inte utgörs av vanlig ordbehandling e.d. och som inte är av helt tillfällig natur. Av integritetsskäl bör det skapas tydliga regler om vad som är tillåtet vid sådan behandling. För en databas bör därför särskilda bestämmelser gälla för vilka uppgifter som får behandlas, vilka sökbegrepp som får användas, när uppgifter får lämnas ut elektroniskt samt när uppgifterna skall gallras.
För den resterande behandlingen av uppgifter kan enligt vår uppfattning ett enklare regelverk vara tillräckligt. Det gäller alltså sådan mer tillfällig behandling som sker för den enskilde tjänstemannens bruk eller som i vart fall är förbehållen avgränsade projektgrupper e.d. på ett sådant sätt att uppgifter inte kan sägas användas gemensamt i den brottsbekämpande verksamheten.
11.2.2Gränsdragningen mellan gemensam behandling i en databas och annan behandling av uppgifter
För att begreppet databas skall vara praktiskt användbart på vissa särreglerade uppgiftssamlingar inom Tullverket, krävs att det är möjligt att avgöra var gränslinjen går mellan behandling i en databas för gemensamt bruk och annan mer avgränsad behandling, t.ex. vanlig ordbehandling.
En grundläggande förutsättning för att en elektroniskt lagrad uppgift skall anses ingå i en databas, är enligt vår mening att uppgiften används gemensamt i en viss verksamhet för de ändamål som styr behandlingen av uppgifter inom verksamheten. Det väsentliga är inte på vilket sätt uppgiften tekniskt lagras, utan den faktiskt åsyftade tillgängligheten. Det avgörande för om en uppgift används gemensamt inom Tullverkets brottsbekämpande verksamhet och därmed utgör en beståndsdel i en tullbrottsdatabas, är således om den behandlas på ett sätt som medför att den utgör ”allmän egendom” i verksamheten. Att olika personalkategorier kan ha olika behörighet och att vissa uppgifter därför i praktiken är åtkomliga endast för ett begränsat antal personer inom Tullverket, förtar enligt vår uppfattning i sig inte uppgifternas egenskap som
200
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
gemensamma. Detsamma gäller om vissa uppgifter görs åtkomliga endast för handläggare inom en viss region vid Tullverket.
Vi anser att det bör finnas en gemensam databas för den brottsbekämpande verksamheten inom Tullverket. Det betyder dock inte att en uppgift nödvändigtvis måste vara tillgänglig hos samtliga enheter vid samtliga regioner för att ingå i databasen. Det är tillräckligt att en uppgift görs tillgänglig för handläggarna vid en viss region. En uppgift som registreras och lagras i ett datorsystem på ett sådant sätt att tjänstemännen inom en eller flera regioner har möjlighet att vid behov och i olika sammanhang – t.ex. i samband med handläggningen av förundersökningsärenden eller vid framtagandet av riskprofiler i underrättelseverksamhet – ta del av uppgiften direkt på automatiserad väg måste således anses gemensamt tillgänglig. Uppgiften utgör därmed en del av en databas. Detta är vad som gäller i dag för de uppgifter som lagras inom ramen för olika författningsreglerade personregister hos Tullverket. Som exempel kan nämnas underrättelseregistret, tullmålsjournalen samt beslags- och analysregistret.
En uppgift som lagras elektroniskt på hårddisken i en dator eller i en server i samband med att en tjänsteman arbetar med ordbehandling, och som normalt är åtkomlig endast för tjänstemannen själv och exempelvis systemadministratören vid myndigheten, kan däremot inte anses vara gemensamt tillgänglig. Syftet med sådan tillfällig behandling är inte att uppgifterna som lagras i datorn skall användas av andra än den som utför behandlingen. Det förhållandet att systemadministratören – eller en annan tjänsteman vid Tullverket – kan få åtkomst till uppgiften genom ett visst tekniskt förfarande, kan inte anses innebära att uppgiften som sådan är lagrad för att användas gemensamt i verksamheten. Inte heller innebär det förhållandet att en uppgift behandlas tillfälligt i en dator med det uttalade syftet att den senare skall ”matas in” i systemet och göras gemensam, att den är en del av databasen. Däremot kommer uppgiften att omfattas av det särskilda regelverket för en databas när den väl är registrerad i det gemensamma systemet. Ett exempel på en sådan situation kan vara att en sammanställning av inkomna tips arbetas fram med hjälp av ordbehandling och därefter registreras i ett allmänt underrättelseregister som är gemensamt tillgängligt för tullens underrättelsesektioner.
I de flesta fall ser vi inga problem med att bedöma om en uppgift behandlas gemensamt eller inte. I princip görs samma gränsdrag-
201
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
ning redan i dag när det skall avgöras om en uppgift ingår i ett visst författningsreglerat personregister eller inte. En tjänsteman på Tullverket kan utan svårigheter avgöra om han eller hon för tillfället arbetar med uppgifter direkt i ett gemensamt personregister som underrättelseregistret eller med uppgifter i ett ordbehandlingsdokument. Det kan förväntas, och ställas krav på, att datorsystemen inom en myndighetsorganisation konstrueras på ett sådant sätt att några tvivel om huruvida en viss uppgift ingår i en databas inte uppstår i samband med att den förs in. Den personuppgiftsansvarige har naturligtvis, tillsammans med ansvarig systemleverantör, också ett ansvar för att gränsdragningsproblem inte uppstår på grund av brister i den tekniska utformningen av ett datorsystem.
Det kan emellertid förekomma situationer där gränsdragningen mellan behandling i databaser och annan behandling inte vid en första anblick är helt självklar. Det gäller främst när de behandlade uppgifterna inte ingår i ett för Tullverket gemensamt nätverk, men ändå är tillgängliga för flera tjänstemän inom en eller flera tullregioner. Som exempel kan tas den situationen att en projektgrupp – bestående av ett antal tjänstemän vid en eller flera regioner – samarbetar i ett underrättelseprojekt för att kartlägga en viss typ av smuggling. Att en sådan grupp tjänstemän gemensamt behandlar uppgifter i t.ex. tillfälligt upprättade projektregister, medför inte att uppgifterna kan anses ingå i tullbrottsdatabasen. När en projektgrupp är avgränsad på ett sådant sätt att det kan förutses att endast ett begränsat antal personer kan ta del av de uppgifter som behandlas och detta sker för ett begränsat och bestämt syfte, kan uppgifter enligt vår mening nämligen inte anses gemensamt använda inom Tullverket. Om uppgifterna däremot behandlas i ett för myndigheten gemensamt system, t.ex. i ett allmänt underrättelseregister, och åtkomsten till uppgifterna inte är begränsad till projektgruppen utan även andra tjänstemän kan ta del av dem för olika syften, måste behandlingen anses ske inom den rättsliga ramen för databasen.
När uppgifter som är införda i ett datorsystem och gemensamt tillgängliga i en viss verksamhet, dvs. ingår i en databas, sambearbetas med varandra i det gemensamma systemet, skall behandlingen göras i enlighet med det för databasen gällande regelverket. Som exempel kan nämnas att en tullkriminalenhet gör sammanställningar av icke avslutade förundersökningar gällande en viss typ av brott, genom att i ett sökprogram som används i ett gemensamt
202
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
ärendehanteringssystem ge variabler som utgörs av uppgifter införda i databasen, t.ex. brottsrubricering och uppgift om att handläggning inte är avslutad. Framtagandet av en sådan sammanställning utgör en eller flera behandlingar i databasen och de särskilda bestämmelserna som gäller för sådan behandling skall därför tillämpas.
Om däremot uppgifter som är införda i en databas sambearbetas med externa uppgifter – dvs. uppgifter som inte är registrerade i databasen – genom att hämtas från databasen och därefter, utanför det gemensamma systemet, behandlas tillsammans med de externa uppgifterna, skall i stället de allmänna bestämmelserna om behandling av personuppgifter i myndighetens verksamhet tillämpas. En sådan situation kan uppstå när en tjänsteman vill jämföra eller på andra sätt bearbeta uppgifter som samlats in i ett underrättelseprojekt med uppgifter som tidigare har förts in i ett underrättelseregister i databasen. Uppgifter som ingår i databasen kan då i förväg kopieras från det gemensamma datorsystemet till en dator som används av en enskild tjänsteman eller en avgränsad grupp av tjänstemän och därefter behandlas tillsammans med de externa uppgifterna. Exempelvis kan tidigare registrerade namn och uppgifter om personer hämtas från det gemensamma systemet för att arbetas in i ett tillfälligt register som används i ett särskilt underrättelseprojekt och därför är tillgängligt endast för en avgränsad grupp tjänstemän. Situationen kan jämföras med att uppgifter i en databas lämnas ut på medium för automatiserad behandling till en utomstående myndighet och därefter behandlas i den senares verksamhet. Även i en sådan situation kommer andra bestämmelser att gälla när uppgifterna ”lämnat” databasen. Det skulle emellertid strida mot syftet med den föreslagna lagstiftningen att kopiera delar av en databas och vid sidan av det gemensamma datorsystemet utföra behandlingar som normalt utförs i systemet, endast för att på det sättet kringgå bestämmelser som gäller för behandling av uppgifter i databasen.
Det är inte möjligt att i lagstiftningen dra någon exakt gräns för när en viss behandling skall anses ske i en databas och därmed omfattas av det särskilda regelverket för denna. Inte minst beror detta på att det inte är möjligt att förutse den tekniska utvecklingen inom datorområdet och de möjligheter som kan komma att öppna sig i fråga om informationsöverföring. Enligt vår uppfattning måste det från fall till fall avgöras om uppgifter som behandlas automati-
203
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
serat är gemensamma eller inte. Svårigheterna med att göra den bedömningen skall dock inte överdrivas.
Sammanfattningsvis är det enligt vår mening en grundläggande förutsättning för att elektroniskt lagrade uppgifter skall anses ingå i tullbrottsdatabasen, att uppgifterna av en eller flera regioner inom Tullverket används gemensamt i en viss verksamhet för de ändamål som skall styra behandlingen av uppgifter inom den brottsbekämpande verksamheten.
Särskilt om koncept och minnesanteckningar m.m.
Enligt 2 kap. 3 § tryckfrihetsförordningen är en handling allmän när den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. Handlingar i form av upptagningar som kan uppfattas endast med hjälp av tekniskt hjälpmedel, t.ex. elektroniskt lagrade uppgifter, anses förvarade hos en myndighet om upptagningarna är tillgängliga för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att de kan läsas eller på annat sätt uppfattas. Enligt 2 kap. 6 och 7 §§ tryckfrihetsförordningen är en handling upprättad hos en myndighet när den har expedierats av myndigheten, medan den – i fråga om tekniska upptagningar – anses inkommen till en myndighet när den har gjorts tillgänglig där på ett sådant sätt att den kan anses förvarad av myndigheten. Av 2 kap. 9 § framgår att minnesanteckningar och koncept inte anses som allmänna handlingar, om de inte expedieras eller tas om hand för arkivering.
Innebörden av nämnda bestämmelser är att upptagningar som görs gemensamt tillgängliga för flera myndigheter i ett datorsystem anses utgöra allmänna handlingar hos samtliga dessa myndigheter. Det spelar i det avseendet ingen roll om upptagningarna utgör en del av ett beslutskoncept eller minnesanteckningar. Om ett beslutskoncept görs gemensamt tillgängligt för flera myndigheter, utgör det alltså enbart av den anledningen en allmän handling. Att hantera elektroniska uppgifter på ett sådant sätt skulle emellertid inte ligga i linje med myndigheternas generella skyldighet att upprätthålla en god offentlighetsstruktur bland sina handlingar.
Med god offentlighetsstruktur avses grovt förenklat bl.a. att allmänna handlingar skall kunna särskiljas från arbetsmaterial och att offentliga handlingar skall kunna särskiljas från sådana som kan bli föremål för sekretess (en utförlig diskussion kring begreppet
204
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
god offentlighetsstruktur förs i Offentlighets- och sekretesskommitténs nyligen lämnade betänkande Ordning och reda bland allmänna handlingar, SOU 2002:97). Den gemensamma och effektiva användningen av datorsystem får därför inte sträckas så långt att beslutskoncept eller andra handlingar som inte fått sin slutliga utformning görs gemensamt tillgängliga. Detsamma gäller naturligtvis även för arbetsmaterial, minnesanteckningar o.d., som i många fall inte alls bör göras allmänna utan rensas innan handlingarna i ett ärende tas om hand för arkivering.
11.3Särskilt om uppgifter och handlingar i databasen
11.3.1Behandling av uppgifter
Vårt förslag: I tullbrottsdatabasen skall Tullverket få behandla uppgifter om personer för de primära ändamål som gäller för den brottsbekämpande verksamheten.
De kategorier av uppgifter som skall få behandlas i tullbrottsdatabasen skall anges uttryckligen i lag. Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om vilka uppgifter som får behandlas.
Uppgifter eller handlingar
Som framgår av avsnitt 11.2 definieras en databas som en samling uppgifter och handlingar som med hjälp av automatiserad behandling används gemensamt i en verksamhet. En begreppsmässig uppdelning görs således mellan elektroniska uppgifter och elektroniska handlingar, men någon definition av begreppen föreslår vi inte i lagen. Anledningen till detta är att det enligt vår bedömning varken är möjligt eller lämpligt att ge en exakt legaldefinition av begreppen. Att åtskillnad alls görs mellan uppgifter och handlingar beror på att vi i vissa avseenden föreslår skilda regler för behandlingen, t.ex. i fråga om direktåtkomst och sökbegrepp.
Med uppgifter avser vi enskilda ord eller mindre sammanställningar av ord som är bärare av en begränsad informationsmängd och som enligt särskilda fastställda rutiner kan registreras på ett bestämt sätt i ett datorsystem. Som exempel kan nämnas
205
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
enskilda uppgifter om namn och adress samt en större mängd uppgifter om de omständigheter och händelser som är orsaken till att uppgifter registreras om en person, vilka samtliga registreras som särskilda fältuppgifter i ett strukturerat system. Med handlingar avser vi något förenklat sammanställningar av uppgifter utan en i förväg klart fastställd struktur. Exempel på handlingar kan vara vanliga ordbehandlingsdokument eller
Personer om vilka uppgifter får behandlas
Personuppgifter definieras i personuppgiftslagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Förutom personuppgifter kan det i en databas vid Tullverket förekomma uppgifter som är hänförliga till juridiska personer. Gemensamt för i stort sett samtliga uppgifter är att de kan hänföras till någon eller några personer som är eller har varit föremål för åtgärder från Tullverkets sida eller som av andra skäl omfattas av verksamheten. Vad som gäller för uppgifter av rent teknisk eller administrativ karaktär återkommer vi till längre fram i detta avsnitt.
Eftersom ett av de främsta syftena med lagstiftning om behandling av personuppgifter är att skydda mot otillbörliga intrång i den personliga integriteten, måste enskilda direkt i lag kunna få en rimlig överblick av om de kan finnas registrerade vid Tullverket. Enligt vår mening bör det därför i lag slås fast för vilka personer det över huvud taget kan bli aktuellt att behandla personuppgifter eller andra uppgifter. Även om det inte på samma sätt går att åberopa integritetsskäl för det, bör enligt vår mening den för behandling aktuella personkretsen anges även i de fall då den registrerade är en juridisk person.
De personer om vilka uppgifter bör få behandlas i Tullverkets brottsbekämpande verksamhet är sådana som omfattas av verksamheten, så som den definieras genom de av oss föreslagna primära ändamålen för behandling av uppgifter. En genomgång av vilka personer det rör och hur uppgifter om dem får behandlas lämnas i avsnitt
206
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Uppgiftskategorier som får behandlas
I avsnitt 10.4 diskuterar vi frågan om detaljreglering av vilka uppgifter som får behandlas automatiserat vid Tullverket i den brottsbekämpande verksamheten. Vår inställning är att den främsta uppgiften för en lag om behandling av personuppgifter bör vara att slå fast grundläggande principer för behandlingen, inte att i detalj reglera vad som får registreras. Det främsta skälet för en sådan ordning är att det i de flesta fall – på grund av förändringar i materiell lagstiftning och verksamhetsinriktning – är omöjligt att förutse exakt vilka uppgifter en myndighet kan behöva registrera för att verksamheten skall fungera på ett tillfredsställande sätt. Detaljreglering i lag skulle leda till återkommande lagändringar efter hand som nya uppgifter behöver tillföras. För att en sådan detaljreglering av innehållet i en databas skall kunna undvikas krävs dock enligt vår uppfattning att de ändamål för vilka uppgifter får behandlas är tydliga och konkreta (se avsnitt 11.1.4).
Vi är även av den bestämda uppfattningen att det är viktigt att uppgifter får registreras endast för att tillgodose de primära ändamålen med en databas, nämligen att vara till hjälp i den verksamhet som den registrerande myndigheten bedriver. Uppgifter skall således inte få föras in i en viss databas endast av det skälet att de kan vara till nytta för andra myndigheter än den som är personuppgiftsansvarig. Ett motsatt ställningstagande skulle enligt vår uppfattning kunna leda till en icke önskvärd sammanblandning av uppgifter som behandlas på automatiserad väg inom olika verksamheter. Detta markeras av att det uttryckligen anges att uppgifter får behandlas i databasen för de i lagen angivna primära ändamålen.
För att det redan på en övergripande nivå skall gå att utläsa vad som finns eller kan finnas registrerat om enskilda i en databas, bör enligt vår mening i lag anges en ram för det tillåtna vid sidan av ändamålsbestämmelserna. Vi anser det lämpligt att ange vilka kategorier av uppgifter som får finnas i en databas, medan en närmare beskrivning av vilka uppgifter som ingår i varje kategori – om en sådan precisering behövs – bör återfinnas i en förordning eller i myndighetsföreskrifter. Vi föreslår att det i en kompletterande förordning anges att det åligger Tullverket att meddela de närmare föreskrifter som behövs om vilka uppgifter som får behandlas i tullbrottsdatabasen.
207
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
De kategorier av uppgifter som enligt vår mening behöver kunna behandlas i tullbrottsdatabasen är följande.
–uppgifter om en fysisk persons identitet, arbetsplats och yrke samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
–uppgifter om en juridisk persons identitet, firmatecknare, säte och verksamhet samt adress, telefonnummer och andra liknande uppgifter som behövs för kommunikation med personen,
–upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet,
–de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas,
–uppgifter om särskilda fysiska kännetecken,
–uppgifter om varor, brottshjälpmedel och transportmedel,
–varning om att en person tidigare varit beväpnad, våldsam eller flyktbenägen,
–ärendenummer, ärendekoder, ärendemening och andra uppgifter som beskriver ett ärende,
–händelser och åtgärder i ett ärende,
–uppgifter som är nödvändiga för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete, samt
–hänvisning till andra brottsbekämpande myndigheters databaser eller register i vilka det finns uppgifter om en person som förekommer i Tullverkets verksamhet.
Känsliga personuppgifter
Vid behandling av personuppgifter intar känsliga personuppgifter en särställning. Vad som avses är uppgifter om en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Vi redovisar i avsnitt 11.4.1 hur vi anser att sådana uppgifter skall hanteras vid behandling i Tullverkets brottsbekämpande verksamhet. Redan här kan emellertid påpekas att vi för behandling i tullbrottsdatabasen föreslår särskilda regler om hur känsliga personuppgifter får hanteras i elektroniska handlingar (se avsnitt 11.3.2).
208
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Uppgiftsstrukturen i register
Vi redovisar i avsnitt 10.5 våra grundläggande tankar bakom ett system med en för verksamheten teknikneutral och gemensam databas i stället för en reglering av skilda register. Innebörden är att Tullverket inom ramen för tullbrottsdatabasen får föra de skilda register man önskar, under förutsättning att behandlingen utförs i enlighet med ändamålen för databasen och att endast de uppgifter som får behandlas förekommer i registren. Det finns med andra ord inga hinder mot att inrätta t.ex. ett kombinerat spanings- och underrättelseregister i stället för ett spaningsregister och ett underrättelseregister. Förutsättningen för ett sådant gemensamt register är dock att det klart och tydligt framgår för vilket ändamål en uppgift har registrerats. Vi återkommer till denna fråga i avsnitt 11.4.5.
Administrativa och tekniska uppgifter
Tidigare har det i registerförfattningar och tillstånd från Datainspektionen angetts att ett personregister får innehålla de administrativa och tekniska uppgifter som behövs för den aktuella verksamheten.
Behandling av uppgifter som inte kan hänföras till de registrerade personer som omfattas av Tullverkets brottsbekämpande verksamhet, utan endast till den administrativa skötseln av denna verksamhet, omfattas inte av den av oss föreslagna lagen. Enligt vår uppfattning utgör behandlingen av sådana uppgifter nämligen ett led i myndigheternas administrativa verksamhet (se avsnitt 10.3). Vid behandling av sådana uppgifter skall i stället personuppgiftslagen tillämpas. Det hindrar emellertid inte att administrativa uppgifter behandlas i samma datorsystem som de uppgifter vilka används gemensamt för den materiella verksamheten. Administrativa uppgifter kan därför behandlas tillsammans med andra uppgifter i tullbrottsdatabasen utan särskilt stöd i den av oss föreslagna lagen, under förutsättning att behandlingen sker i enlighet med ändamålen för databasen. Som exempel på vad vi anser utgöra rent administrativa uppgifter kan nämnas uppgift om till vilken enhet eller sektion ett visst ärende hör, uppgift om vem som handlägger ett visst ärende eller uppgift om vilka specialkunskaper en handläggare besitter. Sådana uppgifter kan enligt vår
209
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
uppfattning inte hänföras till en enskild person som omfattas av en viss verksamhet, utan de behandlas endast i syfte att fördela ärenden och kontrollera hanteringen inom Tullverket. Däremot utgör en administrativ uppgift om en handläggare självfallet en personuppgift om handläggaren själv. De nu nämnda uppgifterna bör enligt vår mening, utan hinder av att det inte anges i lag, kunna behandlas tillsammans med andra uppgifter i ett ärende.
Vissa uppgifter som behandlas av administrativa skäl, kan emellertid samtidigt utgöra verksamhetsanknutna personuppgifter. Det kan t.ex. gälla en uppgift om särskild sekretessmarkering som registreras i samband med andra uppgifter om en person, och för vilken särskild försiktighet skall iakttas i samband med utlämnande. För sådana uppgifter bör vår lagstiftning vara tillämplig. Vi anser dock inte att det är nödvändigt att i lagstiftningen uttryckligt ange att sådana i första hand administrativa uppgifter får behandlas i tullbrottsdatabasen.
Avgörande för bedömningen av om en administrativ uppgift som behandlas i ett gemensamt datorsystem omfattas av bestämmelserna i vårt lagförslag, är således om uppgiften även kan anses utgöra personuppgift som har anknytning till den materiella verksamheten. Frågan om en uppgift i tullbrottsdatabasen anses utgöra en rent administrativ uppgift eller om den även utgör en verksamhetsanknuten personuppgift, har betydelse för om information enligt 26 § personuppgiftslagen skall lämnas eller inte med stöd av vårt lagförslag. Informationsskyldigheten avser nämligen endast personuppgifter om den som begär informationen och således inte rent administrativa uppgifter. En person som begär information skall med andra ord inte få ut uppgifter om handläggarens semesterschema o.d. För en verksamhetsanknuten personuppgift skall däremot de särskilda bestämmelser som vi föreslår om information tillämpas (se avsnitt 11.9.1).
Som vi nämner ovan kan emellertid även rent administrativa uppgifter utgöra personuppgifter. Exempelvis är en uppgift om en tjänstemans specialkunskaper en personuppgift om tjänstemannen. Om denne av sin arbetsgivare begär information enligt 26 § personuppgiftslagen, skall informationen därmed omfatta också sådana uppgifter. I ett sådant fall skall emellertid inte de särskilda bestämmelserna om information i vårt lagförslag tillämpas, utan det är i stället bestämmelserna i personuppgiftslagen som gäller.
Behandling av uppgifter av teknisk karaktär som används uteslutande eller huvudsakligen för att ett datorsystem skall
210
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
fungera, t.ex. koder som anger på vilket sätt en viss uppgift skall lagras i systemet, anser vi inte heller behöver regleras särskilt. Sådana uppgifter har inte någon egentlig anknytning till innehållet i en databas utan utgör närmast en del av de tekniska lösningarna i ett datorsystem, och får således registreras utan att det anges i den av oss föreslagna lagen. En förutsättning är dock att de tekniska uppgifterna, ensamma eller tillsammans med andra uppgifter, inte tillför någon sakinformation som kan hänföras till de registrerade personerna. En uppgift om t.ex. ärendetypskod utgör med andra ord inte en teknisk uppgift i den nu avsedda bemärkelsen.
11.3.2Elektronisk ärendehantering
Vårt förslag: Elektroniska handlingar som kommer in till eller upprättas av Tullverket i ett ärende skall få behandlas i tullbrottsdatabasen.
Den enda begränsningen av vilka uppgifter som skall få behandlas i elektroniska handlingar gäller känsliga personuppgifter i handlingar som upprättas av Tullverket.
Traditionellt kan ärendehantering hos en myndighet beskrivas på följande, mycket översiktliga, sätt. Handlingar som kommer in till eller upprättas hos myndigheten, och som kan hänföras till ett visst ärende, samordnas i en för ärendet särskilt upprättad akt. De handlingar som kommer in kan vara ansökningar, kompletteringar, intyg och sakuppgifter m.m. De av myndigheten upprättade handlingarna kan bestå av förfrågningar, förelägganden, tjänsteanteckningar efter muntliga kompletteringar samt beslut m.m. I normalfallet utgörs handlingarna i ett ärende av pappersark med text. Undantagsvis kan det dock röra sig om fotografier eller tekniska upptagningar, t.ex. kassett- eller videoband med inspelade förhör eller liknande. Oavsett karaktären på handlingarna består de på något sätt av materiella objekt (pappersark, kassetter osv.) som kan samordnas och systematiseras i en akt.
Den beskrivna ordningen tillämpas ofta även när en myndighet använder datorer, genom att upprättade handlingar som utformas elektroniskt i ett ordbehandlingsprogram tillförs ärendeakten i form av pappersutskrifter. Den elektroniska information som skapas, och ofta lagras, i datorn utgör alltså inte i egentlig mening
211
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
en del av akten. Normalt måste sådan information enligt vår mening anses som arbetsmaterial och utgör därför inte allmänna handlingar, om inte informationen expedieras eller tas om hand för arkivering (jfr 2 kap. 9 § tryckfrihetsförordningen).
I och med datoriseringen har nya rutiner för ärendehantering utvecklats. I dag förekommer det att handlingar i ärenden kommer in till myndigheter i elektronisk form. Det kan gälla t.ex. ansökningar eller deklarationer som lämnas in på diskett, genom fasta uppkopplingar på telenätet eller via vanlig
De på det beskrivna sättet inkomna och upprättade elektroniska handlingarna i ett visst ärende kommer att ingå i vad som kan kallas en elektronisk akt i datorsystemet. De elektroniska handlingarna utgör då normalt inte arbetsmaterial, utan är allmänna handlingar. En elektronisk akt måste naturligtvis vara sammanhållen på ett sätt som motsvarar en fysisk akt för pappershandlingar, t.ex. genom att allt material i de elektroniska akterna kan göras samlat tillgängligt med hjälp av sökbegrepp, ofta i form av ärendebeteckningar eller liknande.
Den elektroniska ärendehanteringen väcker många olika frågor. Bland annat kan äktheten hos de lagrade handlingarna vara svår att fastställa. Det kan även vara svårt att avgränsa vad som ingår i en elektronisk akt. Vidare finns det grundläggande problem med att fastställa vad som egentligen är en elektronisk akt, en elektronisk handling eller ett elektroniskt dokument.
Vad är elektroniska dokument, handlingar och akter?
Vad som avses med elektroniska handlingar och elektroniska dokument har diskuterats i flera sammanhang, bl.a. i TDL- utredningens betänkande Tullregisterlag m.m. (SOU 1989:20), Datastraffrättsutredningens betänkande Information och den nya InformationsTeknologin (SOU 1992:110), Finansdepartementets promemoria Elektronisk dokumenthantering inom skatteförvaltningen (Ds 1994:80),
212
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39), Statskontorets publikation Elektronisk ärende- och dokumenthantering (1997:8), Registerförfattningsutredningens betänkande Skatt – Tull – Exekution – Normer för behandling av personuppgifter (SOU 1999:105) samt Domstolsdatautredningens slutbetänkande Informationshantering och behandling av uppgifter vid domstolar – En rättslig översyn (SOU 2001:100).
Begreppet elektroniskt dokument har efter diskussionerna kring elektronisk dokumenthantering sedan en tid tillbaka lagreglerats. Begreppet återfinns i ett antal olika lagar, t.ex. tullagen (1994:1550) och lagen (1990:325) om självdeklaration och kontrolluppgifter, och har i det närmaste fått en enhetlig definition. Ett elektroniskt dokument kan med stöd av nämnda lagar definieras som en upptagning som gjorts med hjälp av automatiserad behandling och vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande. Vad som mer precist avses med ett elektroniskt dokument har däremot inte reglerats i lagtext. Det gäller främst vilket tekniskt förfarande som skall användas för att innehåll och utställare skall kunna verifieras. Vad som är klart är att ett elektroniskt dokument som är infört i ett datorsystem skall vara låst till sitt innehåll. Den som läser dokumentet (på utskrift eller terminal) skall med andra ord kunna vara säker på att det är originalinnehållet som återges. Likaså skall det vara möjligt att fastställa vem som har upprättat eller sänt in ett elektroniskt dokument. Den tekniska verifieringen av utställaren skall alltså motsvara en namnteckning eller annan identifieringsuppgift på ett pappersdokument.
Begreppet elektronisk handling som sådant finns i dag inte definierat i författningstext.
213
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
handlingar finns däremot inte. Genom vad som framförts i olika sammanhang torde allmänt kunna konstateras att med elektroniska handlingar avses alla elektroniskt lagrade meddelanden eller innehållsmässigt sammanhängande upptagningar i ett ärende. Det kan röra sig om elektroniska avbildningar av pappershandlingar – bildfångade och skannade handlingar – eller handlingar som direkt har upprättats elektroniskt. Båda kategorierna kan vara låsta, dvs. tekniskt utformade så att innehåll och eventuell utställare kan verifieras, eller icke låsta. Med låsta handlingar avses då elektroniska dokument och med icke låsta handlingar avses alla övriga elektroniska handlingar som inte utgör elektroniska dokument.
Begreppet elektronisk akt har i ovan nämnda lagstiftningsärenden närmast använts som en samlingsbeteckning på de elektroniska handlingar som har kommit in eller upprättats i ett visst ärende. Jämförelser har även gjorts med de fysiska akter som upprättas vid traditionell ärendehantering, men någon mer ingående analys av begreppet har inte gjorts.
Elektronisk ärendehantering i Tullverkets brottsbekämpande verksamhet
Till skillnad mot vad som gäller i Tullverkets fiskala verksamhet, förekommer det i dag ingen egentlig elektronisk dokument- eller akthantering i Tullverkets brottsbekämpande verksamhet. Däremot upprättas ofta elektroniska handlingar med hjälp av ordbehandling. När vi nu föreslår en ny och teknikoberoende lagstiftning anser vi att hänsyn måste tas till att nya datorsystem kan komma att innefatta i första hand hantering av icke låsta elektroniska handlingar. På sikt är det emellertid rimligt att anta att även elektronisk dokumenthantering kommer att införas i verksamheten. Som ett möjligt exempel kan nämnas att beslut i förundersökningar upprättas elektroniskt i form av dokument som förses med elektroniska signaturer. De upprättade dokumenten låses därigenom till sitt innehåll och utgör i sig allmänna handlingar. Det som sedan tas ut i pappersform utgör således endast utskrifter av de elektroniskt lagrade originaldokumenten. Det är också realistiskt att tänka sig att olika handlingar i form av elektroniska dokument med tiden kommer in till Tullverket från i första hand andra brottsbekämpande myndigheter.
214
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Vi föreslår därför att en elektronisk handling som har kommit in till eller har upprättats av Tullverket i ett ärende, skall få behandlas i tullbrottsdatabasen. Det innebär att det blir rättsligt möjligt för Tullverket att i den brottsbekämpande verksamheten arbeta med elektroniskt upprättade och till innehållet låsta beslut, att ta emot elektroniska dokument från myndigheter m.fl. samt att skanna inkomna pappershandlingar och lagra dem elektroniskt som bilder i en databas. Härigenom finns förutsättningar för att i framtiden införa en långtgående elektronisk ärendehantering, som t.ex. kan leda till att originalhandlingar endast finns i elektronisk form och att pappersutskrifter endast är kopior av originalen.
Förutom elektroniska dokument är vår avsikt att även andra elektroniska handlingar skall omfattas av bestämmelserna. Det innebär bl.a. att inkommen eller skickad
Hanteringen av elektroniska akter innebär emellertid att det ställs krav på särskilda rättsliga överväganden av såväl insynssom integritetsskäl. Den viktigaste orsaken till detta är att det med en utbyggd elektroniskt dokumenthantering inte går att sätta upp detaljerade regler för vilka uppgifter som får registreras, eftersom dokument och andra handlingar innehåller det skribenten väljer att skriva. En viktig fråga som uppkommer vid hantering av elektroniska handlingar är om det skall gälla särskilda regler för behandlingen av känsliga personuppgifter, elektroniskt utlämnande, direktåtkomst, sökmöjligheter och gallring. En annan viktig fråga är säkerhetsaspekten, bl.a. hur man skall utforma tekniska lösningar som garanterar äktheten hos elektroniska dokument. Den sistnämnda frågan är det emellertid inte vår sak att utreda. Frågor om direktåtkomst till eller annat utlämnande av, sökmöjligheter efter och gallring av elektroniska handlingar återkommer vi till längre fram i avsnitt
215
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Begränsning av känsliga personuppgifter i elektroniska handlingar
Vid all behandling av personuppgifter intar frågor om behandling av känsliga personuppgifter enligt personuppgiftslagen en särställning, genom att sådana uppgifter i princip får behandlas endast efter samtycke av den enskilde eller med särskilt författningsstöd. Allmänt gäller att stor försiktighet bör iakttas vid hanteringen av känsliga personuppgifter. Vi föreslår därför att känsliga personuppgifter endast under vissa bestämda förutsättningar skall få behandlas i den brottsbekämpande verksamheten (se avsnitt 11.4.1). När elektroniska handlingar upprättas av Tullverket skall dessa särskilda regler tillämpas på samma sätt som för vilken annan behandling som helst. Någon annan begränsning av vilka uppgifter som får förekomma i upprättade handlingar föreslås inte. Det är dock naturligtvis ett krav att all behandling, även i elektroniska handlingar, sker i överensstämmelse med de ändamål som gäller för behandling av uppgifter i den brottsbekämpande verksamheten.
Vid behandling av uppgifter i till Tullverket inkomna handlingar, som ett led i elektronisk ärendehantering, är det inte möjligt att ha ens den begränsande bestämmelse avseende känsliga personuppgifter som vi föreslår för upprättade handlingar. Om en handling sänds in till Tullverket i elektronisk form för att lagras i ett datorsystem, är det nämligen inte tillåtet för verket att ”censurera” innehållet genom att ta bort eventuella känsliga personuppgifter. En handling måste naturligtvis få lagras i den form den kommer in för att ett system med elektronisk ärendehantering skall kunna fungera. Samma problem uppkommer när handlingar i och för sig kommer in till Tullverket i pappersform, men där skannas eller bildfångas för att en kopia skall lagras som en del i en elektronisk akt. Vi anser därför att det inte är möjligt att ha några begränsande bestämmelser över huvud taget av vilka uppgifter som får hanteras i tullbrottsdatabasen när det gäller inkomna handlingar i ärenden.
De integritetsproblem som kan uppstå vid hanteringen av elektroniskt lagrade handlingar, inkomna eller upprättade, måste i stället lösas genom begränsningar i möjligheterna att söka efter uppgifter och att få tillgång till dem genom direktåtkomst (se avsnitt 11.6 och 7).
216
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
11.4Behandling för skilda ändamål
I avsnitt 11.1.4 redovisar vi kort för vilka ändamål vi anser att uppgifter primärt skall få behandlas i Tullverkets verksamhet, nämligen när det behövs för att förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott, för att fullgöra internationellt tullsamarbete samt för att planera, följa upp och utvärdera verksamheten. När det gäller det sist nämnda ändamålet bör enligt vår bedömning inga egentliga problem uppstå vid behandlingen av personuppgifter, eftersom det är fråga om administrativ hantering av de egentliga verksamheterna. Det är med andra ord inte fråga om att för brottsbekämpande ändamål behandla personuppgifter om utomstående på ett sådant sätt att integritetsproblem kan uppstå.
Med övriga ändamål förhåller det sig annorlunda och det finns därför skäl att närmare redovisa vår syn på vad som omfattas av de olika ändamålen och hur uppgifter enligt vår uppfattning bör få behandlas i den gemensamma tullbrottsdatabasen eller på annat sätt. För behandling av känsliga personuppgifter gäller gemensamma bestämmelser oavsett för vilket ändamål uppgifterna behandlas.
11.4.1Gemensamma bestämmelser om behandling av känsliga personuppgifter
Vårt förslag: Uppgifter om en person skall inte få behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv
(känsliga personuppgifter).
Om uppgifter om en person behandlas på annan grund skall de emellertid få kompletteras med känsliga personuppgifter, när det är oundgängligen nödvändigt för syftet med behandlingen.
Enligt 13 § personuppgiftslagen är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Med känsliga personuppgifter avses uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana uppgifter måste behandlas i
217
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
offentlig verksamhet utan samtycke, behövs det i författning särskilda bestämmelser för i vilka fall det får göras. Vi anser att Tullverket i den brottsbekämpande verksamheten bör ha samma möjligheter att registrera och på annat sätt behandla sådana uppgifter som verket har i dag.
Vi föreslår därför att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det innebär exempelvis att det inte är tillåtet att i underrättelseverksamhet föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.
Om uppgifter om en person däremot behandlas på annan grund måste de få kompletteras med känsliga personuppgifter när det är nödvändigt för syftet med behandlingen. Som exempel kan nämnas att en person är aktuell i en förundersökning. Om det är absolut nödvändigt för handläggningen av ärendet får de övriga uppgifterna i förundersökningen kompletteras med känsliga personuppgifter, exempelvis om den misstänktes hälsotillstånd. Känsliga personuppgifter kan även få behandlas i underrättelse- och gränskontrollverksamheten. Om Tullverket får ett tips från allmänheten om en person som troligen smugglar narkotika, måste anteckningar naturligtvis få göras om sådant som är nödvändigt för att underlätta identifiering vid gränsen, exempelvis fysiska kännetecken som rör hälsa och etniskt ursprung. Även i den informationsbearbetning som äger rum i underrättelseverksamheten måste det vara tillåtet att anteckna känsliga personuppgifter om personer som på saklig grund är misstänkta för att bedriva brottslig verksamhet, under förutsättning att de känsliga uppgifterna är nödvändiga för att få fram den fullständiga underrättelseinformation som behövs.
Vi anser att en bestämmelse om känsliga personuppgifter skall vara generell, dvs. den bör gälla för behandling i tullbrottsdatabasen såväl som för annan behandling. Det bör inte heller spela någon roll för vilka ändamål uppgifterna behandlas, utan samma regler skall gälla för underrättelseverksamhet som i förundersökningar. Vi föreslår emellertid ett undantag från begränsningen och det gäller vid behandling av inkomna elektroniska handlingar. I sådana handlingar kan Tullverket nämligen inte påverka innehållet (se avsnitt 11.3.2).
218
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
11.4.2Förhindra eller upptäcka brottslig verksamhet (underrättelseverksamhet m.m.)
Vårt förslag: Tullverket skall i sin underrättelseverksamhet och i annat arbete med att förhindra eller upptäcka brottslig verksamhet, få behandla uppgifter i särskilda gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen. Under vissa villkor skall enskilda tjänstemän eller grupper av tjänstemän dessutom i särskilda underrättelseprojekt m.m. få behandla uppgifter automatiserat på annat sätt än i den gemensamma databasen, t.ex. genom ordbehandling eller i tillfälliga register.
För behandling i gemensamma register i tullbrottsdatabasen skall uppgifter få behandlas om personer som kan antas ha samband med sådan misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer (allvarlig brottslig verksamhet). Vid behandlingen skall
–uppgifter om en fysisk person som själv inte misstänks bedriva brottslig verksamhet förses med upplysning om att sådan misstanke saknas,
–uppgifter om en fysisk person som endast misstänks bedriva brottslig verksamhet som inte är allvarlig förses med upplysning om att misstanke endast avser sådan mindre allvarlig brottslig verksamhet,
–uppgifter om en fysisk person förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak,
Vid behandling som inte utförs i gemensamma register i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän i särskilda underrättelseprojekt m.m., skall utöver de allmänna bestämmelser som tillämpas på all behandling också gälla att
–uppgifter om en person som det inte finns någon misstanke om brott mot får behandlas endast om det genom särskild upplysning eller på annat sätt klart framgår att personen inte är misstänkt för brott,
–uppgifter om att en person kan antas ha samband med brottslig verksamhet skall förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak.
219
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
I begreppet förhindra eller upptäcka brottslig verksamhet innefattas all egentlig brottsbekämpande verksamhet inom Tullverket som inte direkt kan knytas till en brottsutredning. Med brottsutredning avser vi arbete i eller i anslutning till en förundersökning eller annat ärende som omfattar utredning av ett konkret brott (se vidare i avsnitt 11.4.3). Det betyder att det främst är underrättelseverksamhet, men även annat brottsbekämpande arbete i samband med t.ex. gränskontroller, som kan omfattas av ändamålet att förhindra eller upptäcka brottslig verksamhet.
Vad är underrättelseverksamhet?
Underrättelseverksamhet i vid bemärkelse bedrivs av myndigheter av olika slag, från militära organ till skattemyndigheter. Generellt kan begreppet underrättelseverksamhet sägas innefatta all insamling, bearbetning och analys av information som vidtas i syfte att få underlag för åtgärder av något slag. Som en ytterligare del av underrättelseverksamhet ingår även delgivning av den bearbetade informationen till den som skall vidta de åsyftade åtgärderna.
I den lagstiftning som reglerar behandling av personuppgifter i brottsbekämpande verksamhet inom
I prop. 1997/98:11, om en ny lag om register i Tullverkets brottsbekämpande verksamhet, angavs att det med anledning av införandet av bl.a. särskilda underrättelseregister fanns anledning att avgränsa underrättelseverksamhet från annan verksamhet. Regeringen uppgav att målet med tullens underrättelseverksamhet är att förse spaningsverksamheten med underlag för spaning mot identifierade personer, varor eller transportmedel samt att förse kontrollverksamheten med så bearbetad och analyserad information att man kan styra kontrollerna mot misstänkta objekt. För att avgränsa tullens underrättelseverksamhet från allmän kontrollverksamhet ansågs det väsentligt att definiera underrättelseverksamhet och tydligt markera att det rör sig om verksamhet inriktad på informationsbearbetning. Därför infördes den definition av
220
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
underrättelseverksamhet som också återfinns i den i dag gällande lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.
Av förarbetena till de lagar om behandling av personuppgifter i brottsbekämpande verksamhet som gäller i dag, kan utläsas att en avgörande förutsättning för att det skall vara fråga om underrättelseverksamhet är att verksamheten bedrivs i ett skede där man ännu inte har misstankar som är så uttalade att det finns misstanke om ett konkret brott, men att det ändå finns misstankar om att det förekommer någon form av brottslighet. Av det sagda följer att verksamhet som utgör förundersökning inte samtidigt kan vara underrättelseverksamhet, eftersom en förundersökning skall inledas när det finns misstanke om, eller egentligen anledning att anta, att ett konkret brott har förövats.
De i dag gällande definitionerna av underrättelseverksamhet i brottsbekämpande verksamhet har medfört vissa problem vad gäller gränsdragningen mellan olika verksamheter. Polisdatautredningen har t.ex. pekat på oklarheter i vad som avses med att samla in, bearbeta och analysera information. Utredningen anför i betänkandet Behandling av personuppgifter i polisens verksamhet (SOU 2001:92, s. 199) bl.a. följande.
Det förefaller mycket svårt att upprätthålla någon klar gräns mellan de tre begreppen samla, bearbeta och analysera. Framför allt verkar det svårt att göra skillnad mellan bearbetning av uppgifter och analys av uppgifter. Begreppen framstår snarast som exemplifiering på vilken typ av polisverksamhet som avses.
Från integritetssynpunkt kan det också ifrågasättas varför skyddet enligt reglerna om behandling av personuppgifter i kriminalunderrättelseverksamhet skall träda in först när aktuella uppgifter analyseras. Det verkar mer naturligt att tillämpa de särskilda skyddsreglerna från det att uppgifterna samlas in.
Sammantaget ligger det nära till hands att uppfatta definitionen av kriminalunderrättelseverksamhet i 3 § polisdatalagen så att kriminalunderrättelseverksamhet är polisverksamhet som består i att samla, bearbeta eller analysera information för det syfte som anges i lagrummet.
En sådan tolkning av begreppet underrättelseverksamhet som Polisdatautredningen ger uttryck för, skulle innebära att begreppet har en mycket vid innebörd. I praktiken skulle det kunna leda till att all information som samlas in om eventuell brottslig verksamhet
221
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
utgör underrättelseverksamhet, under förutsättning att det inte sker som ett led i en förundersökning eller annan brottsutredning. Liknande problem som polisen har med avgränsningen mellan underrättelseverksamhet och annan verksamhet, förekommer också i Tullverkets brottsbekämpande verksamhet.
För att komma till rätta med de problem som finns i dag med definitionen av underrättelseverksamhet, föreslår vi att den utmönstras från lagstiftningen. Vårt förslag är i stället att behandling av uppgifter i underrättelseverksamhet skall få utföras inom ramen för ändamålet att förhindra eller upptäcka brottslig verksamhet. Vi redovisar nedan i detta avsnitt närmare hur behandling enligt vårt förslag skall få utföras i underrättelseverksamhet. I detta sammanhang kan nämnas att också Polisdatautredningen föreslår att den gällande definitionen av underrättelseverksamhet skall utmönstras. Utredningen talar i stället om polisens behandling av uppgifter om personer som det inte finns misstanke om brott mot.
Hur får underrättelseverksamhet bedrivas i dag?
Det finns inga bestämmelser i författning om när eller under vilka förutsättningar Tullverket får bedriva underrättelseverksamhet. Detsamma gäller även för övriga brottsbekämpande myndigheter. Däremot finns det för bl.a. tullen tydliga bestämmelser om när personuppgifter får behandlas automatiserat eller i annan strukturerad form i underrättelseverksamhet. Eftersom underrättelseverksamhet per definition består av just informationsbearbetning, torde det i praktiken innebära att sådan verksamhet kan bedrivas effektivt eller i större skala endast i den omfattning som det, automatiserat eller i annan strukturerad form, finns en rätt att behandla de personuppgifter som behövs.
Behandling av personuppgifter i tullens underrättelseverksamhet är i dag tillåten endast i två särskilt angivna fall.
Uppgifter får för det första behandlas inom ramen för en särskild undersökning (SUR). Med detta avses en undersökning i underrättelseverksamhet som består i insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott, om det finns anledning att anta att allvarlig brottslig verksamhet har utövats eller kommer att utövas.
222
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Ett beslut om att inleda en särskild undersökning skall fattas av chefen för Tullverket eller chefen för en tullregion eller, efter delegation, av annan chefstjänsteman.
För det andra får uppgifter i dag behandlas i ett särskilt underrättelseregister. Registreringen får göras dels för att ge underlag för ett beslut om särskild undersökning avseende allvarlig brottslig verksamhet, dels för att underlätta tillgången till allmänna uppgifter med anknytning till underrättelseverksamhet. Vilka uppgiftskategorier som får finnas i ett underrättelseregister är noggrant beskrivet i lag.
Annat arbete i dag med att förhindra och upptäcka brottslig verksamhet
Vid sidan av underrättelseverksamhet bedriver Tullverket olika former av annan brottsbekämpande verksamhet som inte avser utredning eller beivrande av konkreta brott, utan som har till ändamål att upptäcka eller förhindra brottslig verksamhet. Inom processen gränsskydd förekommer bl.a. arbete med selektering av tung trafik och containertrafik, ett arbete som har till syfte att med hjälp av t.ex. riskprofiler välja ut vissa transporter för kontroll. Verksamheten påminner i vissa delar om den som utförs i underrättelseverksamheten, även om den inte formellt hör till denna. Ett annat exempel är gränskontrollverksamheten som går ut på att kontrollera resande och fordon när dessa passerar gränsen, dvs. det man i normalt språkbruk kan kalla tullkontroller vid gränserna. Det arbetet har inslag av såväl fiskal som brottsbekämpande verksamhet. Brottsbekämpningen består i sin tur av såväl verksamhet med att förhindra eller upptäcka brottslig verksamhet som verksamhet med att utreda eller beivra brott. Ett exempel på den förra kan vara att en tulltjänsteman av någon orsak misstänker att det förekommer brottsligt förfarande vid passeringen av en gränsstation utan att kunna konkretisera misstankarna till ett visst brott. När ett brott efter kontroll har upptäckts och det kan bli fråga om att t.ex. beslagta smugglingsgods, är det däremot fråga om den senare verksamheten.
Sådant arbete med syfte att förhindra eller upptäcka brottslig verksamhet som nu nämnts, omfattas alltså av samma ändamålsbestämmelse som underrättelseverksamhet. Det är emellertid inom underrättelseverksamheten som det förekommer behandling av
223
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
personuppgifter i stor omfattning och av känslig karaktär. Den följande redovisningen är därför framför allt inriktad på just underrättelseverksamhet.
Behandling i tullbrottsdatabasen
Underrättelseverksamhet går ut på att samla relevant information om pågående eller framtida brottslig verksamhet för att kunna bearbeta och analysera den tillsammans med annan information. Syftet är att få fram underlag för åtgärder för att förhindra eller utreda brott samt för att klarlägga om det utövas eller kan komma att utövas brottslig verksamhet. Enligt vår uppfattning är det därför en absolut nödvändighet, för att Tullverket skall kunna bedriva en effektiv underrättelseverksamhet, att det ges möjlighet att lagra och bearbeta stora mängder underrättelseinformation i för myndigheten gemensamma register.
När uppgifter behandlas tillsammans i större register, eller informationsdatabaser, som är tillgängliga och sökbara för en stor grupp personer inom en eller flera myndigheter, uppstår alltid en risk för otillbörliga intrång i enskildas personliga integritet. Denna risk är särskilt påtaglig när registreringen avser personer som endast kan misstänkas för att ha begått eller för att komma att begå brott. När uppgifter skall behandlas i en sådan databas som vi föreslår för Tullverkets brottsbekämpande verksamhet, är det därför viktigt att det ställs höga krav på vilken information som får finnas i olika register.
I underrättelseverksamheten behöver Tullverket primärt behandla uppgifter om personer som är misstänkta för att vara inblandade i brottslig verksamhet. Detta är en självklarhet som knappast kan sättas i fråga. Mindre klart är om det finns anledning att i stora gemensamma register acceptera uppgifter som endast avser misstanke om ringa brottslighet. Vi gör den bedömningen att det i underrättelseregister m.m. inom tullbrottsdatabasens ram endast bör få förekomma uppgifter som är relevanta för att komma åt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer, dvs. det som i dag utgör definitionen på allvarlig brottslig verksamhet.
En annan väsentlig fråga är om det endast är de personer som själva kan misstänkas vara direkt inblandade i allvarlig brottslig verksamhet som skall få registreras. Enligt vår uppfattning är det
224
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
uppenbart att ett underrättelseregister inte kan fylla sitt syfte om det inte också får innehålla annan relevant information som har koppling till den misstänkta brottsliga verksamheten. Det kan röra sig om information avseende allt från vem som äger en viss fastighet som kan antas utan tillåtelse användas för brottslig verksamhet till personer ur allmänheten som har lämnat tips om misstänkta företeelser. Även uppgifter om juridiska personer kan komma i fråga. Många personer kan med andra ord vara av betydelse i underrättelseverksamhet utan att de själva är misstänkta för något. Vi anser att det avgörande för om information om en person skall få registreras måste vara att personen i fråga kan antas ha samband med allvarlig brottslig verksamhet, inte att personen själv är misstänkt.
Av integritetsskäl är det emellertid nödvändigt att det bland informationen i databasen går att skilja ut de uppgifter som rör misstänkta personer från de uppgifter som rör andra, kanske helt oskyldiga, personer som av någon anledning har samband med den brottsliga verksamheten. Vi föreslår därför att uppgifter om en fysisk person som själv inte misstänks bedriva brottslig verksamhet måste förses med en upplysning om att sådan misstanke saknas. Det skall alltså framgå att exempelvis en i underrättelseinformationen namngiven person som är ägare till en fastighet, vilken utan hans eller hennes vetskap används för olagliga aktiviteter, inte själv är misstänkt för inblandning i någon brottslig verksamhet.
När information samlas in i underrättelseverksamhet, t.ex. genom spaning, kan det även förekomma uppgifter om personer som kan misstänkas vara direkt inblandade i brottslig verksamhet, dock inte allvarlig sådan. Också sådana uppgifter måste få registreras i databasen, under förutsättning att personen kan antas ha något samband i övrigt med allvarlig brottslig verksamhet. Sådan information anser vi måste förses med en upplysning om att misstanken avseende just denna person endast gäller mindre allvarlig brottslig verksamhet.
En annan viktig upplysning i underrättelseinformation om en person är uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak. Av informationen skall alltså gå att utläsa om den som lämnat uppgifter som sedan registreras är tillförlitlig, eftersom informationslämnare kan vara allt från en polisman till en känd brottsling. Det skall även framgå om informationen t.ex. utgör kontrollerade fakta eller om det endast är icke styrkta gissningar. Detta ligger i linje med skyddsreglerna i Europarådets rekommen-
225
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
dation om användningen av personuppgifter inom polissektorn (jfr avsnitt 7.1.1). Enligt rekommendationen skall skilda kategorier av lagrade uppgifter så långt som möjligt kunna skiljas från varandra efter graden av riktighet och tillförlitlighet. I synnerhet skall uppgifter som grundar sig på fakta kunna skiljas från uppgifter som har sin grund i omdömen eller personliga värderingar.
Vilka uppgiftskategorier som får registreras i databasen, oavsett om det sker i exempelvis ett särskilt underrättelseregister eller i ett kombinerat spanings- och underrättelseregister, bör enligt vår uppfattning uttryckligen anges i lag. Vilka kategorier av uppgifter det rör sig om redovisar vi ovan i avsnitt 11.3.1. Förutom att samla information i särskilda informationsdatabaser eller register, kan det också finnas behov av att i underrättelseverksamhet m.m. behandla inkomna och upprättade elektroniska handlingar. Det blir aktuellt inte minst om, eller när, man inom Tullverket inför en mer ärendebaserad verksamhet och elektroniska ärendehanteringssystem. Vad som närmare avses med elektroniska handlingar redovisas i avsnitt 11.3.2. Under förutsättning att ett underrättelseärende rör misstanke om allvarlig brottslig verksamhet, anser vi att upprättade elektroniska handlingar skall få behandlas om de personer som kan antas ha samband med den brottsliga verksamheten. I det avseendet bör någon principiell skillnad inte göras mot vad som gäller för uppgiftsregistrering i register eller informationsdatabaser. Som vi nämner tidigare skall inkomna handlingar i ett ärende alltid få behandlas, oavsett innehåll.
För behandling av uppgifter och handlingar i databasen föreslår vi ett flertal regler utöver de som nu redovisats. Det gäller bl.a. utlämnande, sökbarhet och gallring. Dessa frågor diskuteras särskilt längre fram i detta kapitel.
Behandling i underrättelseprojekt m.m. som inte utförs i databasen
Som vi nämner ovan får uppgifter i underrättelseverksamhet inom Tullverket i dag behandlas dels i särskilt reglerade underrättelseregister, dels i friare form inom ramen för särskilda undersökningar. Möjligheten att behandla uppgifter i friare form, utan de bestämda krav som gäller för vilka uppgifter som får behandlas i ett gemensamt underrättelseregister, är enligt vår uppfattning nödvändig. Det finns ett stort behov av att i särskilda projekt inom Tullverket behandla uppgifter på ett betydligt friare sätt för att
226
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
kartlägga omständigheter runt t.ex. misstänkt organiserad narkotikasmuggling. Innebörden av den lag som vi föreslår är att när uppgifter behandlas på ett sådant sätt att de inte är gemensamt tillgängliga i verksamheten, utan förbehållna en person eller en avgränsad krets av personer, gäller inte de begränsande regler för behandlingen som skall tillämpas vid behandling i den gemensamma databasen (se avsnitt 11.2). Det är alltså enligt vårt förslag möjligt för en avgränsad grupp tjänstemän vid tullen som bedriver ett underrättelseprojekt att behandla uppgifter automatiserat genom ordbehandling, med
Vi ser inte att det generellt innebär några problem från integritetssynpunkt att sådan icke gemensam behandling inte omgärdas av samma begränsningar som gäller för behandling i den gemensamma databasen, eftersom den krets av personer som har åtkomst till uppgifterna måste vara tydligt avgränsad. Det bör också noteras att Tullverket har möjlighet att i dag bedriva underrättelseprojekt utan några egentliga begränsningar, under förutsättning att de register som läggs upp inte är strukturerade efter särskilda kriterier eller automatiserade. I princip innebär den reglering som vi föreslår att det arbete som man i dag får utföra med stöd av manuell behandling av uppgifter kommer att få utföras med datorstöd, t.ex. genom upprättande av rapporter och register med hjälp av ordbehandlingssystem. Som vi nämner ovan kan uppgifter också i dag behandlas automatiserat i stor utsträckning, inom ramen för en särskild undersökning.
För upprättande av dokument med hjälp av ordbehandling i en förundersökning, t.ex. ett förhörsprotokoll, är det enligt vår uppfattning fullt tillräckligt med endast de allmänna bestämmelser som vi föreslår skall gälla för all behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Dessa bestämmelser reglerar ändamål för behandlingen, hantering av känsliga personuppgifter och gallring av uppgifter. När det gäller just underrättelseverksamhet kan det emellertid uppstå särskilda integritetsproblem, eftersom informationen många gånger rör känsliga förhållanden som exempelvis icke bekräftade misstankar om brottsliga aktiviteter.
227
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
För att garantera integritetsintressena föreslår vi därför att sådan behandling som inte utförs i gemensamma register i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän i särskilda underrättelseprojekt m.m., skall vara omgärdade av vissa begränsande regler. Utöver de allmänna bestämmelser som tillämpas på all behandling skall det ställas krav på att när uppgifter om en person som det inte finns någon misstanke om brott mot behandlas, så måste det genom en särskild upplysning eller på annat sätt klart framgå att personen inte är misstänkt för brott. Uppgifter om att en person kan antas ha samband med brottslig verksamhet skall dessutom förses med upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak (jfr Europarådets rekommendation om användningen av personuppgifter i polissektorn).
I detta sammanhang vill vi dessutom tydligt markera att det naturligtvis inte skall bli tillåtet att behandla vilka uppgifter som helst i ett underrättelseprojekt. De grundläggande kraven på att uppgifter endast får behandlas för de i lagen angivna ändamålen innebär att uppgifter om personer endast får behandlas om det behövs för att upptäcka eller förhindra brottslig verksamhet (eller för att utreda brott). De personer om vilka uppgifter behandlas i t.ex. ett register måste alltså kunna antas ha någon form av samband med den brottsliga verksamhet som underrättelseprojektet avser. Vi föreslår – utöver de generella ändamålsbestämmelserna – inte några uttryckliga regler om detta, men vi anser att vägledning i detta avseende bör kunna hämtas i de bestämmelser som vi föreslår skall gälla för behandling av underrättelseuppgifter i tullbrottsdatabasen.
En avgörande förändring i förhållande till vad som gäller för särskilda undersökningar i dag, är att vi inte föreslår något krav på att det skall röra sig om misstankar om allvarlig brottslig verksamhet för att uppgifter skall få behandlas i ett underrättelseprojekt. Det finns två huvudsakliga anledningar till detta. För det första finns det ett stort behov inom Tullverket av att kunna kartlägga också mindre allvarlig brottslig verksamhet, t.ex. personer som vid upprepade tillfällen för in små mängder alkohol eller narkotika för eget bruk, den s.k. myrtrafiken. Även om det i varje enskilt fall rör sig om små mängder, kan den totala mängden illegalt införda varor med fog antas vara betydande. I dag är man i princip förhindrad att genom särskilda projekt försöka kartlägga, upptäcka och förhindra sådan brottslighet, som inte sällan begås av ungdomar och som kan
228
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
leda till grövre brottslighet. För det andra anser vi att integritetsriskerna inte är så stora att de utgör skäl för att förhindra sådan projektverksamhet. Genom att uppgifterna som registreras inte genom direkt åtkomst sprids utanför en klart avgränsad grupp tjänstemän – de görs alltså inte tillgängliga i ett för Tullverket gemensamt sökbart underrättelseregister – anser vi att man kan acceptera att även uppgifter om mindre allvarlig brottslighet behandlas automatiserat. Om uppgifter som behandlas i ett underrättelseprojekt skall tillföras ett för Tullverket gemensamt underrättelseregister, måste de dock självfallet uppfylla bl.a. det krav på anknytning till allvarlig brottslig verksamhet som gäller för behandling i tullbrottsdatabasen.
Ytterligare en förändring i förhållande till dagens situation är att vi inte föreslår något krav på att det måste fattas ett formellt beslut om en särskild undersökning för att uppgifter skall får behandlas i ett underrättelseprojekt. Vi anser inte att detta är nödvändigt av integritetsskäl under de ovan angivna förutsättningarna för behandlingen. Vi förutsätter dock att ett underrättelseprojekt, där flera personer ingår och som innefattar insamling och bearbetning av underrättelseinformation, av administrativa och organisatoriska skäl alltid har sin grund i någon form av beslut av en tjänsteman i arbetsledande ställning. Betydelsen av att det inte i lag anges att det krävs ett formellt beslut skall därför enligt vår uppfattning inte överdrivas.
11.4.3Utreda eller beivra brott
Vårt förslag: Tullverket skall i gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen få behandla uppgifter om personer som förekommer i ett ärende om utredning eller beivrande av brott. Vid behandlingen skall uppgifter om en fysisk person som inte är misstänkt för brott förses med upplysning om att sådan misstanke saknas, om det inte av sammanhanget klart framgår varför uppgifterna behandlas.
Vid behandling som inte utförs i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän, skall det inte ställas upp några särskilda villkor utöver de allmänna bestämmelser som gäller för all behandling av uppgifter.
229
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Vad omfattas av ”att utreda eller beivra brott”?
Tullverkets verksamhet med att utreda eller beivra brott innefattar först och främst allt arbete inom ramen för en förundersökning enligt 23 kap. rättegångsbalken eller lagen (2000:1225) om straff för smuggling, exempelvis spaning, förhör, användande av tvångsmedel och allmän informationsbearbetning. Utöver detta omfattas emellertid även annat arbete med utredande eller beivrande av ett konkret brott. Det gäller således verksamhet som utförs med stöd av 23 kap. 3 och 8 §§ rättegångsbalken innan en förundersökning har inletts, dvs. inledande förhör på brottsplatsen m.m. Också åtgärder som vidtas i syfte att samla in underlag för beslut om förundersökning skall inledas eller inte, omfattas av ändamålet. Som exempel kan nämnas kontroll av ett tips om att ett brott har förövats. Ytterligare åtgärder som omfattas är väckande av åtal och beivrande av brott i förenklad form, t.ex. genom strafföreläggande.
Vad som avgränsar ändamålet att utreda eller beivra brott från ändamålet att förhindra eller upptäcka brottslig verksamhet, är att åtgärderna sker med anledning av att ett konkret brott har eller misstänks ha begåtts. Det innebär att all behandling av uppgifter på grund av att det finns misstankar om pågående brottlig verksamhet som inte kan konkretiseras eller misstankar om att ett konkret brott kommer att begås i framtiden, i stället omfattas av ändamålet att förhindra eller upptäcka brottslig verksamhet (se avsnitt 11.4.2).
Behandling i tullbrottsdatabasen
Inom den brottsutredande verksamheten finns ett påtagligt behov av att kunna föra olika för Tullverket gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen. Till skillnad från vad som gäller för underrättelseverksamheten möter det enligt vår uppfattning inga svårigheter att avgränsa den krets personer om vilka uppgifter bör få behandlas i sådana gemensamma system. Det framstår för oss som självklart att Tullverket måste få registrera uppgifter om samtliga de personer som förekommer i ett ärende om utredning eller beivrande av brott, oavsett skälet till att de förekommer i ärendet och oavsett om de är misstänkta eller inte. De kategorier av uppgifter som får registreras om dessa personer bör enligt vår uppfattning uttryckligen anges i lag och vi redovisar våra överväganden i den delen ovan i avsnitt 11.3.1.
230
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Förutom att registrera information i särskilda informationsdatabaser eller register, finns det också för framtiden ett påtagligt behov av att i förundersökningar och andra ärenden behandla inkomna och upprättade elektroniska handlingar i gemensamma datoriserade ärendehanteringssystem. Vad som närmare avses med elektroniska handlingar redovisas i avsnitt 11.3.2.
För att säkerställa integritetsskyddet vid behandlingen av uppgifter och handlingar i förundersökningar och andra ärenden avseende brottsutredningar, anser vi att uppgifter om en fysisk person som inte själv är misstänkt för brott i princip skall förses med en upplysning om att sådan misstanke saknas. Detta för att det inte skall uppstå integritetskränkande missuppfattningar om vilken roll en viss person spelar i en förundersökning. I många fall framgår det emellertid direkt av sammanhanget varför en uppgift behandlas, t.ex. i förhörsprotokoll och vittneslistor m.m. Enligt vår uppfattning torde risken för missuppfattningar inom ramen för handläggningen av ett ärende generellt sett vara relativt liten. Naturligtvis finns det inget som hindrar att myndigheten, även i andra fall än de som vi föreslår skall vara obligatoriska, lämnar upplysningar om varför vissa uppgifter har registrerats.
För behandling av uppgifter och handlingar i databasen föreslår vi ett flertal regler utöver de som nu redovisats. Det gäller bl.a. utlämnande, sökbarhet och gallring. Dessa frågor diskuteras särskilt längre fram i detta kapitel.
Annan behandling än i databasen
I Tullverkets brottsutredande verksamhet förekommer det ofta, liksom i andra offentliga verksamheter, att uppgifter behandlas automatiserat utan att det sker i för myndigheten gemensamma register eller ärendehanteringssystem. Det kan vara fråga om såväl upprättande av handlingar med hjälp av ordbehandling, t.ex. beslags- eller förhörsprotokoll, som kommunikation med
231
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
motsvarande de som vi anser bör gälla i underrättelseverksamhet m.m.
11.4.4Arbete i internationella förhållanden
Vårt förslag: Tullverket skall i gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen få behandla uppgifter om en odefinierad krets personer, om det är nödvändigt för att fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete.
Vid behandling som inte utförs i tullbrottsdatabasen, utan på annat sätt av enskilda tjänstemän eller avgränsade grupper av tjänstemän, skall det inte ställas upp några särskilda villkor utöver de allmänna bestämmelser som gäller för all behandling av uppgifter.
Tullverket samarbetar i mycket stor omfattning med andra länders myndigheter, inte minst inom EU. I många fall omfattas det internationella arbete som genomförs i den brottsbekämpande verksamheten, och följaktligen också den behandling av personuppgifter som utförs, av de tidigare beskrivna ändamålen; att förhindra eller upptäcka brottslig verksamhet samt att utreda eller beivra brott. Dessa ändamål är emellertid begränsade till att gälla brottslighet som Tullverket enligt svensk lagstiftning har att ingripa mot. De omfattar därför inte exempelvis den situationen att Tullverket genom internationella överenskommelser eller
Till skillnad från vad som gäller för den nationella brottsbekämpningen, är det inte möjligt att i lag eller förordning på ett uttryckligt och tydligt sätt reglera vilken behandling som skall vara tillåten för Tullverket. Hänsyn måste tas till att Sverige i många avseenden är beroende av gemensamma regler inom EU m.m. Vi har övervägt olika möjligheter att reglera behandlingen av uppgifter i internationella sammanhang på ett sådant allmänt sätt att den inte hindrar Tullverkets möjligheter att uppfylla Sveriges åtaganden och samtidigt tillgodoser rimliga rättssäkerhets- och integritetskrav. Vi har funnit att den bästa lösningen är att som utgångspunkt ha den
232
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
av riksdagen beslutade lagen (2000:1219) om internationellt tullsamarbete. I den lagen regleras vilka skyldigheter Tullverket har att bistå utländska myndigheter och internationella organisationer.
Om den av oss föreslagna lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet skulle innehålla en fristående reglering av hur Tullverket får behandla information i internationella sammanhang, skulle det enligt vår uppfattning uppstå en påtaglig risk för att Tullverket försätts i en situation där verket inte kan fullfölja skyldigheter som följer av en av riksdagen beslutad författning om internationellt samarbete, på grund av begränsande regler om behandling av uppgifter i en annan av riksdagen beslutad författning. En sådan situation måste kunna undvikas.
Vi föreslår därför att det i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet tas in en generell bestämmelse om att Tullverket i gemensamma register och ärendehanteringssystem inom ramen för tullbrottsdatabasen får behandla uppgifter om en odefinierad krets personer, om det är nödvändigt för att fullgöra det arbete som åligger verket enligt lagen om internationellt tullsamarbete. Härigenom garanteras att Tullverket kan fullfölja de uppdrag som riksdagen ålagt verket, i de fall behandlingen inte kan anses omfattas av de ändamål som gäller för den nationella brottsbekämpande verksamheten.
För behandling som inte utförs i databasen bör motsvarande gälla i enlighet med det särskilt angivna ändamålet att uppgifter får behandlas om det behövs för att fullgöra det arbete som åligger verket enligt lagen om internationellt tullsamarbete.
11.4.5Kombinerade register i tullbrottsdatabasen
Vårt förslag: Uppgifter om personer som får behandlas i tullbrottsdatabasen skall få registreras tillsammans i ett kombinerat register även om de behandlas för skilda ändamål, under förutsättning att det klart framgår för vilket ändamål uppgifterna behandlas.
I dag är det vanligt att särskilda författningar reglerar myndigheters rätt att föra enskilda register. Tullverket har exempelvis rätt att föra dels underrättelseregister, dels spaningsregister. Det saknas ofta rättsliga möjligheter att i ett enda register kombinera uppgifter från
233
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
skilda register. Vårt förslag till lagstiftning är emellertid teknikneutral (se avsnitt 10.5). Det innebär att det inte finns några hinder mot att inom ramen för tullbrottsdatabasen inrätta t.ex. ett gemensamt spanings- och underrättelseregister. I ett sådant register kan det få förekomma uppgifter om både personer som utan att själva vara misstänkta kan antas ha samband med allvarlig brottslig verksamhet och personer vilka inom ramen för en förundersökning är misstänkta för ett konkret brott.
Det finns emellertid integritetsrisker förknippade med att i ett och samma register blanda förundersökningsuppgifter om t.ex. brottsmisstankar med underrättelseuppgifter om anknytning till viss brottslig verksamhet. Vi anser därför att en förutsättning för att det skall tillåtas måste vara att det i ett sådant kombinerat register klart och tydligt anges för vilket ändamål en uppgift har registrerats. Den som använder registret måste exempelvis direkt få information om att en viss uppgift avseende en person har sitt ursprung i underrättelseverksamhet, medan en annan uppgift om samma person har registrerats inom ramen för en förundersökning. Att sådan åtskillnad görs mellan uppgifterna har också betydelse för möjligheterna att genom tekniska förfaranden spärra åtkomsten till vissa uppgifter. En åklagare, som enligt vårt förslag skall få direktåtkomst till registeruppgifter i en förundersökning som han eller hon leder (se avsnitt 11.6.4), bör t.ex. kunna förhindras att få tillgång till underrättelseuppgifter i samma register.
11.5Elektroniskt inhämtande och utlämnande av uppgifter och handlingar
11.5.1Elektroniskt inhämtande
Vårt förslag: Det skall inte finnas några uttryckliga begränsningar för elektroniskt inhämtande till Tullverket av uppgifter eller handlingar.
Inhämtande av uppgifter och handlingar
Vilka uppgifter som får behandlas automatiserat av en myndighet måste avgöras med ledning av de i lagstiftningen angivna ändamålen med behandlingen, eftersom det i 9 § personuppgiftslagen ställs
234
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
krav på att uppgifter skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål (motsvarar artikel 6 i dataskyddsdirektivet). Några särskilda krav på begränsningar av på vilket sätt uppgifter får samlas in följer däremot inte av vare sig personuppgiftslagen eller
Det kan däremot finnas andra skäl för att uppgifter skall lämnas på ett visst sätt. Det kan t.ex. vara ett krav att vissa handlingar lämnas skriftligen och egenhändigt undertecknade, vilket kan innebära såväl rättsliga gränsdragningsproblem som tekniska svårigheter vid ett automatiserat förfarande. Med andra ord kan det finnas olika orsaker till att uppgifter inte kan eller får hämtas in automatiserat till Tullverket. Dessa begränsningar följer då av andra författningar eller av tekniska orsaker. Det finns inte anledning att föreskriva om ytterligare begränsningar i den av oss föreslagna lagen.
Vi ser således inte några skäl för att i en författning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet införa begränsningar av på vilket sätt uppgifter får hämtas in eller tas emot, oavsett om de inhämtade uppgifterna skall behandlas i tullbrottsdatabasen eller på annat sätt. Tvärtom är det vår uppfattning att i den mån en viss uppgift får hämtas in till Tullverket och behandlas automatiserat där, bör inhämtandet i princip kunna ske på det sätt som verket och avsändaren anser mest lämpligt.
235
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
11.5.2Elektroniskt utlämnande
Vårt förslag: Uppgifter som inte behandlas i tullbrottsdatabasen skall utan särskilda begränsningar få lämnas ut elektroniskt.
Uppgifter och handlingar i tullbrottsdatabasen skall utan begränsningar få lämnas ut elektroniskt till svenska myndigheter på annat sätt än genom direktåtkomst.
Uppgifter och handlingar i tullbrottsdatabasen skall få lämnas ut elektroniskt till andra än svenska myndigheter på annat sätt än genom direktåtkomst, om regeringen meddelar föreskrifter om det eller om det behövs för att Tullverket skall kunna fullgöra Sveriges internationella åtaganden.
Allmänt om elektroniskt utlämnande
Uppgifter kan lämnas ut från Tullverket i elektronisk form på medium för automatiserad behandling på flera olika sätt, t.ex. genom användning av
Att ett utlämnande sker på medium för automatiserad behandling innebär att informationen lämnas ut i elektronisk form på ett sådant sätt att mottagaren kan bearbeta informationen. Det betyder att elektroniskt utlämnande av uppgifter och handlingar på ett sådant sätt att mottagaren endast kan läsa informationen och inte bearbeta den, t.ex. genom allmänhetens terminal vid en myndighet, inte är ett utlämnande på medium för automatiserad behandling.
En av de viktigare bestämmelserna i personuppgiftslagen är 9 § (artikel 6 i dataskyddsdirektivet), av vilken bl.a. framgår att uppgifter skall samlas in för särskilda, uttryckliga och berättigade ändamål. Senare behandling får inte ske på ett sätt som är oförenligt med de ändamålen. Bestämmelsen innebär att en uppgift som har samlats in för ett visst ändamål inte får lämnas ut, om utlämnandet är oförenligt med det ursprungligen angivna ändamålet. För författningsreglerad offentlig verksamhet innebär
236
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
detta att utlämnande av personuppgifter som omfattas av personuppgiftslagen inte får vara oförenligt med de olika ändamål som gäller för behandling av personuppgifterna. Oavsett ändamålen gäller dock att uppgifter alltid får lämnas ut till enskilda med stöd av offentlighetsprincipen och, enligt vår uppfattning, till myndigheter med stöd av sekretesslagen eller särskilda bestämmelser om utlämnande i annan författning. Det finns emellertid inte några uttryckliga bestämmelser i vare sig personuppgiftslagen eller dataskyddsdirektivet som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut automatiserat. I det avseendet görs med andra ord ingen åtskillnad mellan elektroniskt och manuellt utlämnande.
En allmän bestämmelse i svensk lagstiftning som direkt rör myndigheters automatiserade utlämnande av uppgifter är 7 kap. 16 § sekretesslagen (1980:100). Där anges att sekretess gäller för uppgifter om det kan antas att ett utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. Med behandling av personuppgifter avses enligt personuppgiftslagen emellertid varje åtgärd som vidtas med uppgiften. Det torde därför även ur sekretesslagens synvinkel i princip sakna betydelse om utlämnandet av en uppgift görs automatiserat eller manuellt på papper, eftersom utlämnandet under alla förhållanden omfattas av 7 kap. 16 § om uppgiften av mottagaren kan komma att behandlas automatiserat eller i manuella register i strid mot personuppgiftslagens bestämmelser. På grund av de möjligheter till bearbetning av uppgifter som en datoriserad behandling ger, är däremot risken självfallet större för att uppgifter som lämnas ut elektroniskt kan komma att hanteras av mottagaren på ett sådant sätt att det strider mot personuppgiftslagens bestämmelser.
Vi drar av det ovanstående den slutsatsen att det inte finns något rättsligt krav på att författningsreglera utlämnande på medium för automatiserad behandling för att det skall vara tillåtet att lämna ut uppgifter på det sättet. Vi har då att ta ställning till om det finns anledning att på någon annan grund ha särskilda bestämmelser för utlämnande på medium för automatiserad behandling i annan form än direktåtkomst. En annan fråga är om det för sådant utlämnande finns anledning att göra olika bedömningar beroende på till vem uppgifterna lämnas ut.
Det kan vara viktigt att markera att elektroniskt utlämnande som inte görs på medium för automatiserad behandling, t.ex. via allmänhetens terminal, inte omfattas av den av oss föreslagna
237
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
regleringen. För sådant utlämnande gäller, som för utlämnande på papper, i stället endast bestämmelserna i sekretesslagen. Anledningen till detta är att vi anser att det inte finns några integritetsrisker med ett utlämnande som innebär att informationen endast kan läsas, under förutsättning att Tullverket i varje enskilt fall har möjlighet att påverka utlämnandet (för direktåtkomst till tullbrottsdatabasen anser vi däremot att situationen är annorlunda och därför behandlar vi den frågan särskilt i avsnitt 11.6). Redovisningen nedan i detta avsnitt avser med andra ord endast elektroniskt utlämnande på sådant sätt att mottagaren elektroniskt kan bearbeta informationen. Tullverkets eventuella tillhandahållande av uppgifter på stället enligt 2 kap. 12 § tryckfrihetsförordningen, t.ex. via allmänhetens terminal, omfattas således inte.
Utlämnande av uppgifter som inte behandlas i tullbrottsdatabasen
Vi har tidigare beskrivit skillnaden mellan behandling av uppgifter som omfattas av de särskilda reglerna för tullbrottsdatabasen och annan form av behandling. Den behandling som utförs utan att den anses ingå i databasen är uteslutande sådan behandling som sker för enskilda tjänstemäns – eller avgränsade grupper av tjänstemäns – bruk. Större samlingar av känsliga uppgifter som används gemensamt i verksamheten, t.ex. uppgifter i ett allmänt underrättelseregister, ingår däremot i tullbrottsdatabasen (se avsnitt 11.2).
Det finns enligt vår mening en avgörande skillnad mellan å ena sidan elektroniskt utlämnande av uppgifter direkt ur ett register eller en databas och å andra sidan elektronisk kommunikation via t.ex.
238
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
I detta sammanhang bör markeras att det i fråga om uppgifter i brottsbekämpande verksamhet är föreskrivet sträng sekretess till skydd för enskildas personliga och ekonomiska förhållanden (9 kap. 17 § första stycket sekretesslagen). De uppgifter som behandlas i verksamheten, och som ofta är av mycket känslig karaktär, får därför inte lämnas ut vare sig elektroniskt eller på annat sätt utan föregående sekretessprövning. När det gäller uppgifter som behandlas automatiserat av enskilda tjänstemän eller avgränsade grupper av tjänstemän och som inte är tillgängliga för gemensam användning inom Tullverket, dvs. uppgifter som inte ingår i tullbrottsdatabasen, är det enligt vår uppfattning tillräckligt från integritetssynpunkt att elektroniskt utlämnande begränsas på samma sätt som utlämnande av uppgifter på papper. Vi anser med andra ord att enskildas integritetsintressen i fråga om elektroniskt utlämnande i dessa fall tillgodoses genom sekretesslagens bestämmelser, dvs. även 7 kap. 16 §, och att det därför saknas anledning att ha särskilda bestämmelser om på vilket sätt uppgifterna får lämnas ut från Tullverket.
Utlämnande till svenska myndigheter från tullbrottsdatabasen
För myndigheter finns ofta särskilda registerförfattningar som reglerar vilka automatiserade register eller andra personuppgiftssamlingar som får föras av myndigheten och på vilket sätt personuppgifter får behandlas. I de författningarna regleras även ändamålen för behandlingen. Även i de fall särskilda registerförfattningar saknas, måste det förutsättas att användningen av uppgifter begränsas av personuppgiftslagens allmänna bestämmelser och av att myndigheter bedriver viss bestämd och reglerad verksamhet. Vi bedömer därför att riskerna är små för att en myndighet som får personuppgifter i elektronisk form från Tullverkets tullbrottsdatabas, skall behandla uppgifterna på ett otillåtet sätt.
Samtidigt är det klart att det innebär stora effektivitetsvinster för myndigheter att uppgifter som skall behandlas automatiserat hämtas in genom automatiserade förfaranden, t.ex. på diskett eller via telenätet. När en myndighet hämtar in uppgifter från något av Tullverkets register, är det från effektivitetssynpunkt mindre tillfredsställande att verket först gör utskrifter av uppgifterna och den mottagande myndigheten därefter för in uppgifterna i sina
239
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
register eller databaser. Genom sådana förfaranden ökar dessutom riskerna för överföringsfel, vilket i sig kan utgöra ett integritetsproblem.
En utgångspunkt för vårt arbete har varit att Tullverket i sin brottsbekämpande verksamhet skall kunna utnyttja automatiserade förfaranden i största möjliga omfattning, dock under förutsättning att det inte medför risk för otillbörliga intrång i enskildas personliga integritet. Eftersom vi anser att det inte föreligger någon större risk för att uppgifter som lämnas ut på medium för automatiserad behandling till andra myndigheter behandlas på ett felaktigt sätt, saknas det enligt vår uppfattning anledning att för dessa fall reglera när uppgifter får lämnas ut elektroniskt från tullbrottsdatabasen. En förutsättning är dock att Tullverket har möjlighet att i varje enskilt fall avgöra vilka uppgifter som skall lämnas ut, vilket inte är fallet när uppgifter lämnas ut genom direktåtkomst (se avsnitt 11.6).
Det finns med andra ord enligt vår bedömning inte några bärande skäl för att i informationsutbytet mellan myndigheter skilja på utlämnande som görs på papper och utlämnande som sker elektroniskt, dock med undantag för direktåtkomst. Om Tullverket får eller skall lämna ut uppgifter till en annan myndighet, t.ex. med stöd av sekretesslagen eller andra författningar, bör det vara upp till de inblandade myndigheterna att avgöra på vilket sätt det skall göras. När det gäller utlämnande till myndigheter anser vi inte heller att det finns några integritetsskäl för att göra någon åtskillnad mellan uppgifter och handlingar. En elektronisk handling i tullbrottsdatabasen bör därför få lämnas ut på medium för automatiserad behandling, under förutsättning att det inte i sekretesslagen (t.ex. 7 kap. 16 § eller 9 kap. 17 §) eller andra författningar föreskrivs hinder mot utlämnande av uppgifterna i handlingen.
Utlämnande till utländska myndigheter från tullbrottsdatabasen
I Tullverkets brottsbekämpande verksamhet ingår ett omfattande internationellt samarbete, främst med EU:s övriga medlemsstater. Enligt vår uppfattning bör inte möjligheterna att bedriva det internationella arbetet begränsas i onödan genom bestämmelser i en lag om behandling av personuppgifter. Samtidigt kan det finnas starka integritetsskäl för att inte helt förutsättningslöst tillåta att
240
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
uppgifter behandlas på det sätt som framstår som enklast och effektivast. Ett problem med det internationella arbetet är svårigheterna med att förutse vilka skyldigheter Tullverket kan anses ha i fråga om t.ex. informationsutbyte. Det är därför i det närmaste omöjligt att i den av oss föreslagna lagen konkret ange under vilka förutsättningar uppgifter och handlingar i tullbrottsdatabasen skall få lämnas ut elektroniskt.
I lagen (2000:1219) om internationellt tullsamarbete finns emellertid angivet vilka skyldigheter Tullverket har gentemot andra länder, bl.a. i fråga om informationsutbyte. Vi anser att den lagen lämpligen bör kunna läggas till grund för under vilka förutsättningar Tullverket skall få lämna ut uppgifter på medium för automatiserad behandling i internationella sammanhang. Om det behövs för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen om internationellt tullsamarbete, skall uppgifter och handlingar i tullbrottsdatabasen alltså få lämnas ut elektroniskt. Utöver detta bör regeringen enligt vår mening ha möjlighet att när så krävs i förordning ge Tullverket rätt att lämna ut uppgifter till utländska myndigheter i elektronisk form.
Vi föreslår att det i en kompletterande förordning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att uppgifter som får lämnas ut till en utländsk myndighet eller mellanfolklig organisation genom bestämmelser om internationellt tullsamarbete, skall få lämnas ut på medium för automatiserad behandling utan krav på att det behövs för att Tullverket skall kunna fullgöra sina internationella åtaganden. Det blir då i praktiken upp till Tullverket och den mottagande myndigheten eller organisationen att avgöra i vilken form uppgifterna lämnas ut.
Utlämnande till enskilda från tullbrottsdatabasen
Förutom att uppgifter lämnas ut till andra myndigheter kan det bli aktuellt för Tullverket att lämna ut uppgifter ur tullbrottsdatabasen till enskilda, såväl privatpersoner som företag och organisationer. Till skillnad från vad som gäller vid utlämnande till myndigheter, saknas det i dessa fall normalt särskilda bestämmelser om hur personuppgifter får behandlas hos mottagaren. För mottagaren är det därför ofta endast personuppgiftslagens bestämmelser som är tillämpliga på behandlingen av de mottagna uppgifterna.
241
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Med hänsyn till de integritetsrisker som kan följa med utlämnande på medium för automatiserad behandling av personuppgifter från myndigheters register och databaser till företag och privatpersoner, bör sådant utlämnande endast vara tillåtet när det efter särskild prövning anses lämpligt. Enligt vår mening bör, av såväl integritetssom effektivitetsskäl, en sådan bedömning inte helt överlåtas till Tullverket genom en prövning enligt 7 kap. 16 § sekretesslagen. Det bör i stället åligga regeringen att göra dessa bedömningar på en generell nivå. Vi anser därför att elektroniskt lagrade uppgifter och handlingar i Tullverkets gemensamma tullbrottsdatabas bör få lämnas ut till enskilda på medium för automatiserad behandling endast om regeringen har föreskrivit det.
Vi föreslår att det i en kompletterande förordning om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet anges att uppgifter och handlingar som skall lämnas ut till en enskild som ett led i handläggningen av ett ärende, får lämnas ut elektroniskt. Det innebär att enskilda inte tillåts få ut andra uppgifter elektroniskt, än de som hör till ett för honom eller henne aktuellt ärende.
11.6Direktåtkomst till databasen
11.6.1Direktåtkomst och sekretess
Vad är direktåtkomst?
I många registerförfattningar och andra författningar som reglerar behandling av personuppgifter finns det bestämmelser där direktåtkomst för utomstående till myndigheters register och databaser regleras särskilt. Det finns dock inte i någon författning en definition av begreppet direktåtkomst. Frågor om sådan åtkomst har emellertid diskuterats i ett flertal utredningsbetänkanden och propositioner. Begreppet är relativt nytt och tidigare talades i stället om terminalåtkomst. Med terminalåtkomst avsågs allmänt att någon hade tillgång till en myndighets register via en terminal och därigenom själv kunde söka efter information, dock utan att själv kunna bearbeta eller påverka innehållet i registret.
Det är numera inte lämpligt att i en författningsreglering av behandling av personuppgifter använda begreppet terminalåtkomst, eftersom det i dag finns flera olika möjligheter för utomstående att
242
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
på egen hand inhämta information från myndigheters register. Förutom genom terminalåtkomst förekommer det att sådan tillgång till information ges via telesvar, t.ex. avseende uppgifter i bilregistret. Det förekommer även att information kan inhämtas direkt från ett register genom en webbplats på Internet. I dag används därför det mer neutrala begreppet direktåtkomst som en samlande benämning på dessa olika former av åtkomst.
Den grundläggande betydelse som begreppet direktåtkomst vanligtvis tillskrivs, skiljer sig dock i stort inte från innebörden av begreppet terminalåtkomst. Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. Till skillnad från vad som normalt är fallet med terminalåtkomst, kan information som finns tillgänglig via direktåtkomst på Internet vanligtvis kopieras av mottagaren och därefter bearbetas av denne. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär att om en enskild har direktåtkomst till samtliga uppgifter i en myndighets register, så kan den enskilde själv välja vilka uppgifter han eller hon vill ta del av vid ett visst tillfälle, utan att myndigheten först fattar ett beslut om att just dessa uppgifter skall lämnas ut.
Det kan tilläggas att det normalt inte behöver regleras särskilt att en myndighet får ha direktåtkomst till sina egna register och databaser, under förutsättning att det inte inom myndigheten råder sekretess mellan självständiga verksamhetsgrenar.
Förhållandet mellan direktåtkomst och sekretess
Möjligheterna att vid informationsutbyte mellan exempelvis två myndigheter utnyttja direktåtkomst, kan begränsas av sekretesslagens bestämmelser. En myndighet kan enligt vår mening inte tillåta en annan myndighet att få direktåtkomst till ett register, om uppgifterna i registret omfattas av sekretess som innebär att den mottagande myndigheten vid en prövning enligt sekretesslagen inte med säkerhet skulle ha rätt att ta del av uppgifterna. I och med att direktåtkomst innebär att den mottagande myndigheten fritt kan avgöra vilka uppgifter den vill ta del av, så måste uppgifterna nämligen enligt vår uppfattning anses utlämnade i sekretesslagens
243
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
mening i och med att direktåtkomsten finns. Det spelar i det avseendet ingen roll om den mottagande myndigheten faktiskt använder sig av en viss uppgift eller inte. Detsamma måste enligt vår uppfattning anses gälla mellan självständiga verksamhetsgrenar inom en och samma myndighet, eftersom sekretess gäller mellan sådana verksamhetsgrenar på samma sätt som mellan skilda myndigheter.
En förutsättning för direktåtkomst torde därför vara att åtkomsten avser endast uppgifter för vilka det inte är föreskrivet sekretess eller uppgifter som enligt författning får eller skall lämnas ut till den som har direktåtkomst (jfr 14 kap. 1 och 2 §§ sekretesslagen) eller uppgifter som, enligt prövning på förhand, med stöd av generalklausulen i 14 kap. 3 § sekretesslagen får lämnas ut rutinmässigt till den som har direktåtkomst. Det har emellertid i olika sammanhang diskuterats om bestämmelser om direktåtkomst generellt kan, eller bör, ges den innebörden att de bryter eventuell sekretess för de uppgifter till vilka det föreskrivs direktåtkomst (se t.ex. prop. 2001/01:33, s. 131 och 347 f.).
Med hänsyn till att det råder osäkerhet i frågan om eller när bestämmelser om direktåtkomst skall tillmätas direkt sekretessbrytande verkan, föreslår vi att det i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet endast anges att någon får ha direktåtkomst till en uppgift, inte att någon skall ha sådan åtkomst. Vår avsikt är att markera att bestämmelserna om direktåtkomst inte har sekretessbrytande verkan i sig själva. För att direktåtkomst skall kunna tillåtas enligt den av oss föreslagna lagen krävs därmed i praktiken att de aktuella uppgifterna är offentliga, dvs. att det inte är föreskrivet om sekretess för dem, eller att det finns en skyldighet enligt lag eller förordning att lämna ut de aktuella uppgifterna till den som får ha direktåtkomst. Vi återkommer till denna fråga i avsnitt 11.6.6.
11.6.2Allmänt om sekretess och informationsutbyte mellan brottsbekämpande myndigheter
Sverige har delat upp det brottsbekämpande arbetet mellan flera myndigheter. Först och främst är det naturligtvis polisen som har sådana uppgifter. Polisens verksamhetsområde är inte begränsat till någon speciell form av brottslighet, utan är av generell karaktär. Inom Tullverkets särskilda ansvarsområde faller brottslighet i
244
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
samband med in- och utförsel av varor, medan Kustbevakningen har ett särskilt ansvar för brottslighet till sjöss. Ekobrottsmyndigheten har befogenhet i fråga om ekonomisk brottslighet, vilket även gäller skattemyndigheterna som har särskilda skattebrottsenheter. Härutöver tillkommer åklagarmyndigheterna, som inte har polisiära uppgifter men ändå utgör en väsentlig del av den nationella brottsbekämpande verksamheten.
Gemensamt för myndigheternas verksamhet är att sekretess enligt sekretesslagen gäller för flertalet av de uppgifter som behandlas (se längre ner i detta avsnitt). När uppgifter skall lämnas mellan de brottsbekämpande myndigheterna måste hänsyn därför tas till sekretesslagstiftningen, eftersom sekretessen inte gäller enbart gentemot enskilda utan även gentemot andra myndigheter. Det finns emellertid ett antal bestämmelser som innebär att sekretess inte utgör hinder för ett utbyte av uppgifter mellan myndigheter.
Av 1 kap. 5 § sekretesslagen framgår att sekretessbelagda uppgifter får lämnas från en myndighet till en annan om det är nödvändigt för att den utlämnande myndigheten skall kunna fullgöra sin verksamhet. Bestämmelsen kan alltså aldrig tillämpas på den grunden att den mottagande myndigheten behöver uppgifterna. Den skall dessutom tillämpas restriktivt.
Ytterligare sekretessbrytande bestämmelser finns i 14 kap. sekretesslagen. I 14 kap. 1 § anges bl.a. att sekretess inte hindrar ett utlämnande till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. När uppgifter behövs i bl.a. förundersökningar kan de ofta lämnas ut enligt de särskilda bestämmelserna i 14 kap. 2 §. Slutligen finns i 14 kap. 3 § den s.k. generalklausulen, som innebär att sekretessbelagda uppgifter får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen skall skydda.
En avgörande betydelse har bestämmelsen i 15 kap. 5 § sekretesslagen, som säger att en myndighet på begäran av en annan myndighet skall lämna ut uppgifter i den mån hinder inte möter på grund av sekretess eller arbetets behöriga gång. Det innebär alltså att om en myndighet begär en uppgift från en annan myndighet och någon av de ovan nämnda sekretessbrytande bestämmelserna är tillämplig, eller naturligtvis om uppgiften är offentlig, så skall den i princip lämnas ut. Det finns under dessa omständigheter inget utrymme för den utlämnande myndigheten att göra en
245
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
lämplighetsprövning. Bestämmelsen kan därför sägas utgöra myndigheternas motsvarighet till enskilda personers rätt att ta del av handlingar enligt offentlighetsprincipen.
Sekretess och informationsutbyte i brottsutredningar
För uppgifter i förundersökningar och i
Enligt 5 kap. 1 § första stycket sekretesslagen gäller ett rakt skaderekvisit, vilket innebär att en uppgift i en förundersökning m.m. är sekretessbelagd om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas om uppgiften röjs. För sekretessen enligt 9 kap 17 § gäller i stället ett omvänt skaderekvisit, dvs. att en uppgift i en förundersökning är sekretessbelagd om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider skada eller men. Sekretessen i 9 kap. 17 § första stycket är uppdelad så att punkterna 1, 2 och 4 avser sekretess i verksamhet med bl.a. brottsutredningar oavsett formen för behandling, medan punkterna 6, 8 och 10 avser sekretess endast för uppgifter som behandlas automatiserat i register eller på annat sätt, oavsett om det gäller brottsutredningar eller underrättelseverksamhet.
Brottsbekämpande myndigheter har en långtgående rättighet att få ut sekretessbelagda uppgifter från andra myndigheter i samband med en förundersökning. I 14 kap. 2 § fjärde stycket sekretesslagen anges nämligen att sekretess inte hindrar att uppgift som angår misstanke om brott lämnas till en brottsbekämpande myndighet. Det krävs dock både att fängelse är föreskrivet för brottet och att brottet kan antas föranleda annan påföljd än böter. Bestämmelsen är alltså inte tillämplig vid mindre allvarlig brottslighet. Vissa uttryckliga begränsningar av bestämmelsens tillämpning görs också i fråga om uppgifter inom t.ex. sjukvården och socialtjänsten.
Det bör noteras att det i lagtexten inte anges vilken grad av misstanke som skall föreligga för att sekretessen skall brytas. Det
246
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
har i olika sammanhang diskuterats om avsikten är att den misstanke det rör sig om skall motsvara den som gäller för inledande av förundersökning, dvs. att det finns anledning att anta att brott har förövats, även om ordalydelsen inte ger något uttryckligt stöd för en sådan tolkning. Ekosekretessutredningen föreslog att 14 kap. 2 § fjärde stycket skulle ändras och ges just den lydelsen för att underlätta tolkningen (SOU 1999:53). Någon lagändring har dock inte kommit till stånd. Enligt vår bedömning måste det därför tills vidare anses osäkert om bestämmelsen är tillämplig i s.k. förutredningar eller primärutredningar, vars syfte ofta är att klarlägga om en förundersökning skall inledas. Helt klart är dock att underrättelseverksamhet inte omfattas av bestämmelsen.
I praktiken innebär den nämnda bestämmelsen att det normalt inte föreligger några egentliga problem när en brottsbekämpande myndighet i en förundersökning – eller förenklad brottsutredning
– begär ut uppgifter från en annan brottsbekämpande myndighet. Detta gäller oavsett om uppgiften förekommer i den utlämnande myndighetens verksamhet med förundersökning, underrättelseverksamhet eller brottsbekämpning i övrigt.
Sekretess och informationsutbyte i underrättelseverksamhet
Vi redovisar i avsnitt 11.4.2 vår syn på Tullverkets underrättelseverksamhet och vad som kan omfattas av detta begrepp. När det gäller sekretess i underrättelseverksamheten är situationen något annorlunda och mer komplicerad än i fråga om brottsutredningar.
På motsvarande sätt som i förundersökningar gäller sekretess generellt med hänsyn till skyddet för underrättelseverksamhet enligt 5 kap. 1 § andra stycket sekretesslagen. Denna underrättelsesekretess är emellertid strängare än förundersökningssekretessen enligt första stycket. För underrättelseverksamhet gäller nämligen ett omvänt skaderekvisit, som innebär att en uppgift i underrättelseverksamhet är sekretessbelagd om det inte står klart att uppgiften kan röjas utan att syftet med beslutade eller förutsedda åtgärder motverkas eller den framtida verksamheten skadas.
Till skydd för enskildas intressen finns det sekretessbestämmelser i 9 kap. 17 § sekretesslagen. Enligt första stycket punkten 2 gäller sekretess i
247
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
och Kustbevakningens verksamhet i övrigt med att förebygga, uppdaga, utreda eller beivra brott. Denna bestämmelse i 9 kap. 17 § anses omfatta uppgifter i såväl brottsutredningar som i underrättelseverksamhet. Sekretess gäller dessutom enligt 9 kap. 17 § första stycket 6, 8 och 10 för uppgifter i register m.m., bl.a. underrättelseregister, som förs av Tullverket, Rikspolisstyrelsen och Riksskatteverket med stöd av de för myndigheterna gällande registerlagarna. Uppgifter som behandlas automatiserat i såväl underrättelseregister som i särskilda undersökningar omfattas alltså av sekretess enligt 9 kap. 17 §. För sekretessen i underrättelseverksamhet gäller samma omvända skaderekvisit som för uppgifter i förundersökningar.
Som vi nämner ovan är den sekretessbrytande bestämmelsen i 14 kap. 2 § fjärde stycket sekretesslagen inte tillämplig i fråga om underrättelseverksamhet, eftersom sådan verksamhet avser arbete med att förhindra och upptäcka brottslig verksamhet, dvs. när man inte direkt kan peka ut eller misstänka ett konkret brott.
Följden av detta är att sekretessbelagda uppgifter som en myndighet hanterar i sin brottsbekämpande verksamhet – vare sig det gäller förundersökningar eller underrättelseverksamhet – får lämnas ut till en annan brottsbekämpande myndighets underrättelseverksamhet på begäran endast om det finns sekretessbrytande bestämmelser i särskild lagstiftning eller efter en intresseavvägning enligt generalklausulen. Det innebär att det av sekretesskäl finns större hinder för de brottsbekämpande myndigheterna att utväxla uppgifter med varandra i underrättelseverksamhet än i verksamhet med brottsutredningar.
11.6.3Direktåtkomst för myndigheter med polisiära arbetsuppgifter
Vårt förslag: Rikspolisstyrelsen, polismyndigheterna, Ekobrottsmyndigheten, Rikskattverket, skattemyndigheterna och Kustbevakningen skall i den brottsbekämpande verksamheten få ha direktåtkomst till de uppgifter i tullbrottsdatabasen som Tullverket behandlar för att förhindra eller upptäcka brottslig verksamhet samt för att utreda eller beivra brott. Direktåtkomst skall inte medges till elektroniska handlingar. Direktåtkomst skall förbehållas de personer som behöver uppgifterna i sitt arbete.
248
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Vi har vid flera tillfällen ovan påtalat vikten av ett utökat samarbete mellan de brottsbekämpande myndigheterna (se bl.a. avsnitt 9.4.2). Enligt vår uppfattning är det inte möjligt att på ett effektivt sätt bekämpa grov narkotikabrottslighet och annan organiserad brottslighet utan ett långtgående samarbete mellan de myndigheter som har polisiära befogenheter och arbetsuppgifter. Ett viktigt medel i samarbetet är utbyte av information, i såväl brottsutredningar som underrättelseverksamhet. För att kunna uppnå en hög effektivitet i informationsutbytet anser vi att det är nästan nödvändigt att utnyttja de bästa tekniska hjälpmedel som finns i dag. Särskilt stor betydelse har enligt vår uppfattning möjligheten att komma åt uppgifter hos andra myndigheter genom direktåtkomst till viktiga register och databaser.
Direktåtkomst förekommer redan i dag i viss omfattning mellan de brottsbekämpande myndigheterna. Ett exempel är Rikspolisstyrelsens belastningsregister och misstankeregister, vilka är tillgängliga för flera av de brottsbekämpande myndigheterna. Vi anser emellertid att det finns anledning att överväga om man inte bör gå betydligt längre än så.
En viktig fråga när det gäller direktåtkomst är naturligtvis integritetsaspekterna. I många register som förs av brottsbekämpande myndigheter finns stora mängder personuppgifter av känslig karaktär, vilket gör att det finns all anledning att vara restriktiv med att tillåta andra myndigheter att få åtkomst till uppgifterna. Vi är emellertid av den uppfattningen att det i kampen mot brottsligheten finns starka skäl för att tillägna sig ett helhetsperspektiv, dvs. att se brottsbekämpningen som en för flera myndigheter gemensam verksamhet. Det förhållandet att olika uppgifter inom brottsbekämpningen av organisatoriska, historiska eller andra skäl är uppdelade och ligger på skilda myndigheter, innebär inte nödvändigtvis att det uppstår större risker från integritetssynpunkt med direktuppkopplingar mellan myndigheterna än vad som skulle varit fallet om all brottsbekämpande verksamhet låg hos en och samma myndighet.
Som ett konkret exempel kan tas Ekobrottsmyndigheten. I stora delar av landet är det de regionala polismyndigheterna som själva sköter arbetet med att kartlägga och utreda ekonomisk brottslighet. Det kan enligt vår bedömning inte sättas i fråga att de särskilda enheter eller rotlar inom en polismyndighet som arbetar med ekonomisk brottslighet bör få direkt tillgång till myndighetens övriga register, under förutsättning att det behövs för
249
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
verksamheten. Det förhållandet att man för storstadsregionerna har inrättat en organisatoriskt fristående myndighet, Ekobrottsmyndigheten, som har till särskild uppgift att hantera ekonomisk brottslighet, bör enligt vår bestämda uppfattning inte medföra att de poliser som arbetar på den myndigheten får sämre förutsättningar att sköta sitt arbete än de poliser som arbetar med ekonomisk brottslighet på en regional polismyndighet. Det är i stora delar samma arbete som utförs vid myndigheterna och ändamålen med verksamheterna är också desamma; att komma åt den ekonomiska brottsligheten. Motsvarande resonemang kan teoretiskt föras om man tänker sig att vissa av Tullverkets arbetsuppgifter flyttades över till polisen. Det avgörande för vilken information tjänstemännen vid Tullverket eller polismyndigheterna har tillgång till bör inte i första hand vara hur arbetet fördelas organisatoriskt mellan myndigheterna, utan i stället vilka arbetsuppgifterna och ändamålen med verksamheten faktiskt är.
Vi menar att det finns starka skäl som talar för att möjligheterna till direktåtkomst mellan de brottsbekämpande myndigheterna bör utökas väsentligt i förhållande till vad som gäller i dag, både i fråga om uppgifter i underrättelseverksamhet och uppgifter i brottsutredningar. Mot bakgrund av detta föreslår vi att det i lag inte anges några begränsningar för myndigheter med polisiära arbetsuppgifter att genom direktåtkomst ta del av relevanta uppgifter i register som förs av Tullverket i den brottsbekämpande verksamheten. De myndigheter det gäller är Rikspolisstyrelsen, polismyndigheter, Ekobrottsmyndigheten, Riksskatteverket och skattemyndigheter (skattebrottsenheterna) samt Kustbevakningen. Eventuella begränsningar eller preciseringar av omfattningen av direktåtkomst bör enligt vår uppfattning inte anges i lag, utan i stället bör regeringen ha ansvaret för sådan närmare reglering.
Vi föreslår undantag från rätten till direktåtkomst endast så vitt avser de elektroniska handlingar som Tullverket behandlar i ärendehanteringssystem m.m. En orsak till detta är att det inte är möjligt för Tullverket att i fråga om inkomna handlingar kontrollera innehållet. De måste därför i allmänhet anses som särskilt känsliga. Samtidigt kan vi inte se att det i polisiär verksamhet finns ett behov av att få direkt tillgång till handlingar som ingår i en annan myndighets ärendehantering. Integritetsaspekterna är med andra ord så starka att de i fråga om elektroniska handlingar inte uppvägs av några synbara effektivitetsskäl. Det bör dock påpekas att om en myndighet vill ha tillgång till en handling
250
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
hos Tullverket, finns det enligt våra förslag inget som hindrar att den efter begäran och sekretessprövning översänds elektroniskt från Tullverket till myndigheten (se avsnitt 11.5.2).
Som vi nämner ovan bör det vara regeringens ansvar att närmare föreskriva i vilken omfattning de i lagen angivna myndigheterna skall ha rätt till direktåtkomst. Vi föreslår att det i förordning tas in bestämmelser som innebär att de aktuella myndigheterna får ha direktåtkomst till samtliga uppgiftskategorier i tullbrottsdatabasen, dvs. inga begränsningar i förhållande till vad som kan medges enligt lagen. En mycket viktig bestämmelse i detta sammanhang är också att all direktåtkomst skall vara förbehållen de personer vid de polisiära myndigheterna som på grund av sina arbetsuppgifter behöver tillgång till de aktuella uppgifterna. På samma sätt som det redan i dag förekommer olika behörighetsnivåer m.m. inom respektive myndighet, bör även åtkomst till tullens register begränsas genom att behörighet endast ges till personer vid andra myndigheter som har ett faktiskt behov av uppgifterna. Under den förutsättningen anser vi att det inte finns skäl att ytterligare föreskriva några begränsningar av åtkomsten.
För att problem inte skall uppstå av sekretesskäl föreslår vi att det i förordningen också tas in en sekretessbrytande bestämmelse, som innebär att Tullverket på begäran är skyldig att lämna ut uppgifter och handlingar i tullbrottsdatabasen till de myndigheter som omfattas av rätten till direktåtkomst.
Informationsbehovet är naturligtvis inte så enkelriktat att det bara är polisen och andra brottsbekämpande myndigheter som behöver tillgång till uppgifter hos tullen. Tullverket har i allra högsta grad behov av uppgifter som förekommer hos polisen och de övriga myndigheterna. Vi bedömer emellertid att det inte ligger inom ramen för vårt uppdrag att nu lämna förslag på vilka åtkomstmöjligheter tullen bör ha till andra brottsbekämpande myndigheters material. Vad vi har att ta ställning till är därför endast vilken åtkomst övriga myndigheter bör få ha till tullens register och databaser. Det skulle emellertid vara värdefullt om dessa mer övergripande frågor sågs över i ett sammanhang. På det sättet skulle man få en samlad bild av vilka behov som finns hos samtliga inblandade myndigheter samtidigt som en för de brottsbekämpande myndigheterna mer enhetlig lagstiftning skulle kunna tillskapas på personuppgiftsområdet. Vi anser därför att en övergripande och samlad översyn bör göras av informationsutbytet mellan de brottsbekämpande myndigheterna, såväl i fråga om
251
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
sekretessbestämmelser som regler om direktåtkomst m.m. inom ramen för lagstiftning om behandling av personuppgifter.
11.6.4Direktåtkomst för åklagarmyndigheter
Vårt förslag: Riksåklagaren, åklagarmyndigheterna och Ekobrottsmyndigheten skall få ha direktåtkomst till de uppgifter och elektroniska handlingar som Tullverket behandlar i tullbrottsdatabasen för att utreda och beivra brott och som förekommer i en förundersökning under ledning av en åklagare. Direktåtkomst skall förbehållas de personer som behöver uppgifterna och handlingarna i sitt arbete.
De frågor om samarbete mellan brottsbekämpande myndigheter med polisiära arbetsuppgifter som vi diskuterar i föregående avsnitt avseende underrättelseverksamhet och brottsutredningar, har självfallet stor bäring även i fråga om åklagarmyndigheternas brottsutredande arbetsuppgifter. Utbyte av information är ett viktigt medel i samarbetet och för att kunna uppnå en hög effektivitet i informationsutbytet anser vi att de bästa tekniska hjälpmedel som finns i dag måste få utnyttjas. Av särskilt stor betydelse är möjligheten att komma åt uppgifter hos andra myndigheter genom direktåtkomst till viktiga register och databaser.
I brottsutredningar, och då främst förundersökningar, som initieras av Tullverket är ofta andra myndigheter inblandade. I de flesta fall som inte rör ringa brottslighet är det åklagare från åklagarmyndigheterna eller Ekobrottsmyndigheten som agerar förundersökningsledare. Samarbete kan emellertid förekomma även med Riksåklagaren. För att dessa myndigheter skall kunna fullgöra sina arbetsledande uppgifter även när allt mer information i förundersökningar börjar behandlas elektroniskt i register och ärendehanteringssystem hos Tullverket, måste de enligt vår uppfattning ha direktåtkomst till den relevanta informationen. Däremot kan vi inte se något större behov för åklagarmyndigheter
– som inte själva bedriver underrättelseverksamhet eller på annat sätt arbetar med att upptäcka och förhindra brottslig verksamhet – att få tillgång till uppgifter i Tullverkets underrättelseregister och andra system som inte primärt används för brottsutredande ändamål.
252
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
I ett avseende har åklagarmyndigheter ett behov av uppgifter hos Tullverket som inte motsvaras av något liknande behov hos de polisiära myndigheterna. Vi redovisar i föregående avsnitt vår uppfattning att dessa senare myndigheter inte bör få tillgång till elektroniska handlingar i ärenden hos Tullverket, eftersom det inte finns några påtagliga effektivitetsvinster att göra som kan uppväga de integritetsrisker som skulle uppstå. För åklagarmyndigheter är situationen annorlunda. I förundersökningar och andra brottsutredningsärenden kan det förväntas att allt fler handlingar inom en snar framtid kommer att hanteras elektroniskt i form av text, bild eller ljud. För att personal vid åklagarmyndigheterna skall kunna fullgöra sina uppgifter som förundersökningsledare måste den enligt vår mening ha tillgång även till de elektroniska handlingarna i aktuella ärenden.
Vi föreslår därför att Riksåklagaren, åklagarmyndigheterna och Ekobrottsmyndigheten genom föreskrift i lag skall ges rätt att få ha direktåtkomst till både de uppgifter och de elektroniska handlingar som Tullverket behandlar för att utreda och beivra brott.
Vi anser emellertid att det bör vara regeringens ansvar att närmare föreskriva om i vilken omfattning åklagarmyndigheterna skall ha rätt till direktåtkomst. Vi föreslår att det i förordning tas in en bestämmelse som innebär att åklagarmyndigheterna får ha direktåtkomst till de uppgifter och handlingar i tullbrottsdatabasen som förekommer i en förundersökning under ledning av en åklagare. Detta innebär en begränsning av åtkomsten till att endast avse material som hör till en aktuell brottsutredning. En mycket viktig bestämmelse är också att all direktåtkomst skall vara förbehållen de personer vid åklagarmyndigheterna som på grund av sina arbetsuppgifter behöver tillgång till de aktuella uppgifterna. Det betyder att det bara är den åklagare som är förundersökningsledare i ett visst ärende som, tillsammans med övrig personal som arbetar med ärendet, kan få direktåtkomst till de elektroniska handlingarna och övriga uppgifter i just det ärendet. Under den förutsättningen anser vi att det inte finns skäl att ytterligare föreskriva några begränsningar av åtkomsten.
För att problem inte skall uppstå av sekretesskäl föreslår vi att det i förordningen också tas in en sekretessbrytande bestämmelse, som innebär att Tullverket är skyldigt att till åklagarmyndigheterna på begäran lämna ut uppgifter och handlingar i tullbrottsdatabasen.
253
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
11.6.5Direktåtkomst i internationella förhållanden
Vårt förslag: En utländsk myndighet skall få ha direktåtkomst till uppgifter i tullbrottsdatabasen om regeringen har meddelat föreskrifter om det eller om det är nödvändigt för att Tullverket skall kunna fullgöra det arbete som åligger verket enligt lagen (2000:1219) om internationellt tullsamarbete.
Som vi nämner ovan i bl.a. avsnitt 11.4.4 ingår ett omfattande internationellt samarbete i Tullverkets brottsbekämpande verksamhet. Möjligheterna att bedriva det internationella arbetet bör inte begränsas i onödan genom bestämmelser i en lag om behandling av personuppgifter. Samtidigt finns det i fråga om direktåtkomst särskilt starka integritetsskäl för att inte tillåta att uppgifter lämnas ut på sådant sätt utan att det finns starka skäl för det. Ett problem med det internationella arbetet är emellertid svårigheterna med att förutse vilka skyldigheter Tullverket kan anses ha i fråga om t.ex. informationsutbyte. Det är därför i det närmaste omöjligt att i den av oss föreslagna lagen konkret ange under vilka förutsättningar uppgifter och handlingar skall få lämnas ut genom direktåtkomst.
På samma sätt som vi i avsnitt 11.5.2 föreslår för annat elektroniskt utlämnande anser vi att det är lämpligt att låta lagen (2000:1219) om internationellt tullsamarbete ligga till grund för under vilka förutsättningar Tullverket skall få lämna ut uppgifter genom direktåtkomst i internationella sammanhang. Genom den nämnda lagen har nämligen riksdagen angett vilka skyldigheter Tullverket har gentemot andra länder, bl.a. i fråga om informationsutbyte. Till skillnad från vad vi föreslår skall gälla för annat elektroniskt utlämnande bör det dock, för att direktåtkomst skall komma i fråga, vara nödvändigt för att Tullverket skall kunna fullgöra Sveriges internationella åtaganden. Utöver detta bör regeringen ha möjlighet att i förordning uttryckligen ge Tullverket rätt att i särskilt angivna fall lämna ut uppgifter till utländska myndigheter genom direktåtkomst.
254
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
11.6.6Sekretessbrytande bestämmelser för att möjliggöra direktåtkomst
Vårt förslag: De brottsbekämpande myndigheter som får ha direktåtkomst till tullbrottsdatabasen skall ha rätt att på begäran få ut uppgifter och handlingar i databasen.
Vi lämnar i detta betänkande förslag på nödvändiga sekretessbrytande bestämmelser för utlämnande av uppgifter från Tullverket i den kompletterande förordningen. Det innebär att i de fall vi föreslår att det i lag anges att någon får ha direktåtkomst till vissa uppgifter i tullbrottsdatabasen, så föreslår vi i förordning en uppgiftsskyldighet, dvs. att de aktuella uppgifterna skall lämnas ut till den mottagande myndigheten. Förslaget grundar sig på de resonemang vi för i tidigare avsnitt under 11.6.3 och 4, nämligen om det stora behovet av ett utökat samarbete mellan de brottsbekämpande myndigheterna. Sekretessgränserna bör alltså enligt vår mening i praktiken finnas runt själva den brottsbekämpande verksamheten, oavsett vilken myndighet som utför arbetet. Mellan dessa myndigheter bör så få hinder som möjligt finnas att utbyta uppgifter med varandra.
11.7Sökbegränsningar i databasen
11.7.1Begränsningar vid sökning efter uppgifter i tullbrottsdatabasen
Vårt förslag: Vid sökning efter uppgifter i tullbrottsdatabasen skall känsliga personuppgifter inte få användas som sökbegrepp om det inte är oundgängligen nödvändigt.
Vid sidan av innehållet i och åtkomsten till register och databaser, är frågan om på vilket sätt uppgifter kan sammanställas en av de viktigare från integritetssynpunkt. Ju större möjligheter det finns att i olika konstellationer sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Den metod som i dag främst används för att förhindra att det görs oönskade sammanställningar, är begränsningar av sökmöjligheterna.
255
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Det är framför allt i ett avseende som vi anser att det av integritetsskäl finns anledning att ha rättsliga begränsningar för vilka uppgifter som skall få användas vid sökning efter uppgifter i tullbrottsdatabasen (för elektroniska handlingar redovisar vi särskilda överväganden nedan). Det gäller känsliga personuppgifter, som enligt vårt lagförslag får registreras endast om det är oundgängligen nödvändigt och om andra uppgifter om den aktuella personen redan behandlas på annan grund. Känsliga personuppgifter får alltså behandlas endast som ett komplement till de andra uppgifter som är skälet till att personen i fråga förekommer i databasen (se avsnitt 11.4.1). Enligt vår mening bör det då inte vara möjligt att fritt söka efter information om känsliga personuppgifter i tullbrottsdatabasen om det inte är oundgängligen nödvändigt för syftet med behandlingen. En uppgift om t.ex. etnisk härkomst får alltså användas som sökbegrepp bara under den förutsättningen att det är absolut nödvändigt för att få fram den information som behövs vid t.ex. ett ingripande vid en gränskontroll.
11.7.2Begränsningar vid sökning efter elektroniska handlingar i tullbrottsdatabasen
Vårt förslag: Vid sökning efter elektroniska handlingar i tullbrottsdatabasen skall endast följande uppgifter få användas som sökbegrepp:
–namn samt person- eller samordningsnummer,
–datum då handlingen kom in eller upprättades,
–diarienummer eller annan beteckning som har åsatts handlingen,
–från vem handlingen har kommit in eller till vem den har expedierats,
–i korthet vad handlingen rör.
Som vi redovisar i avsnitt 11.3.2 anser vi att behandlingen av personuppgifter i elektroniska ärendehanteringssystem kan innebära risker för otillbörliga intrång i den personliga integriteten. Vi menar därför att det är nödvändigt att ställa upp vissa särskilda regler för hanteringen av elektroniska handlingar. Det bör enligt vår uppfattning inte vara möjligt att med hjälp av helt fri sökning
256
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
göra sammanställningar av uppgifter i elektroniska handlingar i ett ärendehanteringssystem. Beroende på de tekniska förutsättningarna skulle en sådan möjlighet kunna innebära att sammanställningar kan göras av samtliga förundersökningsärenden där den misstänkte har en viss nationalitet. Något påtagligt behov av att helt fritt kunna göra sammanställningar av den karaktären finns inte och bör enligt vår mening av integritetsskäl inte heller tillåtas. Därför bör det sättas upp begränsningar för sökmöjligheterna i ärendehanteringssystem.
För att ärendehanteringen skall kunna skötas på ett effektivt sätt är det dock nödvändigt att handläggare ges möjlighet att söka efter såväl ett ärende som enskilda handlingar, t.ex. med angivande av namn på den ärendet rör, ärendebeteckning eller beteckning på en specifik handling. Däremot anser vi att integritetsskälen väger tyngre än effektivitetsskälen när det gäller mer sofistikerade eller exakta sökmöjligheter. Vid sökning efter en handling i databasen bör därför enligt vår uppfattning endast namn och person- eller samordningsnummer samt de uppgifter som enligt 15 kap. 2 § första stycket
Däremot finns det enligt vår bedömning skäl att se annorlunda på frågan när en handling väl är identifierad och direkt tillgänglig för en handläggare. Att i den situationen inte tillåta de sökmöjligheter som redan i dag ges i ordbehandlingsprogram, t.ex. för att finna ett speciellt textavsnitt i längre dokument, framstår inte som befogat. Det är av effektivitetsskäl inte rimligt att en handläggare, när han eller hon arbetar med en omfattande elektronisk handling i ett ärende, skall lägga ner tid på att på egen hand söka sig fram till ett önskat textavsnitt, i stället för att genom ett enkelt sökkommando låta datorsystemet utföra det arbetet. Några faror från integritetssynpunkt med att tillåta ett sådant förfarande föreligger knappast. De uppställda sökbegränsningarna bör därför gälla vid sökning efter elektroniska handlingar, men inte i handlingarna när de väl har identifierats.
257
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Till elektroniska akter kan det höra ett indexregister, dvs. ett dagboksblad eller motsvarande handling, av vilket det framgår vilka handlingar som finns i en akt. Om ett sådant indexregister är en integrerad del av ett ärendehanteringssystem, och således en del av den elektroniska akt som dagboksbladet e.d. avser, kan indexregistret enligt våra förslag omfattas av samma regler som övriga elektroniska handlingar i akten. Under förutsättning att ett indexregister inte innehåller uppgifter som endast får förekomma i elektroniska handlingar som hör till ett ärende, föreligger dock inga hinder från integritetssynpunkt mot att uppgifterna även behandlas som enskilda uppgifter i den informationsbaserade delen av en databas. Ett sådant förfarande innebär att indexregistret kan göras tillgängligt utan att den elektroniska akten öppnas och registret kommer då inte att omfattas av de begränsningar i sökmöjligheter som gäller för övriga handlingar i akten. Det innebär även att uppgifter i indexregistret kan göras åtkomliga genom direktåtkomst för andra brottsbekämpande myndigheter, utan de särskilda begränsningar för sådan åtkomst som vi föreslår skall gälla för elektroniska handlingar (se avsnitt
11.7.3Sökning efter uppgifter och handlingar hos en arkivmyndighet
Vårt förslag: Uppgifter och handlingar som har överlämnats till en arkivmyndighet skall efter viss tid få eftersökas utan begränsningar i fråga om sökbegrepp.
De begränsningar som vi föreslår skall gälla vid sökning efter uppgifter och handlingar i tullbrottsdatabasen, är helt föranledda av de integritetsrisker som fri sökning i ett omfattande elektroniskt material kan medföra. Av naturliga skäl avtar dessa risker med tiden och det kan därför finnas anledning att överväga om inte begränsningarna bör kunna hävas efter att uppgifter och handlingar, som inte gallrats, har överlämnats till en arkivmyndighet. Vinsten med detta skulle vara att det då ges utökade möjligheter att utnyttja äldre, och därför mindre känsligt, elektroniskt lagrat material för t.ex. historisk forskning vid Riksarkivet och landsarkiven. Vi kan inte se några hinder för en sådan ordning, under förutsättning att det slås fast en rimlig tidsgräns för när begränsningarna vid sökning skall förändras i mildrande riktning eller helt upphöra. Därför
258
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
föreslår vi att regeringen i lag ges möjligheter att föreskriva att fler sökbegrepp skall få vara tillåtna efter att uppgifter eller handlingar har överlämnats till en arkivmyndighet. Vi föreslår också att det i förordning anges att uppgifter och handlingar som förvaras vid en arkivmyndighet skall kunna eftersökas fritt utan begränsningar, när det ärende till vilket uppgifterna och handlingarna hör har varit avslutat i minst tjugofem år. Efter den tiden föreligger det sannolikt inte några tungt vägande integritetsskäl mot att begränsningarna i fråga om sökning tas bort.
11.8Bevarande och gallring
11.8.1Allmänt om bevarande och gallring
Vi konstaterar tidigare att det uppstår integritetsproblem när stora mängder uppgifter om enskilda personer samlas hos myndigheter, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information kan göras på ett enkelt sätt (se avsnitt 10.2). En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet inte finns kvar i myndighetens databaser eller register. För att uppnå detta krävs bestämmelser om gallring av uppgifter eller om överlämnande av uppgifter till en arkivmyndighet.
Vid utformningen av gallringsbestämmelser måste det dock hållas i minnet att offentlighetsprincipen, för att den inte skall bli verkningslös, ställer krav på att vissa uppgifter bevaras för framtiden. Uppgifter får i princip aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre huvudändamålen med arkivverksamheten. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättsskipningens och förvaltningens behov samt forskningens behov. Det går alltså inte att bara ange att samtliga uppgifter skall gallras när de inte behövs för verksamheten. Tvärtom behövs en avvägning mellan integritets- och offentlighetsintresset. Detta är viktigt inte minst i en tid då mängder av uppgifter finns endast i elektronisk form. En fullständig gallring av samtliga uppgifter i ett dataregister kan omöjliggöra en senare rekonstruktion av händelseförlopp. Integritetsintresset tjänas inte alltid bäst av att så många uppgifter som möjligt gallras. I vissa fall har bevarandet av känsliga uppgifter visat sig vara till stor
259
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
fördel för enskilda. Som exempel kan nämnas den för ett tag sedan högaktuella frågan om ersättning till tvångssteriliserade. Ett stort antal personer har efter många år nu fått upprättelse för tidigare allvarliga integritetskränkningar, just på grund av att de känsliga uppgifterna inte har förstörts, utan i stället bevarats och därigenom kunnat utgöra underlag för att rekonstruera historiska händelseförlopp.
Alternativa metoder för reglering av bevarande och gallring
Grundläggande bestämmelser om bevarande och gallring av uppgifter hos myndigheter finns i 2 kap. tryckfrihetsförordningen och arkivlagen (1990:782). Hur länge personuppgifter får bevaras regleras dessutom allmänt i personuppgiftslagen som ett grundläggande krav på behandling av personuppgifter. I 9 § första stycket i) personuppgiftslagen anges att den personuppgiftsansvarige skall se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. I fråga om personuppgifter som behandlas i myndighetsverksamhet tillämpas i första hand bestämmelserna i arkivlagen. I de registerförfattningar som i dag gäller för statlig verksamhet finns regelmässigt även särskilda gallringsbestämmelser för uppgifter som behandlas automatiserat. Enligt vår bedömning finns det behov av klara och enkla regler om gallring i de lagar som skall reglera behandling av personuppgifter i myndighetsverksamhet. Hur dessa bestämmelser bör utformas kan bero på sådana omständigheter som omfattningen av och integritetskänsligheten hos de registrerade uppgifterna.
Vi har för vår del övervägt två alternativ till hur gallrings- och bevarandefrågor kan regleras i speciallagstiftning för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, nämligen
–att inte ha några särbestämmelser över huvud taget, vilket innebär att arkivlagens regler gäller fullt ut, eller
–att i lag ange att samtliga uppgifter skall gallras och när det skall göras, men ge regeringen eller Riksarkivet möjlighet att besluta om undantag.
Det första alternativet dominerar helt när det gäller traditionella pappersbaserade uppgifter i allmänna handlingar. Det finns starka skäl som talar för att samma förfarande bör gälla som huvudregel
260
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
även i fråga om uppgifter som behandlas automatiserat, inte minst eftersom det blir allt vanligare att elektronisk information helt ersätter vanlig pappersbaserad information. Enligt vår bedömning kommer det i förlängningen inte att vara möjligt att som i dag ha principiellt skilda bevarande- och gallringsregler för uppgifter på papper respektive digitala uppgifter.
För integritetskänsliga uppgifter och handlingar, vilket det generellt är fråga om i brottsbekämpande verksamhet, är det enligt vår bedömning emellertid tveksamt om det är lämpligt att nu tillämpa det för pappersbaserade uppgifter normala alternativet som huvudregel i fråga om automatiserad behandling. Vi anser dock att det bör göras vad gäller information i förundersökningar (se avsnitt 11.8.4). Att generellt tillämpa den metoden skulle innebära att lagstiftaren inte hade någon direkt kontroll över gallringsförfarandet för de aktuella uppgifterna, utan de generella och allmänna bestämmelserna i arkivlagen skulle gälla fullt ut. Tekniken har i och för sig använts i annan lagstiftning som rör känsliga uppgifter, men det har då funnits särskilda skäl för det. I lagen (1998:543) om hälsodataregister saknas bestämmelser om gallring, vilket innebär att arkivlagens bestämmelser blir tillämpliga. Regeringen konstaterade i förarbetena att en alltför omfattande gallring kunde leda till att det inte finns tillräckligt med material för t.ex. epidemiologiska undersökningar, medan en alltför begränsad gallring kunde leda till att känsliga uppgifter om enskilda sparas i onödan. På grund av svårigheterna med att i lagform reglera flera olika register som förändras över tiden avseende innehåll m.m., valde regeringen att låta arkivlagens bestämmelser gälla (prop. 1997/98:108 s. 59 f.).
Det andra alternativet är det vanligaste i nya registerförfattningar och metoden utgår från att det i lag ställs upp huvudregler för när gallring skall ske. Regeringen eller Riksarkivet kan sedan besluta eller meddela föreskrifter om att uppgifter skall bevaras. Detta innebär en fördel från författningssynpunkt, eftersom särskild reglering behöver göras endast när det finns skäl för det. En ytterligare fördel med en sådan metod är att det direkt i lagtexten finns en ”säkerhetsventil” mot att stora uppgiftssamlingar med känsliga uppgifter bevaras, trots att de inte har något faktiskt värde för verksamheten, men på grund av sin omfattning kan vara skadliga från integritetssynpunkt. Det bör dock noteras att eftersom vårt förslag – utom vad avser material i förundersökningar
– i princip innebär att allt skall gallras om inte Riksarkivet utfärdar
261
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
föreskrifter om undantag, så ställs det krav på att Riksarkivet efter hand tar ställning till hur nya typer av uppgifter skall hanteras. Uppgifter och handlingar kan annars komma att gallras helt, vilket innebär att inte något material bevaras för framtiden.
11.8.2Gallring av uppgifter och handlingar i databasen
Vårt förslag: Uppgifter i tullbrottsdatabasen skall gallras vid olika tidpunkter, beroende på för vilka ändamål uppgifterna behandlas. Uppgifter som behandlas för att
–förhindra eller upptäcka brottslig verksamhet skall gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes av en uppgift om att en person kan antas ha samband med misstänkt brottslig verksamhet,
–utreda eller beivra brott utan att en förundersökning har inletts skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades,
–fullgöra internationella åtaganden skall gallras när uppgifterna inte längre behövs för sitt ändamål.
Elektroniska handlingar i tullbrottsdatabasen skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades.
Regeringen eller den myndighet regeringen bestämmer skall få meddela föreskrifter om att uppgifter och handlingar får gallras vid en annan tidpunkt eller bevaras.
Den reglering som vi föreslår om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet innebär att ett stort antal mycket integritetskänsliga uppgifter och handlingar kommer att samlas i tullbrottsdatabasen. Vi anser därför att det i fråga om gallring och bevarande av informationen i databasen är lämpligt att i lag ange huvudregler för när gallring skall ske, men samtidigt ge regeringen eller den myndighet som regeringen bestämmer, dvs. Riksarkivet, möjligheter att föreskriva om undantag när det anses motiverat (jfr avsnitt 11.8.1). En sådan lagstiftningsteknik gör det möjligt att ta hänsyn till såväl offentlighetssom integritetsintressena, utan att det samtidigt kräver en mer omfattande eller tillkrånglad författningsreglering. Det är emellertid enligt vår
262
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
uppfattning inte möjligt att bestämma en enhetlig och rimlig gallringstidpunkt för samtliga uppgifter och handlingar som behandlas i tullbrottsdatabasen.
Gallringstider för uppgifter i databasen
När det gäller uppgifter och handlingar som behandlas för ändamålet förhindra eller upptäcka brottslig verksamhet, har vi som utgångspunkt haft den gallringstidpunkt som i dag gäller för Tullverkets underrättelseregister. När inga nya uppgifter om en person som förekommer i sådan verksamhet inom Tullverket har registrerats under tre år efter att den senaste registreringen gjordes, saknas det normalt anledning att bevara uppgifterna. Om befintliga uppgifter avseende en viss person under denna treårsperiod däremot kompletteras med nya uppgifter, är det ofta av stort värde att även bevara de äldre uppgifterna. Vi föreslår därför att sådana uppgifter om en person som behandlas för att Tullverket skall kunna upptäcka eller förhindra brottslig verksamhet, skall gallras senast tre år efter utgången av det kalenderår då den sista registreringen gjordes av en uppgift om att en person kan antas ha samband med misstänkt brottslig verksamhet.
Uppgifter som behandlas i ett ärende på den grunden att Tullverket utreder eller beivrar brott kan delas in i två huvudkategorier. Det är dels uppgifter i förundersökningar, dels uppgifter i s.k. förenklade förfaranden när ett brott kan beivras utan förundersökning. När brott beivras utan att förundersökning inleds, dvs. i samtliga de fall då ordningsbot eller strafföreläggande utfärdas, saknas det i normalfallet anledning att bevara uppgifter under längre tid än ett år efter att ärendet är avslutat. Vi föreslår därför som huvudregel att alla uppgifter som behandlas för ändamålet brottsutredningar skall gallras senast ett år efter utgången av det kalenderår då ärendet avslutades.
När det gäller uppgifter och handlingar i förundersökningar bör materialet få bevaras i enlighet med arkivlagens bestämmelser. Material i sådana ärenden kan behöva användas i andra brottsutredningar eller i anledning av resningsansökningar m.m. långt mer än ett år efter att ärendet är avslutat. I nedlagda förundersökningar eller åtal eller i ärenden där den misstänkte genom en lagakraftvunnen dom har frikänts, finns det emellertid av integritetsskäl anledning att ha begränsande bestämmelser för hur
263
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
uppgifterna får behandlas. Om sådant förundersökningsmaterial lagras under lång tid utan begränsningar i hur det får användas, kan det nämligen ”växa fram” särskilda misstankeregister hos Tullverket, vilket enligt vår uppfattning inte är acceptabelt. Vi anser att det är lämpligt att de särskilda behov som rör förundersökningar tillgodoses genom att det i förordning föreskrivs dels uttryckliga undantag från huvudregeln om gallring av uppgifter i brottsutredningar, dels särskilda integritetsskyddande bestämmelser avseende uppgifter i nedlagda förundersökningar och åtal (se avsnitt 11.8.4).
Tullverket behandlar också uppgifter för att Sverige skall kunna fullgöra sina internationella åtaganden. I princip är det omöjligt att i förväg bedöma hur länge sådana uppgifter måste finnas tillgängliga, eftersom det kan vara beroende av internationella överenskommelser eller
Gallringstider för elektroniska handlingar
Elektroniska handlingar i ärenden i Tullverkets brottsbekämpande verksamhet kan enligt vår bedömning, som huvudregel, gallras senast ett år efter utgången av det kalenderår då ärendet avslutades. På motsvarande sätt som för uppgifter skall dock handlingar i förundersökningar bevaras enligt arkivlagens regler (se avsnitt 11.8.4).
11.8.3Gallring av uppgifter som behandlas på annat sätt än i databasen
Vårt förslag: Uppgifter som behandlas automatiserat i ett annat ärende än en förundersökning skall rensas eller gallras senast ett år efter det att ärendet avslutades. Uppgifter som inte kan hänföras till ett särskilt ärende skall i stället rensas eller gallras senast ett år efter att de behandlades automatiserat första gången.
Regeringen eller den myndighet regeringen bestämmer skall få meddela föreskrifter om att uppgifter som behandlas automatiserat får bevaras.
264
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
Uppgifter i manuella register skall gallras i enlighet med bestämmelserna i arkivlagen ( 1990:782).
Uppgifter som behandlas automatiserat
Enligt vår uppfattning behövs särskilda gallringsbestämmelser i Tullverkets brottsbekämpande verksamhet inte bara i fråga om uppgifter och handlingar som behandlas i tullbrottsdatabasen. Även sådan automatiserad behandling av personuppgifter som enligt vårt förslag inte utförs inom ramen för tullbrottsdatabasen kan vara mycket integritetskänslig. Det gäller inte minst den information som behandlas inom särskilda projekt i underrättelseverksamheten.
Med den moderna teknik som används i den brottsbekämpande verksamheten i dag, kan stora mängder uppgifter lätt lagras elektroniskt även på annat sätt än i ett särskilt reglerat register eller en databas. En stor del av det skriftliga material som produceras av Tullverket utarbetas numera i datorer med hjälp av ordbehandlingsprogram. Även i de fall då slutprodukten skrivs ut på papper och tillfogas akten i ett ärende, sparas informationen vanligtvis under viss tid genom att lagras elektroniskt. På detta sätt kan det på ganska kort tid växa fram omfattande informationsmängder hos en myndighet, information som dessutom ofta är lätt tillgänglig genom olika typer av sökprogram.
Vi bedömer att det i allmänhet saknas starka skäl för att Tullverket på elektronisk väg skall tillåtas bevara sådan information, utan att några åtgärder vidtas. Vi föreslår därför generellt att uppgifter som är föremål för automatiserad behandling i ett ärende
– utan att behandlingen görs i tullbrottsdatabasen – skall gallras senast ett år efter att ärendet har avslutats. I de fall uppgifter inte kan hänföras till ett särskilt ärende skall de i stället gallras senast ett år efter att de behandlades automatiserat första gången.
På motsvarande sätt som för behandling i databasen bör särskilda bestämmelser gälla för uppgifter i förundersökningar. Sådana uppgifter bör bevaras i enlighet med arkivlagens regler (se avsnitt 11.8.4).
Om uppgifter som behandlas inte utgör allmänna handlingar skall de i stället definitionsmässigt rensas. Det som avgör om uppgifter skall gallras eller rensas följer med andra ord av bestäm-
265
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
melserna om allmänna handlingar i 2 kap. tryckfrihetsförordningen.
Bestämmelsen om gallring innebär att information inte får lagras under längre tid än ett år utan att på ett konkret sätt användas i verksamheten. Det skall med andra ord inte vara tillåtet att under lång tid i elektronisk form lagra information som kan vara ”bra att ha” i framtiden. Om däremot åtgärder vidtas inom ett år genom att informationen tillförs ett annat, pågående, ärende eller om ett nytt ärende öppnas med anledning av informationen, får den dock bevaras även efter ettårsfristen som en del av det nya ärendet. Detsamma blir fallet om uppgifterna registreras i tullbrottsdatabasen enligt de särskilda bestämmelserna som gäller för den.
Att uppgifterna skall gallras innebär att de kan föras över på papper, varefter den elektroniska informationen raderas. De uppgifter som finns kvar endast på papper omfattas då inte längre av den ettåriga gallringstiden som vi föreslår skall gälla för automatiserad behandling av uppgifter, utan av de allmänna bestämmelserna i arkivlagen. En promemoria som har upprättats av en tjänsteman och som denne vill spara under längre tid än ett år får alltså tryckas ut på papper.
Det kan finnas anledning att för vissa uppgifter tillämpa en annan tidpunkt för gallring. Vissa känsliga uppgifter kan det av integritetsskäl vara lämpligt att gallra vid en tidigare tidpunkt, medan andra mindre känsliga uppgifter kan behöva lagras under en längre tid för att inte onödiga effektivitetsförluster skall uppstå i verksamheten. Det bör enligt vår uppfattning åligga regeringen eller Riksarkivet att meddela föreskrifter om undantag från den annars gällande ettårsregeln.
Uppgifter i manuella register
För personuppgifter som behandlas manuellt och som omfattas av den föreslagna lagstiftningen, dvs. manuella strukturerade register, anser vi att de allmänna bestämmelserna i arkivlagen är tillräckliga för att säkerställa ett gott integritetsskydd. Det finns enligt vår uppfattning ingen anledning att göra åtskillnad mellan sådan manuell behandling och annan behandling av uppgifter på papper (jfr avsnitt 11.8.1).
266
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
11.8.4Särskilt om bevarande och gallring av uppgifter och handlingar i förundersökningar och om behandling av kvarstående misstankar
Vårt förslag: Uppgifter och handlingar i förundersökningar skall bevaras och gallras i enlighet med arkivlagens regler.
Uppgifter och handlingar i ärenden om prövning av om förundersökning skall inledas, skall få behandlas även efter den i lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet angivna gallringstidpunkten. Uppgifterna och handlingarna skall dock få bevaras längst till utgången av det kalenderår då påföljd inte längre kan ådömas för de brott som omfattades av ärendet om prövning av om förundersökning skall inledas.
Om en förundersökning har lagts ned på grund av bristande bevisning skall uppgifter och handlingar i förundersökningen få behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt eller om uppgifterna och handlingarna behövs i en ny förundersökning.
Om ett åtal har lagts ned eller om den misstänkte genom en lagakraftvunnen dom har frikänts skall uppgifter och handlingar i förundersökningen få behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt, om uppgifterna och handlingarna behövs i en ny förundersökning eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.
I dag får uppgifter i en förundersökning bevaras i enlighet med arkivlagens bestämmelser, dvs. det finns inga särskilda gallringsbestämmelser för sådana uppgifter i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Det innebär att för uppgifter och handlingar i förundersökningar gäller samma regler oavsett om behandlingen sker på papper eller om den sker automatiserat. En anledning till att uppgifter i förundersökningar kan behöva behandlas även efter att ärendena har avslutats är att uppgifterna i ett senare skede, ofta tillsammans med ny information, kan läggas till grund för att på nytt ta upp en nedlagd förundersökning eller för att inleda en ny förundersökning. I sällsynta fall kan det också bli aktuellt att begära ny domstolsprövning genom en resningsansökan. Vi ser inga skäl att föreslå andra bestämmelser om bevarande och gallring av material i
267
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
förundersökningar än de som gäller i dag. Det innebär att uppgifter och handlingar i förundersökningar skall bevaras i enlighet med arkivlagens regler, oavsett om behandlingen utförs i tullbrottsdatabasen eller på annat sätt. Det kan noteras att motsvarande regler enligt polisdatalagen gäller för bevarande av material i förundersökningar hos polisen och att Polisdatautredningen inte föreslår någon förändring i den delen (se SOU 2001:92).
Enligt vår uppfattning kan det finnas anledning att också bevara uppgifter och handlingar i ärenden om prövning av om förundersökning skall inledas, s.k. primärutredningar, under längre tid än ett år. Uppgifter i sådana ärenden kan, då de inte leder till att en förundersökning inleds, behövas i ett senare skede då de tillsammans med ny information kan ligga till grund för att inleda en förundersökning. Enligt vår uppfattning bör det i förordning föreskrivas särskilda undantag från den huvudregel om gallring som vi föreslår skall anges i lag. Den enda tidpunkt efter vilken uppgifterna inte längre behövs och som klart kan pekas ut, är när det brott som primärutredningen avsåg har preskriberats, dvs. då någon påföljd inte längre kan ådömas för brottet. Vi föreslår därför att det i förordning tas in en bestämmelse om att uppgifter och handlingar i ärenden om prövning av om förundersökning skall inledas, får behandlas även efter den i lag angivna gallringstidpunkten. Uppgifterna och handlingarna får dock bevaras längst till utgången av det kalenderår då påföljd inte längre kan ådömas för de brott som omfattades av ärendet om prövning av om förundersökning skall inledas.
I lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet finns i dag särskilda bestämmelser om behandling av uppgifter om kvarstående misstankar. Bestämmelserna innebär att uppgifter i nedlagda förundersökningar eller åtal eller i ärenden då den misstänkte har frikänts genom en lagakraftvunnen dom, får sparas på samma sätt som information i andra förundersökningar, men endast under vissa förutsättningar behandlas efter nedläggningsbeslutet.
Ofta kan uppgifter i förundersökningar vara av mycket integritetskänslig karaktär, särskilt när det finns kvarstående misstankar mot de personer som berörs. Det finns därför anledning att omgärda uppgifterna och handlingarna i nedlagda förundersökningar m.m. med särskilda skyddsregler. Det är enligt vår uppfattning mycket viktigt att uppgifter om personer som har figurerat i en förundersökning – eller ett åtal – som har lagts ned,
268
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
inte används som ett allmänt misstankeregister vid sidan av det som förs av Rikspolisstyrelsen. Under förutsättning att det inte framkommer särskilda skäl för det, bör uppgifterna och handlingarna inte få användas i verksamheten. Informationen bör så att säga ligga i träda till dess att det framkommer skäl för att på nytt ta upp frågan om ansvar för de brott som förundersökningen omfattade.
När det gäller förundersökningar som lagts ned på grund av bristande bevisning föreslår vi därför att uppgifter och handlingar i förundersökningarna får behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt eller om uppgifterna och handlingarna behövs i en ny förundersökning.
På motsvarande sätt förslår vi för det fall att ett åtal har lagts ned eller att en misstänkt har frikänts genom en lagakraftvunnen dom, att uppgifter och handlingar i förundersökningen får behandlas för andra ändamål än lagring endast om det behövs för att förundersökningen skall kunna tas upp på nytt, om uppgifterna och handlingarna behövs i en ny förundersökning eller för prövning av särskilt rättsmedel enligt 58 kap. rättegångsbalken.
11.9Enskildas rättigheter
Till skillnad från många bestämmelser i den lag vi föreslår, t.ex. de som avser tullbrottsdatabasen, är de särskilda bestämmelser om enskildas rättigheter som redovisas i detta avsnitt och som i den föreslagna lagen återfinns i kapitel 3 endast tillämpliga på behandling av personuppgifter. Det är med andra ord endast fysiska personer (jfr 3 § personuppgiftslagen) som kan kräva information om utförd behandling eller rättelse av felaktiga uppgifter, som kan överklaga Tullverkets beslut i sådana frågor och som med stöd av den lagstiftning vi föreslår kan kräva skadestånd av verket.
269
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
11.9.1Information
Vårt förslag: Personuppgiftslagens bestämmelser om information som skall lämnas självmant till den registrerade när uppgifter har samlats in från honom eller henne själv och om information som skall lämnas efter ansökan av den registrerade, skall i huvudsak tillämpas vid behandling av personuppgifter vid Tullverket.
Information om elektroniska handlingar i ett ärende, som behandlas i tullbrottsdatabasen och som den enskilde har tagit del av, skall inte behöva omfatta annat än en uppgift om att handlingarna behandlas i databasen. Om den enskilde begär det skall dock informationen omfatta även de handlingar som behandlas.
Personuppgiftslagens bestämmelser om information
Innehållet i personuppgiftslagens bestämmelser om information till den registrerade redogör vi kortfattat för i avsnitt 3.6.3.
Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant skall informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som skall lämnas är uppgifter om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter.
Annorlunda är det med 24 § personuppgiftslagen, där det anges att den registrerade skall informeras även när uppgifter har samlats in från någon annan källa än honom själv. Sådan information behöver nämligen inte lämnas om det finns bestämmelser om registreringen i en lag eller annan författning. När behandling av personuppgifter hos en myndighet regleras i särskild lagstiftning på det sätt som vi föreslår för Tullverket, med bestämmelser om vad som får registreras och hur uppgifter i övrigt får hanteras, krävs det enligt personuppgiftslagen således inte att sådan information ges. Vi har inte funnit några skäl för att Tullverket trots detta skall lämna sådan information. Bestämmelsen i 24 § personuppgiftslagen bör således inte tillämpas på behandling enligt den av oss föreslagna lagen.
270
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
En av de från integritetssynpunkt viktigaste bestämmelserna i personuppgiftslagen återfinns i 26 §. Den innebär att enskilda efter ansökan har rätt att få information av den personuppgiftsansvarige om personuppgifter som rör den sökande behandlas eller inte. Om uppgifter behandlas skall information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. I paragrafen anges även att information inte behöver lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. Bestämmelsen i personuppgiftslagen bör vara tillämplig vid behandling av personuppgifter enligt den av oss föreslagna lagen. I ett avseende anser vi emellertid att det finns skäl att ha särskilda regler om informationsskyldigheten, nämligen i fråga om information om elektroniska handlingar (se längre fram i detta avsnitt).
Även 27 § personuppgiftslagen anser vi skall vara tillämplig på behandling av personuppgifter vid Tullverket. Det innebär att om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade, så gäller inte de ovan redovisade bestämmelserna i personuppgiftslagen om information.
Information om elektroniska handlingar i databaser
En viktig del av vårt förslag till lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet gäller möjligheten att behandla elektroniska handlingar i tullbrottsdatabasen. Under förutsättning att det i framtiden konstrueras datorsystem för Tullverket, som innefattar en avancerad elektronisk ärendehantering, kommer stora mängder handlingar att kunna finnas elektroniskt lagrade i databasen. Det kan gälla elektroniska dokument i form av upprättade beslut, handlingar från enskilda eller myndigheter som skannats och lagrats som bilder samt digitala ljud- och bildupptagningar. Liknande system finns redan i dag vid vissa myndigheter. När en registrerad begär att få information enligt personuppgiftslagen kan det, utan särskilda bestämmelser för elektroniska handlingar, bli nödvändigt för Tullverket att skriva ut
271
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
och skicka papperskopior av samtliga dessa elektroniska handlingar till den registrerade.
Vi ifrågasätter värdet av en sådan informationshantering. Enligt vår uppfattning finns det inte några starka skäl från integritetssynpunkt för att informera en registrerad om genomförd behandling genom att skicka ut kopior av handlingar som han eller hon redan har tagit del av under ett ärendes handläggning, exempelvis en förundersökning som är delgiven. Eftersom antalet elektroniska handlingar i olika databaser med stor sannolikhet kommer att öka väsentligt i framtiden, finns det dessutom en risk att den som begär information om vilka uppgifter som behandlas om honom eller henne hos olika myndigheter, får del av så stora mängder uppgifter att det kan vara svårt att tillägna sig informationen.
Under förutsättning att den registrerade får tydlig information om att handlingar som han eller hon har skickat in till eller fått från Tullverket finns registrerade samt att han eller hon får en förteckning över dessa handlingar, finns det enligt vår mening inte några starka argument mot att göra undantag för de elektroniska handlingarna. För att en bestämmelse om ett sådant undantag skall vara tillämpbar i praktiken bör det vara tillräckligt att Tullverket finner det sannolikt att den registrerade har tagit del av handlingarnas innehåll. I fråga om handlingar som inte har skickats in av den enskilde själv, bör det således räcka att det hos myndigheten finns anteckningar om att handlingen har expedierats till den registrerade.
Den beskrivna modellen har accepterats av riksdagen bl.a. i och med införandet av den lag om behandling av personuppgifter som gäller för Tullverkets fiskala verksamhet (se prop. 2000/01:33, bet. 2000/01:SkU20, rskr. 2000/01:76 ). Vi anser att samma regler bör gälla för den brottsbekämpande verksamheten, och föreslår därför att elektroniska handlingar inte behöver lämnas ut till en enskild i samband med att Tullverket fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen, om den enskilde har tagit del av handlingens innehåll.
Vi anser emellertid att enskilda inte helt skall fråntas rätten att med tillämpning av 26 § personuppgiftslagen ta del av elektroniska handlingar som de har gett in eller som har expedierats till dem. Det är i och för sig möjligt för enskilda att ta del av handlingarna med stöd av bestämmelserna i 2 kap. tryckfrihetsförordningen. Till skillnad från vad som gäller enligt 26 § personuppgiftslagen ger emellertid inte dessa bestämmelser den enskilde rätt till kostnadsfri
272
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
skriftlig information. Dessutom ger de inte heller den enskilde rätt till särskild och direkt upplysning om vilka handlingar som lagras elektroniskt. I viss mån kan enskilda få sådan information genom de förteckningar över handlingar som en myndighet skall föra enligt 15 kap. 11 § sekretesslagen och 6 § 2 arkivlagen, men inte i den omfattning som följer av informationsskyldigheten enligt personuppgiftslagen. Tryckfrihetsförordningens bestämmelser kan enligt vår uppfattning därför inte ersätta personuppgiftslagens bestämmelse om rätt till information om elektroniska handlingar. Vi föreslår därför att fullständig information om vilka uppgifter som behandlas, således även utskrifter av elektroniska handlingar, skall lämnas om den enskilde särskilt begär det.
I detta sammanhang bör något sägas om informationsskyldigheten vid behandling av personuppgifter om enskilda i ett ärende som inte primärt gäller dem, t.ex. vittnen eller andra personer som förekommer i en förundersökning utan att vara misstänkta. Personer som finns omnämnda i elektroniska handlingar som hör till ett ärende som inte primärt rör dem, omfattas inte av en sådan undantagsbestämmelse som vi föreslår, om de inte själva har gett in en handling. De har nämligen med största sannolikhet inte fått del av handlingarna i ärendet genom delgivning eller på annat sätt. Det innebär emellertid inte med nödvändighet att de har rätt att enligt 26 § personuppgiftslagen få information om behandlingen. Vi föreslår att endast ett fåtal uppgifter skall vara tillåtna som sökbegrepp vid sökning efter elektroniska handlingar i en databas, nämligen namn och personnummer, datum då en handling kom in eller upprättades, diarienummer, till vem handlingen har expedierats eller från vem den har kommit in samt i korthet vad handlingen rör (se avsnitt 11.7.3). Det innebär att Tullverket kan komma att sakna rättsliga befogenheter, och kanske även tekniska möjligheter, att kontrollera i vilken omfattning uppgifter om en person behandlas i elektroniska handlingar som hör till ett ärende som inte primärt rör honom eller henne. I de fallen har enligt vår mening en person som är registrerad på ett sådant sätt inte heller rätt att kräva att myndigheten gör den typen av kontroller.
Slutligen kan det vara värt att påpeka att information inte behöver lämnas om elektroniska handlingar som ännu inte är färdigställda, dvs. beslutskoncept och liknande, oavsett att den registrerade inte har fått del av handlingarna. Som vi nämner tidigare i detta avsnitt görs nämligen i 26 § personuppgiftslagen
273
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
undantag för uppgifter i löptext som inte fått sin slutliga utformning. Detsamma gäller för minnesanteckning eller liknande.
11.9.2Rättelse och skadestånd
Vårt förslag: Personuppgiftslagens bestämmelser om rättelse av personuppgifter och om skadestånd skall tillämpas på motsvarande sätt vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.
Personuppgiftslagens bestämmelse om rättelse
I korthet innebär bestämmelsen i 28 § personuppgiftslagen om rättelse att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta, blockera eller utplåna sådana personuppgifter som inte behandlats i enlighet med lagstiftningen. När en personuppgiftsansvarig vidtar rättelse i fråga om en personuppgift skall underrättelse lämnas till tredje man som har fått del av uppgiften, om den registrerade begär det eller om mer betydande skada eller olägenhet därigenom kan undvikas. Sådan underrättelse behöver dock inte lämnas om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats.
Det är enligt vår uppfattning av väsentlig betydelse att personuppgifter som behandlas felaktigt hos en myndighet rättas för att intrång i den personliga integriteten skall undvikas. Bedömningen av om en uppgift har behandlats felaktigt måste göras mot bakgrund av de bestämmelser som gäller för behandlingen, oavsett om det är grundläggande regler i personuppgiftslagen eller specialbestämmelser som gäller för Tullverket. Vi föreslår därför att bestämmelsen om rättelse i 28 § personuppgiftslagen skall tillämpas vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.
När skall rättelse vidtas?
En personuppgift skall rättas när den har behandlats felaktigt. I princip är all behandling av personuppgifter felaktig som strider mot den lagstiftning som reglerar behandlingen. Att i detalj ange
274
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
vad som är felaktig behandling är därför inte möjligt, men något förenklat anser vi att en indelning av olika fel kan göras i två grupper. Felaktig behandling kan för det första bestå i att personuppgifter är oriktiga till sitt innehåll, dvs. felet finns inbyggt i uppgifterna (oriktiga uppgifter). Felaktig behandling kan även bestå i att personuppgifter, oavsett om de är korrekta eller inte, används på ett felaktigt sätt i verksamheten, dvs. felet ligger i hur uppgifter används (oriktig användning).
Oriktig användning kan exempelvis innebära att en uppgift används på ett sätt som är oförenligt med de ändamål för vilket den samlades in, att en otillåten uppgift förs in i en databas eller att en uppgift inte gallras inom föreskriven tid. Även underlåtenhet att behandla en personuppgift torde i vissa fall kunna innebära oriktig användning. Bedömningen av om en uppgift används på ett oriktigt sätt måste göras mot bakgrund av de bestämmelser som gäller för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.
I fråga om oriktiga uppgifter är det vanligtvis inte svårt att avgöra om det föreligger en felaktig behandling. Typiska exempel på oriktiga uppgifter är att fel personnummer eller fel adress har angetts för en person. Sådana fel är det ofta enkelt att konstatera på ett objektivt sätt och det torde sällan råda någon oenighet i fråga om uppgiften är fel eller inte. Det är emellertid inte i alla situationer självklart om en uppgift är oriktig. Som exempel kan tas följande situation. Under ett förhör som dokumenteras genom digital ljudupptagning i en förundersökning uppger den misstänkte att han vid en viss tidpunkt befann sig på en viss plats. Senare under förhöret ändrar han sin utsaga och klargör att han sa fel och egentligen var på en annan plats. Är den ursprungliga uppgiften då att anse som oriktig? Den kan självfallet vara oriktig så till vida att den inte korrekt återger ett verkligt sakförhållande, men samtidigt riktig på så sätt att den korrekt återger vad den misstänkte faktiskt sa. Motsvarande situation kan uppstå i flera olika sammanhang när uppgifter behandlas elektroniskt.
Enligt vår uppfattning måste bedömningen av om en uppgift i ett fall som det ovanstående skall anses vara oriktig eller inte, dvs. om uppgiften skall rättas, göras mot bakgrund av vilka krav verksamheten ställer på uppgiftsbehandlingen. I exemplet är det uteslutet att den ursprungliga uppgiften skall rättas i den digitalt lagrade ljudupptagningen. Förutom att det skulle innebära att en allmän handling manipuleras, kan uppgiften behövas i den fortsatta
275
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
förundersökningen. Under förutsättning att den ursprungliga uppgiften lagras och i övrigt behandlas i överensstämmelse med de bestämmelser som gäller för behandling av personuppgifter vid Tullverket, kan enligt vår uppfattning inga krav ställas på rättelse. Även om det inte är möjligt att ge en exakt definition på vad som är en oriktig uppgift, anser vi att man bör ha som utgångspunkt att en uppgift – trots att den inte återger en korrekt bild av ett sakförhållande – inte är oriktig i den bemärkelsen att den skall rättas, om den korrekt återger ett händelseförlopp i verksamheten och dessutom behövs i densamma. Det får emellertid bli en fråga för framtida praxis att ge närmare lösningar på problemen med att avgöra under vilka förutsättningar rättelse skall göras.
Det bör påpekas att endast fysiska personer kan åberopa bestämmelsen om rättelse i personuppgiftslagen. Om en juridisk person anser att en uppgift är fel och påtalar detta för Tullverket, bör verket naturligtvis ändå kontrollera påståendet och, om det finns anledning till det, även rätta uppgiften.
Hur skall rättelse vidtas?
Rättelse kan göras genom att en uppgift rättas, blockeras eller utplånas. Att en personuppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Med blockering avses en åtgärd som vidtas för att personuppgifter skall vara förknippade med information om att de är spärrade och om anledningen till spärren. Att en uppgift utplånas innebär att den förstörs så att den inte kan återskapas. I personuppgiftslagen finns inga bestämmelser om när en viss form av rättelse skall vidtas, utan det bör vara upp till den personuppgiftsansvarige att avgöra om en uppgift skall rättas, blockeras eller utplånas.
Det torde vanligtvis inte vara några problem att avgöra hur rättelse skall göras. Om en uppgift har blivit felaktig i samband med registreringen, t.ex. angivande av felaktig adress till en misstänkt, bör felet givetvis åtgärdas genom att uppgiften rättas, dvs. i nämnda exempel att korrekt adress anges. Om en uppgift som enligt lagstiftningen över huvud taget inte får behandlas i en databas ändå har registrerats, är den rimliga åtgärden att uppgiften gallras, t.ex. genom att utplånas. När en uppgift befinns vara oriktig, men ändå är av betydelse i verksamheten, kan ett alternativ
276
| SOU 2002:113 | Författningsregleringen av behandling av uppgifter |
vara att uppgiften kompletteras med nya och korrekta uppgifter samtidigt som den ursprungliga uppgiften blockeras.
Någon närmare vägledning om hur rättelse skall göras är enligt vår mening inte möjlig att ge. En bedömning av vilken åtgärd som är mest ändamålsenlig får göras i de enskilda fallen.
Enskildas rätt till skadestånd
Enligt 48 § personuppgiftslagen skall den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Rätten till skadestånd bör finnas även för skada och kränkning som uppstår när uppgifter behandlas i strid med de särskilda bestämmelserna i vårt lagförslag. Vi förslår därför att bestämmelserna om skadestånd i 48 § personuppgiftslagen skall tillämpas på motsvarande sätt när personuppgifter behandlas i strid med den lag som reglerar behandling av uppgifter i Tullverkets brottsbekämpande verksamhet.
I likhet med vad som gäller de rättsliga möjligheterna att få information eller att få uppgifter rättade, gäller rätten till skadestånd endast fysiska personer. En juridisk person får i stället i den ordning som gäller för statlig verksamhet i allmänhet vända sig till Justitiekanslern – eller till allmän domstol – om personen anser att behandling av uppgifter vid Tullverket har vållat skada.
11.9.3Överklagande
Vårt förslag: Tullverkets beslut om rättelse och om information som skall lämnas efter begäran av en registrerad skall, med vissa undantag, kunna överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätt.
Beslut av en myndighet som direkt berör en enskild och som inte är av rent intern administrativ karaktär, bör enligt vår uppfattning i allmänhet kunna överklagas. I fråga om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet gäller det framför allt beslut att avslå en ansökan om information om pågående behandlingar samt beslut att avslå en begäran om rättelse. Överklagande bör enligt vår uppfattning vara möjligt i båda fallen.
277
| Författningsregleringen av behandling av uppgifter | SOU 2002:113 |
Den normala ordningen när en myndighet fattar ett beslut av förvaltningskaraktär är enligt 22 a § förvaltningslagen (1986:223) att beslutet kan överklagas hos allmän förvaltningsdomstol och att det krävs prövningstillstånd för vidare överklagande till kammarrätten. Detta är också vad som generellt gäller för nyare författningar om behandling av personuppgifter i offentlig verksamhet, t.ex. i Tullverkets fiskala verksamhet. Enligt vår mening är det den logiska ordningen även för den brottsbekämpande verksamheten. Vårt förslag är därför utformat på det sättet.
278
12Direktåtkomst för Tullverket till Tulldatasystemet (TDS) i den brottsbekämpande verksamheten
I avsnitt 5.3 beskriver vi det fiskala Tulldatasystemet (TDS) och vilka uppgifter som får behandlas i systemet. Vi lämnar också en kort redogörelse för hur regleringen av behandling av uppgifter inom Tullverkets fiskala verksamhet ser ut. I avsnitt 9.2 redogör vi för de behov som Tullverket anser sig ha av direktåtkomst till TDS i den brottsbekämpande verksamheten. Behovsbeskrivningen grundar sig på information som har inhämtats vid våra studiebesök och efter särskilda förfrågningar till de olika regionerna. I detta kapitel redovisar vi vår uppfattning i frågan om Tullverket i sin brottsbekämpande verksamhet bör ha direktåtkomst till TDS eller inte.
Frågan om användning av fiskala register för brottsbekämpande verksamhet genom direktåtkomst har varit föremål för diskussion vid flera tillfällen tidigare, såvitt avser både skatteförvaltningen och Tullverket. Kapitlet inleds därför med en redogörelse för vissa tidigare ståndpunkter i frågan. Därefter behandlas frågan om Tullverket i den brottsbekämpande verksamheten behöver direktåtkomst till TDS och andra fiskala register samt hur en sådan åtkomst skulle påverka verksamhetens effektivitet. Förutom att ett reellt behov av direktåtkomst till TDS måste kunna påvisas och att åtkomsten måste medföra avsevärda möjligheter till effektivitetsvinster, krävs enligt vår uppfattning att ytterligare förutsättningar är uppfyllda för att direktåtkomst skall tillåtas. För det första måste ett tillfredsställande skydd för den personliga integriteten kunna garanteras. Vidare måste det säkerställas att fiskal information som på grund av sekretesslagstiftningen inte får lämnas ut till den brottsbekämpande verksamheten utan föregående sekretessprövning, inte görs åtkomlig genom direktåtkomsten. Slutligen måste det klargöras att direktåtkomst till TDS i brottsbekämpande verksamhet inte i något avseende strider mot bestämmelserna i artikel 6 i Europakonventionen.
279
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
Det skall poängteras att när vi i kapitlet talar om direktåtkomst till TDS, avser vi genomgående även övriga fiskala stödsystem i den tulldatabas som förs med stöd av lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet och i vilken TDS är det dominerande systemet (se avsnitt 5.3).
12.1Tidigare synpunkter på användningen av fiskala datasystem för brottsbekämpning
12.1.1Skatteförvaltningen
Skattekriminalregisterutredningen
I betänkandet Integritet – Effektivitet – Skattebrott (SOU 1998:9) redovisade Skattekriminalregisterutredningen sina synpunkter på bl.a. användningen av fiskala skatteregister i skattebrottsenheternas arbete. Utredningen konstaterade att skattebrottsenheterna behöver tillgång till skatteregistren för att kunna bedriva sitt arbete så effektivt som möjligt. Enligt utredningen gäller detta främst i de fall då enheterna inte arbetar med att biträda åklagare i förundersökningar, och behovet är sannolikt störst i t.ex. underrättelseverksamhet och analysarbete. Störst effektivitet uppnås enligt utredningen om direktåtkomst tillåts, dvs. att skattebrottsenheterna inte behöver gå via de fiskala enheterna för att få relevant information. Utredningen framhöll att effektivitetsvinsterna med att skattemyndigheterna övertar polisens roll i fråga om att bekämpa skattebrott delvis skulle komma att gå förlorade om direktåtkomst inte medgavs. Utredningen anförde vidare att behovet av direktåtkomst inte var det enda argumentet för att skattebrottsenheterna borde ges sådan tillgång till registren. Även det faktum att skattebrottsenheterna, redan med stöd av de då gällande bestämmelserna, kunde ta del av de flesta av de sökta uppgifterna efter en sekretessprövning, om än inte genom direktåtkomst, borde vägas in i bedömningen. Det påpekades även att direktåtkomst skulle innebära att färre personer får del av känsliga uppgifter om personer som är misstänkta för skattebrott. Dessutom finns det enligt utredningen en nära koppling mellan beskattningsverksamhet och ekonomisk brottslighet på skatteområdet.
280
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
Utredningen framhöll också att direktåtkomst inte innebär att det starka sekretesskyddet för uppgifterna enligt 9 kap 1 § sekretesslagen skulle försvagas och att skattebrottsenheterna inte skulle tillåtas att utnyttja de urvalssystem som används i den fiskala verksamheten för att fritt kunna ”fiska” efter intressant information i skatteregistren. Det ansågs vara helt oförenligt med förutsättningarna för behandling av personuppgifter i brottsbekämpande verksamhet, eftersom det oundvikligen skulle innebära behandling av information om personer som inte hade eller kunde misstänkas ha någon som helst anknytning till skattebrott. För att förhindra en sådan användning av registren vid direktåtkomst föreslog utredningen att endast sådana uppgifter som är adekvata och relevanta i förhållande till ändamålet med behandlingen, skulle få behandlas. Behandlingen föreslogs inte heller få omfatta fler uppgifter än vad som är nödvändigt för ändamålet med behandlingen. Sammantaget talade dessa omständigheter enligt utredningen för att skattebrottsenheterna borde få direktåtkomst till det centrala skatteregistret.
Flera remissinstanser avstyrkte utredningens förslag i denna del. Remissinstanserna anförde bl.a. att om skattebrottsenheterna skulle ges direktåtkomst till skatteregistret, så skulle prövningen av utlämnande av uppgifter mellan myndigheter komma att kringgås. Det förhållandet att skattebrottsenheterna skulle få direktåtkomst ansågs vidare vara ägnat att minska tilltron till att dessa enheter och skattemyndigheternas fiskala sida hölls åtskilda. Den föreslagna öppenheten skulle innebära att det knappast kunde sägas råda någon egentlig åtskillnad mellan den fiskala och den brottsutredande verksamheten. Enligt några av remissinstanserna innebar åtkomsten risk för integritetsintrång. Förslaget bedömdes av vissa även kunna komma i konflikt med artikel 6 i Europakonventionen. Det framhölls också att skattebrottsenheterna inte borde ha större tillgång till det centrala skatteregistret än vad polisen har. Riksskatteverket hade däremot inget att erinra mot utredningens förslag om direktåtkomst och påpekade att sekretessbestämmelserna torde utgöra ett fullgott skydd för den enskildes integritet.
Regeringen delade inte utredningens uppfattning att skattebrottsenheterna borde få direktåtkomst till det centrala skatteregistret (prop. 1998/99:34). Det fanns enligt regeringens mening i och för sig ingen tvekan om att skattebrottsenheternas arbete skulle kunna bedrivas effektivare om de medgavs direktåtkomst. Emellertid kvarstod enligt regeringens uppfattning det ofrånkom-
281
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
liga, nämligen att risken för otillbörligt integritetsintrång ökar när fler myndigheter och befattningshavare får tillgång till skatteregistret. Behovet av direktåtkomst måste vägas mot denna risk. För att skattebrottsenheterna skall få direktåtkomst måste således behovet av att de snabbt och enkelt får tillgång till uppgifter i skatteregistret väga tyngre än den risk från integritetssynpunkt som åtkomsten medför.
Regeringen anförde vidare att den redan i samband med inrättandet av de särskilda skattebrottsenheterna hade uttalat att enheterna organisatoriskt skulle hållas åtskilda från skatteutredningar. Skälet till detta var dels att den enskildes rättssäkerhet skulle säkerställas, dels att den s.k. ändamålsprincipen skulle upprätthållas, dvs. den princip som innebär att det inte är tillåtet att med stöd av regelverket för skatteutredningar ta fram uppgifter som inte behövs i beskattningsverksamheten utan endast i brottsutredningar och vice versa. Regeringen framhöll särskilt att brottsutredningar och skatteutredningar har olika syften och regleras av olika regelverk. Det ansågs vidare vara väsentligt att det inte råder något tvivel om att den fiskala och den brottsutredande verksamheten inom skattemyndigheten bedrivs åtskilda. Utredningens förslag om direktåtkomst innebar, enligt regeringens uppfattning, att den prövning av utlämnande av uppgifter mellan myndigheter som skall ske inte görs. Om direktåtkomst medgavs skulle det därför föreligga en risk för otillbörligt intrång i den enskildes integritet. Det bedömdes vidare finnas risk för att andra brottsbekämpande myndigheter kunde komma att hävda att även de har behov av direktåtkomst till det centrala skatteregistret för sin verksamhet. Mot bakgrund av detta ansåg regeringen att övervägande skäl talade för att direktåtkomst till det centrala skatteregistret, i vart fall vid den tidpunkten, inte borde medges skattebrottsenheterna. Det poängterades dock att det kunde finnas skäl att återkomma till frågan när erfarenhet hade vunnits av skattebrottsenheternas verksamhet.
Riksdagens revisorer
I sin rapport Myndighetssamverkan mot ekonomisk brottslighet (2001/02:3) berör Riksdagens revisorer frågan om skattebrottsenheternas tillgång till det centrala skatteregistret. Riksskatteverket hade framfört önskemål om, och markerat det stora behovet av, en sådan tillgång för att skattebrottsenheterna skulle kunna arbeta
282
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
effektivt. Riksskatteverket påpekade särskilt problemen med att personliga kontakter måste tas för att brottsutredare skall få tillgång till fiskal information i registret, vilket innebär såväl att förfarandet tar onödigt lång tid som att fler personer än nödvändigt blir inblandade i informationshanteringen.
Riksdagens revisorer, som bl.a. hänvisade till att det enligt ett yttrande från justitieutskottet (1997/98:JuU2y) kunde uppstå konflikter med artikel 6 i Europakonventionen, ansåg att skattebrottsenheterna inte borde få tillgång till det centrala skatteregistret. Anledningen var problemen med användningen i brottsbekämpande syfte av uppgifter som den skattskyldige lämnat i avsikt att skatt skall fastställas. Riksdagens revisorer framhöll i stället att det är av största vikt att rutinerna i samband med brottsutredares kontakter med fiskala enheter, i syfte att få tillgång till uppgifter, förbättras och att handläggningen snabbas upp.
Riksskatteverket anförde, efter att Riksdagens revisorers rapport remitterats dit, att skattebrottsenheterna borde ges direktåtkomst till det centrala skatteregistret. Det bedömdes vara en förutsättning för att skattebrottsenheterna skall kunna uppnå målen med verksamheten. Riksskatteverket påpekade att de problem som uppstår med nuvarande ordning är betydande. Utgångspunkten i skattebrottsenheternas arbete med att utreda skattebrott är att uppgifter saknas eller är felaktiga i lämnade deklarationer, alternativt att deklarationer saknas helt. Att skattebrottsenheterna inte får direktåtkomst till det centrala skatteregistret, där deklarationsuppgifterna finns, ansågs därför inte logiskt. Nuvarande ordning bedömdes även försvåra skattebrottsenheternas arbete med att bedriva underrättelseverksamhet. Riksskatteverket anförde vidare att det tillvägagångssätt som nu tillämpas ofta innebär att fler personer inom skattekontoren får ta del av sekretessbelagda uppgifter innan de når skattebrottsenheterna, än vad som skulle vara fallet om skattebrottsutredarna hade direktåtkomst till registret. Riksskatteverket hävdade också att revisorernas hänvisning till risken för konflikter med artikel 6 i Europakonventionen inte är relevant i sammanhanget, eftersom justitieutskottets yttrande enligt verket avsåg vikten av att hålla i sär de två verksamhetsgrenarna beskattning och brottsutredning, och inte frågan om direktåtkomst till skatteregistret.
Med anledning av Riksskatteverkets yttrande föreslog Riksdagens revisorer att regeringen tar initiativ till en översyn av frågan om vem som bör ha tillgång till det centrala skatteregistret,
283
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
eftersom det är av största vikt för utredningarna av skattebrott att utredarna snabbare och lättare får tillgång till relevant information (Förslag till riksdagen 2001/2002:RR11). Efter behandling i justitieutskottet valde riksdagen emellertid att inte följa Riksdagens revisorers förslag och någon skrivelse med angiven innebörd har inte överlämnats till regeringen (bet. 2001/02:JuU8, prtk. 2001/02:93).
12.1.2Tullverket
Utredningen om utvärdering av
I betänkandet En gräns – en myndighet? (SOU 1998:18) föreslogs att hindren för att Tullverket i sin brottsbekämpande verksamhet får tillgång till TDS skulle ses över, eftersom narkotikasmugglingen numera i allt större omfattning sker som en del i ett större handelsmönster, som kan innefatta såväl legala som illegala varuflöden. För att kartlägga smugglingen måste enligt utredningen därför även legala varuflöden följas och dokumenteras. En brist ansågs vara att TDS, med dess goda möjligheter att följa varuströmmar, inte får användas i brottsbekämpande syfte.
Registerförfattningsutredningen
Registerförfattningsutredningen hade till uppgift att se över den lagstiftning som reglerade bl.a. Tullverkets fiskala register. I betänkandet Skatt – Tull – Exekution – Normer för behandling av personuppgifter (SOU 1999:105) berörde utredningen även frågan om användningen av TDS för brottsbekämpande syften.
Utredningen konstaterade att det inte kunde sättas i fråga att Tullverket i sin brottsbekämpande verksamhet skulle ha stor nytta av att kunna använda sig av TDS genom direktåtkomst. För att åskådliggöra dels vilken betydelse det skulle ha från effektivitetssynpunkt att utnyttja TDS i brottsbekämpande verksamhet, dels de problem som kan uppstå vid gränsdragningen mellan den verksamheten och den fiskala, presenterade utredningen ett exempel med verklighetsförankring.
284
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
”Vid en husrannsakan i maj 1998 beslagtas ett parti cigaretter. I lokalen finns rester av cigarettpaket som är delade på mitten och innehåller stora mängder järnfilspån. Misstanke uppstår därför om att de påträffade paketen endast utgör en mindre del av en sändning som smugglats in i landet gömda i någon form av stålbalkar. Filspånen skulle vara resultat av att balkarna öppnats med vinkelslip. I november 1998 görs en gränskontroll av en trailer lastad med stålbalkar som anländer till Sverige. Vid kontrollen hittas 375 000 cigaretter i tomrum i balkarna. Vi den utredning som görs identifieras ytterligare sextio tidigare transporter som skett på liknande sätt”.
I den åskådliggjorda situationen skulle det, enligt utredningen, vara möjligt att med hjälp av uppgifter ur TDS lägga spärrar för att identifiera sändningar av stålbalkar när de anmäls till förtullning. Transporterna skulle på det sättet med stor sannolikhet kunnat avslöjas i ett avsevärt tidigare skede. Samma syfte är inte möjligt att uppnå genom att använda register som förs i den brottsbekämpande verksamheten, eftersom de inte innehåller de nödvändiga uppgifterna om import och export. Utredningen ansåg att det inte kunde sättas i fråga att tillgång till TDS skulle vara värdefullt från effektivitetssynpunkt, men att det kunde vara betänkligt från integritetssynpunkt att med hjälp av datorteknik använda uppgifter som lämnas för ett visst syfte, exempelvis att klarera en vara vid införsel i landet, för brottsbekämpande verksamhet. Några konkreta ställningstaganden gjorde utredningen inte, utan konstaterade i stället att det fanns anledning att närmare utreda de problem som kan uppstå och hur de skall hanteras.
12.2Tullverkets behov av direktåtkomst till TDS i den brottsbekämpande verksamheten
Inledningsvis vill vi påpeka att uppgifter från TDS och andra fiskala register som förs av Tullverket ofta, efter sekretessprövning, kan lämnas ut till och användas i den brottsbekämpande verksamhet som verket bedriver. Frågan om direktåtkomst skall tillåtas eller inte gäller därför främst metoden för hur uppgifter skall få lämnas från den fiskala till den brottsbekämpande verksamheten.
Från Tullverkets sida har framförts att det är nödvändigt att uppgifter från TDS på ett mer effektivt sätt får användas i den brottsbekämpande verksamheten, för att de mål som verket ålagts
285
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
av statsmakterna skall kunna uppfyllas. Tillgång till TDS genom direktåtkomst har uppgetts vara av största vikt för att Tullverket skall få effektiva och fungerande tekniska hjälpmedel för att kunna lösa sina uppgifter. Det är en grundläggande förutsättning för att den gränsöverskridande brottsligheten, som hela tiden tar sig nya och mera avancerade former, skall kunna bekämpas. Ett stort problem för Tullverket är att det börjar bli mer vanligt förekommande att olagliga varor förpackas och smugglas som ”bipackningar” i lagliga transporter. Förfarandet med dessa olagliga bipackningar är mycket utbrett och drabbar även seriösa företag, eftersom varorna smugglas in bland legalt gods. Det är enligt uppgifter från Tullverket förenat med mycket stora problem att hitta en sådan transport med dagens lagstiftning, eftersom det inte är tillåtet att lägga en spärr i TDS och låta systemet slå larm när en misstänkt transport anländer.
Från Tullverkets sida har vidare framförts att det inte föreligger någon påtaglig risk för att TDS kan komma att användas på ett felaktigt och integritetskränkande sätt, eftersom systemet innehåller så stora mängder information att det är näst intill omöjligt att söka efter information på måfå. Generellt anses att Tullverket i den brottsbekämpande verksamheten behöver direktåtkomst till TDS för att ha en rimlig möjlighet att välja ut de objekt som bedöms värdefulla att kontrollera. I annat fall är risken mycket stor att de kontrollvärda objekten inte alls stoppas eller att det uppstår störningar i den legala trafiken. TDS skulle kunna användas för att lägga spärrar på redan misstänkta transporter, kartlägga redan misstänkta företag, erhålla kompletterande information till ett redan befintligt ärende samt sammanställa riskprofiler för att välja ut rätt kontrollobjekt. Direktåtkomst till TDS skulle också kunna effektivisera arbetet genom att fördröjningar i informationsutbytet undviks, vilket innebär att planerade kontroller inte riskerar att omintetgöras.
Det har från Tullverkets sida också hävdats att det bör vara väsentligt för alla parter att den sunda konkurrensen upprätthålls och att den inte snedvrids till följd av olika olagliga förfaranden samt att de seriösa företagen borde ha ett intresse av att oseriösa aktörer stoppas samtidigt som den vanliga trafiken inte kontrolleras i större utsträckning än nödvändigt.
I avsnitt 9.2 beskriver vi mer utförligt vilka behov av direktåtkomst till TDS som Tullverket anser sig ha i den brottsbekämpande verksamheten. Vi belyser också de konsekvenser som
286
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
direktåtkomst skulle kunna medföra för den verksamheten. Beskrivningen grundar sig på de erfarenheter som vi har erhållit efter våra studiebesök i regionerna. Enligt vår uppfattning måste det anses helt klarlagt att Tullverket i den brottsbekämpande verksamheten har ett tydligt och reellt behov av direktåtkomst till TDS och att sådan åtkomst på ett markant sätt skulle komma att bidra till höjd effektivitet i det brottsbekämpande arbetet.
12.3Skyddet för den personliga integriteten
I avsnitt 10.2 behandlar vi frågan om skyddet för den personliga integriteten mer allmänt.
En grundläggande förutsättning för att Tullverket skall tillåtas få direktåtkomst till TDS i brottsbekämpande verksamhet, är enligt vår uppfattning att enskildas personliga integritet kan garanteras i tillräcklig utsträckning. Verksamhetens behov av direktåtkomst till TDS måste således vägas mot rätten till integritet för den enskilde. Det är vår bestämda uppfattning att lagstiftningen inte får utformas på ett sådant sätt att integritetsskyddet för den enskilde inte kan upprätthållas på en fortsatt hög nivå.
Vid bedömningen av hur integritetskänsliga uppgifterna i TDS är måste det beaktas vad för slags uppgifter som behandlas i systemet, anledningen till att uppgifterna samlas in samt hur uppgifterna används. Till att börja med är det viktigt att understryka att de uppgifter som registreras i TDS nästan uteslutande rör ekonomiska affärsförhållanden och att det således inte är fråga om information om personliga förhållanden. Uppgifterna i TDS gäller import- och exportförhållanden och är avsedda att ligga till grund för fastställande och debitering av tull, skatt och avgifter. Det är således först sedan en näringsidkare eller en privatperson har bestämt sig för att t.ex. importera gods av visst slag som deklarationsskyldighet uppstår och det blir fråga om att registrera uppgifterna i TDS.
Det skall också understrykas att uppgifterna i TDS nästan uteslutande rör uppgifter om juridiska personer. Enligt en uppskattning från Tullverket avser ca 97 procent av uppgifterna juridiska personer och ungefär två procent enskilda näringsidkare. Det är således endast ca en procent av uppgifterna i TDS som rör fysiska personers privatimport eller deras bohag i samband med flyttning och liknande.
287
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
Eftersom TDS till helt övervägande del innehåller uppgifter om juridiska personer och det nästan uteslutande är fråga om uppgifter som är hänförliga till näringsverksamhet, kan systemet enligt vår uppfattning inte anses vara särskilt känsligt från integritetssynpunkt. När det gäller uppgifter om juridiska personer kan i och för sig andra integritetsliknande aspekter ibland göras gällande, t.ex. skyddet för affärshemligheter. Vi anser emellertid att möjligheten till direktåtkomst i den brottsbekämpande verksamheten inte utgör några problem i dessa avseenden.
Vårt ställningstagande skall ses mot bakgrund av att vi anser att Tullverkets möjligheter att använda sig av direktåtkomst till TDS i brottsbekämpande verksamhet måste begränsas genom författningsreglering. Under förutsättning att det finns särskilt reglerade och integritetsskyddande begränsningar av åtkomsten, är vår bedömning att riskerna för integritetskränkningar väl uppvägs av de effektivitetsvinster som skulle uppnås i den brottsbekämpande verksamheten om direktåtkomst till TDS tilläts. Vi återkommer i avsnitt 12.6 till frågan om hur direktåtkomsten bör regleras.
12.4Sekretessregler och direktåtkomst till TDS
När frågan om direktåtkomst till en myndighets register uppkommer, är det ofta oundvikligt att det uppstår vissa sekretessproblem. I detta avsnitt redogörs för vissa omständigheter som har betydelse vid bedömningen av om det är möjligt att tillåta att Tullverket får direktåtkomst till TDS i sin brottsbekämpande verksamhet.
12.4.1Kort om direktåtkomst och sekretess
När uppgifter i ett dataregister hos en myndighet kan nås genom direktåtkomst av någon utanför det sekretessområde som uppgifterna i registret finns inom, måste de uppgifter som omfattas av åtkomsten anses utlämnade i sekretesslagens mening. Om myndigheten A har direktåtkomst till hela myndigheten B:s dataregister, så är alltså varje uppgift i registret utlämnad från B till A, oavsett om någon på myndigheten A faktiskt har läst eller tagit del av uppgiften i fråga.
För att direktåtkomst skall komma i fråga krävs således att det är helt klart att det inte av sekretesskäl kan finnas några hinder mot
288
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
att lämna ut uppgifterna i registret till den som skall ha direktåtkomst. När sådana hinder föreligger måste nämligen i princip varje utlämnande av en uppgift i registret föregås av en särskild sekretessprövning, något som inte är möjligt vid direktåtkomst. Är uppgifterna helt offentliga finns det däremot inga problem från sekretessynpunkt.
Även om det skulle föreligga sekretess för de uppgifter som kan vara aktuella för direktåtkomst kan frågan ändå lösas, genom att en förprövning i någon form sker av om uppgifterna i det aktuella registret kan få lämnas ut utan hinder av sekretess. Först måste det emellertid konstateras om det över huvud taget råder sekretess mellan den som har registret med uppgifterna och den som vill ha direktåtkomst till dem.
12.4.2Sekretess inom Tullverket
Allmänt om sekretess inom en myndighet
Sekretess för uppgifter som förekommer hos en viss myndighet gäller enligt 1 kap. 3 § sekretesslagen inte bara i förhållande till utomstående, utan under vissa förutsättningar även inom myndigheten. Sekretess för en uppgift gäller nämligen i förhållandet mellan olika verksamhetsgrenar inom en och samma myndighet, om verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra. Det innebär i princip att om det inom en och samma myndighet finns flera organisatoriska enheter, som uppträder som självständiga i förhållande till varandra, så får sekretessbelagda uppgifter inte utbytas dem emellan utan stöd i sekretesslagen eller annan författning som sekretesslagen hänvisar till. Från sekretessynpunkt är alltså två självständiga verksamhetsgrenar inom en och samma myndighet att jämställa med två olika myndigheter.
I praktiken har den sistnämnda bestämmelsen tolkats så att det inte enbart är den organisatoriska indelningen som är avgörande för vad som är självständiga verksamhetsgrenar, utan också vilken verksamhet som faktiskt bedrivs. Om man inom en myndighet har en formellt strikt avdelningsindelning, men de olika avdelningarna sysslar med samma frågor, torde det anses att sekretess inte råder mellan avdelningarna. I det motsatta fallet, dvs. att en och samma avdelning inom en myndighet sysslar med frågor av helt skilda slag, kan det emellertid inte generellt slås fast att det inte föreligger
289
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
sekretess. Det beror bl.a. på hur arbetet är organiserat på avdelningen och om det förekommer självständigt beslutsfattande m.m.
Det är alltså flera faktorer som vid en avvägning kan avgöra vad som är självständiga verksamhetsgrenar. Sannolikt skulle man kunna hävda att olika verksamhetsgrenar inom en och samma myndighet i vart fall måste anses självständiga i förhållande till varandra när det finns en organisatorisk indelning som är sakligt föranledd av att de olika grenarna – avdelningar eller enheter osv. – inte sysslar med samma arbetsuppgifter.
Särskilt om sekretess inom Tullverket
I Tullverkets fiskala verksamhet råder enligt 9 kap. 1 § sekretesslagen sekretess för alla uppgifter i TDS och andra register i tulldatabasen. Bestämmelsens utformning är inte helt tydlig och det är därför enligt vår uppfattning inte uppenbart om uppgifterna i tulldatabasen skall anses omfattas av absolut sekretess eller av sekretess med ett omvänt skaderekvisit. Denna eventuella tveksamhet har emellertid inte någon avgörande betydelse för vår bedömning av om Tullverket i den brottsbekämpande verksamheten skall få ha direktåtkomst till tulldatabasen. Vad som är väsentligt för vår del är att det råder sekretess för uppgifterna och att det för frågan om direktåtkomst därför är av betydelse om de olika verksamhetsgrenarna i den fiskala respektive den brottsbekämpande verksamheten inom Tullverket är att anse som självständiga i förhållande till varandra eller inte. Är de att anse som självständiga kan information som omfattas av sekretess nämligen inte lämnas dem emellan utan att en sekretessprövning görs, om det inte finns en bestämmelse som bryter sekretessen. Detta gäller oavsett formen för utlämnande, men kan sägas vara av särskild betydelse i fråga om direktåtkomst eftersom det då inte kan göras någon sekretessprövning vid varje åtkomsttillfälle. Enligt vår uppfattning är det därför nödvändigt att sekretessgränserna inom Tullverket klarläggs.
Många gånger kan det vara enkelt att fastställa om sekretess råder mellan verksamhetsgrenar. Det är t.ex. inte ifrågasatt att det råder sekretess mellan skattebrottsenheten och den fiskala momsenheten inom en skattemyndighet. Inom Tullverket är den organisatoriska indelningen mer svåröverskådlig och tillämpningen av sekretessreglerna blir därför mer komplicerad. Ett problem vid
290
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
bedömningen av i vilka fall sekretess råder inom Tullverket, är att den organisatoriska indelningen av verket inte alltid strikt följer de olika arbetsuppgifterna. Skälet är att det finns en arbetsuppgiftsfördelning som främst utgår från processer och inte från en organisatorisk indelning. Enligt vad vi erfarit tenderar även de olika processerna i vissa fall att överlappa och gå in i varandra på ett sätt som inte överensstämmer med den organisatoriska indelningen. Under våra studiebesök i några regioner inom Tullverket har vi fått uppfattningen att det även i det praktiska arbetet i vissa fall råder oklarhet om vilka sekretessgränser som gäller inom Tullverket och att det finns önskemål om att frågan klargörs.
I bilaga 4 till betänkandet gör vi ett försök att åskådiggöra den oklara situationen inom Tullverket avseende den fiskala respektive den brottsbekämpande verksamheten (figur 1), jämfört med den väsentligt tydligare gränsdragning som råder inom skattemyndigheterna (figur 2).
Enligt vår bedömning råder det inte sekretess mellan t.ex. tullkriminalenheterna vid två olika tullregioner, eftersom det är fråga om samma sakliga verksamhet. Däremot anser vi att sekretess måste anses råda mellan tullkriminalenheten och företagsenheten inom en region, eftersom det handlar om olika sakliga verksamheter och det samtidigt finns en tydlig organisatorisk åtskillnad även om det är samma region.
Det är däremot mera oklart om sekretess råder mellan t.ex. underrättelsesektionen och riskanalyssektionen inom analysenheten i en region. Nämnda enhet tillhör organisatoriskt analysprocessen, vars uppgift är att ge analysstöd till processerna effektiv handel och gränsskydd. Riskanalyssektionen har fiskala arbetsuppgifter medan underrättelsesektionen arbetar med brottsbekämpning. En komplicerande faktor är att de båda sektionerna inte är organisatoriskt åtskilda på ett klart och tydligt sätt och att den brottsbekämpande och den fiskala verksamheten delvis överlappar och går i varandra. Vid våra studiebesök har vi dessutom kunnat konstatera att det inte föreligger helt vattentäta skott mellan de båda sektionernas verksamheter och att ett visst samarbete kan uppstå dem emellan, t.ex. då resultatet av ett riskanalysarbete visar att det finns anledning att misstänka att brottslig verksamhet pågår. Vid en samlad bedömning av omständigheterna anser vi emellertid att mycket talar för att dessa båda sektioner inom analysenheten måste anses utgöra självständiga verksamhetsgrenar i förhållande till varandra och att sekretess alltså råder dem emellan.
291
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
Även beträffande gränsskyddet och den därmed sammanhängande kontrollverksamheten är det oklart om sekretess föreligger, eftersom personalen måste anses ha såväl fiskala som brottsbekämpande arbetsuppgifter och de båda arbetsuppgifterna kan komma att sammanfalla. Vid en gränskontroll har personalen både att förtulla legalt gods som deklareras och att förhindra att icke legala varor smugglas in i landet. En införselkontroll av legalt gods kan också visa att skatter och tullar har undandragits på ett sådant sätt att fråga är om ett tullbrott som skall beivras. Eftersom samtliga kontroller inom gränsskyddet, som vi uppfattar det, ändå får anses ske som ett led i den brottsbekämpande verksamheten, är det enligt vår bedömning tveksamt om sekretess kan anses råda inom gränsskyddet.
Sammanfattningsvis måste vi konstatera att sekretessituationen inom Tullverket i många fall är svårbedömd och därmed riskerar att uppfattas som oklar. Med hänsyn till de svårigheter som finns och till att vi bedömer att sekretess i många fall råder mellan fiskal och brottsbekämpande verksamhet, bör det enligt vår uppfattning införas en bestämmelse som bryter sekretessen för uppgifter i TDS och andra fiskala register i förhållande till de grenar inom Tullverket som arbetar med brottsbekämpande verksamhet. En sådan bestämmelse skulle innebära att det inte längre finns några sekretesshinder mot att medge direktåtkomst till TDS i den brottsbekämpande verksamheten. Vi återkommer i avsnitt 12.6 till frågan om hur en sådan bestämmelse bör utformas.
12.5Direktåtkomst till TDS och artikel 6 i Europakonventionen
I detta avsnitt berörs vissa frågor med anledning av artikel 6 i den europeiska konventionen av den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen), som vi enligt direktiven har i uppdrag att belysa.
292
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
12.5.1Inledande om artikel 6
Genom artikel 6 i Europakonventionen garanteras enskilda visst skydd och vissa rättigheter. Syftet är att tillförsäkra den enskilde en opartisk och rättssäker domstolsprövning avseende tvister om en persons civila rättigheter eller skyldigheter och anklagelser för brottsligt handlande. Hans Danelius skriver i Mänskliga rättigheter i europeisk praxis – En kommentar till Europakonventionen om de mänskliga rättigheterna (uppl. 1:2, 1998, Norstedts juridik, Stockholm; citeras nedan Danelius) att artikel 6 är en mångfacetterad artikel kring vilken en rik och nyanserad rättspraxis har vuxit fram.
Artikel 6 punkten 1 första meningen har följande lydelse:
Var och en skall, vid prövningen av hans civila rättigheter och skyldigheter eller av en anklagelse mot honom för brott, vara berättigad till en rättvis och offentlig förhandling inom skälig tid och inför en oavhängig och opartisk domstol, som upprättats enligt lag.
Innebörden av bestämmelsen är att artikel 6 i grunden är tillämplig i två fall där rätt till domstolsprövning föreligger, nämligen vid prövning av tvister om civila rättigheter eller skyldigheter samt vid prövning av anklagelser för brott. Det bör särskilt understrykas att rättigheterna i artikeln inte är tillämpliga på alla rättsliga förfaranden. Straffprocessuella tvångsmedel som häktning, husrannsakan och telefonavlyssning faller utanför, liksom villkorlig frigivning och benådning (jfr Danelius s. 136). Rättigheterna enligt artikel 6 skall garantera varje person en rättssäker process och rätt till domstolsprövning. I artikeln uppställs även vissa krav på hur ett domstolsförfarande skall vara utformat för att motsvara de krav som kan ställas på ett rättssäkert förfarande. Bland dessa punkter bör i sammanhanget särskilt poängteras kravet på ett korrekt och rättvist förfarande för den enskilde, dvs. rätten till en rättvis rättegång eller förhandling (på engelska ofta ”fair trial”).
12.5.2Begreppet ”anklagelser för brott”
Rättigheterna i artikel 6 gäller vid prövning av anklagelser för brott. Begreppet ”anklagelser för brott” är autonomt, vilket innebär att det ges en allmängiltig tolkning av Europadomstolen och att den nationella tolkningen endast har underordnad betydelse. Syftet
293
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
med begreppet är att bestämma tidpunkten för när rättigheterna i artikel 6 kan göras gällande.
I målet Deweer mot Belgien (dom den 27 februari 1980, Publications of the European Court of Human Rights, Series A: Judgements and Decisions, 35) ges viss vägledning för hur begreppet skall tolkas i fråga om när anklagelsetidpunkten kan anses ha inträtt. Deweer ansågs ha brutit mot vissa bestämmelser rörande prissättning i sin affärsrörelse. En åklagare beslutade att butiken skulle stängas till dess att affärsinnehavaren hade erlagt ett visst bestämt belopp eller dom meddelats. Domstolen ansåg att en anklagelse för brott hade förelegat och uttalade i domen att begreppet anklagad är kopplat till den officiella underrättelsen, om att en brottslig handling har begåtts, vilken ges till en person av behörig myndighet (jfr Danelius s 139).
Skattetilläggskommittén refererar i sitt betänkande Skattetillägg m.m. (SOU 2001:25 s. 137 f.) till den norske professorn Jörgen Aall, som har gjort gällande att frågeställningen om när artikel 6 är tillämplig måste utgå från en bedömning av om när individens situation är påverkad i en sådan grad att det är nödvändigt att rättigheterna börjar gälla.
Europadomstolen har i två domar den 23 juli 2002, Västberga Taxi AB och Vulic mot Sverige (ansökan nr. 36985/97) samt
Janosevic mot Sverige (ansökan nr. 34619/97), uttalat att rättigheterna i artikel 6 kan göras gällande antingen från att det riktas en formell anklagelse mot den enskilde eller från att myndighetens agerande på grund av misstanken mot den enskilde påtagligt påverkar dennes situation.
12.5.3Begreppet rättvis rättegång (”fair trial”) och passivitetsrätten
En grundläggande rättighet i artikel 6 är rätten till en rättvis rättegång. Begreppet rättvis rättegång i samband med anklagelser för brott har i rättspraxis ansetts omfatta ett flertal omständigheter, bl.a. att åklagare och anklagade skall vara likställda i processen samt att den anklagade skall få tillgång till processmaterial och rätt att förhöra vittnen. Rätten till en rättvis rättegång har formulerats i ett antal allmänt hållna rättigheter i artikel 6. Begreppet är emellertid vidare än vad som kan utläsas av konventionstexten. En i detta sammanhang viktig princip är att den anklagade inte på något sätt
294
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
skall vara skyldig att underlätta för åklagaren i dennes arbete, dvs. rätten att inte belasta sig själv i processen.
Denna s.k. passivitetsrätt innebär att den som är misstänkt för brott inte skall behöva bidra till utredningen eller bevisningen i målet genom att göra medgivanden eller tillhandahålla belastande material. Det är åklagaren som skall bevisa den tilltalades skuld och den tilltalade har rätt att inte uttala sig alls och är inte skyldig att på något sätt underlätta åklagarens uppgift (jfr Danelius s. 188).
Målen Crémieux mot Frankrike samt Funke mot Frankrike
(domar den 25 februari 1993, Publications of the European Court of Human Rights, Series A: Judgements and Decisions,
Den närmare innebörden av passivitetsrättens räckvidd i Europakonventionen är ännu inte helt klarlagd (jfr SOU 2001:25 s. 168). Det bör poängteras att i samtliga fall som prövats av Europadomstolen, har det rört sig om personer som redan var misstänkta för brott när tvånget utövades. I sammanhanget bör det också understrykas att det inte möter några hinder enligt artikel 6 att använda sig av tvångsmedel, enligt t.ex. rättegångsbalken, förutsatt att tvångsåtgärderna genomförs på ett sätt som innebär att den enskildes rätt att vara passiv respekteras.
Passivitetsrätten har i vissa sammanhang ansetts kunna komma i konflikt med ett förfarande som innebär att en myndighet i brottsbekämpande syfte utnyttjar fiskalt material som den anklagade enligt exempelvis skattelagstiftningen är skyldig att lämna till myndigheterna, ibland efter vitesföreläggande. I detta sammanhang är det därför viktigt att analysera och bedöma om det finns risk för att direktåtkomst för Tullverket i den brottsbekämpande verksamheten till fiskalt material i TDS kan komma i konflikt med passivitetsrätten.
295
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
12.5.4Tullagens regler om vitesförbud vid brottsmisstanke
Tullverket kan enligt 10 kap. 4 § tullagen (2000:1281) vid vite förelägga någon att vidta en åtgärd som behövs för förtullning, annan tullklarering eller kontrollverksamhet. Från denna regel finns ett i detta sammanhang viktigt undantag. Föreläggande vid vite får nämligen inte förekomma när det finns anledning att anta att den som skall föreläggas – eller företrädare för denne om det är en juridisk person – har begått brott, om föreläggandet har samband med den gärning som brottsmisstanken avser. Motsvarande bestämmelse finns även för skattemyndigheterna i bl.a. taxeringslagen (1990:324). Av regeringens uttalanden i samband med att bestämmelsen i tullagen infördes framgår att avsikten var att undvika ett förfarande som inte stod i överensstämmelse med artikel 6 i Europakonventionen. Regeringen anförde att förbudet mot vitesförelägganden bör inträda vid den tidpunkt då en brottsanmälan enligt gällande regler skall lämnas till åklagare (prop. 1997/98:10).
I detta sammanhang bör anmärkas att det genom Europadomstolens domar den 23 juli 2002 (Västberga Taxi AB och Vulic mot Sverige samt Janosevic mot Sverige) numera är klart att artikel 6 är tillämplig i ärenden om skattetillägg. Det finns enligt vår uppfattning inte anledning att anta annat än att samma bedömning kommer att gälla för tulltillägg, vilket innebär att rättighetsgarantierna i artikel 6 skall uppfyllas även i utredningar om tulltillägg.
12.5.5Våra slutsatser avseende direktåtkomst till TDS och artikel 6
Inledningsvis vill vi poängtera att ett huvudsyfte med artikel 6 är att tillförsäkra en person en opartisk och rättssäker domstolsprövning avseende prövning av anklagelser för brott. Vid bedömningen av artikelns tillämpningsområde och passivitetsrättens räckvidd är det enligt vår uppfattning viktigt att detta syfte beaktas och att passivitetsrätten inte ses i ett isolerat perspektiv.
Artikel 6 är teknikneutral och den grundläggande frågan är därför om – eller när – Tullverket i den brottsbekämpande verksamheten kan använda sig av den information som finns i TDS och som primärt samlas in för fiskala ändamål. Det är enligt vår
296
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
bedömning otvivelaktigt på det viset att artikel 6 inte i sig förhindrar att fiskal information används i brottsbekämpande verksamhet under förutsättning att rättsäkerhetsgarantierna i artikeln kan upprätthållas. Det är vidare av underordnad betydelse vilken metod som tillämpas för informationsöverföringen. Om en uppgift i TDS på grund av Europakonventionens regler inte anses kunna utnyttjas i den brottsbekämpande verksamheten, så är det med andra ord inte principiellt mer fel om överföringen sker elektroniskt genom direktåtkomst än om uppgifterna överlämnas på papper.
Underrättelseverksamhet m.m.
Begreppet anklagelse för brott är väsentligt, eftersom det anger tidpunkten för när rättigheterna i artikel 6 kan börja göras gällande. Av ovan refererad praxis och doktrin drar vi slutsatsen att anklagelsetidpunkten tidsmässigt i vart fall bör ha inträtt när en person av behörig myndighet har underrättats om att det finns en brottsmisstanke mot honom eller henne och att en brottsutredning pågår. Enligt vår bedömning torde artikel 6 inte kunna åberopas i en situation där en person inte är misstänkt för ett konkret brott och det således inte är aktuellt att inleda en brottsutredning, exempelvis vid underrättelseverksamhet. Det finns inte heller några domar från Europadomstolen som uttalar att artikel 6 skulle vara tillämplig på underrättelseverksamhet i en situation då det inte finns någon misstanke om ett konkret brott, utan de mål som har prövats av domstolen har avsett personer som redan var misstänkta för brott när det olovliga tvånget utövades.
Anklagelsetidpunkten har betydelse för passivitetsrätten och dess räckvidd. Det bör enligt vår uppfattning råda överensstämmelse mellan dessa begrepp, så till vida att passivitetsrätten enligt artikel 6 kan börja göras gällande för den enskilde först efter det att anklagelsetidpunkten har inträtt. Denna tolkning överensstämmer enligt vår uppfattning med det faktum att passivitetsrätten, som innebär att den som är misstänkt för ett brott inte skall tvingas att belasta sig själv, ingår som en del i den grundläggande rättigheten till en rättvis rättegång vid prövning av anklagelser för brott enligt artikel 6. Det bör dock noteras att det i andra sammanhang har framförts uppfattningar om att den enskilde kan ha en självständig rätt att åberopa artikel 6 som stöd för att hålla sig passiv redan
297
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
innan han eller hon är anklagad (jfr Skattetilläggskommitténs betänkande, SOU 2001:25, s. 261).
Enligt vår uppfattning kan artikel 6 inte anses ställa upp några hinder mot att de enheter inom Tullverket som arbetar med underrättelseverksamhet tar del av fiskal information. Detsamma gäller för annan verksamhet vid Tullverket där arbetet har underrättelsekaraktär, t.ex. gränsskyddsenheternas selekteringsarbete. Det finns enligt vår mening därför inte heller några hinder på grund av artikel 6 mot att uppgifterna i TDS görs tillgängliga genom direktåtkomst i underrättelseverksamheten.
Brottsutredningar
I den verksamhet som bedrivs av tullkriminalenheterna har anklagelsetidpunkten enligt artikel 6 passerats när det kan bli aktuellt att inhämta information från TDS om den misstänkte. Det förekommer konkreta misstankar om brott och en brottsutredning är inledd. I den situationen kan det enligt vår uppfattning, till skillnad från vad som gäller för underrättelseverksamhet, finnas risk för att information hanteras på ett felaktigt sätt. Det kan t.ex. uppstå problem om en brottsutredning avseende en person överlappar en fiskal revision avseende samma person, och de båda utredningarna hanteras separat. Revisorerna kan i denna situation, med eller utan hot om vite, kräva ut handlingar som behövs för att fastställa tullar eller avgifter och som därefter överlämnas till brottsutredarna. Ett sådant förfarande skulle med största sannolikhet strida mot artikel 6, eftersom den undersökta personen vid en revision har avtvingats information som sedan används mot honom eller henne i en samtidigt pågående brottsutredning.
Problemet i sig är inte teknikrelaterat. Om på detta sätt felaktigt åtkomna handlingar används i en brottsutredning, spelar det ingen roll om informationsöverföringen har skett manuellt genom överlämnande av pappershandlingar eller elektroniskt genom direktåtkomst. Det är emellertid möjligt att riskerna för bristande kommunikation i samband med revisioner och brottsutredningar skulle kunna öka om personliga kontakter inte behöver tas mellan revisorer och brottsutredare för att de sistnämnda skall kunna ta del av information från TDS. I samband med en revision skulle uppgifter som åtkommits i strid med artikel 6 nämligen kunna registreras i TDS, varefter brottsutredarna genom direktåtkomst
298
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
kan ta del av uppgifterna utan att vara medvetna om att t.ex. fiskala tvångsmedel har använts.
För att tullkriminalenheterna skall medges direktåtkomst till TDS, är det därför enligt vår uppfattning av avgörande betydelse att det inom Tullverket finns rutiner som garanterar att tullkriminalenheternas och tullrevisorernas verksamheter inte sammanblandas på ett sådant sätt att enskilda under exempelvis en revision lämnar uppgifter som kan användas mot dem i en pågående eller nära förestående brottsutredning. Det bör i detta sammanhang påpekas att det, som vi redovisar i avsnitt 12.5.4, numera måste anses klart att artikel 6 är tillämplig i ärenden om tulltillägg. Det medför bl.a. att passivitetsrätten gäller redan i fiskala ärenden om påförande av särskilt tulltillägg, även om någon brottsutredning inte är aktuell. Det finns med andra ord starka skäl för att inom Tullverket hantera frågan om tillämpningen av artikel 6 med stor försiktighet, oavsett om tullkriminalenheterna skall ha direktåtkomst till TDS eller inte.
Vår bedömning är att artikel 6 inte utgör något principiellt hinder mot att direktåtkomst till TDS medges i brottsutredningar. Det krävs dock författningsreglering av åtkomstmöjligheterna samt tydliga rutiner och kunskap om hur informationen får hanteras inom Tullverket, innan en sådan åtkomst kan verkställas.
Gränsskyddsverksamhet
Arbetet inom Tullverkets gränsskyddsverksamhet är speciellt till sin karaktär, eftersom det kan ha inslag av såväl underrättelseliknande verksamhet som brottsutredning. Några problem med avseende på artikel 6 kan vi emellertid inte se i de fall tullens personal använder sig av information från TDS i samband med en kontroll, oavsett om kontrollen initieras av information från underrättelsesektioner, efter tips från enskilda eller på grund av att tullpersonalen av andra skäl anser att en kontroll bör genomföras.
Många gånger leder en kontroll inte till några rättsliga åtgärder över huvud taget, dvs. inget upptäcks som ger anledning att misstänka ett brottsligt förfarande. Om tullens personal däremot vid en kontroll upptäcker illegalt gods eller felaktigheter i deklarationshandlingar, kan naturligtvis en konkret brottsmisstanke uppstå mot en person. Det normala är då att en brottmålsrapport upprättas och att ärendet överlämnas till tullkriminalen, som har att hantera den fortsatta brottsutredningen. Att tullens
299
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
personal i samband med en kontroll utnyttjar tidigare registrerade uppgifter i TDS, t.ex. för att bekräfta uppgifter som ett företag har lämnat avseende det gods som kontrolleras, kan enligt vår bedömning inte strida mot passivitetsrätten enligt artikel 6. Några hinder mot att personal inom gränsskyddsverksamheten har direktåtkomst till TDS i sin brottsbekämpande verksamhet föreligger därmed inte av det skälet.
12.6Sammanfattning och överväganden om direktåtkomst till TDS m.m.
Vårt förslag: Tullverket skall i sin brottsbekämpande verksamhet få ha direktåtkomst till Tulldatasystemet och andra fiskala register i tulldatabasen.
I underrättelseverksamhet skall Tullverket få använda sig av direktåtkomst till de fiskala systemen i tulldatabasen endast om det behövs för att bekämpa allvarlig brottslig verksamhet.
Direktåtkomst till de fiskala systemen i tulldatabasen skall få användas endast för informationssökning avseende en viss person eller ett visst objekt samt för spärrläggning och liknande åtgärder i syfte att identifiera kontrollobjekt när det är påkallat i ett ärende. Vid spärrläggning e.d. skall uppgifter om fysiska personers identitet eller bosättning inte få behandlas i tulldatabasen.
Det är enligt vår uppfattning klart att Tullverket i sitt arbete med brottsbekämpning skulle kunna uppnå en markant högre effektivitet om direktåtkomst till TDS och andra fiskala register tilläts i den brottsbekämpande verksamheten. Enligt vår bedömning är integritetsriskerna med ett sådant förfarande små, eftersom de fiskala registren nästan uteslutande innehåller uppgifter om juridiska personers affärsförhållanden. De uppgifter som förekommer om fysiska personers personliga förhållanden är få och de kan inte anses vara av känslig karaktär. Vi anser inte heller att ett förfarande med direktåtkomst skulle strida mot artikel 6 i Europakonventionen. Mot denna bakgrund anser vi att det finns klart övervägande skäl som talar för att Tullverket skall tillåtas ha direktåtkomst till TDS.
300
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
För att ändå minimera de eventuella risker för otillbörliga integritetsintrång som kan finnas, är det enligt vår uppfattning viktigt att TDS inte används helt fritt i den brottsbekämpande verksamheten. Av särskild betydelse för integritetsskyddet anser vi vara att uppgifter i TDS inte behandlas för brottsbekämpande syften genom användning av urvalssystem för att ta fram riskprofiler och annan information som inte kan knytas till ett konkret ärende eller en konkret misstanke om förekomsten av brottslig verksamhet. Det skall med andra ord inte vara möjligt att utan begränsningar ”fiska” efter matnyttig information bland uppgifterna i TDS. Detta bör enligt vår uppfattning lösas genom särskilda ändamålsbestämmelser i lag som begränsar möjligheterna att använda TDS genom direktåtkomst samt kompletterande bestämmelser i förordning om när uppgifter i TDS får behandlas för brottsbekämpande ändamål. På detta sätt kan Tullverkets möjligheter att i brottsbekämpande verksamhet använda sig av direktåtkomst till fiskal information begränsas till vissa situationer där behovet är påtagligt.
Ändamålen för användning av TDS i brottsbekämpande verksamhet
Vid bedömningen av vilka behandlingar av uppgifter som skall vara tillåtna för en myndighet har ändamålsbestämmelser i de relevanta registerförfattningarna en avgörande betydelse. Det är endast sådana uppgifter som är adekvata och relevanta i förhållande till ändamålen som får behandlas och behandling får inte vara oförenlig med de ändamål för vilka uppgifterna samlades in. Det är därför enligt vår uppfattning viktigt att det i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet – dvs. den lag som reglerar den fiskala tulldatabasen – anges för vilka ändamål uppgifter i TDS och andra fiskala register får behandlas i brottsbekämpande verksamhet.
För att förhindra en fri användning av TDS och andra fiskala register i underrättelseverksamhet m.m. föreslår vi att det införs en ändamålsbestämmelse som tillåter behandling av uppgifter i tulldatabasen om det behövs för att förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller mer, dvs. allvarlig brottslig verksamhet. Det skall med andra ord vara möjligt att i underrättelseverksamhet använda TDS genom direktåtkomst endast då den brottsliga
301
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
verksamheten är av sådan svårighetsgrad att relevanta personuppgifter får registreras i ett allmänt underrättelseregister i tullbrottsdatabasen.
En sådan ändamålsbestämmelse innebär att det inte blir tillåtet för t.ex. underrättelseenheterna att utnyttja urvals- och sökprogram liknande de som används i den fiskala verksamheten, för att få fram kontrollvärda objekt med hjälp av TDS. Kravet på att TDS endast får användas om det behövs för att bekämpa allvarlig brottslig verksamhet innebär nämligen att uppgifter inte får behandlas om vilka personer som helst. Det krävs att de uppgifter som behandlas på något sätt kan vara till konkret hjälp i verksamheten med att förhindra eller upptäcka just allvarlig brottslig verksamhet. Användningen av ett urvalsprogram, utan att det anges tydliga begränsningar avseende de personer som skall omfattas av behandlingen, skulle ofrånkomligen leda till att uppgifter behandlas om personer som är helt oskyldiga och inte på något sätt kan antas ha samband med brottslig verksamhet.
I verksamhet med brottsutredningar föreslår vi inte någon motsvarande begränsning av ändamålen till att endast avse utredning av allvarlig brottslighet. Direktåtkomst till TDS bör allmänt få användas om det behövs för att utreda eller beivra konkreta brott, oavsett om brottsligheten är allvarlig eller inte. Det innebär emellertid inte att det skall saknas begränsningar för användandet av TDS. En väsentlig begränsning ligger enligt vår uppfattning redan i att TDS med stöd av en sådan ändamålsbestämmelse inte får användas på ett visst sätt om det inte behövs för handläggningen av ett konkret ärende. Detta utesluter att sökningar får göras i TDS utan att det finns befogad anledning till det. Det kommer alltså, på motsvarande sätt som i underrättelseverksamhet, att vara otillåtet att använda urvalssystem på ett integritetskänsligt sätt som innebär att uppgifter behandlas om personer som inte kan misstänkas ha någon betydelse i en förundersökning eller ett annat ärende om brottsutredning.
För att ytterligare stärka integritetsskyddet i samband med användningen av direktåtkomst i såväl underrättelseverksamhet som brottsutredande verksamhet, anser vi att regeringen bör bemyndigas att meddela närmare föreskrifter om när uppgifter får behandlas för de ovan angivna ändamålen. Enligt vår uppfattning bör de begränsningar som blir följden av ändamålsbestämmelserna konkretiseras genom att det i förordning anges att de fiskala systemen i tulldatabasen skall få användas endast för informations-
302
| SOU 2002:113 | Direktåtkomst för Tullverket till Tulldatasystemet … |
sökning avseende en viss person eller ett visst objekt samt för spärrläggning och liknande åtgärder i syfte att identifiera kontrollobjekt när det är påkallat i ett ärende. Vi är också av den uppfattningen att uppgifter om fysiska personers identitet eller bosättning inte skall få behandlas i tulldatabasen vid spärrläggning e.d. Behovet av att utnyttja den typen av personuppgifter vid spärrläggning är enligt vår uppfattning förhållandevis litet, samtidigt som en sådan begränsning minskar riskerna för otillbörliga integritetsintrång.
Dessa begränsningar till trots är det enligt vår mening mycket annan behandling av uppgifter vid utnyttjande av direktåtkomst till TDS, som med stöd av nämnda ändamålsbestämmelse och de kompletterande bestämmelserna i förordning blir tillåten i den brottsbekämpande verksamheten. Som exempel kan nämnas följande.
–Riktad informationsinhämtning om fysiska eller juridiska personer som förekommer i förundersökningar eller som är aktuella i underrättelseverksamhet på grund av att de kan antas ha samband med allvarlig brottslig verksamhet.
–Allmän informationssökning för att hitta uppgifter om t.ex. fordon och fysiska eller juridiska personer som förekommer i en förundersökning eller mot vilka det finns misstankar om inblandning i allvarlig brottslig verksamhet.
–Användning av spärrmarkeringar e.d. för att på grund av särskild anledning kunna välja ut kontrollvärda juridiska personer eller objekt, t.ex. spärrar på samtliga möbeltransporter från ett visst land när det finns misstanke om att narkotika ofta smugglas i sådana transporter.
Sammanfattningsvis anser vi att de redovisade begränsningarna av tillgängligheten till TDS och andra fiskala register medför att vårt förslag om direktåtkomst för Tullverket i den brottsbekämpande verksamheten på ett tillfredsställande sätt tar tillvara behovet av skydd för den personliga integriteten samtidigt som mycket goda förutsättningar ges för en höjning av effektiviteten i verksamheten.
En sekretessbrytande bestämmelse
Som vi konstaterar i avsnitt 12.4.2 finns det en del oklarheter i sekretessförhållandet mellan den fiskala och den brottsbekämpande verksamheten inom Tullverket. För att direktåtkomst skall kunna
303
| Direktåtkomst för Tullverket till Tulldatasystemet … | SOU 2002:113 |
medges i den utsträckning vi föreslår, behövs det därför enligt vår uppfattning en bestämmelse som bryter sekretessen mellan den fiskala och den brottsbekämpande verksamheten inom Tullverket. Några hinder mot att införa sådana sekretessbrytande regler om uppgiftsskyldighet mellan självständiga verksamhetsgrenar inom en och samma myndighet föreligger inte. Vi föreslår därför att det i förordningen (2001:646) om behandling av uppgifter i Tullverkets verksamhet anges att uppgifter i den fiskala tulldatabasen på begäran skall lämnas ut till de verksamhetsgrenar inom Tullverket som arbetar med brottsbekämpande verksamhet.
304
13Ikraftträdande- och övergångsbestämmelser
Vårt förslag: Lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet samt den kompletterande förordningen och de ändringar vi föreslår i andra författningar, skall träda i kraft den 1 januari 2004.
Vissa bestämmelser i den nya lagen om behandling av personuppgifter skall i fråga om äldre manuella register inte börja tillämpas förrän den 1 oktober 2007. Den nya lagens bestämmelse om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft.
Den nya lagstiftning som vi föreslår för behandling av uppgifter i Tullverkets brottsbekämpande verksamhet bör kunna träda i kraft den 1 januari 2004. Detsamma gäller de ändringar vi föreslår i sekretesslagen (1980:100).
Vi har övervägt behovet av övergångsbestämmelser och funnit att det av principiella skäl saknas anledning att låta manuell behandling av personuppgifter i Tullverkets verksamhet omfattas av lagstiftningen i annan utsträckning än vad som skulle ha varit fallet om endast personuppgiftslagens (1998:204) bestämmelser hade varit tillämpliga. De undantag från tillämpning fram till den 1 oktober 2007 som föreskrivs i personuppgiftslagen avseende manuella register, som påbörjats redan före den lagens ikraftträdande, bör därför gälla även för behandling enligt den nu föreslagna lagstiftningen. I praktiken torde övergångsbestämmelsen dock sakna eller ha mycket begränsad betydelse. Vidare bör den nya lagens bestämmelse om skadestånd tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft. Har omständigheten inträffat tidigare tillämpas i stället skadeståndsreglerna i äldre lagstiftning.
305
| Ikraftträdande- och övergångsbestämmelser | SOU 2002:113 |
I övrigt gör vi den bedömningen att behandling av personuppgifter och andra uppgifter som i dag utförs i den brottsbekämpande verksamheten inom Tullverket, utan ytterligare övergångsbestämmelser direkt kan omfattas av bestämmelserna i den nya lagstiftningen när den träder i kraft.
306
14 Konsekvenser av våra förslag
Vår bedömning: Våra förslag kommer att ge förutsättningar för väsentliga effektivitetsvinster för Tullverkets brottsbekämpande verksamhet och en förbättrad samverkan mellan Tullverket och andra brottsbekämpande myndigheter. Förslagen i sig medför inte några kostnadsökningar.
Kommittéer som tillkallats på grund av ett regeringsbeslut och som har ett utredningsuppdrag skall enligt kommittéförordningen (1998:1474) genomföra konsekvensanalyser i skilda hänseenden beträffande de förslag som framställts. Vad som sägs i förordningen om kommittéer gäller också särskilda utredare. Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall en beräkning av dessa konsekvenser redovisas i betänkandet.
Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall kommittén eller utredaren föreslå en finansiering. Om förslagen i ett betänkande har betydelse för den kommunala självstyrelsen, skall konsekvenserna också i det avseendet anges i betänkandet. Detsamma gäller när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen.
En grundläggande utgångspunkt för vårt arbete har varit att föreslå moderna, teknikoberoende och allmänt ändamålsenliga bestämmelser. Det har också varit väsentligt att den föreslagna lagstiftningen anpassas till en elektronisk ärendehandläggning. Särskild hänsyn har tagits till de integritetsaspekter som följer av
307
| Konsekvenser av våra förslag | SOU 2002:113 |
omfattande automatiserade uppgiftssamlingar i myndighetsverksamhet. En annan viktig utgångspunkt för vårt arbete har varit att våra förslag i möjligaste mån skall främja samverkan mellan de brottsbekämpande myndigheterna.
Våra författningsförslag innebär att lagstiftningen i förhållande till i dag blir helt teknikoberoende. Förslagen gör det möjligt för Tullverket att skapa nya effektiva datorsystem för den brottsbekämpande verksamheten. Därigenom kan verksamheten förbättras genom ett mer ändamålsenligt datorstöd. Våra förslag kommer inte att innebära några kostnader för Tullverkets pågående verksamhet, eftersom de befintliga datorsystemen kan bibehållas. Samtidigt tillåter våra förslag att nya datorsystem i framtiden kan tillskapas utan att det blir nödvändigt att ändra regelverket .
Våra förslag innebär att Tullverket ges frihet att välja i vilken omfattning verket vill inrätta ett eller flera register eller system inom ramen för den gemensamma databasen. Förslagen möjliggör vidare att elektroniska ärendehanteringssystem kan skapas. Detta kommer att medföra positiva effekter för det brottsbekämpande arbetet, vilket kan effektiviseras betydligt.
Vid en jämförelse med vad som gäller i dag, innebär våra förslag också en mycket större flexibilitet i fråga om möjligheterna till informationsutbyte mellan myndigheter. Vi föreslår t.ex. att polisen, Ekobrottsmyndigheten, skattebrottsenheterna och Kustbevakningen i den brottsbekämpande verksamheten, under vissa förutsättningar, skall ges direktåtkomst till Tullverkets register och databaser. Förslagen om direktåtkomst kan förväntas medföra besparingar genom de effektivitetsvinster som direktåtkomsten åstadkommer. De brottsbekämpande myndigheterna kan genom direktåtkomsten bedriva sitt arbete på ett mer effektivt sätt.
Våra förslag innebär också att Tullverket ges större möjligheter att bedriva en effektiv underrättelseverksamhet. Vi föreslår t.ex. att det inte längre skall krävas att det skall vara fråga om misstänkt allvarlig brottslighet för att en särskild undersökning skall kunna inledas. Vidare föreslår vi att Tullverket i sin brottsbekämpande verksamhet skall få ha direktåtkomst till Tulldatasystemet och andra fiskala register i tulldatabasen. Våra förslag i denna del ger förutsättningar för en markant ökning av effektiviteten i arbetet med att bekämpa narkotikasmuggling och grov ekonomisk brottslighet. Vissa utbildningsinsatser kommer att krävas, men vi bedömer att dessa, jämfört med den fortlöpande vidareutbild-
308
| SOU 2002:113 | Konsekvenser av våra förslag |
ningen av personalen, inte är mer omfattande än att de kan täckas av ordinarie utbildningsanslag.
309
15 Författningskommentarer
15.1Förslag till lag om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet
1 kap. Allmänna bestämmelser
1 §
Enligt första stycket skall lagen, liksom personuppgiftslagen, tillämpas på all behandling av personuppgifter som är helt eller delvis automatiserad samt viss strukturerad manuell behandling. Med personuppgifter avses detsamma som i personuppgiftslagen, nämligen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Begränsningen till brottsbekämpande verksamhet innebär att en avgränsning görs mot den fiskala delen av Tullverkets verksamhet. Vad som är brottsbekämpande verksamhet legaldefinieras inte, men ledning kan hämtas i 4 § om för vilka ändamål uppgifter får behandlas och i lagen (2001:185) om behandling av uppgifter i Tullverkets verksamhet, som reglerar den fiskala verksamheten. Utanför lagens tillämpningsområde faller, förutom den fiskala verksamheten, även behandling av personuppgifter i samband med de interna och administrativa åtgärder som kan förekomma i Tullverkets verksamhet. För behandling av uppgifter som rör sådana frågor, t.ex. i personal- och löneregister, gäller i stället personuppgiftslagen.
Enligt andra stycket skall bestämmelserna om ändamål, om ansvar för utförd behandling, och om gallring samt de bestämmelser som gäller tullbrottsdatabasen, tillämpas också på juridiska personer.
Bestämmelserna i 1 kap. är generella och gäller, om inte annat sägs, för all behandling av uppgifter i den brottsbekämpande verksamheten, oavsett om det gäller
311
| Författningskommentarer | SOU 2002:113 |
promemorior som upprättats i ordbehandlingsprogram, mindre register som används tillfälligt i underrättelseprojekt eller större register och datorsystem som används gemensamt i den brottsbekämpande verksamheten. I tredje stycket upplyses om att det för de sistnämnda fallen, t.ex. behandling i tullens gemensamma underrättelseregister och ärendehanteringssystem, finns särskilda bestämmelser i 2 kap. om den gemensamma databasen för Tullverkets brottsbekämpande verksamhet, se kommentaren till 2 kap. 1 §.
(Se avsnitt 11.1.2)
2 §
Paragrafen är föranledd av att enskilda enligt dataskyddsdirektivet i vissa fall kan motsätta sig behandling av personuppgifter som rör honom eller henne, om det inte görs undantag i nationell lagstiftning.
3 §
Lagen gäller i stället för personuppgiftslagen. I de fall bestämmelser i personuppgiftslagen är tillämpliga även på behandling i Tullverkets brottsbekämpande verksamhet anges det särskilt.
(Se avsnitt 11.1.3)
4 §
I paragrafen anges vilka bestämmelser i personuppgiftslagen som skall vara tillämpliga även vid behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. De angivna bestämmelserna är alltså inte tillämpliga på behandling av uppgifter om juridiska personer och avlidna.
Bestämmelsen i 22 § personuppgiftslagen om personnummer m.m. tillämpas endast när uppgifter behandlas på annat sätt än i databasen, t.ex. i ordbehandlingsdokument eller i
(Se avsnitt 11.1.3)
5 §
Paragrafen anger de ändamål för vilka uppgifter får användas – dvs. samlas in, registreras, lämnas ut och i övrigt behandlas – i den brottsbekämpande verksamheten. Bestämmelsen tillämpas på uppgifter om såväl fysiska som juridiska personer.
312
| SOU 2002:113 | Författningskommentarer |
Enligt punkten 1 får uppgifter behandlas för att förhindra eller upptäcka brottslig verksamhet som Tullverket har att ingripa mot. Bestämmelsen omfattar inte allmän brottsförebyggande verksamhet, som t.ex. information i skolor eller arbetet med den s.k. Servicetrappan. Vad som avses i bestämmelsen är främst det som normalt kallas underrättelseverksamhet, dvs. arbete med insamling, bearbetning och analys av information för att komma åt brottslig verksamhet när det inte finns konkreta misstankar om att ett brott redan har begåtts. Inom ramen för detta ändamål ryms även den gränskontrollerande verksamheten på plats, innan den situationen har uppstått att t.ex. ett smugglingsbrott faktiskt har upptäckts. Punkten 1 är alltså inte tillämplig när det ”finns anledning att anta att ett brott har förövats” och en förundersökning skall inledas enligt 23 kap. rättegångsbalken (RB) eller när ett konkret brott har begåtts och åtal kan ske utan förundersökning genom ett förenklat förfarande enligt 23 kap. 22 § RB eller när ett brott skall beivras med stöd av 48 kap. RB utan att åtal väcks. I sådana fall får uppgifter i stället behandlas med stöd av ändamålet i punkten 2.
Med punkten 2 avses arbete, t.ex. spaning, förhör och informationsbearbetning, inom ramen för en förundersökning enligt 23 kap. RB eller i samband med annat utredande eller beivrande av ett konkret brott. Det innebär t.ex. att punkten 2 reglerar behandling som sker med stöd av 23 kap. 3 och 8 §§ RB, innan förundersökning har inletts (inledande förhör på brottsplatsen m.m.), samt med anledning av andra åtgärder som vidtas i syfte att samla in underlag för beslut om förundersökning skall inledas eller inte, s.k. primärutredning (t.ex. kontroll av ett tips om att ett brott har förövats). Det väsentliga är alltså att åtgärderna sker med anledning av att ett konkret brott har eller misstänks ha begåtts, inte om förundersökning har hunnit inledas eller inte eller om ett brott utreds i förenklad form. Om det finns misstankar om pågående brottlig verksamhet som inte kan konkretiseras eller misstankar om att ett konkret brott kommer att begås i framtiden, får uppgifter i stället behandlas med stöd av ändamålet i punkten 1.
Punkten 3 är en uppsamlingsregel och behövs för att behandling skall kunna utföras i internationella sammanhang när det krävs för att Sveriges åtaganden skall kunna fullgöras, men då behandlingen inte ryms under något av ändamålen i punkterna 1 och 2. Som exempel kan nämnas att Tullverket bistår en annan
313
| Författningskommentarer | SOU 2002:113 |
ansvarsområde. Uppgifter kan naturligtvis även behandlas med stöd av såväl punkten 3 som någon av punkterna 1 eller 2.
Punkten 4 reglerar behandling av uppgifter som behövs för den administrativa interna tillsynen, kontrollen och uppföljningen m.m. av den brottsbekämpande verksamheten inom Tullverket.
(Se avsnitt 11.1.4)
6 §
I paragrafen anges som ett särskilt ändamål att uppgifter som behandlas i Tullverkets brottsbekämpande verksamhet får användas för att tillhandahålla information som andra brottsbekämpande myndigheter behöver, t.ex. polisen, skattebrottsenheter och Kustbevakningen.
(Se avsnitt 11.1.4)
7 §
Tullverket är personuppgiftsansvarigt för all behandling som utförs av verket. Personuppgiftsansvaret gäller även vid underlåtenhet att utföra en behandling som åligger Tullverket. Med personuppgiftsansvaret följer en rad skyldigheter. Den personuppgiftsansvarige skall bl.a. se till att behandlingen av uppgifter sker på ett korrekt och säkert sätt, att information lämnas till den registrerade och att uppgifter gallras i rätt tid.
Det förekommer att Tullverket i den brottsbekämpande verksamheten utför behandling av personuppgifter som andra myndigheter har ansvaret för. Som exempel kan nämnas att Tullverket på egen hand registrerar uppgifter i misstankeregistret, som Rikspolisstyrelsen har ansvaret för. I fråga om denna och andra behandlingar för vilka det i särskilda författningar uttryckligen anges att någon annan än Tullverket är personuppgiftsansvarig, gäller vad som sägs i de författningarna.
Tullverket har även ett ansvar för uppgifter om juridiska personer, dvs. sådant som inte utgör personuppgifter. Ansvaret innebär motsvarande skyldigheter som personuppgiftsansvaret i fråga om de krav som lagen ställer på behandling av uppgifter om juridiska personer. Dit hör enligt 1 § att uppgifterna endast får behandlas för tillåtna ändamål samt att de skall gallras i rätt tid. Även ansvaret för att de krav som ställs upp för behandling av uppgifter i tullbrottsdatabasen uppfylls, gäller för uppgifter om juridiska personer. Däremot är bestämmelserna i 3 kap. om enskildas rättigheter inte tillämpliga, vilket t.ex. innebär att
314
| SOU 2002:113 | Författningskommentarer |
Tullverkets ansvar gentemot juridiska personer inte omfattar skyldighet att lämna information eller rätta uppgifter enligt personuppgiftslagen.
(Se avsnitt 11.1.5)
8 §
Enligt 13 § personuppgiftslagen är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycke. Om sådana uppgifter måste behandlas i offentlig verksamhet utan samtycke, behövs det särskilda och avvikande bestämmelser för i vilka fall det får göras. Bestämmelserna i 8 § första och andra styckena överensstämmer i sak med de i dag gällande bestämmelserna för Tullverkets brottsbekämpande verksamhet.
I första stycket anges att känsliga personuppgifter inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Det innebär t.ex. att det inte är tillåtet att i underrättelseverksamhet föra register över, eller på annat sätt göra anteckningar om, enskilda personer enbart på den grunden att de tillhör en viss etnisk grupp.
Av andra stycket framgår att om uppgifter om en person behandlas på annan grund får de kompletteras med känsliga personuppgifter när det är oundgängligen nödvändigt för syftet med behandlingen. Som exempel kan nämnas att en person är aktuell i ett ärende, t.ex. en förundersökning. Om det är absolut nödvändigt för handläggningen av ärendet får de övriga uppgifterna i ärendet kompletteras med känsliga personuppgifter. Känsliga personuppgifter kan även få behandlas i underrättelse- och gränskontrollverksamheten. Om Tullverket får ett tips från allmänheten om en person som troligen smugglar narkotika, får anteckningar naturligtvis göras om sådant som är nödvändigt för att underlätta identifiering vid gränsen, t.ex. fysiska kännetecken och etniskt ursprung m.m. På samma sätt är det i den informationsbearbetning som äger rum i underrättelseverksamheten tillåtet att anteckna känsliga personuppgifter om personer som på saklig grund är misstänkta för att bedriva brottslig verksamhet, under förutsättning att de känsliga uppgifterna är nödvändiga för att få fram den fullständiga underrättelseinformation som behövs.
315
| Författningskommentarer | SOU 2002:113 |
Bestämmelserna om känsliga personuppgifter gäller även vid behandling av uppgifter och handlingar i tullbrottsdatabasen, men i tredje stycket upplyses om att det i 2 kap. också finns kompletterande bestämmelser för sådan behandling. Hänvisningen avser bestämmelsen om behandling av uppgifter i inkomna elektroniska handlingar i databasen.
(Se avsnitt 11.4.1)
9 §
När uppgifter behandlas i den brottsbekämpande verksamheten är det av integritetsskäl viktigt att man särskiljer olika typer av uppgifter. Särskilt viktigt är att det inte uppstår missuppfattningar om i fall någon är misstänkt för ett konkret brott eller inte. I första stycket anges att om det inte klart framgår av sammanhanget att de uppgifter som behandlas om en person inte har som grund att personen är misstänkt för brott, skall en särskild upplysning om detta förhållande göras i anslutning till personuppgifterna. Som exempel på när det klart framgår att behandlade uppgifter inte gäller misstanke om ett brott, kan nämnas uppgifter i ett
I underrättelseverksamhet behandlas ofta uppgifter om personer som i och för sig inte är misstänkta för brott – och en upplysning enligt första stycket skall då normalt lämnas om detta – men som kan misstänkas vara inblandade i brottslig verksamhet. Av andra stycket följer att när sådana uppgifter behandlas skall en särskild upplysning i förekommande fall lämnas om vilken trovärdighet som tillmäts uppgiftslämnaren, t.ex. den som lämnar ett tips till tullen. Om möjligt skall också anges hur korrekt uppgiften är, t.ex. om det är en obekräftad gissning eller ett belagt faktum (se även kommentaren till 2 kap. 2 §). Till skillnad från vad som gäller för behandling i ett för Tullverket gemensamt underrättelseregister enligt 2 kap., ställs inga krav på att det skall vara fråga om misstänkt allvarlig brottslig verksamhet för att uppgifter skall få behandlas om en person.
316
| SOU 2002:113 | Författningskommentarer |
Av tredje stycket framgår att när uppgifter behandlas i tullbrottsdatabasen, dvs. i register eller datorsystem som används gemensamt inom Tullverket, skall de särskilda bestämmelserna i 2 kap. tillämpas.
(Se avsnitt 11.4.2)
10 §
Bestämmelsen innebär att elektronisk information som inte behandlas i tullbrottsdatabasen (t.ex. ordbehandlingsdokument och
Att uppgifterna skall gallras innebär att de kan föras över på t.ex. papper, varefter den elektroniska informationen raderas. De uppgifter som finns kvar endast på papper omfattas då inte längre av den ettåriga gallringstiden, utan de omfattas av de generella bestämmelserna om gallring enligt bl.a. arkivlagen. Uppgifter som inte utgör allmän handling skall i stället definitionsmässigt rensas.
Av andra stycket framgår att bestämmelserna om gallring inte gäller för uppgifter i förundersökningar. För sådana uppgifter skall i stället arkivlagens regler tillämpas. Vidare framgår att regeringen eller den myndighet som regeringen bestämmer, för andra uppgifter än sådana som ingår i förundersökningar, kan meddela föreskrifter om undantag från ettårsregeln, eftersom uppgifter i vissa fall kan behöva bevaras under längre tid än ett år.
I tredje stycket anges att bestämmelserna i paragrafen inte är tillämpliga på uppgifter som behandlas i databasen. För sådan behandling finns i stället särskilda bestämmelser i 2 kap. Det innebär att uppgifter, oavsett om de kan hänföras till ett ärende eller inte, kan få bevaras under längre tid än ett år, om de registreras i tullbrottsdatabasen genom att göras gemensamt tillgängliga enligt de särskilda bestämmelser som gäller för databasen. Som exempel
317
| Författningskommentarer | SOU 2002:113 |
kan nämnas uppgifter som behandlas i ett avgränsat underrättelseprojekt inom en tullregion och bedöms vara av sådant allmänt värde att de också registreras i ett för den brottsbekämpande verksamheten gemensamt underrättelseregister.
(Se avsnitt 11.8.3)
2 kap. Tullbrottsdatabasen
1 §
I paragrafen anges att det skall finnas en databas i den brottsbekämpande verksamheten. Begreppet databas är juridiskt och inte tekniskt. Tullbrottsdatabasen är med andra ord ett rättsligt samlingsnamn på ett eller flera gemensamma dataregister eller ärendehanteringssystem. I korthet kan databasen beskrivas som uppgiftssamlingar som med hjälp av automatiserad behandling används gemensamt i verksamheten. Som exempel på vad som omfattas av databasen kan nämnas uppgifter om enskilda i ett ärendehanteringssystem, t.ex. namn och adress, som registreras i samband med att ett ärende inleds och som är tillgängliga för kanslier och handläggare. I databasen ingår även uppgifter i olika register som används av tullpersonal vid exempelvis gränskontroller för att få information som behövs för att personalen skall kunna avgöra vilka åtgärder som behöver vidtas. Utanför databasen faller däremot uppgifter i t.ex.
När uppgifter eller handlingar som är införda i ett register eller ett större datorsystem – och alltså är gemensamt tillgängliga i verksamheten, dvs. ingår i databasen – sambearbetas med varandra i ett gemensamt system, skall behandlingen utföras i enlighet med det för databasen gällande regelverket. Om däremot uppgifter som är införda i en databas sambearbetas utanför det gemensamma systemet med uppgifter som inte finns i databasen, skall i stället de allmänna bestämmelserna i 1 kap. om behandling av uppgifter i den brottsbekämpande verksamheten tillämpas. Ett exempel på det sistnämnda fallet kan vara att uppgifter som är registrerade i ett gemensamt underrättelseregister eller ett större datorsystem
318
| SOU 2002:113 | Författningskommentarer |
kopieras och används av en klart avgränsad grupp tjänstemän – t.ex. inom ett underrättelseprojekt – vid upprättande av ordbehandlingsdokument och tillfälliga register som inte ingår i databasen.
(Se avsnitt 11.2)
2 §
I paragrafen regleras de personer om vilka uppgifter får registreras i databasen i arbetet med att förhindra eller upptäcka brottslig verksamhet. Bestämmelsen korresponderar med ändamålsbestämmelsen i 1 kap. 5 § 1.
I första stycket anges de grundläggande förutsättningarna för att uppgifter om en fysisk eller juridisk person över huvud taget skall få registreras i den aktuella verksamheten. Kravet är att personen i fråga kan antas ha samband med misstänkt allvarlig brottslig verksamhet. I begreppet ”ha samband med” ligger att personen själv inte behöver vara misstänkt för att bedriva allvarlig brottslig verksamhet. Sådana personer som trots att de själva inte är misstänkta kan behöva registreras i främst underrättelseverksamhet är t.ex. tipsare, vittnen till intressanta händelser, ägare till fordon som misstänks användas i allvarlig brottslig verksamhet och fastighetsskötare i fastigheter som misstänks användas som exempelvis lagerlokaler för smuggelgods. Även uppgifter om en juridisk person, t.ex. ett företag vars lokaler utnyttjas i kriminell verksamhet, får registreras. Det kan också finnas anledning att registrera personer som är misstänkta för mindre allvarlig brottslighet om de kan antas ha samband med en mer omfattande allvarlig brottslighet, t.ex. kurirer som för in små mängder narkotika som ett led i en organiserad verksamhet av större omfattning. Det är dock – till skillnad från vad som gäller vid behandling enligt 1 kap. i icke gemensamma register m.m. – ett absolut krav att det i grunden finns en misstanke om allvarlig brottslig verksamhet. De registrerade personerna skall också antas ha någon form av anknytning till den allvarliga brottsliga verksamheten, oavsett om de är medvetna om sin inblandning eller inte. Det förhållandet att en person är misstänkt för ett konkret brott, och eventuellt förekommer i en förundersökning, hindrar inte att han eller hon registreras med stöd av denna paragraf, under förutsättning att det behövs i arbetet med att förhindra eller upptäcka annan allvarlig brottslig verksamhet.
Eftersom det är fråga om behandling av mycket känsliga uppgifter som ofta är tillgängliga för ett flertal personer som
319
| Författningskommentarer | SOU 2002:113 |
arbetar med brottsbekämpning och då de personer som kan komma att registreras inte nödvändigtvis själva är misstänkta för brott, sätts i andra stycket upp särskilda integritetsskyddande regler. Av de registrerade uppgifterna skall klart framgå om registreringen har skett till följd av att personen själv är misstänkt för att bedriva allvarlig brottslig verksamhet eller inte. För att exemplifiera kan en fordonsägare, som inte själv är misstänkt för att vara inblandad i allvarlig brottslighet, i ett underrättelseregister förses med t.ex. beteckningen EM (ej misstänkt) och en person som själv endast är misstänkt för mindre allvarlig brottslighet, som dock ingår som ett led i en omfattande allvarlig brottslig verksamhet, förses med beteckningen EMAB (ej misstänkt för allvarlig brottslighet).
Som ett ytterligare kompletterande integritetsskydd för fysiska personer skall det, enligt tredje stycket, av de registrerade uppgifterna framgå om de baseras på konstaterade fakta (t.ex. att en bil vid spaning faktiskt har observerats stå parkerad på viss plats) eller om det är fråga om gissningar eller teorier (t.ex. att personen A beter sig på ett sätt som tyder på inblandning i viss brottslig verksamhet). Om uppgifter inte registreras som en följd av egna observationer utan på grund av att upplysningar lämnats t.ex. genom tips, skall det noteras vilken trovärdighet som tillmäts uppgifterna.
I 2 § anges inte vilka övriga uppgifter som får registreras, utan detta framgår av 6 §. Det kan här noteras att rätten att registrera uppgifter om annat än personer, t.ex. varor, fordon och fastigheter m.m. inte regleras i 2 §. Uppgifter om sådana föremål m.m. som inte kan hänföras till en viss person får registreras direkt med stöd av nämnda 6 §. Det är dock viktigt att framhålla att om det bland uppgifterna om t.ex. ett fordon även anges registreringsnummer, så innebär detta en behandling av uppgifter om den person som är registrerad ägare. I sådana fall måste självfallet kraven i 2 § vara uppfyllda.
(Se avsnitt 11.4.2)
3 §
Av paragrafens första stycke framgår att Tullverket i den brottsutredande verksamheten får behandla uppgifter om personer som förekommer i ett ärende. Vanligtvis rör det sig om en förundersökning, men det kan även vara ett ärende som avser beivrande av brott inom ramen för ett förenklat eller summariskt förfarande.
320
| SOU 2002:113 | Författningskommentarer |
Paragrafen korresponderar med ändamålsbestämmelsen i 1 kap. 5 § 2.
Med att en person förekommer i ett ärende avses att personen av någon anledning skall vara aktuell i ärendet. Av ändamålsbestämmelsen i 1 kap. 5 § 2 framgår att uppgifterna skall behövas i ärendet för att registrering skall få ske. De personer som kan vara aktuella att registrera är såväl misstänkta som vittnen och ombud m.fl. Om exempelvis spaningsverksamhet förekommer inom ramen för en förundersökning får uppgifter om personer som bedöms ha relevans för ärendet behandlas med stöd av denna paragraf. Om det vid sådan spaningsverksamhet eller vid annan kontroll framkommer uppgifter om personer som inte bedöms ha relevans i ett ärende om brottsutredning, men som är av intresse av underrättelseskäl, måste däremot kraven i 2 § vara uppfyllda för att registrering skall få ske.
Eftersom det är fråga om behandling av mycket känsliga uppgifter och då de personer som kan komma att registreras inte nödvändigtvis själva är misstänkta för brott, ställs det i andra stycket krav på att det av de registrerade uppgifterna klart skall framgå om en registrerad person inte är misstänkt för brott (t.ex. i ett spaningsregister genom beteckningen EMB, ej misstänkt för brott). Någon sådan upplysning är dock inte nödvändig om det av det sammanhang i vilket uppgifterna finns klart framgår vad orsaken till registreringen är. Om det i ett förundersökningsärende upprättas t.ex. en vittneslista inför kommande domstolsförhandling, behöver det inte anges huruvida vittnena är misstänkta för brott eller inte. Detsamma torde oftast kunna gälla när en uppgift ingår i ett större sammanhang i löpande text, t.ex. i en elektroniskt upprättad rapport över situationen i förundersökningen. Det är främst när uppgifter registreras som s.k. fältuppgifter i olika former av register, som t.ex. används som hjälpmedel i spanings- och kontrollverksamhet, som det måste anges om personen är misstänkt för brott eller inte. I annat fall kan det uppstå missförstånd om vilken status den registrerade personen har i förundersökningen.
I 3 § anges inte vilka övriga uppgifter som får registreras, utan detta framgår av 6 §, jfr kommentaren till 2 §.
(Se avsnitt 11.4.3)
321
| Författningskommentarer | SOU 2002:113 |
4 §
Med anledning av att Sverige har åtagit sig ett stort antal förpliktelser i form av internationellt tullsamarbete, inte minst inom EU, kan det uppkomma situationer då Tullverket måste behandla uppgifter om personer trots att de inte omfattas av bestämmelserna i 2 eller 3 §. Det kan finnas åtaganden som innebär att viss registrering av personer måste ske trots att det inte finns anledning att misstänka något samband med allvarlig brottslig verksamhet och trots att det inte finns något konkret brott att utreda eller beivra. Av paragrafen framgår att uppgifter om sådana personer får behandlas om det är nödvändigt för att Tullverket skall kunna fullgöra Sveriges förpliktelser så som de kommer till uttryck i lagen (2000:1219) om internationellt tullsamarbete.
I 4 § anges inte vilka uppgifter som får registreras om personen, utan detta framgår av 6 §, jfr kommentaren till 2 §.
(Se avsitt 11.4.4)
5 §
I paragrafen anges att Tullverket vid sin behandling av uppgifter om personer måste se till att det klart framgår med stöd av vilken bestämmelse en uppgift behandlas. Eftersom lagstiftningen är teknikneutral (se kommentaren till 1 §) finns det inga hinder mot att inom ramen för databasen inrätta t.ex. ett gemensamt spanings- och underrättelseregister och i detta registrera uppgifter om såväl personer som utan att själva vara misstänkta kan antas ha samband med allvarlig brottslig verksamhet, som personer vilka inom ramen för en förundersökning är misstänkta för ett konkret brott. I ett sådant register måste det dock klart och tydligt anges med stöd av vilken bestämmelse en uppgift har registrerats, så att uppgifterna kan hållas i sär.
(Se avsnitt 11.4.5)
6 §
I paragrafen anges vilka kategorier av uppgifter som får behandlas i databasen. För uppgifter om personer gäller att förutsättningarna i
322
| SOU 2002:113 | Författningskommentarer |
nödvändigt för syftet med behandlingen. Det kan också noteras att det i paragrafen endast anges vilka uppgifter som får behandlas i databasen, medan det i 2 och 3 §§ anges att vissa uppgifter skall behandlas.
Av punkten 1 framgår att grundläggande identitetsuppgifter får behandlas om fysiska personer, t.ex. namn, personnummer och kön. Uppgifter om nationalitet och medborgarskap kan utgöra känsliga personuppgifter och får då behandlas bara om det är oundgängligen nödvändigt. Även uppgifter om en persons yrke och arbetsplats får behandlas. Andra uppgifter än de uttryckligen nämnda, adress och telefonnummer, som kan behövas för kommunikation med en person är t.ex. platser där en person brukar vistas,
I punkten 2 regleras grundläggande uppgifter om juridiska personer, motsvarande vad som enligt punkten 1 gäller för fysiska personer.
Enligt punkten 3 får upplysningar om varifrån en uppgift kommer och om uppgiftslämnarens trovärdighet behandlas. Av 2 § framgår att vissa sådana uppgifter alltid skall anges.
I punkten 4 sägs att de omständigheter och händelser som är orsaken till att uppgifter om en person behandlas får anges i databasen, t.ex. varför man antar att någon har samband med misstänkt allvarlig brottslighet och varför man misstänker att ett brott har begåtts.
Enligt punkten 5 får det i databasen, vid sidan av vanliga identitetsuppgifter, även göras anteckningar om en persons särskilda fysiska kännetecken. Det kan röra sig om allmänna beskrivningar av en persons utseende eller mer specifika detaljer som tatueringar e.d. Om en anteckning om fysiska kännetecken skulle utgöra en känslig personuppgift, t.ex. om någons hälsotillstånd eller etniska härkomst, krävs att uppgiften är oundgängligen nödvändig för syftet med behandlingen.
Av punkten 6 framgår att uppgifter om varor, brottshjälpmedel och transportmedel får registreras. Det kan röra sig om fastigheter, vapen, bilar m.m. Om uppgifter avseende sådana objekt kan hänföras till en enskild person, t.ex. till ägaren av fordonet eller fastigheten, krävs att förutsättningarna i
323
| Författningskommentarer | SOU 2002:113 |
Enligt punkten 7 får i databasen behandlas uppgifter om att en person av olika skäl kan vara farlig och att särskilda åtgärder därför kan behövas.
Punkten 8 reglerar vilka administrativa uppgifter om ärenden som får behandlas. I princip får alla uppgifter som beskriver ett ärende registreras. I en ärendemening, som kan behövas för att intressanta ärenden skall kunna letas fram utan att man har tillgång till identitetsuppgifter, kan det finnas skäl att anteckna känsliga personuppgifter om det är oundgängligen nödvändigt för att på ett korrekt sätt beskriva vad ärendet handlar om.
Av punkten 9 framgår att Tullverket får registrera uppgifter som avser verkets åtgärder med och administration av ärenden. Bestämmelsen är nödvändig för att mer avancerade ärendehanteringssystem skall kunna användas, t.ex. i tullkriminalens arbete. Det kan röra sig om uppgifter om beslut, kallelser och delgivningar m.m.
Av punkten 10 framgår att Tullverket får registrera de uppgifter som är nödvändiga för att internationella åtaganden eller åligganden skall kunna fullgöras.
Slutligen anges i punkten 11 att det i samband med uppgifter om personer eller fordon m.m. som är registrerade i tullbrottsdatabasen får göras hänvisningar till register eller databaser hos andra brottsbekämpande myndigheter (t.ex. polisen, Ekobrottsmyndigheten och skattebrottsenheter vid skattemyndigheterna) där personerna eller fordonen också finns registrerade.
I andra stycket anges att regeringen eller den myndighet regeringen bestämmer (Tullverket) meddelar närmare föreskrifter om vilka uppgifter som får behandlas inom ramen för varje uppgiftskategori. Vad som avses är en precisering, t.ex. att punkten 1 omfattar uppgifter om faxnummer och
(Se avsnitt 11.3.1)
7 §
Paragrafen reglerar den grundläggande hanteringen av elektroniska handlingar. Det framgår att alla handlingar, såväl av Tullverket upprättade som till verket inkomna (enligt terminologin i 2 kap. tryckfrihetsförordningen), får behandlas i databasen. Inkomna handlingar får alltid behandlas oavsett innehåll och oavsett om de har kommit in i elektronisk form eller om det är pappershandlingar som har skannats in och lagrats. För handlingar som upprättas av Tullverket gäller däremot samma begränsningar av innehållet i fråga
324
| SOU 2002:113 | Författningskommentarer |
om känsliga personuppgifter som för all annan behandling i Tullverkets brottsbekämpande verksamhet (jfr 1 kap. 8§), nämligen att sådana uppgifter endast får användas som komplettering om det är oundgängligen nödvändigt för syftet med behandlingen. Det innebär att elektroniskt upprättade handlingar inte slentrianmässigt får innehålla känsliga personuppgifter, utan det skall vara klart motiverat.
(Se avsnitt 11.3.2)
8 §
Paragrafens första stycke reglerar i vilka fall uppgifter och handlingar i databasen får lämnas ut i bearbetningsbar elektronisk form. Till svenska myndigheter får uppgifter och handlingar lämnas ut på sådant sätt under förutsättning att sekretesslagen (1980:100) inte hindrar utlämnandet. Bestämmelsen är således inte sekretessbrytande, utan reglerar endast på vilket sätt uppgifter får lämnas ut. För utlämnande till utländska myndigheter gäller att uppgifter får lämnas ut i elektronisk form om Sverige är skyldigt att göra det, t.ex. på grund av en
I andra stycket markeras att skilda bestämmelser gäller för å ena sidan det i första stycket reglerade utlämnandet i för mottagaren bearbetningsbar elektronisk form av uppgifter eller handlingar på initiativ av eller efter begäran hos Tullverket, och å andra sidan den i 9 och 10 §§ reglerade direktåtkomsten för myndigheter till uppgifter och handlingar i Tullverkets databas.
(Se avsnitt 11.5.2)
9 §
I paragrafen regleras vilka andra myndigheter som får ha direktåtkomst till uppgifter och handlingar i tullbrottsdatabasen. Bestämmelsen innebär inte att myndigheterna har en absolut rätt till direktåtkomst. Syftet är att lagen inte skall hindra att uppgifter hämtas in till andra brottsbekämpande myndigheter genom direktåtkomst om de tekniska möjligheterna finns och sekretess inte hindrar det.
Av första stycket framgår att alla de brottsbekämpande myndigheterna med polisiära arbetsuppgifter – vilket innebär att de renod-
325
| Författningskommentarer | SOU 2002:113 |
lade åklagarmyndigheterna är undantagna – får ha direktåtkomst till samtliga uppgifter om personer som har registrerats av Tullverket på grund av samband med misstänkt allvarlig brottslig verksamhet eller på grund av brottsutredningar. Möjligheterna till direktåtkomst omfattar enligt bestämmelsen inte elektroniska handlingar.
De myndigheter som har åklagarfunktioner, dvs. Riksåklagaren, åklagarmyndigheterna och Ekobrottsmyndigheten, får enligt andra stycket ha direktåtkomst till samtliga uppgifter och elektroniska handlingar om personer som förekommer i brottsutredningar, dock inte till information om personer som inte är misstänkta för brott utan endast kan antas ha samband med brottslig verksamhet. Eftersom Ekobrottsmyndigheten har såväl en åklagarfunktion som polisiära arbetsuppgifter, omfattas myndigheten av både första och andra stycket.
Regeringen meddelar enligt tredje stycket närmare föreskrifter om omfattningen av direktåtkomsten, dvs. både vilka uppgifter och handlingar som får omfattas av åtkomsten och vilka personalkategorier vid myndigheterna som får ha åtkomst.
(Se avsnitt 11.6.3 och 11.6.4)
10 §
Utöver den direktåtkomst som föreskrivs i 9 §, får även utländska myndigheter ha direktåtkomst till uppgifter om regeringen har meddelat föreskrifter om det eller om det är nödvändigt för att Sverige skall kunna fullgöra sina internationella förpliktelser.
(Se avsnitt 11.6.5)
11 §
Av 1 kap. 8 § följer att uppgifter om en person inte får behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person däremot behandlas på annan grund får de kompletteras med sådana känsliga personuppgifter när det är oundgängligen nödvändigt för syftet med behandlingen. Bestämmelsen har en viktig integritetsskyddande betydelse. Av samma skäl är det inte tillåtet att i databasen göra sökningar med dessa uppgifter som grund i andra fall än då det är absolut nödvändigt för att den information som behövs skall kunna tas fram.
(Se avsnitt 11.7.1)
326
| SOU 2002:113 | Författningskommentarer |
12 §
Vid sökning efter elektroniska handlingar gäller av integritetsskäl mycket mer begränsande regler än vid sökning efter andra uppgifter. Anledningen är de mindre ingripande reglerna om vilka känsliga uppgifter som får förekomma i elektroniska handlingar som lagras i databasen. De enda sökbegrepp som är tillåtna vid sökning efter elektroniska handlingar är namn och person- eller samordningsnummer samt datum då handlingen kom in eller upprättades, diarienummer eller annan beteckning på handlingen, från vem handlingen kommit in eller till vem den har expedierats och i korthet vad handlingen rör (jfr 15 kap. 2 § första stycket
(Se avsnitt 11.7.2)
13 §
När en uppgift eller handling har överlämnats till en arkivmyndighet, kan regeringen föreskriva att andra sökbegrepp skall vara tillåtna än vad som är fallet när uppgiften eller handlingen finns hos Tullverket.
(Se avsnitt 11.7.3)
14 §
I paragrafen anges huvudreglerna för när uppgifter i databasen, av integritetsskäl, skall gallras. För att underlätta gallringsförfarandet anges att gallring normalt skall ske kalenderårsvis.
I punkten 1 anges att uppgifter om att en person har samband med misstänkt brottslig verksamhet skall gallras tre år efter den sista registreringen. I normalfallet måste uppgifterna då anses vara inaktuella.
Av punkten 2 framgår att uppgifter om personer i ärenden som avser brottsutredningar m.m. skall gallras senast ett år efter att ärendet har avslutats. När en brottsutredning leder till att en förundersökning inleds gäller enligt 16 § andra regler. Bestämmelsen blir därför relevant främst i de fall då brott beivras utan inledande av förundersökning, t.ex. vid utfärdande av ordningsbot eller strafföreläggande.
I punkten 3 anges att uppgifter som behövs för att Sverige skall kunna uppfylla sina åtaganden enligt internationella överenskommelser skall gallras när de inte längre behövs för sitt ändamål.
327
| Författningskommentarer | SOU 2002:113 |
Vad detta innebär i tid får uttydas av de internationella åtaganden som utgör grunden för registreringen.
(Se avsnitt 11.8.2)
15 §
Elektroniska handlingar i ärenden skall, oavsett ärendetyp, enligt huvudregeln gallras senast ett år efter utgången av det kalenderår då ärendet avslutades. För förundersökningar gäller dock andra regler enligt 16 §.
(Se avsnitt 11.8.2)
16 §
Uppgifter och handlingar i förundersökningar skall inte gallras enligt de huvudregler som anges i 14 och 15 §§. För sådana uppgifter och handlingar skall i stället arkivlagens bestämmelser gälla på samma sätt som för uppgifter på papper, dvs. de skall bevaras om inte regeringen eller Riksarkivet föreskriver om annat.
(Se avsnitt 11.8.4)
17 §
Regeringen, eller efter bemyndigande Riksarkivet, får meddela föreskrifter om att andra gallringstider skall gälla eller att handlingar och uppgifter skall bevaras.
(Se avsnitt 11.8.2)
3 kap. Enskildas rättigheter
1 §
Paragrafen innehåller bestämmelser om Tullverkets skyldighet att informera den registrerade om att dennes personuppgifter är föremål för behandling. Av 23 § personuppgiftslagen framgår att den personuppgiftsansvarige självmant skall informera en enskild om behandling av uppgifter som samlas in från den enskilde själv. Den information som skall lämnas är enligt 25 § samma lag uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen samt övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter. Information behöver dock inte lämnas om sådant som den registrerade redan känner till.
Information skall också enligt 26 § personuppgiftslagen lämnas på begäran av den registrerade. Om uppgifter behandlas skall
328
| SOU 2002:113 | Författningskommentarer |
information lämnas om vilka uppgifter det rör sig om, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Information behöver dock inte lämnas om personuppgifter i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckning eller liknande, under förutsättning att uppgifterna inte har lämnats ut till tredje man. För information efter begäran av en registrerad gäller vissa särskilda bestämmelser (se kommentaren till 2 § nedan).
Rätten till information gäller enligt 27 § personuppgiftslagen inte om det i lag eller annan författning eller i beslut som har meddelats med stöd av författning särskilt har föreskrivits att uppgifter inte får lämnas ut till den registrerade.
(Se avsnitt 11.9.1)
2 §
Bestämmelsen innebär att elektroniska handlingar inte behöver lämnas ut till en enskild i samband med att Tullverket fullgör sin informationsskyldighet enligt 26 § personuppgiftslagen, om den enskilde har tagit del av handlingens innehåll. Undantaget förutsätter att den registrerade får tydlig information om att handlingar som han eller hon har skickat in till eller fått från verket finns registrerade samt att han eller hon får en förteckning över dessa handlingar. Den enskilde har emellertid rätt att få information även om uppgifter i sådana handlingar om han eller hon begär det.
Personer som finns omnämnda i handlingar som hör till ett ärende, som inte primärt rör dem har ingen självklar rätt att enligt 26 § personuppgiftslagen få information om behandlingen. Den personuppgiftsansvarige är endast skyldig att utnyttja de sök- och sammanställningsmöjligheter som denne har tillgång till och rätt att använda sig av för att få fram information att lämna till den registrerade. De begränsningar som finns i möjligheten att söka efter en s.k. elektronisk handling innebär att Tullverket saknar rättsliga befogenheter, och kanske även tekniska möjligheter, att kontrollera i vilken omfattning uppgifter om en person behandlas i handlingar som hör till ett ärende som inte rör honom eller henne. Därmed har en person, som är registrerad på ett sådant sätt, inte heller rätt att kräva att verket gör den typen av kontroller.
(Se avsnitt 11.9.1)
329
| Författningskommentarer | SOU 2002:113 |
3 §
Bestämmelser om rättelse och om skadestånd finns i 28 § respektive 48 § personuppgiftslagen och gäller vid behandling av personuppgifter i Tullverket brottsbekämpande verksamhet. Rätten till skadestånd avser de särskilda regler som gäller enligt personuppgiftslagen och omfattar därför endast levande fysiska personer, men det utesluter självfallet inte att även juridiska personer kan ha rätt till ersättning enligt de allmänna skadeståndsrättsliga principer som gäller vid skada som enskilda lider till följd av offentlig verksamhet.
(Se avsnitt 11.9.2)
4 §
De flesta beslut som fattas i Tullverkets verksamhet och som gäller behandling av personuppgifter enligt denna lag är interna eller administrativa och berör inte direkt enskildas intressen. Administrativa beslut fattas t.ex. om Tullverket beslutar att inom databasen inrätta särskilda register. Enskilda berörs dock direkt av verkets beslut om rättelse och information efter begäran. Sådana beslut är därför överklagbara. Talan mot beslut om rättelse och information förs i den normalt gällande ordningen i fråga om förvaltningsbeslut, nämligen till allmän förvaltningsdomstol. Vid överklagande till kammarrätt krävs prövningstillstånd.
(Se avsnitt 11.9.3)
15.2Förslag till lag om ändring i sekretesslagen (1980:100)
5 kap. 1 §
Ändringen är föranledd av vårt förslag att i den nya lagen om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet inte definiera begreppet underrättelseverksamhet. I sak innebär bestämmelsen att all underrättelseverksamhet inom Tullverket, oavsett hur uppgifter behandlas, omfattas av sekretess enligt andra stycket.
(Se avsnitt 11.4.2)
330
| SOU 2002:113 | Författningskommentarer |
9 kap. 17 §
Ändringarna är föranledda av att vi föreslår en ny lag för behandlingen av uppgifter i Tullverkets brottsbekämpande verksamhet.
15.3Förslag till lag om ändring av lagen (2001:85) om behandling av uppgifter i Tullverkets verksamhet
1 kap. 4 §
Innebörden av det nya andra stycket är att uppgifter från TDS och andra fiskala register och datorsystem kan användas i brottsbekämpande verksamhet utan att det står i konflikt med ändamålen för tulldatabasen. Med stöd av denna bestämmelse kan direktåtkomst till uppgifter i TDS m.m. tillåtas för den brottsbekämpande verksamhet som omfattas av ändamålen, under förutsättning att sekretess inte hindrar ett utlämnande av uppgifterna.
(Se avsnitt 12.6)
331
ÖVRIGT
Särskilda yttranden
Särskilt yttrande av Marie Bjernelius Lundahl
Direktåtkomst för brottsbekämpande myndigheter till uppgifter i tullbrottsdatabasen (11.6.3) och direktåtkomst för Tullverket till Tulldatasystemet (TDS) och andra fiskala register i tulldatabasen i den brottsbekämpande verksamheten (12.6)
Behandling av personuppgifter om enskilda personer som det inte finns någon misstanke om brott mot är särskilt integritetskänslig. Ur integritetssynpunkt är det därför viktigt att det finns klara och förutsebara regler för i vilka fall tullen får behandla uppgifter om personer som inte är misstänkta för att ha begått något brott. Enligt gällande lagstiftning om behandling av personuppgifter inom tullens brottsbekämpande verksamhet dras ramarna och begränsningarna för behandling av icke misstänkta upp genom dels den definition som finns om underrättelseverksamhet, dels reglerna om underrättelseregister och särskilda undersökningar. Utan motsvarande bestämmelser i lagtexten saknas tydliga begränsningar för när behandling av personuppgifter får ske. Förslaget förutsätter i stället att den personuppgiftsansvarige själv sätter upp klara och tydliga gränsdragningar i fråga om vilka behandlingar av personuppgifter som får utföras och vilka personer som skall ha tillgång till vilka uppgifter. De utvidgade möjligheter till personuppgiftsbehandling som utredningens förslag innebär får konsekvenser beträffande förslaget till utökad direktåtkomst. Kan man verkligen överblicka vilka uppgifter man medger direktåtkomst till och vilka som får tillgång till uppgifterna? Jag anser att utredningen inte tillräckligt analyserat konsekvenserna ur integritetssynpunkt av de ökade möjligheterna till behandling av
335
| Särskilda yttranden | SOU 2002:113 |
personuppgifter, och i synnerhet inte vad dessa innebär för den tänkta direktåtkomsten.
Utredningen föreslår att regeringen ges möjlighet att meddela föreskrifter om omfattningen av direktåtkomsten. Fullföljs utredningens förslag är det av stor vikt att regeringen utnyttjar möjligheten till begränsningar av direktåtkomsten.
336
| SOU 2002:113 | Särskilda yttranden |
Särskilt yttrande av
Jag ställer mig bakom stora delar av de överväganden som framförs i betänkandet och den föreslagna lagstiftningen. Däremot delar jag inte utredningens mening att det i Tullverkets verksamhet går att göra en uppdelning mellan fiskal verksamhet och brottsbekämpande verksamhet och att det råder sekretess mellan dessa verksamheter.
Sekretess inom myndigheten
Huvuddelen av de uppgifter som Tullverket hanterar i den operativa verksamheten omfattas av sekretess till skydd för den enskilde eller till skydd för myndighetens verksamhet. Tullverket bestod tidigare av 13 myndigheter men är sedan 1999 en myndighet. Inom en myndighet råder som regel inte sekretess (jfr 1:3 sekretesslagen) annat än om verksamheten är uppdelad på självständiga verksamhetsgrenar. Tullverkets operativa verksamhet är inte vare sig tänkt eller organiserad på så sätt att sekretess generellt skulle gälla mellan enheterna. I dag strävar vi efter att öka samarbetet och informationsflödet mellan de olika enheterna utifrån principen att sekretess som regel inte råder inom myndigheten och att för arbetsuppgifterna behövlig information får delas mellan berörda tjänstemän. Utgångspunkten för all kontrollverksamhet som bedrivs av Tullverket, oavsett om den utförs av gränsskyddsenheterna eller på företagsenheterna, är att kontrollera riktigheten i lämnade uppgifter. Felaktigheter som upptäcks kan i stort delas in i uppbördsfel och restriktionsfel. Upptäckta felaktigheter kan i sin tur leda till enbart en rättelse eller i vissa fall misstanke om brott. Naturligtvis också till att felaktigheter inte återupprepas. Var gränsen för fiskal verksamhet slutar och brottsbekämpande verksamhet börjar är enligt min mening således inte lätt att sätta upp på ett sådant sätt att det inom myndigheten praktiskt går att tillämpa en strikt verksamhetsuppdelning omgärdad med sekretess. Enligt min mening går Tullverkets arbetsuppgifter inte att så enkelt som utredningen vill göra gällande att dela på verksamhetsgrenarna fiskal och brottsbekämpande verksamhet eller att verksamheterna inom Tullverket
337
| Särskilda yttranden | SOU 2002:113 |
är så avgränsade från varandra att sekretess kan anses råda inom Tullverket.
Användning av TDS
Den lagstiftning som låg till grund för användningen av TDS har inget uttalat förbud mot att systemet används i brottbekämpning. Något sådant syfte står dock inte uppräknat i listan över ändamål för vilka man får använda TDS. Däremot så finns det ett uttalande i förarbetena till den dåvarande tullregisterlagen att systemet inte skulle få användas för den typ av spaningsarbete för vilket tullens spaningsregister förs. Både i den dåvarande tullregisterlagen och i den nuvarande lagen om behandling av personuppgifter i Tullverket finns emellertid kontrollverksamhet uppräknat som syfte för vilket systemet skall få användas. Den i avsnitt 9.2.3. nämnda selekteringsgruppens arbete med urvalet av containrar för kontroll torde enligt min uppfattning helt klart ligga inom tillåtet tillämpningsområde för TDS. Det är i stället beklagligt att osäkerheten om vad TDS får användas till lett till att systemet inte använts för kontrolländamål i gränsskyddet i större utsträckning.
338
| SOU 2002:113 | Särskilda yttranden |
Särskilt yttrande av Claes Gränström
Jag kan inte ansluta mig till utredningens förslag vad gäller gallring av allmänna handlingar (se framför allt avsnitt 11.8). Jag vänder mig mot att gallring av handlingar i elektronisk form – med undantag för material i förundersökningar – skall utgöra huvudregel och att bevarande får förekomma endast i kraft av motiverade och specificerade undantagsbestämmelser.
1.Jag vill kortfattat erinra om de hittills gällande legala förutsättningarna för gallring av allmänna handlingar, som de framgår av
2.Offentlighetsprincipen innebär en rätt till insyn i statens och kommunernas verksamhet. Genom tillgången till allmänna handlingar får allmänhet och massmedia en allsidig och objektiv information om myndigheternas ärendehandläggning och övrig verksamhet. Handlingsoffentligheten möjliggör en fri och allsidig debatt i olika samhällsfrågor på såväl kort som lång sikt och är av avgörande betydelse för förvaltningens legitimitet och allmänhetens förtroende för den offentliga maktutövningen. Offentlighetsprincipen har med sin omfattande räckvidd en stor betydelse även för forskningen, kulturen och rent allmänt det öppna samhälle vi vill ha i vårt land.
Offentlighetsprincipen förutsätter att allmänna handlingar bevaras i tillräcklig utsträckning. Myndigheternas arkiv, dvs. de allmänna handlingarna, är en del av det svenska kulturarvet. Ett
339
| Särskilda yttranden | SOU 2002:113 |
bevarande av allmänna handlingar i tillräcklig utsträckning är en förutsättning för att rätten att ta del av allmänna handlingar, behovet för rättskipning och förvaltning samt forskningens behov (jfr 3 § arkivlagen samt 1 § i det av Offentlighets- och sekretesskommittén nyligen lämnade förslaget till lag om hantering av allmänna handlingar, se SOU 2002:97) skall kunna tillgodoses. Efter en allt för hård gallring tillgodoser arkiven inte dessa behov; man skulle möjligen kunna hävda att rättskipningens och förvaltningens behov kan tillgodoses på kort sikt, men definitivt inte de övriga behoven. Gallringen utgör rent faktiskt ett större ingrepp i insynsrätten än sekretessbeläggning, vars grunder noga regleras i 2 kap. 2§ tryckfrihetsförordningen (jfr prop. 2001/02:70 s. 35). Handlingar får således aldrig gallras i sådan omfattning att det äventyrar arkivens roll som en del av kulturarvet eller något av de tre i arkivlagen angivna huvudändamålen. Även efter en genomförd gallring måste arkiven, de bevarade allmänna handlingarna, kunna tillgodose de ovan nämnda behoven.
Jag menar vidare att en sådan gallring kan ses som ett ingrepp i likställighetsprincipen, enligt vilken allmänheten och massmedia på såväl kort som lång sikt skall ha tillgång till datalagrad information i samma utsträckning som den är tillgänglig för myndigheten. Utvecklingen av informationstekniken har ju hittills inneburit ökade möjligheter till insyn i myndigheternas verksamhet och därmed lett till en förstärkning av offentlighetsprincipen.
Denna möjlighet till en fortgående förstärkning måste enligt regeringens mening värnas (prop. 2001/02:70 s. 18). Det måste således ses som ett stort och inte önskvärt ingrepp när all insyn och forskning omöjliggörs efter ett par år.
Regeringen konstaterar i propositionen till personuppgiftslagen att om en myndighets primära hantering av uppgifter är tillåten, kan det inte anses oförenligt med denna hantering att uppgifterna bevaras eller att de efter en tid lämnas över till en arkivmyndighet (prop. 1997/98:44 s. 48). Det sägs vidare här att myndigheterna är rättsligt förpliktade att bevara allmänna handlingar (oavsett om de innehåller känsliga personuppgifter eller inte) och att bevarandet är av allmänt intresse.
Det rör sig här om en svensk grundlagsskyddad rättighet med lång tradition som är en viktig del av det svenska statsskicket (ibidem s. 45). Den svenska offentlighetsprincipens starka och grundläggande ställning har också fått genomslag i Amsterdamfördragets artikel 255 och den därav följande bestämmelsen om
340
| SOU 2002:113 | Särskilda yttranden |
allmän tillgång till allmänna handlingar inom institutioner inom EU, som beslöts i maj 2001 under det svenska ordförandeskapet. 3. Utredningen framhåller helt riktigt att offentlighetsprincipen, för att den inte skall bli verkningslös, ställer krav på att vissa handlingar bevaras för framtiden. Att bara ange att samtliga handlingar skall gallras när de inte längre behövs för verksamheten är alltså inte möjligt. Det behövs tvärtom en avvägning mellan integritets- och offentlighetsintresset. Personuppgiftslagens regler utgör en skyddslagstiftning. För denna typ av tidsbegränsade skyddsbehov har svensk lagstiftning hittills i stor utsträckning använt sig av sekretessregler. Det har i andra sammanhang ansetts tillräckligt. Jag menar att en sådan avvägning mellan de olika intressena inte har gjorts av utredningen – kanske till följd av de direktiv som utredningen har haft att arbeta efter – och att det skydd för integriteten som finns genom tillämpliga sekretessbestämmelser inte har beaktats.
Utredningens förslag är således inte godtagbart av principiella skäl. Förslaget utgår nämligen från att gallring av integritetsskäl är huvudregeln. Det gäller också flertalet av senare tids förslag till registerlagstiftning, t.ex. Domstolsdatautredningens. Om alla registerlagar kommer att ha motsvarande regler om gallring, blir integritetsintresset alltid överordnat andra intressen och behov. Följden blir att ett bevarande alltid senare särskilt måste motiveras.
Att få det förflutna utplånat behöver inte vara den åtgärd som bäst tillgodoser den personliga integriteten. Utredningen påpekar helt riktigt att ett stort antal personer under senare år har fått upprättelse för tidigare allvarliga integritetskränkningar, som t.ex. tvångssteriliserade och felaktigt registrerade i olika register hos säkerhetspolisen. Detta torde i framtiden bli helt omöjligt om huvudprincipen är att personuppgifter skall gallras. Jag vill erinra om resonemangen i propositionen om Hälsodata- och vårdregister, där det sägs att det är förenat med stora svårigheter att på förhand bestämma i vilken omfattning och hur länge uppgifter i hälsodataregister kan behöva bevaras. Även intresset av att uppgifter skall kunna användas för forskning medför att det är svårt att fastställa en tidpunkt när uppgifterna inte längre behövs i registret. Det är också av stort intresse att kunna följa utvecklingen inom hälso- och sjukvårdens område under längre tidsperioder. Samma resonemang kan appliceras även på andra registerområden, t.ex. inom Tullverket.
341
| Särskilda yttranden | SOU 2002:113 |
Det har redan visat sig att myndigheter vänder sig till Riksarkivet för att få till stånd undantag från en registerlags gallringsregler, när gallringsfristerna i lagen har satts allt för snävt.
4.Om endast en eller ett par registerlagar hade som huvudregel att allting skall gallras med möjlighet till undantag, skulle ett sådant system kunna fungera. Erfarenheterna av flera år med olika registerlagar har emellertid visat att när det blir fråga om ett stort antal registerlagar, så kommer Riksarkivet inte att ha praktisk möjlighet att ingripa med undantagsföreskrifter. Till saken hör även att det normalt är den arkivbildande myndigheten som utför en gallringsutredning och sedan sänder den till Riksarkivet för bedömning. Om gallring blir huvudregel kommer sannolikt Riksarkivet för den statliga sektorn och de kommunala arkivmyndigheterna för den kommunala sektorn att få göra utredningar för att motivera och sedan eventuellt utfärda specificerade föreskrifter om undantag från gallring. Som ovan sagts kan detta vara möjligt om man har en eller ett par registerlagar att beakta. Riksarkivet har emellertid varken möjligheter eller resurser att göra detta i stor skala. En konsekvens härav blir då att sådant som har stort värde för ovan angivna syften oavsiktligt kommer att gallras.
5.Jag ser det som en stor fara att allt material genom tillkomsten av en stor mängd registerlagar, ofta oavsett lagringsmedium, riskerar att gallras under – enligt min mening felaktigt och slentrianmässigt
– åberopande av integritetsaspekterna, oavsett om det rör fysiska eller juridiska personer. Gallring är en oåterkallelig åtgärd som aldrig kan göras ogjord och som sträcker sin verkan långt in i framtiden, när skyddsintressena för länge sedan har klingat av. Den bild av vårt samhälle som ges i framtiden blir då utslätad, tillrättalagd och missvisande.
Det får inte bli så att en fullständig förstörelse blir helt dominerande på bekostnad av gängse principer för gallring och bevarande. Vi kommer då inte enbart att förlora de direkta insynsmöjligheterna utan även bli urarva vad gäller de handlingstyper som vi från
Jag vill framhålla att många allmänna handlingar kan och bör gallras. Vid de gallringsbedömningar som Riksarkivet gör beaktas
342
| SOU 2002:113 | Särskilda yttranden |
alltid den betydelse arkiven har för insynen, för rättskipningens och förvaltningens behov och för forskningen samt den betydelse som arkiven har i ett allmänt kultursammanhang. Enligt min mening kan man inte som enda skyddsåtgärd tillgripa gallring. Även andra åtgärder bör övervägas, exempelvis förstärkt sekretess, tidsbegränsad möjlighet att söka efter uppgifter och överföring till arkivmyndighet av de handlingar som inte gallras. I det allt mer elektroniska samhället finns motsvarande information oftast inte i pappersform, och om det finns är möjligheterna att bearbeta och tillhandahålla informationen mycket begränsade jämfört med vad som är fallet med upptagningar för ADB. Detta medför enligt min bestämda mening att man måste tillgripa ett annat förfaringssätt, om insynsaspekterna, forskningens behov och kulturarvsaspekterna skall kunna tillgodoses.
Tillkomsten av ett växande antal registerlagar, som samtliga föreskriver gallring som huvudregel, kan med tiden urholka den generella modell för bevarande/gallring som etablerats genom det av riksdagen nyligen beslutade tillägget i 2 kap. tryckfrihetsförordningen om vikten av bevarande, genom arkivlagen och genom personuppgiftslagen med förarbeten. Genom ett de små stegens tyranni kan en ny generell ordning för bevarande och gallring etableras, en ordning som aldrig samlat underställts riksdagens prövning och vunnit dess gillande.
Som skyddsinstrument har gallringen, som jag framhållit i mitt särskilda yttrande i utredningen Statistik och integritet (SOU 1994:65), en onödig överkapacitet. Den kan jämföras med halshuggning för att bota huvudvärk. Man kan vidare ställa frågan hur man i längden kan upprätthålla förtroendet för den offentliga förvaltningen, när de insyns- och kontrollmöjligheter som tryckfrihetsförordningen erbjuder beskärs på detta sätt.
6. Även juridiska personer kommer att omfattas av gallring, som för fysiska personer föreslås ske av integritetsskäl. Detta har inte stöd av direktivet eller personuppgiftslagen och utgör en utvidgning av vad gallringen kommer att omfatta, vilket är olyckligt eftersom då även allt som rör juridiska personer kommer att försvinna om inte undantag föreskrivs.
343
| Särskilda yttranden | SOU 2002:113 |
Sammanfattning:
Offentlighetsprincipen ställs ofta mot önskemålet att skydda den enskildes integritet. Man måste dock enligt min bestämda mening alltid hålla det övergripande värdet av offentlighetsprincipen i minnet när man gör den nödvändiga avvägningen mellan offentlighet – med intressen som forskning och skyddet för kulturarvet – och integritetsskydd. Man måste därvid vara synnerligen vaksam, så att man inte genom de många små stegens utveckling gör alltför stora och oåterkalleliga ingrepp i principen.
Mitt förslag är således att man låter arkivlagens regler gälla som huvudregel för bevarande och gallring av samtliga uppgifter i Tullverkets brottsbekämpande verksamhet, inte endast för material i förundersökningar. Detta skulle medföra att offentlighetsprincipen och de andra behoven som uttrycks i arkivlagen kan tillgodoses. Integritetsskyddsaspekterna får i stället tillgodoses genom andra åtgärder, t.ex. genom ett starkt sekretesskydd.
344
BILAGOR
Bilaga 1
Kommittédirektiv
| Tullverkets register i den brottsbekämpande | Dir. |
| verksamheten | 2001:28 |
Beslut vid regeringssammanträde den 5 april 2001.
Sammanfattning av uppdraget
En särskild utredare skall tillkallas för att bl.a. följa genomförandet av lagstiftningen om register i Tullverkets brottsbekämpande verksamhet. Utredaren skall:
Granska om de redskap för den brottsbekämpande verksamheten som Tullverket fått genom personuppgiftslagen och registerlagstiftningen skapar förutsättningar för att Tullverket skall uppnå de mål som regeringen har ställt upp för Tullverkets arbete.
Utreda hur Tullverket, polisen, Kustbevakningen och eventuellt andra myndigheter bör samarbeta för att använda och införa information i register som Tullverket, Kustbevakningen och polisen har tillgång till. Detta skall göras med beaktande av såväl att ett effektivt samarbete kan upprätthållas som att enskilda personers integritetsintressen tillvaratas.
Utreda hur de olika register som Tullverket för eller har tillgång till i sitt brottsbekämpande arbete förhåller sig till varandra i fråga om innehåll och användning samt se över
347
| Bilaga 1 | SOU 2002:113 |
att användningen är effektiv samtidigt som den personliga integriteten värnas.
Sätta sig in i och granska det arbete som pågår inom Tullverket med att upprätta nya databaser och ärendehanteringssystem för den brottsbekämpande verksamheten, påtala eventuella brister och lämna förslag till lösningar.
Granska och föreslå ändringar av bestämmelserna om underrättelse- och spaningsregister.
Utreda om Tullverkets tulldatasystem (TDS) bör få användas i brottsbekämpande verksamhet och i så fall ge förslag till lagändringar som skulle göra detta möjligt.
Utreda om fler av Tullverkets register än spanings- och underrättelseregistren bör regleras särskilt i lagstiftningen och i så fall lägga fram förslag till sådana regleringar.
Analysera konsekvenserna av de registerbestämmelser som är tillämpliga på Tullverkets register i den brottsbekämpande verksamheten och då särskilt från integritetssynpunkt.
Utreda om Tullverket inom ramen för den gällande lagstiftningen kan uppfylla de åtaganden som Sverige gjort genom internationella avtal om tullsamarbete och lämna förslag till eventuella ändringar.
Även i övrigt peka på eventuella reformbehov när det gäller register i den brottsbekämpande verksamheten och arbetet med dessa.
Arbetet skall bedrivas i samråd med Polisdatautredningen (Ju 2000:01). Utredaren skall även samråda med Offentlighets- och sekretesskommittén (Ju 1999:06).
Utredningsuppdraget skall redovisas senast den 31 december 2002.
348
| SOU 2002:113 | Bilaga 1 |
Gällande regler och bakgrund
Gällande registerbestämmelser
Tullverkets användning av register i den brottsbekämpande verksamheten styrdes fram till den 31 mars av lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet och förordningen (1997:1064) med samma namn, vilka trädde i kraft den 1 januari 1998. Den 1 april ersattes lagen med lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Den nya lagen kompletteras av förordningen (2001:88) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Den nya lagen innebär inte någon större förändring jämfört med tidigare gällande regler. Lagen innebär i stället en modernisering av lagstiftningen och en anpassning till de regler som redan gäller för polisen och skattemyndigheterna. Även personuppgiftslagen (1998:204) som trädde i kraft den 24 oktober 1998 är tillämplig på Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten. Vidare har Datainspektionen utfärdat tillstånd för vissa register som förs i den nämnda verksamheten.
För polisen och skattemyndigheterna gäller polisdatalagen (1998:622) och lagen (1999:90) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. Även dessa lagarna gäller utöver personuppgiftslagen.
Personuppgiftslagen
Personuppgiftslagen gäller bl.a. för behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Genom personuppgiftslagen genomfördes Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, kallat dataskyddsdirektivet (EGT nr L 281, 23/11/1995, s.
Grundläggande regler om inrättande och förande av personregister med hjälp av automatisk databehandling fanns tidigare i datalagen (1973:289). Bara den som anmält sig till
349
| Bilaga 1 | SOU 2002:113 |
Datainspektionen och fått licens fick inrätta och föra personregister. För att få registrera känsliga personuppgifter krävdes dessutom ett särskilt tillstånd från Datainspektionen. Om ett personregister beslutats av riksdagen eller regeringen krävdes inget tillstånd.
Genom personuppgiftslagen har det tidigare licens- och tillståndsförfarandet avskaffats. Utgångspunkten för personuppgiftslagen är att behandling av personuppgifter är tillåten i de fall och på de villkor lagen anger. Personuppgiftslagen innehåller vissa grundläggande krav på hur uppgifter får behandlas. Dessa krav innebär bl.a. att personuppgifter får behandlas endast för särskilda uttryckligt angivna och berättigade ändamål. Enligt huvudregeln får behandling av uppgifter endast ske med samtycke från den registrerade. Från den regeln finns det emellertid flera undantag, t.ex. om det är nödvändigt att behandla personuppgifter för att en arbetsuppgift av allmänt intresse skall kunna utföras eller för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet.
Den nya lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet
Den nya lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet (se prop. 2000/01:54) omfattar all behandling av personuppgifter i Tullverkets brottsbekämpande arbete som är helt eller delvis automatiserad. Lagen omfattar vidare annan behandling om uppgifterna är avsedda att ingå i Tullverkets underrättelseregister, spaningsregister eller annan strukturerad samling av personuppgifter, vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Den nya lagen gäller på samma sätt som polisdatalagen och lagen om behandling av personuppgifter vid skattemyndighetens medverkan i brottsutredningar utöver personuppgiftslagen.
Register i Tullverkets klareringsverksamhet
Tullverket använder ett gemensamt tulldatasystem benämnt TDS för klarering av varor vid import och export, transiteringsärenden, debitering av tull och andra skatter samt behandling av uppgifter för statistiska ändamål. Bestämmelser om systemet finns i tull-
350
| SOU 2002:113 | Bilaga 1 |
registerlagen (1990:137) och tullregisterförordningen (1990:179). Tullregisterlagen skall enligt ett förslag i prop. 2000/01:33 ersättas av en ny lag om behandling av uppgifter i Tullverkets verksamhet. Enligt förslaget skall den nya lagen träda i kraft den 1 oktober 2001.
Tullregistret får enligt nu gällande regler användas för fastställande, uppbörd, restitution och redovisning av tull och skatter m.m. som skall betalas till Tullverket, fullgörande av övervakning, kontroll och revisioner inom Tullverkets verksamhetsområde, planering och tillsyn av tullverksamheten samt framställning av viss statistik. Tullregistret får även användas för prövning av och tillsyn över upplagshavare, skatteupplag och registrerade varumottagare enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt på energi samt för revision och annan kontrollverksamhet enligt lagen (1984:151) om punktskatter och prisregleringsavgifter. Tullregistret får således enligt nu gällande bestämmelser inte användas i den brottsbekämpande verksamheten.
Tullverkets brottsbekämpande verksamhet
För den brottsbekämpande verksamheten har Tullverket inrättat gränsskyddsenheter som ansvarar för gränskontroll och spaningsverksamhet. Vidare har verket inrättat analysenheter som svarar för underrättelse- och analysverksamhet när det gäller brottslighet som rör Tullverkets verksamhet. Tullverket har dessutom ett antal tullkriminalenheter som svarar för den brottsutredande delen av Tullverkets brottsbekämpande verksamhet. Denna verksamhet sker ofta i nära samarbete med åklagare och polis.
Register i den brottsbekämpande verksamheten
I sin brottsbekämpande verksamhet har Tullverket möjlighet att föra dels ett centralt underrättelseregister, dels ett gemensamt spaningsregister. Enligt den tidigare gällande lagen hade Tullverket även möjlighet att inrätta analysregister i samband med vissa särskilda utredningar. I den nu gällande lagen har dessa register ersatts med en möjlighet att behandla personuppgifter i underrättelseverksamhet.
I den brottsutredande verksamheten för Tullverket en tullmåls-
351
| Bilaga 1 | SOU 2002:113 |
journal, som består av ett register över tullmålsärenden. Tullverket för även ett beslags- och analysregister, benämnt BAR, som innehåller uppgifter om narkotikabeslag och misstänkta gärningsmän samt i förekommande fall analysresultat av sådana beslag. Vidare finns ärenderegister, som består av lokalt inrättade diarier för katalogisering av underrättelseärenden. Nämnda register förs för närvarande med tillstånd från Datainspektionen. Tullverket är även i färd med att utveckla datoriserade rutiner för brottsutredningar. I dessa kommer även ett ärenderegister att ingå med kopplingar till det myndighetsgemensamma misstankeregistret.
Tullverket har i sitt brottsbekämpande arbete tillgång till flera andra register, däribland de för rättsväsendet gemensamma spanings, belastnings- och misstankeregistren.
Utveckling och utbyggnad av
TIS
Sverige har den 26 juli 1995 undertecknat konventionen om användning av informationsteknologi för tulländamål, den s.k.
352
| SOU 2002:113 | Bilaga 1 |
TIS, vars syfte är att tillgodose behovet av snabb och effektiv informationsspridning för brottsbekämpande verksamhet med anknytning till EU:s tull och jordbruksreglering. Tullinformationssystemets materiella struktur är avsedd att användas för tullsamarbete som medlemsstaterna kommit överens om i TIS- konventionen och det som regleras i förordningen (EG) nr 515/97.
Integritetsfrågorna
De nya tekniska möjligheterna att behandla uppgifter automatiserat medför en ökad effektivitet och därmed en bättre möjlighet att komma åt den brottsliga verksamheten. Den nya tekniken medför emellertid ofrånkomligen även ökade risker för intrång i den enskildes personliga integritet. Från integritetssynpunkt är den praktiska tillämpningen av lagstiftningen av avgörande betydelse. Med lagstiftning avses här samtliga bestämmelser som påverkar Tullverkets tillgång till och behandling av information.
Av sekretesslagens (1980:100) bestämmelser i 1 kap. 3 § andra stycket framgår att det enligt huvudprincipen råder sekretess mellan en myndighets olika verksamhetsgrenar om verksamheterna är självständiga i förhållande till varandra. I sekretesslagen finns även regler som i vissa fall kan bryta sekretessen mellan och inom myndigheter.
Regeringen tillsatte 1998 en parlamentarisk kommitté som tagit sig namnet offentlighets- och sekretesskommittén. Kommittén har i uppdrag att bl.a. utreda om det finns förutsättningar att öka möjligheten att lämna sekretessbelagda uppgifter mellan och inom myndigheter i syfte att förbättra förutsättningarna för deras samverkan.
Behovet av översyn
För Tullverkets del innebär personuppgiftslagen, tillsammans med den särreglering som gjorts i lagen (2001:85) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet, att möjligheterna till automatiserad behandling av personuppgifter ökat jämfört med tidigare. Vidare innebär TIS att Tullverkets
353
| Bilaga 1 | SOU 2002:113 |
möjligheter att få tillgång till personuppgifter ökats. Tullverkets rätt att behandla personuppgifter är i och med nämnda lagstiftningar och TIS omfattande. Vidare förutsätter den lagstiftning som finns på registerområdet för Tullverket,
Mot denna bakgrund finns ett behov av att se över genomförandet av lagstiftningen om register i Tullverkets brottsbekämpande verksamhet och införandet av den nya registerstrukturen. I detta sammanhang finns också ett behov av att se över hur lagstiftningen på registerområdet fungerar i praktiken för Tullverkets vidkommande. Meningen är att lagstiftaren skall uppmärksammas på ett eventuellt behov av justeringar.
Allmänt om uppdraget
Utredaren skall granska om de redskap för den brottsbekämpande verksamheten som Tullverket fått genom personuppgiftslagen och registerlagstiftningen skapar förutsättningar för att uppnå de mål för Tullverkets arbete som regeringen ställt upp. En av målsättningarna med den äldre lagen samt den nu gällande lagen har varit att se till att Tullverket i sitt brottsbekämpande arbete har tillgång till ändamålsenliga och effektiva arbetsmetoder samt väl fungerande verktyg (se prop. 2000/01:54 s. 1). Utredaren skall även lämna förslag till hur bestämmelserna kan ändras för att underlätta och effektivisera arbetet.
Vidare skall utredaren ta ställning till vilka åtgärder som bör vidtas för att underlätta och eventuellt förbättra samarbetet mellan Tullverket och övriga myndigheter, däribland polisen, vad gäller användning av och införande av information i register. Detta skall göras med beaktande av såväl att ett effektivt samarbete kan upprätthållas som att enskilda personers integritetsintressen tillvaratas.
Utredaren skall vidare se över hur de olika register som Tullverket för, eller annars har tillgång till i sitt brottsbekämpande arbete, förhåller sig till varandra när det gäller informationen i registren och användningen av dessa. En av de frågor som särskilt
354
| SOU 2002:113 | Bilaga 1 |
behöver utredas är om det finns behov av ett spaningsregister. Detta närmast med tanke på att liknande uppgifter förekommer i det myndighetsgemensamma misstankeregistret. I Tullverkets spaningsregistret får uppgifter som kan hänföras till enskild person föras in endast om den som avses med uppgiften kan misstänkas för att ha begått brott som Tullverket har befogenhet att ingripa mot och om registreringen är av särskild betydelse för brottsbekämpningen. Misstankeregistret skall enligt 2 § i lagen (1998:621) om misstankeregister bl.a. föras för att underlätta tillgången till sådana uppgifter om skälig misstanke om brott som behövs i verksamhet hos polis- och skattemyndighet samt Tullverket för att samordna förundersökningar mot en person och för att förebygga, upptäcka och utreda brott. Utredaren skall undersöka om Tullverket använder registren på ett effektivt sätt och i förekommande fall påtala brister.
Utredaren skall även sätta sig in i det arbete som pågår inom Tullverket för att inrätta nya databaser och ärendehanteringssystem för verkets brottsbekämpande verksamhet. I utredningen skall redovisas vilken information de planerade systemen är tänkta att innehålla samt systemens funktion. Vidare skall en särskild analys göras av hur systemen förhåller sig till gällande regler. Utredaren skall här även påtala eventuella brister och lämna förslag till lösningar.
Utredaren skall också granska bestämmelserna om underrättelse- och spaningsregister och komma med förslag till ändringar. Det är viktigt att få en klar bild av hur arbetet inom
Utredaren skall även ta ställning till om Tullverkets
Vidare skall utredaren ta ställning till om fler av Tullverkets register än spanings- och underrättelseregistren bör regleras särskilt i lagstiftningen och, om så är fallet, lägga fram förslag till
355
| Bilaga 1 | SOU 2002:113 |
sådana regleringar. Målsättningen är att myndighetsregister med ett stort antal registrerade personer och med ett särskilt känsligt innehåll skall regleras i lag (se prop. 1997/98:44 s. 41).
Utredaren skall vidare se över genomförandet av lagstiftningen om register i Tullverkets brottsbekämpande verksamhet och den nya lagen om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet. Utredaren skall även analysera konsekvenserna av bestämmelserna och då särskilt från integritetssynpunkt.
Utredaren skall ta ställning till om Tullverket inom ramen för den gällande lagstiftningen kan uppfylla de åtaganden som Sverige gjort genom internationella avtal om tullsamarbete. Eventuella brister skall påtalas och förslag till ändringar skall lämnas.
Vidare skall utredaren peka på och klargöra eventuella ytterligare reformbehov vad gäller Tullverkets register i den brottsbekämpande verksamheten. I uppdraget ingår också att uppmärksamma eventuella tillämpningssvårigheter och belysa eventuella brister i gällande lagstiftning. Utredaren skall även beakta frågor angående bevarande och gallring av personuppgifter i den brottsbekämpande verksamheten.
I utredarens uppdrag ligger att samtliga analyser och förslag måste värna inte bara om effektiviteten i Tullverkets arbete utan också om den enskildes personliga integritet.
Uppdragets genomförande
Med hänsyn till de likheter som finns mellan polisens verksamhet och Tullverkets brottsbekämpande arbete, är det av största vikt att utredarens arbete bedrivs i samarbete med den särskilda utredare som är tillsatt för att se över genomförandet av polisregisterlagstiftningen.
Vidare skall utredaren samråda med offentlighets- och sekretesskommittén, samt
Under uppdraget skall utredaren även samråda med Tullverket, Rikspolisstyrelsen, Riksåklagaren, Ekobrottsmyndigheten, Riksskatteverket, Kustbevakningen, Riksarkivet och Datainspektionen. Samråd skall även ske med fackliga representanter.
356
| SOU 2002:113 | Bilaga 1 |
Redovisning av uppdraget
Uppdraget skall redovisas senast vid utgången av december månad år 2002.
(Finansdepartementet)
357
Bilaga 2
Tullbrottsdatautredningen
(Fi 2001:06)
Utredningssekreterare Till Kammarrättsassessor
Förfrågan om tullens brottsbekämpande verksamhet
Den svenska regeringen beslutade den 5 april 2001 att tillkalla en särskild utredare för att bl.a. följa genomförandet av lagstiftningen om register i Tullverkets brottsbekämpande verksamhet. Undertecknad, kammarrättslagman Sten Wahlqvist, förordnades som särskild utredare.
Utredningen skall bl.a. granska om de redskap för den brottsbekämpande verksamheten, som Tullverket fått genom lagstiftning som reglerar användningen av datorregister och skyddet för personlig integritet vid behandling av personuppgifter, skapar förutsättningar för att Tullverket skall kunna fullgöra sitt arbete med brottsbekämpning på ett effektivt sätt. Utredningen skall vidare utreda om uppgifter i det datorsystem, som tullen använder i sin uppbördsverksamhet, även bör få användas i tullens brottsbekämpande verksamhet. För närvarande är det inte lagligt möjligt.
Den svenska tullen har två huvuduppgifter. Den skall fastställa och uppbära tullar, mervärdesskatt och andra skatter så att en riktig uppbörd kan säkerställas. Tullen skall också övervaka och
359
| Bilaga 2 | SOU 2002:113 |
kontrollera trafiken till och från utlandet så att bestämmelser om in- och utförsel av varor efterlevs (gränskontroll).
Den svenska gränskontrollen och bekämpningen av gränsbrottslighet bedrivs av polisen, Tullverket och Kustbevakningen. Huvudansvaret beträffande varor ligger hos Tullverket. Kustbevakningen har ett samlat ansvar för gränskontroll till sjöss avseende både varor och personer.
Utredningen är intresserad av att få information om hur arbetet med att bekämpa gränsbrottslighet bedrivs i andra europeiska länder. Utredningen är därför mycket tacksam för information som kan hjälpa utredningen att fullfölja sitt uppdrag på bästa sätt. Av särskilt intresse är att få svar på följande frågor.
N Hur är Er nationella tullmyndighet organiserad? Är det tullen som ansvarar för bekämpning av gränsbrottsligheten?
N Om det är samma myndighet (tullen) som har hand om både gränsbrottslighet och frågor angående gränshandel och uppbörd av tull, hur bedrivs informationsutbytet mellan de olika verksamheterna inom myndigheten? Finns det gemensamma datorsystem eller är det på annat sätt fri tillgång till uppgifterna mellan verksamheterna?
N Om det är olika myndigheter som har hand om gränsbrottslighet och frågor angående gränshandel, i vilka former förekommer det ett samarbete myndigheterna emellan? Får myndigheterna ta del av uppgifter i varandras datorregister genom direktåtkomst eller på annat sätt?
N Har den myndighet som ansvarar för bekämpning av gränsbrottsligheten tillgång till information i datorregister som förs av polisen eller någon annan myndighet som bekämpar övrig brottslighet? I vilka andra former förekommer det samarbete myndigheterna emellan?
N Förekommer det något samarbete mellan skattemyndigheterna och den myndighet som ansvarar för bekämpning av gränsbrottsligheten och/eller för gränshandel och uppbörd av tull?
360
| SOU 2002:113 | Bilaga 2 |
Om myndigheten i övrigt har information som bedöms vara av värde för utredningen, är det givetvis tacksamt att också erhålla sådan information. Lagtext är naturligtvis värdefullt att få ta del av.
Med hänsyn till den begränsade tid som utredningen har till sitt förfogande är det av stor vikt att informationen om möjligt erhålls senast den 1 april 2002. Tack på förhand.
Vänligen skicka informationen till följande adress:
Regeringskansliets utredningsavdelning
Box 347
S - 401 25 Göteborg
Sverige
Vänliga hälsningar
Sten Wahlqvist
361
Bilaga 3
363
Process- och organisationsskiss för Tullverket
| Tillstånd | ||
| Effektiv handel | Licenser | |
| Information | ||
| kommersiell | Kvalitetssäkring | |
| import och | Bindande | |
| export | klassificeringsbesked | |
| mm. | ||
Analys
Tullverket
| Klarering av | Granskning | ||
| deklarationer | Debitering | ||
| för import | Efterkontroll | ||
| Uppbörd | |||
| och export | Revision | ||
| Handelsstatistik | |||
| manuellt och | Tulltillägg | ||
| automatiskt i TDS |
| Ekobrott | ||
| Riskanalys | Brottsutredning | |
| MOU | Tullkriminalen | |
| Informatörer | Strafförelägganden | |
| Underrättelse | Beslagshantering |
| Smugglingsbrott | |||||
| Gränsskydd | Mottagande av | Resandekontroll | Kroppsvisitation | ||
| fysisk övervakning | anmälan och | Varuundersökning | Fordonskontroll | Beslag | |
| deklarationer | |||||
| av gränserna | Lastkontroll | Punktskattekontroll | Primärutredning | ||
| från resande | |||||
| Postkontroll | Spaning | ||||
| t.ex. djur, alkohol | |||||
Bilaga 4
Skiss över sakområdes- och organisationsgränser inom Tullverket och skattemyndigheterna
sakområde organisation
BROTTSBEKÄMPNING Gränskontroll
GRÄNSSKYDD
Tullkriminal
Företagsenhet
EFFEKTIV HANDEL
Analysenhet
FISKAL VERKSAMHET
Fig. 2
sakområde /organisation
BROTTSBEKÄMPNING
Momsenhet
Revisionsenhet
Skattebrottsenhet
FISKAL VERKSAMHET
365